Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

为 SRX 系列防火墙配置中枢配置文件

瞻博网络 Mist™ 云拓扑中的每个集线器设备都必须有自己的配置文件。集线器配置文件是在瞻博网络 WAN 保证中创建叠加层并为该叠加层上的每个 WAN 链路分配路径的便捷方式。

中心配置文件和 WAN 边缘模板之间的区别在于,你将中心配置文件应用于中心站点上的单个设备。WAN 边缘模板绑定到具有多个设备的分支站点,并通过跨多个站点的相同模板进行绑定。每个中心 WAN 接口都会为辐射创建一个叠加端点。分支 WAN 接口映射相应的中心 WAN 接口,从而定义拓扑。中心配置文件推动覆盖网络上路径的添加和删除。

当您为瞻博网络® SRX 系列防火墙创建中心配置文件时,Mist 云会自动生成并安装 SSL 证书。它还会设置 WAN 上行链路探测以进行故障转移检测。

在此任务中,您将创建一个中心配置文件,然后克隆该配置文件,以在瞻博网络 Mist 云门户中创建第二个中心配置文件。

配置中心配置文件

集线器配置文件由与特定集线器设备关联的属性集组成。集线器配置文件包括名称、LAN、WAN、流量引导、应用程序策略和路由选项。您可以将中心配置文件分配给中心设备,在将中心配置文件加载到站点后,分配给站点的设备将选取该中心配置文件的属性。

要配置中心配置文件,请执行以下操作:

  1. 在瞻博网络 Mist 云门户中,单击组织> WAN > Hub 配置文件
    此时将显示现有配置文件的列表(如果有)。
  2. 单击右上角的创建配置文件
    注意:

    还可以通过使用“ 导入配置文件 ”选项导入 JavaScript 对象表示法(JSON 文件)来创建中心配置文件。

  3. 输入配置文件的名称,然后单击 创建

    表 1 汇总了可以在中心配置文件中设置的选项。

    表 1:集线器配置文件选项
    字段 说明
    名字 配置文件名称。输入配置文件的唯一名称。配置文件名称最多可包含 64 个字符。示例:集线器 1。
    Ntp 网络时间协议 (NTP) 服务器的 IP 地址或主机名。NTP 允许网络设备将其时钟与互联网上的中央源时钟同步。
    适用于设备 用于关联中心配置文件的站点。下拉菜单显示当前站点清单中可用的 WAN 边缘设备列表。
    DNS 设置 域名系统 (DNS) 服务器的 IP 地址或主机名。网络设备使用 DNS 名称服务器将主机名解析为 IP 地址。
    安全边缘连接器 安全边缘连接器详细信息。安全边缘对瞻博网络 Mist 云门户管理的 WAN 边缘设备执行流量检查。
    WAN 接口详细信息。中心配置文件使用这些详细信息为辐射创建覆盖端点。对于每个 WAN 链路,您可以定义物理接口、WAN 类型(以太网或 DSL)、IP 配置以及接口的叠加中枢端点。请参阅 WAN 接口
    局域网 LAN 接口详细信息。本节列出了将集线器连接到 LAN 分段的 LAN 接口的集线器端。

    您可以分配网络、创建 VLAN 以及设置 IP 地址和 DHCP 选项(无、中继或服务器)。

    请参阅 LAN 接口
    流量引导 转向路径。定义流量到达目的地的不同路径。对于任何流量转向策略,您可以包括流量遍历的路径以及利用这些路径的策略。请参阅 流量引导策略
    应用程序策略 用于实施流量规则的策略。定义网络(源)、应用程序(目标)、流量引导策略和策略操作。请参阅 应用程序策略
    路由 用于在中心和分支之间路由流量的路由选项。您可以启用边界网关协议 (BGP) 底层路由(其中动态学习路由),或使用静态路由手动定义路由。
    CLI 配置 CLI 配置命令。如果要配置模板 GUI 中不可用的设置,可以使用 设置 格式的 CLI 命令对其进行配置。
  4. 单击保存

将 WAN 接口添加到中枢配置文件

为中心配置文件创建 WAN 接口。WAN 接口成为跨 SD-WAN 的连接。中心配置文件会自动为每个 WAN 接口创建叠加端点。请注意,在叠加中心端点中,您可以向分支(分支)介绍中心端点。

要将 WAN 接口添加到中枢配置文件,请执行以下操作:

  1. 向下滚动到 WAN 部分,然后单击添加 WAN 以打开添加 WAN 配置窗格。
  2. 根据 表 2 中提供的详细信息完成配置。
    表 2:WAN 接口配置
    现场 WAN 接口 1 WAN 接口 2
    名称 (标签而非技术) 伊内特 Mpls
    覆盖中心端点 (自动生成) 集线器1-INET 中枢1-MPLS
    WAN 类型 以太网 以太网
    接口 ge-0/0/0 ge-0/0/1
    虚拟帧 ID - -
    IP 地址 {{WAN0_PFX}}.254 {{WAN1_PFX}}.254
    前缀长度 24 24
    网关 {{WAN0_PFX}}.1 {{WAN1_PFX}}.1
    源 NAT 检查 接口 检查 接口
    公共 IP 的替代
    • 检查 公共 IP 的覆盖

    • 提供公共 IP={{WAN0_PUBIP} }

    • 检查 公共 IP 的覆盖

    • 提供公共 IP={{WAN1_PUBIP} }

    公共 IP {{WAN0_PUBIP}} {{WAN1_PUBIP}}
    注意:

    使用网络地址转换 (NAT) 以及播发公共 IP 地址,除非 WAN 地址是可公开路由的地址。

  3. 点击保存

    图 1 显示了您创建的 WAN 接口列表。

    图 1:配置的 WAN 接口 Configured WAN Interfaces

将 LAN 接口添加到集线器配置文件

LAN 接口的集线器端将集线器设备连接到 LAN 网段。

要将 LAN 接口添加到集线器配置文件,请执行以下操作:

  1. 向下滚动到 LAN 部分,单击添加 LAN 按钮以打开添加 LAN 配置窗格。
  2. 根据表 3 中提供的详细信息完成配置。
    表 3:LAN 接口配置
    现场 LAN 接口
    网络 HUB1-LAN1(从下拉列表中选择现有网络)
    接口 ge-0/0/4
    IP 地址 {{HUB1_LAN1_PFX}}.1
    前缀长度 24
    未标记的 VLAN
    Dhcp
  3. 单击保存
    图 2 显示了您创建的 LAN 接口。
    图 2:配置的 LAN 接口 Configured LAN Interfaces

配置流量引导策略

在流量转向中,您可以定义应用程序流量遍历网络的不同路径。您在流量转向中配置的路径决定了目标区域。对于任何流量转向策略,您都需要定义要遍历的流量路径以及利用这些路径的策略。战略包括:

  • 已订购 — 从指定路径开始,并在需要时故障转移到备份路径
  • 加权 - 根据加权偏差(由您输入的成本确定)在链路之间分配流量
  • 等价多路径 — 在多条路径之间均衡负载均衡流量

将集线器配置文件应用于设备时,流量引导策略将确定叠加网络、WAN 和 LAN 接口、策略顺序以及等价多路径 (ECMP) 的使用。该策略还确定接口或接口组合如何交互以引导流量。

要配置流量引导策略,请执行以下操作:

  1. 向下滚动到流量引导部分,然后单击添加流量引导以显示流量引导配置窗格。
  2. 根据表 4 中提供的详细信息,配置三个流量引导策略:一个用于叠加,一个用于底层,一个用于中央分支。
    流量 流量控制策略
    表 4:流量引导策略配置
    现场引导策略 12 流量控制 策略 3
    名字 底层 (HUB-LAN) 覆盖 中央分线
    策略 命令 ECMP 命令
    路径 对于路径类型,现有 LAN 和 WAN 网络可供选择为端点。
    • 类型 — LAN

    • 网络 —HUB1-LAN1
    • 类型 - WAN

    • 网络 — hub1-INET 和 hub1-MPLS

    • 类型 - WAN

    • 网络 —WAN:INET 和 WAN:MPLS

    图 3 显示了您创建的流量引导策略的列表。

    图 3:流量引导策略 Traffic-Steering Policies

配置应用程序策略

在应用程序策略中,您可以定义哪些网络和用户可以访问哪些应用程序,以及根据哪个流量转向策略。网络/用户中的设置确定源区域。应用程序和流量引导路径设置确定目标区域。此外,您还可以分配策略操作 — 允许或拒绝以允许或阻止流量。Mist 按照您在门户中列出的顺序评估和应用应用程序策略。您可以使用向上箭头和向下箭头更改策略的顺序。

图 4 显示了此任务中的不同流量方向要求。该图描述了企业 VPN 设置的基本初始流量模型(未显示第三分支设备和第二中心设备)。

图 4:流量方向拓扑 Traffic-Direction Topology

在此任务中,您将创建以下应用程序规则以允许流量:

  • 规则 1 — 允许来自分支站点的流量到达中心站点(以及连接到中心设备的 DMZ 中的服务器)。

  • 规则 2 — 允许来自连接到中心的 DMZ 中的服务器的流量到达分支设备。

  • 规则 3 — 允许来自分支设备的流量通过中心设备到达分支设备发夹

  • 规则 4 — 允许从集线器设备到互联网的互联网绑定流量(本地分支)。在此规则中,将目标定义为 IP 地址为 0.0.0.0/0 的“任意”。流量使用应用 SNAT 的 WAN 底层网络接口到达互联网上的 IP 地址,作为本地分支。

  • 注意:

    避免创建具有相同目标名称和 IP 地址 0.0.0.0/0 的规则。如果需要,请使用 IP 地址 0.0.0.0/0 创建具有不同名称的目标。

  • 从分支设备直接传输到互联网(不通过中心设备)。在此规则中,将目标定义为 IP 地址为 0.0.0.0/0 的“任意”。流量使用应用 SNAT 的 WAN 底层网络接口到达互联网上的 IP 地址,作为本地分支。此方法在中心为所有分支设备实现中央分线。

要配置应用程序策略:

  1. 向下滚动到“应用程序策略”部分,单击“添加策略”以在策略列表中创建新规则。
    注意:
    • 对于 SRX 系列防火墙,您必须将流量引导策略关联到应用程序策略。

    • 策略列表中应用程序策略的顺序对于 SRX 系列防火墙非常重要。

  2. 单击“名称”列并为策略命名,然后单击蓝色复选标记以应用更改。
    图 5:添加新的应用程序策略 Adding a New Application Policy
  3. 根据 表 5 中提供的详细信息创建应用程序规则。
    网络
    表 5:应用程序策略规则配置
    不。(策略顺序) 规则名称 操作 目标 转向
    1 辐条到中枢DMZ 所有。辐射-LAN1 通过 集线器1-LAN1 集线器局域网
    2 中枢-DMZ 到辐射型 集线器1-LAN1 通过 辐射-LAN1 覆盖
    3 轮毂发夹上的辐条到辐条 所有。辐射-LAN1 通过 辐射-LAN1 覆盖
    4 集线器-DMZ 到互联网 集线器1-LAN1 通过 任何 杠杆收购
    5 辐射-流量-CBO-on-Hub 所有。辐射-LAN1 通过 任何 杠杆收购

    图 6 显示了您创建的应用程序策略的列表。

    图 6:应用程序策略摘要 Application Policy Summary

    在上图中,绿色计数器标记表示您为 图 4 中的流量需求创建的策略。

  4. 允许 ICMP ping 进行调试和检查设备连接。

    SRX 系列防火墙的默认安全配置不允许从 LAN 设备到 WAN 边缘路由器的本地接口执行 ICMP ping 操作。在设备尝试连接到外部网络之前,可能需要测试连接性。您可以允许 ICMP ping 进行调试和检查设备连接。

    在 SRX 系列防火墙上,您可以使用以下 CLI 配置语句来允许对本地 LAN 接口执行 ping 操作以进行调试。

通过克隆现有中心配置文件来创建第二个中心配置文件

集线器设备在整个网络中都是唯一的。您必须为每个集线器设备创建一个单独的配置文件。瞻博网络 Mist™ 使您能够通过克隆现有配置文件并在需要时应用修改来创建集线器配置文件。

要通过克隆现有中心配置文件来创建第二个中心配置文件,请执行以下操作:

  1. 在瞻博网络 Mist 云门户中,单击组织> WAN > Hub 配置文件
    此时将显示现有中心配置文件的列表(如果有)。
  2. 单击要克隆的中心配置文件(例如:hub1)。此时将打开所选中心配置文件的配置文件页。
  3. 在屏幕右上角,单击更多,然后选择克隆
    图 7:使用克隆选项 Create a New Hub Profile By Using the Clone OptionFix the typos as marked---just calling these out so you spot them.创建新的中心配置文件
  4. 为新配置文件命名(例如:hub2),然后单击克隆

    如果您在命名配置文件时看到任何错误,请刷新浏览器。

  5. 开始配置配置文件。由于在创建原始中心配置文件时使用了变量,因此无需从头开始配置所有选项。您只需更改所需的配置即可反映 HUB2 详细信息。例如,将“网络”更改为“HUB2-LAN1”,并将 IP 地址更改为 {{HUB2_LAN1_PFX}}.1
    图 8:编辑克隆的配置文件 Edit a Cloned Profile
  6. 更改 LAN 接口以包括 HUB2。示例:HUB2-LAN1 和 {{HUB2_LAN1_PFX}}.1
  7. 确认配置中的变量已更改,以反映 hub2 配置文件详细信息。示例:叠加定义已更改为 hub2-INET 和 hub2-MPLS。
    图 9:更新的流量引导策略 Updated Traffic-Steering Policy
  8. 向下滚动到流量引导窗格并编辑条目以将路径更改为 LAN:HUB2-LAN1。
    图 10:更新流量转向策略 Update Paths in a Traffic-Steering Policy中的路径
  9. 根据 表 6 中提供的详细信息更新应用程序规则。例如,在适用的情况下,将 HUB1-LAN 更改为 HUB2-LAN。
    网络
    表 6:应用程序规则配置
    S.No。 规则名称 操作 目标 转向
    1 辐条到中枢DMZ 所有。辐射-LAN1 通过 集线器2-LAN1 集线器局域网
    2 中枢-DMZ 到辐射型 集线器2-LAN1 通过 辐射-LAN1 覆盖
    3 轮毂发夹上的辐条到辐条 所有。辐射-LAN1 通过 辐射-LAN1 覆盖
    4 集线器-DMZ 到互联网 集线器2-LAN1 通过 任何 杠杆收购
    5 辐射-流量-CBO-on-Hub 所有。辐射-LAN1 通过 任何 杠杆收购

    图 11 显示了保存更改后更新的应用程序策略的详细信息。

    图 11:更新的应用程序策略摘要 Updated Application Policy Summary