Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

具有 NCP 独占远程访问客户端的远程访问 Vpn

 

NCP 独占远程访问客户端是 Juniper SRX 系列网关的 NCP 独占远程访问解决方案的一部分。VPN 客户端只能通过 NCP 独占远程访问管理使用。在与 SRX 系列网关连接时,使用 NCP 独占客户端在任何位置建立基于 IPsec 的安全数据链路。

使用 NCP 独占远程访问客户端了解 IPsec Vpn

本节介绍了 NCP 独占远程访问客户端软件 SRX 系列设备上的 IPsec VPN 支持。

NCP 独占远程访问客户端

在 Windows 和 MAC OS 设备上运行 NCP 独占远程访问客户端软件的用户可以与 SRX 系列设备建立 IKEv1 或 IKEv2 IPsec VPN 连接。NCP 独占远程接入客户端软件可在https://www.ncp-e.com/ncp-exclusive-remote-access-client/下载。

许可

默认情况下,在 SRX 系列设备上提供两用户许可。其他用户需要许可证。请联系您的瞻博网络代表获取许可信息。

许可基于用户数量。例如,如果安装的许可证数量为100用户,则100不同用户可以建立 VPN 连接。由于流量选择器,每个用户都可以建立多个隧道。用户断开连接时,其许可证将在 IKE 和 IPsec 安全关联(Sa)到期后一分钟发布。

只有在完成了第2阶段协商之后,才会验证许可证实施。这意味着远程访问用户可以连接到 SRX 系列设备,并且可以建立 IKE 和 IPsec Sa,但是如果用户超过许可用户的限制,用户将断开连接。

VSRX 实例的许可基于订阅:已安装许可证到期时,连接的远程访问用户不会立即断开连接。当远程访问用户断开连接,并且相应的 IKE 和 IPsec Sa 过期时,随后用户重新连接取决于当前安装的许可证是否过期。

AutoVPN

在点对点安全通道接口模式中,AutoVPN 支持 NCP 独占远程接入客户端。仅在 SRX 系列设备上基于路由的 IPsec Vpn 上支持 AutoVPN。

流量选择器

在 SRX 系列设备和 NCP 客户端上配置的流量选择器确定通过 IPsec VPN 通道发送的客户端流量。仅对协商的流量选择器允许进出隧道的流量。如果数据包’查找目标地址的路由指向 st0 接口(在其上配置流量选择器),而数据包’的流量选择器与协商的流量选择器不匹配,则丢弃该数据包。NCP 专用远程接入客户端支持多个阶段 2 IPsec Sa 和自动路由插入(ARI)。流量选择器不支持与端口和协议进行灵活匹配。对于此功能,流量选择器的远程地址必须为 0.0.0.0/0。

在许多情况下,来自远程接入客户端的所有流量都通过 VPN 隧道发送。流量选择器中配置的本地地址可以是 0.0.0.0/0 或特定地址,详见下一节中的说明。

对于 NCP 独占远程访问客户端连接,支持在远程地址为 0.0.0.0/0 的 SRX 系列设备上配置流量选择器。完成 VPN 协商后,流量选择器的远程地址应为单个 IP 地址(由 RADIUS 服务器或本地地址池分配的远程接入客户端的地址)。

拆分通道

分割隧道使用短于 0.0.0.0/0 的前缀作为在 SRX 系列设备’上配置的流量选择器中的本地地址的受保护资源 s 地址。可在远程访问客户端上配置相应的流量选择器。SRX 系列设备允许 VPN 通道上的流量与两个流量选择器中的灵活匹配结果相匹配。如果远程接入客户端上配置的流量选择器无法与 SRX 系列设备上配置的流量选择器匹配,则通道协商将失败。对于 IKEv1,客户端流量选择器配置中的本地和远程地址必须与 SRX 系列设备上配置的相应流量选择器中的相同地址或地址子集。

多子网

在 SRX 系列设备上,可为每个受保护的子网配置一个流量选择器。子网不能重叠。在 NCP 独占远程访问客户端上,必须为 SRX 系列设备上配置的每个流量选择器配置一个流量选择器。在 NCP 独占远程访问客户端的拆分通道窗口中配置的地址用作客户端的远程流量选择器;这些地址必须与 SRX 系列设备上配置的相应流量选择器中的地址或地址子集相同。为每个信息流选择器创建一个 IPsec SA 对。

NCP 独占远程访问客户端身份验证

NCP 独占远程访问客户端有两种形式的扩展身份验证,具体取决于客户端的 IKE 版本:

  • 使用 RADIUS 服务器或本地接入配置文件的 XAuth 支持 IKEv1 NCP 独占远程接入客户端身份验证。对于 IKEv1 远程访问连接,预共享密钥用于 IKE 阶段1身份验证。扩展身份验证(XAuth)用于认证远程访问用户。SRX 系列设备必须配置为 IKE 攻击性模式。

    注意

    对于 IKEv1 NCP 独占远程访问客户端,AutoVPN 支持预共享密钥身份验证。对于不使用基于用户的身份验证的 AutoVPN 部署,仅支持证书身份验证。

  • IKEv2 NCP 独占远程访问客户端身份验证需要支持 EAP 的 RADIUS 服务器。SRX 系列设备充当直通认证器,用于在 NCP 独占远程访问客户端和 RADIUS 服务器之间中继 EAP 消息。支持以下 EAP 认证类型:

    • EAP-MSCHAPv2

      注意

      MSCHAPv2 server 必须由 RADIUS 服务器生成主会话密钥。

    • EAP-MD5

    • EAP-TLS

    对于 IKEv2 NCP 独占远程访问客户端,数字证书用于对 SRX 系列设备进行身份验证。可扩展身份验证协议(EAP)用于认证远程访问客户端。

远程访问客户端属性和 IP 地址分配

属性分配

对于 IKEv1 或 IKEv2 远程访问客户端,可通过 RADIUS 服务器或通过本地网络属性配置来分配属性。如果 RADIUS 服务器用于认证但未分配任何网络属性,则可以在必要时在本地配置网络属性(包括 IP 地址)。

以下客户端属性基于 RFC 2865, 虚拟专用网络标识符,并受 IKEv1 和 IKEv2 NCP 独占远程访问客户端支持:

  • 帧 IP 地址

  • 帧 IP-子网掩码

以下 Juniper 供应商特定属性(Vsa)受 IKEv1 和 IKEv2 NCP 独占远程访问客户端支持:

  • Juniper-主要-DNS

  • Juniper-主要-Wins

  • Juniper-辅 DNS (仅适用于 IKEv2)

  • Juniper-辅-Wins (仅适用于 IKEv2)

注意

VSA Juniper 本地组名称不受支持。

IP 地址分配

如果 IP 地址从本地地址池和 RADIUS 服务器分配,则 RADIUS 服务器分配的 IP 地址优先。如果 RADIUS 服务器未返回 IP 地址,并且存在用户配置的本地地址池,则会从本地池中将一个 IP 地址分配给远程客户端。

注意

本地地址池或 RADIUS 服务器地址池中的地址数量应大于远程访问客户端用户的数量。这是因为当用户断开连接时,用户可能需要长达一分钟才能注销。

从外部 RADIUS 服务器或本地地址池分配 IP 地址时,会将带有32位掩码的 IP 地址传递到 NCP 独占远程访问客户端。建立隧道后,自动路由插入(ARI)会自动将静态路由插入远程客户端’的 ip 地址,使 SRX 系列设备背后的流量可发送到客户端’IP 地址后面的 VPN 通道中。

配置的流量选择器可能不会覆盖由 RADIUS 服务器或本地地址池分配的 IP 地址。在这种情况下,远程客户端可能无法通过 VPN 通道到达子网上的其他远程客户端的 IP 地址。流量选择器必须经过显式配置,以匹配由 RADIUS 服务器或本地地址池分配给其他远程客户端的 IP 地址。

支持的功能

具有 NCP 独占远程访问客户端的 SRX 系列设备支持以下功能:

  • 从 SRX 系列设备以及 NCP 独占远程访问客户端发起的流量

  • NAT 设备后面的远程接入客户端(NAT T)

  • 死对等方检测

  • SRX 系列设备的机箱集群配置

几点

具有 NCP 独占远程访问客户端的 SRX 系列设备上不支持以下功能:

  • 路由协议

  • AutoVPN,st0 接口在点到多点模式下运行

  • 自动发现 VPN (ADVPN)

  • 具有预先共享密钥的 IKEv2 EAP

    注意

    IKEv2 NCP 独占远程访问客户端必须使用证书对 SRX 系列设备进行身份验证。

  • 基于策略的 VPN

  • IPv6 信息流

  • VPN 监控

  • 自动和手动的下一跳通道绑定(NHTB)

  • 协商中的多个流量选择器

  • 在同一虚拟路由器中从 NCP 独占远程访问客户端收到的流量选择器不能包含重叠 IP 地址

使用 NCP 独占远程访问客户端了解 SSL 远程访问 Vpn

在许多公共热点环境中,UDP 流量会在端口443上的 TCP 连接正常时被阻止。对于这些环境,SRX 系列设备可通过在 TCP 连接中封装 IPsec 消息来支持 SSL 远程访问 Vpn。此实施与第三方 NCP 专用远程接入客户端兼容。本节介绍 SRX 系列设备上的 NCP 独占远程访问客户端支持。

使用 NCP 独占远程访问客户端的 SSL 远程访问 Vpn 的优势

  • 即使客户端与网关之间的设备阻止互联网密钥交换(IKE)(UDP 端口500),也可确保安全远程访问。

  • 用户在所有工作环境中保持对业务应用程序和资源的安全访问。

NCP 独占远程访问客户端

在 Windows、macOS、Apple iOS 和 Android 设备上运行 NCP 独占远程访问客户端软件的用户可通过端口443建立 TCP 连接,SRX 系列设备可交换封装的 IPsec 流量。

NCP 独占远程访问客户端以以下两种模式之一运行:

  • NCP 路径查找器 v1,支持在端口443上的 TCP 连接中封装的 IPsec 消息

  • NCP 路径查找器 v2,支持使用 SSL/TLS 连接的 IPsec 消息(NCP 路径查找器 v2 使用 TLSv 1.0。)

使用 RSA 证书进行正确的 SSL 握手。IPsec 消息使用 SSL 握手期间交换的密钥进行加密。这会导致双加密、为 SSL 隧道一次或再次为 IPsec 隧道生成。

注意

对于 NCP 路径查找器 v2 模式支持,需要在 SRX 系列设备上加载 RSA 证书,并且必须配置引用证书的 SSL 终止配置文件。

如果防火墙或代理服务器阻止 IPsec 流量,则 NCP 独占远程访问客户端将提供一种回退机制,以防常规 IPsec 连接尝试失败。NCP 路径查找器 v2 模式是提供全 TLS 通信的增强功能,不会受到高度受限的应用程序级防火墙或代理的阻止。如果无法建立常规 IPsec 连接,则 NCP 独占远程访问客户端将自动切换到 NCP 路径查找器 v1 模式。如果客户端仍然无法进入网关,NCP 将使用完整 TLS 协商启用 NCP 路径查找器 v2 模式。

许可

默认情况下,在 SRX 系列设备上提供两用户许可。必须购买和安装许可证,以供其他并发用户使用。

运行

在 SRX 系列设备上, TCP 封装配置文件为远程访问客户端定义数据封装操作。可将多个 TCP 封装配置文件配置为处理不同的客户端组。对于每个配置文件,配置以下信息:

  • 配置文件的名称。

  • 可选的远程访问客户端连接日志记录。

  • 跟踪选项。

  • Ssl 连接的 SSL 终止配置文件。

注意

在 SRX 系列设备上的端口443上接受来自 NCP 独占远程访问客户端的 TCP 连接。

TCP 封装配置文件使用 [ tcp-encapedit security] 层次结构级别的语句进行配置。然后,使用 [ tcp-encap-profileedit security ike gateway gateway-name] 层次结构级别的语句指定封装配置文件。您可将 TCP 封装配置文件包含在 IKE 网关配置中。例如:

支持的功能

具有 NCP 独占远程访问客户端的 SRX 系列设备支持以下功能:

  • 基于流量选择器的 IPsec 隧道,AutoVPN 处于点对点模式

  • 从 SRX 系列设备上的网关后面的设备发起的信息流

  • 死对等方检测

  • SRX 系列设备的机箱集群配置

几点

来自 NCP 独占远程访问客户端的 TCP 连接在 SRX 系列设备上使用端口443。J-Web 设备管理端口应从默认端口443更改为主机入站系统服务,必须配置 tcp-封装。使用set security zones security-zone zone host-inbound-traffic system-services tcp-encap命令。(IKE 也必须使用set security zones security-zone zone host-inbound-traffic system-services ike命令为主机入站系统服务配置。)

注意

NCP 独占远程访问客户端和 J-Web 连接不能使用相同的 TCP 端口443。

如果死对等检测(DPD)超时不够大,则使用 TCP 连接的隧道可能无法经受 ISSU。要在 ISSU 生存后,请将 DPD 超时值增加到大于120秒的数值。DPD 超时是已配置的 DPD 间隔和阈值的产品。例如,如果 DPD 间隔为32,而阈值为4,则超时为128。

NCP 独占远程访问客户端上的默认 DPD 设置指定以20秒的间隔发送消息,最多八次。发生机箱集群故障转移时,SRX 系列设备可能无法在 DPD 设置指定的参数内恢复,并且通道会关闭。在这种情况下,请将 NCP 独占远程访问客户端上的 DPD 间隔增加到60秒。

在与配置使用封装的客户端协商期间禁用 NAT-T,因为这些隧道不需要 NAT T。

具有 NCP 独占远程访问客户端的 SRX 系列设备上不支持以下功能:

  • 路由协议

  • AutoVPN,st0 接口在点到多点模式下运行

  • 自动发现 VPN (ADVPN)

  • 基于策略的 VPN

  • IPv6 信息流

  • VPN 监控

  • 自动和手动的下一跳通道绑定(NHTB)

另请参阅

示例:为 NCP 独占远程访问客户端配置 SRX 系列设备

此示例演示如何将 SRX 系列设备或 vSRX 实例配置为支持来自 NCP 独占远程访问客户端的 IKEv2 IPsec VPN 连接。该配置还支持来自 NCP 独占远程访问客户端的 TCP 封装流量。

要求

此示例使用以下硬件和软件组件:

  • 支持 SRX 系列设备或 vSRX 实例运行 Junos OS Release 15.1 X 49-D80 或更高版本。

  • NCP 独占远程访问客户端软件必须下载在支持的用户设备上。

默认情况下,在 SRX 系列设备上提供两用户许可。必须购买和安装许可证以供其他用户使用。请联系您的瞻博网络代表获取许可信息。

开始之前:

  • 在 SRX 系列设备上:

    • 配置网络接口。

    注意

    来自 NCP 独占远程访问客户端的 TCP 连接在 SRX 系列设备上使用端口443。TCP 连接上的设备管理(例如 J-Web)可在 SRX 系列设备上使用端口443。TCP 封装系统服务必须配置在接收 NCP 独占远程访问客户端连接的区域(在此示例中为不信任区域)上的主机入站流量。如果在端口443上使用 J-web,则必须在所需区域上为主机入站流量配置 Web 管理系统服务。

  • 配置 NCP 独占远程访问客户端。有关如何执行此操作的信息,请参阅 NCP 独占远程访问客户端文档。

    注意

    NCP 独占远程访问客户端配置文件的配置必须与 SRX 系列设备上的 VPN 配置匹配。

  • 在此示例中,外部 RADIUS 服务器(例如 Active Directory server)将使用 EAP-TLS 协议的 IKEv2 独占远程访问客户端用户身份验证。在此示例中,使用 IP 地址192.0.2.12 配置 RADIUS 服务器。有关配置用户身份验证的信息,请参阅 RADIUS 服务器文档。

概述

在此示例中,IKEv2 独占远程访问客户端用户通过使用 EAP-TLS 的外部 RADIUS 服务器进行身份验证。通过在 SRX 系列设备上配置的本地地址池中的 IP 地址和主 DNS 服务器分配一个经过身份验证的客户端。流量选择器为远程和本地地址配置 0.0.0.0/0,这意味着通道上允许任何流量。

在不信任安全区域上配置 TCP 封装和 IKE 主机入站系统服务。如果在端口443上使用 J-Web,则也应配置 HTTPS 主机入站系统服务。

注意

在此示例中,安全策略允许所有流量。应为生产环境配置更严格的安全策略。

表 1显示了在 SRX 系列设备上配置的 IKE 和 IPSec 值,以支持此示例中的 NCP 独占远程访问客户端连接。

表 1: 用于 NCP 独占远程访问客户端连接的 SRX 系列设备上的 IKE 和 IPSec 选项

选项

IKE 建议:

身份验证方法

rsa-签名

Diffie-hellman (DH)组

group19

加密算法

aes-256-gcm

IKE 策略:

真品

本地证书

IKE 网关:

动态

用户-主机名

IKE 用户类型

组-ike id

版本

v2-only

IPsec 建议:

Protocol

那样

加密算法

aes-256-gcm

IPsec 策略:

完全向前保密(PFS)组

group19

拓扑

图 1显示了此示例中的网络连接。

图 1: NCP 独占远程客户端与 SRX 系列 VPN 网关的连接
NCP 独占远程客户端与 SRX 系列 VPN 网关的连接

配置

在 SRX 系列设备中注册证书

分步过程

在此示例中,第一步是在 SRX 系列设备中注册证书颁发机构(CA)证书和本地证书。本地证书用于向使用 Microsoft 证书机构的远程客户端认证 SRX 系列设备。否则下面的 URL 将有所不同。请记住下面的示例需要 CA 服务器来支持 SCEP。

  1. 配置 CA 配置文件。

    CA 配置文件的配置取决于所用的 CA 服务器。在此示例中,CRL 用于检查证书吊销。为您的环境使用适当的注册和 CRL Url。

    必须先提交 CA 配置文件配置,然后才能继续。

  2. 注册 CA 证书。

    类型 yes如果值可信,则提示您加载 CA 证书。

  3. 检查 CA 证书的吊销状态以对其进行验证。
  4. 为本地证书生成密钥对。
  5. 注册本地证书。在此示例中,证书使用简单证书注册协议(SCEP)进行注册。
  6. 检查本地证书的吊销状态以进行验证。

为远程客户端配置 SRX 系列设备

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器中的CLI 用户指南

要将 SRX 系列设备配置为支持 NCP 独占远程访问客户端:

  1. 配置本地地址池。
  2. 配置本地访问配置文件。
  3. 配置 TCP 封装配置文件。
  4. 创建 SSL 终止配置文件。
    注意

    如果未配置 SSL 终止配置文件,则仅支持 NCP 路径查找器 v1 模式。NCP 路径查找器 v2 支持需要配置 SSL 终端配置文件。配置 SSL 终止配置文件时,支持 NCP 路径查找器 v1。

  5. 将 SSL 配置文件附加到 tcp-封装配置文件。
  6. 配置接口。
  7. 配置 IKE 建议、策略和网关。
  8. 配置 IPsec 建议、策略和 VPN。
  9. 配置区域。
  10. 为分配给远程访问用户的 IP 地址配置地址簿。
  11. 配置安全策略。

结果

在配置模式下,输入show accessshow security命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果您完成了设备配置,请从commit配置模式进入。

针对

确认配置是否正常工作。

验证是否已建立 IKE Sa

用途

显示有关 IKE Sa 的信息。

操作

在操作模式下,输入show security ike security-associations命令。

在操作模式下,输入show security ike security-associations detail命令。

验证远程用户及其 IP 连接

用途

显示已连接的活动用户列表,以及有关其使用的对等地址和端口的详细信息。

操作

在操作模式下,输入show security ike active-peer命令。

在操作模式下,输入show security ike active-peer detail命令。

验证 TCP 封装会话

用途

显示有关 TCP 封装会话的信息。

操作

在操作模式下,输入show security tcp-encap connections命令。

在操作模式下,输入show security tcp-encap statistics命令。