Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

外部用户身份验证(CLI 过程)

概述

此配置更安全,因为它允许您使用与域登录相同的用户名和密码,以及在不与防火墙管理员交互的情况下更改或恢复您的凭据。由于密码必须频繁更改,因此管理员的工作负载也会减少。建议您使用此配置对用户进行身份验证。

假设您已完成 SRX 系列设备的基本设置,包括接口、区域和安全策略,如 图 1 所示。

图 1:拓扑 Topology

有关先决条件的信息,请参阅 系统要求

您必须确保 SRX 系列设备使用已签名的证书或自签名证书,而不是默认系统生成的证书。开始配置 Juniper Secure Connect 之前,必须执行以下命令,将证书绑定到 SRX 系列设备:

例如:

如果SRX_Certificate是从 CA 获得或自签名证书的证书。

CLI 快速配置

要在 SRX 系列设备上快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,然后将命令复制粘贴到 [edit] 层次结构级别的 CLI 中。

逐步步骤

要使用命令行界面配置 VPN 设置:

  1. 使用命令行界面 (CLI) 登录 SRX 系列设备。
  2. 进入配置模式。
  3. 配置远程访问 VPN。

    为部署瞻博网络安全连接,您必须创建自签名证书并将证书绑定到 SRX 系列设备。有关更多信息,请参阅 准备瞻博网络安全连接配置

    IKE 配置:

    1. 配置 IKE 提议。
      • 定义 IKE 提议身份验证方法、Diffie-Hellman 组和身份验证算法。
      • 预共享密钥 配置为认证方法。
    2. 配置 IKE 策略。

      设置 IKE 第 1 阶段策略模式、参考 IKE 提议和 IKE 第 1 阶段策略身份验证方法。

    3. 配置 IKE 网关选项。请参阅动态

      如果不配置 DPD 值和版本信息,Junos OS 将为这些选项分配默认值。请参阅 死对等检测

      为客户端配置外部接口 IP 地址以进行连接。您必须为 Juniper Secure Connect 应用程序中的网关地址字段输入相同的 IP 地址(在此示例中:https://192.0.2.0/)。请参阅 网关

    IPsec 配置:

    1. 配置 IPsec 提议。
    2. 配置 IPsec 策略。
      • 指定 IPsec 相 2 PFS 以使用 Diffie-Hellman 组 19。
      • 指定 IPsec 第 2 阶段提议参考。

    IPsec VPN 配置:

    1. 配置 IPsec VPN 参数。请参阅 vpn(安全)
    2. 配置 VPN 流量选择器。请参阅信息流选择器
  4. 配置远程用户客户端选项。
    1. 配置远程访问配置文件。请参阅远程访问
    2. 为远程访问配置多设备用户访问。

      要配置多设备用户访问,请确保满足以下先决条件:

      • 支持 Secure Connect 客户端版本。

      • 每个远程设备(计算机或智能设备)都有一个独特的主机名。

      • 为了降低许可证使用量,您可以使用 set security ipsec vpn vpn-nameike idle-time 命令来配置空闲超时选项,以便断开非活动连接。

      • group-ike-id支持 。

      您可以使用 命令 clear security ike active-peer aaa-username user-name清除用户的所有 IKE 关联。

      多设备用户访问功能不使用使用半径属性帧-IP 地址的静态地址分配。用户的第一个连接将成功建立,其余的可能失败。

      使用 authd 进程的静态地址分配将为用户的第一个连接提供已配置的 IP 地址,而对于后来的连接,它将使用 set access address-assignment pool family [inet|inet6] host ip-address user-name 命令从池中免费提供 IP。

    3. 配置远程访问客户端配置。请参阅客户端配置默认配置文件

    表 1 汇总了远程用户设置选项。

    表 1:远程用户设置选项

    远程用户设置

    描述

    连接模式

    要手动或自动建立客户端连接,请配置相应的选项。

    • 如果配置 手动 选项,则在 Juniper Secure Connect 应用程序中建立连接,则必须单击切换按钮或从菜单中选择 连接>连接

    • 如果配置 “始终 选项”,瞻博网络安全连接将自动建立连接。

    已知限制:

    Android 设备:如果您使用或选择 Always,则从第一个使用的 SRX 设备下载配置。如果第一个 SRX 设备配置更改,或者如果连接到新的 SRX 设备,配置将无法下载到 Juniper Secure Connect 应用程序。

    这意味着,一旦您使用 Android 设备在 始终 模式下连接,SRX 设备中的任何配置更改都不会对瞻博网络安全连接生效。

    死对等检测

    死对等方检测 (DPD) 默认启用,允许客户端检测 SRX 系列设备是否可到达,如果设备无法到达,请禁用连接,直至恢复可访问性。

    默认配置文件

    如果将 VPN 连接配置文件配置为默认配置文件,则只能输入 Juniper Secure Connect 应用程序中的网关地址。在 Juniper Secure Connect 应用程序中输入域名是可选的,因为应用程序会自动将默认配置文件选择为领域名称。在此示例中,在 Juniper Secure Connect 应用程序的网关地址字段中输入 ra.example.com

  5. 配置本地网关。
    1. 为客户端动态 IP 分配创建地址池。请参阅地址分配(访问)
      • 输入用于地址分配的网络地址。

      • 输入 DNS 服务器地址。必要时输入 WINS 服务器详细信息。创建地址范围,为客户端分配 IP 地址。

      • 输入名称,以及下限和更高限制。

    2. 创建访问配置文件。

      对于外部用户身份验证,提供用于从中获取半径通信的 Radius 服务器 IP 地址、Radius Secret 和源地址。为认证顺序配置半径。

    3. 创建 SSL 终端配置文件。SSL 终止是一个过程,其中 SRX 系列设备充当 SSL 代理服务器,并终止客户端的 SSL 会话。输入 SSL 终端配置文件的名称,然后选择用于 SRX 系列设备上的 SSL 终端的服务器证书。服务器证书是本地证书标识符。服务器证书用于验证服务器的身份。
    4. 创建 SSL VPN 配置文件。请参阅 tcp 封装
    5. 创建防火墙策略。
      创建安全策略以允许从信任区域到 VPN 区域的流量。
      创建安全策略以允许从 VPN 区域到信任区域的流量。
  6. 配置以太网接口信息。

    配置将系列设置为 inet 的 st0 接口。

  7. 配置安全区域。
  8. 使用远程用户和本地网关的远程访问配置已成功配置。
  9. 启动瞻博网络安全连接应用程序,并提供您在 Juniper Secure Connect 应用程序中的网关地址字段中为外部 IP 地址配置的相同 IP 地址。

    在此示例中,您已将 192.0.2.0 配置为用于连接客户端的外部接口 IP 地址。您必须输入 Juniper Secure Connect 应用程序中网关地址字段的相同 IP 地址 (192.0.2.0)。

结果

在操作模式下,输入 show securityshow accessshow services 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

确保您已准备好一个服务器证书,用于附加 SSL 终端配置文件。

完成在设备上配置功能后,从配置模式进入提交。