Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

使用 EAP-MSCHAPv2 身份验证的基于证书的验证(CLI 过程)

概述

在此配置中,您可以使用用户名和密码进行外部用户身份验证(通过 RADIUS 服务器),并使用 EAP-MSCHAPv2 身份验证方法验证用户证书。

我们假设您已完成 SRX 系列防火墙的基本设置,包括 图 1 所示的接口、区域和安全策略。

图 1:拓扑 Topology

有关先决条件的信息,请参阅 系统要求

确保您将公钥基础架构 (PKI) 配置为后端身份验证。在这种情况下,您只需在每台客户端上安装 CA 的根证书。请注意,此方案不支持本地身份验证。

必须确保 SRX 系列防火墙使用签名证书或自签名证书,而不是系统生成的默认证书。开始配置瞻博网络安全连接之前,必须通过执行以下命令,将证书绑定到 SRX 系列防火墙:

例如:

其中SRX_Certificate是自签名证书。

CLI 快速配置

要在 SRX 系列防火墙上快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到 [编辑] 层次结构级别的 CLI 中。

逐步过程

要使用命令行界面配置 VPN 设置:

  1. 使用命令行界面 (CLI) 登录 SRX 系列防火墙。
  2. 进入配置模式。
  3. 配置远程访问 VPN。

    要部署瞻博网络安全连接,必须创建一个自签名证书,并将该证书绑定到 SRX 系列防火墙。有关更多信息,请参阅 准备瞻博网络安全连接配置

    IKE 配置:

    1. 配置 IKE 提议。

      • 配置为 rsa-signatures 身份验证方法,以配置基于证书的身份验证。

      • 定义 IKE 提议身份验证方法、Diffie-Hellman 组和身份验证算法。
      请参阅 提议(安全 IKE)。
    2. 配置 IKE 策略。设置 IKE 第 1 阶段策略模式,引用 IKE 提议和 IKE 第 1 阶段策略身份验证方法。请参阅策略(安全 IKE)。
      要加载本地证书,当本地设备具有多个已加载的证书时, set security ike policy policy-name certificate local-certificate certificate-id 使用命令指定特定的本地证书。您可以选择一个已外部签名的本地证书。在此示例中, SRX_Certificate 是为 JUNIPER_SECURE_CONNECT 策略加载的现有本地证书。
      如果没有现有本地证书,可以按照以下步骤创建一个:
      创建本地证书后,您可以使用命令将证书附加到 IKE 策略 set security ike policy policy-name certificate local-certificate certificate-id
    3. 配置 IKE 网关选项。了解动态

      如果未配置 DPD 值和版本信息,Junos OS 将为这些选项分配默认值。请参阅 失效对等检测

      配置要连接的客户端的外部接口 IP 地址。您必须在瞻博网络安全连接应用程序中为 网关地址 字段输入相同的 IP 地址(在此示例中为 https://192.0.2.0)。请参阅 网关

    IPsec 配置:

    1. 配置 IPsec 提议。
      指定 IPsec 第 2 阶段提议协议、加密算法和其他第 2 阶段选项。
      请参阅 提议(安全 IPsec)。
    2. 配置 IPsec 策略。
      • 指定 IPsec 第 2 阶段 PFS 以使用 Diffie-Hellman 组 19。
      • 指定 IPsec 第 2 阶段提议参考。
      请参阅 策略(安全 IPsec)。

    IPsec VPN 配置:

    1. 配置 IPsec VPN 参数。请参阅 vpn(安全)。
    2. 配置 VPN 流量选择器。请参阅流量选择器
  4. 配置远程用户客户端选项。
    1. 配置远程访问配置文件。请参阅远程访问
    2. 配置远程访问客户端配置。请参阅 client-config

      表 1 汇总了远程用户设置选项。

      表 1:远程用户设置选项

      远程用户设置

      描述

      连接模式

      要手动或自动建立客户端连接,请配置相应的选项。

      • 如果配置 手动 选项,则在瞻博网络安全连接应用程序中,必须单击切换按钮,或从菜单中选择连接 >连接

      • 如果配置 Always option,则瞻博网络安全连接会自动建立连接。

      已知限制:

      Android 设备:如果使用或选择 Always,则配置将从第一台使用的 SRX 设备下载。如果第一个 SRX 系列防火墙配置发生变化,或者连接到新的 SRX 设备,则配置不会下载到瞻博网络安全连接应用程序。

      这意味着,使用 Android 设备以 始终 模式连接后,SRX 系列防火墙中的任何配置更改均不会对瞻博网络安全连接生效。

      失效对等方检测

      默认情况下,不工作对等方检测 (DPD) 处于启用状态,以允许客户端检测 SRX 系列防火墙是否可访问且无法访问设备,请在恢复可访问性之前禁用连接。

      默认 -配置文件

      如果将 VPN 连接配置文件配置为默认配置文件,则只需在瞻博网络安全连接应用程序中输入网关地址。可以选择在瞻博网络安全连接应用程序中输入域名称,因为应用程序会自动选择默认配置文件作为领域名称。在此示例中,在瞻博网络安全连接应用程序的网关地址字段中输入 ra.example.com

      注意:

      从 Junos OS 23.1R1 版开始,我们在 [edit security remote-access] 层次结构级别隐藏default-profile了选项。在 Junos OS 23.1R1 版之前的版本中,您可以使用此选项将其中一个远程访问配置文件指定为瞻博网络安全连接中的默认配置文件。但是,随着远程访问配置文件名称格式的更改,我们不再需要该default-profile选项。

      我们弃用了default-profile选项(而不是立即删除选项)以提供向后兼容性,并让现有配置符合更改的配置。如果您继续使用配置中的选项,default-profile您将收到一条警告消息。但是,如果您修改当前配置,现有部署不会受到影响。请参阅默认配置文件(瞻博网络安全连接)。

      配置 no-eap-tls 选项以配置 EAP-MSCHAPv2 身份验证方法以验证用户证书。

  5. 配置本地网关。
    1. 为客户端动态 IP 分配创建地址池。请参阅地址分配(访问)。

      • 输入用于地址分配的网络地址。

      • 请输入您的 DNS 服务器地址。如果需要,请输入 WINS 服务器详细信息。创建地址范围以将 IP 地址分配给客户端。

      • 输入名称和上限。

    2. 创建访问配置文件。

      对于外部用户身份验证,请提供 Radius 服务器 IP 地址、Radius 密钥和要从其来源的 radius 通信的源地址。为身份验证顺序配置 radius。

    3. 配置公钥基础架构 (PKI) 属性。请参阅 pki
    4. 创建 SSL 终止配置文件。SSL 终止是一个进程,其中 SRX 系列防火墙充当 SSL 代理服务器,并从客户端终止 SSL 会话。输入 SSL 终止配置文件的名称,并选择您在 SRX 系列防火墙上用于 SSL 终止的服务器证书。服务器证书是本地证书标识符。服务器证书用于验证服务器的身份。
    5. 创建 SSL VPN 配置文件。请参阅 tcp-encap
    6. 创建防火墙策略。
      创建安全策略以允许从信任区域到 VPN 区域的流量。
      创建安全策略以允许从 VPN 区域到信任区域的流量。
  6. 配置以太网接口信息。

    配置将家族设置为 inet 的 st0 接口。

  7. 配置安全区域。
  8. 成功配置了使用远程用户和本地网关的远程访问配置。
  9. 启动瞻博网络安全连接应用程序并提供与瞻博网络安全连接应用程序的“网关地址”字段中为外部 IP 地址配置的相同 IP 地址。

    在此示例中,您已将 https://192.0.2.0/ 配置为要连接的客户端的外部接口 IP 地址。您必须在瞻博网络安全连接应用程序中的 网关地址 字段中输入此相同的 IP 地址 (https://192.0.2.0/)。

结果

在操作模式下,输入 、 show accessshow security pki命令,show security以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备上功能配置后,在配置模式下输入提交。

相关文档