Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

보안 LAN 연결 확인

이제 로컬 브랜치 통신을 보호하기 위해 VLAN 및 보안 경찰을 구성했했으면 브랜치 VLAN 연결이 예상대로 작동하는지 신속하게 확인합니다. 검증 프로세스는 기본 연결을 검증하는 데 사용한 프로세스와 유사합니다. 주요 차이점은 현재 이러한 검증 단계는 특정 VLAN/보안 영역의 맥락에서 발생한다는 것입니다. 물론 VLAN 변경 사항을 감안할 때 LAN 포트 간의 완전한 연결은 더 이상 기대되지 않습니다.

LAN DHCP 서버 확인

SRX가 LAN 클라이언트에 IP 주소를 할당했는지 확인합니다.

디바이스는 이전 주소와 동일한 MAC 주소를 가지고 있지만(브랜치 SRX 기본 연결 참조), 이제 해당 VLAN 할당을 기반으로 서로 다른 IP 서브넷 및 IRB 장치와 연결됩니다. 디스플레이는 하나 이상의 디바이스가 , , guests및 VLAN에 vlan-trustcontractors 있는지 확인합니다. 이 출력은 DHCP 서버가 각 VLAN 내에서 제대로 작동한다는 것을 확인합니다.

VLAN 구성을 확인합니다.

출력은 및 contractors VLAN을 guests 올바르게 구성했다는 것을 확인합니다.

게스트 VLAN 확인

VLAN 및 영역의 디바이스가 guests 인터넷에 액세스할 수 있는지 확인합니다. www.juniper.net 위한 성공적인 핑으로 인터넷 액세스를 확인합니다. 브랜치 오피스 설계에서는 게스트가 HTTP/HTTPS 및 핑 트래픽만 인터넷에 보낼 수 있다고 명시되어 있습니다.

영역 디바이스가 CURL과 같은 명령줄 HTTP 클라이언트를 지원하는 경우 이를 사용하여 인터넷에 대한 HTTP 액세스를 확인합니다 guests . 디바이스에 GUI 인터페이스가 있는 경우 웹 브라우저를 항상 사용하여 웹 연결을 테스트할 수 있습니다.

인터넷에 연결된 머신을 찾아서 다른 모든 서비스, 즉 SSH, Telnet, FTP 등이 작동하지 않는지 확인하려고 애쓰지 않습니다. 여기에서 한 가지 옵션은 ICMP guests 를 영역에서 영역으로 허용하는 정책 규칙을 일시적으로 제거하는 것입니다 untrust . 일단 변경이 적용되면 핑(ping www.juniper.net )이 시간 초과해야 합니다.

게스트 디바이스가 guests 또는 contractors 영역에서 IRB 인터페이스를 ping할 수 없는지 확인하여 VLAN의 검증을 trust 완료합니다.

contractors 영역의 IRB 인터페이스에 trust 대한 핑은 예상대로 실패합니다. 표시되지는 않지만 게스트에서 또는 contractors 영역의 엔드 스테이션 trust 으로 시작된 핑도 실패합니다. 다시 말하겠지만, 영역 간에 트래픽이 흐를 수 있도록 허용하는 명시적 정책이 필요합니다. 게스트 사용자의 경우 사실상 유일한 보안 정책은 HTTP 및 핑 트래픽을 untrust 영역으로 허용하는 것입니다.

직원 VLAN 검증

해당 구역의 직원이 trust 인터넷에 액세스할 수 있는지 확인합니다.

직원이 계약자에게 ping을 할 수 있는지 확인합니다.

출력은 핑이 성공하지 못했다는 것을 보여줍니다. 이 문제를 디버그하는 방법에 대한 정보는 디버그 연결 문제(Debug Connectivity Issue )를 참조하십시오.

디버그 연결 문제

계약자에게 Ping을 할 수 없는 직원의 문제를 디버깅해 보죠. traceoptions를 사용하여 패킷이 영역에서 영역으로 이동할 때 패킷 플로우를 trust 디버깅합니다 contractors . 최소한 구성에는 traceoptions 대상 파일과 플래그가 포함되어야 합니다. 명령에 대한 file 인수는 추적 출력을 저장하는 파일 이름을 지정합니다. 명령에 대한 flag 인수는 추적할 이벤트 유형을 정의합니다.

추적이 활성화되면 영역에서 영역으로 contractors 핑을 trust 생성합니다. 핑이 실패하는 동안 CLI 명령을 스위치와 find 함께 사용하여 show log <log_name> 추적 로그 파일의 관심 영역을 신속하게 찾습니다.

강조 표시된 항목은 영역에서 영역으로 contractors 전송 trust 되는 테스트 트래픽이 누락되고 있음을 확인합니다. 이 메시지는 이 트래픽을 허용하는 정책이 없다는 것을 나타냅니다denied by policy default-policy-logical-system.

트래픽이 영역 사이를 이동하도록 허용하는 정책이 있어야 합니다. 영역과 영역 간의 원하는 트래픽 유형을 허용하는 보안 정책을 구성하려면 아래 구성을 trust contractors 추가합니다. 구성은 빠른 구성 세트 형식이므로 계층의 브랜치 SRX에 [edit] 간단히 붙여넣기만 하면 됩니다.

변경 사항을 커밋해야 합니다. 이제 영역에서 영역으로 핑 trustcontractors 성공해야합니다. 이제 디버깅이 완료된 후 보안 플로우 traceoptions 구성을 제거합니다.

계약자 VLAN

계약자가 또는 guests 영역의 클라이언트 trust 와 통신할 수 없는지 확인합니다.

IRB 인터페이스(irb.30)에 대한 핑만 성공해야 합니다. 업데이트된 DHCP 할당에 따라 클라이언트 IP 주소가 변경 될 수 있으므로 지정된 영역에 대해 IRB 인터페이스를 ping하여 영역 간 연결을 테스트하기로 결정합니다. 이 예에서 IRB 인터페이스에 할당된 IP 주소는 정적이므로 시간이 지남에 따라 변경되지 않습니다.

예상대로, 계약자 영역 디바이스에서 영역을 위한 IRB 인터페이스로 ping이 contractors 성공합니다. 이제, 및 guests 영역에 대한 연결이 부족했는지 trust 확인합니다. 이 예에서 IRB 인터페이스에 할당된 주소에 대한 자세한 내용은 보안 로컬 브랜치 연결을 참조하십시오.

출력은 192.168.30.1에 대한 ping(irb.30에 할당)만 성공적으로 됨을 보여줍니다. 이는 계약자가 및 guests 구역에 액세스할 수 없음을 trust 확인합니다.

계약자가 인터넷에 액세스할 수 없는지 확인합니다.

ping 시도가 호스트 이름 조회 실패 메시지를 반환합니다www.juniper.net. 이 브랜치 오피스에는 로컬 DNS 서버가 없으며 인터넷을 통해서만 연결할 수 있는 공용 DNS 서비스에 의존합니다. 호스트 이름을 해결하지 못한 것은 계약자가 인터넷 액세스에서 올바르게 차단되었음을 나타냅니다. 최종 확인으로 공용 DNS 서버를 IP 주소로 ping합니다. 다시 말하지만, 핑은 예상대로 실패합니다.

이를 통해 브랜치 오피스의 안전한 로컬 연결을 완전히 검증할 수 있습니다. 잘 했어요! 다음 단계에서는 인터넷을 통해 보안 연결을 설정하는 방법을 설명합니다.