Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPsec VPN の検証

次に、ルートベースの IPsec VPN が機密データを保護する役割を果たしていることを迅速に確認する方法をご紹介します。

ライセンスステータスの確認

SRX セキュリティ ゲートウェイには、多くの高度な機能があります。たとえば、ディープ パケット インスペクション(DPI)、リアルタイム アンチウィルス(AV)スキャン、クラウドベースの URL ブロックなどです。一部の機能にはライセンスが必要です。多くのユーザーがハード ライセンス モデルを使用しているため、必要なライセンスを追加するまでこの機能は無効になっています。ただし、ライセンスに関する警告を受け取ることなく、この機能を設定できる場合があります。機能ベースライセンスの詳細については、 SRXシリーズのライセンスを参照してください。サブスクリプションベースライセンスの詳細については、 SRXシリーズデバイス用フレックスソフトウェアライセンスを参照してください。

SRX のライセンス ステータスを表示するのは常に良い方法です。特に、設定したばかりの IPsec VPN などの新機能を追加する場合は、そのステータスを表示することをお勧めします。

出力は良いニュースです。デバイスに特定のライセンスが存在しないことを示しています。また、構成された機能のいずれも特別なアドオン ライセンスを必要としていないことも確認します。支社向け SRX のベース モデル ライセンスには、VLAN、DHCP サービス、および基本的な IPsec VPN のサポートが含まれています。

IKEセッションの確認

SRXがリモートサイトとのIKEアソシエーションを正常に確立したことを確認します。

この出力は、172.16.1.1.1でリモートサイトへの確立されたIKEセッションを示しています。

IPsecトンネルの検証

IPsecトンネルの確立を確認します。

出力は、172.16.1.1.1でのリモートサイトへのIKEセッション確立を確認します。

トンネルインターフェイスステータスの確認

トンネルインターフェイスが動作していることを確認します(また、IPsecトンネルの確立が成功した場合は、動作している必要があります)。また、リモートトンネルエンドポイントに ping を実行できることを確認します。

IPsecトンネルの静的ルーティングの検証

リモートサブネットへの(静的)ルートが、ネクストホップとしてIPsecトンネルインターフェイスを正しく指していることを確認します。

信頼ゾーンのトラフィックがトンネルを使用しているかどうかを確認する

trustゾーンデバイスから172.16.200.0/24サブネット内の宛先へのトラフィックを生成します。リモートロケーションのループバックインターフェイスにアドレス172.16.200.1/32を割り当て、ゾーンに vpn 配置しました。このアドレスは、ping のターゲットを提供します。すべてが正常に機能している場合、これらの ping は成功するはずです。

このトラフィックが IPsec VPN を使用していることを確認するには、次の手順に従います。

  1. IPsec トンネルの統計をクリアします。
  2. trust ゾーン クライアントから宛先 172.16.200.1 への既知の ping 数を生成します。
  3. トンネル使用統計を表示します。

これにより、IPsec VPNの検証が完了します。支社/拠点の開設おめでとうございます!