JUNIPER SRX dynamic ***配置实验
如今,远程移动办公已经是企业办公的一个必要组成部分,为了实现PC,手机或者PAD等多种设备的移动安全接入,我们可以选择SSL ***部署方式。Juniper在SRX上对于Remote Access Solution(远程接入)提供了两种接入方式,使用Pulse客户端的Dynamic ***(支持SRX300和SRX550/650)和使用NCP客户端的Remote Access(支持SRX300和SRX1500)。
本次实验中我们将在SRX340配置dynamic ***。配置使用pulse secure客户端的动态***时,SRX仅支持基于策略的***,不支持基于路由,同时用户身份验证由本地配置文件提供。
实验拓扑:
实验过程:
我们CLI和WEB都来配置一遍(WEB的配置使用向导模式会非常简单)。实验过程中我一开始用cli配置完无法登录,我就用web重新配置了一遍,还是无法登录。结果发现客户端需要更新,推荐将客户端升级到5.0以后版本。
CLI配置:
1.***隧道的配置:
区别去ipsec ***,我们在gateway里面指定了hostname和连接限制数。Juniper SRX系列动态***会自带两个用户数,如果需要添加额外的用户数,购买license即可。
客户端层次下 指定用户,关联***隧道。
2.策略的配置:
因为dynamic ***是基于策略的***,所以需要专门配置一条策略来将流量指向***隧道。
3.配置profile:
配置用户的密码,关联地址池。
4.配置地址池:
5.配置https进程:
配置完成,设置客户端:
类型:SRX
名称:我们在gateway里面指定的hostname
服务器:SRX的公网地址
输入账号密码:
登陆成功,检查连接选项:
分配到的地址:
在设备上检查***连接情况:
1.***隧道:
2.登录的用户:
3.license的使用情况:
可用2个,已经使用1个。
WEB配置(以12.3X48-D55.4为例子):
之前都是CLI命令配置,没想到WEB向导配置其实很简单:
1.找到wizards下面的***选项:
2.选择remote access ***
3.依次按照向导提示的进行配置:
配置向导已经定义好了很多命名,很方便。
填写接入内网的区域和网段。
***的加密。
用户的账号和密码。用户的地址池。
最后commit确认即可。
我使用的***客户端版本:
页:
[1]