|
◆ SRX - Route-based VPNの設定例
【 SRX1 】
【 SRX2 】
※ set security flow tcp-mss ipsec-vpn mss XXXコマンドで、WAN環境に合わせて適切なMSSを設定しましょう。
◆ IKEフェーズ 1 のステータス確認
ISAKMP SAは以下のコマンドでStateが「UP」であるか、Remote Addressが正しいを確認しましょう。
・ run show security ike security-associations コマンド
・ run show security ike security-associations detail コマンド
◆ IKEフェーズ 2 のステータス確認
IPSEC SAは以下のコマンドで「inbound SA」と「outbound SA」の両方が作成できているかを確認!
・ run show security ipsec security-associations コマンド
・ run show security ipsec security-associations detail コマンド
◆ IKEフェーズ 2の暗号 ・ 復号の統計確認
run show security ipsec statisticsコマンドにより、暗号と復号トラフィックの統計情報を確認できます。
PINGのトラフィックのみである場合、以下のように対称性のある統計情報となります。
なお、set security ike traceoptions flag ike と set security ike traceoptions flag all を入力した場合は
IKEのデバッグログは /var/log/kmd に蓄積されていきます。これらは show log kmd にて確認できます。
IKE debug logをリアルタイムでモニターしたい場合 monitor start kmd を実行。monitor stop kmdで停止。
|