设为首页   锐捷官网
用其他帐号登录:
查看: 2564|回复: 0

[安全] VPN >> 安全远程接入系统SRA >> 常见咨询

[复制链接]

761

主题

733

帖子

3830

积分

版主

Rank: 7Rank: 7Rank: 7

积分
3830
发表于 2015-5-8 17:59:37 | 显示全部楼层 |阅读模式
1、什么是RG-SRA

“RG-SRA” 等同于 “锐捷安全远程接入系统”  ,是VPN设备的Remote IPSEC VPN功能需要使用的windows客户端软件。

“RG-Key“等同于“锐捷密钥存储Key” 。

老版本的SRA软件使用区分操作系统,在win7和xp上使用的是不同的软件版本,使用时需要注意。5.1.3版本支持win7 64位系统,且XP与win7通用,5.1.3版本需要配合VPN网关2.60.11.3及以上版本使用。 

SRA上创建的网关,登陆时可以选择Radius第三方认证、数字证书认证、网关本地认证和 RG-Key+Radius 认证四种方式,常用的为网关本地认证(使用用户名密码登陆)及数字证书认证(使用证书文件或者RG-KEY登陆)。如下:
8.png
连接标识为自定义的网关设备名称;

网关地址为要拨入的VPN服务端设备的IP地址或者域名;


RG-SRA安装时会同时装RG-KEY的驱动,所以电脑上安装RG-SRA安装时,需要注意RG-KEY不能插在电脑USB口上,否则会导致驱动无法安装成功。

安装成功以后,点击【开始】→【程序】→【锐捷安全远程接入系统】,界面会显示RG-SRA程序菜单项,点击【安全远程接入系统】 ,用户就可以运行本系统。

如果要退出系统, 只需要在任务栏中右击RG-SRA托盘图标,在弹出的快捷菜单中选择 【退出】选项即可。
7.png
卸载时请务必使用本产品自带的卸载程序,否则可能无法正常卸载或卸载不完全。

注意:官网搜索下载的RG-WALL VPN客户端.exe及《RG-WALL VPN客户端用户手册.pdf》为防火墙ipsec vpn客户端及其配套说明手册,与VPN产品完全不同,请勿混淆使用。


2、SRA拨入需要使用的端口

认证端口:tcp/udp 4949

隧道协商端口:udp500及udp4500


3、使用证书方式、usb-key方式拨入的SRA用户,是否需要在VPN网关上的本地用户数据库中建立用户名

不需要,使用用户名密码方式拨入的才需要。


4、是否支持不同用户使用本地网关认证及证书认证的方式拨入VPN网关

支持。

可以部分用户使用用户名密码方式拨入、部分用户使用证书方式(使用usb-key及不用usb-key均可)拨入VPN网关


5、VPN设备无法看到用户的访问日志

需要在IPSEC * 选项中设置IPSEC数据按规则进行处理。

VPN设备的访问日志默认不开启,在防火墙规则里可以开启访问日志。


6、win7的SRA客户端是否可以支持TTG功能

自SRA 5.1.3版本开始,Win7系统SRA支持开启TTG功能,之前的版本不能开启TTG功能;

说明:一般隧道协商端口为UDP端口,但是在公网上或者在出口防火墙上可能会对UDP包进行拦截导致不能正常协商,那么可以采用TTG隧道传输保障的选项把客户端的协商端口改为TCP80, * 协商的畅通性;
6.png
7、用户使用SRA登陆到VPN设备上,希望各个SRA客户端之间也能够互相访问

在VPN设备防火墙安全规则设置安全参数为直接放行,并在远程用户管理端的允许访问子网里添加分配的虚拟IP网段,可以看到SRA客户端允许访问子网里有虚拟IP网段。如果知道对方分配到的虚拟IP地址,即可以互相访问。     


8、SRA拨入后无法通过adm账号管理设备

SRA拨入后无法通过adm账号管理设备

说明:由于SRA拨入后,虚拟IP对应sra的账号,此时如果再采用adm账号登陆,则系统就会检测到该IP地址已经对应SRA的账号,所以目前不支持SRA拨入后再对设备进行管理


9、如何导出SRA的日志

进入安全远程接入系统的安装目录下的\event目录,该目录下的文件即为log文件。


10、SRA用户可否做不同网段的访问限制

可以结合防火墙功能模块进行控制:

1)安全参数:IPSEC VPN按规则转发;

2)可以通过SRA的虚IP或用户名建立相应的安全规则进行控制;


11、SRA配套使用的USBkey 锁住后如何解锁

采用CMS进行解锁。

1)选择任意证书选择证书操作/初始化USB key的PIN码;

2)输入管理员密码;(默认密码为rjadmin)

3)输入新的PIN码;

3)确认初始化成功;


12、SRA客户端获取到的IP是否可以从网关上ping通

不可以。

反之,从SRA客户端去ping网关内网IP也是ping不通的


13、SRA是否可以分配置固定的IP地址

SRA上无法指定获取的固定IP地址,在VPN设备上可以指明某个用户获取的IP地址。


14、VPN设备使用SRA拨入IPsec时,如何同时使用USB key和用户名验证登陆

此时必须要有第三方Raduis认证服务器,USBkey只要pin码验证正确即可,和证书没有关系


15、SRA客户端PC硬件特征码进行捆绑后能否限制一个vpnkey在多台PC机随意使用

可以进行硬件特征码绑定。

每台PC有对应的特征码,进行特征码绑定后,每个key在登陆时都会校验特征码信息,如果不一致则不允许登陆。


16、SRA异常退出后,隧道协商状态还是停留在 * 阶段协商成功是否正常

异常退出的客户端(如电脑直接关机),VPN网关上保活失败后会将此用户从在线用户中踢出,对于这样的异常退出的客户端,再次拨入时还是可以正常拨入,会使用之前的隧道。


17、是否能直接查看SRA上的证书/用户名

不能直接查看。

需要用usb-key管理工具查看。


18、SRA能否控制不同的用户获得不同网段的IP

不能


19.V160E/V1600E等VPN网关产品,能否强制用户下线

截止2.60.11.6版本,VPN网关可以强制SSL VPN用户下线;IPSec用户和L2TP用户无法强制下线;


20、VPN设备上同时启用SRA拨入与站点到站点隧道的限制

如果需要共存,有如下限制:

1、VPN设备版本必须在2.60.07或更高;

2、需要在接口上所有隧道配置都勾选双选认证方式。并且需要在SRA拨入后,把SRA的隧道配置里面预共享密钥填写和网关到网关隧道配置中预共享密钥一致。之后保存配置,SRA用户再次拨入就正常了。


21、SRA是否支持win7嵌入式系统

不支持



22、VPN产品ipsec 的保护子网更换后是否可以立及同步到客户端

需要客户端重新拨入才能下发



23、SRA拨入后VPN网关端隧道资源配置是0.0.0.0/1、128.0.0.0/1
5.png
这是正常的,是网关为节省隧道资源变更,从2.62.X版本变成这样;



24、SRA使用RG-KEY认证,是否支持win8系统

截止5.1.12 SRA支持win8系统,但仅支持用户名密码,由于KEY驱动不支持win8系统,因此不能使用USB KEY登陆,原因是硬件key厂商没更新支持win8的驱动;



25、IPSec VPN客户端SRA是否可以与SSL VPN客户端同时使用

从SRA 5.1.3版本可以支持,因为5.1.3版本已经与ssl vpn不使用同一张虚拟网卡;



26、SRA是否支持信息孤岛功能(阻止客户上公网,只能访问内部资源)

只需要管理员勾选VPN网关上面【IPSEC VPN】-【用户通信策略】中的“开启信息孤岛”,然后客户端重新登陆后即可生效。 这样客户端登陆后只能访问允许访问的内部资源,不能上公网;


27、SRA客户端断线重连机制

SRA客户端的认证保活时间是30s一次,共10次。 SRA客户端的隧道探测时间是20S。 如果隧道探测成功并且一直存在的情况下,而认证保活包不通,那么一般会在30*10秒后进行断线重连。(实际情况略微有些差距,与实际网络延迟有关)如果认证保活包是通的,而隧道探测失败,那么20S后会自动重连隧道;
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则