Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

使用 NCP 独占远程访问客户端了解 SSL 远程访问 Vpn

 

在许多公共热点环境中,UDP 流量会在端口443上的 TCP 连接正常时被阻止。对于这些环境,SRX 系列设备可通过在 TCP 连接中封装 IPsec 消息来支持 SSL 远程访问 Vpn。此实施与第三方 NCP 专用远程接入客户端兼容。本节介绍 SRX 系列设备上的 NCP 独占远程访问客户端支持。

使用 NCP 独占远程访问客户端的 SSL 远程访问 Vpn 的优势

  • 即使客户端与网关之间的设备阻止互联网密钥交换(IKE)(UDP 端口500),也可确保安全远程访问。

  • 用户在所有工作环境中保持对业务应用程序和资源的安全访问。

NCP 独占远程访问客户端

在 Windows、macOS、Apple iOS 和 Android 设备上运行 NCP 独占远程访问客户端软件的用户可通过端口443建立 TCP 连接,SRX 系列设备可交换封装的 IPsec 流量。

NCP 独占远程访问客户端以以下两种模式之一运行:

  • NCP 路径查找器 v1,支持在端口443上的 TCP 连接中封装的 IPsec 消息

  • NCP 路径查找器 v2,支持使用 SSL/TLS 连接的 IPsec 消息(NCP 路径查找器 v2 使用 TLSv 1.0。)

使用 RSA 证书进行正确的 SSL 握手。IPsec 消息使用 SSL 握手期间交换的密钥进行加密。这会导致双加密、为 SSL 隧道一次或再次为 IPsec 隧道生成。

注意

对于 NCP 路径查找器 v2 模式支持,需要在 SRX 系列设备上加载 RSA 证书,并且必须配置引用证书的 SSL 终止配置文件。

如果防火墙或代理服务器阻止 IPsec 流量,则 NCP 独占远程访问客户端将提供一种回退机制,以防常规 IPsec 连接尝试失败。NCP 路径查找器 v2 模式是提供全 TLS 通信的增强功能,不会受到高度受限的应用程序级防火墙或代理的阻止。如果无法建立常规 IPsec 连接,则 NCP 独占远程访问客户端将自动切换到 NCP 路径查找器 v1 模式。如果客户端仍然无法进入网关,NCP 将使用完整 TLS 协商启用 NCP 路径查找器 v2 模式。

许可

默认情况下,在 SRX 系列设备上提供两用户许可。必须购买和安装许可证,以供其他并发用户使用。

运行

在 SRX 系列设备上, TCP 封装配置文件为远程访问客户端定义数据封装操作。可将多个 TCP 封装配置文件配置为处理不同的客户端组。对于每个配置文件,配置以下信息:

  • 配置文件的名称。

  • 可选的远程访问客户端连接日志记录。

  • 跟踪选项。

  • Ssl 连接的 SSL 终止配置文件。

注意

在 SRX 系列设备上的端口443上接受来自 NCP 独占远程访问客户端的 TCP 连接。

TCP 封装配置文件使用 [ tcp-encapedit security] 层次结构级别的语句进行配置。然后,使用 [ tcp-encap-profileedit security ike gateway gateway-name] 层次结构级别的语句指定封装配置文件。您可将 TCP 封装配置文件包含在 IKE 网关配置中。例如:

支持的功能

具有 NCP 独占远程访问客户端的 SRX 系列设备支持以下功能:

  • 基于流量选择器的 IPsec 隧道,AutoVPN 处于点对点模式

  • 从 SRX 系列设备上的网关后面的设备发起的信息流

  • 死对等方检测

  • SRX 系列设备的机箱集群配置

几点

来自 NCP 独占远程访问客户端的 TCP 连接在 SRX 系列设备上使用端口443。J-Web 设备管理端口应从默认端口443更改为主机入站系统服务,必须配置 tcp-封装。使用set security zones security-zone zone host-inbound-traffic system-services tcp-encap命令。(IKE 也必须使用set security zones security-zone zone host-inbound-traffic system-services ike命令为主机入站系统服务配置。)

注意

NCP 独占远程访问客户端和 J-Web 连接不能使用相同的 TCP 端口443。

如果死对等检测(DPD)超时不够大,则使用 TCP 连接的隧道可能无法经受 ISSU。要在 ISSU 生存后,请将 DPD 超时值增加到大于120秒的数值。DPD 超时是已配置的 DPD 间隔和阈值的产品。例如,如果 DPD 间隔为32,而阈值为4,则超时为128。

NCP 独占远程访问客户端上的默认 DPD 设置指定以20秒的间隔发送消息,最多八次。发生机箱集群故障转移时,SRX 系列设备可能无法在 DPD 设置指定的参数内恢复,并且通道会关闭。在这种情况下,请将 NCP 独占远程访问客户端上的 DPD 间隔增加到60秒。

在与配置使用封装的客户端协商期间禁用 NAT-T,因为这些隧道不需要 NAT T。

具有 NCP 独占远程访问客户端的 SRX 系列设备上不支持以下功能:

  • 路由协议

  • AutoVPN,st0 接口在点到多点模式下运行

  • 自动发现 VPN (ADVPN)

  • 基于策略的 VPN

  • IPv6 信息流

  • VPN 监控

  • 自动和手动的下一跳通道绑定(NHTB)

相关主题