IPsec VPN 확인
이제 라우팅 기반 IPsec VPN이 민감한 데이터를 보호하는 역할을 수행하는지 신속하게 확인하는 방법을 보여 드리겠습니다.
라이선싱 상태 확인
SRX 보안 게이트웨이에는 다양한 고급 기능이 있습니다. 예를 들어 DPI(심층 패킷 검사), 실시간 바이러스 차단(AV) 검사, 클라우드 기반 URL 차단 등을 들 수 있습니다. 이러한 기능 중 일부는 라이선스가 필요합니다. 많은 사람들이 하드 라이선싱 모델을 사용하며, 이는 필요한 라이선스를 추가할 때까지 기능이 비활성화됨을 의미합니다. 그러나 어떤 유형의 라이선스 경고도 받지 않고도 기능을 구성할 수 있습니다. 기능 기반 라이선스에 대한 자세한 내용은 SRX 시리즈 라이선스를 참조하십시오. 구독 기반 라이선스에 대한 자세한 내용은 SRX 시리즈 디바이스용 Flex 소프트웨어 라이선스를 참조하십시오.
특히 방금 설정하신 IPsec VPN과 같은 새로운 기능을 추가할 때 SRX의 라이선스 상태를 표시하는 것이 좋습니다.
root@branch-srx> show system license
License usage:
Licenses Licenses Licenses Expiry
Feature name used installed needed
remote-access-ipsec-vpn-client 0 2 0 permanent
remote-access-juniper-std 0 2 0 permanent
Licenses installed: none
출력은 좋은 소식입니다. 디바이스에 특정 라이선스가 존재하지 않음을 보여줍니다. 또한 구성된 기능 중 어느 것도 특별한 추가 라이선싱을 요구하지 않는다는 것을 확인합니다. 브랜치 SRX의 기본 모델 라이선스에는 VLAN, DHCP 서비스 및 기본 IPsec VPN에 대한 지원이 포함됩니다.
IKE 세션 검증
SRX가 원격 사이트와 IKE 연결을 성공적으로 구축했는지 확인합니다.
root@branch-srx> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 3318115 UP 2ed75d71d9aeb5c5 680391201477e65b Aggressive 172.16.1.1
출력은 172.16.1.1에서 원격 사이트로 설정된 IKE 세션을 보여줍니다.
IPsec 터널 확인
IPsec 터널 설정 확인:
root@branch-srx> show security ipsec security-associations
Total active tunnels: 1 Total Ipsec sas: 1
ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway
<131073 ESP:3des/sha1 4f03e41c 947/ unlim - root 500 172.16.1.1
>131073 ESP:3des/sha1 70565ffd 947/ unlim - root 500 172.16.1.1
출력은 172.16.1.1에서 원격 사이트에 IKE 세션 설정이 확인됩니다.
터널 인터페이스 상태 검증
터널 인터페이스가 작동 중인지 확인(IPsec 터널의 성공적인 구축을 고려하면 반드시 작동해야 함). 또한 원격 터널 엔드포인트에 핑(ping)이 가능한지 확인합니다.
root@branch-srx> show interfaces terse st0
Interface Admin Link Proto Local Remote
st0 up up
st0.0 up up inet 10.0.0.1/24
root@branch-srx> show route 10.0.0.2
inet.0: 19 destinations, 19 routes (19 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.0.0.0/24 *[Direct/0] 00:11:19
> via st0.0
root@branch-srx> ping 10.0.0.2 count 2
PING 10.0.0.2 (10.0.0.2): 56 data bytes
64 bytes from 10.0.0.2: icmp_seq=0 ttl=64 time=17.862 ms
64 bytes from 10.0.0.2: icmp_seq=1 ttl=64 time=2.318 ms
--- 10.0.0.2 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 2.318/10.090/17.862/7.772 ms
IPsec 터널에 대한 정적 라우팅 검증
원격 서브넷으로의 (정적) 경로가 IPsec 터널 인터페이스를 다음 홉으로 올바르게 가리키는지 확인합니다.
root@branch-srx> show route 172.16.200.0
inet.0: 16 destinations, 16 routes (16 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
172.16.200.0/24 *[Static/5] 00:45:52
> via st0.0
트러스트 존 트래픽이 터널을 사용하는지 확인
172.16.200.0/24 서브넷에서 트러스트 존 디바이스에서 대상으로 트래픽을 생성합니다. 주소 172.16.200.1/32를 원격 위치의 루프백 인터페이스에 할당하여 존에 vpn 배치했습니다. 이 주소는 핑에 대한 대상을 제공합니다. 모든 핑이 작동하면 이러한 핑이 성공해야 합니다.
이 트래픽이 IPsec VPN을 사용하고 있는지 확인하려면 다음 단계를 따르십시오.
- IPsec 터널에 대한 통계를 지우십시오.
root@branch-srx> clear security ipsec statistics - 트러스트 존 클라이언트에서 172.16.200.1 대상으로 알려진 핑 수를 생성합니다.
user@trust-device> ping 172.16.200.1 count 100 rapid PING 172.16.200.1 (172.16.200.1): 56 data bytes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! --- 172.16.200.1 ping statistics --- 100 packets transmitted, 100 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.895/1.062/2.322/0.326 ms
- 터널 사용 통계를 표시합니다.
root@branch-srx> show security ipsec statistics ESP Statistics: Encrypted bytes: 13600 Decrypted bytes: 8400 Encrypted packets: 100 Decrypted packets: 100 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
이는 IPsec VPN의 검증을 완료합니다. 새로운 지사를 설립하게 된 것을 축하드립니다!