Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Exemple : Configuration d’un VPN IPSec en haute disponibilité multinodale active-active dans un réseau de couche 3

Cet exemple montre comment configurer et vérifier le VPN IPsec pour une configuration de haute disponibilité multi nodale active-active.

Vue d’ensemble

En haute disponibilité multi-nœuds, les pare-feu SRX Series participants fonctionnent comme des nœuds indépendants dans un réseau de couche 3. Les nœuds sont connectés à des infrastructures adjacentes appartenant à différents réseaux. Une liaison logique interchâssis (ICL) chiffrée relie les nœuds sur un réseau routé. Les nœuds participants se sauvegardent mutuellement pour assurer un basculement rapide et synchronisé en cas de défaillance du système ou du matériel.

Vous pouvez utiliser la haute disponibilité multinodale en mode actif-actif avec la prise en charge de plusieurs groupes de redondance de services (SRG). Dans ce mode, certains SRG restent actifs sur un nœud et d’autres restent actifs sur un autre nœud.

La haute disponibilité multinodale prend en charge le VPN IPsec en mode actif-actif avec plusieurs SRG (SRG1+). Dans ce mode, vous pouvez établir plusieurs tunnels actifs à partir des deux nœuds, en fonction de l’activité SRG. La haute disponibilité multi nodale établit un tunnel IPsec et effectue des échanges de clés en associant l’adresse IP de terminaison (qui identifie également les tunnels se terminant dessus) à la passerelle de recherche. Étant donné que différents SRG1+ peuvent être en état actif ou en état de sauvegarde sur chacun des appareils, la haute disponibilité multinodale dirige efficacement le trafic correspondant vers le SRG1 actif correspondant. Étant donné que différents SRG peuvent être actifs sur différents nœuds, les tunnels appartenant à ces SRG apparaissent sur les deux nœuds de manière indépendante.

Remarque :

Nous prenons en charge une configuration à deux nœuds dans la solution de haute disponibilité multi-nœuds.

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Deux pare-feu SRX Series (les appareils pris en charge sont SRX5400, SRX5600 et SRX5800 avec SPC3, IOC3, SCB3, SCB4 et RE3)

  • Junos OS version 22.4R1

Dans cet exemple, nous avons utilisé deux plates-formes de routage MX Series de Juniper Networks comme routeurs en amont/en aval.

Avant de commencer

  • Configurez le filtrage du pare-feu sans état et la qualité de service (QoS) en fonction des exigences de votre réseau, et disposez de stratégies de sécurité appropriées pour gérer le trafic sur votre réseau.

  • Dans un déploiement haute disponibilité classique, vous disposez de plusieurs routeurs et commutateurs sur les côtés nord et sud du réseau. Pour cet exemple, nous utilisons deux routeurs de part et d’autre des pare-feu SRX Series. Assurez-vous d'avoir configuré les routeurs en amont et en aval en fonction des exigences de votre réseau.

  • Installez le package Junos IKE sur vos pare-feu SRX Series à l’aide de la request system software add optional://junos-ike.tgz commande. Le junos-ike package est inclus dans vos packages logiciels Junos (Junos OS version 20.4R1 et ultérieure).

Topologie

La figure 1 illustre la topologie utilisée dans cet exemple.

Figure 1 : Haute disponibilité multinodale dans un réseau Network topology diagram showing connectivity of SRX-01, SRX-02, and SRX-03 devices with R1 and R2 routers across Untrust, Trust, VPN, and ICL zones. IP addresses and interfaces are labeled for security-focused network documentation. de couche 3

Comme le montre la topologie, deux pare-feu SRX Series (SRX-1 et SRX-2) sont connectés à des routeurs adjacents côté confiance et non confiance, formant un voisinage BGP. Une liaison logique interchâssis (ICL) chiffrée relie les nœuds sur un réseau routé. Les nœuds communiquent entre eux à l’aide d’une adresse IP routable (adresse IP flottante) sur le réseau.

L’équipement SRX-03 agit comme un appareil homologue à la configuration haute disponibilité multi nodale et établit des tunnels VPN IPsec avec les appareils SRX-01 et SRX-02.

Vous allez effectuer les tâches suivantes pour créer une configuration haute disponibilité multi nodale :

  • Configurez une paire de pare-feu SRX Series en tant que nœuds locaux et pairs en attribuant des ID.
  • Configurez les groupes de redondance des services (SRG1 et SRG2).
  • Configurez une interface de bouclage (lo0.0) pour héberger l’adresse IP flottante et atteindre la passerelle homologue. L’utilisation de l’interface de bouclage garantit qu’en tout point, le trafic des routeurs adjacents sera dirigé vers l’adresse IP flottante (c’est-à-dire vers le nœud actif).
  • Configurer les sondes IP pour la détermination et l’application de l’activité
  • Configurez une route de signal requise pour l’application de l’activité et utilisez-la avec la stratégie Route Exist.
  • Configurez un profil VPN pour le trafic haute disponibilité (ICL) à l’aide d’IKEv2.
  • Configurer les options de surveillance BFD
  • Configurer une politique de routage et des options de routage
  • Configurez les interfaces et les zones en fonction des besoins de votre réseau. Vous devez autoriser des services tels que IKE pour le chiffrement des liens et SSH pour la synchronisation de la configuration en tant que services système entrants sur l’hôte sur la zone de sécurité associée à la liste ICL.

  • Créez une configuration de groupe pour le VPN IPsec sur les appareils SRX-01 et SRX-02 afin de configurer un tunnel avec un appareil homologue VPN (SRX-03). Les groupes de configuration vous permettent d’appliquer des éléments communs qui sont réutilisés dans la même configuration.

  • Configurez les options VPN IPsec pour établir des tunnels avec l’appareil SRX-03 et activez la synchronisation de la configuration VPN IPsec sur les deux appareils (SRX-01 et SRX-02) à l’aide de l’option [groups].
  • Configurer un appareil homologue VPN avec des options VPN IPsec.

Pour la liaison interchâssis (ICL), nous recommandons la configuration suivante :

  • En général, vous pouvez utiliser Aggregated Ethernet (AE) ou un port Ethernet payant sur les pare-feu SRX Series pour configurer une connexion ICL. Dans cet exemple, nous avons utilisé des ports GE pour l'ICL. Nous avons également configuré une instance de routage pour le chemin ICL afin d'assurer une segmentation maximale.

  • N’utilisez pas les ports HA dédiés (ports de contrôle et de fabric) s’ils sont disponibles sur votre pare-feu SRX Series).
  • Set MTU de 1514
  • Autoriser les services suivants sur la zone de sécurité associée aux interfaces utilisées pour ICL

    • IKE, haute disponibilité, SSH

    • en fonction du protocole de routage dont vous avez besoin.

    • BFD pour surveiller les routes voisines.

Vous pouvez configurer les options suivantes sur SRG0 et SRG1+ :

Vous pouvez configurer les options suivantes sur SRG0 et SRG1 :

  • SRG1 : Route du signal actif/de secours, type de déploiement, priorité d’activité, préemption, adresse IP virtuelle (pour les déploiements de passerelle par défaut), sondage d’activité et traitement des paquets de secours.

  • SRG1 : options de surveillance BFD, de surveillance IP et de surveillance d’interface sur SRG1.

  • SRG0 : options de route d’arrêt en cas d’échec et d’installation en cas d’échec.

    Lorsque vous configurez les options de surveillance (BFD ou IP ou Interface) sous SRG1, nous vous recommandons de ne pas configurer l’option d’arrêt en cas de défaillance sous SRG0.

  • SRG1 : Route du signal actif/de secours, type de déploiement, priorité d’activité, préemption, adresse IP virtuelle (pour les déploiements de passerelle par défaut), sondage d’activité et traitement des paquets de secours.

  • SRG1 : options de surveillance BFD, de surveillance IP et de surveillance d’interface sur SRG1.

  • SRG0 : options de route d’arrêt en cas d’échec et d’installation en cas d’échec.

    Lorsque vous configurez les options de surveillance (BFD ou IP ou Interface) sous SRG1, nous vous recommandons de ne pas configurer l’option d’arrêt en cas de défaillance sous SRG0.

Le Tableau 1 présente les détails sur la configuration des interfaces utilisée dans cet exemple.

Tableau 1 : configuration des interfaces et des adresses IP sur les équipements de Sécurité
Adresse IP de la zone d’interface de l’équipement configurée pour
SRX-01 lo0

Méfiance

10.11.0.1/32

Adresse IP flottante

Adresse de la passerelle IKE

10.12.0.1/32

Adresse de la passerelle IKE

GE-0/0/2

ICL

10.22.0.2/24

Connexion ICL

GE-0/0/4

Confiance

10.5.0.1/24

Se connecte au routeur R2

GE-0/0/3

Méfiance

10.3.0.2/24

Se connecte au routeur R1
SRX-02

lo0

Méfiance

10.12.0.1/32

Adresse IP flottante

Adresse de la passerelle IKE

10.11.0.1/32

Adresse de la passerelle IKE

GE-0/0/2

ICL

10.22.0.1/24

Connexion ICL

GE-0/0/3

Méfiance

10.2.0.2/24

Se connecte au routeur R1

GE-0/0/4

Confiance

10.4.0.1/24

Se connecte au routeur R2
SRX-03 lo0

Méfiance

10.112.0.1/32

Adresse de la passerelle IKE

10.112.0.5/32

Adresse de la passerelle IKE

GE-0/0/0

Méfiance

10.7.0.1/24

Se connecte au routeur R2

GE-0/0/2

Confiance

10.6.0.2/24

Se connecte à l’appareil client
Tableau 2 : configuration des interfaces et des adresses IP sur les équipements de routage
Adresse IP de l’interface de l’équipement configurée pour
R2 lo0

10.111.0.2/32

Adresse de l’interface de bouclage de R2

GE-0/0/1

10.4.0.2/24

Se connecte au SRX-02

GE-0/0/0

10.5.0.2/24

Se connecte au SRX-01

GE-0/0/2

10.7.0.2/24

Se connecte au SRX-03 (appareil homologue VPN)
R1 lo0

10.111.0.1/32

Adresse de l’interface de bouclage de R1

GE-0/0/0

10.3.0.1/24

Se connecte au SRX-01

GE-0/0/1

10.2.0.1/24

Se connecte au SRX-02

La configuration

Avant de commencer

Le package Junos IKE est requis sur vos pare-feu SRX Series pour une configuration haute disponibilité multi nodale. Ce package est disponible en tant que package par défaut ou en tant que package optionnel sur les pare-feu SRX Series. Voir Prise en charge du package Junos IKE pour plus de détails.

Si le package n’est pas installé par défaut sur votre pare-feu SRX Series, utilisez la commande suivante pour l’installer. Vous avez besoin de cette étape pour le chiffrement ICL.

Configuration rapide de la CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.

Ces configurations sont capturées à partir d’un environnement de laboratoire et sont fournies à titre de référence uniquement. Les configurations réelles peuvent varier en fonction des exigences spécifiques de votre environnement.

Appareil SRX-01

Appareil SRX-02

Appareil SRX-3

Les sections suivantes présentent les extraits de configuration des routeurs requis pour configurer la haute disponibilité multi nodale dans le réseau.

Routeur R1

Routeur R2

La configuration

Procédure étape par étape

Nous montrons la configuration du SRX-01 dans la procédure étape par étape.

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode Configuration dans le Guide de l’utilisateur de la CLI.

  1. Configurez les interfaces.

    Utilisez les interfaces ge-0/0/3 et ge-0/0/4 pour vous connecter aux routeurs en amont et en aval et utilisez l’interface ge-0/0/2 pour configurer l’ICL.

  2. Configurez les interfaces de bouclage.

    Attribuez les adresses IP 10.11.0.1 et 10.12.0.1 à l’interface de bouclage. Nous utiliserons 10.11.0.1 comme adresse IP flottante et 10.12.0.1 comme adresse de passerelle IKE.

  3. Configurez les zones de sécurité, attribuez des interfaces aux zones et spécifiez les services système autorisés pour les zones de sécurité.

    Attribuez aux interfaces ge-0/0/3 et ge-0/0/4 respectivement les zones de confiance et de non-confiance. Assignez l’interface lo0.0 à la zone non approuvée pour vous connecter sur le réseau IP. Affectez l’interface ge-0/0/2 à la zone ICL. Vous utilisez cette zone pour configurer l’ICL. Attribuez l’interface de tunnel sécurisé à la zone de sécurité VPN.

  4. Configurez les détails du nœud local et du nœud pair, tels que l’ID du nœud, les adresses lP du nœud local et du nœud pair, et l’interface du nœud pair.

    Vous utiliserez l'interface ge-0/0/2 pour communiquer avec le nœud pair à l'aide de l'ICL.

  5. Attachez le profil VPN IPsec IPSEC_VPN_ICL au nœud homologue.

    Cette configuration vous sera nécessaire pour établir une liaison ICL sécurisée entre les nœuds.

  6. Configurez les options de protocole BFD (Bidirectional Forwarding Detection) pour le nœud homologue.

  7. Configurez les groupes de redondance des services SRG1 et SRG2.

    Dans cette étape, vous spécifiez le type de déploiement comme routage, car vous configurez la haute disponibilité multi-nœuds dans un réseau de couche 3.

  8. Configurez les paramètres de détermination de l’activité SRG1 et SRG2.

    SRG1

    SRG2

    Utilisez l’adresse IP flottante comme adresse IP source (10.11.0.1 pour SRG1 et 10.12.0.1 pour SRG2) et les adresses IP des routeurs en amont comme adresse IP de destination (10.111.0.1) pour la sonde de détermination de l’activité.

    Vous pouvez configurer jusqu’à 64 adresses IP pour la surveillance IP et les sondages d’activité. Le total de 64 adresses IP est la somme du nombre d’adresses IPv4 et IPv6)

  9. Configurez les paramètres de surveillance BFD pour le SRG1 et le SRG2 afin de détecter les défaillances du réseau.

    SRG1

    SRG2

  10. Configurez une route de signal active requise pour l’application de l’activité.

    SRG1

    SRG2

    Remarque : Vous devez spécifier la route de signal active ainsi que la stratégie route-exists dans l’instruction policy-options. Lorsque vous configurez la active-signal-route condition with if-route-exists, le module HA ajoute cette route à la table de routage.

  11. Créez une liste de préfixes IP en incluant l’adresse locale de la passerelle IKE et associez la liste de préfixes IP à SRG1 et SRG2 :

    SRG1

    SRG2

    Cette configuration ancre un certain tunnel VPN IPsec à un équipement de sécurité particulier.

  12. Activez le service VPN IPsec sur SRG1 et SRG2.

  13. Configurez les options VPN IPSec pour l’ICL.

    1. Définir la configuration d’Internet Key Exchange (IKE). Une configuration IKE définit les algorithmes et les clés utilisés pour établir une connexion sécurisée.

      Pour la fonctionnalité haute disponibilité multi-nœuds, vous devez configurer la version IKE comme suit : v2-only

    2. Spécifiez le protocole de proposition IPsec et l’algorithme de chiffrement. Spécifiez les options IPsec pour créer un tunnel IPsec entre deux appareils participants afin de sécuriser la communication VPN.

      Si vous spécifiez cette ha-link-encryption option, l’ICL est chiffré pour sécuriser le flux de trafic à haute disponibilité entre les nœuds.

      Le même nom VPN ICL_IPSEC_VPN doit être mentionné vpn_profile dans la set chassis high-availability peer-id <id> vpn-profile vpn_profile configuration.

  14. Configurez la stratégie de sécurité.

    Pour cet exemple, nous avons configuré une stratégie pour autoriser tout le trafic. Nous vous recommandons vivement de créer des stratégies de sécurité conformes aux exigences de votre réseau pour autoriser le trafic autorisé par votre stratégie d’organisation et refuser tout autre trafic. Nous avons utilisé la stratégie par défaut à des fins de démonstration uniquement dans cet exemple.

  15. Configurez les options de routage.

  16. Configurez les options de stratégie.

    Configurez la route du signal actif 10.39.1.1 (SRG1) et 10.49.1.1 (SRG2) avec la condition de correspondance de route (if-route-exists). La haute disponibilité multinodale ajoute cette route à la table de routage lorsque le nœud passe au rôle actif. Le nœud commence également à annoncer la route de préférence la plus élevée. Configurez la route du signal de secours (10.39.1.2 et 10.49.1.2) pour annoncer le nœud de secours avec une priorité moyenne. En cas de défaillance, la liaison haute disponibilité est interrompue et le nœud actif actuel libère son rôle principal et supprime la route de signal actif. Le nœud de secours détecte alors la condition via ses sondes et passe au rôle actif. La préférence de route est permutée pour diriger tout le trafic vers le nouveau nœud actif

  17. Configurez les options de sessions d’appairage BFD et spécifiez des minuteries de détection d’activité.

Configuration VPN IPsec (SRX-1 et SRX-2)

Procédez comme suit pour configurer la connexion VPN IPsec au pare-feu homologue de SRX Series. Dans cet exemple, vous allez placer toutes vos instructions de configuration VPN IPsec dans un groupe de configuration JUNOS nommé vpn_config.

  1. Créez un groupe vpn_config de configuration en haut de la configuration et configurez les détails spécifiques au VPN IPsec.

  2. Inclure l’instruction apply-groups dans la configuration pour hériter des instructions du groupe de configuration vpn_config,

Configuration (SRX-03) (périphérique homologue VPN)

Procédure étape par étape

  1. Créez la proposition IKE.

  2. Définir des stratégies IKE.

  3. Créez une passerelle IKE, définissez l’adresse, spécifiez les interfaces externes et la version.

  4. Créer des propositions IPsec.

  5. Créez des politiques IPsec.

  6. Spécifiez les références de proposition IPsec (passerelle IKE, stratégie IPsec, interface à lier et sélecteurs de trafic).

  7. Créez une stratégie de sécurité.

    Pour cet exemple, nous avons configuré une stratégie pour autoriser tout le trafic. Nous vous recommandons vivement de créer des stratégies de sécurité conformes aux exigences de votre réseau pour autoriser le trafic autorisé par votre stratégie d’organisation et refuser tout autre trafic. Nous avons utilisé la stratégie par défaut à des fins de démonstration uniquement dans cet exemple.

  8. Configurez les interfaces.

  9. Définissez des zones de sécurité et ajoutez des interfaces.

  10. Configurez les routes statiques.

Résultats (SRX-01)

En mode configuration, confirmez votre configuration en entrant les commandes suivantes.

Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.

Résultats (SRX-02)

En mode configuration, confirmez votre configuration en entrant les commandes suivantes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.

Sur vos appareils de sécurité, vous obtiendrez le message suivant vous demandant de redémarrer l'appareil :

Résultats (SRX-3) (appareil pair VPN)

En mode configuration, confirmez votre configuration en entrant les commandes suivantes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérifier les détails de la haute disponibilité multi nodale

Objet

Affichez et vérifiez les détails de la configuration de la haute disponibilité multi nœuds configurée sur votre équipement de sécurité.

Mesures à prendre

En mode opérationnel, exécutez la commande suivante :

Sur SRX-1

Sur SRX-2

Signification

Vérifiez ces détails à partir de la sortie de la commande :

  • Détails du nœud local et du nœud pair, tels que l’adresse IP et l’ID.

  • Le champ Encrypted: YES indique que le trafic est protégé.

  • Le champ Deployment Type: ROUTING indique une configuration en mode Couche 3, c’est-à-dire que le réseau comporte des routeurs des deux côtés.

  • Le champ Services Redundancy Group: 1 et Services Redundancy Group: 2 indiquer l’état du SRG1 et du SRG2 (actif ou de secours) sur ce nœud.

Vérifier les détails de la haute disponibilité multi nodale

Objet

Affichez et vérifiez les détails de la configuration de la haute disponibilité multi nœuds configurée sur votre équipement de sécurité.

Mesures à prendre

En mode opérationnel, exécutez la commande suivante :

Sur SRX-01

Signification

Vérifiez ces détails à partir de la sortie de la commande :

  • Le champ Services: [ IPSEC ] indique le VPN IPSec associé pour chaque SRG.

  • Les champs BFD Monitoring, Interface Monitoring, Split-brain Prevention Probe Info affichent les détails de la surveillance.

  • Les champs Cold Synchronization, SRG State Change Events fournissent des détails sur l’état actuel et les modifications récentes.

  • Le champ Services Redundancy Group: 1 et Services Redundancy Group: 2 indiquer l’état du SRG1 et du SRG2 (actif ou de secours) sur ce nœud.

Dans la sortie de la commande, les adresses IP telles que IP 180.100.1.2 sont générées en interne par Junos OS et ces adresses n’interfèrent pas avec les tables de routage.

Vérifier l’état du nœud homologue à haute disponibilité multinodale

Objet

Affichez et vérifiez les détails du nœud pair.

Mesures à prendre

À partir du mode opérationnel, exécutez la commande suivante sur SRX-01 et SRX-02 :

SRX-01

SRX-02

Signification

Vérifiez ces détails à partir de la sortie de la commande :

  • Détails du nœud homologue tels que l’interface utilisée, l’adresse IP et l’ID

  • État de chiffrement, état de connexion et état de synchronisation à froid

  • Statistiques de paquets sur le nœud.

Vérifier les groupes de redondance du service de haute disponibilité multinodale

Objet

Vérifiez que les SRG sont configurés et fonctionnent correctement.

Mesures à prendre

En mode opérationnel, exécutez la commande suivante sur les deux équipements de sécurité :

SRG1 sur SRX-02

SRG2 sur SRX-02

SRG1 sur SRX-01

SRG2 sur SRX-01

Signification

Vérifiez ces détails à partir de la sortie de la commande :

  • Détails du nœud pair tels que le type de déploiement, l’état, les routes des signaux actifs et de secours.

  • Sonde de prévention Split-Brain, surveillance IP et état de surveillance BFD.

  • Table des préfixes IP associés.

Vérifier l’état du chiffrement des liaisons interchâssis (ICL)

Objet

Vérifiez l’état de la liaison interchâssis (ICL).

Mesures à prendre

Exécutez la commande suivante sur SRX-01 :

Signification

La sortie de la commande fournit les informations suivantes :

  • Détails de la passerelle locale et de la passerelle distante.

  • Paire de SA IPsec pour chaque thread dans le PIC.

  • Mode de chiffrement des liens HA (comme indiqué dans la ligne suivante) :

  • Algorithmes d’authentification et de chiffrement utilisés

MISE EN GARDE :

La plage d’adresses IP (180.100.1.x) affichée dans la sortie de la commande sert de sélecteur de trafic ICL IPsec. Le système attribue dynamiquement cette plage d’adresses IP et il est essentiel de ne pas l’altérer ou la modifier. De plus, la détection de transfert bidirectionnel (BFD) sera automatiquement activée pour la plage IP 180.x.x.x.

Vérification des statistiques de tunnel de chiffrement des liens

Objet

Vérifiez les statistiques de tunnel de chiffrement des liens sur les nœuds actifs et de secours.

Mesures à prendre

Exécutez la commande suivante sur SRX-01 :

Signification

Si vous constatez des problèmes de perte de paquets sur un VPN, vous pouvez exécuter la show security ipsec statistics ha-link-encryption commande plusieurs fois pour vérifier que les compteurs de paquets chiffrés et déchiffrés s’incrémentent. Vous devez également vérifier si les autres compteurs d’erreurs s’incrémentent.

Utilisez la clear security ipsec security-associations ha-link-encryption commande pour effacer toutes les statistiques IPsec.

Vérifier les homologues actifs de la liaison interchâssis

Objet

Afficher uniquement les homologues actifs ICL, mais pas les homologues actifs IKE réguliers.

Mesures à prendre

Exécutez les commandes suivantes sur les périphériques SRX-01 et SRX-02 :

SRX-1

SRX-2

Signification

La sortie de commande affiche uniquement l’homologue actif de l’ICL avec des détails tels que les adresses et les ports d’homologue utilisés par l’homologue actif.

Confirmer l’état du VPN

Objet

Confirmez l’état VPN en vérifiant l’état de toutes les associations de sécurité IKE au niveau de la SSR.

Mesures à prendre

Exécutez les commandes suivantes sur SRX-1, SRX-2 et SRX-3 (appareil homologue VPN) :

SRX-01

SRX-02

SRX-3 (appareil homologue VPN)

Signification

Le résultat indique que :

  • Adresses IP des pairs distants.
  • L’affichage de l’état UP pour les deux pairs distants indique l’association réussie de l’établissement de la phase 1.
  • L’adresse IP du pair distant, la stratégie IKE et les interfaces externes sont correctes.

Afficher les détails de l’association de sécurité IPsec

Objet

Affichez les détails des SA IPsec individuelles identifiées par des ID SRG.

Mesures à prendre

Exécutez la commande suivante sur les pare-feu SRX Series :

SRX-1

SRX-02

SRX-03

Signification

La sortie affiche l’état du VPN.

Affichage des pairs actifs par SRG

Objet

Affichez la liste des homologues actifs connectés avec les adresses et les ports qu’ils utilisent.

Mesures à prendre

Exécutez les commandes suivantes sur les pare-feu SRX Series :

SRX-01

SRX-02

Signification

La sortie affiche la liste des appareils connectés avec des détails sur les adresses homologues et les ports utilisés.

Afficher le préfixe IP au mappage SRG

Objet

Afficher le préfixe IP aux informations de mappage SRG.

Mesures à prendre

Exécutez la commande suivante sur l’équipement SRX-01.

Signification

La sortie montre les préfixes d’adresses IP mappés aux SRG dans la configuration.

Afficher les informations de session BGP.

Objet

Affichez des informations récapitulatives sur le protocole BGP et ses voisins pour déterminer si des routes sont reçues des pairs.

Mesures à prendre

Exécutez les commandes suivantes sur les pare-feu SRX Series :

Appareil SRX-1

Appareil SRX-2

Signification

La sortie indique que la session BGP est établie et que les homologues échangent des messages de mise à jour.

Voir aussi