Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

使用 Pulse Secure 客户端的动态 VPN

动态 VPN 使 Pulse Secure 客户端能够建立到 SRX 服务网关的 IPsec VPN 隧道,而无需在其 PC 上手动配置 VPN 设置。用户身份验证通过 RADIUS 服务器或本地 IP 地址池提供支持。

Pulse Secure 客户端软件可从瞻博网络 下载软件网站获取,网址为 https://www.juniper.net/support/downloads/?p=pulse#sw

动态 VPN 概述

VPN 隧道使用户能够安全访问资产,例如驻留在防火墙后面的电子邮件服务器和应用程序服务器。端到站点 VPN 隧道对远程用户(如远程人员)特别有帮助,因为单个隧道支持访问网络上的所有资源, 用户无需为每个应用程序和服务器配置单独的访问设置。请参阅 图 1

图 1: 使用 VPN 隧道实现对企业网络的远程访问 使用 VPN 隧道实现对企业网络的远程访问

动态 VPN 功能也称为远程访问 VPN 或 IPsec VPN 客户端。SRX300、SRX320、SRX340、SRX345、 SRX380 和 SRX550HM 设备支持此功能。Pulse Secure 客户端软件用于 VPN 访问。用户身份验证通过在 SRX 网关上配置的外部 RADIUS 服务器或本地 IP 地址池提供支持。第 3 层远程访问客户端使用从 SRX 系列网关接收的客户端配置设置来创建和管理到网关的安全端到站点 VPN 隧道。

如果需要两个以上的同时用户连接,则必须在 SRX 系列网关上安装动态 VPN 许可证。有关安装和管理许可证的信息,请参阅 《软件安装和升级指南 》。支持的最大用户连接数取决于 SRX 系列设备。

设备默认禁用动态 VPN 功能。要启用动态 VPN,您必须使用 [edit security] 层次结构级别上的dynamic-vpn 配置语句来配置功能。

如果已升级到 Junos OS 版本 21.4R1 和更高版本,请注意有关使用动态 VPN 功能的以下几点:

  • 从 Junos OS 21.4R1 版开始,我们已经弃用了动态 VPN 远程接入解决方案。这意味着您不能在 SRX 系列设备上使用 Pulse Secure 客户端。作为此更改的一部分,我们已弃用所有与动态 VPN 相关的 CLI 语句和命令,其中包括:
    • 层次结构级别下的 [edit security dynamic-vpn] 配置选项。
    • 在层次结构级别下 [edit dynamic-vpn] 显示和清除命令。
  • 如果继续在 Junos OS 版本 21.3R1 和更低版本的弃用层次结构中配置,则动态 VPN 功能可工作。在 CLI 中,您可以通过明确提及动态 VPN 选项,在弃用的层次结构中配置动态 VPN。
  • 作为另一种选择,您可以使用 Junos OS 版本 20.3R1 中引入的瞻博网络安全连接远程访问 VPN 客户端。瞻博网络安全连接是用户友好型 VPN 客户端,支持的功能和平台比动态 VPN 多。SRX 在所有 SRX 系列设备上都配备了两个内置并发用户。如果您需要其他并发用户,请联系瞻博网络代表以获取远程访问许可。要了解有关瞻博网络安全连接许可证的更多信息,请参阅瞻博网络安全连接和管理许可证的许可证。

了解动态 VPN 隧道支持

动态 VPN 隧道的配置方式与传统 IPsec VPN 隧道相同。但是,并非所有 IPsec VPN 选项都受支持。SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345、 SRX380、SRX550、 SRX550HM 和 SRX650 设备支持此功能。

下列列表介绍了配置动态 VPN 隧道时的要求和支持选项:

  • 仅支持基于策略的 VPN。动态 VPN 隧道不支持基于路由的 VPN。不支持路由协议。

  • 仅支持 IKEv1。不支持 IKEv2。

  • 仅支持 IPv4 流量和 IPv4 in-IPv4 隧道。不支持 IPv6 流量和隧道。

  • 只有预共享密钥才能进行身份验证。不支持 PKI。

  • IKE 第 1 阶段交换支持积极模式。不支持主模式。

  • VPN 流量只能从远程客户端启动。不支持从 SRX 网关启动的 VPN 流量。

  • 支持不工作对等方检测 (DPD)。不支持 VPN 监控。

  • 支持带模式配置的扩展身份验证 (XAuth)。

  • 本地配置文件支持认证。可从本地地址池提供属性。可从 RADIUS 服务器提供身份验证和属性。

  • 支持机箱群集。

  • NAT-T 受支持。

  • 支持虚拟路由器或虚拟路由和转发实例中的 IKE。

  • 不支持 AutoVPN。

  • 不支持自动路由插入 (ARI)。

  • 管理员必须有权安装 Pulse 客户端软件,管理员必须享有权利。

  • 用户需要在 IKE 第 1 阶段重新密钥期间重新验证。可配置重新密钥时间。

共享或组 IKE ID 可用于配置由所有远程客户端共享的单个 VPN。共享单个 VPN 时,与网关同时连接的总数量不能大于安装的动态 VPN 许可证数量。配置共享或组 IKE ID 网关时,可以将最大连接数配置为大于已安装的动态 VPN 许可证数量。但是,如果新连接超过许可的连接数量,则该连接将被拒绝。您可以使用 命令查看动态 VPN 许可证信息 show system license usage

了解远程客户端对 VPN 的访问

通用 动态 VPN 部署是为通过互联网等公共网络连接的远程客户端提供 VPN 访问。IPsec 访问通过瞻博网络设备上的网关提供。Pulse Secure 客户端软件用于 VPN 访问。SRX300、SRX320、SRX340、SRX345 和 SRX550HM 设备支持此功能。

Pulse Secure 客户端软件可从瞻博网络 下载软件网站获取,网址为 https://www.juniper.net/support/downloads/?p=pulse#sw

下文介绍了 Pulse Secure 远程客户端访问 VPN 的过程:

有关将远程客户端程序连接到 SRX 系列设备的详细说明,请参阅 KB17641。另请参阅 Pulse Secure 文档,了解当前客户端信息。

  1. 用户下载 Pulse Secure 客户端软件并将其安装到设备上。

  2. 用户启动 Pulse Secure 远程客户端计划。

    在 Pulse Secure 远程客户端计划中,用户执行以下操作:

    1. 单击 Add connection

    2. 对于类型,选择 Firewall (SRX)

    3. 有关名称,请输入 SRX 网关的主机名。

      在 SRX 系列设备上,此主机名配置了 set security ike gateway gateway-name dynamic hostname hostname 命令。SRX 管理员必须向远程用户提供主机名。

    4. 有关服务器 URL 名称,请输入 SRX 网关的 IP 地址。

      在 SRX 系列设备上,此 IP 地址是使用 命令配置的 external-interfaceset security ike gateway gateway-name IP 地址。SRX 管理员必须向远程用户提供 IP 地址。

  3. 单击 Add,然后单击 Connect。Pulse Secure 远程客户端程序使用 HTTPS 连接到 SRX 系列。

  4. 提示时输入您的用户名和密码。配置信息将从 SRX 系列设备下载到远程客户端,使客户端能够使用 SRX 系列设备建立 IKE SA。

  5. 如果您是第一次访问动态 VPN,请再次输入用户凭据以建立 IPsec SA。IP 地址将从本地地址池或外部 RADIUS 服务器分配给远程客户端。

    您进入步骤 4 的用户凭据用于将配置下载到远程客户端,并在客户端和 SRX 系列设备之间建立 IKE SA。此步骤中输入的用户凭据用于建立 IPsec SA。根据 SRX 系列设备上的配置,用户凭据可以相同或不同。

  6. 成功进行身份验证和地址分配后,将建立一个隧道。

动态 VPN 提议集

SRX300、SRX320、SRX340、SRX345 和 SRX550HM 设备支持此功能。当有许多 动态 VPN 客户端时,配置 IKE 和 IPsec 策略的自定义互联网密钥交换 (IKE) 和 IP 安全 (IPsec) 提议可能会很繁琐且耗时。管理员可以为动态 VPN 客户端选择基本、兼容或标准提议集。每个提议集都由两个或多个预定义的提议组成。服务器从集中选择一个预定义提议,并将其推送至客户端配置中的客户端。客户端在与服务器协商时使用此提议来建立连接。

IKE 和 IPsec 安全关联 (SA) 重新密钥超时的默认值如下:

  • 对于 IKE SA,重新键入时间为 28,800 秒。

  • 对于 IPsec SA,重新密钥超时为 3600 秒。

由于提议集配置不允许配置重新密钥超时,因此这些值包括在客户端下载时间发送至客户端的客户端配置中。

提议的基本用例如下:

  • IKE 和 IPsec 都使用提议集。

    服务器从提议集中选择预定义的提议并将其发送至客户端,以及默认重新密钥超时值。

  • IKE 使用提议集,而 IPsec 使用自定义提议。

    服务器将从已配置的 IKE 提议集向客户端发送预定义的 IKE 提议,以及默认重新密钥超时值。对于 IPsec,服务器将发送在 IPsec 提议中配置的设置。

  • IKE 使用自定义提议,而 IPsec 使用提议集。

    服务器将从已配置的 IPsec 提议集向客户端发送预定义的 IPsec 提议,以及默认重新密钥超时值。对于 IKE,服务器将发送在 IKE 提议中配置的设置。

如果 IPsec 使用标准提议集,并且未配置完全向前保密 (PFS),则默认完全向前保密 (PFS) 为组2。对于其他提议集,不会设置 PFS,因为它未配置。此外,对于 IPsec 提议集, group ipsec perfect-forward-secrecy keys 策略中的配置将覆盖提议集中的 Diffie-Hellman (DH) 组设置。

由于客户端只接受一个与服务器协商隧道建立的建议,因此服务器会在内部选择提议集中发送给客户端的一个提议。每个组的选定提议列示如下:

对于 IKE

  • 安全级别基础:预共享密钥, g1, des, sha1

  • 安全级别兼容:预共享密钥,g2,3des,sha1

  • 安全级别标准:预共享密钥,g2,aes128,sha1

对于 IPsec

  • 安全级别基础:esp, 无 pfs(如果未配置)或 groupx (如果已配置),des,sha1

  • 安全级别兼容:esp, 无 pfs(如果未配置)或组x (如果已配置),3des,sha1

  • 安全级别标准:esp、g2(如果未配置)或 groupx (如果已配置),aes128,sha1

动态 VPN 配置概述

通过动态 VPN,您可以为远程用户提供对瞻博网络设备上网关的 IPsec 访问。SRX300、SRX320、SRX340、SRX345 和 SRX550HM 设备支持此功能。

配置动态 VPN 时需要考虑两种情况:

  • 当用户在本地配置时,它们在 [edit access profile profile-name client client-name] 层次结构级别配置,并使用配置选项安排到用户组中 client-group

  • 用户可在外部身份验证服务器(例如 RADIUS 服务器)上配置。无需在 [edit access profile profile-name] 层次结构级别配置在外部认证服务器上配置的用户。

对于本地配置的用户,需要在动态 VPN 配置中指定用户组,以便用户可与客户端配置相关联。您指定具有 [edit security dynamic-vpn clients configuration-name] 层次结构级别选项的用户组user-groups

经过用户身份验证后,用户组将包含在认证回复中。此信息将被提取,并在 [edit security dynamic-vpn clients configuration-name] 层次结构级别配置的用户组将被搜索,以确定检索哪些客户端配置并返回至客户端进行隧道建立。

如果用户与多个用户组相关联,则使用第一个匹配用户组配置。如果用户创建第二个连接,则使用下一个匹配用户组配置。后续用户连接使用下一个匹配用户组配置,直至不再使用匹配配置。

以下过程列出了配置动态 VPN 的任务。

  1. 为远程客户端配置身份验证和地址分配:

    1. 配置 XAuth 配置文件以验证用户并分配地址。可以使用本地身份验证或外部 RADIUS 服务器。profile在 [edit access] 层次结构级别使用配置语句配置 XAuth 配置文件。

    2. 如果使用本地身份验证,则从本地地址池中分配 IP 地址。address-assignment pool在 [edit access] 层次结构级别使用配置语句。可以指定子网或 IP 地址范围。还可以指定 DNS 和 WINS 服务器的 IP 地址。

  2. 配置 VPN 隧道:

    1. 配置 IKE 策略。该模式必须具有积极性。可使用基本、兼容或标准提议集。第 1 阶段身份验证仅支持预共享密钥。policy在 [edit security ike] 层次结构级别使用配置语句。

    2. 配置 IKE 网关。可使用共享或组 IKE ID。您可以配置与网关同时连接的最大数量。gateway在 [edit security ike] 层次结构级别使用配置语句。

    3. 配置 IPsec VPN。可使用 [edit security ipsec] 层次结构级别的policy配置语句指定基本、兼容或标准提议集。vpn使用 [edit security ipsec] 层次结构级别的配置语句配置 IPsec 网关和策略。

      可以执行配置检查,以验证动态 VPN 所需的所有 IKE 和 IPsec 参数是否均已正确配置。如果 IKE 或 IPsec 的配置无效,将显示错误消息。您可使用 命令启用 set security dynamic-vpn config-check 配置检查。

    4. 配置安全策略以允许从远程客户端到 IKE 网关的流量。policy在 [edit security policies from-zone zone to-zone zone] 层次结构级别使用配置语句。

      使用匹配标准source-address anydestination-address any以及application anypermit tunnel ipsec-vpn以动态 VPN 隧道名称配置安全策略。将此策略放置在策略列表的末端。

    5. 配置主机入站信息流,以允许特定流量从连接到其接口的系统到达设备。例如,必须允许 IKE 和 HTTPS 流量。了解 如何根据流量类型控制入站流量

    6. (可选)如果客户端地址池属于直接连接到设备的子网,则设备需要对来自同一区域其他设备的池中地址的 ARP 请求做出响应。proxy-arp在 [edit security nat] 层次结构级别使用配置语句。指定直接将子网连接到设备和池中地址的接口。

  3. 将动态 VPN 与远程客户端相关联:

    1. 指定用于动态 VPN 的访问配置文件。access-profile在 [edit security dynamic-vpn] 层次结构级别使用配置语句。

    2. 配置可使用动态 VPN 的客户端。指定受保护的资源(通过指定动态 VPN 隧道传输到受保护资源的流量,因此受到防火墙安全策略的保护)或受保护资源列表例外(流量不会通过动态 VPN 隧道以明文形式发送)。这些选项可控制隧道启动时推送到客户端的路由,从而控制通过隧道发送的流量。clients在 [edit security dynamic-vpn] 层次结构级别使用配置语句。

  4. 要记录动态 VPN 消息,请在 [edit security dynamic-vpn] 层次结构级别配置traceoptions语句。

了解本地身份验证和地址分配

SRX300、SRX320、SRX340、SRX345 和 SRX550HM 设备支持此功能。客户端应用程序可以代表客户端请求 IP 地址。此请求与客户端身份验证请求同时提出。成功身份验证客户端后,可从预定义地址池将 IP 地址分配给客户端,也可分配特定 IP 地址。也可以向客户端提供其他属性,如 WINS 或 DNS 服务器 IP 地址。

地址池在 [edit access address-assignment] 层次结构级别的pool 配置语句中定义。地址池定义包含网络信息(IP 地址,带有可选 Netmask)、可选范围定义以及可返回给客户端的 DHCP 或 XAuth 属性。如果池中的所有地址均已分配,则即使客户端已成功认证,客户端地址的新请求也将失败。

访问配置文件在 [edit access] 层次结构中profile使用配置语句定义。在访问配置文件配置中可引用定义的地址池。

您还可以使用 选项将特定 IP 地址绑定到访问配置文件中的客户端 xauth ip-address address 。IP 地址必须位于地址池中指定的地址范围内。还必须与在 [edit access profile address-assignment pool pool-name family inet] 层次结构级别的配置语句中指定host的 IP 地址不同。对于任何应用程序,如果已分配一个 IP 地址,则在发布之前不会再次重新分配。

了解组和共享 IKE ID

SRX300、SRX320、SRX340、SRX345 和 SRX550HM 设备支持此功能。借 助动态 VPN,每个用户连接都使用唯一的互联网密钥交换 (IKE) ID。当大量用户需要访问 VPN、配置单个 IKE 网关、IPsec VPN 以及每个用户的安全策略时,可能会很繁琐。组 IKE ID 和共享 IKE ID 功能允许大量用户共享 IKE 网关配置,从而减少所需的 VPN 配置数量。

我们建议您为动态 VPN 部署配置组 IKE ID,因为组 IKE ID 为每个用户提供独特的预共享密钥和 IKE ID。

本主题包括以下部分:

组 IKE ID

配置组 IKE ID 时,每个用户的 IKE ID 是用户特定部分的串联,也是所有组 IKE ID 用户通用的部分。例如,用户 Bob 可能会使用“Bob.example.net”作为其完整的 IKE ID,其中“.example.net”在所有用户中很常见。完整的 IKE ID 用于唯一识别每个用户连接。

尽管组 IKE ID 不需要 XAuth,但动态 VPN 需要 XAuth 来检索客户端 IP 地址等网络属性。如果 XAuth 未配置为使用组 IKE ID 的动态 VPN,将显示警告。

当配置组 IKE ID 时,建议用户对 WebAuth 和 XAuth 身份验证使用相同的凭据。

多个用户可以使用同一组 IKE ID,但单个用户不能将同一组 IKE ID 用于不同的连接。如果用户需要具有来自不同远程客户端的连接,则需要为每个连接配置不同的组 IKE ID。如果用户仅配置了一个组 IKE ID 并尝试从另一个 PC 进行第二个连接,则将终止第一个连接,以便第二个连接通过。

要配置组 IKE ID:

  • 在 [edit security ike gateway gateway-name dynamic] 层次结构级别配置ike-user-type group-ike-id

  • 在 [edit security ike gateway gateway-name dynamic] 层次结构级别配置hostname 语句。此配置是所有用户的全 IKE ID 的通用部分。

  • 在 [edit security ike policy policy-name] 层次结构级别配置pre-shared-key语句。配置的预共享密钥用于生成实际的预共享密钥。

共享 IKE ID

配置共享 IKE ID 时,所有用户都共享一个 IKE ID 和一个 IKE 预共享密钥。每个用户都经过强制性 XAuth 阶段的认证,其中单个用户的凭据将通过外部 RADIUS 服务器或本地访问数据库进行验证。共享 IKE ID 需要 XAuth。

XAuth 用户名与配置的共享 IKE ID 一起用于区分不同用户连接。由于用户名称用于识别每个用户连接,WebAuth 用户名称和 XAuth 用户名称必须相同。

多个用户可以使用相同的共享 IKE ID,但单个用户不能将相同的共享 IKE ID 用于不同的连接。如果用户需要具有来自不同远程客户端的连接,则需要配置不同的共享 IKE ID,每个连接一个。如果用户只配置了一个共享的 IKE ID,并尝试从另一个客户端进行第二个连接,则将终止第一个连接,以便第二个连接通过。此外,由于需要用户名来识别每个用户连接以及 IKE ID,因此用户必须使用相同的凭据进行 WebAuth 和 XAuth 身份验证。

要配置共享 IKE ID:

  • 在 [edit security ike gateway gateway-name dynamic] 层次结构级别配置ike-user-type shared-ike-id

  • 在 [edit security ike gateway gateway-name dynamic] 层次结构级别配置hostname语句。配置的主机名由在动态 VPN 访问配置文件中配置的所有用户共享。

  • 在 [edit security ike policy policy-name] 层次结构级别配置pre-shared-key语句。配置的预共享密钥由在动态 VPN 访问配置文件中配置的所有用户共享。

示例:配置动态 VPN

此示例说明如何在瞻博网络设备上配置动态 VPN,以便向远程客户端提供 VPN 访问。SRX300、SRX320、SRX340、SRX345 和 SRX550HM 设备支持此功能。

要求

开始之前:

  1. 在设备上配置网络接口。请参阅 安全设备的接口用户指南

  2. 创建安全区域并将接口分配给他们。请参阅第 111 页上的“了解安全区域”。

  3. 如果有两个以上的同时用户连接,请在设备上安装动态 VPN 许可证。请参阅 软件安装和升级指南

概述

动态 VPN 的常见部署场景是为通过互联网等公共网络连接的远程客户端提供 VPN 访问。公共 IP 地址被分配到网关的其中一个接口;此接口通常是不信任区域的一部分。安装客户端软件后,远程用户可通过登录 Web 门户或直接启动客户端来访问 VPN。无论哪种情况,远程客户端都使用 SRX 系列设备进行身份验证并下载可用的最新配置。

图 2 展示了这种部署拓扑结构。SRX 系列设备上的 ge-0/0/15.0 接口是动态 VPN 隧道的端点。不信任区域中的远程客户端通过 Pulse Secure 客户端访问 ge-0/0/15.0 接口。

图 2: 动态 VPN 部署拓扑动态 VPN 部署拓扑

在此示例中,XAuth 客户端身份验证在本地执行,客户端 IP 地址将从在 SRX 系列设备上配置的地址池中分配。请参阅 表 1

然后,标准提议集用于 IKE 和 IPsec 协商。对于动态 VPN 隧道,必须配置积极模式,并且仅支持预共享密钥进行第 1 阶段身份验证。使用组 IKE ID,并将最大连接数设置为 10。由于动态 VPN 必须是基于策略的 VPN,因此必须配置安全策略才能将流量转发至隧道。必须允许主机入站流量使用 IKE 和 HTTPS 流量。请参阅 表 2

最后,为远程客户端配置的 XAuth 配置文件指定为动态 VPN。远程用户与配置的 IPsec VPN 相关联。同时配置的还有远程保护资源(始终通过隧道发送的信息流的目标地址)和远程例外情况(以明文形式发送而非通过隧道发送的流量目标地址)。请参阅 表 3

表 1: 远程客户端身份验证和地址分配配置

功能

姓名

配置参数

IP 地址池

dyn-vpn 地址池

  • 地址:10.10.10.0/24

  • DNS 服务器地址:192.0.2.1/32.

XAuth 配置文件

dyn-vpn 接入配置文件

  • 远程客户端用户名:带密码$ABC 123 的“客户端1”

  • 远程客户端用户名:带密码$ABC 456 的“客户端2”

  • IP 地址池参考:dyn-vpn 地址池

  • 此配置文件是 Web 认证的默认配置文件。

表 2: VPN 隧道配置参数

功能

姓名

配置参数

IKE 策略(第 1 阶段)

ike-dyn-vpn-policy

  • 模式:积极

  • 提议集:标准

  • 预共享密钥:(ASCII) $ABC 789

IKE 网关(第 1 阶段)

dyn-vpn-local-gw

  • IKE 策略参考:ike-dyn-vpn-policy

  • 动态主机名:dynvpn

  • IKE 用户类型:组 IKE ID

  • 最大并发连接数:10

  • 外部接口:ge-0/0/15.0

  • 访问配置文件参考:dyn-vpn 接入配置文件

IPsec 策略(第 2 阶段)

ipsec-dyn-vpn-policy

提议集:标准

IPsec VPN(第 2 阶段)

dyn-vpn

  • IKE 网关参考:dyn-vpn-local-gw

  • IPsec 策略参考:ipsec-dyn-vpn-policy

安全策略(允许从不信任区域到信任区域的流量)

dyn-vpn 策略

  • 匹配标准:

    • 源地址任意

    • 目标地址任意

    • 应用程序任意

  • 允许操作:隧道 ipsec-vpn dyn-vpn

主机入站流量

允许以下类型的流量访问不信任区域中的 ge-0/0/15.0 接口:

  • IKE

  • HTTPS

表 3: 面向远程客户端的动态 VPN 配置

功能

姓名

配置参数

面向远程客户端的访问配置文件

访问配置文件参考:dyn-vpn 接入配置文件

远程客户端

全部

  • IPsec VPN 参考:dyn-vpn

  • 用户名称参考:客户端1 和客户端2

  • 远程保护资源:10.0.0.0/8

  • 远程例外:0.0.0.0/0

配置

配置远程用户身份验证和地址分配

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置远程用户身份验证和地址分配:

  1. 创建地址分配池。

  2. 配置 XAuth 配置文件。

  3. 使用 XAuth 配置文件配置 Web 身份验证。

结果

在配置模式下,输入 show access 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

如果完成设备配置,请在配置模式下输入 commit

配置 VPN 隧道

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置 VPN 隧道:

  1. 配置 IKE 策略。

  2. 配置 IKE 网关。

  3. 配置 IPsec。

  4. 配置安全策略。

  5. 配置主机入站信息流。

结果

在配置模式下,输入 show security ikeshow security ipsecshow security policiesshow security zones 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

如果完成设备配置,请在配置模式下输入 commit

将动态 VPN 与远程客户端相关联

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要将动态 VPN 与远程客户端相关联:

  1. 指定要使用动态 VPN 的访问配置文件。

  2. 配置可使用动态 VPN 的客户端。

结果

在配置模式下,输入 show security dynamic-vpn 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

如果完成设备配置,请在配置模式下输入 commit

验证

动态 VPN 隧道可使用用于监控传统 IPsec VPN 隧道的相同命令进行监控。要确认配置工作正常,请执行以下任务:

验证 IKE 第 1 阶段状态

目的

验证安全关联的 IKE 第 1 阶段状态。

行动

在操作模式下,输入 show security ike security-associations 命令。

验证连接的客户端和分配的地址

目的

验证分配给他们的远程客户端和 IP 地址是否在使用 XAuth。

行动

在操作模式下,输入 show security ike active-peer 命令。

验证 IPsec 第 2 阶段状态

目的

验证安全关联的 IPsec 第 2 阶段状态。

行动

在操作模式下,输入 show security ipsec security-associations 命令。

验证每个用户的并发连接和参数

目的

验证每个用户的并发连接数量和协商的参数。

行动

在操作模式下,输入 show security dynamic-vpn users 命令。

示例:配置本地身份验证和地址池

此示例说明如何创建地址池以及如何在访问配置文件中分配客户端 IP 地址。SRX300、SRX320、SRX340、SRX345 和 SRX550HM 设备支持此功能。

要求

开始之前,请先配置主 DNS 和辅助 DNS 及 WINS 服务器,并将 IP 地址分配给他们。

概述

此示例创建一个地址池 xauth1 ,其中包含 192.0.2.0/24 子网中的 IP 地址。该 xauth1 池还为主要和辅助 DNS 和 WINS 服务器分配 IP 地址。

访问配置文件 dvpn-auth 引用 xauth1 池。访问 dvpn-auth 配置文件配置了两个客户端:

  • 杰森:IP 地址 192.0.2.1 绑定在此客户端。成功认证后,将为客户端分配 IP 地址 192.0.2.1。如果客户端在注销前再次登录,客户端将从 xauth1 池中分配一个 IP 地址。

  • 张学友:成功认证后,客户端将从 xauth1 池中分配一个 IP 地址。

此外, dvpn-auth 访问配置文件指定使用密码认证来验证登录时的客户端。可以指定其他身份验证方法;软件会根据每个客户端登录尝试的顺序(从头到尾)尝试身份验证方法。

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置使用地址池的地址池和访问配置文件:

  1. 创建地址池。

  2. 配置访问配置文件。

结果

在配置模式下,输入 show access 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

如果完成设备配置,请在配置模式下输入 commit

验证

要确认配置工作正常,请执行以下任务:

验证地址分配

目的

验证地址分配。对于 XAuth,硬件地址始终显示为 NA。如果将静态 IP 地址分配给特定用户,则“主机/用户”列中将显示用户名称和配置文件名称(格式为 user@profile)。如果从池中分配了一个 IP 地址,将显示用户名;如果用户名不存在,则显示 NA。对于其他应用程序(例如 DHCP),如果配置了主机名,将显示主机名:如果未配置主机名,则显示 NA。

行动

在操作模式下,输入 show network-access address-assignment pool 命令。

示例:为多个用户配置组 IKE ID

此示例说明如何配置由多个用户使用的组 IKE ID。SRX300、SRX320、SRX340、SRX345 和 SRX550HM 设备支持此功能。

要求

开始之前:

概述

在此示例中,您配置了两个使用单个 IKE ID 和一个 IKE 预共享密钥的远程动态 VPN 用户(请参阅 表 4表 5)。外部 RADIUS 服务器用于验证用户并将 IP 地址分配给客户端(请参阅 表 6)。

表 4: 组 IKE ID VPN 隧道配置参数

功能

姓名

配置参数

IKE 策略(第 1 阶段)

客户端刑警组

  • 模式:积极

  • 提议集:兼容

  • 预共享密钥:(ASCII)面向“人人参与”配置文件

IKE 网关(第 1 阶段)

组格

  • IKE 策略参考:客户端刑警组

  • 动态主机名:example.net

  • IKE 用户类型:组 IKE ID

  • 最大并发连接数:50

  • 外部接口:ge-0/0/0.0

  • 访问配置文件参考:半径配置文件

IPsec 策略(第 2 阶段)

client1vpnPol

提议集:兼容

IPsec VPN(第 2 阶段)

groupvpn

  • IKE 网关参考:组格

  • IPsec 策略参考:客户端 1vpnPol

安全策略(允许从不信任区域到信任区域的流量)

组安全策略

  • 匹配标准:

    • 源地址任意

    • 目标地址任意

    • 应用程序任意

  • 允许操作:隧道 ipsec-vpn 组vpn

主机入站流量

允许以下类型的流量访问不信任区域中的 ge-0/0/0.0 接口:

  • IKE

  • HTTPS

  • SSH

表 5: 面向远程客户端的 IKE ID 动态 VPN 配置

功能

姓名

配置参数

面向远程客户端的访问配置文件

访问配置文件参考:半径配置文件

远程客户端

组cfg

  • IPsec VPN 参考:groupvpn

  • 用户名称参考:德里克和克里斯

  • 远程保护资源:10.100.100.0/24

  • 远程例外:0.0.0.0/0, 192.0.2.1/24, 0.0.0.0/32

表 6: RADIUS 服务器用户身份验证(组 IKE ID)

功能

姓名

配置参数

XAuth 配置文件

半径配置文件

  • RADIUS 是用于验证用户凭据的身份验证方法。

  • RADIUS 服务器 IP 地址为 10.100.100.250,密码为“$ABC 123”。

  • 此配置文件是 Web 认证的默认配置文件。

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要为多个用户配置组 IKE ID:

  1. 配置 XAuth 配置文件。

  2. 配置 IKE 策略。

  3. 配置 IKE 网关。

  4. 配置 IPsec。

  5. 配置安全策略。

  6. 配置主机入站信息流。

  7. 指定要使用动态 VPN 的访问配置文件。

  8. 配置可使用动态 VPN 的客户端。

结果

在配置模式下,输入 show security ikeshow security ipsecshow security policiesshow security zonesshow security dynamic-vpn 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

如果完成设备配置,请在配置模式下输入 commit

验证

动态 VPN 隧道可使用用于监控传统 IPsec VPN 隧道的相同命令进行监控。要确认配置工作正常,请执行以下任务:

验证 IKE 第 1 阶段状态

目的

验证安全关联的 IKE 第 1 阶段状态。

行动

在操作模式下,输入 show security ike security-associations 命令。

验证连接的客户端和分配的地址

目的

验证分配给他们的远程客户端和 IP 地址是否在使用 XAuth。

行动

在操作模式下,输入 show security ike active-peer 命令。

验证 IPsec 第 2 阶段状态

目的

验证安全关联的 IPsec 第 2 阶段状态。

行动

在操作模式下,输入 show security ipsec security-associations 命令。

验证每个用户的并发连接和参数

目的

验证每个用户的并发连接数量和协商的参数。

行动

在操作模式下,输入 show security dynamic-vpn users 命令。

示例:为多个用户配置单个 IKE ID

此示例说明如何为多个用户配置单个 IKE ID。SRX300、SRX320、SRX340、SRX345 和 SRX550HM 设备支持此功能。

当大量用户需要访问 VPN、配置单个 IKE 网关、IPsec VPN 以及每个用户的安全策略时,可能会很繁琐。组 IKE ID 功能允许许多用户共享 IKE 网关配置,从而减少所需的 VPN 配置数量。

要求

开始之前:

概述

以下示例显示两个远程动态 VPN 用户的配置。对于每个用户,必须配置 IKE 策略和网关、IPsec 策略和 VPN 以及安全策略(请参阅 表 7表 8)。外部 RADIUS 服务器用于验证用户并将 IP 地址分配给客户端(请参阅 表 9)。

表 7: 客户端 1 个配置参数

功能

姓名

配置参数

IKE 策略(第 1 阶段)

client1pol

  • 模式:积极

  • 提议集:兼容

  • 预共享密钥:(ASCII) 对于客户端1

IKE 网关(第 1 阶段)

client1gw

  • IKE 策略参考:客户端1pol

  • 动态主机名:example.net

  • 外部接口:ge-0/0/0.0

  • 访问配置文件参考:半径配置文件

IPsec 策略(第 2 阶段)

client1vpnPol

提议集:兼容

IPsec VPN(第 2 阶段)

client1vpn

  • IKE 网关参考:客户端1gw

  • IPsec 策略参考:客户端 1vpnPol

安全策略(允许从不信任区域到信任区域的流量)

client1-policy

  • 匹配标准:

    • 源地址任意

    • 目标地址任意

    • 应用程序任意

  • 允许操作:隧道 ipsec-vpn 客户端 1vpn

主机入站流量

允许以下类型的流量访问不信任区域中的 ge-0/0/0.0 接口:

  • IKE

  • HTTPS

  • SSH

面向远程客户端的访问配置文件

访问配置文件参考:半径配置文件

远程客户端

cfg1

  • IPsec VPN 参考:客户端 1vpn

  • 用户名称参考:德里克

  • 远程保护资源:10.100.100.0/24

  • 远程例外:0.0.0.0/0, 192.0.2.1/24, 0.0.0.0/32

表 8: 客户端 2 个配置参数

功能

姓名

配置参数

IKE 策略(第 1 阶段)

client2pol

  • 模式:积极

  • 提议集:兼容

  • 预共享密钥:(ASCII)(面向客户端2)

IKE 网关(第 1 阶段)

client2gw

  • IKE 策略参考:客户端2pol

  • 动态主机名:example.net

  • 外部接口:ge-0/0/0.0

  • 访问配置文件参考:半径配置文件

IPsec 策略(第 2 阶段)

client2vpnPol

提议集:兼容

IPsec VPN(第 2 阶段)

client2vpn

  • IKE 网关参考:客户端2gw

  • IPsec 策略参考:客户端2vpnPol

安全策略(允许从不信任区域到信任区域的流量)

client2-policy

  • 匹配标准:

    • 源地址任意

    • 目标地址任意

    • 应用程序任意

  • 允许操作:隧道 ipsec-vpn 客户端2vpn

主机入站流量

允许以下类型的流量访问不信任区域中的 ge-0/0/0.0 接口:

  • IKE

  • HTTPS

  • SSH

面向远程客户端的访问配置文件

访问配置文件参考:半径配置文件

远程客户端

cfg2

  • IPsec VPN 参考:客户端2vpn

  • 用户名称参考:克里斯

  • 远程保护资源:10.100.100.0/24

  • 远程例外:0.0.0.0/0, 192.0.2.1/24

表 9: RADIUS 服务器用户身份验证(个人 IKE ID)

功能

姓名

配置参数

XAuth 配置文件

半径配置文件

  • RADIUS 是用于验证用户凭据的身份验证方法。

  • RADIUS 服务器 IP 地址为 10.100.100.250,密码为“$ABC 123”。

  • 此配置文件是 Web 认证的默认配置文件。

配置

配置 XAuth 配置文件

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置 XAuth 配置文件:

  1. 配置访问配置文件。

  2. 使用 XAuth 配置文件配置 Web 身份验证。

结果

在配置模式下,输入 show access 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

如果完成设备配置,请在配置模式下输入 commit

配置客户端 1

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要为单个用户配置动态 VPN:

  1. 配置 IKE 策略。

  2. 配置 IKE 网关。

  3. 配置 IPsec。

  4. 配置安全策略。

  5. 配置主机入站信息流。

  6. 指定要使用动态 VPN 的访问配置文件。

  7. 配置可使用动态 VPN 的客户端。

结果

在配置模式下,输入 show security ikeshow security ipsecshow security policiesshow security zonesshow security dynamic-vpn 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

如果完成设备配置,请在配置模式下输入 commit

配置客户端 2

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要为单个用户配置动态 VPN:

  1. 配置 IKE 策略。

  2. 配置 IKE 网关。

  3. 配置 IPsec。

  4. 配置安全策略。

  5. 配置主机入站信息流。

  6. 指定要使用动态 VPN 的访问配置文件。

  7. 配置可使用动态 VPN 的客户端。

结果

在配置模式下,输入 show security ikeshow security ipsecshow security policiesshow security zonesshow security dynamic-vpn 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

如果完成设备配置,请在配置模式下输入 commit

验证

动态 VPN 隧道可使用用于监控传统 IPsec VPN 隧道的相同命令进行监控。要确认配置工作正常,请执行以下任务:

验证 IKE 第 1 阶段状态

目的

验证安全关联的 IKE 第 1 阶段状态。

行动

在操作模式下,输入 show security ike security-associations 命令。

验证连接的客户端和分配的地址

目的

验证分配给他们的远程客户端和 IP 地址是否在使用 XAuth。

行动

在操作模式下,输入 show security ike active-peer 命令。

验证 IPsec 第 2 阶段状态

目的

验证安全关联的 IPsec 第 2 阶段状态。

行动

在操作模式下,输入 show security ipsec security-associations 命令。

验证每个用户的并发连接和参数

目的

验证每个用户的并发连接数量和协商的参数。

行动

在操作模式下,输入 show security dynamic-vpn users 命令。