Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Full-Stack-Design für Firewalls der SRX-Serie

Verwenden Sie diesen Designleitfaden, um Ihre WAN-Edge-Geräte der Juniper SD-WAN-SRX-Serie zusammen mit den Juniper Switches der EX-Serie einzurichten, die in Wired Assurance bereitgestellt werden.

Das Full-Stack-Designbeispiel für SD-WAN Driven by Mist AI™ von Juniper® ist eine Fortsetzung der Bereitstellung von Mist WAN Assurance für Firewalls der SRX-Serie. Weitere Informationen finden Sie unter Übersicht über die Konfiguration von SRX und WAN Assurance.

Überblick

Mit diesem Konfigurationsbeispiel erweitern Sie die Netzwerkfunktionen durch die Integration von Mist-APs und Juniper EX-Switches. Dieses Full-Stack-Beispiel zeigt, wie Sie Ihre Juniper SD-WAN WAN-WAN-Geräte der SRX-Serie zusammen mit den Juniper Switches der EX-Serie einrichten, die in Wired Assurance bereitgestellt werden. Dadurch werden alle Ihre Netzwerkgeräte in einem zusammenhängenden Dashboard für Onboarding, Überwachung und Fehlerbehebung zusammengeführt.

Das Beispiel beginnt mit der höchsten Stufe der WAN-Sicherheit und konzentriert sich auf Firewalls der SRX-Serie. Wir gehen davon aus, dass Sie die Firewall der SRX-Serie bereits in einem Hub-and-Spoke-Netzwerk bereitgestellt haben. Die Firewall der SRX-Serie dient als WAN-Edge-Gerät und Grundlage für den Ausbau Ihres gesamten Netzwerks.

Für dieses Full-Stack-Design benötigen Sie mindestens einen Juniper EX-Switch für das Onboarding in die Mist Cloud. Wenn Sie erweiterte Tests mit virtuellen Schaltungen durchführen möchten, sind zwei EX-Switches ideal. Zusätzlich können Sie einen Mist AP in das Setup integrieren, um die drahtlosen Funktionen des Netzwerks zu verbessern. Die Integration von APs und Switches in Ihr LAN-Netzwerk für die Verwaltung durch Mist ermöglicht die mühelose Überwachung und Steuerung von WAN-Edge-Geräten, Switches und APs über das Dashboard des Juniper Mist-Portals.

Abbildung 1 zeigt die in diesem Beispiel verwendete Full-Stack-Topologie von Juniper WAN Assurance.

Abbildung 1: Validiertes Juniper® Mist Design – Mist WAN Assurance mit Wireless und Wired Assurance Juniper® Mist Validated Design - Mist WAN Assurance with Wireless and Wired Assurance

Anforderungen

Um zu beginnen, müssen Sie einige der Schnittstellen ändern, die auf der Firewall der SRX-Serie für die WAN-Bereitstellung konfiguriert sind. In diesem Beispiel ändern wir Schnittstellen mithilfe von WAN-Edge-Vorlagen. Details zu WAN-Edge-Vorlagen finden Sie hier: Konfigurieren von WAN-Edge-Vorlagen für Firewalls der SRX-Serie.

Darüber hinaus wird in diesem Beispiel Folgendes verwendet:

  • Desktop3 VM (VLAN1077) – Fungiert als Viewer für den Raspberry Pi, den drahtlosen Client. Alternativ können Sie auch ein lokales Notizbuch verwenden.
  • Desktop1 VM (VLAN1099) – Verbunden mit der Schnittstelle ge-0/0/0 des neuen Zweigstellen-Switches.

Erstellen einer neuen Spokes-Konfigurationsvorlage

Um schnell und effizient eine neue Spokes-Konfiguration zu erstellen, können Sie die Vorlage für einen vorhandenen Spoke klonen und dann die erforderlichen Änderungen vornehmen. Das macht die Dinge viel einfacher.

  1. Klicken Sie im Juniper Mist-Portal™ auf Organization > WAN- > WAN-Edge-Vorlagen.
    Abbildung 2: Navigieren zur WAN-Edge-Vorlage Navigate to WAN Edge Template
    Anmerkung:

    Sie können eine Vorlage erstellen, indem Sie auch die freigegebene JSON-Datei importieren.
    Eine Liste der vorhandenen Vorlagen, falls vorhanden, wird angezeigt.
    Abbildung 3: Liste der WAN-Edge-Vorlagen List of WAN Edge Templates

    Erstellen Sie eine Spoke-Vorlage, indem Sie eine vorhandene Spoke-Vorlage klonen.

  2. Klicken Sie auf Mehr und wählen Sie Klonen aus.
    Abbildung 4: Auswählen der Option "Klonen" für die Vorlage Selecting Clone Option for Template
  3. Geben Sie den Namen "Spokes-with-Switch" ein und klicken Sie auf "Klonen".
    Abbildung 5: Speichern einer geklonten Vorlage Saving Cloned Template
    Trinkgeld:

    Aktualisieren Sie Ihren Browser nach dem Klonen. Dadurch wird sichergestellt, dass die angezeigten Objekte wirklich aktualisiert werden.

Bearbeiten der LAN-Schnittstelle

  1. Bearbeiten Sie im Abschnitt LAN-Schnittstellenkonfiguration die vorhandene Schnittstelle (LAN1).
    Abbildung 6: LAN-Schnittstellenkonfiguration für Vorlage LAN Interface Configuration on Template
    Ändern Sie den Namen der LAN1-Schnittstelle in SPOKE-LAN1 , und wenden Sie die folgenden Änderungen an:
    Abbildung 7: Ändern der LAN-Schnittstellenkonfiguration Modify LAN Interface Configuration
    • Schnittstelle: ge-0/0/5, ge-0/0/6.
    • Port Aggregation: Aktivieren.
    • Erzwingen nach oben aktivieren – Aktivieren. Wir empfehlen diese Konfiguration, wenn der Switch über keine dedizierte OOB-Schnittstelle in der LAG verfügt und eine verwaltete In-Band-Schnittstelle verwendet. Diese Einstellung verhindert, dass der Switch die Verbindung zur Juniper Mist Cloud verliert
    • AE-Index – 0 (da kein LAG-Port aktiviert ist).
  2. Fahren Sie mit der Konfiguration der SPOKE-LAN1-Schnittstelle fort:
    Abbildung 8: Ändern der LAN-Schnittstellenkonfiguration Modify LAN Interface Configuration

    • Untagged-VLAN: Ja. Mit dieser Einstellung kann der VLAN-Zugriff/nativ DHCP-Leases an den Switch aushändigen. Andernfalls legen Sie die Websitevariable {{SPOKE_LAN1_VLAN}} auf "0" fest, um die gleichen Ergebnisse zu erzielen.

    • DHCP – Server

    • IP-Start: {{SPOKE_LAN1_PFX}}.100

    • IP-Ende—{{SPOKE_LAN1_PFX}}.199

    • Gateway – {{SPOKE_LAN1_PFX}}.1

    • DNS-Server: 8.8.8.8, 9.9.9.9

  3. Abbildung 9zeigt die von Ihnen geänderte LAN-Schnittstelle.
    Abbildung 9: Zusammenfassung der LAN-Schnittstelle Summary of LAN Interface
  4. Klicken Sie auf Speichern, um Ihre Änderungen zu speichern.
    Abbildung 10: Speichern der WAN-Edge-Vorlage Saving WAN Edge Template

Zuweisen der neuen Vorlage zu einem Standort

  1. Scrollen Sie zum oberen Rand der Seite "WAN-Edge-Vorlagen" und klicken Sie im Bereich "Spokes" auf "Assign to Sites".
    Abbildung 11: Zuweisen von Spoke-Vorlagen zu Standorten Assign Spoke Templates to Sites
  2. Wählen Sie im Bereich Vorlage zu Websites zuweisen die Vorlage spoke1-site template aus, und klicken Sie auf Übernehmen.
    Abbildung 12: Auswählen von Standorten zum Zuweisen von Spoke-Vorlagen Select Sites to Assign Spoke Templates
  3. Überprüfen Sie die Vorlageneinstellungen, wie in Abbildung 13 dargestellt.
    Abbildung 13: Details der WAN-Edge-Vorlage Details of WAN Edge Template

Fügen Sie Ihren Switch zur Topologie hinzu

Jetzt ist es an der Zeit, Ihren Switch einzubinden und Ihrer Infrastruktur hinzuzufügen. Weitere Informationen zum Onboarding Ihres Switches finden Sie in der Produktdokumentation für Ihren Switch in der Juniper TechLibrary.

Weitere Informationen zur Inbetriebnahme eines neuen Cloud-fähigen EX-Switches im Juniper Mist AI-Cloud-Portal finden Sie unter Cloud-fähige EX- und QFX-Switches mit Mist.

So weisen Sie einem Standort einen Switch zu:

  1. Klicken Sie im Juniper Mist-Portal auf Organization > Admin > Inventory.
    Abbildung 14: Navigieren zum Inventar Navigating to Inventory
  2. Vergewissern Sie sich, dass die Bestandsansicht auf der Seite "Inventar" auf "Organisation" (Gesamte Organisation) eingestellt ist, und aktualisieren Sie Ihren Browser, bis alle Ihre Geräte angezeigt werden.
    Abbildung 15: Switch der EX-Serie im Inventar EX Series Switch in Inventory
  3. Wählen Sie den neuen Switch aus und klicken Sie auf "Assign to Site".
  4. Gehen Sie auf der Seite "Assign Switches" wie folgt vor:
    • Wählen Sie die spoke1-Site aus.
    • Deaktivieren Sie die Option Konfiguration mit Mist verwalten . Sie können diese Option bei Bedarf zu einem späteren Zeitpunkt aktivieren.
    Abbildung 16: Auswählen eines Standorts für die Zuweisung eines Switches Selecting Site for Assigning Switch
  5. Klicken Sie auf Assign to Site.
  6. Bestätigen Sie die Änderungen im Inventar, sobald Sie das Gerät dem Standort zugewiesen haben.

    Sie können spoke1-site unter "Neue Site" sehen.

    Abbildung 17: Zugewiesener Switch zu Standortdetails Assigned Switch to Site Details
  7. Navigieren Sie im Juniper Mist-Portal zu Switches, und wählen Sie spoke1-site aus.
    Abbildung 18: Auswählen eines zugewiesenen Switches für die Modifikation Selecting Assigned Switch for Modification
    Auf der Seite wird die Liste der Switches angezeigt, die dem Standort zugewiesen sind.
  8. Klicken Sie auf den gewünschten Switch, um die Konfigurationsseite des Switches zu öffnen.
  9. Überprüfen Sie den Gerätenamen, scrollen Sie dann nach unten zum Abschnitt "Switch-Konfiguration", und aktivieren Sie "Konfigurationsmanagement aktivieren".
    Abbildung 19: Konfiguration des zugewiesenen Switches Configuration of Assigned Switch
  10. Klicken Sie unter "Port Configuration" (Portkonfiguration) auf "Add Port Range".
    Abbildung 20: Portkonfiguration des zugewiesenen Switches Port Configuration of Assigned Switch
  11. Konfigurieren Sie auf der Seite Neuer Portbereich die folgenden Optionen:

    • Aktivieren Sie die Portaggregation.

    • Legen Sie AE-Index auf 0 fest, um sicherzustellen, dass der AE-Index auf beiden Seiten gleich ist.

    • Legen Sie die Port-IDs auf ge-0/0/1 und ge-0/0/2 fest (zwei Ports für die LAG).

    • Wählen Sie das vorhandene Konfigurationsprofil als Uplink aus.

    Abbildung 21: Portkonfiguration des zugewiesenen Switches Port Configuration of Assigned Switch
  12. Abbildung 20 zeigt die Zusammenfassung der Portkonfiguration.
    Abbildung 22: Portkonfiguration des zugewiesenen Switches Port Configuration of Assigned Switch
  13. Speichern Sie Ihre Änderungen.
    Abbildung 23: Änderungen Save Changes speichern
Sie haben Ihrer Mist WAN Assurance-Bereitstellung jetzt einen Juniper Switch hinzugefügt.
Optional können Sie mithilfe der Remote-Shell bestätigen, dass Ihr Switch über die beiden Verbindungen zur Firewall der SRX-Serie verfügt, wie im folgenden Beispiel gezeigt:

Siehe auch