IPsec VPN の検証
次に、ルートベースの IPsec VPN が機密データを保護する役割を果たしていることを迅速に確認する方法をご紹介します。
ライセンスステータスの確認
SRX セキュリティ ゲートウェイには、多くの高度な機能があります。たとえば、ディープ パケット インスペクション(DPI)、リアルタイム アンチウィルス(AV)スキャン、クラウドベースの URL ブロックなどです。一部の機能にはライセンスが必要です。多くのユーザーがハード ライセンス モデルを使用しているため、必要なライセンスを追加するまでこの機能は無効になっています。ただし、ライセンスに関する警告を受け取ることなく、この機能を設定できる場合があります。機能ベースライセンスの詳細については、 SRXシリーズのライセンスを参照してください。サブスクリプションベースライセンスの詳細については、 SRXシリーズデバイス用フレックスソフトウェアライセンスを参照してください。
SRX のライセンス ステータスを表示するのは常に良い方法です。特に、設定したばかりの IPsec VPN などの新機能を追加する場合は、そのステータスを表示することをお勧めします。
root@branch-srx> show system license License usage: Licenses Licenses Licenses Expiry Feature name used installed needed remote-access-ipsec-vpn-client 0 2 0 permanent remote-access-juniper-std 0 2 0 permanent Licenses installed: none
出力は良いニュースです。デバイスに特定のライセンスが存在しないことを示しています。また、構成された機能のいずれも特別なアドオン ライセンスを必要としていないことも確認します。支社向け SRX のベース モデル ライセンスには、VLAN、DHCP サービス、および基本的な IPsec VPN のサポートが含まれています。
IKEセッションの確認
SRXがリモートサイトとのIKEアソシエーションを正常に確立したことを確認します。
root@branch-srx> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 3318115 UP 2ed75d71d9aeb5c5 680391201477e65b Aggressive 172.16.1.1
この出力は、172.16.1.1.1でリモートサイトへの確立されたIKEセッションを示しています。
IPsecトンネルの検証
IPsecトンネルの確立を確認します。
root@branch-srx> show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131073 ESP:3des/sha1 4f03e41c 947/ unlim - root 500 172.16.1.1 >131073 ESP:3des/sha1 70565ffd 947/ unlim - root 500 172.16.1.1
出力は、172.16.1.1.1でのリモートサイトへのIKEセッション確立を確認します。
トンネルインターフェイスステータスの確認
トンネルインターフェイスが動作していることを確認します(また、IPsecトンネルの確立が成功した場合は、動作している必要があります)。また、リモートトンネルエンドポイントに ping を実行できることを確認します。
root@branch-srx> show interfaces terse st0 Interface Admin Link Proto Local Remote st0 up up st0.0 up up inet 10.0.0.1/24 root@branch-srx> show route 10.0.0.2 inet.0: 19 destinations, 19 routes (19 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 10.0.0.0/24 *[Direct/0] 00:11:19 > via st0.0 root@branch-srx> ping 10.0.0.2 count 2 PING 10.0.0.2 (10.0.0.2): 56 data bytes 64 bytes from 10.0.0.2: icmp_seq=0 ttl=64 time=17.862 ms 64 bytes from 10.0.0.2: icmp_seq=1 ttl=64 time=2.318 ms --- 10.0.0.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 2.318/10.090/17.862/7.772 ms
IPsecトンネルの静的ルーティングの検証
リモートサブネットへの(静的)ルートが、ネクストホップとしてIPsecトンネルインターフェイスを正しく指していることを確認します。
root@branch-srx> show route 172.16.200.0 inet.0: 16 destinations, 16 routes (16 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 172.16.200.0/24 *[Static/5] 00:45:52 > via st0.0
信頼ゾーンのトラフィックがトンネルを使用しているかどうかを確認する
trustゾーンデバイスから172.16.200.0/24サブネット内の宛先へのトラフィックを生成します。リモートロケーションのループバックインターフェイスにアドレス172.16.200.1/32を割り当て、ゾーンに vpn 配置しました。このアドレスは、ping のターゲットを提供します。すべてが正常に機能している場合、これらの ping は成功するはずです。
このトラフィックが IPsec VPN を使用していることを確認するには、次の手順に従います。
- IPsec トンネルの統計をクリアします。
root@branch-srx> clear security ipsec statistics
- trust ゾーン クライアントから宛先 172.16.200.1 への既知の ping 数を生成します。
user@trust-device> ping 172.16.200.1 count 100 rapid PING 172.16.200.1 (172.16.200.1): 56 data bytes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! --- 172.16.200.1 ping statistics --- 100 packets transmitted, 100 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.895/1.062/2.322/0.326 ms
- トンネル使用統計を表示します。
root@branch-srx> show security ipsec statistics ESP Statistics: Encrypted bytes: 13600 Decrypted bytes: 8400 Encrypted packets: 100 Decrypted packets: 100 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
これにより、IPsec VPNの検証が完了します。支社/拠点の開設おめでとうございます!