Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Exemple : Configurer VPN IPSec en haute disponibilité multinœud actif-actif dans un réseau de couche 3

Cet exemple montre comment configurer et vérifier le VPN IPsec pour la configuration de la haute disponibilité multinœud actif-actif.

Aperçu

Dans le cadre de la haute disponibilité multinœud, les pare-feu SRX Series participants fonctionnent comme des nœuds indépendants dans un réseau de couche 3. Les nœuds sont connectés à des infrastructures adjacentes appartenant à différents réseaux. Une liaison d’interchâssis logique (ICL) chiffrée relie les nœuds sur un réseau routé. Les nœuds participants se sauvegardent mutuellement pour assurer un basculement rapide et synchronisé en cas de défaillance du système ou du matériel.

Vous pouvez utiliser la haute disponibilité multinœud en mode actif-actif avec la prise en charge de plusieurs groupes de redondance de services (SRG). Dans ce mode, certains groupes de sécurité restent actifs sur un nœud et d’autres sur un autre nœud.

La haute disponibilité multinœud prend en charge le VPN IPsec en mode actif-actif avec plusieurs passerelles de sécurité sociale (SRG1+). Dans ce mode, vous pouvez établir plusieurs tunnels actifs à partir des deux nœuds, en fonction de l’activité du SRG. La haute disponibilité multinœud établit un tunnel IPsec et effectue les échanges de clés en associant l’adresse IP de terminaison (qui identifie également les tunnels qui s’y terminent) au SRG. Étant donné que différents SRG1+ peuvent être à l’état actif ou à l’état de secours sur chacun des périphériques, la haute disponibilité multinœud dirige efficacement le trafic correspondant vers le SRG1 actif correspondant. Étant donné que différentes passerelles peuvent être actives sur différents nœuds, les tunnels appartenant à ces passerelles apparaissent indépendamment sur les deux nœuds.

Note:

La solution de haute disponibilité multinœud prend en charge une configuration à deux nœuds.

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Deux pare-feu SRX Series (les appareils pris en charge sont SRX5400, SRX5600 et SRX5800 avec SPC3, IOC3, SCB3, SCB4 et RE3)

  • Junos OS version 22.4R1

Dans cet exemple, nous avons utilisé deux plates-formes de routage MX Series de Juniper Networks comme routeurs montant/aval.

Avant de commencer

  • Configurez le filtrage et la qualité de service (QoS) du pare-feu sans état en fonction des exigences de votre réseau et disposez de politiques de sécurité appropriées pour gérer le trafic sur votre réseau.

  • Dans un déploiement haute disponibilité typique, vous disposez de plusieurs routeurs et commutateurs sur les côtés nord et sud du réseau. Ici, nous utilisons deux routeurs situés de part et d’autre des pare-feu SRX Series. Assurez-vous d'avoir configuré les routeurs en amont et en aval en fonction des exigences de votre réseau.

  • Installez le package IKE Junos sur vos pare-feu SRX Series à l’aide de la request system software add optional://junos-ike.tgz commande. Le junos-ike package est inclus dans vos packages logiciels Junos (à partir de Junos OS version 20.4R1).

Topologie

La figure 1 illustre la topologie utilisée dans cet exemple.

Figure 1 : haute disponibilité multinœud dans un réseau Multinode High Availability in Layer 3 Network de couche 3

Comme le montre la topologie, deux pare-feu SRX Series (SRX-1 et SRX-2) sont connectés à des routeurs adjacents du côté de la confiance et de la discordance, formant un voisinage BGP. Une liaison d’interchâssis logique (ICL) chiffrée relie les nœuds sur un réseau routé. Les nœuds communiquent entre eux à l’aide d’une adresse IP routable (adresse IP flottante) sur le réseau.

Le périphérique SRX-03 agit comme un périphérique homologue de la configuration de haute disponibilité multinœud et établit des tunnels VPN IPsec avec les périphériques SRX-01 et SRX-02.

Vous allez effectuer les tâches suivantes pour créer une configuration de haute disponibilité multinœud :

  • Configurez une paire de pare-feu SRX Series en tant que nœuds locaux et homologues en leur attribuant des identifiants.
  • Configurez les groupes de redondance des services (SRG1 et SRG2).
  • Configurez une interface de bouclage (lo0.0) pour héberger l’adresse IP flottante et atteindre la passerelle homologue. L’utilisation de l’interface de bouclage garantit qu’à tout moment, le trafic des routeurs adjacents sera dirigé vers l’adresse IP flottante (c’est-à-dire vers le nœud actif).
  • Configurer les sondes IP pour la détermination de l’activité et l’application
  • Configurez un itinéraire de signal requis pour l’application de l’activité et utilisez-le avec la stratégie de route existante.
  • Configurez un profil VPN pour le trafic haute disponibilité (ICL) à l’aide d’IKEv2.
  • Configurer les options de surveillance BFD
  • Configurer une stratégie de routage et des options de routage
  • Configurez les interfaces et les zones en fonction des besoins de votre réseau. Vous devez autoriser des services tels que IKE pour le chiffrement des liaisons et SSH pour la synchronisation de la configuration en tant que services système entrants sur l’hôte sur la zone de sécurité associée à la liste de contrôle ICL.

  • Créez une configuration de groupe pour le VPN IPsec sur les appareils SRX-01 et SRX-02 afin de configurer un tunnel avec l’appareil homologue VPN (SRX-03). Les groupes de configuration vous permettent d’appliquer des éléments communs qui sont réutilisés dans la même configuration.

  • Configurez les options VPN IPsec pour établir des tunnels avec le périphérique SRX-03 et activez la synchronisation de la configuration VPN IPsec sur les deux périphériques (SRX-01 et SRX-02) à l’aide de l’option [groups].
  • Configurez l’appareil homologue VPN avec les options VPN IPsec.

Pour la liaison interchâssis (ICL), nous recommandons la configuration suivante :

  • En général, vous pouvez utiliser un port Ethernet agrégé (AE) ou un port Ethernet payant sur les pare-feu SRX Series pour configurer une connexion ICL. Dans cet exemple, nous avons utilisé des ports GE pour la ICL. Nous avons également configuré une instance de routage pour le chemin ICL afin d'assurer une segmentation maximale.

  • N’utilisez pas les ports HA dédiés (ports de contrôle et de structure) lorsqu’ils sont disponibles sur votre pare-feu SRX Series).
  • Définir MTU de 1514
  • Autoriser les services suivants sur la zone de sécurité associée aux interfaces utilisées pour ICL

    • IKE, haute disponibilité, SSH

    • Protocoles en fonction du protocole de routage dont vous avez besoin.

    • BFD pour surveiller les routes voisines.

Vous pouvez configurer les options suivantes sur SRG0 et SRG1+ :

Vous pouvez configurer les options suivantes sur SRG0 et SRG1 :

  • SRG1 : Route du signal actif/de secours, type de déploiement, priorité d’activité, préemption, adresse IP virtuelle (pour les déploiements de passerelle par défaut), test d’activité et paquet de processus sur la sauvegarde.

  • SRG1 : options de surveillance BFD, de surveillance IP et de surveillance d’interface sur SRG1.

  • SRG0 : options d’arrêt en cas d’échec et d’installation en cas d’échec.

    Lorsque vous configurez les options de surveillance (BFD ou IP ou Interface) sous SRG1, nous vous recommandons de ne pas configurer l’option d’arrêt en cas de panne sous SRG0.

  • SRG1 : Route du signal actif/de secours, type de déploiement, priorité d’activité, préemption, adresse IP virtuelle (pour les déploiements de passerelle par défaut), test d’activité et paquet de processus sur la sauvegarde.

  • SRG1 : options de surveillance BFD, de surveillance IP et de surveillance d’interface sur SRG1.

  • SRG0 : options d’arrêt en cas d’échec et d’installation en cas d’échec.

    Lorsque vous configurez les options de surveillance (BFD ou IP ou Interface) sous SRG1, nous vous recommandons de ne pas configurer l’option d’arrêt en cas de panne sous SRG0.

Le Tableau 1 détaille la configuration des interfaces utilisées dans cet exemple.

de de
Tableau 1 : configuration des interfaces et des adresses IP sur les dispositifs de sécurité
Adresse IPla zone d’interfacel’appareil configurée pour
Le SRX-01 lo0

Défiance

10.11.0.1/32

Adresse IP flottante

Adresse de passerelle IKE

10.12.0.1/32

Adresse de passerelle IKE

GE-0/0/2

ICL

10.22.0.2/24

Connexion d’ICL

GE-0/0/4

Confiance

10.5.0.1/24

Se connecte au routeur R2

GE-0/0/3

Défiance

10.3.0.2/24

Se connecte au routeur R1
Le SRX-02

lo0

Défiance

10.12.0.1/32

Adresse IP flottante

Adresse de passerelle IKE

10.11.0.1/32

Adresse de passerelle IKE

GE-0/0/2

ICL

10.22.0.1/24

Connexion d’ICL

GE-0/0/3

Défiance

10.2.0.2/24

Se connecte au routeur R1

GE-0/0/4

Confiance

10.4.0.1/24

Se connecte au routeur R2
Le SRX-03 lo0

Défiance

10.112.0.1/32

Adresse de passerelle IKE

10.112.0.5/32

Adresse de passerelle IKE

GE-0/0/0

Défiance

10.7.0.1/24

Se connecte au routeur R2

GE-0/0/2

Confiance

10.6.0.2/24

Se connecte à l’appareil client
de de
Tableau 2 : configuration des interfaces et des adresses IP sur les équipements de routage
Adresse IPl’interfacel’appareil configurée pour
R2 lo0

10.111.0.2/32

Adresse de l’interface de bouclage de R2

GE-0/0/1

10.4.0.2/24

Se connecte au SRX-02

GE-0/0/0

10.5.0.2/24

Se connecte au SRX-01

GE-0/0/2

10.7.0.2/24

Se connecte à SRX-03 (appareil homologue VPN)
R1 lo0

10.111.0.1/32

Adresse de l’interface de bouclage de R1

GE-0/0/0

10.3.0.1/24

Se connecte au SRX-01

GE-0/0/1

10.2.0.1/24

Se connecte au SRX-02

Configuration

Avant de commencer

Le package IKE Junos est requis sur vos pare-feu SRX Series pour la configuration de la haute disponibilité multinœud. Ce pack est disponible en pack par défaut ou en option sur les pare-feu SRX Series. Pour plus d’informations, reportez-vous à la section Prise en charge du package IKE Junos .

Si le package n’est pas installé par défaut sur votre pare-feu SRX Series, utilisez la commande suivante pour l’installer. Vous avez besoin de cette étape pour le chiffrement ICL.

Configuration rapide de la CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Ces configurations proviennent d’un environnement de laboratoire et ne sont fournies qu’à titre de référence. Les configurations réelles peuvent varier en fonction des exigences spécifiques de votre environnement.

Appareil SRX-01

Appareil SRX-02

Appareil SRX-3

Les sections suivantes présentent des extraits de configuration sur les routeurs requis pour configurer la haute disponibilité multinœud dans le réseau.

Routeur R1

Routeur R2

Configuration

Procédure étape par étape

Nous montrons la configuration de SRX-01 dans la procédure étape par étape.

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.

  1. Configurez les interfaces.

    Utilisez les interfaces ge-0/0/3 et ge-0/0/4 pour vous connecter aux routeurs en amont et en aval et utilisez l’interface ge-0/0/2 pour configurer l’ICL.

  2. Configurez les interfaces de bouclage.

    Attribuez les adresses IP 10.11.0.1 et 10.12.0.1 à l’interface de bouclage. Nous utiliserons 10.11.0.1 comme adresse IP flottante et 10.12.0.1 comme adresse de passerelle IKE.

  3. Configurez les zones de sécurité, attribuez des interfaces aux zones et spécifiez les services système autorisés pour les zones de sécurité.

    Attribuez aux interfaces ge-0/0/3 et ge-0/0/4 les zones de confiance et de non-confiance respectivement. Attribuez l’interface lo0.0 à la zone non approuvée pour vous connecter via le réseau IP. Affectez l’interface ge-0/0/2 à la zone ICL. Vous utilisez cette zone pour configurer l’ICL. Attribuez l’interface de tunnel sécurisé à la zone de sécurité VPN.

  4. Configurez les détails du nœud local et du nœud pair, tels que l’ID du nœud, les adresses lP du nœud local et du nœud pair, ainsi que l’interface du nœud pair.

    Vous allez utiliser l'interface ge-0/0/2 pour communiquer avec le nœud homologue à l'aide de l'ICL.

  5. Attachez le profil VPN IPsec IPSEC_VPN_ICL au nœud homologue.

    Cette configuration est nécessaire pour établir une liaison ICL sécurisée entre les nœuds.

  6. Configurez les options de protocole de détection de transfert bidirectionnel (BFD) pour le nœud homologue.

  7. Configurez les groupes de redondance de services SRG1 et SRG2.

    Au cours de cette étape, vous spécifiez le type de déploiement comme routage, car vous configurez la haute disponibilité multinœud dans un réseau de couche 3.

  8. Configurez les paramètres de détermination de l’activité SRG1 et SRG2.

    Le SRG1

    Le SRG2

    Utilisez l’adresse IP flottante comme adresse IP source (10.11.0.1 pour SRG1 et 10.12.0.1 pour SRG2) et les adresses IP des routeurs en amont comme adresse IP de destination (10.111.0.1) pour la sonde de détermination de l’activité.

    Vous pouvez configurer jusqu’à 64 adresses IP pour la surveillance IP et le sondage d’activité. Le total de 64 adresses IP est la somme du nombre d’adresses IPv4 et IPv6)

  9. Configurez les paramètres de surveillance BFD pour les SRG1 et SRG2 afin de détecter les défaillances dans le réseau.

    Le SRG1

    Le SRG2

  10. Configurez un itinéraire de signal actif requis pour l’application de l’activité.

    Le SRG1

    Le SRG2

    Note: Vous devez spécifier l’itinéraire de signal actif ainsi que la stratégie route-exists dans l’instruction policy-options. Lorsque vous configurez la active-signal-route condition with if-route-exists, le module HA ajoute cette route à la table de routage.

  11. Créez une liste de préfixes IP en incluant l’adresse locale de la passerelle IKE et associez-la à SRG1 et SRG2 :

    Le SRG1

    Le SRG2

    Cette configuration ancre un certain tunnel VPN IPsec à un équipement de sécurité particulier.

  12. Activez le service VPN IPsec sur les SRG1 et SRG2.

  13. Configurez les options du VPN IPSec pour l’ICL.

    1. Définissez la configuration IKE (Internet Key Exchange). Une configuration IKE définit les algorithmes et les clés utilisés pour établir une connexion sécurisée.

      Pour la fonctionnalité de haute disponibilité multinœud, vous devez configurer la version IKE en tant que v2-only

    2. Spécifiez le protocole de proposition IPsec et l’algorithme de chiffrement. Spécifiez les options IPsec pour créer un tunnel IPsec entre deux équipements participants afin de sécuriser la communication VPN.

      La spécification de l’option ha-link-encryption chiffre l’ICL pour sécuriser le flux de trafic haute disponibilité entre les nœuds.

      Le même nom de VPN ICL_IPSEC_VPN doit être mentionné vpn_profile dans la set chassis high-availability peer-id <id> vpn-profile vpn_profile configuration.

  14. Configurez la stratégie de sécurité.

    Pour cet exemple, nous avons configuré une stratégie pour autoriser tout le trafic. Nous vous recommandons vivement de créer des stratégies de sécurité en fonction des exigences de votre réseau afin d’autoriser le trafic autorisé par votre stratégie d’organisation et de refuser tout autre trafic. Dans cet exemple, nous avons utilisé la stratégie par défaut à des fins de démonstration.

  15. Configurez les options de routage.

  16. Configurez les options de stratégie.

    Configurez l’itinéraire de signal actif 10.39.1.1 (SRG1) et 10.49.1.1 (SRG2) avec la condition de correspondance de route (if-route-exists). La haute disponibilité multinœud ajoute cette route à la table de routage lorsque le nœud passe au rôle actif. Le noeud commence également à annoncer l’itinéraire de préférence le plus élevé. Configurez l’itinéraire du signal de secours (10.39.1.2 et 10.49.1.2) pour annoncer le noeud de secours avec une priorité moyenne. En cas de défaillance, la liaison haute disponibilité tombe en panne et le nœud actif actuel libère son rôle principal et supprime l’itinéraire de signal actif. Désormais, le nœud de sauvegarde détecte la condition par le biais de ses sondes et passe au rôle actif. La préférence de route est permutée pour diriger tout le trafic vers le nouveau nœud actif

  17. Configurez les options des sessions d’appairage BFD et spécifiez les temporisateurs de détection de vivacité.

Configuration VPN IPsec (SRX-1 et SRX-2)

Procédez comme suit pour configurer la connexion VPN IPsec avec le pare-feu homologue SRX Series. Dans cet exemple, vous allez placer toutes vos instructions de configuration VPN IPsec dans un groupe de configuration JUNOS nommé vpn_config.

  1. Créez un groupe vpn_config de configuration en haut de la configuration et configurez les détails spécifiques au VPN IPsec.

  2. Incluez l’instruction apply-groups dans la configuration pour hériter des instructions du groupe de configuration vpn_config,

Configuration (SRX-03) (appareil homologue VPN)

Procédure étape par étape

  1. Créez la proposition IKE.

  2. Définissez les stratégies IKE.

  3. Créez une passerelle IKE, définissez l’adresse, spécifiez les interfaces externes et la version.

  4. Créez des propositions IPsec.

  5. Créez des politiques IPsec.

  6. Spécifiez les références de proposition IPsec (passerelle IKE, stratégie IPsec, interface à lier et sélecteurs de trafic).

  7. Créez une stratégie de sécurité.

    Pour cet exemple, nous avons configuré une stratégie pour autoriser tout le trafic. Nous vous recommandons vivement de créer des stratégies de sécurité en fonction des exigences de votre réseau afin d’autoriser le trafic autorisé par votre stratégie d’organisation et de refuser tout autre trafic. Dans cet exemple, nous avons utilisé la stratégie par défaut à des fins de démonstration.

  8. Configurez les interfaces.

  9. Définissez des zones de sécurité et ajoutez des interfaces.

  10. Configurez les routes statiques.

Résultats (SRX-01)

À partir du mode configuration, confirmez votre configuration en entrant les commandes suivantes.

Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Résultats (SRX-02)

À partir du mode configuration, confirmez votre configuration en entrant les commandes suivantes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Sur vos appareils de sécurité, le message suivant vous demande de redémarrer l'appareil s'affiche :

Résultats (SRX-3) (appareil homologue VPN)

À partir du mode configuration, confirmez votre configuration en entrant les commandes suivantes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérifier les détails de la haute disponibilité multinœud

But

Affichez et vérifiez les détails de la configuration de la haute disponibilité multinœud configurée sur votre équipement de sécurité.

Action

À partir du mode opérationnel, exécutez la commande suivante :

Sur SRX-1

Sur SRX-2

Signification

Vérifiez ces détails à partir de la sortie de la commande :

  • Détails du nœud local et du nœud pair, tels que l’adresse IP et l’ID.

  • Le champ Encrypted: YES indique que le trafic est protégé.

  • Le champ Deployment Type: ROUTING indique une configuration en mode de couche 3, c’est-à-dire que le réseau comporte des routeurs des deux côtés.

  • Le champ Services Redundancy Group: 1 et Services Redundancy Group: 2 indiquez l’état du SRG1 et du SRG2 (actif ou de secours) sur ce nœud.

Vérifier les détails de la haute disponibilité multinœud

But

Affichez et vérifiez les détails de la configuration de la haute disponibilité multinœud configurée sur votre équipement de sécurité.

Action

À partir du mode opérationnel, exécutez la commande suivante :

Sur SRX-01

Signification

Vérifiez ces détails à partir de la sortie de la commande :

  • Le champ Services: [ IPSEC ] indique le VPN IPSec associé à chaque SSR.

  • Les champs BFD Monitoring, Interface Monitoring, Split-brain Prevention Probe Info affichent les détails de la surveillance.

  • Les champs Cold Synchronization, SRG State Change Events fournissent des détails sur l’état actuel et les modifications récentes.

  • Le champ Services Redundancy Group: 1 et Services Redundancy Group: 2 indiquez l’état du SRG1 et du SRG2 (actif ou de secours) sur ce nœud.

Dans la sortie de la commande, les adresses IP telles que l’IP 180.100.1.2 sont générées en interne par Junos OS et n’interfèrent pas avec les tables de routage.

Vérifier l’état du noeud homologue multinoeud haute disponibilité

But

Affichez et vérifiez les détails du nœud homologue.

Action

À partir du mode opérationnel, exécutez la commande suivante sur SRX-01 et SRX-02 :

Le SRX-01

Le SRX-02

Signification

Vérifiez ces détails à partir de la sortie de la commande :

  • Détails du nœud homologue tels que l’interface utilisée, l’adresse IP et l’ID

  • État du chiffrement, de la connexion et de la synchronisation à froid

  • Statistiques de paquets sur l’ensemble du nœud.

Vérifier les groupes de redondance des services de haute disponibilité multinœuds

But

Vérifiez que les passerelles de sécurité sont configurées et fonctionnent correctement.

Action

À partir du mode opérationnel, exécutez la commande suivante sur les deux périphériques de sécurité :

SRG1 sur SRX-02

SRG2 sur SRX-02

SRG1 sur SRX-01

SRG2 sur SRX-01

Signification

Vérifiez ces détails à partir de la sortie de la commande :

  • Détails sur les nœuds homologues tels que le type de déploiement, l’état, les itinéraires des signaux actifs et de secours.

  • Sonde de prévention Split-Brain, surveillance IP et état de surveillance BFD.

  • Tableau des préfixes IP associés.

Vérifier l’état du chiffrement ICL (Interchassis Link)

But

Vérifiez l’état de la liaison interchâssis (ICL).

Action

Exécutez la commande suivante sur SRX-01 :

Signification

La sortie de la commande fournit les informations suivantes :

  • Détails de la passerelle locale et de la passerelle distante.

  • Paire IPsec SA pour chaque thread dans PIC.

  • Mode de chiffrement des liens HA (comme indiqué à la ligne suivante) :

  • Algorithmes d’authentification et de chiffrement utilisés

PRUDENCE:

La plage d’adresses IP (180.100.1.x) affichée dans la sortie de la commande sert de sélecteur de trafic IPsec ICL. Le système attribue dynamiquement cette plage d’adresses IP, et il est essentiel de ne pas l’altérer ou la modifier. De plus, la détection de transfert bidirectionnel (BFD) sera automatiquement activée pour la plage IP 180.x.x.x plus large.

Vérifier les statistiques du tunnel de chiffrement de liens

But

Vérifiez les statistiques du tunnel de chiffrement de liens sur les nœuds actifs et de secours.

Action

Exécutez la commande suivante sur SRX-01 :

Signification

Si vous constatez des problèmes de perte de paquets sur un VPN, vous pouvez exécuter la show security ipsec statistics ha-link-encryption commande plusieurs fois pour vérifier que les compteurs de paquets chiffrés et déchiffrés s’incrémentent. Vous devez également vérifier si les autres compteurs d’erreur sont incrémentés.

Utilisez la clear security ipsec security-associations ha-link-encryption commande pour effacer toutes les statistiques IPsec.

Vérifier les pairs actifs de la liaison interchâssis

But

Affichez uniquement les homologues ICL actifs, mais pas les homologues IKE actifs réguliers.

Action

Exécutez les commandes suivantes sur les périphériques SRX-01 et SRX-02 :

Le SRX-1

Le SRX-2

Signification

La sortie de commande affiche uniquement l’homologue actif de l’ICL avec des détails tels que les adresses homologues et les ports utilisés par l’homologue actif.

Confirmer l’état du VPN

But

Confirmez l’état du VPN en vérifiant l’état de toutes les associations de sécurité IKE au niveau de la SSR.

Action

Exécutez les commandes suivantes sur SRX-1, SRX-2 et SRX-3 (appareil homologue VPN) :

Le SRX-01

Le SRX-02

SRX-3 (appareil homologue VPN)

Signification

La sortie indique que :

  • Adresses IP des homologues distants.
  • L’état affiché UP pour les deux pairs distants indique l’association réussie de l’établissement de la phase 1.
  • L’adresse IP de l’homologue distant, la stratégie IKE et les interfaces externes sont toutes correctes.

Afficher les détails de l’association de sécurité IPsec

But

Affichez les détails individuels de chaque SA IPsec identifiés par les ID SRG.

Action

Exécutez la commande suivante sur les pare-feu SRX Series :

Le SRX-1

Le SRX-02

Le SRX-03

Signification

La sortie affiche l’état du VPN.

Afficher les pairs actifs par SSR

But

Affichez la liste des homologues actifs connectés avec leurs adresses homologues et les ports qu’ils utilisent.

Action

Exécutez les commandes suivantes sur les pare-feu SRX Series :

Le SRX-01

Le SRX-02

Signification

La sortie affiche la liste des appareils connectés avec des détails sur les adresses homologues et les ports utilisés.

Affichage du préfixe IP dans le mappage SRG

But

Affichage du préfixe IP dans les informations de mappage SRG.

Action

Exécutez la commande suivante sur le périphérique SRX-01.

Signification

La sortie affiche les préfixes d’adresse IP mappés aux passerelles de sécurité sociale dans la configuration.

Affichez les informations de session BGP.

But

Affichez des informations récapitulatives sur BGP et ses voisins pour déterminer si les routes sont reçues de pairs.

Action

Exécutez les commandes suivantes sur les pare-feu SRX Series :

Équipement SRX-1

Appareil SRX-2

Signification

La sortie indique que la session BGP est établie et que les homologues échangent des messages de mise à jour.

Voir aussi