Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Динамические СЕТИ VPN с клиентами Pulse Secure

Динамическая VPN позволяет клиентам Pulse Secure создавать туннели IPsec VPN для шлюзов служб SRX без настройки параметров VPN вручную на ПК. Аутентификация пользователя поддерживается через RADIUS или локальный пул IP-адресов.

Клиентские программные средства Pulse Secure можно получить на веб-Juniper Networks Загрузка программного обеспечения поhttps://www.juniper.net/support/downloads/?p=pulse#sw.

Динамический обзор VPN

Туннели VPN позволяют пользователям получать безопасный доступ к таким серверам электронной почты и серверам приложений, которые находятся за межсетевой экраном. Туннели VPN между конечными узлами особенно полезны удаленным пользователям, таким как дистанционные пользователи, поскольку один туннель позволяет получить доступ ко всем ресурсам сети — пользователям не нужно настраивать отдельные параметры доступа для каждого приложения и сервера. См. Рис. 1 .

Рис. 1: Использование VPN-туннеля для обеспечения удаленного доступа к корпоративной сетиИспользование VPN-туннеля для обеспечения удаленного доступа к корпоративной сети

Динамическая функция VPN также известна как VPN-клиент удаленного доступа или VPN-клиент IPsec. Эта функция поддерживается на SRX300, устройствах SRX320, SRX340, SRX345 и SRX550HM. Клиентская программа Pulse Secure используется для доступа в VPN. Аутентификация пользователя поддерживается через внешний RADIUS или локальный пул IP-адресов, настроенный на шлюзе SRX. Клиент удаленного доступа 3-го уровня использует параметры конфигурации на стороне клиента, получаемые от серия SRX шлюза, для создания и управления защищенным туннелем VPN на шлюзе.

Если требуется более двух одновременных подключений пользователей, динамическая лицензия VPN должна быть установлена на серия SRX шлюзе. Дополнительные сведения об установке и управлении лицензиями см. в руководстве по установке и модернизации программного обеспечения. Максимальное число поддерживаемых пользовательских подключений зависит от серия SRX устройства.

Функция динамической VPN отключена на устройстве по умолчанию. Чтобы включить динамическую VPN, необходимо настроить функцию, используя утверждение dynamic-vpn конфигурации на уровне edit security [] иерархии.

Поддержка динамических туннелей VPN

Динамические туннели VPN настраиваются так же, как и обычные туннели IPsec VPN. Однако поддерживаются не все параметры IPsec VPN. Эта функция поддерживается на SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550, SRX550HM и SRX650 устройства.

В следующем списке описываются требования и поддерживаемые параметры при настройке динамических туннелей VPN:

  • Поддерживаются только VPN на основе политик. VPN с поддержкой динамических VPN-туннелей не поддерживаются. Протоколы маршрутов не поддерживаются.

  • Поддерживается только IKEv1. IKEv2 не поддерживается.

  • Поддерживается только трафик IPv4 и туннели IPv4 в IPv4. Трафик и туннели IPv6 не поддерживаются.

  • Аутентификация поддерживается только с предварительными ключами. PKI не поддерживается.

  • Агрессивный режим поддерживается для IKE фазы 1. Основной режим не поддерживается.

  • Vpn-трафик может быть инициирован только с удаленного клиента. Трафик VPN, инициированный шлюзом SRX, не поддерживается.

  • Поддерживается обнаружение неявных одноранговых узла (DPD). Мониторинг VPN не поддерживается.

  • Поддерживается расширенная аутентификация (XAuth) с конфигурацией режима.

  • Аутентификация поддерживается из локального профиля. Атрибуты можно получить из локального пула адресов. Аутентификацию и атрибуты можно получить на RADIUS сервере.

  • Кластеры с шасси поддерживаются.

  • NAT-T поддерживается.

  • IKE в виртуальных маршрутизаторах или в виртуальных экземплярах маршрутов и экземпляров переадаторов.

  • AutoVPN не поддерживается.

  • Вставка автомаршрутов (ARI) не поддерживается.

  • Для установки клиентского программного обеспечения Pulse необходимы права администратора, а также права администратора.

  • Пользователям необходимо переавентироваться во время IKE фазы 1. Можно настраивать время повторного нажатия.

Общие или групповые IKE можно использовать для настройки единой СЕТИ VPN, общей для всех удаленных клиентов. При совместном совместном использования одной VPN общее число одновременных соединений с шлюзом не может быть больше числа установленных динамических лицензий VPN. При настройке общего или группового IKE ID шлюза можно настроить максимальное количество соединений, которые будут больше, чем число установленных динамических лицензий VPN. Однако, если новое соединение превышает число лицензированных подключений, то соединение будет отказано. С помощью этой команды можно просматривать сведения о динамической лицензии show system license usage VPN.

Понимание удаленного доступа клиента к VPN

Обычно динамическое развертывание VPN обеспечивает VPN-доступ к удаленным клиентам, подключенным через сеть общего доступа, например, Интернет. Доступ к IPsec обеспечивается через шлюз на Juniper Networks устройстве. Клиентская программа Pulse Secure используется для доступа в VPN. Эта функция поддерживается на SRX300, устройствах SRX320, SRX340, SRX345 и SRX550HM.

Клиентские программные средства Pulse Secure можно получить на веб-Juniper Networks Загрузка программного обеспечения поhttps://www.juniper.net/support/downloads/?p=pulse#sw.

Ниже описывается процесс доступа удаленного клиента Pulse Secure к VPN:

Подробные инструкции по подключению программы удаленного клиента к устройству серия SRX см. в KB17641. Информацию о текущих клиентах см. также в документации Pulse Secure.

  1. Пользователь загружает и устанавливает клиентские приложения Pulse Secure на свое устройство.

  2. Пользователь запускает программу удаленного клиента Pulse Secure.

    В программе удаленного клиента Pulse Secure пользователь делает следующее:

    1. Нажмите Add connection кнопку .

    2. В области Type выберите Firewall (SRX) .

    3. Для name введите имя хоста шлюза SRX.

      На устройстве серия SRX имя хоста настраивается с помощью set security ike gateway gateway-name dynamic hostname hostname команды. Администратор SRX должен предоставить имя хоста удаленным пользователям.

    4. В области Server URL Name (Имя URL-адреса сервера) введите IP-адрес шлюза SRX.

      На устройстве серия SRX этот IP-адрес является IP-адресом external-interface команды, настроенной вместе с set security ike gateway gateway-name командой. Администратор SRX должен предоставить IP-адрес удаленным пользователям.

  3. Щелкните Add , затем щелкните Connect . Программа удаленного клиента Pulse Secure подключается к серия SRX httpS.

  4. При запросе введите имя пользователя и пароль. Информация о конфигурации загружается с серия SRX устройства на удаленный клиент, чтобы позволить клиенту создать IKE SA с серия SRX устройством.

  5. При первом доступе к динамической VPN введите учетные данные пользователя, чтобы создать SA IPsec. IP-адрес присвоен удаленному клиенту из локального пула адресов или с внешнего RADIUS сервера.

    Учетные данные пользователя, введите на шаге 4, чтобы загрузить конфигурацию удаленному клиенту и создать IKE SA между клиентом и серия SRX устройством. Учетные данные пользователя, вписаные на этом шаге, используются для создания SA IPsec. Учетные данные пользователя могут быть одинаковыми или различными в зависимости от конфигурации серия SRX устройства.

  6. После успешного назначения аутентификации и адреса устанавливается туннель.

Наборы динамических предложений VPN

Эта функция поддерживается на SRX300, устройствах SRX320, SRX340, SRX345 и SRX550HM. Настройка пользовательских Internet Key Exchange (IKE) и предложений IP Security (IPsec) для политик IKE и IPsec может быть очень сложной и трудоемкой при наплыве динамических клиентов VPN. Администратор может выбрать наборы основных, совместимых или стандартных предложений для динамических клиентов VPN. Каждый набор предложений состоит из двух или более заранее задамых предложений. Сервер выбирает из набора предварительно заранее задав его клиенту и передает его клиенту в конфигурации клиента. Клиент использует это предложение при согласовании с сервером для установления соединения.

Значения по умолчанию для IKE безопасности IPsec и времени простоя повторного нажатия IPsec:

  • Для IKE SAS время простоя для пережатия составляет 288000 секунд.

  • Для IPsec SAs время повторного нажатия составляет 3600 секунд.

Поскольку конфигурация набора предложений не допускает настройки времени сжатия, эти значения включаются в конфигурацию клиента, которая отправляется клиенту во время загрузки клиента.

Основные случаи использования предложений:

  • IKE и IPsec используют наборы предложений.

    Сервер выбирает предварительно заранее задав предложение и отправляет его клиенту вместе со значением времени простоя для повторного нажатия по умолчанию.

  • IKE использует набор предложений, а IPsec использует собственное предложение.

    Сервер отправляет предварительно заранее IKE предложение из настроенного IKE, установленного клиенту, вместе со значением времени простоя для повторного нажатия по умолчанию. Для IPsec сервер отправляет настройки, настроенные в предложении IPsec.

  • IKE использует собственное предложение, а IPsec использует набор предложений.

    Сервер отправляет предварительно заранее задавленное предложение IPsec клиенту вместе с установленным по умолчанию значением времени простоя для повторного нажатия. Для IKE сервер отправляет параметры, настроенные в предложении IKE.

Если IPsec использует стандартный набор предложений и не настроена идеальное разглашние (PFS), то по умолчанию идеальное значение forward secrecy (PFS) устанавливается в группу 2. Для других наборов предложений PFS настраиваться не будет, так как он не настроен. Кроме того, для набора предложений IPsec конфигурация в политике ipsec переопределит настройку группы groupperfect-forward-secrecy keys Diffie-Hellman (DH) в наборах предложений.

Так как клиент принимает только одно предложение для установления туннеля с сервером, сервер внутри выбирает одно предложение из набора предложений для отправки клиенту. В списке есть выбранное предложение для каждого набора:

Для IKE

  • Уровень sec-level basic: предварительно предварительный ключ, g1, des, sha1

  • Совместимый уровень Sec: предварительный ключ, g2, 3des, sha1

  • Стандарт уровня секунды: предварительный ключ, g2, aes128, sha1

Для IPsec

  • Уровень sec-level basic: esp, no pfs (если они не настроены) илигруппы x (если настроены), des, sha1

  • Совместимый уровень Sec: esp, no pfs (если не настроен) илигруппа x (если настроена), 3des, sha1

  • Стандарт уровня секунды: esp, g2 (если не настроен) илигруппа x (если она настроена), aes128, sha1

Обзор динамической конфигурации VPN

Динамическая VPN позволяет предоставить удаленным пользователям доступ к шлюзу на Juniper Networks IPsec. Эта функция поддерживается на SRX300, устройствах SRX320, SRX340, SRX345 и SRX550HM.

При настройке динамической VPN следует учесть два случая:

  • Когда пользователи настраиваются локально, они настраиваются на уровне иерархии [] и организованы в группы пользователей edit access profile profile-name client client-name с помощью client-group параметра конфигурации.

  • Пользователи могут быть настроены на внешнем сервере аутентификации, например на RADIUS сервере. Пользователи, настроенные на внешнем сервере аутентификации, не требуют настройки на уровне edit access profile profile-name [] иерархии.

Для пользователей, настроенных локально, группа пользователей должна быть определена в динамической конфигурации VPN, чтобы пользователь был связан с конфигурацией клиента. Укажите группу пользователей с user-groups параметром на уровне edit security dynamic-vpn clients configuration-name [] иерархии.

Когда аутентификация пользователя происходит, группа пользователей включается в ответ аутентификации. Эта информация извлекается, и группы пользователей, настроенные на уровне иерархии [ ] находятся в поиске для определения конфигурации клиента для извлечения и возврата клиенту для edit security dynamic-vpn clients configuration-name установления туннеля.

Если пользователь связан с более чем одной группой пользователей, используется первая конфигурация совпадающих групп пользователей. Если пользователь создает второе соединение, то используется следующая конфигурация совпадающих групп пользователей. В последующих соединениях пользователя используется следующая конфигурация совпадающих групп пользователей до тех пор, пока не будет больше нет совпадающих конфигураций.

В следующей процедуре перечислены задачи по настройке динамического VPN.

  1. Настройте аутентификацию и назначение адреса удаленным клиентам:

    1. Настройте профиль XAuth для аутентификации пользователей и назначения адресов. Можно использовать локную аутентификацию или внешний RADIUS сервер. Используйте утверждение profile конфигурации на уровне иерархии edit access [] для настройки профиля XAuth.

    2. При использования локальной аутентификации назначьте IP-адреса из локального пула адресов. Используйте утверждение address-assignment pool конфигурации на уровне edit access иерархии [] Могут быть указаны подсеть или диапазон IP-адресов. Также могут быть указаны IP-адреса для серверов DNS и WINS.

  2. Настройка VPN-туннеля:

    1. Настройте политику IKE настройке. Режим должен быть агрессивным. Можно использовать базовые, совместимые или стандартные наборы предложений. Для аутентификации фазы 1 поддерживаются только предварительные ключи. Используйте утверждение policy конфигурации на уровне edit security ike иерархии []

    2. Настройте IKE шлюза. Могут использоваться общие IKE групповые ID. Можно настроить максимальное число одновременных соединений с шлюзом. Используйте утверждение gateway конфигурации на уровне edit security ike иерархии []

    3. Настройка IPsec VPN. Основные, совместимые или стандартные наборы предложений могут быть заданы с помощью утверждения policy конфигурации на уровне edit security ipsec [] иерархии. Используйте утверждение vpn конфигурации на уровне иерархии [] для настройки шлюза edit security ipsec и политики IPsec.

      Проверка конфигурации может быть выполнена для проверки правильности IKE и параметров IPsec, необходимых для динамического VPN. Если конфигурация недействительна для IKE IPsec, отображается сообщение об ошибке. Проверку конфигурации необходимо включить set security dynamic-vpn config-check командой.

    4. Настройте политику безопасности, чтобы разрешить трафик от удаленных клиентов к IKE шлюзу. Используйте утверждение policy конфигурации на уровне edit security policies from-zone zone to-zone zone иерархии []

      Настройте политику безопасности с использованием критериев соответствия и действия с именем source-address anydestination-address anyapplication anypermit tunnel ipsec-vpn динамического туннеля VPN. Поместите эту политику в конце списка политик.

    5. Настройте входящий трафик хоста так, чтобы конкретный трафик достиг устройства из систем, подключенных к его интерфейсам. Например, IKE и трафик HTTPS должен быть разрешен. См. "Как управлять входящий трафик на основе типов трафика".

    6. (Необязательно) Если пул адресов клиента принадлежит непосредственно подключенной к устройству подсети, устройству придется отвечать на запросы ARP для адресов в пуле других устройств в той же зоне. Используйте утверждение proxy-arp конфигурации на уровне edit security nat иерархии [] Укажите интерфейс, непосредственно соединяющий подсеть с устройством, и адреса в пуле.

  3. Связывать динамическую VPN с удаленными клиентами:

    1. Укажите профиль доступа для использования с динамической VPN. Используйте утверждение access-profile конфигурации на уровне edit security dynamic-vpn иерархии []

    2. Настройте клиентов, которые могут использовать динамическую VPN. Укажите защищенные ресурсы (трафик к защищенным ресурсам проходит через указанный динамический VPN-туннель и, таким образом, защищен политикой безопасности брандмауэра) или исключения из списка защищенных ресурсов (трафик, который не проходит через динамический VPN-туннель и отправляется в явном тексте). Эти параметры управляют маршрутами, передающимися клиенту при в том случае, если туннель находится в действии, следовательно, контролирует трафик, отправляемый по туннелю. Используйте утверждение clients конфигурации на уровне edit security dynamic-vpn иерархии []

  4. Для регистрации динамических сообщений VPN настройте утверждение traceoptions на уровне edit security dynamic-vpn иерархии []

Понимание назначения локальной аутентификации и адреса

Эта функция поддерживается на SRX300, устройствах SRX320, SRX340, SRX345 и SRX550HM. Клиентские приложения могут запросить IP-адрес от имени клиента. Этот запрос одновременно с запросом аутентификации клиента. После успешной аутентификации клиента клиенту может быть назначен IP-адрес из заранее определенного пула адресов или из определенного IP-адреса. Клиенту также могут быть предоставлены другие атрибуты, такие как IP-адреса серверов WINS или DNS.

Пулы адресов определяются с помощью утверждения pool конфигурации на уровне edit access address-assignment иерархии [] Определение пула адресов содержит информацию о сети (IP-адрес с дополнительной маской подсети), дополнительные определения диапазона и атрибуты DHCP или XAuth, которые можно вернуть клиенту. Если назначены все адреса в пуле, новый запрос адреса клиента не удастся решить, даже если аутентификация клиента прошла успешно.

Профили доступа определяются с помощью утверждения profile конфигурации в иерархии edit access [] Определенный пул адресов можно использовать в конфигурации профиля доступа.

Можно также связать определенный IP-адрес с клиентом в профиле доступа с помощью xauth ip-address address параметра. IP-адрес должен быть в диапазоне адресов, заданных в пуле адресов. Он также должен быть отличается от IP-адреса, указанного с помощью утверждения host конфигурации на уровне edit access profile address-assignment pool pool-name family inet иерархии [] При присвоении любому приложению одного IP-адреса повторное присвоение не будет до тех пор, пока оно не будет освобождено.

Общие общие IKE группы

Эта функция поддерживается на SRX300, устройствах SRX320, SRX340, SRX345 и SRX550HM. При динамической VPNуникальный Internet Key Exchange (IKE) ID используется для каждого подключения пользователя. При большом количестве пользователей, которым требуется доступ к VPN, настройка отдельного IKE шлюза, VPN IPsec и политики безопасности для каждого пользователя могут быть громоздкими. Групповые IKE и общие IKE ID позволяют некоторым пользователям использовать конфигурацию IKE шлюза, что сокращает количество необходимых конфигураций VPN.

Рекомендуется настраивать групповые IKE для динамического развертывания VPN, так как они IKE группы предоставляют уникальный предварительный ключ и IKE для каждого пользователя.

Данная тема включает в себя следующие разделы:

Групповые IKE ID

При настройке IKE групп, IKE каждого пользователя является конкацией отдельной пользовательской части и части, общей для всех IKE ID. Например, пользователь может использовать "Bob.example.net" в качестве полного IKE, где ".example.net" является общим для всех пользователей. Полный IKE используется для уникальной идентификации каждого пользовательского подключения.

Хотя групповые IKE ID не требуют XAuth, XAuth необходим динамической VPN для извлечения сетевых атрибутов, таких как IP-адреса клиентов. Если XAuth не настроен для динамической сети VPN, использующей ID IKE, отображается предупреждение.

При настройке групповых IKE рекомендуется использовать одинаковые учетные данные для аутентификации WebAuth и XAuth.

Несколько пользователей могут использовать одну группу IKE ID, но один пользователь не может использовать одну группу IKE для различных подключений. Если пользователю необходимо иметь соединения с различными удаленными клиентами, у него должны быть разные IKE настроенные ID, по одному для каждого подключения. Если настроен только один IKE настроен ID и пользователь пытается установить второе соединение с другого ПК, первое соединение будет прервано, чтобы разрешить второе соединение.

Чтобы настроить группу IKE ID:

  • Настройка на ike-user-type group-ike-id уровне edit security ike gateway gateway-name dynamic [] иерархии.

  • Настройте hostname утверждение конфигурации на уровне edit security ike gateway gateway-name dynamic иерархии [] Эта конфигурация является общей частью полного IKE для всех пользователей.

  • Настройте pre-shared-key утверждение конфигурации на уровне edit security ike policy policy-name иерархии [] Настроенный предварительно предварительный ключ используется для создания действительного предварительного ключа.

Общие IKE ID

При настройке IKE общего, все пользователи делят один IKE и один общий ключ IKE общего ключа. Каждый пользователь проходит аутентификацию на этапе обязательного XAuth, когда учетные данные отдельных пользователей проверяются с помощью внешнего RADIUS сервера или локальной базы данных доступа. Для общих IKE требуется XAuth.

Имя пользователя XAuth вместе с настроенным общим IKE используется для различия различных подключений пользователей. Поскольку имя пользователя используется для идентификации каждого пользовательского соединения, имя пользователя WebAuth и имя пользователя XAuth должны быть одинаковыми.

Несколько пользователей могут использовать один и тот же общий IKE ID, но один пользователь не может использовать один и тот же IKE для разных подключений. Если пользователю необходимо иметь соединения с различными удаленными клиентами, у него должны быть разные общие IKE настроенные ID, по одному для каждого подключения. Если у пользователя настроен только один общий IKE настроенный ID и попытки второго подключения от другого клиента, первое соединение будет прервано, чтобы разрешить второе соединение. Так как имя пользователя необходимо для идентификации каждого подключения пользователя наряду с IKE ID, пользователь должен использовать одинаковые учетные данные для аутентификации WebAuth и XAuth.

Чтобы настроить общий IKE ID:

  • Настройка на ike-user-type shared-ike-id уровне edit security ike gateway gateway-name dynamic [] иерархии.

  • Настройте hostname утверждение конфигурации на уровне edit security ike gateway gateway-name dynamic иерархии [] Настроенное имя хоста является общим для всех пользователей, настроенных в динамическом профиле доступа VPN.

  • Настройте pre-shared-key утверждение конфигурации на уровне edit security ike policy policy-name иерархии [] Предварительно настроенный общий ключ является общим для всех пользователей, настроенных в динамическом профиле доступа VPN.

Примере: Настройка динамической VPN

В данном примере показано, как настроить динамическую VPN на устройстве Juniper Networks обеспечить доступ VPN удаленным клиентам. Эта функция поддерживается на SRX300, устройствах SRX320, SRX340, SRX345 и SRX550HM.

Требования

Перед началом работы:

  1. Настройте сетевые интерфейсы на устройстве. См. Руководство пользователя interfaces по устройствам безопасности.

  2. Создайте зоны безопасности и назначьте им интерфейсы. См. "Понимание зон безопасности" на стр. 111.

  3. Если одновременно устанавливаются более двух пользовательских подключений, необходимо установить на устройство динамическую лицензию VPN. См. Руководство по установке и модернизации программного обеспечения.

Обзор

Распространенный сценарий развертывания динамической сети VPN – предоставление VPN-доступа удаленным клиентам, подключенным через сеть общего доступа, например, Интернет. Одному из интерфейсов шлюза назначен публичный IP-адрес; этот интерфейс обычно является частью недоверной зоны. После установки клиентского программного обеспечения удаленный пользователь может получить доступ к VPN либо путем входа на web-портал, либо запуска клиента напрямую. В любом случае удаленный клиент аутентификация серия SRX и загружает последнюю доступную конфигурацию.

Рис. 2 иллюстрирует эту топологию развертывания. Интерфейс ge-0/0/15.0 на устройстве серия SRX является точкой завершения динамического vpn-туннеля. Удаленные клиенты в недоверной зоне могут получить доступ к интерфейсу ge-0/0/15.0 через клиента Pulse Secure.

Рис. 2: Топология динамического развертывания VPNТопология динамического развертывания VPN

В этом примере аутентификация клиента XAuth выполняется локально, и IP-адреса клиентов задают из пула адресов, настроенного на серия SRX устройстве. См. Табл. 1 .

Затем для согласования IKE IPsec используются стандартные наборы предложений. Для динамических туннелей VPN необходимо настроить агрессивный режим и для аутентификации фазы 1 поддерживаются только предварительные ключи. Используется IKE группы, максимальное количество соединений устанавливается в 10. Так как динамические VPN должны быть VPN на основе политик, политика безопасности должна быть настроена для перенаададки трафика в туннель. IKE трафика HTTPS и трафика HTTPS необходимо разрешить для входящий трафик хоста.См. Табл. 2 .

Наконец, профиль XAuth, настроенный для удаленных клиентов, определен для динамического VPN. Удаленные пользователи связаны с настроенной VPN IPsec. Также настроены удаленные защищенные ресурсы (адреса назначения трафика, который всегда отправляется через туннель) и удаленные исключения (адреса назначения трафика, который отправляется в режиме cleartext вместо туннеля). См. Табл. 3 .

Табл. 1: Настройка назначения аутентификации удаленного клиента и назначения адреса

Возможность

Имя

Параметры конфигурации

пул IP-адресов

пул адресов dyn-vpn

  • Адреса: 10.10.10.0/24

  • Адрес сервера DNS: 192.0.2.1/32.

Профиль XAuth

dyn-VPN-access-profile

  • Имя пользователя удаленного клиента: 'client1' с паролем $ABC 123

  • Имя пользователя удаленного клиента: 'client2' с паролем $ABC 456

  • Справочник по пулу IP-адресов: пул адресов dyn-vpn

  • Этот профиль является профилем по умолчанию для веб-аутентификации.

Табл. 2: Параметры конфигурации VPN-туннеля

Возможность

Имя

Параметры конфигурации

IKE (фаза 1)

политика ike-dyn-VPN

  • Режим: Агрессивный

  • Набор предложений: Стандартный

  • Предварительный ключ: (ASCII) $ABC 789

IKE шлюз (фаза 1)

dyn-vpn-local-gw

  • IKE политики: политика ike-dyn-VPN

  • Динамическое имя хоста: dynvpn

  • IKE тип пользователя: ID IKE группы

  • Максимальное число одновременно подключений: 10

  • Внешний интерфейс: ge-0/0/15.0

  • Справочник по профилю доступа: dyn-VPN-access-profile

Политика IPsec (фаза 2)

политика ipsec-dyn-vpn

Набор предложений: Стандартный

VPN IPsec (фаза 2)

dyn-VPN

  • IKE шлюза: dyn-vpn-local-gw

  • Справочник по политикам IPsec: политика ipsec-dyn-vpn

Политика безопасности (разрешает трафик из недоверной зоны в доверную зону)

политика dyn-VPN

  • Критерии соответствия:

    • адрес источника any

    • адрес назначения any

    • приложение any

  • Разрешить действие: tunnel ipsec-vpn dyn-VPN

Входящий трафик хоста

Разрешить следующие типы трафика интерфейсу ge-0/0/15.0 в недопустимой зоне:

  • IKE

  • HTTPS

  • Настольный

Табл. 3: Динамическая конфигурация VPN для удаленных клиентов

Возможность

Имя

Параметры конфигурации

Профиль доступа для удаленных клиентов

Справочник по профилю доступа: dyn-VPN-access-profile

Удаленные клиенты

Все

  • Справочник по IPsec VPN: dyn-VPN

  • Справочник по имени пользователя: client1 и client2

  • Удаленные защищенные ресурсы: 10.0.0.0/8

  • Удаленные исключения: 0.0.0.0/0

Конфигурации

Настройка удаленной аутентификации пользователя и назначения адреса

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Для настройки удаленной аутентификации пользователя и назначения адреса:

  1. Создайте пул назначения адресов.

  2. Настройка профиля XAuth.

  3. Настройте веб-аутентификацию с помощью профиля XAuth.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show access команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка VPN-туннеля

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Настройка VPN-туннеля:

  1. Настройте политику IKE настройке.

  2. Настройте IKE шлюза.

  3. Настройка IPsec.

  4. Настройте политику безопасности.

  5. Настройте входящий трафик хоста.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show security ike команд show security ipsec и show security policiesshow security zones команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Связывать динамическую VPN с удаленными клиентами

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Чтобы связать динамическую VPN с удаленными клиентами:

  1. Укажите профиль доступа для использования с динамической VPN.

  2. Настройте клиентов, которые могут использовать динамическую VPN.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security dynamic-vpn команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Динамические туннели VPN можно отслеживать с помощью тех же команд, что и для отслеживания традиционных туннелей IPsec VPN. Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверка состояния IKE 1-м этапе

Цель

Проверьте состояние IKE 1-го этапа ассоциаций безопасности.

Действий

В рабочем режиме введите show security ike security-associations команду.

Проверка подключенных клиентов и присвоенных адресов

Цель

Убедитесь, что удаленные клиенты и присвоенные им IP-адреса используют XAuth.

Действий

В рабочем режиме введите show security ike active-peer команду.

Проверка состояния фазы 2 IPsec

Цель

Проверьте состояние ассоциаций безопасности на втором этапе IPsec.

Действий

В рабочем режиме введите show security ipsec security-associations команду.

Проверка согласующихся соединений и параметров для каждого пользователя

Цель

Проверьте число одновременно подключений и согласованные параметры для каждого пользователя.

Действий

В рабочем режиме введите show security dynamic-vpn users команду.

Примере: Настройка локальной аутентификации и пула адресов

В данном примере показано, как создать пул адресов и как назначить IP-адреса клиентов в профиле доступа. Эта функция поддерживается на SRX300, устройствах SRX320, SRX340, SRX345 и SRX550HM.

Требования

Перед началом настройте первичный и вторичный серверы DNS и WINS и назначьте им IP-адреса.

Обзор

В этом примере создается пул адресов, состоящий из IP-адресов в подсети xauth1 192.0.2.0/24. Пул xauth1 также назначает IP-адреса первичным и вторичным серверам DNS и WINS.

Профиль доступа dvpn-auth ссылается на пул xauth1. Профиль dvpn-auth доступа настраивает двух клиентов:

  • Джейсон: IP-адрес 192.0.2.1 привязан к этому клиенту. После успешной аутентификации клиенту будет назначен IP-адрес 192.0.2.1. Если клиент снова входит в систему перед выходом из системы, то клиенту будет назначен IP-адрес из пула xauth1.

  • Джеки: После успешной аутентификации клиенту будет назначен IP-адрес из пула xauth1.

Кроме того, в профиле доступа указывается, что аутентификация пароля dvpn-auth используется для проверки клиентов при входе в систему. Могут быть указаны дополнительные методы аутентификации; программное обеспечение пробует методы аутентификации для каждой попытки входа клиента, от первой до последней.

Конфигурации

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Настройка пула адресов и профиля доступа с использованием пула адресов:

  1. Создайте пул адресов.

  2. Настройте профиль доступа.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show access команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверка назначения адреса

Цель

Проверьте назначение адреса. Для XAuth аппаратный адрес всегда отображается как NA. Если статические IP-адреса назначены определенному пользователю, имя пользователя и имя профиля (в формате user@profile) отображаются в столбце "Host/User". Если клиенту из пула назначен IP-адрес, отображается имя пользователя; если имя пользователя не существует, отображается NA. Для других приложений (например, DHCP) имя хоста отображается при настройке; если имя хоста не настроено, отображается NA.

Действий

В рабочем режиме введите show network-access address-assignment pool команду.

Примере: Настройка группового IKE для нескольких пользователей

В данном примере показано, как настроить IKE группу, которая используется несколькими пользователями. Эта функция поддерживается на SRX300, устройствах SRX320, SRX340, SRX345 и SRX550HM.

Требования

Перед началом работы:

Обзор

В данном примере настраиваются два удаленных динамических пользователя VPN, которые используют один IKE ИД и один IKE предварительный ключ (см. Табл. 4Табл. 5 и). Внешний сервер RADIUS используется для аутентификации пользователей и назначения IP-адресов клиентам Табл. 6 (см. ).

Табл. 4: Параметры IKE VPN туннеля ID

Возможность

Имя

Параметры конфигурации

IKE (фаза 1)

клиентпол-группа

  • Режим: Агрессивный

  • Набор предложений: Совместимость

  • Предварительный ключ: (ASCII) для всех пользователей в профиле доступа

IKE шлюз (фаза 1)

groupgw

  • IKE политики: клиентпол-группа

  • Динамическое имя хоста: example.net

  • IKE тип пользователя: ID IKE группы

  • Максимальное число одновременно подключений: 50

  • Внешний интерфейс: ge-0/0/0.0

  • Справочник по профилю доступа: radius-profile

Политика IPsec (фаза 2)

client1vpnPol

Набор предложений: Совместимость

VPN IPsec (фаза 2)

groupvpn

  • IKE шлюза: groupgw

  • Справочник по политикам IPsec: client1vpnPol

Политика безопасности (разрешает трафик из недоверной зоны в доверную зону)

политика "group-sec"

  • Критерии соответствия:

    • адрес источника any

    • адрес назначения any

    • приложение any

  • Разрешить действие: tunnel ipsec-vpn groupvpn

Входящий трафик хоста

Разрешить следующие типы трафика интерфейсу ge-0/0/0.0 в недопустимой зоне:

  • IKE

  • HTTPS

  • Настольный

  • Ssh

Табл. 5: Настройка динамической VPN IKE группы для удаленных клиентов

Возможность

Имя

Параметры конфигурации

Профиль доступа для удаленных клиентов

Справочник по профилю доступа: radius-profile

Удаленные клиенты

groupcfg

  • Справочник по IPsec VPN: groupvpn

  • Справочник по имени пользователя: и крис, и крис

  • Удаленные защищенные ресурсы: 10.100.100.0/24

  • Удаленные исключения: 0.0.0.0/0, 192.0.2.1/24, 0.0.0.0/32

Табл. 6: RADIUS Server User Authentication (Group IKE ID)

Возможность

Имя

Параметры конфигурации

Профиль XAuth

radius-profile

  • RADIUS – это метод аутентификации, используемый для проверки учетных данных пользователя.

  • IP-RADIUS сервера - 10.100.100.250, пароль - "$ABC 123".

  • Этот профиль является профилем по умолчанию для веб-аутентификации.

Конфигурации

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Чтобы настроить группу IKE для нескольких пользователей:

  1. Настройка профиля XAuth.

  2. Настройте политику IKE настройке.

  3. Настройте IKE шлюза.

  4. Настройка IPsec.

  5. Настройте политику безопасности.

  6. Настройте входящий трафик хоста.

  7. Укажите профиль доступа для использования с динамической VPN.

  8. Настройте клиентов, которые могут использовать динамическую VPN.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show security ikeshow security ipsec команд и show security policiesshow security zonesshow security dynamic-vpn команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Динамические туннели VPN можно отслеживать с помощью тех же команд, что и для отслеживания традиционных туннелей IPsec VPN. Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверка состояния IKE 1-м этапе

Цель

Проверьте состояние IKE 1-го этапа ассоциаций безопасности.

Действий

В рабочем режиме введите show security ike security-associations команду.

Проверка подключенных клиентов и присвоенных адресов

Цель

Убедитесь, что удаленные клиенты и присвоенные им IP-адреса используют XAuth.

Действий

В рабочем режиме введите show security ike active-peer команду.

Проверка состояния фазы 2 IPsec

Цель

Проверьте состояние ассоциаций безопасности на втором этапе IPsec.

Действий

В рабочем режиме введите show security ipsec security-associations команду.

Проверка согласующихся соединений и параметров для каждого пользователя

Цель

Проверьте число одновременно подключений и согласованные параметры для каждого пользователя.

Действий

В рабочем режиме введите show security dynamic-vpn users команду.

Примере: Настройка индивидуальных IKE для нескольких пользователей

В этом примере показано, как настраивать индивидуальные IKE для нескольких пользователей. Эта функция поддерживается на SRX300, устройствах SRX320, SRX340, SRX345 и SRX550HM.

При большом количестве пользователей, которым требуется доступ к VPN, настройка отдельного IKE шлюза, VPN IPsec и политики безопасности для каждого пользователя могут быть громоздкими. Функция IKE групп позволяет некоторым пользователям использовать конфигурацию IKE шлюза, тем самым уменьшая количество необходимых конфигураций VPN.

Требования

Перед началом работы:

Обзор

В следующем примере показана конфигурация двух удаленных динамических пользователей VPN. Для каждого пользователя необходимо IKE политику и шлюз, политику IPsec и VPN, а также политику безопасности (см. Табл. 7 и Табл. 8 ). Внешний сервер RADIUS используется для аутентификации пользователей и назначения IP-адресов клиентам Табл. 9 (см. ).

Табл. 7: Параметры конфигурации клиента 1

Возможность

Имя

Параметры конфигурации

IKE (фаза 1)

client1pol

  • Режим: Агрессивный

  • Набор предложений: Совместимость

  • Предварительный ключ: (ASCII) для клиента1

IKE шлюз (фаза 1)

client1gw

  • IKE политики: client1pol

  • Динамическое имя хоста: example.net

  • Внешний интерфейс: ge-0/0/0.0

  • Справочник по профилю доступа: radius-profile

Политика IPsec (фаза 2)

client1vpnPol

Набор предложений: Совместимость

VPN IPsec (фаза 2)

client1vpn

  • IKE шлюза: client1gw

  • Справочник по политикам IPsec: client1vpnPol

Политика безопасности (разрешает трафик из недоверной зоны в доверную зону)

client1-policy

  • Критерии соответствия:

    • адрес источника any

    • адрес назначения any

    • приложение any

  • Разрешить действие: tunnel ipsec-vpn client1vpn

Входящий трафик хоста

Разрешить следующие типы трафика интерфейсу ge-0/0/0.0 в недопустимой зоне:

  • IKE

  • HTTPS

  • Настольный

  • Ssh

Профиль доступа для удаленных клиентов

Справочник по профилю доступа: radius-profile

Удаленные клиенты

cfg1

  • Справочник по IPsec VPN: client1vpn

  • Справочник по имени пользователя: Дерек

  • Удаленные защищенные ресурсы: 10.100.100.0/24

  • Удаленные исключения: 0.0.0.0/0, 192.0.2.1/24, 0.0.0.0/32

Табл. 8: Параметры конфигурации клиента 2

Возможность

Имя

Параметры конфигурации

IKE (фаза 1)

client2pol

  • Режим: Агрессивный

  • Набор предложений: Совместимость

  • Предварительный ключ: (ASCII) для клиента2

IKE шлюз (фаза 1)

client2gw

  • IKE политики: client2pol

  • Динамическое имя хоста: example.net

  • Внешний интерфейс: ge-0/0/0.0

  • Справочник по профилю доступа: radius-profile

Политика IPsec (фаза 2)

client2vpnPol

Набор предложений: Совместимость

VPN IPsec (фаза 2)

client2vpn

  • IKE шлюза: client2gw

  • Справочник по политикам IPsec: client2vpnPol

Политика безопасности (разрешает трафик из недоверной зоны в доверную зону)

client2-policy

  • Критерии соответствия:

    • адрес источника any

    • адрес назначения any

    • приложение any

  • Разрешить действие: tunnel ipsec-vpn client2vpn

Входящий трафик хоста

Разрешить следующие типы трафика интерфейсу ge-0/0/0.0 в недопустимой зоне:

  • IKE

  • HTTPS

  • Настольный

  • Ssh

Профиль доступа для удаленных клиентов

Справочник по профилю доступа: radius-profile

Удаленные клиенты

cfg2

  • Справочник по IPsec VPN: client2vpn

  • Справочник по имени пользователя: Крис

  • Удаленные защищенные ресурсы: 10.100.100.0/24

  • Удаленные исключения: 0.0.0.0/0, 192.0.2.1/24

Табл. 9: RADIUS пользователя сервера (ID IKE сервера)

Возможность

Имя

Параметры конфигурации

Профиль XAuth

radius-profile

  • RADIUS – это метод аутентификации, используемый для проверки учетных данных пользователя.

  • RADIUS-адрес сервера - 10.100.100.250, пароль - "$ABC 123".

  • Этот профиль является профилем по умолчанию для веб-аутентификации.

Конфигурации

Настройка профиля XAuth

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Настройка профиля XAuth:

  1. Настройте профиль доступа.

  2. Настройте веб-аутентификацию с помощью профиля XAuth.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show access команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка клиента 1

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Чтобы настроить динамическую VPN для одного пользователя:

  1. Настройте политику IKE настройке.

  2. Настройте IKE шлюза.

  3. Настройка IPsec.

  4. Настройте политику безопасности.

  5. Настройте входящий трафик хоста.

  6. Укажите профиль доступа для использования с динамической VPN.

  7. Настройте клиентов, которые могут использовать динамическую VPN.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show security ikeshow security ipsec команд и show security policiesshow security zonesshow security dynamic-vpn команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка клиента 2

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Чтобы настроить динамическую VPN для одного пользователя:

  1. Настройте политику IKE настройке.

  2. Настройте IKE шлюза.

  3. Настройка IPsec.

  4. Настройте политику безопасности.

  5. Настройте входящий трафик хоста.

  6. Укажите профиль доступа для использования с динамической VPN.

  7. Настройте клиентов, которые могут использовать динамическую VPN.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show security ikeshow security ipsec команд и show security policiesshow security zonesshow security dynamic-vpn команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Динамические туннели VPN можно отслеживать с помощью тех же команд, что и для отслеживания традиционных туннелей IPsec VPN. Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверка состояния IKE 1-м этапе

Цель

Проверьте состояние IKE 1-го этапа ассоциаций безопасности.

Действий

В рабочем режиме введите show security ike security-associations команду.

Проверка подключенных клиентов и присвоенных адресов

Цель

Убедитесь, что удаленные клиенты и присвоенные им IP-адреса используют XAuth.

Действий

В рабочем режиме введите show security ike active-peer команду.

Проверка состояния фазы 2 IPsec

Цель

Проверьте состояние ассоциаций безопасности на втором этапе IPsec.

Действий

В рабочем режиме введите show security ipsec security-associations команду.

Проверка согласующихся соединений и параметров для каждого пользователя

Цель

Проверьте число одновременно подключений и согласованные параметры для каждого пользователя.

Действий

В рабочем режиме введите show security dynamic-vpn users команду.