Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

配置具有 LTE 备份的 WAN 链路(主动/主动模式)到互联网

此示例说明如何在 SRX300 系列设备或SRX550M的主动/主动设置中配置具有 LTE 备份的 WAN 链路。

要求

此示例包含以下硬件和软件组件:

  • 一台 SRX300 系列设备(SRX320、SRX340、SRX345、SRX380)或SRX550M

  • 一个用于 SRX300 系列的 LTE 小型 PIM

  • 一张订阅数据服务的SIM卡

  • Junos OS 19.4R1 或更高版本

我们已在装有 Junos OS 19.4R1 的 SRX320 设备上测试了此配置。

概述

在此示例中,我们将设置分支机构 SRX320 系列设备,为现场员工提供有线和无线互联网以及内联网访问。我们还为访客设备提供无线互联网接入。主链路连接通过 MPLS 提供。宽带互联网接入通过以太网,备用连接通过LTE网络。两个链路配置为主动/主动模式;除非主链路和辅助链路均关闭,否则不会通过 LTE 调制解调器路由任何流量。

在本例中,我们使用 图 1 中所示的拓扑结构。

图 1:具有冗余互联网连接的分支机构示例 Branch Office with Redundant Internet Connectivity Example

在拓扑中:

  • LTE Mini-PIM 安装在 SRX 系列设备的插槽 1 中。

  • SIM 卡安装在 LTE Mini-PIM 的插槽 1 中。

  • 主 MPLS 链路连接到接口 ge-0/0/6。

  • 宽带互联网链路连接到接口 ge-0/0/7。

  • 接口 cl-1/0/0 标识调制解调器小型 PIM。

  • 蜂窝网络上的链路在接口 dl0.0 上终止。

  • 有线端口 ge-0/0/6 和 ge-0/0/7 通过 DHCP 接收其 IP 地址、网络掩码和默认网关。

  • LTE 接口(cl-1/0/0 和 dl0.0)接收蜂窝服务提供商提供的 IP 地址、网络掩码和默认网关。

在此示例中,我们使用在 SRX320 设备上配置的两个安全区域不信任和信任。通过将接口分离到安全区域中,可以分离流量并减轻公司内部网面临的风险。安全区域还允许您清晰、简化地实施安全策略。不信任区域托管有权访问互联网的接口。企业内部网中的内部接口位于信任区域中。请参阅 图 2表 1 ,了解接口、安全区域和安全策略配置。

图 2 显示了每个安全区域中的接口。

图 2:安全区域 Security Zones

表 1 显示了区域之间流量的安全策略的预期行为。

表 1:按区域划分的安全策略

从区域

到区域

允许流量的安全策略行为

信任

信任

是的

不信任

不信任

信任

不信任

是的

不信任

信任

仅信任启动。

允许在信任区域中启动的流量和返回流量。

表 2 汇总了接口的 VLAN 信息和 IP 地址信息。

表 2:接口配置详细信息

接口

Vlan

IP 地址

网络掩码

DL0.0

-

Dhcp

-

ge-0/0/6

Dhcp

255.255.255.0

ge-0/0/7

-

Dhcp

-

IRB.0

3

192.168.1.1

255.255.255.0

让我们考虑表 3 中的应用。为了便于说明,假设Office365,Salesforce和Zoom应用程序是业务关键型应用程序,我们将主要通过MPLS链接路由它们。我们也优先考虑这些应用,而不是LTE链路。其余应用将使用宽带互联网接入链路。我们仅为关键业务应用程序保留 LTE 备份链路。因此,当 LTE 连接是唯一可用的连接时,将无法访问非关键应用程序。

表 3:应用程序的优先级

应用

主链路

辅助链路

关键应用?

Office365

Mpls

宽带互联网

是的

Salesforce

Mpls

宽带互联网

是的

缩放

Mpls

宽带互联网

是的

松弛

宽带互联网

Mpls

转到会议

宽带互联网

Mpls

Dropbox

宽带互联网

Mpls

Skype

宽带互联网

Mpls

Youtube

宽带互联网

Mpls

配置

程序

分步过程

此配置示例中的步骤是从下层到上层逻辑构建的。

  1. 设置调制解调器中 SIM 卡 (LTE-MPIM) 的接入点名称 (APN)。

  2. 为网络的 LAN 段创建通用 VLAN。在此示例中,我们使用 VLAN ID 3 并将其称为 VLAN 信任

  3. 定义 AppQoS 规则和应用程序匹配标准。

  4. 创建安全策略以允许信任区域和不信任区域之间的流量。请确保在策略中包含所需的网段和应用程序。

  5. 创建安全策略以允许信任区域中设备之间的流量。请确保在策略中包含所需的网段和应用程序。

  6. 为 LAN 网段上连接的设备创建唯一的 DHCP 服务器组。

  7. 创建要分配给 LAN 网段中的设备的 IP 地址池。对于此 IP 地址池,请指定最低和最高 IP 地址、DNS 服务器的 IP 地址以及默认网关(接口)irb.0 的 IP 地址。默认网关通常是 irb.0 接口。

  8. 创建源 NAT 以将 NAT 应用于信任区域中的外部接口设备。

  9. 为主互联网链路配置接口。设置接口以通过 DHCP 协议获取配置。

  10. 配置 LTE-MPIM 接口。确保包含 SIM 卡的 SIM 卡插槽设置为活动状态。

  11. 配置拨号器接口。

  12. 将 LAN 接口 ge-0/0/0、ge-0/0/1 和其他接口配置为信任 VLAN 中的交换接口。信任 VLAN 有效地将接口添加到信任区域。我们展示了一个接口的配置。重复相同的步骤以配置所有 LAN 分段接口。

  13. 允许在信任区域中使用必要的协议。此步骤可确保网络的 LAN 段正常运行。

  14. 允许在不受信任区域中使用必要的协议。

  15. 表 3 中指定的每个应用程序和每个链路创建时间性能监控探针。

    在此步骤中,我们将为 Office365 应用程序设置 icmp-ping 探测类型。Office365 使用 MPLS 链接。此探测测试探测与 Office365 使用的 IP 地址 40.97.223.114 的连接。探针测试运行 5 次,间隔 6 秒。不应违反的预期阈值是 5 次连续测试丢失和/或返回传输时间 (RTT) 为 300000 微秒。接口 ge-0/0/6 上的网关 IP 地址为 192.168.220.1

  16. 为同一应用程序创建第二个探测器。请务必使用此应用程序的辅助接口详细信息。宽带互联网链路上默认网关的 IP 地址为 10.10.10.1。

  17. 为 Skype 应用程序创建两个探测器。

    在此步骤中,我们将设置较短的探测间隔(1 秒)和较短的 RTT(60000 微秒)。此配置反映了应用程序的更高链路保证。请注意,与 Office365 相比,主探测器的接口为 ge-0/0/7,要探测的 IP 地址不同。此步骤中使用的 IP 地址是我们用于探测的目标地址。也就是说,每个目标地址都属于我们已为其创建探测的应用程序。

  18. 使用相同的模式为其余应用程序配置探测。

  19. 为每个应用程序创建一个路由实例。确保与其他链路相比,通过该应用程序的主链路的路由具有较低的优先级值。优先级值越低,路由越优先。确保业务关键型应用程序使用 LTE 备份接口。

    在此步骤中,我们将为 Office365 应用程序配置路由实例。主链路是 MPLS 链路。将此链路网关的首选项值设置为 10,使其成为最首选的路由。宽带互联网链路网关的优先值为 20,使其成为第二好的优选选项。LTE 备份链路的首选项值为 30,是最不首选的选项。

  20. 使用与上一步中相同的模式为其余应用程序配置路由实例。

  21. 为所有应用程序配置 IP 监控策略。策略的目标是更改上一步中在路由实例中创建的路由的指标。这些策略是基于每个探测创建的。

    在此步骤中,我们将为 Office365 应用程序创建 IP 监视策略。我们配置了两个探测,因此创建了两个策略 — 每个探测一个。当探测到的链路偏离允许的阈值时,策略会更改路由的优先级,以便通过其他链路重新路由应用程序流量。该策略将第二个最佳链接的指标减少到 2。

    示例:当探测确定 Office35 的主链路 (MPLS) 不满足 RTT 和数据包丢失的要求时,策略允许宽带 Internet 链路的网关的衡量指标为 2。请注意,该策略会更改第二最佳路由的指标。

  22. 为 Office365 的辅助探测配置 IP 监视策略。下一跃点地址是主 MPLS 链路。

  23. 按照与前两个步骤中类似的模式为其余应用程序配置 IP 监视策略。

  24. 配置基于策略的高级路由 (APBR) 配置文件,该配置文件匹配范围内的所有八个应用程序,并将流量重定向到该应用程序的相应路由实例。配置文件分为多个规则。每个规则涵盖一个应用程序和一个路由实例。

    在此步骤中,规则 office365_rule 匹配应用程序 junos:OFFICE365-CREATE-CONVERSATION“ 的所有流量,并将流量重定向到路由实例 office365_RInstance

    在此步骤中,我们不允许对正在进行的会话进行会话中路径更改,以避免对应用程序连续性产生任何影响。这是通过将参数设置为 max-route-change 0 来实现的。

  25. 配置与协议无关的路由表组。该组将专用实例的路由表导入主路由表。

  26. 将新创建的配置文件 apbr_profile 添加到安全区域信任。此配置将配置文件应用于信任区域中的流量。

  27. 提交配置。

验证

要确认配置工作正常,请执行以下任务:

验证 Junos OS 对小型 PIM 模块的检测

目的

验证 Junos OS 是否正在检测小型 PIM 模块。

行动

从操作模式:

意义

设备在输出中显示小型 PIM 模块 LTE for AE

验证小型 PIM 的固件版本

目的

检查小型 PIM 的固件版本。

行动

从操作模式:

意义

输出显示 Mini-PIM 的固件版本为 17.1.80。如果需要,请更新固件。请参阅 LTE 小型物理接口模块上的固件升级

验证 APBR 规则的有效性

目的

在应用 APBR 规则后验证流量处理详细信息。

行动

从操作模式:

意义

输出显示有关为基于应用程序的路由规则处理的会话的详细信息、应用程序流量与 APBR 配置文件匹配的次数 (rule hit) 以及将 APBR 应用于会话的时间 (Route change)。