Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren von Netzwerken für Firewalls der SRX-Serie

Führen Sie die folgenden Schritte aus, um Netzwerke für Ihre Firewalls der SRX-Serie einzurichten.

Netzwerke sind Quellen der Anforderung in Ihrem Juniper WAN Assurance-Design. Auf der Juniper® Firewall der SRX-Serie erstellen Netzwerke Adressbücher, die als Quelle für Sicherheitsrichtlinien und APBR-Richtlinien (Advanced Policy Based Routing) dienen.

Mit Netzwerken können Sie Benutzergruppen definieren. In einem WAN-Design müssen Sie die Quellen identifizieren, die über das LAN-Segment auf Ihre Anwendungen zugreifen, und die Benutzer einrichten. Benutzer sind Quelladressen, die Sie später in den Anwendungsrichtlinien verwenden können.

Nachdem Sie Netzwerke im Juniper Mist™ Cloud-Portal erstellt haben, können Sie Netzwerke für die gesamte Organisation im Portal verwenden. Das WAN Assurance-Design verwendet Netzwerke als Quelle in der Anwendungsrichtlinie.

So konfigurieren Sie Netzwerke:

  1. Klicken Sie im Juniper Mist Cloud-Portal auf Organisation > WAN > Netzwerke.
    Eine Liste der vorhandenen Netzwerke, sofern vorhanden, wird angezeigt.
  2. Klicken Sie in der oberen rechten Ecke auf Netzwerke hinzufügen .
    Das Netzwerk hinzufügen wird angezeigt. Tabelle 1 Fasst die Optionen zusammen, die Sie in einem Netzwerk festlegen können.
    Tabelle 1: Netzwerkoptionen
    Felder Beschreibung
    Name Geben Sie einen eindeutigen Namen für das Netzwerk ein. Der Name kann alphanumerische Zeichen, Unterstriche und Bindestriche enthalten und darf nicht länger als 32 Zeichen sein.
    IP-Adresse des Subnetzes Geben Sie die Netzwerk-IP-Adresse ein. Sie können entweder absolute Werte (Beispiel: 192.0.2.0) oder Variablen (Beispiel:{{SPOKE_LAN1_PFX}}.0 ) verwenden.
    Präfix-Länge Geben Sie die Länge des Adresspräfixes von 0 bis 32 ein. Sie können auch Variablen für die Präfixlänge verwenden. Beispiel: {{PFX1}}
    VLAN-ID

    (Optional) Geben Sie die VLAN-ID ein, die mit dem Netzwerk verknüpft ist.

    Wenn Ihr Gerät eine nicht getaggte Schnittstelle verwendet, sollten Sie anstelle der Variablen 1 als VLAN-ID verwenden.
    Quell-NAT-Pool-Präfix

    (Optional) Geben Sie das IPv4-Präfix für die Quell-NAT ein. Quell-NAT übersetzt die Quell-IP-Adresse des Datenverkehrs (bei der es sich um eine private IP-Adresse handelt) in eine öffentliche IP-Adresse.
    Zugriff auf Juniper Mist Cloud

    Aktivieren Sie diese Option, damit andere Geräte innerhalb des definierten Netzwerks eine Verbindung mit der Mist Cloud herstellen können, um sie über die SRX-Serie-Firewall zu verwalten.

    WAN-Edge-Geräte verfügen über integrierte Richtlinien für die Verbindung mit Mist Cloud-Services über WAN-Schnittstellen. Wenn Sie mit dieser Option Zugriff auf Mist Cloud gewähren, kann das Netzwerk die integrierten Richtlinien für die Verbindung mit Mist verwenden.

    Anwendungsfallbeispiel: Verwaltung von LAN-Netzwerken für Mist-verwaltete Geräte
    Für das Overlay werben

    Aktivieren Sie die Option, den Hub-Geräten das Netzwerk über die Overlay-Tunnel anzukündigen. Wenn Sie diese Option wählen, zeigt das System folgende zusätzliche Optionen für Werbung an:

    • An anderen Spokes ankündigen – Netzwerk, um das Netzwerkpräfix für andere Spokes anzukündigen (Standardoption).

      Wenn Sie möchten, dass das Netzwerk das Präfix nur für Hubs (nicht für andere Spokes) ankündigt, deaktivieren Sie die Standardoption.

    • An Hub-LAN-BGP-Nachbarn ankündigen: Netzwerk, um das Netzwerkpräfix einem beliebigen LAN-BGP-Nachbarn am Hub anzukündigen (Standardoption). Wenn Sie keine Ankündigung machen möchten, deaktivieren Sie die Standardoption.
    • Advertise to Hub LAN OSPF Neighbor (SRX Only): Network, um das Netzwerkpräfix jedem LAN-OSPF-Nachbarn am Hub anzukündigen (Standardoption). Wenn Sie keine Ankündigung machen möchten, deaktivieren Sie die Standardoption.
    • Präfix auf Ankündigung überschreiben - Aktivieren Sie diese Option, wenn das Präfix, das den Hubs angekündigt werden soll, nicht das ursprüngliche Netzwerk, sondern ein anderes Präfix ist. Dies wird in der Regel verwendet, wenn NAT-Optionen aktiviert werden. Wenn Sie diese Option auswählen, geben Sie IP-Adresse und Präfixlänge ein.

    Im Portal werden außerdem die folgenden Optionen für die Routenverdichtung angezeigt:

    • Hub-Overlay-Zusammenfassung: Ermöglicht es dem Netzwerk, das Netzwerkpräfix zusammenzufassen, das für das Overlay angekündigt wurde. Beispiel: Juniper Mist Portal kann 192.168.1.0/24 bis 192.168.0.0/16 zusammenfassen. Dieses Feature begrenzt die Anzahl der BGP-Updates, die ein Hub von jedem Spoke empfängt und vom Hub an alle anderen Spokes zurücksendet.
    • Hub-LAN-BGP-Zusammenfassung: Ermöglicht es dem Netzwerk, das Netzwerkpräfix zusammenzufassen, das dem LAN-BGP-Nachbarn angekündigt wurde. Beispiel: Juniper Mist Portal kann 192.168.1.0/24 bis 192.168.0.0/16 zusammenfassen.
    • Hub-LAN-OSPF-Zusammenfassung: Ermöglicht es dem Netzwerk, das Netzwerkpräfix zusammenzufassen, das dem LAN-OSPF-Nachbarn angekündigt wurde. Beispiel: Juniper Mist Portal kann 192.168.1.0/24 bis 192.168.0.0/16 zusammenfassen.
    • Routenzusammenfassung: Fassen Sie lokale Routen in Richtung Overlay zusammen. Sie können die IP-Adressen und die Präfixlänge der zusammengefassten Routen angeben. Für Session Smart Router unterstützt die Zusammenfassung nur, wenn das Netzwerk mit dem Spoke verbunden ist.

    NetzwerkeNicht direkt angeschlossen (nur SSR)

    Wählen Sie die Netzwerke aus, bei denen es sich nicht um direkt verbundene Netzwerke handelt, die in diesem Netzwerk ankommen, das einem LAN zugewiesen ist.
    Benutzer

    (Optional) Zusätzliche Netzwerke oder Benutzer. Beispiel: Remote-Netzwerke oder Benutzer, die mit dem Hauptnetzwerk verbunden sind.

    Klicken Sie auf die Option Benutzer hinzufügen und geben Sie den Namen und das IP-Präfix des zusätzlichen Benutzers ein.
    Statische NAT

    (Optional) Führen Sie eine statische Eins-zu-Eins-Zuordnung der ursprünglichen privaten Host-Quelladresse zu einer öffentlichen Quelladresse durch.

    Klicken Sie auf die Option Statische NAT hinzufügen , und geben Sie die Option Name , interne IP, externe IP und wählen Sie die Option aus, die auf ausgehenden Datenverkehr auf Underlay oder Overlay angewendet werden soll. Geben Sie den WAN-Namen für die Geräte der SRX-Serie ein.
    Ziel-NAT

    (Optional) Übersetzen Sie die Ziel-IP-Adresse eines Pakets.

    Klicken Sie auf die Option Ziel-NAT hinzufügen , und geben Sie den Namen , die interne IP, den internen Port, die externe IP, den externen Port und die Option aus, die auf ausgehenden Datenverkehr auf Underlay oder Overlay angewendet werden soll. Geben Sie den WAN-Namen für die Geräte der SRX-Serie ein.
  3. Schließen Sie die Konfiguration gemäß den Angaben in Tabelle 2 ab.
    In dieser Aufgabe verwenden Sie die Variablen für die Felder "Subnetz-IP-Adresse" und "Präfixlänge", um drei Netzwerke zu konfigurieren: SPOKE-LAN1, HUB1-LAN1 und HUB2-LAN1.
    Tabelle 2: Beispiel für eine Netzwerkkonfiguration
    Felder Netzwerk 1 Netzwerk 2 Netzwerk 3
    Name SPOKE-LAN1 HUB1-LAN1-KARTON HUB2-LAN1-KARTON
    IP-Adresse des Subnetzes {{SPOKE_LAN1_PFX}}.0 {{HUB1_LAN1_PFX}}.0 {{HUB2_LAN1_PFX}}.0
    Präfix-Länge 24 24 24
    VLAN-ID {{SPOKE_LAN1_VLAN}} {{HUB1_LAN1_VLAN}} {{}} {{HUB2_LAN1_VLAN}}
    Zugriff auf Juniper Mist Cloud Geprüft Geprüft Geprüft
    Beworben über Overlay Geprüft Geprüft Geprüft
    Benutzer
    • Name=Alle
    • IP-Präfixe=10.0.0.0/8
    		 - -
    Anmerkung:

    Der Benutzer "All" mit dem IP-Präfix 10.0.0.0/8 dient als Platzhalter für alle zukünftigen LAN-Segmente im Bereich. Die Firewall der SRX-Serie in Hubs kann denselben Benutzernamen (Alle) und dasselbe IP-Präfix (10.0.0.8) verwenden, um alle Spoke-LAN-Schnittstellen mit einer einzigen Regel zu identifizieren.

    Anmerkung:

    Gehen Sie bei der Verwendung von Variablen nicht davon aus, dass das System automatisch alle LAN-Segmente am Hub-Standort importiert. Manchmal kann das System eine beliebige Netzmaske anwenden, die einen großen Umfang hat und Sicherheitsprobleme verursachen kann.
  4. Klicken Sie auf Hinzufügen.

    Abbildung 1 zeigt die Liste der neu erstellten Netzwerke.

    Abbildung 1: Netzwerkzusammenfassung Networks Summary

Website-Variablen

Sie können die Standortvariablen für jeden Standort einzeln konfigurieren. Standortvariablen ermöglichen es Ihnen, dieselbe Netzwerkdefinition mit unterschiedlichen Werten für jeden Standort zu verwenden, ohne mehrere Netzwerke definieren zu müssen. Variablen haben das Format {{variable_name}}. Die Definition von Netzwerken mit Variablen ist bei der Konfiguration von WAN-Edge-Vorlagen gängige Praxis.

Trinkgeld: Achten Sie bei der Arbeit auf Konfigurationsbildschirmen auf die VAR-Anzeigen. Felder mit diesem Kennzeichen lassen Standortvariablen zu.

In den Feldern mit dieser Beschriftung werden auch die übereinstimmenden Variablen (falls konfiguriert) angezeigt, wenn Sie mit der Eingabe einer bestimmten Variablen beginnen. In diesem Feld werden Variablen von allen Standorten innerhalb der Organisation aufgelistet.

Die organisationsweite Liste der Variablen kann mit GET /api/v1/orgs/:org_id/vars/search?var=* angezeigt werden. Diese Liste wird aufgefüllt, wenn Variablen unter Standorteinstellungen hinzugefügt werden.

Abbildung 2 zeigt zwei Beispiele für die Konfiguration eines Netzwerks mit absoluten Werten und Standortvariablen.

Abbildung 2: Konfigurieren von Netzwerken mit absoluten Werten und Variablen Configuring Networks with Absolute Values and Variables

Sie können die Standortvariablen im Bereich Organisation > Administrator> Standortkonfiguration definieren.

Abbildung 3: Einstellungsbereich für Standortvariablen Site Variables Settings Pane

Bei diesem Task werden Variablen für die VLAN-ID und die IP-Adresse des Subnetzes verwendet. Standortvariablen, die die ersten drei Oktette enthalten, ersetzen die Werte der IP-Adressvariablen des Subnetzes, wie in Abbildung 4 dargestellt.

Abbildung 4: Standortvariablen, die auf der Seite Site Variables Displayed on the Site Configuration Page "Standortkonfiguration" angezeigt werden

Zugehörige Dokumentation