创建远程访问 VPN — NCP 专用客户端

名字

输入字母数字字符、冒号、句点、短划线和下划线的唯一字符串;不允许有空格;最大长度为 62 个字符。

描述

输入 VPN 的说明;最大长度为 255 个字符。

路由拓扑

流量选择器（自动路由插入）— 流量选择器是互联网密钥交换 （IKE） 对等方之间的协议，如果流量与指定的本地和远程地址对匹配，则允许流量通过隧道。

VPN 配置文件

根据部署方案从下拉列表中选择 VPN 配置文件。

默认配置文件仅适用于特定 IPsec VPN。您可以通过单击创建 IPsec VPN 页面上的查看 IKE/IPsec 设置 来查看和编辑详细信息。

共享配置文件可由一个或多个 IPsec VPN 使用。只能通过单击“创建 IPsec VPN”页面上的“查看 IKE/IPsec 设置”来查看共享配置文件的详细信息。

如果选择“VPN 配置文件”值作为“默认”，则在保存 IPsec VPN 时，需要将新配置文件另存为 VPN 特定或共享。如果要将其另存为共享，则配置文件将列在“VPN 配置文件”页面上。

身份验证方法

从列表中选择设备用于验证互联网密钥交换 （IKE） 消息源的身份验证方法。

• 基于预共享 — 指定在身份验证期间使用预共享密钥（即两个对等方之间共享的私有密钥）来相互标识对等方。必须为每个对等方配置相同的密钥。

• RSA 签名 — 指定使用支持加密和数字签名的公钥算法。

预共享密钥

使用预共享密钥建立VPN连接，该密钥本质上是双方相同的密码。

选择您要使用的预共享密钥类型：

• 自动生成 — 选择是否要为每个隧道自动生成唯一密钥。选中后，将自动启用每个隧道生成唯一密钥选项。如果禁用“为每个隧道生成唯一密钥”选项，Security Director 将为所有隧道生成一个密钥。

• 手动 - 选择以手动输入密钥。默认情况下，手动密钥是屏蔽的。

最大传输单位

选择最大传输单位 （MTU）（以字节为单位）。这定义了 IP 数据包的最大大小，包括 IPsec 开销。您可以指定隧道端点的 MTU 值。有效范围为 68 到 9192 字节。默认值为 1500 字节。

端点

选择一个设备以将其添加为终结点。

可用

查看当前域和子域中的所有设备，并启用“查看父级”。不会显示禁用了父视图的子域中的设备。

选择一个设备并将其添加为终结点。

以下筛选条件应用于设备选择：

• 未列出映射到 Junos OS 版本 12.1X46 及更高版本的 Junos-es 架构的 SRX 系列设备。

• 未列出逻辑系统和租户系统。

• 路由选项不适用。

外部接口

选择 IKE 安全关联 （SA） 的传出接口。此接口与充当其运营商的区域相关联，为其提供防火墙安全性。

隧道区

选择隧道区域。它们是地址空间的逻辑区域，可以支持动态 IP （DIP） 地址池，以便 NAT 应用程序对封装的 IPsec 流量进行预封装和后封装。

隧道区域在将隧道接口与 VPN 隧道组合方面还提供了极大的灵活性。

用户身份验证

从列表中选择将用于对访问远程访问 VPN 的用户进行身份验证的身份验证配置文件。

单击添加以创建新的访问配置文件。有关创建新访问配置文件的更多信息，请参阅 创建访问配置文件。

SSL VPN 配置文件

从列表中选择一个 SSL VPN 配置文件以终止远程访问连接。

要创建新的 SSL VPN 配置文件，请执行以下操作：

1. 单击 “添加”。

   将显示“添加 SSL VPN 配置文件”页面。

2. 输入 SSL VPN 配置文件名称。

3. 启用日志记录选项以记录 SSL VPN。

4. 输入 SSL 终止配置文件名称。

5. 选择服务器证书。

6. 单击“确定”。

NAT 流量

启用此选项，以便默认情况下，来自瞻博网络安全连接客户端的所有流量都将通过 NAT 传输到所选接口。

如果禁用，则必须确保有来自网络的路由指向 SRX 系列设备，以便正确处理返回流量。

证书

选择证书以对虚拟专用网络 （VPN） 发起方和接收方进行身份验证。

受信任的 CA/组

从列表中选择证书颁发机构 （CA） 配置文件以将其与本地证书关联。

这适用于身份验证方法是 RSA 签名的情况。

受保护的网络

配置所选设备的地址类型，以保护网络的一个区域免受另一个区域的影响。

IKE 版本

选择用于协商 IPsec 动态安全关联 （SA） 的所需 IKE 版本（V1 或 V2）。默认情况下，使用 IKE V2。

模式

选择 IKE 策略模式。

• 主 — 在三个对等交换中使用六条消息来建立 IKE SA。这三个步骤包括 IKE SA 协商、Diffie-Hellman 交换和对等方身份验证。还提供身份保护。

• 主动 - 占用主模式一半的消息数，协商能力较低，并且不提供身份保护。

加密算法

选择适当的加密机制。

身份验证算法

选择一种算法。设备使用此算法来验证数据包的真实性和完整性。

Deffie Hellman 集团

选择一个组。Diffie-Hellman （DH） 组确定密钥交换过程中使用的密钥的强度。

生存期秒数

选择 IKE 安全关联 （SA） 的生存期。有效范围为 180 到 86,400 秒。

失效对等体检测

启用此选项可允许两个网关确定对等网关是否已启动并响应在 IPsec 建立期间协商的失效对等方检测 （DPD） 消息。

DPD 模式

选择 DPD 模式。

• 优化：在设备向对等方发送传出数据包后，如果在配置的时间间隔内没有传入 IKE 或 IPsec 流量，则会触发 R-U-THERE 消息。这是默认模式。

• 探测空闲隧道：如果在配置的时间间隔内没有传入或传出 IKE 或 IPsec 流量，则会触发 R-U-THERE 消息。R-U-THERE 消息会定期发送到对等方，直到出现流量活动。

• 始终发送：无论对等方之间的流量活动如何，都会按配置的时间间隔发送 R-U-THERE 消息。

DPD 间隔

选择发送失效对等方检测消息的间隔（以秒为单位）。默认间隔为 10 秒，允许范围为 2 到 60 秒。

DPD 阈值

选择故障 DPD 阈值。这指定了当对等方没有响应时必须发送 DPD 消息的最大次数。默认传输次数为 5 次，允许范围为 1 到 5。

IKEv2 重新分段支持

IKEv2 分段将大型 IKEv2 消息拆分为一组较小的消息，以便在 IP 级别不存在分段。

IKEv2 重新分段大小

选择对消息进行分段的数据包大小。默认情况下，IPv4 的大小为 576 字节。

范围为 570 到 1320。

NAT-T

如果动态端点位于 NAT 设备后面，请启用网络地址转换遍历 （NAT-T）。

保持活力

选择一个值。在 VPN 对等方之间的连接期间，需要 NAT 激活来维护 NAT 转换。范围为 1 到 300 秒。

IKE 连接限制

选择 VPN 配置文件支持的并发连接数。当达到最大连接数时，尝试访问 IPsec VPN 的远程访问用户 （VPN） 终结点无法再开始互联网密钥交换 （IKE） 协商。

加密算法

选择必要的加密方法。

如果协议是 ESP，则这适用。

完全向前保密

选择“完全向前保密 （PFS）”作为设备用于生成加密密钥的方法。PFS 独立于前一个密钥生成每个新的加密密钥。编号越高的组提供更高的安全性，但需要更多的处理时间。

VPN 监控器

启用此选项可发送互联网控制消息协议 （ICMP） 以确定 VPN 是否已启动。

优化

启用 VPN 监控优化后，SRX 系列设备仅在有传出流量且没有来自配置对等方的传入流量时，才会通过 VPN 隧道发送 ICMP 回显请求 （ping）。如果有传入流量通过 VPN 隧道，SRX 系列设备会认为隧道处于活动状态，不会向对等方发送 ping。

防重放

默认情况下，防重放检测处于启用状态。IPsec 通过使用内置于 IPsec 数据包中的一系列数字来抵御 VPN 攻击 — 系统不接受已看到相同序列号的数据包。它检查序列号并强制执行检查，而不仅仅是忽略序列号。如果 IPsec 机制出错，导致数据包无序，从而阻止正常运行，请禁用它。

安装间隔

选择允许在设备上安装重新生成密钥的出站安全关联 （SA） 的最大秒数。

空闲时间

选择适当的空闲时间间隔。如果未收到流量，会话及其相应的转换通常会在一段时间后超时。

DF 位

选择一个选项以处理 IP 消息中的不分段 （DF） 位。

• 清除 — 禁用 IP 消息中的 DF 位。这是默认设置。

• 复制 — 将 DF 位复制到 IP 消息。

• 设置 — 启用 IP 消息中的 DF 位。

复制外部 DSCP

启用将差异服务代码点 （DSCP） 字段从外部 IP 标头加密数据包复制到解密路径上的内部 IP 标头纯文本消息。启用此功能的好处是，在 IPsec 解密之后，明文数据包可以遵循内部服务等级 （CoS） 规则。

终身秒数

选择 IKE 安全关联 （SA） 的生存期。有效范围为 180 到 86,400 秒。

生命周期千字节

选择 IPsec 安全关联 （SA） 的生存期（以千字节为单位）。范围为 64 到 4294967294 KB。