Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN d’accès distant avec client d’accès distant exclusif NCP

Le client d’accès distant exclusif NCP fait partie de la solution d’accès distant exclusif NCP pour les passerelles SRX Series de Juniper. Le client VPN est uniquement disponible avec la gestion exclusive de l’accès à distance NCP. Utilisez le client exclusif NCP pour établir des liens de données sécurisés basés sur IPsec depuis n’importe quel emplacement lorsqu’ils sont connectés aux passerelles SRX Series.

Comprendre les VPN IPsec avec le client d’accès distant exclusif NCP

Cette section décrit la prise en charge vpn IPsec sur les équipements SRX Series pour le logiciel client d’accès distant exclusif NCP.

Client d’accès distant exclusif NCP

Les utilisateurs exécutant le logiciel client d’accès distant exclusif NCP sur les équipements Windows et MAC OS peuvent établir des connexions VPN IPsec IKEv1 ou IKEv2 avec les équipements SRX Series. Le logiciel client d’accès distant exclusif NCP peut être téléchargé à partir des produits NCP.

LICENCES

Une licence pour deux utilisateurs est fournie par défaut sur un équipement SRX Series. Une licence est requise pour les utilisateurs supplémentaires. Contactez votre représentant Juniper Networks pour obtenir toutes les licences d’accès à distance.

Les licences sont basées sur le nombre d’utilisateurs. Par exemple, si le nombre de licences installées est de 100 utilisateurs, 100 utilisateurs différents peuvent établir des connexions VPN. Grâce aux sélecteurs de trafic, chaque utilisateur peut établir plusieurs tunnels. Lorsqu’un utilisateur se déconnecte, sa licence est publiée une minute après l’expiration des associations de sécurité IKE et IPsec.

L’application des licences n’est vérifiée qu’une fois la négociation de phase 2 terminée. Cela signifie qu’un utilisateur d’accès distant peut se connecter à l’équipement SRX Series et que les accords de niveau de service IKE et IPsec peuvent être établis, mais si l’utilisateur dépasse la limite fixée par l’utilisateur sous licence, l’utilisateur est déconnecté.

La licence pour les instances vSRX est basée sur un abonnement : les utilisateurs d’accès distant connectés ne sont pas immédiatement déconnectés lorsqu’une licence installée expire. Lorsqu’un utilisateur d’accès distant se déconnecte et que les SAs IKE et IPsec correspondants expirent, la reconnexion ultérieure de l’utilisateur dépend de l’expiration ou non de la licence actuellement installée.

AutoVPN

Le client d’accès distant exclusif NCP est pris en charge avec AutoVPN en mode d’interface tunnel sécurisé point à point. AutoVPN est uniquement pris en charge sur les VPN IPsec basés sur le routage sur l’équipement SRX Series.

Sélecteurs de trafic

Les sélecteurs de trafic configurés sur l’équipement SRX Series et le client NCP déterminent le trafic client envoyé par le tunnel VPN IPsec. Le trafic entrant et sortant du tunnel n’est autorisé que pour les sélecteurs de trafic négociés. Si la recherche de route de l’adresse de destination d’un paquet pointe vers une interface st0 (sur laquelle les sélecteurs de trafic sont configurés) et que le sélecteur de trafic du paquet ne correspond pas au sélecteur de trafic négocié, le paquet est abandonné. Plusieurs SAS IPsec de phase 2 et l’insertion automatique de route (ARI) sont pris en charge avec le client d’accès distant exclusif NCP. Le sélecteur de trafic est compatible avec le port et les protocoles et n’est pas pris en charge. Pour cette fonctionnalité, l’adresse distante du sélecteur de trafic doit être 0.0.0.0/0.

Dans de nombreux cas, tout le trafic provenant de clients d’accès distant est envoyé via des tunnels VPN. L’adresse locale configurée dans le sélecteur de trafic peut être 0.0.0.0/0 ou une adresse spécifique, comme expliqué dans les sections suivantes.

La configuration d’un sélecteur de trafic sur l’équipement SRX Series avec l’adresse distante 0.0.0.0/0 est prise en charge pour les connexions NCP Exclusive Remote Access Client. Une fois la négociation VPN terminée, l’adresse distante du sélecteur de trafic doit être une adresse IP unique (l’adresse du client d’accès distant assigné par un serveur RADIUS ou le pool d’adresses locaux).

Fractionnement des tunnels

La tunnelisation fractionnée utilise un préfixe plus court que 0.0.0.0/0 comme adresse de ressource protégée pour l’adresse locale dans un sélecteur de trafic configuré sur l’équipement SRX Series. Un sélecteur de trafic correspondant peut être configuré sur le client d’accès distant. L’équipement SRX Series autorise le trafic sur le tunnel VPN correspondant aux résultats de la correspondance flexible entre les deux sélecteurs de trafic. Si le sélecteur de trafic configuré sur le client d’accès distant ne peut pas être associé au sélecteur de trafic configuré sur l’équipement SRX Series, la négociation de tunnels échoue. Pour IKEv1, les adresses locales et distantes de la configuration du sélecteur de trafic du client doivent être les mêmes ou un sous-ensemble des adresses du sélecteur de trafic correspondant configuré sur l’équipement SRX Series.

Plusieurs sous-réseaux

Sur l’équipement SRX Series, un sélecteur de trafic peut être configuré pour chaque sous-réseau protégé. Les sous-réseaux ne peuvent pas se superposer. Sur le client d’accès distant exclusif NCP, un sélecteur de trafic doit être configuré pour chaque sélecteur de trafic configuré sur l’équipement SRX Series. Les adresses configurées dans la fenêtre de tunnel fractionné du client d’accès distant exclusif NCP sont utilisées comme sélecteur de trafic distant du client ; ces adresses doivent être les mêmes ou un sous-ensemble des adresses du sélecteur de trafic correspondant configuré sur l’équipement SRX Series. Une paire SA IPsec est créée pour chaque sélecteur de trafic.

Authentification client d’accès distant exclusif NCP

Selon la version IKE du client, il existe deux formes d’authentification étendue du client d’accès distant exclusif NCP :

  • IKEv1 L’authentification du client d’accès distant exclusif NCP est prise en charge par XAuth à l’aide d’un serveur RADIUS ou d’un profil d’accès local. Pour les connexions d’accès distant IKEv1, les clés pré-partagées sont utilisées pour l’authentification IKE phase 1. L’authentification étendue (XAuth) est utilisée pour authentifier l’utilisateur d’accès distant. L’équipement SRX Series doit être configuré pour le mode IKE agressif.

    Pour le client d’accès distant exclusif IKEv1 NCP, l’authentification de clé pré-partagée est prise en charge par AutoVPN. Pour les déploiements AutoVPN qui n’utilisent pas l’authentification basée sur l’utilisateur, seule l’authentification par certificat est prise en charge.

  • L’authentification IKEv2 NCP Exclusive Remote Access Client nécessite un serveur RADIUS prenant en charge EAP. L’équipement SRX Series agit comme un authentificateur de transmission pour transmettre des messages EAP entre le client d’accès distant exclusif NCP et le serveur RADIUS. Les types d’authentification EAP suivants sont pris en charge :

    • EAP-MSCHAPv2

      Une clé de session principale doit être générée par le serveur RADIUS pour EAP-MSCHAPv2.

    • EAP-MD5

    • EAP-TLS

    Pour le client d’accès distant exclusif IKEv2 NCP, un certificat numérique est utilisé pour authentifier l’équipement SRX Series. Le protocole EAP (Extensible Authentication Protocol) est utilisé pour authentifier le client d’accès distant.

Attribut du client d’accès distant et attribution d’adresse IP

Attribution d’attributs

Pour les clients d’accès distant IKEv1 ou IKEv2, des attributs peuvent être attribués via un serveur RADIUS ou via une configuration d’attributs de réseau local. Si un serveur RADIUS est utilisé pour l’authentification, mais qu’aucun attribut réseau n’est affecté, les attributs réseau (y compris les adresses IP) peuvent être configurés localement si nécessaire.

Les attributs client suivants sont basés sur RFC 2865, Virtual Private Networks Identifier et sont pris en charge avec IKEv1 et IKEv2 NCP Exclusive Remote Access Client :

  • Adresse IP à trames

  • Framed-IP-Netmask

Les attributs spécifiques aux fournisseurs (VSAs) de Juniper suivants sont pris en charge avec IKEv1 et IKEv2 NCP Exclusive Remote Access Client :

  • Juniper-Primary-DNS

  • Juniper-Primary-Wins

  • Juniper-Secondary-DNS (uniquement disponible avec IKEv2)

  • Juniper-Secondary-Wins (uniquement disponible avec IKEv2)

VSA Juniper-Local-Group-Name n’est pas pris en charge.

Attribution des adresses IP

Si une adresse IP est attribuée à la fois à partir d’un pool d’adresses locales et par un serveur RADIUS, celle-ci est attribuée par le serveur RADIUS. Si le serveur RADIUS ne renvoie pas d’adresse IP et qu’un pool d’adresses locales configuré par l’utilisateur est en place, une adresse IP est attribuée au client distant à partir du pool local.

Le nombre d’adresses dans le pool d’adresses local ou le pool d’adresses serveur RADIUS doit être plus important que le nombre d’utilisateurs de clients d’accès distant. En effet, lorsqu’un utilisateur se déconnecte, la déconnexion de l’utilisateur peut prendre jusqu’à une minute.

Lorsqu’une adresse IP est attribuée à partir d’un serveur RADIUS externe ou d’un pool d’adresses locales, une adresse IP avec un masque 32 bits est transmise au client d’accès distant exclusif NCP. Une fois le tunnel établi, l’insertion automatique de route (ARI) insère automatiquement une route statique sur l’adresse IP du client distant afin que le trafic provenant de l’arrière de l’équipement SRX Series puisse être envoyé dans le tunnel VPN vers l’adresse IP du client.

Les sélecteurs de trafic configurés peuvent ne pas couvrir les adresses IP attribuées par le serveur RADIUS ou un pool d’adresses locales. Dans ce cas, un client distant peut ne pas être en mesure d’atteindre une adresse IP d’un autre client distant du sous-réseau via un tunnel VPN. Un sélecteur de trafic doit être configuré explicitement pour correspondre à l’adresse IP attribuée à l’autre client distant par le serveur RADIUS ou le pool d’adresses local.

Fonctionnalités prises en charge

Les fonctionnalités suivantes sont prises en charge sur l’équipement SRX Series avec le client d’accès distant exclusif NCP :

  • Lancement du trafic à partir de l’équipement SRX Series et du client d’accès distant exclusif NCP

  • Clients d’accès distant derrière un équipement NAT (NAT-T)

  • Détection des pairs morts

  • Configuration de cluster de châssis de l’équipement SRX Series

Avertissements

Les fonctionnalités suivantes ne sont pas prises en charge sur l’équipement SRX Series avec le client d’accès distant exclusif NCP :

  • Protocoles de routage

  • AutoVPN avec l’interface st0 en mode point à multipoint

  • VPN de découverte automatique (ADVPN)

  • IKEv2 EAP avec clés pré-partagées

    Le client d’accès distant exclusif IKEv2 NCP doit utiliser des certificats pour authentifier l’équipement SRX Series.

  • VPN basé sur les stratégies

  • Trafic IPv6

  • Surveillance VPN

  • Liaison tunnel du saut suivant (NHTB), à la fois automatique et manuelle

  • Plusieurs sélecteurs de trafic en négociation

  • Les sélecteurs de trafic reçus par le client d’accès distant exclusif NCP du même routeur virtuel ne doivent pas contenir d’adresses IP superposées

Comprendre les VPN d’accès distant SSL avec le client d’accès distant exclusif NCP

Dans de nombreux environnements de points d’accès publics, le trafic UDP est bloqué tandis que les connexions TCP sur le port 443 sont normalement autorisées. Pour ces environnements, les équipements SRX Series peuvent prendre en charge les VPN d’accès distant SSL en encapsulant les messages IPsec au sein d’une connexion TCP. Cette implémentation est compatible avec le client d’accès distant exclusif NCP tiers. Cette section décrit la prise en charge du client d’accès distant exclusif NCP sur les équipements SRX Series.

Avantages des VPN d’accès distant SSL avec le client d’accès distant exclusif NCP

  • Un accès distant sécurisé est assuré même lorsqu’un équipement entre le client et la passerelle bloque Internet Key Exchange (IKE) (port UDP 500).

  • Les utilisateurs conservent un accès sécurisé aux applications et ressources professionnelles dans tous les environnements de travail.

Client d’accès distant exclusif NCP

Les utilisateurs exécutant le logiciel client d’accès distant exclusif NCP sur les équipements Windows, macOS, Apple iOS et Android peuvent établir des connexions TCP sur le port 443 avec les équipements SRX Series afin d’échanger du trafic IPsec encapsulé.

Le client d’accès distant exclusif NCP s’exécute dans l’un des deux modes suivants :

  • NCP Path Finder v1, qui prend en charge les messages IPsec encapsulés dans une connexion TCP sur le port 443

  • NCP Path Finder v2, qui prend en charge les messages IPsec avec une connexion SSL/TLS (NCP Path Finder v2 utilise TLSv1.0.)

Une négociation SSL appropriée a lieu à l’aide de certificats RSA. Les messages IPsec sont chiffrés avec des clés échangées pendant la négociation SSL. Cela se traduit par un double chiffrement, une fois pour le tunnel SSL et une fois de plus pour le tunnel IPsec.

Pour la prise en charge du mode V2 du NCP Path Finder, les certificats RSA doivent être chargés sur l’équipement SRX Series et un profil de terminaison SSL faisant référence au certificat doit être configuré.

Le client d’accès distant exclusif NCP fournit un mécanisme de repli en cas d’échec des tentatives de connexion IPsec régulières en raison du pare-feu ou des serveurs proxy bloquant le trafic IPsec. Le mode NCP Path Finder v2 offre des fonctionnalités d’amélioration offrant une communication TLS complète, qui ne sera pas bloquée par un pare-feu ou un proxy très restrictif au niveau de l’application. Si une connexion IPsec régulière ne peut pas être établie, le client d’accès distant exclusif NCP passera automatiquement en mode NCP Path Finder v1. Si le client ne parvient toujours pas à accéder à la passerelle, NCP active le mode NCP Path Finder v2 à l’aide de la négociation TLS complète.

LICENCES

Une licence pour deux utilisateurs est fournie par défaut sur un équipement SRX Series. Une licence doit être acquise et installée pour les utilisateurs simultanés supplémentaires.

Opération

Sur un équipement SRX Series, un profil d’encapsulation TCP définit le fonctionnement de l’encapsulation des données pour les clients d’accès distant. Plusieurs profils d’encapsulation TCP peuvent être configurés pour gérer différents ensembles de clients. Pour chaque profil, les informations suivantes sont configurées :

  • Nom du profil.

  • Journalisation facultative des connexions client d’accès distant.

  • Options de traçage.

  • Profil de terminaison SSL pour les connexions SSL.

Les connexions TCP du client d’accès distant exclusif NCP sont acceptées sur le port 443 de l’équipement SRX Series.

Le profil d’encapsulation TCP est configuré avec l’instruction tcp-encap au niveau de la hiérarchie [edit security]. Le profil d’encapsulation est ensuite spécifié avec l’instruction tcp-encap-profile au niveau de la hiérarchie [edit security ike gateway gateway-name]. Vous incluez le profil d’encapsulation TCP dans la configuration de la passerelle IKE. Par exemple :

Fonctionnalités prises en charge

Les fonctionnalités suivantes sont prises en charge sur un équipement SRX Series avec le client d’accès distant exclusif NCP :

  • AutoVPN en mode point à point avec tunnels IPsec basés sur des sélecteurs de trafic

  • Lancement du trafic à partir d’équipements derrière la passerelle sur un équipement SRX Series

  • Détection des pairs morts

  • Configuration de cluster de châssis d’un équipement SRX Series

Avertissements

Les connexions TCP des clients d’accès distant exclusif NCP utilisent le port 443 sur les équipements SRX Series. Le port de gestion de l’équipement J-Web doit être remplacé par le port 443 par défaut, tcp-encap doit être configuré pour les services système entrants de l’hôte. Utilisez la set security zones security-zone zone host-inbound-traffic system-services tcp-encap commande. (L’IKE doit également être configuré pour les services système entrants par l’hôte à l’aide de la set security zones security-zone zone host-inbound-traffic system-services ike commande.)

Les tunnels qui utilisent des connexions TCP peuvent ne pas survivre à LA ISSU si le délai d’expiration de la détection d’pairs mort (DPD) n’est pas assez important. Pour survivre à ISSU, augmentez le délai d’expiration du DPD à une valeur supérieure à 120 secondes. Le délai d’expiration DPD est le produit de l’intervalle et du seuil DPD configurés. Par exemple, si l’intervalle DPD est de 32 et que le seuil est de 4, le délai d’expiration est de 128.

Les paramètres DPD par défaut du client d’accès distant exclusif NCP spécifient l’envoi de messages à intervalles de 20 secondes pour un maximum de huit fois. En cas de basculement du cluster de châssis, il est possible que les équipements SRX Series ne récupèrent pas dans les paramètres spécifiés par les paramètres DPD et que le tunnel tombe en panne. Dans ce cas, augmentez l’intervalle DPD sur le client d’accès distant exclusif NCP à 60 secondes.

Nat-T est désactivé lors de la négociation avec les clients où la configuration utilise tcp-encap, car NAT-T n’est pas nécessaire pour ces tunnels.

Les fonctionnalités suivantes ne sont pas prises en charge sur un équipement SRX Series doté de clients d’accès distant exclusif NCP :

  • Protocoles de routage

  • AutoVPN avec l’interface st0 en mode point à multipoint

  • VPN de découverte automatique (ADVPN)

  • VPN basé sur les stratégies

  • Trafic IPv6

  • Surveillance VPN

  • Liaison tunnel du saut suivant (NHTB), automatique et manuelle

Exemple : Configuration de l’équipement SRX Series pour les clients d’accès distant exclusifS NCP

Cet exemple montre comment configurer un équipement SRX Series ou une instance vSRX pour prendre en charge les connexions VPN IPsec IKEv2 à partir des clients d’accès distant exclusif NCP. Cette configuration prend également en charge le trafic TCP encapsulé provenant des clients d’accès distant exclusif NCP.

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants :

  • Équipement SRX Series ou instance vSRX pris en charge exécutant Junos OS Version 15.1X49-D80 ou ultérieure.

  • Le logiciel client d’accès distant exclusif NCP doit être téléchargé sur les équipements utilisateur pris en charge.

Une licence pour deux utilisateurs est fournie par défaut sur un équipement SRX Series. Une licence doit être acquise et installée pour les utilisateurs supplémentaires. Contactez votre représentant Juniper Networks pour obtenir toutes les licences d’accès à distance

Avant de commencer :

  • Sur l’équipement SRX Series :

    • Configurez les interfaces réseau.

    Les connexions TCP des clients d’accès distant exclusif NCP utilisent le port 443 sur les équipements SRX Series. La gestion des équipements sur les connexions TCP, telles que J-Web, peut utiliser le port 443 sur les équipements SRX Series. Le service système d’encapsulation TCP doit être configuré pour le trafic entrant hôte sur la zone dans laquelle les connexions NCP Exclusive Remote Access Client sont reçues (la zone non fiable dans cet exemple). Si J-Web est utilisé sur le port 443, le service du système de gestion Web doit être configuré pour le trafic entrant hôte sur la zone requise.

  • Configurez le client d’accès distant exclusif NCP. Pour plus d’informations sur la procédure à suivre, consultez la documentation relative au client d’accès distant exclusif NCP.

    La configuration du profil du client d’accès distant exclusif NCP doit correspondre à la configuration VPN de l’équipement SRX Series.

  • Dans cet exemple, un serveur RADIUS externe (tel qu’un serveur Active Directory) authentifie les utilisateurs du client d’accès distant exclusif IKEv2 à l’aide du protocole EAP-TLS. Dans cet exemple, le serveur RADIUS est configuré avec l’adresse IP 192.0.2.12. Consultez la documentation de votre serveur RADIUS pour plus d’informations sur la configuration de l’authentification utilisateur.

Présentation

Dans cet exemple, les utilisateurs du client d’accès distant exclusif IKEv2 sont authentifiés auprès d’un serveur RADIUS externe utilisant EAP-TLS. Un client authentifié se voit attribuer une adresse IP et un serveur DNS principal à partir d’un pool d’adresses locales configuré sur l’équipement SRX Series. Le sélecteur de trafic est configuré avec 0.0.0.0/0 pour les adresses locales et distantes, ce qui signifie que tout trafic est autorisé sur le tunnel.

L’encapsulation TCP et les services système entrants IKE sont configurés sur la zone de sécurité non sécurisée. Si J-Web est utilisé sur le port 443, le service système entrant d’hôte HTTPS doit également être configuré.

Dans cet exemple, les stratégies de sécurité autorisent tout le trafic. Des stratégies de sécurité plus restrictives doivent être configurées pour les environnements de production.

Tableau 1 affiche les valeurs IKE et IPSec configurées sur l’équipement SRX Series pour prendre en charge les connexions NCP Exclusive Remote Access Client dans cet exemple.

Tableau 1 : Options IKE et IPSec sur l’équipement SRX Series pour les connexions client d’accès distant exclusif NCP

Option

Valeur

Proposition IKE :

Méthode d’authentification

signatures rsa

Groupe Diffie-Hellman (DH)

group19

Algorithme de chiffrement

aes-256-gcm

Politique IKE :

Certificat

certificat local

Passerelle IKE :

Dynamique

nom de l’utilisateur à l’hôte

Type d’utilisateur IKE

group-ike-id

Version

v2-only

Proposition IPsec :

Protocole

Esp

Algorithme de chiffrement

aes-256-gcm

Stratégie IPsec :

Groupe PFS (Perfect Forward Secrecy)

groupe19

Topologie

Figure 1 affiche les connexions réseau dans cet exemple.

Figure 1 : Connexion client distant exclusive NCP à la passerelle VPN SRX SeriesConnexion client distant exclusive NCP à la passerelle VPN SRX Series

Configuration

Inscrire des certificats sur l’équipement SRX Series

Procédure étape par étape

Dans cet exemple, la première étape consiste à inscrire un certificat d’autorité de certification (CA) et un certificat local sur l’équipement SRX Series. Le certificat local est utilisé pour authentifier l’équipement SRX Series auprès de clients distants à l’aide d’une autorité de certification Microsoft. Sinon, l’URL ci-dessous sera différente. Gardez à l’esprit que l’exemple ci-dessous exige que le serveur CA prend en charge SCEP.

  1. Configurez le profil d’autorité de certification.

    La configuration du profil d’autorité de certification dépend du serveur d’autorité de certification utilisé. Dans cet exemple, CRL permet de vérifier l’annulation du certificat. Utilisez l’inscription appropriée et les URL CRL appropriées pour votre environnement.

    La configuration du profil d’autorité de certification doit être validée avant de pouvoir continuer.

  2. Inscrivez le certificat d’autorité de certification.

    Saisissez yes l’invite de chargement du certificat d’autorité de certification si la valeur est approuvée.

  3. Vérifiez le certificat d’autorité de certification en vérifiant son statut d’annulation.

  4. Générez une paire de clés pour le certificat local.

  5. Inscrivez le certificat local. Dans cet exemple, le certificat est inscrit à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol).

  6. Vérifiez le certificat local en vérifiant son statut d’annulation.

Configurer l’équipement SRX Series pour les clients distants

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le GUIDE DE L’UTILISATEUR CLI.

Pour configurer l’équipement SRX Series afin de prendre en charge les clients d’accès distant exclusif NCP :

  1. Configurez le pool d’adresses local.

  2. Configurez le profil d’accès local.

  3. Configurez le profil d’encapsulation TCP.

  4. Créez un profil de terminaison SSL.

    Lorsque le profil de terminaison SSL n’est pas configuré, le seul mode NCP Path Finder v1 est pris en charge. La prise en charge de NCP Path Finder v2 nécessite un profil de terminaison SSL configuré. NCP Path Finder v1 est pris en charge lorsque le profil de terminaison SSL est configuré.

  5. Joindre un profil SSL au profil tcp-encap.

  6. Configurez les interfaces.

  7. Configurez la proposition, la stratégie et les passerelles IKE.

  8. Configurez la proposition, la stratégie et le VPN IPsec.

  9. Configurez les zones.

  10. Configurez un carnet d’adresses pour les adresses IP attribuées aux utilisateurs d’accès distant.

  11. Configurez les stratégies de sécurité.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant les show accessshow security commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification de la mise en place d’AAS IKE

But

Afficher des informations sur les SAs IKE.

Action

Dans le mode opérationnel, saisissez la show security ike security-associations commande.

Dans le mode opérationnel, saisissez la show security ike security-associations detail commande.

Vérification des utilisateurs distants et de leurs connexions IP

But

Affichez la liste des utilisateurs actifs connectés avec des détails sur les adresses et les ports qu’ils utilisent.

Action

Dans le mode opérationnel, saisissez la show security ike active-peer commande.

Dans le mode opérationnel, saisissez la show security ike active-peer detail commande.

Vérification des sessions d’encapsulation TCP

But

Affichez les informations sur les sessions d’encapsulation TCP.

Action

Dans le mode opérationnel, saisissez la show security tcp-encap connections commande.

Dans le mode opérationnel, saisissez la show security tcp-encap statistics commande.