Vérifier votre VPN IPsec
Nous allons maintenant vous montrer comment confirmer rapidement que votre VPN IPsec basé sur le routage fait son travail de protection de vos données sensibles.
Confirmer l’état des licences
Les passerelles de sécurité SRX disposent de nombreuses fonctionnalités avancées. Par exemple, l’inspection approfondie des paquets (DPI), l’analyse antivirus en temps réel, le blocage d’URL basé sur le cloud, etc. Certaines de ces fonctionnalités nécessitent une licence. Beaucoup utilisent un modèle de licence en dur, ce qui signifie que la fonctionnalité est désactivée jusqu’à ce que vous ajoutiez la licence nécessaire. Toutefois, vous pouvez configurer la fonctionnalité sans recevoir d’avertissement de licence. Pour plus d’informations sur les licences basées sur les fonctionnalités, voir Licences pour SRX Series. Pour plus d’informations sur les licences basées sur l’abonnement, consultez Licence logicielle Flex pour les équipements SRX Series.
Il est toujours bon d’afficher le statut de licence de votre SRX, en particulier lors de l’ajout de nouvelles fonctionnalités, comme le VPN IPsec que vous venez d’afficher.
root@branch-srx> show system license
License usage:
Licenses Licenses Licenses Expiry
Feature name used installed needed
remote-access-ipsec-vpn-client 0 2 0 permanent
remote-access-juniper-std 0 2 0 permanent
Licenses installed: none
Le résultat est une bonne nouvelle. Il montre qu’aucune licence spécifique n’existe sur l’équipement. Elle confirme également qu’aucune des fonctionnalités configurées ne nécessite de licences complémentaires spéciales. La licence de modèle de base pour la filiale SRX prend en charge les VLAN, les services DHCP et les VPN IPsec de base.
Vérifier la session IKE
Vérifiez que le SRX a bien établi une association IKE avec le site distant :
root@branch-srx> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 3318115 UP 2ed75d71d9aeb5c5 680391201477e65b Aggressive 172.16.1.1
Le résultat affiche une session IKE établie sur le site distant à l’adresse 172.16.1.1.
Vérifier le tunnel IPsec
Vérifier l’établissement du tunnel IPsec :
root@branch-srx> show security ipsec security-associations
Total active tunnels: 1 Total Ipsec sas: 1
ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway
<131073 ESP:3des/sha1 4f03e41c 947/ unlim - root 500 172.16.1.1
>131073 ESP:3des/sha1 70565ffd 947/ unlim - root 500 172.16.1.1
La sortie confirme l’établissement de la session IKE sur le site distant à 172.16.1.1.
Vérifier l’état de l’interface du tunnel
Vérifiez que l’interface du tunnel est opérationnelle (et qu’elle doit être opérationnelle, étant donné que le tunnel IPsec a été correctement établi). Vérifiez également que vous pouvez ping sur le terminal de tunnel distant :
root@branch-srx> show interfaces terse st0
Interface Admin Link Proto Local Remote
st0 up up
st0.0 up up inet 10.0.0.1/24
root@branch-srx> show route 10.0.0.2
inet.0: 19 destinations, 19 routes (19 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.0.0.0/24 *[Direct/0] 00:11:19
> via st0.0
root@branch-srx> ping 10.0.0.2 count 2
PING 10.0.0.2 (10.0.0.2): 56 data bytes
64 bytes from 10.0.0.2: icmp_seq=0 ttl=64 time=17.862 ms
64 bytes from 10.0.0.2: icmp_seq=1 ttl=64 time=2.318 ms
--- 10.0.0.2 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 2.318/10.090/17.862/7.772 ms
Vérifier le routage statique pour le tunnel IPsec
Vérifiez que le routage (statique) vers le sous-réseau distant pointe correctement vers l’interface du tunnel IPsec comme saut suivant :
root@branch-srx> show route 172.16.200.0
inet.0: 16 destinations, 16 routes (16 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
172.16.200.0/24 *[Static/5] 00:45:52
> via st0.0
Vérifier que le trafic de zone de confiance utilise le tunnel
Générez du trafic depuis un équipement de zone de confiance vers une destination dans le sous-réseau 172.16.200.0/24. Nous avons assigné l’adresse 172.16.200.1/32 à l’interface de bouclage du site distant et l’avons placée dans la vpn zone. Cette adresse fournit une cible à ping. Si tout fonctionne, ces pings devraient réussir.
Pour confirmer que ce trafic utilise le VPN IPsec, procédez comme suit.
- Effacez les statistiques du tunnel IPsec.
root@branch-srx> clear security ipsec statistics - Générez un nombre connu de pings vers la destination 172.16.200.1 à partir d’un client de zone de confiance.
user@trust-device> ping 172.16.200.1 count 100 rapid PING 172.16.200.1 (172.16.200.1): 56 data bytes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! --- 172.16.200.1 ping statistics --- 100 packets transmitted, 100 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.895/1.062/2.322/0.326 ms
- Affichez les statistiques d’utilisation des tunnels.
root@branch-srx> show security ipsec statistics ESP Statistics: Encrypted bytes: 13600 Decrypted bytes: 8400 Encrypted packets: 100 Decrypted packets: 100 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Cela termine la vérification du VPN IPsec. Félicitations pour le nouveau site de filiale!