Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

创建远程访问 VPN - NCP 专用客户端

准备工作

网络控制协议 (NCP) 专用远程访问客户端是适用于瞻博网络 SRX 系列网关的 NCP 专用远程访问解决方案的一部分。VPN 客户端仅适用于 NCP 专用远程访问管理。与 SRX 系列网关连接时,可使用 NCP 专用客户端从任何位置建立基于 IPsec 的安全数据链路。

要配置远程访问 NCP 独占客户端,请执行以下作:

  1. 选择“配置> IPsec VPN”>“IPsec VPN”。

    此时将显示 IPsec VPN 页面。

  2. 单击“创建 VPN> <基于路由>远程访问 NCP 独占客户端

    此时将显示“创建远程访问(NCP 独占客户端)”页面。

  3. 按照表 1表 4 中提供的指南完成 IPsec VPN 配置参数。
    注意:

    单击拓扑中的本地网关图标,配置本地网关。单击 查看 IKE/IPSec 设置 以查看或编辑 VPN 配置文件。如果 VPN 配置文件是默认的,您可以编辑配置。如果配置文件是共享的,则只能查看配置。

    拓扑中的 VPN 连接将从灰线变为蓝线,表示配置已完成。

    显示的拓扑仅用于表示。
  4. 单击“保存”以保存 IPsec 配置。
图 1:创建远程访问 NCP 独占客户端 Configuration interface for setting up a remote access VPN using NCP Exclusive Client with fields for name, description, routing topology, VPN profile, authentication method, and global tunnel settings including preshared key options. Diagram shows remote user, internet, and local gateway with tooltip for configuration. Navigation sidebar and Save or Cancel options included.
表 1:IPsec VPN 配置参数

设置

指引

名字

输入唯一的字母数字字符、冒号、句点、破折号和下划线字符串;不允许有空格;最大长度为 62 个字符。

描述

输入 VPN 的描述;最大长度为 255 个字符。

路由拓扑

流量选择器(自动路由插入)— 流量选择器是互联网密钥交换 (IKE) 对等方之间的协议,如果流量与指定的本地和远程地址对匹配,则允许流量通过隧道。

VPN 配置文件

根据部署方案,从下拉列表中选择 VPN 配置文件。

默认配置文件仅适用于特定 IPsec VPN。单击“创建 IPsec VPN”页面上 的查看 IKE/IPsec 设置 ,可以查看和编辑详细信息。

共享配置文件可由一个或多个 IPsec VPN 使用。只能通过单击“创建 IPsec VPN”页面上的查看 IKE/IPsec 设置来查看共享配置文件的详细信息。

如果选择“VPN 配置文件”值作为“默认”,则在保存 IPsec VPN 时,需要将新配置文件另存为特定于 VPN 或共享的配置文件。如果将其另存为共享,则配置文件将列在“VPN 配置文件”页面上。

身份验证方法

从列表中选择设备用于验证互联网密钥交换 (IKE) 消息来源的身份验证方法。

  • 基于预共享 — 指定在身份验证期间使用预共享密钥(两个对等方之间共享的密钥)来相互识别对等方。必须为每个对等方配置相同的密钥。

  • RSA 签名 — 指定使用支持加密和数字签名的公钥算法。
全局隧道设置

预共享密钥

使用预共享密钥建立 VPN 连接,预共享密钥本质上是双方相同的密码。

选择要使用的预共享密钥类型:

  • 自动生成 - 选择是否要为每个隧道自动生成一个唯一密钥。选择此选项后,将自动启用“为每个隧道生成唯一密钥”选项。如果禁用为每个隧道生成唯一密钥选项,Security Director 将为所有隧道生成一个密钥。

  • 手动 - 选择以手动输入密钥。默认情况下,手动密钥处于屏蔽状态。

注意:

仅当身份验证方法基于预共享时,这才适用。

最大传输单位

选择最大传输单元 (MTU),以字节为单位。这定义了 IP 数据包的最大大小,包括 IPsec 开销。您可以指定隧道端点的 MTU 值。有效范围为 68 到 9192 字节。默认值为 1500 字节。
表 2:查看或选择设备

设置

指引

端点

选择要将其添加为终结点的设备。

可用

查看当前域和子域中的所有设备,并启用“查看父”。不会显示已禁用视图父级的子域中的设备。

选择设备并将其添加为终结点。

以下筛选条件适用于设备选择:

  • 未列出映射到 Junos OS 12.1X46 及更高版本 Junos-es 架构的 SRX 系列设备。

  • 未列出逻辑系统和租户系统。

  • 路由选项不适用。
表 3:本地网关配置参数

设置

指引

外部接口

为 IKE 安全关联 (SA) 选择传出接口。此接口与充当其运营商的区域相关联,为其提供防火墙安全性。

通道区段

选择隧道区域。它们是地址空间的逻辑区域,可支持 NAT 应用的动态 IP (DIP) 地址池,以便对封装前后的 IPsec 流量进行封装。

隧道区域还为将隧道接口与 VPN 隧道组合提供了极大的灵活性。

用户身份验证

从列表中选择用于对访问远程访问 VPN 的用户进行身份验证的身份验证配置文件。

单击“添加”以创建新的访问配置文件。有关创建新的访问配置文件的详细信息,请参阅 创建访问配置文件

注意:

远程 VPN 不支持 LDAP 身份验证。

SSL VPN 配置文件

从列表中选择 SSL VPN 配置文件以终止远程访问连接。

要创建新的 SSL VPN 配置文件,请执行以下作:

  1. 单击 “添加”

    此时将显示“添加 SSL VPN 配置文件”页面。

  2. 输入 SSL VPN 配置文件名称。

  3. 启用日志记录选项以记录 SSL VPN。

  4. 输入 SSL 终止配置文件名称。

  5. 选择服务器证书。

  6. 单击 “确定”

NAT 流量

启用此选项,以便默认情况下,来自瞻博网络安全连接客户端的所有流量都将 NAT 连接到所选接口。

如果禁用,则必须确保网络中有一条指向 SRX 系列设备的路由,以便正确处理回传流量。

证书

选择用于对虚拟专用网 (VPN) 发起方和接收方进行身份验证的证书。

受信任的 CA/组

从列表中选择证书颁发机构 (CA) 配置文件以将其与本地证书关联。

当身份验证方法为 RSA 签名时,这适用。

受保护的网络

配置所选设备的地址类型,以保护网络的一个区域免受另一个区域的攻击。

注意:

您还可以通过单击 “添加新地址”来创建地址。
表 4:查看或编辑 IKE 或 IPsec 设置

设置

指引
IKE 设置

IKE 版本

选择用于协商 IPsec 的动态安全关联 (SA) 所需的 IKE 版本(V1 或 V2)。默认情况下,使用 IKE V2。

模式

选择 IKE 策略模式。

  • 主 — 在三个对等交换中使用六条消息来建立 IKE SA。这三个步骤包括 IKE SA 协商、Diffie-Hellman 交换和对等方身份验证。还提供身份保护。

  • 积极 — 采用主模式消息数量的一半,协商能力较低,并且不提供身份保护。

注意:

当 IKE 版本为 V1 时,模式适用。

加密算法

选择适当的加密机制。

验证算法

选择一种算法。设备使用此算法来验证数据包的真实性和完整性。

Deffie Hellman 集团

选择一个组。Diffie-Hellman (DH) 群组确定密钥交换过程中使用的密钥的强度。

生存秒数

选择 IKE 安全关联 (SA) 的生存期。有效范围为 180 到 86,400 秒。

失效对等体检测

启用此选项可允许两个网关确定对等网关是否已启动并响应在 IPsec 建立期间协商的失效对等方检测 (DPD) 消息。

DPD 模式

选择 DPD 模式。

  • 优化:设备向对等方发送传出数据包后,如果在配置的时间间隔内没有传入 IKE 或 IPsec 流量,则会触发 R-U-THERE 消息。这是默认模式。

  • 探测空闲隧道: 如果在配置的时间间隔内没有传入或传出 IKE 或 IPsec 流量,则会触发 R-U-THERE 消息。R-U-THERE 消息会定期发送到对等方,直到出现流量活动。

  • 始终发送:无论对等方之间的流量活动如何,都按配置的时间间隔发送 R-U-THERE 消息。

DPD 间隔

选择以秒为单位的时间间隔以发送失效对等方检测消息。默认间隔为 10 秒,允许的范围为 2 到 60 秒。

DPD 阈值

选择故障 DPD 阈值。这指定当对等方没有响应时必须发送 DPD 消息的最大次数。默认传输次数为 5 次,允许范围为 1 到 5。
高级配置

IKEv2 Re 分片支持

IKEv2 分片将大型 IKEv2 消息拆分为一组较小的消息,以便在 IP 级别不存在分段。

IKEv2 重新分段大小

选择消息分段的数据包大小。默认情况下,IPv4 的大小为 576 字节。

范围是 570 到 1320。

NAT-T

如果动态终结点位于 NAT 设备后面,则启用网络地址转换遍历 (NAT-T)。

保持活力

选择一个值。需要 NAT 激活才能在 VPN 对等方之间的连接期间维护 NAT 转换。范围为 1 到 300 秒。

IKE 连接限制

选择 VPN 配置文件支持的并发连接数。当达到最大连接数时,不再有尝试访问 IPsec VPN 的远程访问用户 (VPN) 端点可以开始互联网密钥交换 (IKE) 协商。
IPSec 设置

加密算法

选择必要的加密方法。

如果协议是 ESP,则适用。

完全向前保密

选择“完全向前保密 (PFS)”作为设备用于生成加密密钥的方法。PFS 独立于前一个密钥生成每个新加密密钥。编号越高的组安全性越高,但需要更长的处理时间。
高级配置

VPN 监控器

启用此选项可发送互联网控制消息协议 (ICMP) 以确定 VPN 是否已打开。

优化

启用 VPN 监控优化后,SRX 系列设备仅在有传出流量且没有来自配置的对等方的传入流量通过 VPN 隧道时发送 ICMP 回显请求 (ping)。如果有通过 VPN 隧道的传入流量,SRX 系列设备会将隧道视为活动状态,不会向对等方发送 ping。

防重放

默认情况下,防重放检测处于启用状态。IPsec 通过使用 IPsec 数据包中内置的一系列数字来抵御 VPN 攻击 - 系统不接受已看到相同序列号的数据包。它会检查序列号并强制执行检查,而不仅仅是忽略序列号。如果 IPsec 机制出现错误,导致数据包乱序,妨碍正常运行,请禁用该机制。

安装间隔

选择允许在设备上安装重新密钥的出站安全关联 (SA) 的最大秒数。

空闲时间

选择适当的空闲时间间隔。如果未收到任何流量,会话及其对应的转换通常会在一段时间后超时。

DF 位

选择一个选项以处理 IP 消息中的不分段 (DF) 位。

  • 清除 — 禁用 IP 消息的 DF 位。这是默认设置。

  • 复制 — 将 DF 位复制到 IP 消息。

  • set — 启用 IP 消息中的 DF 位。

复制外部 DSCP

启用将差异服务代码点 (DSCP) 字段从外部 IP 报头加密数据包复制到解密路径上的内部 IP 报头纯文本消息。启用此功能的好处是,在 IPsec 解密后,明文数据包可以遵循内部服务等级 (CoS) 规则。

生存秒数

选择 IKE 安全关联 (SA) 的生存期。有效范围为 180 到 86,400 秒。

生存期千字节

选择 IPsec 安全关联 (SA) 的生存期(以千字节为单位)。范围为 64 到 4294967294 KB。

相关主题