第 2 部分： 配置和管理 EX 交换机以及瞻博网络 Mist 云中的Mist AP

分步过程

此过程介绍如何在瞻博网络 Mist 云中声明云就绪交换机。

1. 使用 Web 浏览器登录您的 Juniper Mist帐户。此时将显示“监控”页面，其中显示了瞻博网络 Mist 云以及所有连接的瞻博网络接入点和客户端的概览。单击左侧菜单中的 “组织>库存 ”以打开“Juniper Mist库存”屏幕。

   

2. 选择 Inventory 屏幕顶部的 Switches 。单击 “激活交换机 ”按钮，然后输入交换机的激活或激活码。

   

3. 填写屏幕上的字段。选中 使用Mist管理配置 复选框，然后输入交换机的 root 密码。请注意，此选项会将交换机置于 Juniper Mist 门户的管理之下。因此，我们建议限制使用 CLI 的本地配置，以防止冲突。例如，您可能希望在交换机上创建一条系统登录消息，以警告不要通过 CLI 在本地更改配置。

4. 从机箱中取出交换机，并为交换机管理端口提供互联网访问权限。接下来，打开开关电源。作为全自动部署 （ZTP） 流程的一部分，交换机会自动访问手机主服务器 （PHS），并连接到瞻博网络 Mist 云以进行配置更新。

   ZTP 流程解析后，交换机会自动显示在 Inventory 页面中。如果在刷新网页几分钟后交换机仍未出现，请尝试注销，然后重新登录。如果仍未看到交换机，请参阅 故障排除 ，了解有关如何确认设备是否连接到云的信息。

分步过程

此过程介绍如何在运行 受支持版本的 Junos OS 的受支持 EX 系列交换机之间建立安全连接。此外，请确保您可以登录到 Juniper Mist 门户。

1. 在瞻博网络 Mist 云中创建分支站点。登录到您的组织 瞻博网络 Mist 云 单击 “组织”>“站点配置 ”以打开“站点”屏幕。单击 “创建站点” 并将名称 branch 分配给新站点。您还必须输入站点的位置。在本例中，我们输入瞻博网络总部的地址。

   向下滚动到交换机管理部分，然后添加所需的 root 密码。之后，当您启用配置管理时，瞻博网络 Mist 云将使用指定的密码更新交换机配置。单击 “保存 ”以创建新的分支位置，如图所示。

   

2. 采用棕地交换机。单击 “组织>库存 ”以打开“库存”屏幕。在此示例中，“ 接入点 ”和 “交换机” 选项卡均为空。根据组织的登录信息，您可能会看到已声明/采用的设备。

   

3. 选择“清单”屏幕顶部的 “交换机 ”，然后单击右上角的 “采用交换机 ”，生成与瞻博网络 Mist 云建立安全通信所需的 Junos OS CLI 命令。

4. 命令使用Juniper Mist用户帐户配置交换机，并启用与瞻博网络 Mist 云的 SSH 连接。此 SSH 连接通过端口 2200 使用 TCP。此端口用于配置更新和向云端发送遥测数据。如果以后在连接到瞻博网络 Mist 云时遇到问题，请检查以确保您的组织允许出站连接请求以及发送到和从Juniper Mist服务发送的 TCP 端口 2200 的匹配返回流量。

   

5. 在出现的窗口中，单击 复制到剪贴板 ，从瞻博网络 Mist 云获取命令。

6. 在交换机的控制台上，键入 configuration 进入配置模式，然后粘贴刚刚复制的命令。如果您尚未处于配置层次结构的基本级别，请使用命令 top 。请务必提交更改

   .

7. 在Juniper Mist门户上，刷新浏览器以更新屏幕。几分钟后，新采用的交换机就会显示在库存列表中。

   

8. 选择刚刚添加的交换机，然后单击屏幕右上角的 “更多 ”下拉列表，然后单击 “分配给站点” 以打开“ 分配交换机 ”窗口。选择您之前创建的 branch 站点 ，但不要 单击 “管理配置 ”选项。在构建配置模板之后，稍后启用配置管理。

   

   完成后，单击 “分配给站点” 。显示屏确认交换机属于站点 branch 。关闭确认窗口后，新采用的交换机会以绿色状态显示在清单中。您可能需要刷新页面才能查看预期的交换状态。

   

分步过程

1. 通过交换机配置模板，您可以定义用于分支机构中所有交换机的标准配置。该模板还允许您根据需要对所选交换机应用特定配置。首先，单击左侧菜单中的 “组织”>“交换机模板 ”，创建“交换机配置”模板。使用 “创建模板 ”按钮创建名为 branch_template的模板。

   在此示例中，您将填充模板，如下所示：

   单击标题（所有交换机配置、共享元素和选择交换机配置）展开部分，单击向下箭头可在完成后折叠该部分。

   1. 在所有交换机配置下，我们将添加以下参数：

      • 为分支机构配置 NTP 服务器。您可以使用在 SRX 中配置的相同公共 NTP 地址。

      • 添加自定义登录横幅以警告用户交换机处于瞻博网络 Mist 云的控制之下。

      
      提示：

      配置模板支持授权和计费服务。这些字段留空，因为在本例中使用的是下界。DNS 字段留空。在此示例中，SRX 通过 DHCP 为 EX 交换机和Mist AP 分配域名和 DNS 服务器。

   2. 向下滚动到 “共享元素” 以添加以下内容：

      • 在 NETWORKS 下，根据 表 1 定义分支机构的网络和关联的 VLAN。在此示例中，我们将系统定义的“默认”网络用于中继接口上的本机 VLAN。

        表 1：网络到 VLAN 映射

        网络名称	VLAN ID
        iot_network	20
        camera_network	30
        corp_network	40
        限制	99

      • 在 PORT PROFILES 下，创建名为“mist_ap”、“iot_device”、“camera_device”、“corp_device”和“restricted_device”的新端口配置文件，并将端口配置文件映射到上述网络 （VLAN）。使用 表 2 设置端口参数，例如中继与接入、STP 和 POE。在本例中，我们在边缘/接入端口上启用 STP，作为防止环路的最佳做法。

        表 2：端口配置文件设置

        端口配置文件	端口设置
        mist_AP	中继（全部）、默认 （VLAN 1）、POE、STP 边缘
        iot_device	接入、VLAN 20、STP 边缘
        camera_device	接入、VLAN 30、STP 边缘
        corp_device	接入、VLAN 40、STP 边缘
        restricted_device	接入、VLAN 99、POE、STP 边缘

        注意：

        请务必为端口组设置正确的操作模式（中继与接入）和 POE。此示例中的Mist AP 需要启用 POE。此外，动态分析还用于Mist接入点。这意味着连接到Mist接入点的端口最初会放置在受限的 VLAN 中。设备被识别为Mist AP 后，端口将被重新分配给“mist_ap”配置文件。因此，您必须为“restricted_device”配置文件启用 POE，以确保Mist AP 保持通电状态并能够使用 LLDP 识别自身。

        “mist_ap”端口组的设置如下所示：

        

      • 此示例演示了静态和动态端口配置文件的组合。动态分析允许根据用户身份验证或设备标识将设备放入特定 VLAN 中。在此步骤中，您将定义两个动态端口配置文件。

        在 “动态端口配置”下，创建一个规则，用于自动将端口配置文件“mist_ap”分配给瞻博网络接入点。该规则使用 LLDP 检测机箱 ID。当它识别出机箱 ID 的前三个八位位组与瞻博网络接入点匹配的设备时，它会将该设备分配到您之前创建的“mist_ap”配置文件。在此示例中，我们匹配值“D4：20：B0”。

        提示：

        使用机箱上的贴纸或 show lldp neighbors EX 上的命令验证 Mist 接入点的MAC 地址。

        

      • 在 “动态端口配置”下，创建第二个规则，该规则将MAC 地址“ec：3e：f7：c6：80：84”的设备动态分配给“corp_network”配置文件。此 MAC 地址将分配给连接到 EX 交换机的 ge-0/0/3 接口的有线客户端。

        

        将显示完成的“共享元素”屏幕：

        

   3. 在 “选择交换机配置”下，我们将添加以下内容：

      • 在 “信息 ”下，创建用于将端口配置文件与交换机关联的规则。在此示例中，您将添加一个规则，用于将 EX4300 交换机映射到“访问”角色。

      

      • 单击 Port Config 选项卡，根据表 3 将“Shared Elements”下定义的端口配置文件映射到物理交换机端口。为了更好地演示动态端口分析，Mist接入点和企业设备都被置于启用了动态分析的受限 VLAN 中。其他设备则静态映射到其关联的网络。

        表 3： EX 交换机端口配置文件

        接口	功能	配置文件-* 表示系统定义的配置文件
        ge-0/0/1	到 SRX 的中继上行链路	*上行
        ge-0/0/3	漫游企业设备	restricted_device、动态分析
        ge-0/0/5	来自 Mist AP 的中继上行链路	restricted_device、动态分析
        ge-0/0/11	有线物联网	iot_device
        ge-0/0/15	有线摄像头	camera_device
        所有其他端口	受限的 VLAN	restricted_device

        注意：

        未分配端口配置文件的端口将继承系统默认配置文件。默认配置文件将这些端口放入 VLAN 1 中，以便连接的设备从 192.168.1.0/24 网络上的 SRX 获取 DHCP 地址。在此示例中，您将定义一个端口范围，用于将所有未使用的端口放入禁用动态分析的受限 VLAN 中。此设置有效地将这些未使用的端口放入无法通过 SRX 的隔离网络中。回想一下，中继接口的 SRX 端未配置 VLAN 99，并且没有为此 VLAN 配置 DHCP 池。

        回想一下，在 ge-0/0/5 上为 Mist AP 和 ge-0/0/3 上的企业设备启用了动态分析。将这些端口映射到“restricted_device”配置文件时，请务必选择 “启用动态配置 ”选项，如下所示。

      

      完整的端口配置如下所示：

      

   当瞻博网络 Mist 云不支持配置时，您可以在 CLI 配置 选项卡中包含配置语句。在此示例中，我们使用模板的 “所有交换机配置 ”部分设置了一个自定义登录横幅，该横幅适用于分支机构位置中的所有交换机。此示例不需要特定于交换机的 CLI 配置。

   注意：

   完成交换机端口映射后，请务必单击复选标记以保存端口配置文件，然后单击页面 顶部的保存 按钮以保存对分支模板的更改。

2. 要将您创建的交换机模板映射到分支机构站点，请单击左侧菜单中的 网络>交换机配置 。选中分支站点旁边的复选框，然后单击“ 分配给模板 ”链接，将“分支”模板映射到站点。

   

3. 将您的 EX 交换机分配给分支机构站点。单击左侧菜单中的交换机，然后在站点下拉菜单中选择分支站点。接下来，选择您的交换机，然后使用“更多”下拉菜单选择“分配给站点”，然后将交换机添加到分支站点。回想一下，EX 交换机当前已使用 root 密码修改了出厂默认值。另请注意，此交换机不受瞻博网络 Mist 云的管理。因此，选择“不保留配置”选项。

   

   接下来，单击“ 分配给站点” 按钮。“ 分配交换机 确认”对话框将确认站点分配。通过单击 “关闭 ”按钮关闭窗口。

   

4. 在此步骤中，您将激活 EX 交换机的瞻博网络 Mist 云配置管理。这会导致交换机中激活“branch_template”中的配置设置。

   警告：

   一旦处于瞻博网络 Mist 云的控制之下，就不应直接进行任何 CLI 更改。手动 CLI 更改可能与Mist托管配置冲突。此外，当云推送更新的配置时，手动更改可能会被覆盖。

   当您仍在 “交换机” 页面并查看 分支 站点时，选择您的交换机以查看其详细信息。向下滚动到 “交换机配置 ”部分。此时交换机不是 .

   

   在启用配置管理之前，请对交换机配置进行以下更改：

   • 为交换机分配主机名。在此示例中，我们使用 “branch-ex”

   • 分配“access”角色以激活分支机构模板的 select switches 部分。在分支模板中，您指定了特定于交换机的端口配置将应用于类型为“EX4300*”且角色为“接入”的任何交换机。指定“访问”角色后，窗口的 “端口配置 ”部分应填充分支模板中的端口设置。

   • 其余设置保留为默认值。需要时，您可以覆盖许多模板设置。或者，您可以使用 “其他 CLI 命令 ”框为所选交换机添加特定的 CLI 命令。CLI 命令在发送到交换机之前会与模板配置合并。

     注意：

     此示例使用控制台访问。如果您计划使用基于以太网的管理网络，则可以使用 IP 配置（带外）部分指定使用 DHCP 或静态分配的管理地址。在使用基于 DHCP 的管理时，请确保交换机不会收到默认路由。在此示例中，默认路由用于将流量从分支机构定向到 WAN 和宽带互联网链路。管理网络上的默认路由可能会导致分支流量通过管理链路发送。

     单击启用 配置管理 框，启用交换机的Juniper Mist管理。请务必单击 “保存 ”以激活更改。关闭 “确认配置管理 ”确认窗口。

   

祝贺。您的交换机现已由瞻博网络 Mist 云进行管理！

分步过程

1. 首先为分支机构创建一个无线配置模板。单击左侧菜单中的 组织>配置模板 。单击“ 创建模板 ”按钮并分配模板名称。在这里，我们再次使用名称“分支”。

2. 选择是要将模板应用到整个组织还是应用到特定站点。在此示例中，我们将配置应用到分支机构位置。

   

3. 单击添加 WLAN 按钮，创建 WLAN 模板。我们使用此模板为 VLAN 40 中的企业设备创建 SSID （WLAN）。给定的 SSID 存在许多选项，包括一系列身份验证机制，例如 802.1X、RADIUS 或密码。在我们的示例中，我们使用简单的密码短语身份验证。请务必选择 “标记 ”作为 VLAN 类型，并将 VLAN ID 指定为 40。

   

4. 重复上述步骤，分别使用 VLAN 20 和 VLAN 30 为 IoT 和摄像头设备定义 SSID。完成后，您的 SSID 应如下例所示：

   

   完成后，请务必单击 “保存 ”按钮来保存对模板的更改。显示确认配置模板已与“分支”站点相关联。

   

5. 在此步骤中，您申请Mist接入点，开始通过瞻博网络 Mist 云管理设备。要声明分支站点的接入点，请单击左侧菜单中的 接入点 ，然后单击 声明接入点。在Mist接入点贴纸上输入声明代码，然后将接入点添加到“分支机构”站点。准备就绪后，单击 “Claim ”按钮。此时将显示“声明访问点并激活订阅”确认对话框屏幕。单击 “关闭” 以关闭确认窗口。

   

   片刻之后，AP 显示绿色连接状态。您可能需要刷新浏览器窗口。

   

6. 如果需要，请单击接入点以查看有关其配置和运行状态的详细信息。

   

功能分支机构

祝贺！您已将 SRX 服务网关配置为支持 EX 交换机、Mist AP、各种企业设备及其各自 VLAN 的 DHCP 服务和互联网接入。您已使用此互联网接入将您的交换机和接入点采用/认领至瞻博网络 Mist 云中。然后，您可以利用简单的配置模板和 GUI 界面配置这两台设备。

您可以通过单击左侧菜单中的 交换机 ，然后点击 拓扑 选项卡来查看生成的分支机构拓扑。您可以单击拓扑中的对象以显示有关连接设备及其 MAC 地址的详细信息。

在本 NCE 的下一节中，您将向 SRX 设备添加复杂的基于应用的服务质量配置，以帮助确保用户体验符合组织的 SLA。