Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

为 SRX 系列防火墙配置站点和变量

按照以下步骤添加站点、分配 root 密码和设置站点变量,以简化 SRX 系列防火墙的配置过程。

站点是组织在Juniper Mist™云中的一个子集。您需要为网络中的每个物理(或逻辑)位置配备一个唯一的站点。具有所需权限的用户可以配置和修改站点。站点中的配置更改会自动应用于(或至少可用于)站点中包含的所有设备。

此外,瞻博网络® SRX 系列 防火墙必须具有应用安全许可证(AppSecure 是一套应用感知型安全服务,可提供对网络中各类应用的可见性和控制,从而允许Juniper Mist云跟踪并报告通过该设备的应用)。

在此任务中,您还将创建站点变量。站点变量为大规模部署提供了简单性和灵活性。站点变量基于每个站点进行配置。规划网络设计时,您可以为特定 WAN 边缘设备创建标准模板,并使用模板或 WAN 边缘配置页面中的变量。

站点变量提供了一种使用标记(例如“WAN1_PUBIP”)来表示实际值(例如 192.168.200.254)的方法,以便该值可以根据您使用变量的上下文而有所不同。例如,对于站点 1,您可以将 WAN1_PUBIP 定义为 192.168.200.254,而对于站点 2,您为 WAN1_PUBIP 提供的值为 192.168.1.10。然后,您可以使用标记替换Juniper Mist云配置(例如在 WAN 边缘模板中)的 IP 地址。也就是说,当您将模板附加到不同的站点时,当配置呈现并推送到设备时,Juniper Mist云会自动在每个站点中使用适当的 IP 地址。

您还可以在变量中定义前三个八位位组的整个 IP 子网,从而在每个设备上保留最少的配置。

您可以使用双括号来设置变量名称的格式来定义站点变量。示例:{{SPOKE_LAN1_PFX}}

要配置站点,请执行以下作:
  1. 在Juniper Mist云门户中,单击“组织”>“管理员>站点配置”。

    此时将显示现有站点的列表(如果有)。

  2. 点击右上角的创建站点。此时将显示“新建站点”窗口。

    1. 为网站命名。站点 ID 将自动生成。在此任务中,您将创建五个站点(hub1-site、hub2-site、spoke1-site、spoke2-site 和 spoke3-site)。

    2. 输入您站点的街道地址,或使用地图进行定位。

  3. 向下滚动页面至交换机管理和 WAN Edge 管理设置窗格并配置 root 密码。
    图 1:设置 root 密码 Setting Root Password

    确保始终为站点上的 WAN 边缘设备和交换机设置 root 密码。

  4. 向下滚动页面到“WAN 边缘应用程序可见性”部分,然后启用“WAN 边缘设备具有应用跟踪许可证”选项。
    图 2:启用应用程序可见性 Enable Application Visibility
    注意:

    所有软件定义 WAN (SD-WAN) SRX 系列防火墙设备都必须获得应用安全许可证。确保您在设备上安装了有效的许可证。

  5. 向下滚动屏幕到 “站点变量 ”设置窗格。

    1. 单击“ 添加变量 ”按钮。

    2. 在弹出的弹出屏幕中,键入变量的名称并指定其表示的值。

      图 3:配置变量 Configuring Variables
    表1 以完成需要添加的变量列表。
    表 1:站点的变量设置
    站点名称 变量
    spoke1-site {{SPOKE_LAN1_PFX}} 10.99.99
    {{SPOKE_LAN1_VLAN}} 1099
    {{WAN0_PFX}} 192.168.173
    {{WAN1_PFX}} 192.168.170
    spoke2-site {{SPOKE_LAN1_PFX}} 10.88.88
    {{SPOKE_LAN1_VLAN}} 1088
    {{WAN0_PFX}} 192.168.133
    {{WAN1_PFX}} 192.168.130
    spoke3-site {{SPOKE_LAN1_PFX}} 10.77.77
    {{SPOKE_LAN1_VLAN}} 1077
    {{WAN0_PFX}} 192.168.153
    {{WAN1_PFX}} 192.168.150
    hub1-site {{HUB1_LAN1_PFX}} 10.66.66
    {{HUB1_LAN1_VLAN}} 1066
    {{WAN0_PFX}} 192.168.191
    {{WAN1_PFX}} 192.168.190
    {{WAN0_PUBIP}} 192.168.129.191
    {{WAN1_PUBIP}} 192.168.190.254
    hub2-site {{HUB2_LAN1_PFX}} 10.55.55
    {{HUB2_LAN1_VLAN}} 1055
    {{WAN0_PFX}} 192.168.201
    {{WAN1_PFX}} 192.168.200
    {{WAN0_PUBIP}} 192.168.129.201
    {{WAN1_PUBIP}} 192.168.200.254

    • {{SPOKE_LAN1_PFX}}、{{HUB1_LAN1_PFX}}、{{HUB2_LAN1_PFX}}、{{WAN0_PFX}} 和 {{WAN1_PFX}} 等变量表示 IP 地址或前缀的前三个八位位组。

    • {{SPOKE_LAN1_VLAN}}、{{HUB1_LAN1_VLAN}}、{{HUB2_LAN1_VLAN}} 等变量包含各个 VLAN ID。在此示例中,使用 VLAN 标记来分解广播域并分离流量。

    • 为中枢的 WAN 接口定义的变量 {{WAN0_PUBIP}} 和 {{WAN1_PUBIP}} 使用公共 IP 地址:

      • Internet 路径上的接口 IP 地址格式为 192.168.129.x。您可以为接口设置网络地址转换 (NAT) 规则。

      • MPLS 路径上接口的 IP 地址在 192.168.x.254 中。

    • 使用 /24 子网掩码,不要为此字段创建变量。
    对于其余字段,请使用默认值,定义站点变量时除外。
  6. 单击“保存”将变量添加到列表中。

    图 4 显示了新创建的变量列表。

    图 4:站点变量示例 Site Variables Sample
  7. 单击“保存”以保存对站点的更改。
    图 5 显示了新创建的站点列表。
    图 5:新建站点 Newly Created Sites

相关主题