Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

为会话智能路由器配置安全边缘连接器

瞻博网络安全®边缘提供全栈安全服务边缘 (SSE) 功能,以保护对 Web、SaaS 和本地应用的访问,并为用户提供安全工作人员,无论他们身在何处,都能为他们提供一致的威胁防护和优化的网络体验,以及随时随地跟随用户的安全策略。Secure Edge 充当基于云的高级安全扫描程序。它使组织能够保护数据并为用户提供一致、安全的网络访问,无论用户是在办公室、校园还是在移动中。

图 1:瞻博网络安全边缘 Juniper Secure Edge

安全边缘功能全部由瞻博网络 Security Director Cloud 管理,瞻博网络在单一用户界面 (UI) 中提供简单无缝的管理体验。

图 2:瞻博网络安全边缘 Traffic Inspection by Juniper Secure Edge的流量检查

有关更多信息,请参阅 瞻博网络安全边缘

安全边缘连接器概述

瞻博网络 Mist™ 云与瞻博网络安全®边缘配合使用,使用安全边缘连接器功能从边缘设备执行流量检查。此功能允许部署为 WAN 边缘设备的瞻博网络® Session Smart™ 路由器将部分流量发送到瞻博网络安全边缘进行检查。

在此任务中,您将从分支或中心设备的 LAN 端发送到安全边缘,以便在流量到达互联网之前进行检查。

要通过安全边缘执行流量检查,请执行以下操作:

  • 在 Security Director Cloud 中,创建并配置安全边缘的服务位置、IPsec 配置文件、站点和策略。这些是基于云的资源,为 WAN 边缘设备提供安全服务和连接。

  • 在 Mist 云中,创建并配置连接到 LAN 网络的 WAN 边缘设备,例如会话智能路由器。这些是为分支机构或园区提供路由、交换和 SD-WAN 功能的物理设备。

  • 在 Mist WAN 边缘中,创建并配置将 WAN 边缘设备连接到服务位置的安全边缘隧道。这些是 IPsec 隧道,可为需要由安全边缘检查的流量提供安全可靠的传输。

  • 在 Mist 云中,将安全边缘隧道分配给与 WAN 边缘设备对应的站点或设备配置文件。这样就可以根据定义的数据策略和其他匹配标准将流量从 LAN 网络引导到安全边缘云。 表 1

下表中的主题提供了将安全边缘基于云的安全性与瞻博网络 Mist™ 云结合使用所需的概述信息。

表 1:安全边缘连接器配置工作流
任务 描述
1 访问瞻博网络 Security Director Cloud 并查看有效订阅 访问瞻博网络 Security Director Cloud,转到您的组织帐户,然后选中安全边缘订阅。通过订阅,您可以为部署配置安全边缘服务。
2 在瞻博网络 Security Director Cloud 中配置服务位置

创建服务位置。这是基于 vSRX 的 VPN 网关在不同网络之间创建安全连接的地方。

3 在瞻博网络 Security Director Cloud 中生成设备证书 为瞻博网络安全边缘生成数字证书,以便在安全边缘和用户端点之间建立安全通信。
4 在瞻博网络 Security Director Cloud 中创建 IPsec 配置文件 创建 IPsec 配置文件,为瞻博网络 Mist 云网络上的 WAN 边缘设备与安全边缘实例之间的通信建立 IPsec 隧道。
5 在瞻博网络 Security Director Cloud 中创建站点 创建托管 WAN 边缘设备(会话智能路由器)的站点。来自设备的流量通过安全隧道转发到安全边缘实例进行检查。
6 在瞻博网络 Security Director Cloud 中部署安全边缘策略 配置策略,为源自站点或发往站点的流量定义安全规则和操作
7 获取要应用于瞻博网络 Security Director Cloud 的 IPsec 隧道配置参数 记下详细信息,例如服务位置 IP 或主机名、IPsec 配置文件名称和预共享密钥。您需要这些详细信息才能从瞻博网络 Mist 端设置 IPsec 隧道。
8 在瞻博网络 Mist 云门户中创建安全边缘连接器 在瞻博网络 Mist 云门户中创建安全边缘连接器。此任务在隧道的 Mist 云端完成配置,以便在 Mist 管理的 WAN 边缘设备和安全边缘实例之间建立 IPsec 隧道。
9 修改应用程序策略 创建新的应用程序策略或更改现有应用程序策略,以通过瞻博网络 Security Director Cloud 将流量从 WAN 边缘设备定向到互联网,而不是通过集线器进行集中访问。
10 验证配置 通过在以下位置检查已建立的 IPsec 隧道来确认您的配置是否正常工作:
  • Mist 门户中的 WAN 洞察
  • Security Director Cloud 仪表板
  • WAN 边缘设备 CLI 上的隧道流量。

开始之前

访问瞻博网络 Security Director Cloud 并查看有效订阅

瞻博网络安全边缘中的租户是您创建的组织帐户,用于访问瞻博网络 Security Director Cloud 门户并管理安全边缘服务。租户与唯一的电子邮件地址和订阅计划相关联。一个租户可以有多个服务位置,这些位置是基于 vSRX 的 VPN 网关托管在组织的公有云中。

租户可以有一个或多个服务位置,它们是最终用户的连接点。若要创建租户,需要在瞻博网络 Security Director Cloud 上拥有一个帐户。有关详细信息,请参阅 创建安全边缘租户

在瞻博网络 Security Director Cloud 门户中创建安全边缘租户后,访问门户并检查订阅。

要访问瞻博网络 Security Director Cloud 并检查有效订阅,请执行以下操作:

  1. 打开瞻博网络 Security Director Cloud 的 URL。输入您的电子邮件地址和密码以登录并开始使用瞻博网络 Security Director Cloud 门户。
    图 3:访问瞻博网络 Security Director Cloud Access Juniper Security Director Cloud
  2. 在门户的右上角选择所需的租户以继续。
  3. 选择“管理>订阅”以访问瞻博网络 Security Director Cloud 订阅页面。
    图 4:安全边缘订阅 Secure Edge Subscriptions
  4. 滚动到“安全边缘订阅”部分,检查您是否有活动订阅。
    注意:即使您使用的是瞻博网络® SRX 系列防火墙,也无需单击 SRX 管理订阅选项卡。在此任务中,您不会使用瞻博网络 Security Director Cloud 来管理 WAN 边缘设备。

    有关详细信息,请参阅 关于订阅页面

    假设您有活动订阅,请继续执行后续步骤。

配置服务位置

确保您拥有瞻博网络 Security Director Cloud 的有效许可证后,您需要配置服务位置。这是为会话智能路由器设置安全边缘连接器的第一个主要任务。

瞻博网络 Security Director Cloud 中的服务位置也称为 POP(接入点),代表云位置中的瞻博网络安全®边缘实例。服务位置是本地用户和漫游用户的连接(访问)点。

服务位置是 vSRX 使用公有云服务在不同网络之间创建安全连接的地方。公共 IP 地址(每个租户和服务位置唯一)用于:

  • 在分支设备和瞻博网络 Security Director Cloud 之间设置 IPsec 隧道。

  • 当目标位于互联网上时,集中分配流量。

要在瞻博网络 Security Director Cloud 中配置服务位置,请执行以下操作:

  1. 在瞻博网络安全总监云菜单中,选择安全边缘>服务管理>服务位置

    此时将显示“服务位置”页面。

  2. 单击添加 (+) 图标以创建新的服务位置。
    输入以下字段的详细信息:
    • 区域 - 选择要在其中创建安全边缘实例的地理区域。

    • PoP — 选择区域中安全边缘的位置。

    • 用户数 - 输入此服务位置可能需要服务的用户总数。

    表 2 显示了服务位置的示例。

    表 2:服务位置字段
    现场 服务定位 服务位置
    地区 北美洲 北美洲
    流行 俄亥俄州 俄勒冈州
    用户数 50(我们平均分配退出) 50
  3. 单击“确定”。

    Security Director Cloud 创建一个新的服务位置,并将其列在“服务位置”页面上。

    在安全边缘实例完全部署之前,服务位置的状态会显示 “正在进行 ”, 如图 5 所示。

    图 5:服务位置状态 Service Locations Status

    创建新的服务位置时,系统会开始部署两个 vSRX 实例,作为租户系统的 VPN 网关。在此部署中,vSRX 实例不与其他租户共享。

在瞻博网络 Security Director Cloud 中生成设备证书

现在,您已经在瞻博网络 Security Director Cloud 中配置了服务位置,接下来您可以生成设备证书来保护网络流量。

您可以使用传输层安全/安全套接字层 (TLS/SSL) 证书在安全边缘和 WAN 边缘设备之间建立安全通信。网络上的所有客户端浏览器都必须信任由瞻博网络和 SRX 系列防火墙签名的证书才能使用 SSL 代理。

在瞻博网络 Security Director Cloud 中,生成证书有多种选择:

  • 创建新的证书签名请求 (CSR),您自己的证书颁发机构 (CA) 可以使用 CSR 生成新证书。

  • 选择让瞻博网络创建新证书的选项。

注意:

本文介绍如何生成 TLS/SSL 证书。如何导入和使用证书取决于公司的客户端管理要求,超出了本主题的范围。

要在瞻博网络 Security Director Cloud 中生成设备证书,请执行以下操作:

  1. 选择“安全边缘>服务管理”>“证书管理”。

    此时将显示“证书管理”页面。

    “生成” 列表中,您可以生成新的 证书签名请求 (CSR) 或 瞻博网络颁发的证书

    图 6:证书管理 Certificate Management
  2. 选择相关选项:
    1. 如果您的公司有自己的 CA,并且您想要生成 CSR,请单击证书签名请求

      瞻博网络安全边缘生成 CSR 后,下载 CSR 并将其提交给您的 CA 以生成新证书。生成后,单击“上传”,在“证书管理”页面上上传证书。

    2. 如果您的公司没有自己的 CA,请单击“瞻博网络颁发的证书”,然后单击“生成”以生成证书。瞻博网络将生成证书并将其保留在系统上。
      在此任务中,选择“ 瞻博网络颁发的证书 ”,然后继续下一步。
  3. 输入证书详细信息。在“公用名”字段中,使用证书的完全限定域名 (FQDN)。
    图 7:生成瞻博网络颁发的证书 Generate a Juniper-Issued Certificate

    此时将打开“证书管理”页,并显示一条消息,指示已成功创建证书。

  4. 下载生成的证书。
    图 8:下载证书 Download the Certificate

    以下示例显示了下载的证书:

    将证书下载到系统后,将证书添加到客户端浏览器。

在瞻博网络 Security Director Cloud 中创建 IPsec 配置文件

生成证书以在安全边缘和 WAN 边缘设备之间建立安全通信后,即可创建 IPsec 配置文件。

IPsec 配置文件定义当瞻博网络 Mist™ 云网络上的 WAN 边缘设备开始与安全边缘实例通信时建立 IPsec 隧道的参数。

要在瞻博网络 Security Director Cloud 中创建 IPsec 配置文件,请执行以下操作:

  1. 在瞻博网络 Security Director Cloud 门户中,选择“安全边缘”>“服务管理”>“IPsec 配置文件”。
  2. 单击添加 (+) 图标以创建 IPsec 配置文件。
    此时将显示“创建 IPsec 配置文件”页。
  3. 对于配置文件名称,请使用 default-ipsec。保留互联网密钥交换 (IKE) 和 IPsec 的所有默认值;目前,它们无法在瞻博网络 Mist 云门户上进行配置。
    图 9:创建 IPsec 配置文件 Create an IPsec Profile

    使用此 IPsec 配置文件在下一个任务中创建站点。在“创建站点”页上,如果在“流量转发”选项卡上选择“IPsec”作为隧道类型,则将附加 IPsec 配置文件。

在瞻博网络安全边缘云中创建站点

您现在已创建 IPsec 配置文件。这些配置文件定义了瞻博网络 Mist™ 云网络上的 WAN 边缘设备与安全边缘实例之间的 IPsec 隧道参数。

此时,您需要在瞻博网络 Security Director Cloud 中创建一个站点。站点表示托管 WAN 边缘设备(如会话智能路由器)的位置。来自 WAN 边缘设备的流量通过安全隧道转发到安全边缘实例,然后由安全边缘云服务进行检查和强制执行。

您可以配置为通过通用路由封装 (GRE) 或来自站点上 WAN 边缘设备的 IPsec 隧道,将部分或全部互联网绑定流量从客户站点转发到瞻博网络安全边缘云。

注意:

在分支机构位置使用状态防火墙时,安全边缘中的同一 POP 不支持重叠的分支地址。发往这些重叠 IP 的反向路径流量将使用等价多路径 (ECMP) 跨所有连接进行路由。流量使用 ECMP 路由,而不是按会话路由到流量来源的接口。为站点配置受保护网络时,请考虑通过 ECMP 的反向路径流量。

要在瞻博网络 Security Director Cloud 中创建站点,请执行以下操作:

  1. 在瞻博网络 Security Director Cloud 门户中,选择“安全边缘>服务管理> 站点”。

    此时将显示“站点”页面。

  2. 单击添加 (+) 图标以创建站点。
  3. 按如下方式完成“站点详细信息”页面:
    1. 输入唯一的站点名称和说明。

    2. 从站点所在的列表中选择相应的国家/地区。

    3. (可选)输入客户分支机构所在的邮政编码。

    4. (可选)输入站点的位置(街道地址)。

    5. 选择可在站点上使用网络的用户数。

    6. 在受保护的网络字段中,单击添加 (+) 图标以添加要用于通过隧道的流量的接口的专用 IP 地址范围。

    图 10表 3 显示了一个站点示例。
    图 10:在瞻博网络安全边缘云 Create Site in Juniper Secure Edge Cloud中创建站点
    表 3:网站创建详细信息
    字段
    主要服务位置 JSEC-俄勒冈州
    辅助服务位置 JSEC-俄亥俄州
    用户数 10
    名字 分支 1-站点
    国家 德国
    受保护的网络 10.99.99.0/24(局域网)
  4. 单击下一步
  5. 在流量转发页面,根据图11提供的信息输入详细信息
    图 11:创建站点:流量转发详细信息 Create Site: Traffic-Forwarding Details
    表 4:流量转发策略的详细信息
    字段
    隧道类型 IPsec
    IP 地址类型 动态
    IPsec 配置文件 默认 IPsec
    预共享密钥

    为每个站点定义唯一的 PSK。示例:瞻博网络!1

    IKE ID site1@example.com(类似于电子邮件地址,并且必须是每个站点的唯一值)
  6. 单击下一步
  7. 在“站点配置”页上,对于“设备类型”,选择“非瞻博网络设备”。
    图 12:创建站点-站点配置 Create Site-Site Configuration

    您必须选择此选项,因为瞻博网络 Mist 云门户管理的设备不会通过瞻博网络 Security Director Cloud 推送其配置。

  8. 单击下一步
  9. 在“摘要”页上,查看配置。
    图 13:创建站点摘要 Create Site-Summary
  10. 单击“上一步”编辑任何字段,或单击“完成”创建新站点。
  11. 使用相同的过程再添加两个站点。以下段落描述了要包含在每个网站中的详细信息。
    1. 使用表 5表 6 中提供的详细信息创建第二个站点。
      .
      表 5:第二个站点的站点创建
      字段
      主要服务位置 JSEC-俄勒冈州
      辅助服务位置 JSEC-俄勒冈州
      用户数 10
      名字 辐射 2-站点
      国家 德国
      受保护的网络 10.88.88.0/24(局域网)
      表 6:第二个站点的流量转发
      字段
      隧道类型 IPsec
      IP 地址类型 动态
      IPsec 配置文件 默认 IPsec
      预共享密钥

      为每个站点定义唯一的 PSK。示例:瞻博网络!1

      IKE ID site2@example.com(类似于电子邮件地址,并且必须是每个站点的唯一值)
    2. 选择“设备类型”=“非瞻博网络设备”。
    3. 使用表 7表 8 中提供的详细信息创建第三个站点。
      表 7:创建第三个站点:站点详细信息
      字段
      主要服务位置 JSEC-俄勒冈州
      辅助服务位置 JSEC-俄亥俄州
      用户数 10
      名字 辐射 3 站点
      国家 德国
      受保护的网络 10.77.77.0/24(局域网)
      表 8:创建第三个站点:流量转发详细信息
      字段
      隧道类型 IPsec
      IP 地址类型 动态
      IPsec 配置文件 默认 IPsec
      预共享密钥

      为每个站点定义唯一的 PSK。示例:瞻博网络!1

      IKE ID site3@example.com(类似于电子邮件地址,并且必须是每个站点的唯一值)
    4. 选择“设备类型”=“非瞻博网络设备”。
  12. 查看“摘要”页。修改任何不正确的条目。
    图 14 显示了您创建的站点列表。
    图 14:已创建站点 Summary of Created Sites的摘要

在瞻博网络 Security Director Cloud 中部署安全边缘策略

既然您已经在瞻博网络 Security Director Cloud 中创建站点,接下来可以部署一个或多个瞻博网络安全®边缘策略了。

安全边缘策略指定网络如何路由流量。默认情况下,创建新租户时,Security Director Cloud 会使用预定义的规则创建安全边缘策略规则集。

注意:

即使不更改默认规则集,也必须使用 “部署 ”选项在服务位置加载规则。

要在瞻博网络 Security Director Cloud 中部署安全边缘策略,请执行以下操作:

  1. 在瞻博网络 Security Director Cloud 门户中,单击安全边缘>安全策略

    此时将显示包含默认规则的安全边缘策略页面。修改默认安全策略集以便更好地进行调试。默认规则集不允许 ICMP 对外部 (Internet) 执行 ping 操作,从而阻止您通过云对任何内容执行 ping 操作。

    图 15:安全边缘策略详细信息 Secure Edge Policy Details
  2. 单击添加 (+) 图标创建新规则,或选择现有规则并单击铅笔图标以编辑规则。
  3. 为新规则指定“规则名称=允许-ICMP”。
  4. 单击添加 (+) 以添加源。
    “源”下,使用以下默认值:
    • 地址=任意

    • 用户组 = 任意

  5. 单击添加 (+) 以添加目的地。
    “目标”下,对于 “地址”,请使用默认值 =Any。
  6. “应用程序/服务”下,配置以下值:
    • 应用程序=任何

    • 服务 = 特定(通过搜索)

    • 特定服务=ICMP-all

    使用向右箭头 (>),将 特定 service=icmp-all 移动到右窗格以将其激活,然后单击“ 确定”。

  7. 配置操作=允许,并保留其余字段的默认值。

    系统会将新规则放在规则列表的底部,并将此规则视为规则集中的最后一个规则。如果将规则放在全局规则(拒绝所有流量)之后,则永远不会应用该规则,因为全局规则会停止所有进一步的流量。因此,对于此示例,您可以通过选择规则来更改规则的位置。然后,使用“ 移动 > 移动>“顶部移动 ”选项将所选规则移动到规则集的顶部。将规则移动到规则集的顶部可确保系统首先应用此规则。

    注意:

    每当修改规则集时,请确保使用 “部署 ”按钮完成任务。否则,服务位置将继续使用过时的规则集。

  8. 单击部署
  9. 部署页面上,选中立即运行选项,然后单击确定

    服务位置在几分钟后获取更新的规则集。

  10. 选择“管理>作业”以查看已部署作业的状态和进度。

获取要应用于瞻博网络 Security Director Cloud 的 IPsec 隧道配置参数

在上述任务中,您完成了在瞻博网络安全边缘中设置 IPsec 隧道的多项操作,并在瞻博网络安全总监云中部署了安全边缘策略。Security Director Cloud 的最后一步是收集每个站点的配置数据。您需要这些详细信息才能在瞻博网络 Mist™ 云中完成安全边缘连接器配置(在瞻博网络 Mist 云门户中创建安全边缘连接器),以设置 IPsec 隧道。在此步骤中,您将记下所创建站点的详细信息。

注意:

用于在瞻博网络 Security Director Cloud 和瞻博网络 Mist 云之间同步的自动配置推送选项不可用。

要获取要在瞻博网络 Security Director Cloud 中应用的 IPsec 隧道配置参数,请执行以下操作:

  1. 在瞻博网络 Security Director Cloud 门户中,选择“安全边缘>服务管理>站点”。
    此时将打开“站点”页,其中显示已部署的站点详细信息。
    图 16:隧道配置详细信息 Tunnel Configuration Details
  2. 对于每个分支站点,单击“已部署状态”下的“隧道配置”选项,然后检查“MIST 受管设备”选项卡以获取信息。

    记下以下详细信息,您将在瞻 博网络 Mist 云门户的“创建安全边缘连接器”中使用:

    • 预共享密钥

    • 本地身份证

    • 每个服务位置隧道的 IP 地址和远程 ID

    以下示例显示了您在 瞻博网络安全边缘云中创建站点中创建的所有三个站点的提取信息:

    以下示例是 site2 的提取信息:

    以下示例是 site3 的提取信息:

    在 Mist 云门户中配置隧道时,需要这些站点详细信息。

在瞻博网络 Mist 云门户中创建安全边缘连接器

距离在瞻博网络 Mist™ 中为 Session Smart 路由器设置安全边缘连接器这一最终目标已经走了一半。

您可以在瞻博网络 Mist 云门户中创建安全边缘连接器。此任务在隧道的 Mist 云端完成配置,以便在 Mist 管理的 WAN 边缘设备和 Security Director Cloud 之间建立 IPsec 隧道。在创建连接器之前,请确保您的站点已部署会话智能路由器。

要创建安全边缘连接器,请执行以下操作:

  1. 在瞻博网络 Mist 云门户中,单击 WAN 边缘

    “WAN 边缘”页面显示站点详细信息。

    图 17:配置 WAN 边缘 Configure WAN Edge
  2. 选择部署了分支设备的站点。
  3. “安全边缘连接器”窗格中,单击“添加提供程序”。
    图 18:安全边缘连接器配置 Secure Edge Connector Configuration
  4. 根据图 19 中提供的详细信息输入安全边缘连接器详细信息
    注意:

    请记住,这些详细信息与您在 获取 IPsec 隧道配置参数以应用于瞻博网络 Security Director Cloud 中收集的详细信息相同。

    图 19:安全边缘连接器详细信息 Secure Edge Connector Details
    表 9:安全边缘连接器详细信息
    字段
    名字 Site1 到 SD-Cloud
    供应商 瞻博网络安全边缘
    本地身份证 site1@example.com
    预共享密钥 Juniper!1(示例)
    主要
    IP 或主机名 <IP 地址>(来自瞻博网络 Security Director 云隧道配置)
    探测 IP -
    远程 ID <UUID>.jsec-gen.juniper.net(rom 瞻博网络 Security Director Cloud 隧道配置)
    WAN 接口
    • WAN0=INET

    • WAN1=MPLS

    二 次
    IP 或主机名 <IP 地址>来自(来自瞻博网络 Security Director Cloud 隧道配置)
    探测 IP -
    远程 ID <UUID>.jsec-gen.juniper.net(来自瞻博网络 Security Director Cloud 隧道配置)
    WAN 接口
    • WAN0=INET

    • WAN1=MPLS

    模式 主动-备用
    注意:

    无需输入探测 IP 值。IPsec 隧道不需要像 GRE 那样进行额外监控。

    注意:

    不要为基于会话智能路由器的安全边缘配置启用 ICMP 探测 IP 。ICMP 探测将从不可路由的 IP 地址发送到安全边缘,并因策略而被丢弃。此外,如果源地址在所有分支上都重叠,则不支持使用探测 IP 地址路由到多个分支。

    注意:

    系统自动生成文本、应用程序和电子邮件描述。

  5. 验证 Mist 云门户是否已添加刚刚配置的安全边缘连接器。
  6. 添加流量引导路径

    根据图 20 中提供的值,在 WAN 边缘模板或 WAN 边缘设备上添加新的流量引导路径

    图 20:为安全边缘 Add Traffic-Steering Options for Secure Edge添加流量引导选项
    表 10:流量引导路径配置
    字段
    名字
    策略 命令
    路径 选择类型和目的地
    类型 安全边缘连接器
    供应商 瞻博网络安全边缘
    名字 Site1 到 SD-Cloud

    表 10 显示了已完成的流量引导路径。

    图 21:流量引导路径 Traffic-Steering Paths

修改应用程序策略

在瞻博网络 Mist™ 云门户中创建安全边缘连接器后,下一步是修改分支设备上的应用程序策略。例如,您可以允许从分支设备到中心设备的流量。您还可以允许从一个分支设备到 VPN 隧道中另一个分支设备的流量。之后,您可以通过瞻博网络 Security Director Cloud 将流量从分支发送到互联网,而不是将流量从分支发送到中心进行中央突破。

使用以下步骤确认配置是否正常工作:

  1. 在瞻博网络 Mist 云门户中,转到组织> WAN >应用程序策略
    图 22:更改应用程序策略 Change Application Policies
  2. 选择要修改的策略,然后应用以下更改
    • 选中 覆盖模板设置 选项。

    • 在上一条规则 (Internet-via-Cloud-CBO) 中将 流量转向 更改为

  3. 保存更改。
    瞻博网络 Mist 云构建通往瞻博网络 Security Director Cloud 的新隧道。

验证配置

修改应用程序策略后,现在是时候确认您的配置是否按预期工作了。保存所需配置后,您可以验证瞻博网络 Mist 云是否将互联网绑定流量从分支路由到瞻博网络 Security Director Cloud,而不是将其路由到中心进行中央分线。

要验证配置,请执行以下操作:

  1. (可选)根据您的环境,您可以在 CLI 中看到 IPsec 隧道与瞻博网络 Security Director Cloud 的通信情况。

    验证已建立的隧道详细信息 瞻博网络 Mist 云门户中设备的 WAN 见解。

    图 23:包含隧道详细信息 Secure Edge Connector with Tunnel Details的安全边缘连接器
    您还可以在瞻博网络 Security Director Cloud 仪表板和服务位置中查看已建立的隧道。
  2. 使用连接到分支设备的虚拟机桌面检查新流量。您可以使用对互联网的 ping 来验证流量。
    注意:

    您可能会遇到延迟,具体取决于 WAN 边缘设备与瞻博网络安全边缘服务位置之间的物理距离。

  3. 在虚拟机桌面上打开浏览器并导航到 https://whatismyipaddress.com/ 以查看有关用于将瞻博网络 Mist 网络流量从服务位置路由到互联网的源 IP 地址的详细信息。

    图 24图 25 显示了来自主要和辅助服务位置的流量。

    图 24:来自主要服务位置 Traffic from Primary Service Location的流量
    图 25:来自辅助服务位置 Traffic from Secondary Service Location的流量

    服务位置的两个 IP 地址之一是公共 IP 地址,有两个用途:

    • 终止 IPsec 隧道

    • 通过瞻博网络 Security Director Cloud 将流量从分支机构设备路由到互联网

    您可以在数据包捕获中查看相同的公共 IP 地址,其中显示了使用瞻博网络 Security Director Cloud 建立的到服务位置的隧道。请参见 验证配置

    请记住,瞻博网络 Security Director Cloud 中的服务位置也称为 POP,表示云位置中的瞻博网络安全®边缘实例。服务位置是本地用户和漫游用户的连接(访问)点。

安全边缘连接器自动配置

Mist 现在提供自动化的瞻博网络安全边缘连接器隧道配置。此功能允许您使用预定义的设置毫不费力地建立连接。

先决条件

观看以下视频,了解如何设置安全边缘连接器自动预配:

在瞻博网络 Mist 门户中添加瞻博网络安全边缘连接器凭据

  1. 在瞻博网络 Mist 门户中提供瞻博网络安全边缘凭据详细信息。
    • 在瞻博网络 Mist 门户上,选择 组织>设置
    • 向下滚动到 安全 WAN 边缘集成 窗格,然后单击 添加凭据
    • “添加提供程序 ”窗口中,输入详细信息。
      图 26:为瞻博网络安全边缘 Add Credentials for Juniper Secure Edge添加凭据
      • 提供程序 - 选择 JSE。
      • 电子邮件地址 - 输入用户名(电子邮件地址)(在瞻博网络安全边缘门户上创建的用户的凭据)
      • 密码 - 输入用户名的密码。
    • 单击 添加 以继续。

配置瞻博网络安全边缘隧道自动配置

  1. 在瞻博网络 Mist 门户上,转到组织> WAN 边缘模板,然后单击现有模板。
  2. 向下滚动到 安全边缘连接器
  3. 点击 添加提供商
    图 27:添加提供程序 Add Provider
  4. “添加提供商 ”窗口中,选择“ 瞻博网络安全边缘(自动) ”进行自动调配。
    图 28:选择瞻博网络安全边缘作为提供商 Select Juniper Secure Edge as Provider
    输入以下详细信息:
    • 名称 — 输入 JSE 隧道的名称。
    • 提供商 - 选择瞻博网络安全边缘(自动)。
    • 探测 IP - 输入探测 IP(主 IP 和辅助 IP)。输入探测 IP 8.8.8.8 或任何其他已知的探测 IP 地址。
    • WAN 接口 — 在主隧道和辅助隧道详细信息下分配 WAN 接口,以调配主隧道和辅助隧道。
  5. 单击 “添加”。
  6. “安全边缘连接器自动预配设置”中,输入详细信息。仅当您在上一步中将瞻博网络安全边缘配置为提供商时,此选项才可用。
    图 29:安全边缘连接器自动预配设置 Secure Edge Connector Auto Provision Settings
    • 用户数 — 输入 JSE 隧道支持的最大用户数

    • 组织名称 - 输入组织名称。下拉框显示与瞻博网络安全边缘帐户中的用户名关联的所有组织。此用户名与您在 “组织>设置”的“瞻博网络安全边缘”凭据中输入的用户名相同。有关详细信息,请参阅步骤 1。

  7. 单击 添加 以继续。

将启用了瞻博网络安全边缘(自动)选项的模板分配给站点时,将自动创建关联的 JSE 站点(位置对象),并启动从设备到最近网络接入点 (POP) 的隧道。

要使安全边缘连接器配置生效,您必须创建具有 Mist 安全边缘连接器到瞻博网络安全边缘流量引导的应用程序策略。

验证瞻博网络安全边缘隧道

在瞻博网络 Mist 门户上,一旦 WAN 边缘事件下显示 WAN 边缘隧道自动配置成功 事件,您就可以在设备的 WAN 见解中验证已建立的隧道详细信息。

图 30:WAN 边缘事件 WAN Edge Events

WAN 边缘> WAN 边缘洞察 页面中获取已建立的隧道状态详细信息 瞻博网络 Mist 云门户。

图 31:已建立的安全边缘隧道 Established Secure Edge Tunnels

您可以在瞻博网络 Security Director Cloud 仪表板和服务位置中查看已建立的隧道。