适用于 SRX 系列防火墙的全栈设计

使用此设计指南，将瞻博网络 SD-WAN SRX 系列 WAN 边缘设备与部署在 Wired Assurance 中的瞻博网络 EX 系列交换机配合使用。

瞻博网络® SD-WAN （Driven by Mist AI™）全栈设计示例是针对 SRX 系列防火墙部署 Mist WAN 保证的后续产品。有关详细信息，请参阅 SRX 和 WAN 保证配置概述。

概述

借助此配置示例，您将通过集成 Mist 接入点和瞻博网络 EX 交换机来扩展网络功能。此全栈示例向您展示如何将瞻博网络 SD-WAN SRX 系列 WAN 边缘设备与部署在 Wired Assurance 中的瞻博网络 EX 系列交换机配合使用。这会将您的所有网络设备整合到一个统一的入网、监控和故障排除仪表板中。

该示例从最高级别的 WAN 保证开始，重点介绍 SRX 系列防火墙。我们假设您已经在中心辐射型网络中部署了 SRX 系列防火墙。SRX 系列防火墙作为 WAN 边缘设备，也是构建整个网络的基础。

对于这种全栈设计，您需要至少一台瞻博网络 EX 交换机才能接入Mist云。如果您计划使用虚拟电路进行高级测试，最好使用两台 EX 交换机。此外，您还可以在设置中加入Mist接入点，以增强网络的无线功能。通过将接入点和交换机集成到 LAN 网络中，以便通过Mist进行管理，从而通过Juniper Mist门户仪表板轻松监视和控制 WAN 边缘设备、交换机和接入点。

图 1 显示了此示例中使用的全栈瞻博网络 Mist WAN 保证拓扑。

图 1：瞻博网络® Mist 验证设计 - 通过无线和有线保证 Juniper® Mist Validated Design - Mist WAN Assurance with Wireless and Wired Assurance

进行Mist WAN 保证

要求

首先，您需要更改 SRX 系列防火墙上为 WAN 部署配置的某些接口。在此示例中，我们将使用 WAN 边缘模板更改接口。您可以在此处找到有关 WAN 边缘模板的详细信息：为 SRX 系列防火墙配置 WAN 边缘模板。

此外，此示例还使用：

Desktop3 VM （VLAN1077） - 作为无线客户端 Raspberry Pi 的查看器运行。或者，您可以使用本地笔记本。
Desktop1 VM （VLAN1099） - 连接到新分支交换机的接口 ge-0/0/0 。

创建新的分支配置模板

若要快速高效地创建新的分支配置，可以克隆现有分支的模板，然后进行必要的更改。它使事情变得容易得多。

在Juniper Mist™门户中，单击“组织”>“WAN >”WAN 边缘模板“。

图 2：导航到 WAN 边缘模板

注意：
您还可以通过导入共享的 JSON 文件来创建模板。

此时将显示现有模板的列表（如果有）。
图 3：WAN 边缘模板列表

通过克隆现有分支模板创建分支模板。
单击“更多”，然后选择“克隆”。

图 4：选择模板的克隆选项
输入名称“Spokes-with-Switch”，然后单击“克隆”。

图 5：保存克隆模板

提示：
克隆后刷新浏览器。这可确保显示的对象真正焕然一新。

编辑 LAN 接口

在 LAN 接口配置部分，编辑现有接口（LAN1）。

图 6：模板上的 LAN 接口配置

将 LAN1 接口的名称更改为 SPOKE-LAN1 并应用以下更改：
图 7：修改 LAN 接口配置
- 接口 — ge-0/0/5、ge-0/0/6。
- Port Aggregation - 启用。
- 启用 Force Up - 启用。当交换机在 LAG 中没有专用 OOB 接口并使用带内托管接口时，建议使用此配置。此设置可防止交换机断开与瞻博网络 Mist 云的连接
- AE 索引 - 0（因为未启用 LAG 端口）。
继续配置 SPOKE-LAN1 接口：

图 8：修改 LAN 接口配置
- 未标记的 VLAN - 是。此设置使 VLAN 访问/本机能够将 DHCP 租期分发给交换机。否则，请将站点变量 {{SPOKE_LAN1_VLAN}} 设置为“0”以获得相同的结果。
- DHCP - 服务器
- IP 启动 - {{SPOKE_LAN1_PFX}}.100
- IP 端 - {{SPOKE_LAN1_PFX}}.199
- 网关 - {{SPOKE_LAN1_PFX}}.1
- DNS 服务器 - 8.8.8.8、9.9.9.9
图 9显示了您修改的 LAN 接口。

图 9：LAN 接口汇总
单击“保存”以保存更改。

图 10：保存 WAN Edge 模板

将新模板分配给站点

滚动到“WAN Edge 模板”页面顶部，然后单击“分支”面板下的“分配给站点”。

图 11：将分支模板分配给站点
在“将模板分配给站点”窗格中，选择“spoke1-site 模板”，然后单击“应用”。

图 12：选择要分配分支模板的站点
查看模板设置，如图 13 所示。

图 13：WAN 边缘模板的详细信息

将您的交换机添加到拓扑结构中

现在是时候将交换机上线并将其添加到基础架构中了。有关如何接入交换机的详细信息，请参阅瞻博网络技术库中适用于您的交换机的产品文档。

有关在 Juniper Mist AI 云门户中启动并运行新的云就绪 EX 交换机的详细信息，请参阅带 Mist 的云就绪 EX 和 QFX 交换机。

要将交换机分配给站点，请执行以下作：

在Juniper Mist门户中，单击“组织”>“管理员>”清单“。

图 14：导航到库存
在“清单”页面中，确保清单视图设置为“组织（整个组织）”，然后刷新浏览器，直到看到所有设备。

图 15：库存中的 EX 系列交换机
选择您的新交换机，然后单击“Assign to Site”。
在 Assign Switches 页面上：
- 选择 spoke1-site。
- 禁用 “使用Mist管理配置 ”选项。如果需要，您可以在稍后阶段启用此选项。
图 16：选择用于分配交换机的站点
单击“Assign to Site”。
将设备分配到站点后，确认清单中的更改。

您可以在“新建站点”下看到 spoke1-site。

图 17：分配给站点详细信息的交换机
在Juniper Mist门户中，转到“交换机”，然后选择“spoke1-site”。

图 18：选择要修改的已分配交换机

该页面将显示分配给站点的交换机列表。
单击所需的交换机，打开交换机配置页面。
验证设备名称，然后向下滚动到“交换机配置”部分并选中“启用配置管理”。

图 19：分配交换机的配置
在“端口配置”下，单击“添加端口范围”。

图 20：已分配交换机的端口配置
在“新建端口范围”页面中，配置以下选项：
- 启用端口聚合。
- 将 AE 索引设置为 0 以确保两端的 AE 索引相同。
- 将端口 ID 设置为 ge-0/0/1 和 ge-0/0/2（LAG 的两个端口）。
- 选择现有配置文件作为上行链路。
图 21：已分配交换机的端口配置
图 20 显示了端口配置的摘要。

图 22：已分配交换机的端口配置
保存更改。

图 23：保存更改