如今,遠程移動辦公已經是企業辦公的一個必要組成部分,爲了實現PC,手機或者PAD等多種設備的移動安全接入,我們可以選擇SSL ***部署方式。
Juniper在SRX上對於Remote Access Solution(遠程接入)提供了兩種接入方式,使用Pulse客戶端的Dynamic ***(支持SRX300和SRX550/650)和使用NCP客戶端的Remote Access(支持SRX300和SRX1500)。
本次實驗中我們將在SRX340配置dynamic ***。配置使用pulse secure客戶端的動態***時,SRX僅支持基於策略的***,不支持基於路由,同時用戶身份驗證由本地配置文件提供。
實驗拓撲:
實驗過程:
我們CLI和WEB都來配置一遍(WEB的配置使用嚮導模式會非常簡單)。實驗過程中我一開始用cli配置完無法登錄,我就用web重新配置了一遍,還是無法登錄。結果發現客戶端需要更新,推薦將客戶端升級到5.0以後版本。
CLI配置:
1.***隧道的配置:
區別去ipsec ***,我們在gateway裏面指定了hostname和連接限制數。Juniper SRX系列動態***會自帶兩個用戶數,如果需要添加額外的用戶數,購買license即可。
客戶端層次下 指定用戶,關聯***隧道。
2.策略的配置:
因爲dynamic ***是基於策略的***,所以需要專門配置一條策略來將流量指向***隧道。
3.配置profile:
配置用戶的密碼,關聯地址池。
4.配置地址池:
5.配置https進程:
配置完成,設置客戶端:
類型:SRX
名稱:我們在gateway裏面指定的hostname
服務器:SRX的公網地址
輸入賬號密碼:
登陸成功,檢查連接選項:
分配到的地址:
在設備上檢查***連接情況:
1.***隧道:
2.登錄的用戶:
3.license的使用情況:
可用2個,已經使用1個。
WEB配置(以12.3X48-D55.4爲例子):
之前都是CLI命令配置,沒想到WEB嚮導配置其實很簡單:
1.找到wizards下面的***選項:
2.選擇remote access ***
3.依次按照嚮導提示的進行配置:
配置嚮導已經定義好了很多命名,很方便。
填寫接入內網的區域和網段。
***的加密。
用戶的賬號和密碼。用戶的地址池。
最後commit確認即可。
我使用的***客戶端版本: