Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

为 SRX 系列防火墙配置网络

在瞻博网络 WAN 保证设计中,网络是请求的来源。在瞻®博网络 SRX 系列防火墙上,网络创建地址簿,用作安全策略和基于高级策略的路由 (APBR) 策略的来源。

您可以通过网络定义用户组。在 WAN 设计中,您需要确定通过 LAN 网段访问应用的来源并设置用户。用户是源地址,稍后可以在应用程序策略中使用。

在 Juniper Mist™ 云门户中创建网络后,就可以在门户中使用整个组织的网络。WAN 保证设计在应用策略中使用网络作为来源。

要配置网络:

  1. 在 Juniper Mist 云门户中,单击组织> WAN >网络
    此时将显示现有网络列表(如果有)。
  2. 单击右上角 的添加网络
    添加网络 窗口将随即出现。 表1 汇总了您可以在网络中设置的选项。
    表 1:网络选项
    字段 说明
    名字 输入网络的唯一名称。名称可以包含字母数字字符、下划线和连字符,长度必须小于 32 个字符。
    子网 IP 地址 输入网络 IP 地址。您可以使用绝对值(例如:192.0.2.0)或使用变量(例如:{{SPOKE_LAN1_PFX}}.0 )。
    前缀长度 输入地址前缀的长度(从 0 到 32)。您还可以使用前缀长度的变量。示例:{{PFX1}}
    VLAN ID

    (选答)输入与网络关联的 VLAN ID。

    如果您的设备使用未标记的接口,则应使用 1 作为 VLAN ID,而非变量。
    源 NAT 池前缀

    (选答)为源 NAT 输入 IPv4 前缀。 源 NAT 将流量的源 IP 地址(即专用 IP 地址)转换为公共 IP 地址。
    访问 Mist 云

    选中此选项可允许定义网络中的其他设备连接到 Mist 云,以便通过 SRX 系列 防火墙进行管理。

    WAN 边缘设备具有内置策略,用于使用 WAN 接口连接到Mist云服务。使用此选项授予对云的访问权限Mist将允许网络使用内置策略连接到Mist。

    用例示例:用于Mist托管设备的管理 LAN 网络。
    向叠加层播发

    选中通过叠加隧道向中枢设备播发网络的选项。选择此选项后,系统将显示以下附加播发选项:

    • 播发至其他分支 — 用于将网络前缀播发至其他分支的网络(默认选项)。

      如果您希望网络仅将前缀播发到集线器(而非其他分支),请禁用默认选项。

    • 播发至集线器 LAN BGP 邻接方 — 用于将网络前缀播发至集线器上的任何 LAN BGP 邻接方的网络(默认选项)。如果您不想播发,请禁用默认选项。
    • 播发至集线器 LAN OSPF 邻接方(仅限 SRX) — 用于将网络前缀播发至集线器上的任何 LAN OSPF 邻接方的网络(默认选项)。如果您不想播发,请禁用默认选项。
    • 覆盖要播发的前缀 — — 当要播发到集线器的前缀不是原始网络而是其他前缀时,请启用此选项。这通常在启用 NAT 选项时使用。选择此选项时,输入 IP 地址和前缀长度。

    门户还会显示以下路由汇总选项:

    • 集线器叠加汇总 — 使网络能够汇总播发至叠加网络的网络前缀。例如:Juniper Mist门户可以汇总 192.168.1.0/24 到 192.168.0.0/16。此功能限制集线器从每个分支接收并由集线器发送回所有其他分支的 BGP 更新数。
    • 集线器 LAN BGP 汇总 — 使网络能够汇总播发至 LAN BGP 邻接方的网络前缀。例如:Juniper Mist门户可以汇总 192.168.1.0/24 到 192.168.0.0/16。
    • 集线器 LAN OSPF 汇总 — 使网络能够汇总播发至 LAN OSPF 邻接方的网络前缀。例如:Juniper Mist门户可以汇总 192.168.1.0/24 到 192.168.0.0/16。
    • 路由汇总 - 汇总朝向叠加的本地路由。您可以指定汇总路由的 IP 地址和前缀长度。对于 Session Smart 路由器,当网络仅连接到分支时,支持汇总。

    网络不直接连接(仅限 SSR)

    选择不是直接连接的网络,这些网络到达分配给 LAN 的此网络。
    用户

    (选答)其他网络或用户。示例:远程网络或连接到主网络的用户。

    单击 “添加用户 ”选项,然后输入其他用户 的名称 IP 前缀
    静态 NAT

    (选答)执行原始私有主机源地址到公共源地址的一对一静态映射。

    单击 “添加静态 NAT ”选项,然后输入 “名称 ”、“ 内部 IP”、“ 外部 IP ”,然后选择要应用于 底层叠加网络上的传出流量的选项。输入 SRX 系列设备的 WAN 名称
    目标 NAT

    (选答)转换数据包的目标 IP 地址。

    单击 “添加目标 NAT” 选项并输入 “名称 ”、“ 内部 IP”、“ 内部端口”、“ 外部 IP”、“ 外部端口 ”,然后选择要应用于 底层叠加层上的传出流量的选项。输入 SRX 系列设备的 WAN 名称
  3. 根据 表 2 中提供的详细信息完成配置。
    在此任务中,您将使用子网 IP 地址和前缀长度字段的变量来配置三个网络:SPOKE-LAN1、HUB1-LAN1 和 HUB2-LAN1。
    表 2:网络配置示例
    字段 网络 1 网络 2 网络 3
    名字 分支-LAN1 HUB1-LAN1 HUB2-LAN1
    子网 IP 地址 {{SPOKE_LAN1_PFX}}.0 {{HUB1_LAN1_PFX}}.0 {{HUB2_LAN1_PFX}}.0
    前缀长度 24 24 24
    VLAN ID {{SPOKE_LAN1_VLAN}} {{HUB1_LAN1_VLAN}} {{HUB2_LAN1_VLAN}}
    访问 Mist 云 检查 检查 检查
    通过叠加式广告 检查 检查 检查
    用户
    • 名称=全部
    • IP 前缀 = 10.0.0.0/8
    		 - -
    注意:

    IP 前缀为 10.0.0.0/8 的用户“All”用作该系列中所有未来 LAN 分段的通配符。集线器中的 SRX 系列防火墙可以使用相同的用户名 (全部) 和 IP 前缀 (10.0.0.8) 来使用单个规则识别所有分支 LAN 接口。

    注意:

    使用变量时,不要假定系统会自动导入中枢站点上的所有 LAN 分段。有时,系统可能会应用任何网络掩码,其范围很广,可能会产生安全问题。
  4. 单击“添加”

    图 1 显示了新创建的网络列表。

    图 1:网络摘要 Networks Summary

站点变量

您可以按站点配置站点变量。站点变量允许您对每个站点使用具有不同值的相同网络定义,而不必定义多个网络。变量的格式为 {{variable_name}}。使用变量定义网络是 WAN 边缘模板配置中的常见做法。

提示:在配置屏幕上工作时,请查找 VAR 指示器。带有此指示符的字段允许站点变量。

当您开始在其中键入特定变量时,带有此标签的字段还会显示匹配的变量(如果已配置)。此字段列出组织内所有站点的变量。

可以使用 GET /api/v1/orgs/:org_id/vars/search?var=* 查看组织范围的变量列表。当在站点设置下添加变量时,将填充此列表。

图 2 显示了使用绝对值和站点变量配置网络的两个示例。

图 2:使用绝对值和变量 Configuring Networks with Absolute Values and Variables配置网络

您可以在 “组织 > 管理员> 站点配置” 窗格中定义站点变量。

图 3:站点变量设置窗格 Site Variables Settings Pane

此任务使用 VLAN ID 和子网 IP 地址的变量。包含前三个八位位组的站点变量将替换子网 IP 地址变量值,如 图 4 所示。

图 4:站点配置页面上 Site Variables Displayed on the Site Configuration Page显示的站点变量

相关主题