보안 LAN 연결 확인
이제 로컬 브랜치 통신을 보호하기 위해 VLAN 및 보안 경찰을 구성했했으면 브랜치 VLAN 연결이 예상대로 작동하는지 신속하게 확인합니다. 검증 프로세스는 기본 연결을 검증하는 데 사용한 프로세스와 유사합니다. 주요 차이점은 현재 이러한 검증 단계는 특정 VLAN/보안 영역의 맥락에서 발생한다는 것입니다. 물론 VLAN 변경 사항을 감안할 때 LAN 포트 간의 완전한 연결은 더 이상 기대되지 않습니다.
LAN DHCP 서버 확인
SRX가 LAN 클라이언트에 IP 주소를 할당했는지 확인합니다.
root@branch-srx> show dhcp server binding IP address Session Id Hardware address Expires State Interface 192.168.30.10 3543 08:81:f4:82:a4:5c 46482 BOUND irb.30 192.168.2.8 3538 08:81:f4:8a:eb:51 61414 BOUND irb.0 192.168.20.10 3542 20:4e:71:a6:a7:01 46622 BOUND irb.20 192.168.20.11 3544 d4:20:b0:00:c3:37 46621 BOUND irb.20
디바이스는 이전 주소와 동일한 MAC 주소를 가지고 있지만(브랜치 SRX 기본 연결 참조), 이제 해당 VLAN 할당을 기반으로 서로 다른 IP 서브넷 및 IRB 장치와 연결됩니다. 디스플레이는 하나 이상의 디바이스가 , , guests및 VLAN에 vlan-trustcontractors 있는지 확인합니다. 이 출력은 DHCP 서버가 각 VLAN 내에서 제대로 작동한다는 것을 확인합니다.
VLAN 구성을 확인합니다.
root@branch-srx> show vlans Routing instance VLAN name Tag Interfaces default-switch contractors 30 ge-0/0/3.0* default-switch default 1 default-switch guests 20 ge-0/0/1.0* default-switch vlan-trust 3 ge-0/0/2.0* ...
출력은 및 contractors VLAN을 guests 올바르게 구성했다는 것을 확인합니다.
게스트 VLAN 확인
VLAN 및 영역의 디바이스가 guests 인터넷에 액세스할 수 있는지 확인합니다. www.juniper.net 위한 성공적인 핑으로 인터넷 액세스를 확인합니다. 브랜치 오피스 설계에서는 게스트가 HTTP/HTTPS 및 핑 트래픽만 인터넷에 보낼 수 있다고 명시되어 있습니다.
user@guest-device> ping www.juniper.net inet count 2 PING e1824.dscb.akamaiedge.net (104.100.54.237): 56 data bytes 64 bytes from 104.100.54.237: icmp_seq=0 ttl=46 time=5.323 ms 64 bytes from 104.100.54.237: icmp_seq=1 ttl=46 time=6.204 ms --- e1824.dscb.akamaiedge.net ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 5.323/5.764/6.204/0.441 ms
영역 디바이스가 CURL과 같은 명령줄 HTTP 클라이언트를 지원하는 경우 이를 사용하여 인터넷에 대한 HTTP 액세스를 확인합니다 guests . 디바이스에 GUI 인터페이스가 있는 경우 웹 브라우저를 항상 사용하여 웹 연결을 테스트할 수 있습니다.
user@guest-device curl --head www.juniper.net HTTP/1.1 301 Moved Permanently Content-Type: text/html Location: https://www.juniper.net/ Content-Length: 0 Date: Mon, 18 Apr 2022 22:32:15 GMT Connection: keep-alive
인터넷에 연결된 머신을 찾아서 다른 모든 서비스, 즉 SSH, Telnet, FTP 등이 작동하지 않는지 확인하려고 애쓰지 않습니다. 여기에서 한 가지 옵션은 ICMP guests 를 영역에서 영역으로 허용하는 정책 규칙을 일시적으로 제거하는 것입니다 untrust . 일단 변경이 적용되면 핑(ping www.juniper.net )이 시간 초과해야 합니다.
게스트 디바이스가 guests 또는 contractors 영역에서 IRB 인터페이스를 ping할 수 없는지 확인하여 VLAN의 검증을 trust 완료합니다.
user@guest-device> ping 192.168.2.1 count 1 PING 192.168.2.1 (192.168.2.1): 56 data bytes --- 192.168.2.1 ping statistics --- 1 packets transmitted, 0 packets received, 100% packet loss user@guest-device ping 192.168.30.1 count 1 PING 192.168.30.1 (192.168.30.1): 56 data bytes --- 192.168.30.1 ping statistics --- 1 packets transmitted, 0 packets received, 100% packet loss
및 contractors 영역의 IRB 인터페이스에 trust 대한 핑은 예상대로 실패합니다. 표시되지는 않지만 게스트에서 또는 contractors 영역의 엔드 스테이션 trust 으로 시작된 핑도 실패합니다. 다시 말하겠지만, 영역 간에 트래픽이 흐를 수 있도록 허용하는 명시적 정책이 필요합니다. 게스트 사용자의 경우 사실상 유일한 보안 정책은 HTTP 및 핑 트래픽을 untrust 영역으로 허용하는 것입니다.
직원 VLAN 검증
해당 구역의 직원이 trust 인터넷에 액세스할 수 있는지 확인합니다.
user@employee-device> ping www.juniper.net inet count 2 PING e1824.dscb.akamaiedge.net (104.100.54.237): 56 data bytes 64 bytes from 104.100.54.237: icmp_seq=0 ttl=44 time=4.762 ms 64 bytes from 104.100.54.237: icmp_seq=1 ttl=44 time=5.075 ms --- e1824.dscb.akamaiedge.net ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.762/4.918/5.075/0.157 ms
직원이 계약자에게 ping을 할 수 있는지 확인합니다.
user@employee-device> ping 192.168.30.10 PING 192.168.30.10 (192.168.30.10): 56 data bytes --- 192.168.30.10 ping statistics --- 38 packets transmitted, 0 packets received, 100% packet loss
출력은 핑이 성공하지 못했다는 것을 보여줍니다. 이 문제를 디버그하는 방법에 대한 정보는 디버그 연결 문제(Debug Connectivity Issue )를 참조하십시오.
디버그 연결 문제
계약자에게 Ping을 할 수 없는 직원의 문제를 디버깅해 보죠. traceoptions를 사용하여 패킷이 영역에서 영역으로 이동할 때 패킷 플로우를 trust 디버깅합니다 contractors . 최소한 구성에는 traceoptions
대상 파일과 플래그가 포함되어야 합니다. 명령에 대한 file
인수는 추적 출력을 저장하는 파일 이름을 지정합니다. 명령에 대한 flag
인수는 추적할 이벤트 유형을 정의합니다.
[edit] root@branch-srx# set security flow traceoptions file flow-debug root@branch-srx# set security flow traceoptions flag basic-datapath root@branch-srx# commit
추적이 활성화되면 영역에서 영역으로 contractors 핑을 trust 생성합니다. 핑이 실패하는 동안 CLI 명령을 스위치와 find
함께 사용하여 show log <log_name>
추적 로그 파일의 관심 영역을 신속하게 찾습니다.
root@branch-srx> show log flow-debug | find 192.168.30 Apr 20 03:22:36 03:22:36.712246:CID-0:RT:flow_ipv4_rt_lkup success 192.168.30.1, iifl 0x48, oifl 0x0 Apr 20 03:22:36 03:22:36.712246:CID-0:RT:flow_first_routing: setting out_vrf_id in lpak to 0, grp 0 Apr 20 03:22:36 03:22:36.712246:CID-0:RT:Changing out-ifp from .local..0 to irb.30 for dst: 192.168.30.1 in vr_id:0 Apr 20 03:22:36 03:22:36.712246:CID-0:RT: routed (x_dst_ip 192.168.30.1) from trust (irb.0 in 0) to irb.30, Next-hop: 192.168.30.1 Apr 20 03:22:36 03:22:36.712246:CID-0:RT:Policy lkup: vsys 0 zone(7:trust) -> zone(9:contractors) scope:0 src vrf (0) dsv vrf (0) scope:0 Apr 20 03:22:36 03:22:36.712246:CID-0:RT: 192.168.2.2/2048 -> 192.168.30.1/34912 proto 1 Apr 20 03:22:36 03:22:36.712246:CID-0:RT:Policy lkup: vsys 0 zone(5:global) -> zone(5:global) scope:0 src vrf (0) dsv vrf (0) scope:34912 Apr 20 03:22:36 03:22:36.712246:CID-0:RT: 192.168.2.2/2048 -> 192.168.30.1/34912 proto 1 Apr 20 03:22:36 03:22:36.712246:CID-0:RT:flow_first_policy_search: policy search from zone trust-> zone contractors (0x0,0x3d56010a,0x10a), result: 0xfa3c538, pending: 0? Apr 20 03:22:36 03:22:36.712246:CID-0:RT:flow_first_policy_search: dynapp_none_policy: TRUE, uc_none_policy: TRUE, is_final: 0x0, is_explicit: 0x0, policy_meta_data: 0x0 Apr 20 03:22:36 03:22:36.712246:CID-0:RT: app 0, timeout 60s, curr ageout 60s Apr 20 03:22:36 03:22:36.712246:CID-0:RT: packet dropped, denied by policy Apr 20 03:22:36 03:22:36.712246:CID-0:RT: denied by policy default-policy-logical-system-00(2), dropping pkt Apr 20 03:22:36 03:22:36.712246:CID-0:RT: packet dropped, policy deny. . . .
강조 표시된 항목은 영역에서 영역으로 contractors 전송 trust 되는 테스트 트래픽이 누락되고 있음을 확인합니다. 이 메시지는 이 트래픽을 허용하는 정책이 없다는 것을 나타냅니다denied by policy default-policy-logical-system
.
트래픽이 영역 사이를 이동하도록 허용하는 정책이 있어야 합니다. 영역과 영역 간의 원하는 트래픽 유형을 허용하는 보안 정책을 구성하려면 아래 구성을 trust contractors 추가합니다. 구성은 빠른 구성 세트 형식이므로 계층의 브랜치 SRX에 [edit]
간단히 붙여넣기만 하면 됩니다.
set security policies from-zone trust to-zone contractors policy trust-to-contractors match source-address any set security policies from-zone trust to-zone contractors policy trust-to-contractors match destination-address any set security policies from-zone trust to-zone contractors policy trust-to-contractors match application junos-http set security policies from-zone trust to-zone contractors policy trust-to-contractors match application junos-ping set security policies from-zone trust to-zone contractors policy trust-to-contractors then permit
변경 사항을 커밋해야 합니다. 이제 영역에서 영역으로 핑 trust 이 contractors 성공해야합니다. 이제 디버깅이 완료된 후 보안 플로우 traceoptions 구성을 제거합니다.
[edit] root@branch-srx# delete security flow traceoptions root@branch-srx# commit
계약자 VLAN
계약자가 또는 guests 영역의 클라이언트 trust 와 통신할 수 없는지 확인합니다.
IRB 인터페이스(irb.30)에 대한 핑만 성공해야 합니다. 업데이트된 DHCP 할당에 따라 클라이언트 IP 주소가 변경 될 수 있으므로 지정된 영역에 대해 IRB 인터페이스를 ping하여 영역 간 연결을 테스트하기로 결정합니다. 이 예에서 IRB 인터페이스에 할당된 IP 주소는 정적이므로 시간이 지남에 따라 변경되지 않습니다.
user@contractor-device> ping 192.168.30.1 count 2 PING 192.168.30.1 (192.168.30.1): 56 data bytes 64 bytes from 192.168.30.1: icmp_seq=0 ttl=64 time=0.929 ms 64 bytes from 192.168.30.1: icmp_seq=1 ttl=64 time=0.864 ms --- 192.168.30.1 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.829/0.866/0.929/0.036 ms
예상대로, 계약자 영역 디바이스에서 영역을 위한 IRB 인터페이스로 ping이 contractors 성공합니다. 이제, 및 guests 영역에 대한 연결이 부족했는지 trust 확인합니다. 이 예에서 IRB 인터페이스에 할당된 주소에 대한 자세한 내용은 보안 로컬 브랜치 연결을 참조하십시오.
user@contractor-device> ping 192.168.2.1 count 2 PING 192.168.2.1 (192.168.2.1): 56 data bytes --- 192.168.2.1 ping statistics --- 2 packets transmitted, 0 packets received, 100% packet loss
user@contractor-device> ping 192.168.20.1 count 2 PING 192.168.20.1 (192.168.20.1): 56 data bytes --- 192.168.20.1 ping statistics --- 2 packets transmitted, 0 packets received, 100% packet loss
출력은 192.168.30.1에 대한 ping(irb.30에 할당)만 성공적으로 됨을 보여줍니다. 이는 계약자가 및 guests 구역에 액세스할 수 없음을 trust 확인합니다.
계약자가 인터넷에 액세스할 수 없는지 확인합니다.
user@contractor-device> ping www.juniper.net inet count 1 ping: cannot resolve www.juniper.net: Host name lookup failure user@contractor-device> ping 8.8.8.8 count 1 PING 8.8.8.8 (8.8.8.8): 56 data bytes --- 8.8.8.8 ping statistics --- 1 packets transmitted, 0 packets received, 100% packet loss
ping 시도가 호스트 이름 조회 실패 메시지를 반환합니다www.juniper.net. 이 브랜치 오피스에는 로컬 DNS 서버가 없으며 인터넷을 통해서만 연결할 수 있는 공용 DNS 서비스에 의존합니다. 호스트 이름을 해결하지 못한 것은 계약자가 인터넷 액세스에서 올바르게 차단되었음을 나타냅니다. 최종 확인으로 공용 DNS 서버를 IP 주소로 ping합니다. 다시 말하지만, 핑은 예상대로 실패합니다.
이를 통해 브랜치 오피스의 안전한 로컬 연결을 완전히 검증할 수 있습니다. 잘 했어요! 다음 단계에서는 인터넷을 통해 보안 연결을 설정하는 방법을 설명합니다.