SRX - Route-based VPN



 ◆ SRX - Route-based VPNの設定例


    


 【 SRX1 】



 【 SRX2 】


 ※ set security flow tcp-mss ipsec-vpn mss XXXコマンドで、WAN環境に合わせて適切なMSSを設定しましょう。


 ◆ IKEフェーズ 1 のステータス確認

 ISAKMP SAは以下のコマンドでStateが「
UP」であるか、Remote Addressが正しいを確認しましょう。

 ・ run show security ike security-associations コマンド
 ・ run show security ike security-associations detail コマンド

 



 ◆ IKEフェーズ 2 のステータス確認

 IPSEC SAは以下のコマンドで「inbound SA」と「outbound SA」の両方が作成できているかを確認!

 ・ run show security ipsec security-associations コマンド
 ・ run show security ipsec security-associations detail コマンド

 


 


 ◆ IKEフェーズ 2の暗号 ・ 復号の統計確認

 run show security ipsec statisticsコマンドにより、暗号と復号トラフィックの統計情報を確認できます。
 PINGのトラフィックのみである場合、以下のように対称性のある統計情報となります。

 


 


 なお、set security ike traceoptions flag ike と set security ike traceoptions flag all を入力した場合は
 IKEのデバッグログは /var/log/kmd に蓄積されていきます。これらは show log kmd にて確認できます。
 IKE debug logをリアルタイムでモニターしたい場合 monitor start kmd を実行。monitor stop kmdで停止。



Juniper SRX - 設定コマンド解説

Copyright(C) 2002-2024 ネットワークエンジニアとして All Rights Reserved