Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

创建远程访问 VPN - NCP 专用客户端

您的位置: 网络 > VPN > IPsec VPN

NCP 专用远程访问客户端是适用于瞻博网络 SRX 系列网关的 NCP 专用远程访问解决方案的一部分。VPN 客户端仅适用于 NCP 专用远程访问管理。与 SRX 系列网关连接时,可使用 NCP 专用客户端从任何位置建立基于 IPsec 的安全数据链路。

要为瞻博网络安全连接创建远程访问 VPN,请执行以下作:

  1. 选择 IPsec VPN 页面右上角> Remote Access > NCP Exclusive Client 的 Create VPNCreate VPN Remote Access NCP Exclusive Client)。

    此时将显示“Create Remote Access (NCP Exclusive Client)”页面。

  2. 按照 表 1表 5 中提供的准则完成配置。

    VPN 连接将在拓扑中从灰线变为蓝线,表示配置已完成。

  3. 单击 “保存 ”以保存更改。

    如果要放弃更改,请单击 “取消”

表 1:“创建远程访问(NCP 独占客户端)”页面上的字段

行动

名字

输入远程访问连接的名称。此名称将在 NCP 专用客户端中显示为最终用户连接名称。

描述

输入描述。此说明将用于 IKE 和 IPsec 提议、策略、远程访问配置文件、客户端配置和 NAT 规则集。

在编辑过程中,将显示 IPsec 策略说明。将更新 IPsec 策略和远程访问配置文件说明。

路由模式

此选项已针对远程访问禁用。

默认模式为流量选择器(自动路由插入)。

身份验证方法

从列表中选择设备用于验证互联网密钥交换 (IKE) 消息来源的身份验证方法:

  • 基于 EAP — EAP-MSCHAPv2 使用由 RADIUS 服务器验证的用户帐户凭据(用于外部用户身份验证)来验证网络访问。

  • 预共享密钥(用户名和密码)— 两个对等方之间共享的密钥,在身份验证期间用于相互识别对等方。

自动创建防火墙策略

如果选择 “是”,则会在内部区域和隧道接口区域之间自动创建防火墙策略,其中本地受保护网络为源地址,远程受保护网络为目标地址。

反之亦然,将创建另一个防火墙策略。

如果选择 “否”,则表示没有防火墙策略选项。您需要手动创建所需的防火墙策略才能使此 VPN 正常工作。

注意:

如果您不想在 VPN 工作流中自动创建防火墙策略,则将隐藏受保护的网络,以便在本地和远程网关中实现动态路由。

远程用户

在拓扑中显示远程用户图标。

此选项处于禁用状态。

本地网关

在拓扑中显示本地网关图标。单击图标以配置本地网关。

有关字段的更多信息,请参阅 表 2

IKE 和 IPsec 设置

使用建议的算法或值配置自定义 IKE 或 IPsec 提议和自定义 IPsec 提议。

有关字段的详细信息,请参阅 表 5

注意:

  • J-Web 仅支持一个自定义 IKE 提议,不支持预定义的提议集。编辑并保存后,J-Web 会删除预定义的提议集(如果已配置)。

  • 在 VPN 隧道的远程网关上,您必须配置相同的自定义提议和策略。

  • 编辑后,如果配置了多个自定义提议,J-Web 将显示第一个自定义 IKE 和 IPsec 提议。
表 2:“本地网关”页面上的字段

行动

网关在 NAT 后面

当本地网关位于 NAT 设备后面时,请启用此选项。

NAT IP 地址

输入 SRX 系列防火墙的公共 (NAT) IP 地址。

注意:

仅当 网关在启用 NAT 后 方时,此选项才可用。您可以配置 IPv4 地址来引用 NAT 设备。

IKE ID

此字段为必填字段。以 user@example.com 格式输入 IKE ID。

外部接口

从客户端将连接到的列表中选择一个传出接口。

如果为指定接口配置了多个 IPv4 地址,则该列表包含所有可用 IP 地址。所选 IP 地址将配置为 IKE 网关下的本地地址。

隧道接口

从列表中选择客户端要连接的接口。

单击 “添加 ”以添加新接口。此时将显示 Create Tunnel Interface 页面。有关创建新隧道接口的更多信息,请参阅 表 3

单击 编辑 以编辑所选隧道接口。

预共享密钥

输入预共享密钥的以下值之一:

  • ascii-text - ASCII 文本键。

  • 十六进制 - 十六进制键。

注意:

如果身份验证方法为预共享密钥,则此选项可用。

本地证书

从列表中选择本地证书。

本地证书仅列出 RSA 证书。

若要添加证书,请单击 “添加”。有关添加设备证书的详细信息,请参阅 关于“证书”页

注意:

如果身份验证方法是“基于证书”,则此选项可用。

受信任的 CA/组

从列表中选择受信任的证书颁发机构/组配置文件。

要添加 CA 配置文件,请单击 添加 CA 配置文件。有关添加 CA 配置文件的详细信息,请参阅 添加 CA 证书

注意:

如果身份验证方法是“基于证书”,则此选项可用。

用户身份验证

此字段为必填字段。从列表中选择用于对访问远程访问 VPN 的用户进行身份验证的身份验证配置文件。

单击 “添加 ”以创建新的配置文件。有关创建新的访问配置文件的详细信息,请参阅 添加访问配置文件

SSL VPN 配置文件

从列表中选择将用于终止远程访问连接的 SSL VPN 配置文件。

要创建新的 SSL VPN 配置文件,请执行以下作:

  1. 单击 “添加”

  2. 输入以下详细信息:

    • 名称 - 输入 SSL VPN 配置文件的名称。

    • 日志记录 - 启用此选项可记录 SSL VPN。

    • SSL 终止配置文件 — 从列表中选择 SSL 终止配置文件。

      要添加新的 SSL 终止配置文件,请执行以下作:

      1. 单击 “添加”

      2. 输入以下详细信息:

        • 名称 - 输入 SSL 终止配置文件的名称。

        • 服务器证书 - 从列表中选择服务器证书。

          若要添加证书,请单击 “添加”。有关添加设备证书的详细信息,请参阅 关于“证书”页

          若要导入证书,请单击 “导入”。.

        • 单击 “确定”

      3. 单击 “确定”

  3. 单击 “确定”

源 NAT 流量

默认情况下,此选项处于启用状态。

默认情况下,来自瞻博网络安全连接客户端的所有流量都会 NAT 到所选接口。

如果禁用,则必须确保网络中有一条指向 SRX 系列防火墙的路由,以便正确处理回传流量。

接口

从列表中选择源 NAT 流量通过的接口。

受保护的网络

单击 +。此时将显示“创建受保护的网络”页面。
创建受保护的网络

从列表中选择将用作防火墙策略中的源区域的安全区域。

全局地址

从“可用”列中选择地址,然后单击向右箭头将其移动到“已选择”列。

单击 “添加 ”以选择客户端可以连接的网络。

此时将显示“创建全局地址”页面。有关字段的更多信息,请参阅 表 4

编辑

选择要编辑的受保护网络,然后单击铅笔图标。

此时将显示“编辑受保护的网络”页面,其中包含可编辑的字段。

删除

选择要编辑的受保护网络,然后单击删除图标。

将弹出确认消息。

单击 “是 ”删除受保护的网络。
表 3: Create Tunnel Interface 页面上的字段

行动

接口单元

输入逻辑单元编号。

描述

输入逻辑接口的描述。

从列表中选择一个区域,将其添加到隧道接口。

此区域用于自动创建防火墙策略。

单击 “添加 ”以添加新区域。输入区域名称和描述,然后在“创建安全区域”页面上单击“ 确定 ”。

路由实例

从列表中选择一个路由实例。

注意:

默认路由实例 primary 指的是逻辑系统中的主 inet.0 路由表。
表 4:“创建全局地址”页上的字段

行动

名字

输入全局地址的名称。名称必须是唯一的字符串,必须以字母数字字符开头,并且可以包含冒号、句点、破折号和下划线;不允许有空格;最多 63 个字符。

IP 类型

选择 “IPv4”。
IPv4

IPv4 地址

输入有效的 IPv4 地址。

输入 IPv4 地址的子网。
表 5:IKE 和 IPsec 设置

行动
IKE 设置
注意:

以下参数是自动生成的,不会显示在 J-Web UI 中:

  • 如果身份验证方法为预共享密钥,则 IKE 版本为 1,ike-user-type 为 shared-ike-id,模式为积极。

  • 如果身份验证方法为“基于证书”,则 IKE 版本为 2,ike-user-type 为 group-ike-id,模式为 Main。

加密算法

从列表中选择适当的加密机制。

默认值为 AES-CBC 256 位。

身份验证算法

从列表中选择身份验证算法。例如,SHA 256 位。

DH组

Diffie-hellman (DH) 交换允许参与方生成一个共享的密钥值。从列表中选择适当的 DH 组。默认值为 group19。

生存秒数

选择 IKE 安全关联 (SA) 的生存期持续时间(以秒为单位)。

默认值为 28,800 秒。范围:180 到 86,400 秒。

失效对等体检测

启用此选项可发送不工作对等方检测请求,而不管是否有传出 IPsec 流量到对等方。

DPD 模式

从列表中选择其中一个选项:

  • 优化 — 仅当有传出流量且没有传入数据流量时发送探测 - RFC3706(默认模式)。

  • probe-idle-tunnel — 发送探测与优化模式相同,也没有传出和传入数据流量时也是如此。

  • always-send — 定期发送探测,不考虑传入和传出的数据流量。

DPD 间隔

选择发送失效对等方检测消息的时间间隔(以秒为单位)。默认间隔为 10 秒。范围为 2 到 60 秒。

DPD 阈值

选择一个从 1 到 5 的数字以设置故障 DPD 阈值。

这指定当对等方没有响应时必须发送 DPD 消息的最大次数。默认传输次数为 5 次。
高级配置(可选)

NAT-T

启用此选项可让 IPsec 流量通过 NAT 设备。

NAT-T 是一种 IKE 第 1 阶段算法,用于尝试在两个网关设备之间建立 VPN 连接,其中其中一个 SRX 系列防火墙前面有一个 NAT 设备。

NAT 保持活力

选择适当的激活间隔(以秒为单位)。范围:1 到 300。

如果预计 VPN 会有很长的时间不活动,您可以配置激活值来生成人工流量,以使会话在 NAT 设备上保持活动状态。

IKE 连接限制

输入 VPN 配置文件支持的并发连接数。

范围为 1 到 4294967295。

当达到最大连接数时,不再有尝试访问 IPsec VPN 的远程访问用户 (VPN) 端点可以开始互联网密钥交换 (IKE) 协商。

IKEv2 分段

默认情况下,此选项处于启用状态。IKEv2 分片将大型 IKEv2 消息拆分为一组较小的消息,以便在 IP 级别不存在分段。分段发生在对原始消息进行加密和验证之前,因此每个分段都经过单独加密和验证。

注意:

如果身份验证方法是“基于证书”,则此选项可用。

IKEv2 分段大小

在将 IKEv2 消息拆分为多个片段之前,选择该消息的最大大小(以字节为单位)。

大小适用于 IPv4 消息。范围:570 到 1320 字节。

默认值为 576 字节。

注意:

如果身份验证方法是“基于证书”,则此选项可用。
IPsec 设置

加密算法

选择加密方法。默认值为 AES-GCM 256 位。

身份验证算法

从列表中选择 IPsec 身份验证算法。例如,HMAC-SHA-256-128。

注意:

当加密算法不是 gcm 时,此选项可用。

完全向前保密

从列表中选择“完全向前保密 (PFS)”。设备使用此方法生成加密密钥。默认值为 group19。

PFS 独立于前一个密钥生成每个新加密密钥。编号越高的组安全性越高,但需要更长的处理时间。

注意:

group15、group16 和 group21 仅支持安装了 SPC3 卡和 junos-ike 软件包的 SRX5000 系列设备。

生存秒数

选择 IPsec 安全关联 (SA) 的生存期(以秒为单位)。当 SA 到期时,它将被新的 SA 和安全参数索引 (SPI) 取代或终止。默认值为 3,600 秒。范围:180 到 86,400 秒。

生存期千字节

选择 IPsec SA 的生存期(以千字节为单位)。默认值为 256kb。范围:64 到 4294967294。
高级配置

防重放

IPsec 通过使用 IPsec 数据包中内置的数字序列来抵御 VPN 攻击 - 系统不接受具有相同序列号的数据包。

默认情况下,此选项处于启用状态。防重放会检查序列号并强制执行检查,而不仅仅是忽略序列号。

如果 IPsec 机制出现错误,导致数据包乱序,从而妨碍正常运行,请禁用防重放。

安装间隔

选择允许在设备上安装密钥重新设置的出站安全关联 (SA) 的最大秒数。选择一个介于 1 到 10 之间的值。

空闲时间

选择空闲时间间隔。如果未收到流量,会话及其相应的转换会在一段时间后超时。范围为 60 到 999999 秒。

DF 位

选择设备如何处理外部标头中的不分段 (DF) 位:

  • clear — 清除(禁用)外部标头中的 DF 位。这是默认设置。

  • copy — 将 DF 位复制到外部标头。

  • set - 在外部标头中设置(启用)DF 位。

复制外部 DSCP

默认情况下,此选项处于启用状态。这样就可以将差异服务代码点 (DSCP)(外部 DSCP+ECN)从外部 IP 报头加密数据包复制到解密路径上的内部 IP 报头纯文本消息。开启该功能后,IPsec解密后,明文数据包可以遵循内部CoS(DSCP+ECN)规则。

相关主题