创建远程访问 VPN — NCP 专用客户端
您现在的位置: 网络 > VPN > IPsec VPN。
NCP 专用远程访问客户端是适用于瞻博网络 SRX 系列网关的 NCP 专用远程访问解决方案的一部分。VPN 客户端仅适用于 NCP 专用远程访问管理。与 SRX 系列网关连接时,可使用 NCP 专用客户端从任意位置建立基于 IPsec 的安全数据链路。
要为瞻博网络安全连接创建远程访问 VPN:
字段 |
行动 |
|---|---|
姓名 |
输入远程访问连接的名称。此名称将在 NCP 专用客户端中显示为最终用户连接名称。 |
描述 |
输入描述。此说明将用于 IKE 和 IPsec 提议、策略、远程访问配置文件、客户端配置和 NAT 规则集。 在编辑期间,将显示 IPsec 策略说明。IPsec 策略和远程访问配置文件说明将会更新。 |
路由模式 |
对于远程访问,此选项将被禁用。 默认模式为流量选择器(自动路由插入)。 |
身份验证方法 |
从列表中选择设备用于验证互联网密钥交换 (IKE) 消息来源的身份验证方法:
|
自动创建防火墙策略 |
如果选择 是,则在内部区域和隧道接口区域之间自动创建防火墙策略,其中本地受保护网络作为源地址,远程受保护网络作为目标地址。 反之亦然,将创建另一个防火墙策略。 如果选择 否,则没有防火墙策略选项。您需要手动创建所需的防火墙策略才能使此 VPN 正常工作。
注意:
如果您不想在 VPN 工作流中自动创建防火墙策略,则在本地和远程网关中都会隐藏受保护的网络以进行动态路由。 |
远程用户 |
在拓扑中显示远程用户图标。 此选项处于禁用状态。 |
本地网关 |
在拓扑中显示本地网关图标。单击图标以配置本地网关。 有关这些字段的更多信息,请参阅 表 2。 |
IKE 和 IPsec 设置 |
使用建议的算法或值配置自定义 IKE 或 IPsec 提议和自定义 IPsec 提议。 有关这些字段的更多信息,请参阅 表 5。
注意:
|
字段 |
行动 |
|---|---|
网关支持 NAT |
当本地网关位于 NAT 设备后面时启用此选项。 |
NAT IP 地址 |
输入 SRX 系列防火墙的公共 (NAT) IP 地址。
注意:
仅当启用了 网关在 NAT 之后 时,此选项才可用。您可以配置 IPv4 地址来引用 NAT 设备。 |
IKE ID |
此字段为必填字段。以 user@example.com 格式输入IKE ID。 |
外部接口 |
从列表中选择客户端将连接到的传出接口。 如果指定接口配置了多个 IPv4 地址,则该列表包含所有可用 IP 地址。所选 IP 地址将配置为 IKE 网关下的本地地址。 |
隧道接口 |
从列表中选择客户端要连接到的接口。 单击 “添加” 以添加新接口。此时将显示 Create Tunnel Interface 页面。有关创建新隧道接口的详细信息,请参阅 表 3。 单击 编辑 以编辑选定的隧道接口。 |
预共享密钥 |
输入预共享密钥的以下值之一:
注意:
如果身份验证方法是预共享密钥,则此选项可用。 |
本地证书 |
从列表中选择一个本地证书。 本地证书仅列出 RSA 证书。 要添加证书,请单击 添加。有关添加设备证书的详细信息,请参阅 关于证书页面。
注意:
如果身份验证方法是基于证书的,则此选项可用。 |
可信证书颁发机构/集团 |
从列表中选择受信任的证书颁发机构/组配置文件。 要添加 CA 证书颁发机构档案,请单击“ 添加 CA 证书颁发机构档案”。有关添加证书颁发机构档案的详细信息,请参阅 添加证书颁发机构证书。
注意:
如果身份验证方法是基于证书的,则此选项可用。 |
用户身份验证 |
此字段为必填字段。从列表中选择将用于对访问远程访问 VPN 的用户进行身份验证的身份验证配置文件。 单击 “添加” 以创建新的配置文件。有关创建新访问配置文件的详细信息,请参阅 添加访问配置文件。 |
SSL VPN 配置文件 |
从列表中选择将用于终止远程访问连接的 SSL VPN 配置文件。 要创建新的 SSL VPN 配置文件,请执行以下作:
|
源 NAT 流量 |
默认情况下,此选项处于启用状态。 默认情况下,来自瞻博网络安全连接客户端的所有流量都已 NAT 到所选接口。 如果禁用,则必须确保有一条从网络指向 SRX 系列防火墙的路由,以便正确处理返回流量。 |
接口 |
从列表中选择源 NAT 流量通过的接口。 |
受保护的网络 |
单击 +。此时将显示“创建受保护网络”页面。 |
| 创建受保护的网络 | |
区域 |
从列表中选择将用作防火墙策略中源区域的安全区域。 |
全局地址 |
从“可用”列中选择地址,然后单击向右箭头将其移动到“所选”列。 单击 “添加 ”以选择客户端可以连接到的网络。 此时将显示“创建全局地址”页面。有关这些字段的更多信息,请参阅 表 4。 |
编辑 |
选择要编辑的受保护网络,然后单击铅笔图标。 此时将显示“编辑受保护网络”页面,其中包含可编辑字段。 |
删除 |
选择要编辑的受保护网络,然后单击删除图标。 将弹出确认消息。 单击 “是 ”以删除受保护的网络。 |
字段 |
行动 |
|---|---|
接口单元 |
输入逻辑单元编号。 |
描述 |
输入逻辑接口的说明。 |
区域 |
从列表中选择一个区域以将其添加到隧道接口。 此区域用于自动创建防火墙策略。 单击 “添加” 以添加新区域。输入区域名称和描述,然后在“创建安全性区域”页面上单击 “确定 ”。 |
路由实例 |
从列表中选择一个布线实例。
注意:
默认路由实例 primary 是指逻辑系统中的主 inet.0 路由表。 |
字段 |
行动 |
|---|---|
姓名 |
输入全局地址的名称。名称必须是唯一的字符串,必须以字母数字字符开头,并且可以包含冒号、句点、破折号和下划线;不允许空格;最多 63 个字符。 |
IP 类型 |
选择 IPv4。 |
| IPv4 | |
IPv4 地址 |
输入有效的 IPv4 地址。 |
子网 |
输入 IPv4 地址的子网。 |
字段 |
行动 |
|---|---|
| IKE 设置
注意:
以下参数是自动生成的,不会显示在 J-Web UI 中:
|
|
| 加密算法 |
从列表中选择相应的加密机制。 默认值为 AES-CBC 256 位。 |
| 身份验证算法 |
从列表中选择身份验证算法。例如,SHA 256 位。
注意:
从 Junos OS 23.4R1 版本开始,J-Web 可对已安装 junos-ike 软件包的设备使用 SHA 512 位身份验证算法。 |
| DH 组 |
Diffie-hellman (DH) 交换允许参与方生成一个共享的密钥值。从列表中选择相应的 DH 组。默认值为 group19。
注意:
从 Junos OS 23.4R1 版本开始,J-Web 可支持已安装 junos-ike 软件包的设备使用第 15 组、第 16 组和第 21 组 DH 组。 |
| 生存秒数 |
选择 IKE 安全关联 (SA) 的生存期持续时间(以秒为单位)。 默认值为 28,800 秒。范围:180 到 86,400 秒。 |
| 失效对等体检测 |
启用此选项可发送失效对等方检测请求,而不管对等方是否有传出 IPsec 流量。 |
| DPD 模式 |
从列表中选择其中一个选项:
|
| DPD 间隔 |
选择发送失效对等方检测消息的时间间隔(以秒为单位)。默认间隔为 10 秒。范围为 2 到 60 秒。 |
| DPD 阈值 |
选择一个从 1 到 5 的数字以设置故障 DPD 阈值。 这指定了当对等方没有响应时必须发送 DPD 消息的最大次数。默认传输次数为 5 次。 |
| 高级配置(可选) | |
| NAT-T |
启用此选项,使 IPsec 流量通过 NAT 设备。 NAT-T 是一种 IKE 第 1 阶段算法,尝试在两个网关设备之间建立 VPN 连接时使用,其中一台 SRX 系列防火墙前面有一台 NAT 设备。 |
| NAT 保持活动 |
选择适当的激活间隔(以秒为单位)。范围:1 到 300。 如果预计 VPN 会有很长一段时间不活动,您可以配置激活值来生成人工流量,以使会话在 NAT 设备上保持活动状态。 |
| IKE 连接限制 |
输入 VPN 配置文件支持的并发连接数。 范围为 1 到 4294967295。 当达到最大连接数时,不再有尝试访问 IPsec VPN 的远程访问用户 (VPN) 端点开始互联网密钥交换 (IKE) 协商。 |
| IKEv2 分段 |
默认情况下,此选项处于启用状态。IKEv2 分段将大型 IKEv2 消息拆分为一组较小的消息,以便在 IP 级别不会出现分段。分段发生在对原始消息进行加密和验证之前,因此每个分片都经过单独的加密和验证。
注意:
如果身份验证方法是基于证书的,则此选项可用。 |
| IKEv2 片段大小 |
在将 IKEv2 消息拆分为片段之前,选择 IKEv2 消息的最大大小(以字节为单位)。 大小适用于 IPv4 消息。范围:570 到 1320 字节。 默认值为 576 字节。
注意:
如果身份验证方法是基于证书的,则此选项可用。 |
| IPsec 设置 | |
| 加密算法 |
选择加密方法。默认值为 AES-GCM 256 位。 |
| 身份验证算法 |
从列表中选择 IPsec 身份验证算法。例如,HMAC-SHA-256-128。
注意:
当加密算法不是 gcm 时,此选项可用。
注意:
从 Junos OS 23.4R1 版本开始,J-Web 支持 HMAC-SHA 384 和 HMAC-SHA 512 身份验证算法,适用于已安装 junos-ike 软件包的设备。 |
| 完全向前保密 |
从列表中选择“完全向前保密 (PFS)”。设备使用此方法生成加密密钥。默认值为 group19。 PFS 独立于之前的密钥生成每个新的加密密钥。编号越高的组提供更高的安全性,但需要更多的处理时间。
注意:
group15、group16 和 group21 仅支持安装了 SPC3 卡和 junos-ike 软件包的 SRX5000 系列设备。
注意:
从 Junos OS 23.4R1 版本开始,J-Web 支持已安装 junos-ike 软件包的设备使用组 15、组 16 和组 21 PFS。 |
| 生存秒数 |
选择 IPsec 安全关联 (SA) 的生存期(以秒为单位)。当 SA 到期时,它将被新的 SA 和安全参数索引 (SPI) 取代或终止。默认值为 3,600 秒。范围:180 到 86,400 秒。 |
| 终身千字节 |
选择 IPsec SA 的生存期(以千字节为单位)。默认值为 256kb。范围:64 到 4294967294。 |
| 高级配置 | |
| 防重放 |
IPsec 通过使用 IPsec 数据包中内置的数字序列来防御 VPN 攻击——系统不接受具有相同序列号的数据包。 默认情况下,此选项处于启用状态。防重放会检查序列号并强制执行检查,而不仅仅是忽略序列号。 如果 IPsec 机制存在错误,导致数据包无序,从而无法正常运行,则禁用防重放。 |
| 安装间隔 |
选择允许在设备上安装重新密钥的出站安全关联 (SA) 的最大秒数。选择一个从 1 到 10 的值。 |
| 空闲时间 |
选择空闲时间间隔。如果未收到任何流量,会话及其相应的转换将在一段时间后超时。范围为 60 到 999999 秒。 |
| DF 位 |
选择设备如何处理外部报头中的不分段 (DF) 位:
|
| 复制外部 DSCP |
默认启用此选项。这样可以将差异服务代码点 (DSCP)(外部 DSCP+ECN) 从外部 IP 报头加密数据包复制到解密路径上的内部 IP 报头纯文本消息。启用此功能后,在 IPsec 解密后,明文数据包可以遵循内部 CoS (DSCP+ECN) 规则。 |
| ICMP 大数据包警告 |
使用此选项可启用或禁用发送 IPv6 数据包的 ICMP 数据包过大通知。
注意:
此选项仅适用于已安装 junos-ike 软件包的设备。 |
| ESN |
启用此选项以允许 IPsec 使用 64 位序列号。如果未启用 ESN,则默认使用 32 位序列号。禁用防重放时,确保未启用 ESN。
注意:
此选项仅适用于已安装 junos-ike 软件包的设备。 |
| 隧道 MTU |
输入 IPsec 隧道的最大传输数据包大小。 范围:256 到 9192。
注意:
此选项仅适用于已安装 junos-ike 软件包的设备。 |