Verificar su VPN IPsec
Ahora le mostraremos cómo confirmar rápidamente que su VPN IPsec basada en rutas está haciendo su trabajo de proteger sus datos confidenciales.
Confirmar el estado de la licencia
Las puertas de enlace de seguridad SRX tienen muchas funciones avanzadas. Por ejemplo, la inspección profunda de paquetes (DPI), el análisis de antivirus (AV) en tiempo real, el bloqueo de URL basado en la nube, etc. Algunas de estas funciones requieren una licencia. Muchos usan un modelo de licencia duro, lo que significa que la función está deshabilitada hasta que agregue la licencia necesaria. Sin embargo, es posible que pueda configurar la función sin recibir ningún tipo de advertencia de licencia. Para obtener más información acerca de las licencias basadas en funciones, consulte Licencias para la serie SRX. Para obtener más información acerca de las licencias basadas en suscripciones, consulte Licencia de software flexible para dispositivos de la serie SRX.
Siempre es una buena idea mostrar el estado de la licencia de su SRX, especialmente cuando se agregan nuevas funciones, como la VPN IPsec que acaba de mostrar.
root@branch-srx> show system license
License usage:
Licenses Licenses Licenses Expiry
Feature name used installed needed
remote-access-ipsec-vpn-client 0 2 0 permanent
remote-access-juniper-std 0 2 0 permanent
Licenses installed: none
El resultado es una buena noticia. Muestra que no existen licencias específicas en el dispositivo. También confirma que ninguna de las funciones configuradas requiere ninguna licencia adicional especial. La licencia de modelo base para el SRX de sucursal incluye compatibilidad con VLAN, servicios DHCP y VPN de IPsec básicas.
Verificar sesión de ICR
Verifique que el SRX haya establecido correctamente una asociación de ICR con el sitio remoto:
root@branch-srx> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 3318115 UP 2ed75d71d9aeb5c5 680391201477e65b Aggressive 172.16.1.1
El resultado muestra una sesión IKE establecida en el sitio remoto en 172.16.1.1.
Verificar el túnel IPsec
Verificar el establecimiento del túnel IPsec:
root@branch-srx> show security ipsec security-associations
Total active tunnels: 1 Total Ipsec sas: 1
ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway
<131073 ESP:3des/sha1 4f03e41c 947/ unlim - root 500 172.16.1.1
>131073 ESP:3des/sha1 70565ffd 947/ unlim - root 500 172.16.1.1
El resultado confirma el establecimiento de la sesión de ICR en el sitio remoto en 172.16.1.1.
Verificar el estado de la interfaz de túnel
Verifique que la interfaz de túnel esté operativa (y que debe estar operativa, dado que se ha establecido correctamente el túnel IPsec). Además, compruebe que puede hacer ping al punto de conexión del túnel remoto:
root@branch-srx> show interfaces terse st0
Interface Admin Link Proto Local Remote
st0 up up
st0.0 up up inet 10.0.0.1/24
root@branch-srx> show route 10.0.0.2
inet.0: 19 destinations, 19 routes (19 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.0.0.0/24 *[Direct/0] 00:11:19
> via st0.0
root@branch-srx> ping 10.0.0.2 count 2
PING 10.0.0.2 (10.0.0.2): 56 data bytes
64 bytes from 10.0.0.2: icmp_seq=0 ttl=64 time=17.862 ms
64 bytes from 10.0.0.2: icmp_seq=1 ttl=64 time=2.318 ms
--- 10.0.0.2 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 2.318/10.090/17.862/7.772 ms
Verificar el enrutamiento estático para el túnel IPsec
Verifique que la ruta (estática) a la subred remota apunte correctamente a la interfaz de túnel IPsec como siguiente salto:
root@branch-srx> show route 172.16.200.0
inet.0: 16 destinations, 16 routes (16 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
172.16.200.0/24 *[Static/5] 00:45:52
> via st0.0
Verificar que el tráfico de la zona de confianza utilice el túnel
Genere tráfico desde un dispositivo de zona de confianza a un destino en la subred 172.16.200.0/24. Asignamos la dirección 172.16.200.1/32 a la interfaz de circuito cerrado de la ubicación remota y la colocamos en la vpn zona. Esta dirección proporciona un destino al ping. Si todo funciona, estos pings deberían tener éxito.
Para confirmar que este tráfico usa la VPN IPsec, siga estos pasos.
- Desactive las estadísticas del túnel IPsec.
root@branch-srx> clear security ipsec statistics - Genere un número conocido de pings al destino 172.16.200.1 desde un cliente de zona de confianza.
user@trust-device> ping 172.16.200.1 count 100 rapid PING 172.16.200.1 (172.16.200.1): 56 data bytes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! --- 172.16.200.1 ping statistics --- 100 packets transmitted, 100 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.895/1.062/2.322/0.326 ms
- Muestra estadísticas de uso de túnel.
root@branch-srx> show security ipsec statistics ESP Statistics: Encrypted bytes: 13600 Decrypted bytes: 8400 Encrypted packets: 100 Decrypted packets: 100 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Esto completa la verificación de la VPN IPsec. ¡Enhorabuena por la nueva ubicación de la sucursal!