如何配置Juniper Mist远程办公人员
本章提供有关将公司网络扩展到远程办公室工作人员Juniper Mist™远程办公人员解决方案的信息。
Juniper Mist远程办公人员概述
Juniper Mist™ 远程办公人员解决方案利用Juniper Mist边缘架构将企业网络扩展到远程办公室工作人员。Juniper Mist从远程接入点 (AP) 使用受 IPsec 保护的 L2TPv3 隧道来扩展网络。此外,Juniper Mist Edge 还提供额外的 RadSec 服务,可以安全地代理来自远程 AP 的经过身份验证的请求。此功能为远程工作人员提供了与办公室内其他人相同的用户体验。
由® Mist AI 驱动的瞻博网络云服务提供:
-
服务级别预期 (SLE) 框架,提供前所未有的用户体验可见性。
-
人工智能驱动型 Marvis 引擎,具有自然语言处理功能,用于故障排除和根本原因分析。
-
Marvis作,IT 部门可以利用它对用户问题进行远程故障排除,而无需花费任何额外资源。
下图说明了 Juniper Mist Teleworker 解决方案:
Juniper Mist Teleworker 解决方案的组件包括:
-
Juniper Mist接入点 (AP)
-
Juniper Mist 边缘设备
-
瞻博网络 Mist Wireless Assurance 订阅(每个接入点 1 次)。SUB-1S-<X>Y,其中 X 代表一年、三年或五年的服务年限。
-
Juniper Mist边缘订阅(每个接入点1 个)。SUB-ME-1S-<X>Y,其中 X 代表一年、三年或五年的服务年限。
-
(选答)Juniper Mist Marvis 订阅(每个接入点1 次)。SUB-1S-<X>Y,其中 X 代表一年、三年或五年的服务年限。
Mist远程办公解决方案的优势
Juniper Mist Teleworker 解决方案具有以下优势:
-
敏捷
-
全自动部署 — 取消对接入点的先期暂存要求。
-
轻松管理网络 - 利用 Marvis® 虚拟网络助手,通过分析服务级别预期 (SLE) 指标来管理网络性能Juniper Mist。
-
固件独立性 — 消除接入点和 Juniper Mist Edge 之间的固件依赖性。您可以在 3 秒内独立更新 Juniper Mist Edge 服务。
-
-
安全
-
流量隔离 — 流量控制级别与原始无线 LAN 控制器架构中的级别类似。将用户流量透明地移动到单个中心位置,将其与接入交换机隔离开来。
-
自动化安全 — 启用机器驱动型站点部署,不会泄露任何凭据。
-
安全 WebSocket 与云端通信。
-
端点保护 — 通过 PoE 输出保护无线和有线端点。
-
-
灵活性
-
硬件的重用。
-
通过安全网格功能支持灵活的全屋覆盖。
-
支持员工自行管理家庭 SSID。
-
设置Juniper Mist边缘并配置 WLAN 模板
初始Juniper Mist™配置完成后,无需对接入点 (AP) 进行预设。您可以将接入点直接运送到员工家中,并在 20 秒内准备好为客户服务。
Juniper Mist Edge 通常驻留在 DMZ 中,其中一只手臂连接到互联网,另一只手臂连接到受信任的企业网络。在配置 WLAN 模板以启用企业 SSID 之前,必须执行一些初始设置任务,如下所述。
| 任务 | 参考 |
|---|---|
| 配置端口连接并设置 Juniper Mist Edge |
开始 |
| 创建 Juniper Mist Edge 群集 |
创建 Mist 群集 |
| 创建Mist隧道 |
创建Mist隧道(组织级别) |
| 启用 RADIUS 代理服务 |
在组织级别配置 RADIUS 服务器 |
要配置 WLAN 模板,请执行以下作:
- 在“新建模板”窗口中,输入Name模板并将其分配给 Entire Org Site and Site groups。
每个远程家庭办公站点都放置在一个名为 Remote Teleworker的站点组中。如果您愿意,可以将整个组织放在站点组中,并添加作为例外添加的物理办公站点。例如,以下模板将分配给除站点“BranchA”和“BranchB”之外的所有站点。
- 指定安全设置。
SSID 设置取决于贵组织的要求。下图说明了 802.1X 安全 WLAN 的配置。
- 指定要通过 Edge 设备建立隧道的 VLAN 数量。
Juniper Mist接入点 (AP) 不会对配置了未标记 VLAN 的 WLAN 进行隧道传输。 - 对于组织级别的部署,请指定“自定义转发至Mist”,然后从“隧道”下拉菜单中选择一个隧道配置文件。Mist隧道必须指定要建立隧道的相同 VLAN。
- 对于站点级部署,请将自定义转发指定为 Site Edge。站点隧道必须指定要建立隧道的相同 VLAN。
通过 ETH1 或 AP 的模块端口进行有线客户端连接
除了将企业Juniper Mist网络扩展到远程办公室工作人员外,您还必须将有线设备连接到企业网络。例如,安全摄像头和 IP 电话等设备在上线后需要在防火墙上进行严密的安全监管。因此,您必须将这些设备放置在唯一的 VLAN 中。您可以通过接入点或通过接入点覆盖配置设备接入点 (AP)。如果您愿意,可以创建设备配置文件并将其分配给设备。无论哪种情况,配置都完全相同。
要在 Mist AP 上配置有线端口 (Eth1+),您可以在 Mist 门户中创建设备配置文件并配置以太网属性。您可以启用 PoE 直通等功能,并为每个端口配置 VLAN(Eth1、Eth2 等)。
在设备配置文件中配置以太网设置
要为连接到设备配置文件的接入点配置以太网端口,请执行以下作:
在Mist门户中,单击“ 组织”>“设备配置文件” ,然后向下滚动到 “以太网属性 ”部分。
注意:您还可以配置单个接入点的设置。在Mist门户中,单击 接入点,单击一个接入点,然后向下滚动至接入点配置页面的 以太网属性 部分。
- 如果您想将电源从 AP 扩展到其启用的以太网端口,请启用 PoE 直通 。
配置以太网端口。请注意,在设备配置文件和单个接入点级别,此处配置的 VLAN 设置优先于 VLAN ID 的 IP 地址 部分中设置的 VLAN。
- VLAN ID 列表(Eth0 端口) — 指定 AP 可以通过其与交换机的 Eth0 连接连接到的 VLAN。Eth0 流量由 AP 管理数据包和无线客户端数据包组成。如果您希望显式控制接入点交换机端口上的活动 VLAN,请使用此配置。例如,如果要为 AP12 上的有线端口添加未包含在 WLAN VLAN 中的额外 VLAN。
端口 VLAN ID — 这是端口上未标记的 VLAN。通常,除非您在 IP 地址部分指定管理 VLAN,否则应输入 VLAN 1。
VLAN ID 列表(Eth1、Eth2、Eth3 和模块端口) — 启用或禁用 AP 上的单个以太网端口(视情况而定)。您可以指定连接所需的任何 VLAN ID。
- 当在 Eth0 中继和任何 Eth1–Eth3 端口上都配置了 VLAN 标识符时,接入点 (AP) 会将流量从 Eth1–Eth3 转发到 Eth0,从而启用本地转发。
如果端口 Eth1–Eth3 上的 VLAN ID 与 Mist Edge 设备上Mist隧道中指定的 ID 匹配,则来自 Eth1–Eth3 的流量将通过该隧道。在这种情况下,不应在 Eth0 上配置这些 VLAN。
802.1X 请求方 — 启用此选项可支持 AP 连接的网络上的现有 802.1X 身份验证。使用的身份验证方法是 EAP-TLS。接入点的固件版本必须为 0.14 或更高版本才能使用此功能。有关更多信息,请参阅 将接入点配置为 IEEE 802.1X 请求方
-
单击屏幕右上角的保存。
示例:用于隧道的 AP12 有线端口配置
当多个远程用户接入点需要相同的端口配置时,您可以创建设备配置文件并将设备配置文件映射到接入点。您还可以配置单个接入点
端口配置如下:
端口 0 — 接入点管理流量以未标记的方式发送。所有本地 WLAN 和 VLAN 都在 上自动标记 Eth0。因此,您可以将 Eth0 配置 List of VLAN ID(s) 为 和 设置为 Port VLAN ID 1。
其他端口 — 将其他端口映射到单个 VLAN 或多个 VLAN,如图所示。如果将其他端口映射到单个 VLAN,则有线主机将接收来自该 VLAN 的 IP 地址。如果将其他端口配置为具有多个允许 VLAN 的中继端口,并将其中一个端口配置为本机 VLAN,则其行为就是中继。
使用额外的有线端口将隧道 VLAN 扩展到有线端口。
注意:有线端口不支持拆分隧道。因此,请从配置中省略 VLAN 1726。如果VLAN110是隧道式 VLAN,并且您想要配置隧道式有线以太网端口 (Eth1/Eth2/Eth3),请在所需的以太网端口上添加VLAN110和本地桥接的 VLAN。但是,请勿在 Eth0 上包含VLAN110,因为这是仅包含本地桥接 VLAN 的上行链路。
下图说明了 Eth0+PoE 端口和直通(直通)端口。
您可以将 Eth0+PoE 端口插入 PoE 交换机或 PoE 砖块以开启 AP12。端口使用 DHCP IP 地址进行管理。标有 Pass Thru 的直通端口充当从后到侧端口的修补程序。当您需要连接壁挂支架后面的设备时,例如酒店中的电视,您可以使用直通端口。
您可以在Juniper Mist门户的接入点详情或设备配置文件页面上配置端口 Eth1、 Eth2 和 Eth3 。您可以将端口映射到管理 VLAN 或隧道 VLAN。
示例:AP41 的第二个端口配置
下图显示了 AP41 的第二个端口配置。
在示例中, Port VLAN ID 与 Native VLAN ID 或 Untagged VLAN相同。请注意,只有模块端口能够提供以太网供电 (PoE) 输出,以便为低功耗设备(如 IP 电话)供电。 POE Passthrough 仅当 PoE 注入器(而非直流电源)为 AP 供电时才受支持。
AP12、AP41、AP43 和 AP45 均可提供 PoE 输出。以下端口可在不同的 AP 上提供以太网供电 (PoE) 输出:
-
AP41 上的模块端口
-
AP41 和 AP43 上的 ETH1
-
AP12 上的直通端口
企业 SSID 的隧道拆分
Juniper Mist Edge 提供隧道拆分功能。此功能使企业客户端能够在连接到企业网络的同时连接到本地家庭设备(如打印机和介质系统)。您可以在Mist隧道设置下启用此功能。
隧道分离功能适用于站点上的单个远程接入点。
启用拆分隧道后, 目标子网 字段中列出的 IP 地址将通过隧道传输回 Juniper Mist Edge。其余 IP 地址在本地桥接。此外,配置 DNS 服务器 字段后,提供了一种使用企业 DNS 服务器为隧道和本地桥接流量解析 URL/FQDN 的方法。
启用拆分隧道时,AP 从它为客户端运行的专用子网提供 192.168.157.X/27 IP 地址。发往企业办公室( 在目标子网中定义)的流量将转换为企业 IP。企业 IP 是 AP 从企业 WLAN 的 VLAN 接收的 IP。其余的无线客户端流量将转换为接入点的管理 VLAN IP 地址。
使用客户端子网网关配置 “隧道网关 ”设置。这是映射到 WLAN 的 VLAN 的网关。请注意,您可以配置多个目标子网。您还可以添加 IP 地址并用逗号分隔它们。
将公司 DNS 服务器设置为目标子网的一部分,或将服务器添加为 /32 条目。
为远程办公室工作人员创建站点
通过使用 Juniper Mist 为远程工作人员提供支持,只要员工远程工作,客户就可以将公司 WLAN 扩展到员工家中。
您可以在Juniper Mist门户的“ 组织”>“站点配置 ”菜单中创建站点。
-
对于 AP41 和 AP43,支持 IPsec 和拆分隧道所需的最低 AP 固件版本为 0.7.20289。
-
对于 AP32/33 和 AP12,支持具有拆分隧道的 IPsec 所需的最低 AP 固件版本为 0.8.21022。
申请接入点并将其运送到员工所在地
您可以先使用 Juniper Mist™ AI 应用申请接入点,然后再将接入点运送到员工的远程家庭办公地点。请参阅 使用 Juniper Mist AI 移动应用进行设备管理。
在 Mist AI 应用中,选择站点并使用接入点背面的二维码向该站点 声明接入点 。然后,仍然从应用中,将接入点运送到员工的位置。发货前无需将其连接到网络!
对于远程办公人员解决方案,请确保将防火墙配置为允许从远程 AP 进行连接。 请遵循以下准则:
-
允许端口 500/4500 用于 IPSec,端口 2083 用于远程 AP 的 RadSec
-
防火墙必须将数据包的目的 IP 从远程 AP 转换为隧道 IP
-
获取远程 AP 连接的 Mist Edge 隧道 IP 的外部 IP(通常为防火墙 IP),将该 IP 附加到隧道终止服务下的主机名。
无需在 Mist Edge 或接入点上进行其他配置,只需选择 IPSec 和 Radius 隧道类型以通过 Mist Edge 进行代理
收到 AP 后,员工现在可以将其连接到本地家庭路由器上的任何以太网端口(使用 PoE 注入器或直流电源)。接入点可在 20 秒内为新的远程办公室提供服务。