Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

从 Junos OS 动态 VPN 迁移到瞻博网络安全连接

总结 本主题面向已部署动态 VPN 并计划迁移到瞻博网络安全连接的用户。如果您是瞻博网络安全连接的新用户,则可以跳过本主题。

开始之前:

最佳实践:

如果您以后需要回滚并出于某种原因对回滚历史记录进行回滚,建议您备份当前工作配置。

有关更多信息,请参阅 配置文件的救援和恢复

许可要求

首先,如果需要两个以上的并发用户,请确保已安装瞻博网络安全连接许可证。

瞻博网络安全连接许可证

开始之前

注意:

动态 VPN 文档存档在 Junos OS 和 Junos OS Evolved 23.1 可移植库。要访问文档,请下载并解压存档的文件。 vpn-ipsec.pdf 在解开的文件夹中找到文件并导航至 Remote Access VPN 章节。

完成以下与动态 VPN 相关的任务:

  • 更新用于动态 VPN 的防火墙策略:

    • from-zone验证当前动态 VPN 策略中的选项。选项from-zone将是瞻博网络安全连接 VPN 向导中使用的源区域。

    • 删除引用动态 VPN 的防火墙策略。

  • 删除为 “ 和层次结构下的edit security dynamic-vpnedit security ike动态 VPN 配置创建的 IKE 和 edit security ipsec IPsec 配置。

J-Web 向导入门

我们建议您使用 J-Web 向导进行瞻博网络安全连接配置。

我们建议您从新的瞻博网络安全连接部署开始。因为迁移当前设置可能会导致忽略一个或多个值。使用以下指南重新设置瞻博网络安全连接。

  • 检查是否有拆分隧道规则。这些规则在 SRX 系列防火墙后面指定客户端通过 VPN 隧道与之通信的远程受保护资源。您可以在 [set security dynamic-vpn clients configuration-name remote-protected-resources] 层次结构级别检查规则。在安全连接 VPN 向导中,隧道定义与受保护网络使用相同。

  • 在 J-Web 部署向导中启动新部署。我们建议启用 自动创建防火墙策略 选项以自动创建防火墙策略。

  • 您可以在此工作流程中重用访问配置文件和地址分配池。

  • 如果您已有从网络指向 SRX 系列防火墙的路由,并将该 IP 地址包含在地址分配池中或通过 RADIUS 进行定义,则可以禁用源 NAT 的使用。

  • 现在,您准备好开始配置瞻博网络安全连接了。