Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

为 SRX 系列防火墙配置 WAN 边缘模板

借助瞻博网络 Mist™ WAN 保证中的 WAN 边缘模板,您可以定义常见的分支特征,包括 WAN 接口、流量引导规则和访问策略。然后,将这些配置应用到部署为 WAN 边缘设备的瞻博网络® SRX 系列防火墙。将 WAN 边缘设备分配给站点时,设备会自动采用关联模板中的配置。通过此自动化流程,您可以在整个网络基础架构中管理和应用一致且标准化的配置,从而简化配置过程。

注意:

通过 Mist 仪表板在 WAN 边缘设备上完成的配置将覆盖通过设备 CLI 完成的任何配置。

分支设备可以有一个或多个模板。

在此任务中,您将在瞻博网络 Mist™ 云门户中为辐射设备创建和配置 WAN 边缘模板。

配置 WAN 边缘模板

要配置 WAN 边缘模板,请执行以下操作:

  1. 在瞻博网络 Mist™ 门户中,单击组织> WAN > WAN 边缘模板。此时将显示现有模板的列表(如果有)。
  2. 单击右上角的创建模板按钮。
    注意:

    您还可以通过使用 导入配置文件 选项导入 JavaScript 对象表示法 (JSON) 文件来创建 WAN 边缘模板。

  3. 在出现的框中,输入模板的名称,单击“类型”并选择“分支”,然后单击“创建”。
    图1:选择模板类型 Select the Template Type

    下图显示了 WAN 边缘模板配置页面上的 GUI 元素。

    图 2:WAN 边缘模板配置选项 WAN Edge Template Configuration Options
  4. 根据 表 1 中提供的详细信息完成配置。
    表 1:WAN 边缘配置文件选项
    字段 说明
    名字 配置文件名称。输入最多包含 64 个字符的唯一配置文件名称。
    类型 WAN 边缘配置文件类型。选择以下选项之一:
    • 独立 - 管理站点中的独立设备。

    • 分支 - 用于管理连接到配置中枢设备的分支设备。

    NTP 网络时间协议 (NTP) 服务器的 IP 地址或主机名。NTP 用于同步互联网上交换机和其他硬件设备的时钟。
    适用于设备 要关联 WAN 边缘模板的站点。下拉菜单显示已添加到当前站点清单中的 WAN 边缘设备列表。
    DNS 设置 域名系统 (DNS) 服务器的 IP 地址或主机名。网络设备使用 DNS 名称服务器将主机名解析为 IP 地址。
    安全边缘连接器 安全边缘连接器详细信息。瞻博网络安全边缘对瞻博网络 Mist 云门户管理的 WAN 边缘设备执行流量检查。
    广域网 WAN 接口详细信息。此 WAN 接口对应于集线器上的 WAN 接口。也就是说,Mist 在中心位置的 WAN 接口与分支上的 WAN 接口之间创建 IPsec VPN 隧道。对于每个 WAN 链路,您可以定义物理接口、WAN 类型(以太网或 DSL)、IP 配置以及接口的叠加集线器端点。请参阅 将 WAN 接口添加到模板
    局域网 LAN 接口。连接 LAN 网段的 LAN 接口。您可以分配网络、创建 VLAN 以及设置 IP 地址和 DHCP 选项(无、中继或服务器)。请参阅 添加 LAN 接口
    流量引导 转向路径。定义流量到达目的地的不同路径。对于任何流量转向策略,您可以包括流量遍历的路径以及利用这些路径的策略。请参阅 配置流量引导策略
    应用程序策略 用于实施流量规则的策略。定义网络(源)、应用程序(目标)、流量引导策略和策略操作。请参阅 配置应用程序策略
    路由 用于在中心和分支之间路由流量的路由选项。您可以启用边界网关协议 (BGP) 底层网络路由,其中动态学习路由,或使用静态路由手动定义路由。
    CLI 配置 CLI 选项。对于模板的 GUI 中不可用的任何其他设置,您仍然可以使用 CLI set 命令对其进行配置。
  5. 单击保存

将 WAN 接口添加到模板

分支上的 WAN 接口对应于中心位置上的 WAN 接口。也就是说,Mist 在中心位置的 WAN 接口与分支上的 WAN 接口之间创建 IPsec VPN 隧道。

在此任务中,将两个 WAN 接口添加到 WAN 边缘模板。

要将 WAN 接口添加到模板,请执行以下操作:

  1. 向下滚动到 WAN 部分,然后单击添加 WAN 以打开添加 WAN 配置窗格。
  2. 提示:在配置屏幕上工作时,查找 VAR 指标。带有此指示符的字段允许站点变量。

    具有此标签的字段还会在您开始在其中键入特定变量时显示匹配变量(如果已配置)。此字段列出组织内所有站点的变量。

    可以使用 GET /api/v1/orgs/:org_id/vars/search?var=* 查看组织范围的变量列表。此列表在站点设置下添加变量时填充。

    根据 表 2 中提供的详细信息完成配置。
    表 2:WAN 接口配置选项
    字段 WAN 接口 1 WAN 接口 2
    名称 (标签而非技术) 伊内特 MPLS
    WAN 类型 以太网 以太网
    接口 ge-0/0/0 ge-0/0/3
    虚拟帧 ID - -
    IP 配置 DHCP 静态的
      • IP 地址={{WAN1_PFX}}.2

      • 前缀长度=24

      • 网关={{WAN1_PFX}}.1

    源 NAT 接口 接口
    覆盖中心端点 (自动生成)。 hub1-INET、hub2-INET(BFD 配置文件宽带) hub1-MPLS 和 hub2-MPLS

    MTU

    输入介于 256 -9192 之间的 MTU 值。默认值为 1500。

    输入介于 256 -9192 之间的 MTU 值。默认值为 1500。

    图 3 显示了您创建的 WAN 接口列表。

    图 3:WAN 接口摘要 WAN Interfaces Summary

配置 LTE 接口

瞻博网络 Mist SD-WAN 使组织能够无缝集成 LTE 连接。LTE 连接为多路径路由提供了备用路径;在无法访问电路的位置中作为主路径,或在主电路发生故障时作为最后路径。

例如:在为业务关键型应用程序提供主 MPLS 连接的零售商店中。瞻博网络 Mist SD-WAN 可以添加 LTE 链路作为备份。如果 MPLS 链路出现问题,瞻博网络 Mist 会动态将流量切换到 LTE 链路。这可确保持续连接并最大限度地减少中断。

在 SRX 系列防火墙上,LTE 小型物理接口模块 (Mini-PIM) 在 SRX300 系列和 SRX550 高内存服务网关上提供无线 WAN 支持。Mini-PIM 包含一个集成调制解调器,可在 3G 和 4G 网络上运行。小型 PIM 可以安装在设备上的任何小型 PIM 插槽中。请参阅 https://www.juniper.net/documentation/us/en/hardware/lte-mpim-install/topics/task/lte-mpim-hardware-intalling.html 了解如何在 SRX 系列防火墙上安装 LTE Mini-PIM。

要为瞻博网络 Mist SD-WAN 建立 LTE 链路,您需要在 Session Smart 路由器和 SRX 系列防火墙上设置 LTE 接口,并将用户识别模块 (SIM) 插入 LTE 卡中。

要将 LTE 接口添加为 WAN 链路,请执行以下操作:

  1. 向下滚动到 WAN 部分,然后单击添加 WAN 以打开添加 WAN 配置窗格。
  2. 输入接口配置的详细信息
    表 3: LTE 接口配置

    领域

    名字

    LTE 接口的名称

    描述

    接口的说明。

    WAN 类型 LTE
    接口 CL-1/0/0.当 LTE Mini-PIM 模块插入插槽 1 时,请使用该接口 cl-1/0/0

    LTE APN

    输入网关路由器的接入点名称 (APN)。名称可以包含字母数字字符和特殊字符。(对于 SRX 系列防火墙是可选的,对于会话智能路由器是必需的)

    LTE 身份验证

    选择 APN 配置的身份验证方法:

    • PAP - 选择此选项可使用密码认证协议 (PAP) 作为认证方法。提供用户名和密码。

    • CHAP — 选择此选项可使用质询握手身份验证协议 (CHAP) 身份验证作为身份验证方法。提供用户名和密码。

    • 无(默认)- 如果不想使用任何身份验证方法,请选择此选项。

    源 NAT

    选择源 NAT 选项:

    • 接口 — 使用源接口的 NAT。
    • 池 - 使用定义的 IP 地址池的 NAT。
    • 已禁用 — 禁用源 NAT
    流量整形

    选择 已启用禁用

    (仅适用于 Session Smart 路由器)

    自动协商

    选择 已启用禁用

    MTU 输入介于 256 -9192 之间的 MTU 值。默认值为 1500。
  3. 单击保存
注意:

在 SRX 系列防火墙上,使用特定于设备的 WAN 边缘模板选项创建 WAN 边缘模板时,默认情况下,LTE 接口配置包含在模板中。

该模板提供特定于设备的预配置 WAN 接口、LAN 接口、流量转向策略和应用程序策略。您所要做的就是命名模板并选择设备类型。

图 4显示了 SRX320 模板的示例,该模板的 WAN 部分中包含默认 LTE 配置。

图 4:WAN 边缘模板示例 WAN Edge Template Sample

禁用 WAN 边缘端口

可能需要禁用 WAN 边缘端口的原因有很多。例如,在调试方案中,禁用端口然后再次启用它可以触发进程重置,这有助于解决问题。

您可能还希望在暂存连接但尚未准备好使连接投入使用时禁用端口,或者如果您已识别出恶意或有问题的设备,则可以禁用该端口以快速禁用该设备,直到可以删除或修复该设备。

要禁用 WAN 边缘端口,请执行以下操作:

  1. 导航到“组织> WAN 边缘模板”。
  2. 单击相应的 WAN 边缘模板。
  3. 向下滚动到 WAN 或 LAN 部分,然后单击相应的 WAN 边缘。
  4. 在窗口的“接口”部分中,选中“已禁用”复选框。这将以管理方式禁用指定接口的 WAN 边缘设备端口。

  5. 单击窗口底部的保存以保存更改。
  6. 单击模板页面右上角的保存

    此选项是接口配置的一部分。如果使用此选项禁用聚合以太网 (AE) 接口或冗余以太网 (reth) 接口,则会禁用所有成员链路

添加 LAN 接口

LAN 接口配置根据您在 LAN 配置中指定的网络名称标识请求源。

要添加 LAN 接口:

  1. 向下滚动到 LAN 窗格,然后单击添加 LAN 以打开添加 LAN 配置面板。
    图 5:将 LAN 接口添加到模板 Add LAN Interfaces to the Template
  2. 配置 LAN 接口。

    LAN 配置部分包括 IP 配置、DHCP 配置和自定义 VR 的组件。LAN 配置部分允许您单独覆盖每个配置组件(如 IP 配置),而无需接触其他组件,从而实现更大的灵活性。

    LAN 配置部分还提供了一个过滤器,可让您轻松搜索每个端口或网络的配置。

    • IP 配置

      • 网络 - 从下拉列表中选择可用网络。
      • IP 地址 — 接口的 IPv4 地址和前缀长度。
      • 前缀长度 — 接口的前缀长度。
      • 重定向网关 — 仅限会话智能路由器的重定向网关 IP 地址。
    • DHCP 配置 — 选择 已启用 选项以使用 DHCP 服务将 IP 地址分配给 LAN 接口。

      • 网络 - 从可用网络列表中选择网络。
      • DHCP 类型 - 选择 DHCP 服务器或 DHCP 中继。如果选择 DHCP 服务器,请输入以下选项:
        • IP 开始 - 输入所需 IP 地址范围的起始 IP 地址。
        • IP 端 - 输入结束 IP 地址。
        • 网关 - 输入网络网关的 IP 地址。
        • 最长租用时间 — 指定 DHCP 地址的最长租用时间。支持的 DHCP 租约持续时间范围为 3600 秒(1 小时)到 604800 秒(1 周)。

        • DNS 服务器 - 输入域名系统 (DNS) 服务器的 IP 地址。
        • 服务器选项 - 添加以下选项:
          • 代码 - 输入要配置服务器的 DHCP 选项代码。“类型”字段将使用关联的值进行填充。例如:如果选择选项 15(域名),则“ 类型” 字段将显示 FQDN。必须输入与“类型”关联的
        • 静态预留 — 如果要静态保留 DHCP 地址,请使用此选项。静态 DHCP IP 地址预留涉及将客户端 MAC 地址绑定到 DHCP 地址池中的静态 IP 地址。以下选项可用:

          • 名称 - 标识配置的名称。

          • MAC 地址 - 要在预留中使用的 MAC 地址。

          • IP 地址 - 要保留的 IP 地址。

    • 自定义 VR 配置。

      • 网络 - 从下拉列表中选择可用网络。
      • 名称 - 输入路由实例的名称。
  3. 根据表 4 中提供的详细信息完成配置。
    提示:在配置屏幕上工作时,查找 VAR 指标。带有此指示符的字段允许站点变量。

    具有此标签的字段还会在您开始在其中键入特定变量时显示匹配变量(如果已配置)。此字段列出组织内所有站点的变量。

    可以使用 GET /api/v1/orgs/:org_id/vars/search?var=* 查看组织范围的变量列表。此列表在站点设置下添加变量时填充。

    表 4:局域网接口配置示例
    字段 LAN 接口
    网络 分支 LAN1(从显示的网络列表中选择。执行此操作时,将自动填写剩余配置。
    接口 ge-0/0/3
    IP地址 {{SPOKE_LAN1_PFX}}.1
    前缀长度 24
    未标记的 VLAN
    DHCP

    图 6 显示了您创建的 LAN 接口列表。

    图 6:LAN 接口 Summary of LAN Interface摘要

在冗余以太网接口上配置 LACP(测试版)

链路聚合控制协议 (LACP) 是一种 IEEE 标准协议,用于定义一组接口的运行方式。使用 LACP,设备相互发送 LACP 数据单元以建立连接。如果设备无法建立连接,则不会尝试建立连接,这可以防止在链路聚合设置过程中出现问题,例如错误配置的链路聚合组 (LAG) 设置。您可以在 SRX 系列防火墙的冗余以太网 (Reth) 接口上配置 LACP。

要在冗余以太网接口上配置 LACP:

  1. 从瞻博网络 Mist 门户的左侧菜单中,选择组织> WAN 边缘模板。
  2. 选择包含要为其配置 LACP 的冗余以太网接口的 WAN 边缘模板。
  3. 向下滚动到 LAN 窗格并单击添加 LAN 以打开添加 LAN 配置面板,或单击现有 LAN 以打开编辑 LAN 配置面板。
  4. 配置以下字段:
    表 5:冗余以太网接口配置上的 LACP 示例
    字段 LAN 接口配置
    接口 列出冗余接口,用逗号分隔。
    端口聚合 选中此复选框可在 Reth 接口上启用 LACP。
    启用强制向上 选中此复选框会将对等方的 LACP 容量有限时接口的状态设置为“up”。

    使用案例:当连接到此聚合以太网 (AE) 接口端口的设备首次使用全自动部署 (ZTP) 时,其另一端将不会配置 LACP。

    注意:

    选择此选项将仅在捆绑包中的一个接口上启用强制启动。

    冗余(测试版) 选中此复选框以启用冗余。LAN 配置中提到的物理接口将被配置到冗余组和 reth 接口(冗余父接口)下。
    仅限冗余索引 (SRX) 这是 reth 接口的索引。例如,索引为 4 将配置冗余接口 reth4。
    主节点 这指示哪个节点是冗余组中的主节点,其中一个节点是主节点,另一个是辅助节点,以便在发生接口故障转移时,一个节点可以接管另一个节点。

    启用“上/下端口”警报类型

    启用此警报类型可允许用户在端口从上到下转换时接收警报,反之亦然。

    这还要求用户在监控>警报>警报配置下启用关键 WAN Edge 端口启动/关闭

  5. 在面板底部,单击添加保存以保存配置。

配置流量引导策略

与集线器配置文件一样,在瞻博网络 Mist 网络中,您可以定义应用程序流量遍历网络的不同路径。您在流量转向中配置的路径也会确定目标区域。

要配置流量引导策略,请执行以下操作:

  1. 在瞻博网络 Mist 门户中,向下滚动到流量引导部分,然后单击添加流量引导以显示流量引导配置窗格。
  2. 根据表 6 中提供的详细信息完成配置。
    表 6:流量转向策略配置
    字段 流量转向策略 1 流量控制策略 2
    名字 辐条-LANS 覆盖
    策略 命令 ECMP
    路径 (对于路径类型,您可以选择之前创建的 LAN 和 WAN 网络作为端点。
    • 类型 — LAN

    • 网络 — 辐射型 LAN1

    • 类型 — 广域网

    • 网络
      • 集线器1-INET

      • 集线器2-INET

      • 中枢1-MPLS

      • 中枢2-MPLS

    图 7 显示了您创建的流量转向策略列表。

    图 7:流量引导策略摘要 Traffic-Steering Policies Summary

配置应用程序策略

在 Mist 网络中,您可以在应用程序策略中定义哪些网络和用户可以访问哪些应用程序,以及根据哪个流量引导策略。 网络/用户 设置确定源区域。“ 应用程序 + 流量转向 ”设置确定目标区域。此外,还可以分配“允许”或“拒绝”操作。Mist 会按照您列出的顺序评估和应用应用程序策略。

考虑 图 8 中的流量要求。该图描述了企业 VPN 设置的基本初始流量模型(未显示第三分支设备和第二中心设备)。

图 8:流量和分配 Traffic Flow and Distribution

为了满足上述要求,您需要创建以下应用程序策略:

  • 策略 1 — 允许从分支站点到中心的流量。在这种情况下,地址组中使用的目标前缀表示两个集线器的 LAN 接口。

  • 策略 2 — 允许通过公司 LAN 的分支到分支流量通过叠加网络。

    注意:

    这在现实世界中可能不可行,除非在具有托管 IP 的昂贵 MPLS 网络上。托管 IP 将流量直接发送到其他分支。此类流量通常流经集线器设备

  • 策略 3 — 允许从连接到中心的中心和 DMZ 到分支设备的流量。

  • 策略 4 — 允许互联网绑定流量从分支设备流向中心设备。从那里,流量爆发到互联网。在这种情况下,中心将源 NAT 应用于流量,并将流量路由到 WAN 接口,如中心配置文件中所定义。此规则是通用规则,因此应将其放在特定规则之后。因为 Mist 会按照应用程序策略在策略列表中的位置顺序来评估应用程序策略。

要配置应用程序策略,请执行以下操作:

  1. 在瞻博网络 Mist 门户中,向下滚动到“应用程序策略”部分,单击“添加策略”以在策略列表中添加新策略。
  2. 根据表 7 中提供的详细信息完成配置。
    网络
    表 7:应用程序策略配置
    S.No。 规则名称 操作 目标 转向
    1 辐条到中枢DMZ 辐射-LAN1 通过 集线器 1-LAN1 + 集线器2-LAN1 覆盖
    2 通过集线器进行分支到分支 辐射-LAN1 通过 辐射-LAN1 覆盖
    3 中心-DMZ 到辐射型 集线器 1-LAN1 + 集线器2-LAN1 通过 辐射-LAN1 辐条-LANS
    4 Internet-via-Hub-CBO 辐射-LAN1 通过 任何 覆盖
    注意:
    • 瞻博网络 Mist 云按照策略的列出顺序评估和应用应用程序策略。您可以通过单击省略号 (...) 按钮按顺序向上或向下移动给定策略。

    • 您必须创建用于 SRX 系列防火墙的转向策略。

    图 9 显示了您创建的应用程序策略列表。
    图 9:应用程序策略摘要 Application Policy Summary
  3. 允许互联网控制消息协议 (ICMP) ping 进行调试和检查设备连接。

    SRX 系列防火墙的默认安全配置不允许从 LAN 设备到 WAN 边缘路由器的本地接口的 ICMP ping 请求。我们建议您在设备尝试连接到外部网络之前测试连接。我们还建议您允许 ICMP ping 请求进行调试和检查设备连接。

    在 SRX 系列防火墙上,使用以下 CLI 配置语句允许对本地 LAN 接口执行 ping 请求以进行调试:

配置设备特定的 WAN 边缘模板

按照设备载入流程,使用 WAN Edge 模板简化了设备配置。这些 WAN 边缘模板可以自定义为跨所有边缘设备的独特部署。瞻博网络 Mist AI 在行业中具有独特的地位,因为 Mist AI WAN 边缘模板可以应用于任何型号,无需任何供应商。此外,WAN Edge 模板可以在单个模板下混合搭配不同的模型,从而简化配置和部署阶段。

要为 SRX 系列防火墙手动配置 WAN 边缘模板,请参阅 配置 WAN 边缘模板

特定于设备的 WAN 边缘模板

将精选瞻博网络硬件与 Mist AI SD-WAN 结合使用具有显著优势。许多瞻博网络® SRX 系列防火墙的配置都得到了简化,这些防火墙具有特定于设备的模板,可自动分配 WAN 和 LAN 接口,并定义用于连接的 LAN 网络。

这些模板对于每个设备型号都是唯一的。在选择设备并命名 WAN Edge 后,无需手动输入,用户指定的 WAN Edge 设备将预先填充这些值。 图 10 显示,SRX 系列 WAN Edge 模板生成多个值,包括用于 LANWAN 的以太网接口以及相关的 DHCPIP 值。

图 10:SRX 系列 WAN 边缘模板 Sample of SRX Series WAN Edge Template示例

此外,瞻博网络 Mist 门户会填充流量引导策略。这使得瞻博网络 Mist 能够通过我们的 WAN 连接将流量发送到 具有 四零包罗万象目标的任何 Mist 应用程序。

应用 WAN 边缘模板时,可以注意到应用程序策略、网络和应用程序会收到自动更新。 图 11 显示了应用程序策略的示例。

图 11:应用 WAN 边缘模板 Application Policies After Applying WAN Edge Template后的应用程序策略

瞻博网络 Mist AI SD-WAN 包括以下设备型号,其中包含用于 SRX 系列防火墙的预配置 WAN 边缘模板:

  • SRX300
  • SRX320-POE
  • SRX320
  • SRX340
  • SRX345
  • SRX380
  • SRX550M
  • SRX1500
  • SRX1600*
  • SRX4100
  • SRX4200
  • SRX4600
  • SRX2300*
  • SRX4300*

* 表示计划于 2024 年晚些时候为新型号提供瞻博网络 Mist AI WAN 支持。

特定于 WAN Edge 设备的模板只需一步即可提供基本网络配置,并允许您部署的每个 Session Smart 路由器和 SRX 系列防火墙设备进行可重复使用且一致的配置。该模板提供特定于设备的预配置 WAN 接口、LAN 接口、流量转向策略和应用程序策略。您所要做的就是命名模板并选择设备类型。

若要选择特定于设备的 WAN 边缘模板,请执行以下操作:

  1. 在瞻博网络 Mist 门户中,选择 组织> WAN,> WAN 边缘模板
  2. 选择右上角的 “创建模板 ”以打开新模板页面。
  3. 输入模板的名称。
  4. 单击“ 从设备模型创建” 复选框。
  5. 从下拉框中选择您的设备型号。
    图 12:配置特定于设备的 WAN 边缘模板 Configure Device-Specific WAN Edge Template
  6. 单击 创建

瞻博网络 Mist UI 将显示已完成的设备模板。现在,你有一个有效的 WAN 边缘模板,可以将其应用于组织中的许多站点和设备。

分配到站点

设置好模板后,您需要保存模板并将其分配给将部署 WAN 边缘设备的站点。

  1. 单击模板页面顶部的 “分配到站点 ”按钮。
  2. 从列表中选择要应用模板的站点。
  3. 单击 应用
  4. 最后,剩下的就是将设备与您的站点相关联,请参阅 用于 WAN 配置的板载 SRX 系列防火墙