Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

WAN-Edge-Vorlagen für Firewalls der SRX-Serie konfigurieren

Führen Sie die folgenden Schritte aus, um WAN-Edge-Vorlagen zu konfigurieren und den Konfigurationsprozess für Ihre Firewalls der SRX-Serie zu optimieren.

Mit der WAN-Edge-Vorlage in Juniper Mist™ WAN Assurance können Sie allgemeine Spoke-Merkmale definieren, einschließlich WAN-Schnittstellen, Regeln für die Datenverkehrssteuerung und Zugriffsrichtlinien. Anschließend wenden Sie diese Konfigurationen auf die Firewall der SRX-Serie von Juniper Networks® an, die als WAN-Edge-Gerät bereitgestellt wird. Wenn Sie einem Standort ein WAN-Edge-Gerät zuweisen, übernimmt das Gerät automatisch die Konfiguration aus der zugehörigen Vorlage. Dieser automatische Prozess ermöglicht es Ihnen, konsistente und standardisierte Konfigurationen in Ihrer gesamten Netzwerkinfrastruktur zu verwalten und anzuwenden, wodurch der Konfigurationsprozess rationalisiert wird.

Anmerkung:

Die Konfiguration, die auf dem Mist WAN-Edge-Gerät über das Mist-Dashboard vorgenommen wird, überschreibt alle Konfigurationen, die über die Geräte-CLI vorgenommen werden.

Sie können eine oder mehrere Vorlagen für Ihre Spoke-Geräte verwenden.

In dieser Aufgabe erstellen und konfigurieren Sie eine WAN-Edge-Vorlage für ein Spoke-Gerät im Juniper Mist™ Cloud-Portal.

Konfigurieren einer WAN-Edge-Vorlage

So konfigurieren Sie eine WAN-Edge-Vorlage:

  1. Klicken Sie im Juniper Mist-Portal™ auf Organization > WAN - > WAN-Edge-Vorlagen. Eine Liste der vorhandenen Vorlagen, falls vorhanden, wird angezeigt.
  2. Klicken Sie auf die Schaltfläche Vorlage erstellen in der oberen rechten Ecke.
    Anmerkung:

    Sie können auch eine WAN-Edge-Vorlage erstellen, indem Sie eine JavaScript Object Notation (JSON)-Datei mit der Option Profil importieren importieren.
  3. Geben Sie im angezeigten Feld den Namen für die Vorlage ein, klicken Sie auf Typ, wählen Sie Spoke aus, und klicken Sie dann auf Erstellen.
    Abbildung 1: Auswählen des Vorlagentyps Select the Template Type

    Die folgende Abbildung zeigt die GUI-Elemente auf der Konfigurationsseite für WAN-Edge-Vorlagen.

    Abbildung 2: Konfigurationsoptionen WAN Edge Template Configuration Options für WAN-Edge-Vorlagen
  4. Schließen Sie die Konfigurationen gemäß den Angaben in Tabelle 1 ab.
    Tabelle 1: WAN-Edge-Profiloptionen
    Felder Beschreibung
    Name Name des Profils. Geben Sie einen eindeutigen Profilnamen mit bis zu 64 Zeichen ein.
    Art WAN-Edge-Profiltyp. Wählen Sie eine der folgenden Optionen aus:

    • Standalone: Zum Verwalten eines eigenständigen Geräts an Ihrem Standort.

    • Spoke: Zum Verwalten eines Spoke-Geräts, das eine Verbindung zu einem Hub-Gerät in Ihrer Konfiguration herstellt.
    Gilt für Gerät Standort für die Zuordnung der WAN-Edge-Vorlage. Das Dropdown-Menü zeigt eine Liste der WAN-Edge-Geräte, die dem Bestand des aktuellen Standorts hinzugefügt wurden.
    IP-Konfiguration (Out-of-Band) Die Out-of-Band-Verwaltungsdetails zum Verwalten des Geräts. Sie können angeben,
    • IP-Adresse über (DHCP) oder statisch. Wenn Sie "Statisch" auswählen, geben Sie die IP-Adresse, die Subnetzmaske und die Standard-Gatewaydetails ein.
    • VLAN-ID zwischen 1 und 4094.
    Bei einem Hochverfügbarkeitscluster müssen Sie die Details auf beiden Knoten eingeben. Stellen Sie sicher, dass Sie für jeden Knoten eindeutige IP-Adressen verwenden.
    NTP Die IP-Adresse oder der Hostname des NTP-Servers (Network Time Protocol). NTP wird verwendet, um die Uhren des Switches und anderer Hardwaregeräte im Internet zu synchronisieren.
    DNS-Einstellungen IP-Adresse oder Hostnamen von DNS-Servern (Domain Name System). Netzwerkgeräte verwenden die DNS-Namenserver, um Hostnamen in IP-Adressen aufzulösen.
    Sichere Edge-Konnektoren Details zum Secure Edge-Konnektor Juniper Secure Edge führt eine Überprüfung des Datenverkehrs für WAN-Edge-Geräte durch, die über das Juniper Mist Cloud-Portal verwaltet werden.
    FAHL Details zu WAN-Schnittstellen. Diese WAN-Schnittstelle entspricht der WAN-Schnittstelle am Hub. Das heißt, Mist erstellt einen IPsec-VPN-Tunnel zwischen der WAN-Schnittstelle auf dem Hub und der WAN-Schnittstelle auf dem Spoke. Für jede der WAN-Verbindungen können Sie die physische Schnittstelle, den WAN-Typ (Ethernet oder DSL), die IP-Konfiguration und die Overlay-Hub-Endgeräte für die Schnittstellen definieren. Weitere Informationen finden Sie unter Hinzufügen von WAN-Schnittstellen zur Vorlage.
    LAN LAN-Schnittstellen. LAN-Schnittstellen, die das LAN-Segment verbinden. Sie weisen die Netzwerke zu, erstellen VLANs und richten IP-Adressen und DHCP-Optionen (keine, Relay oder Server) ein. Weitere Informationen finden Sie unter Konfigurieren von LAN.
    Verkehrssteuerung Lenkpfade. Definieren Sie verschiedene Pfade, die der Datenverkehr nehmen kann, um sein Ziel zu erreichen. Für jede Richtlinie zur Datenverkehrssteuerung können Sie Pfade für den Datenverkehr sowie die Strategien für die Nutzung dieser Pfade angeben. Weitere Informationen finden Sie unter Konfigurieren von Richtlinien zur Datenverkehrssteuerung.
    Anwendungsrichtlinien Richtlinien zum Erzwingen von Regeln für den Datenverkehr. Definieren von Netzwerk- (Quelle), Anwendungs- (Ziel), Datenverkehrssteuerungsrichtlinien und Richtlinienmaßnahmen. Weitere Informationen finden Sie unter Konfigurieren von Anwendungsrichtlinien.
    Routing Routing-Optionen für das Routing des Datenverkehrs zwischen dem Hub und den Spokes. Sie können das Border Gateway Protocol (BGP)-Underlay-Routing aktivieren, bei dem Routen dynamisch gelernt werden, oder statisches Routing verwenden, um Routen manuell zu definieren.
    CLI-Konfiguration CLI-Option. Für alle zusätzlichen Einstellungen, die nicht in der GUI der Vorlage verfügbar sind, können Sie diese dennoch mit CLI set-Befehlen konfigurieren.
  5. Klicken Sie auf Speichern.

Hinzufügen von WAN-Schnittstellen zur Vorlage

Die WAN-Schnittstelle auf dem Spoke entspricht der WAN-Schnittstelle auf dem Hub. Das heißt, Mist erstellt einen IPsec-VPN-Tunnel zwischen der WAN-Schnittstelle auf dem Hub und der WAN-Schnittstelle auf dem Spoke.

Fügen Sie in dieser Aufgabe der WAN-Edge-Vorlage zwei WAN-Schnittstellen hinzu. Sie können Schnittstellen auch auf der Gerätedetailseite hinzufügen (Klicken Sie im Juniper Mist-Portal auf WAN-Edges> WAN-Edges)

So fügen Sie der Vorlage WAN-Schnittstellen hinzu:

  1. Scrollen Sie nach unten zum Abschnitt WAN und klicken Sie auf WAN hinzufügen, um den Bereich WAN-Konfiguration hinzufügen zu öffnen.
  2. Trinkgeld: Achten Sie bei der Arbeit auf Konfigurationsbildschirmen auf die VAR-Anzeigen. Felder mit diesem Kennzeichen lassen Standortvariablen zu.

    In den Feldern mit dieser Beschriftung werden auch die übereinstimmenden Variablen (falls konfiguriert) angezeigt, wenn Sie mit der Eingabe einer bestimmten Variablen beginnen. In diesem Feld werden Variablen von allen Standorten innerhalb der Organisation aufgelistet.

    Die organisationsweite Liste der Variablen kann mit GET /api/v1/orgs/:org_id/vars/search?var=* angezeigt werden. Diese Liste wird aufgefüllt, wenn Variablen unter Standorteinstellungen hinzugefügt werden.

     Schließen Sie die Konfiguration gemäß den Angaben in Tabelle 2 ab.
    Tabelle 2: Konfigurationsoptionen für WAN-Schnittstellen
    Felder Beschreibung Beispielkonfiguration (WAN-Schnittstelle 1) Beispielkonfiguration (WAN-Schnittstelle 2)
    Name (eine Bezeichnung und keine Technologie) Geben Sie einen Namen für die Schnittstelle ein. Sie können auch eine Variable verwenden. INET MPLS
    Beschreibung Geben Sie die Beschreibung ein. Sie können auch Variablen für die Beschreibung verwenden. INET-Schnittstelle MPLS-Schnittstelle
    WAN-Typ Wählen Sie einen der folgenden Typen aus:
    • Ethernet
    • DSL
    • LTE
    		 Ethernet Ethernet
    Schnittstelle Rufen Sie die Schnittstelle auf. Sie können hier eine Variable verwenden. Sie können auch eine der folgenden Optionen auswählen: GE-0/0/0 GE-0/0/3
    VLAN-ID Geben Sie die VLAN-ID ein. Sie können hier eine Variable verwenden. - -
    IP-Konfiguration Wählen Sie den IP-Konfigurationstyp aus:
    • DHCP
    • Statisch
    • PPPoE
    		 DHCP Statisch

      • IP-Adresse={{WAN1_PFX}}.2

      • Präfix-Länge=24

      • Gateway={{WAN1_PFX}}.1
    Quellen-NAT Wählen Sie den Typ der Quell-NAT aus:
    • Schnittstelle
    • Tümpel
    • Deaktiviert (falls nicht verwendet)
    		 Schnittstelle Schnittstelle

    Automatische Aushandlung

    Wählen Sie Aktiviert oder Deaktiviert aus.

    		 Ermöglichte Arbeitsunfähig

    MTU

    		 Geben Sie einen MTU-Wert zwischen 256 und 9192 ein. Der Standardwert ist 1500.

    1500

    1500
    Overlay Hub-Endpunkt (automatisch generiert). NA hub1-INET, hub2-INET (BFD-Profil Breitband) hub1-MPLS und hub2-MPLS

    Abbildung 3 zeigt eine Liste der von Ihnen erstellten WAN-Schnittstellen.

    Abbildung 3: Zusammenfassung der WAN Interfaces Summary WAN-Schnittstellen

Konfigurieren zusätzlicher Schnittstellenoptionen

So konfigurieren Sie zusätzliche Einstellungen für WAN-Edge-Ports:

  1. Scrollen Sie nach unten zum Abschnitt WAN, und klicken Sie auf den entsprechenden WAN-Edge.
  2. Wählen Sie im Abschnitt Schnittstelle des Fensters eine der folgenden Optionen aus:

    • Deaktiviert : Deaktivieren Sie administrativ den WAN-Edge-Geräteport für die angegebene Schnittstelle.

      Es gibt viele Gründe, warum es notwendig sein kann, einen WAN-Edge-Port zu deaktivieren. In Debugszenarien kann z. B. das Deaktivieren und anschließende erneute Aktivieren eines Ports das Zurücksetzen von Prozessen auslösen, wodurch Probleme behoben werden können.

      Möglicherweise möchten Sie auch einen Port deaktivieren, wenn Sie eine Verbindung herstellen, aber noch nicht bereit sind, die Verbindung in Betrieb zu nehmen, oder wenn Sie ein bösartiges oder problematisches Gerät identifiziert haben, können Sie den Port deaktivieren, um das Gerät schnell zu deaktivieren, bis das Gerät entfernt oder repariert werden kann.

      Diese Option ist Teil der Schnittstellenkonfiguration. Wenn Sie diese Option verwenden, um eine aggregierte Ethernet-Schnittstelle (AE) oder eine redundante Ethernet-Schnittstelle (reth) zu deaktivieren, werden alle Mitgliedsverbindungen deaktiviert

    • Portaggregation: Zur Gruppierung von Ethernet-Schnittstellen zu einer Single-Link-Layer-Schnittstelle. Sie können dies für die LACP-Konfiguration (Link Aggregation Control Protocol) verwenden.

      • Disable LACP: Deaktiviert die LACP-Schnittstelle.

      • Force Up aktivieren: Wählen Sie diese Option vor dem Onboarding eines WAN-Edge-Geräts über die LACP-Schnittstelle (Link Aggregation Control Protocol). Wenn diese Option aktiviert ist, zwingt Enable Up (Aufzwingen erzwingen ) die erste Ethernet-Schnittstelle im Cluster auf dem Peer in den Up-Zustand , sodass der Prozess der vollständig automatisierte Bereitstellung (ZTP) die Konfigurationsdateien abrufen kann, die für den Abschluss des Onboardings erforderlich sind.

    • Redundant – Redundanz aktivieren.
    • Warnungstyp "Up/Down-Port" aktivieren: Der Benutzer kann Warnmeldungen erhalten, wenn der Port von "Aufwärts" zu "Abwärts" oder umgekehrt wechselt.
  3. Klicken Sie unten im Fenster auf Speichern, um die Änderungen zu speichern.

LTE-Schnittstelle konfigurieren

Juniper Mist SD-WAN ermöglicht Unternehmen die nahtlose Integration von LTE-Konnektivität. LTE-Konnektivität bietet einen alternativen Pfad für Multipath-Routing. Entweder als primärer Pfad an Standorten, die keinen Zugriff auf Leitungen haben, oder als Pfad der letzten Rettung für den Fall, dass der primäre Kreis ausgefallen ist.

Ein Beispiel: In einem Einzelhandelsgeschäft mit einer primären MPLS-Verbindung für geschäftskritische Anwendungen. Juniper Mist SD-WAN kann eine LTE-Verbindung als Backup hinzufügen. Wenn Probleme bei der MPLS-Verbindung auftreten, schaltet Juniper Mist den Datenverkehr dynamisch auf die LTE-Verbindung um. Dies gewährleistet eine kontinuierliche Konnektivität und minimiert Unterbrechungen.

Bei Firewalls der SRX-Serie bietet das LTE Mini-Physical Interface Module (Mini-PIM) drahtlose WAN-Unterstützung auf den Services Gateways der SRX300-Serie und SRX550 mit hohem Speicherspeicher. Das Mini-PIM enthält ein integriertes Modem und funktioniert über 3G- und 4G-Netzwerke. Das Mini-PIM kann in jedem der Mini-PIM-Steckplätze auf den Geräten installiert werden. Weitere Informationen finden Sie unter https://www.juniper.net/documentation/us/en/hardware/lte-mpim-install/topics/task/lte-mpim-hardware-intalling.html für die Installation von LTE Mini-PIM auf einer SRX-Serie-Firewall.

Um eine LTE-Verbindung für Juniper Mist SD-WAN zu nutzen, müssen Sie eine LTE-Schnittstelle auf Ihren Session Smart Routern und SRX-Serie Firewalls einrichten und das Subscriber Identity Module (SIM) in die LTE-Karte einsetzen.

So fügen Sie eine LTE-Schnittstelle als WAN-Verbindung hinzu:

  1. Scrollen Sie nach unten zum Abschnitt WAN und klicken Sie auf WAN hinzufügen, um den Bereich WAN-Konfiguration hinzufügen zu öffnen.
  2. Geben Sie die Details für die Schnittstellenkonfiguration ein.
    Tabelle 3: LTE-Schnittstellenkonfiguration

    Felder

    Werte

    Name

    Name der LTE-Schnittstelle

    Beschreibung

    Beschreibung der Schnittstelle.

    WAN-Typ

    		 LTE
    Schnittstelle cl-1/0/0. Verwenden Sie die Schnittstelle cl-1/0/0 , wenn das LTE-Mini-PIM-Modul in Steckplatz 1 eingesteckt ist.

    LTE APN

    Geben Sie den Namen des Access Point (APN) des Gateway-Routers ein. Der Name kann alphanumerische Zeichen und Sonderzeichen enthalten. (Optional für Firewalls der SRX-Serie und obligatorisch für Session Smart-Router)

    LTE-Authentifizierung

    Wählen Sie die Authentifizierungsmethode für die APN-Konfiguration aus:

    • PAP: Wählen Sie diese Option aus, um PAP (Password Authentication Protocol) als Authentifizierungsmethode zu verwenden. Geben Sie Benutzername und Kennwort ein.

    • CHAP: Wählen Sie diese Option aus, um die CHAP-Authentifizierung (Challenge Handshake Authentication Protocol) als Authentifizierungsmethode zu verwenden. Geben Sie Benutzername und Kennwort ein.

    • Keine (Standard): Wählen Sie diese Option aus, wenn Sie keine Authentifizierungsmethode verwenden möchten.

    Quellen-NAT

    Wählen Sie Quell-NAT-Optionen aus:

    • Schnittstelle: NAT unter Verwendung der Quellschnittstelle.
    • Pool: NAT mit definiertem IP-Adresspool.
    • Deaktiviert: Deaktiviert die Quell-NAT
    Traffic Shaping

    Wählen Sie Aktiviert oder Deaktiviert aus.

    (Nur für Session Smart-Router erforderlich)

    Automatische Aushandlung

    Wählen Sie Aktiviert oder Deaktiviert aus.
    MTU Geben Sie einen MTU-Wert zwischen 256 und 9192 ein. Der Standardwert ist 1500.
  3. Klicken Sie auf Speichern.
Anmerkung:

Wenn Sie bei Firewalls der SRX-Serie eine WAN-Edge-Vorlage mit der gerätespezifischen Option "WAN-Edge-Vorlagen" erstellen, ist die LTE-Schnittstellenkonfiguration standardmäßig in der Vorlage enthalten.

Die Vorlage bietet gerätespezifische, vorkonfigurierte WAN-Schnittstellen, LAN-Schnittstellen, eine Richtlinie zur Datenverkehrssteuerung und eine Anwendungsrichtlinie. Alles, was Sie tun müssen, ist, die Vorlage zu benennen und den Gerätetyp auszuwählen.

Abbildung 4zeigt ein Beispiel der SRX320-Vorlage, die die LTE-Standardkonfiguration im WAN-Abschnitt der Vorlage enthält.
Abbildung 4: Beispiel für WAN Edge Template Sample eine WAN-Edge-Vorlage

LAN konfigurieren

Die LAN-Schnittstellenkonfiguration identifiziert Ihre Anforderungsquelle anhand des Namens des Netzwerks, das Sie in der LAN-Konfiguration angeben.

Der Abschnitt "LAN-Konfiguration" enthält die Komponenten für die IP-Konfiguration, die DHCP-Konfiguration, die benutzerdefinierte VR und die Schnittstellenkonfiguration. Der Abschnitt "LAN-Konfiguration" bietet mehr Flexibilität, da Sie jede Konfigurationskomponente (z. B. IP-Konfiguration) separat überschreiben können, ohne andere Komponenten zu berühren.

Der Abschnitt "LAN-Konfiguration" enthält auch einen Filter, mit dem Sie einfach nach Konfigurationen pro Port oder Netzwerk suchen können.

So konfigurieren Sie LAN:

  1. Scrollen Sie nach unten zum LAN-Bereich.
    Abbildung 5: Hinzufügen von LAN-Schnittstellen zur Vorlage Add LAN Interfaces to the Template
  2. Konfigurieren Sie die folgenden Einstellungen im Abschnitt LAN.

    • IP-Konfiguration: Klicken Sie auf der Kachel IP CONFIG auf IP-Konfiguration hinzufügen , und konfigurieren Sie die folgenden Parameter:

      • Netzwerk: Wählen Sie ein verfügbares Netzwerk aus der Dropdown-Liste aus.
      • IP-Adresse: IPv4-Adresse und Präfixlänge für die Schnittstelle.
      • Präfixlänge – Präfixlänge für die Schnittstelle.
      • Redirect Gateway: IP-Adresse des Redirect Gateways nur für Session Smart Router.

    • DHCP-Konfiguration: Wählen Sie die Option Aktiviert aus, um den DHCP-Dienst für die Zuweisung von IP-Adressen zur LAN-Schnittstelle zu verwenden. Um eine DHCP-Konfiguration zu definieren, klicken Sie auf DHCP-Konfiguration hinzufügen , und geben Sie die Details wie unten beschrieben an:

      • Netzwerk: Wählen Sie das Netzwerk aus der Liste der verfügbaren Netzwerke aus.
      • DHCP-Typ: Wählen Sie DHCP-Server oder DHCP-Relay aus. Wenn Sie DHCP-Server ausgewählt haben, geben Sie die folgenden Optionen ein:
        • IP-Start: Geben Sie die Anfangs-IP-Adresse des gewünschten IP-Adressbereichs ein.
        • IP-Ende: Geben Sie die End-IP-Adresse ein.
        • Gateway: Geben Sie die IP-Adresse des Netzwerk-Gateways ein.

        • Maximale Lease-Zeit: Geben Sie eine maximale Lease-Zeit für die DHCP-Adressen an. Die unterstützte DHCP-Leasedauer reicht von 3600 Sekunden (1 Stunde) bis 604800 Sekunden (1 Woche).

        • DNS-Server: Geben Sie die IP-Adresse des DNS-Servers (Domain Name System) ein.
        • Serveroptionen: Fügen Sie die folgenden Optionen hinzu:
          • Code: Geben Sie den DHCP-Optionscode ein, mit dem Sie den Server konfigurieren möchten. Das Feld Typ wird mit dem zugehörigen Wert gefüllt. Beispiel: Wenn Sie Option 15 (Domänenname) auswählen, wird im Feld Typ FQDN angezeigt. Sie müssen den Wert eingeben, der dem Typ zugeordnet ist.

        • Statische Reservierungen: Verwenden Sie diese Option, wenn Sie eine DHCP-Adresse statisch reservieren möchten. Bei der statischen DHCP-IP-Adressreservierung wird eine Client-MAC-Adresse an eine statische IP-Adresse aus dem DHCP-Adresspool gebunden. Folgende Optionen stehen zur Verfügung:

          • Name: Ein Name, der die Konfiguration identifiziert.

          • MAC-Adresse: Die MAC-Adresse, die in der Reservierung verwendet werden soll.

          • IP-Adresse: Die IP-Adresse, die reserviert werden soll.

    • Benutzerdefinierte VR-Konfiguration: Um eine benutzerdefinierte VR zu konfigurieren, klicken Sie auf Benutzerdefinierte VR hinzufügen und konfigurieren Sie die folgenden Parameter:

      • Netzwerk: Wählen Sie ein verfügbares Netzwerk aus der Dropdown-Liste aus.
      • Name: Geben Sie den Namen für die Routing-Instanz ein.

    • LAN-Schnittstellenkonfiguration: Klicken Sie auf Add LAN (LAN hinzufügen ), und schließen Sie die Konfiguration wie unten beschrieben ab:

    Trinkgeld: Achten Sie bei der Arbeit auf Konfigurationsbildschirmen auf die VAR-Anzeigen. Felder mit diesem Kennzeichen lassen Standortvariablen zu.

    In den Feldern mit dieser Beschriftung werden auch die übereinstimmenden Variablen (falls konfiguriert) angezeigt, wenn Sie mit der Eingabe einer bestimmten Variablen beginnen. In diesem Feld werden Variablen von allen Standorten innerhalb der Organisation aufgelistet.

    Die organisationsweite Liste der Variablen kann mit GET /api/v1/orgs/:org_id/vars/search?var=* angezeigt werden. Diese Liste wird aufgefüllt, wenn Variablen unter Standorteinstellungen hinzugefügt werden.

Konfigurieren zusätzlicher Schnittstellenoptionen für LAN

So konfigurieren Sie zusätzliche Schnittstellenoptionen:

  1. Scrollen Sie nach unten zum Abschnitt LAN, und klicken Sie auf den entsprechenden WAN-Edge.
  2. Wählen Sie im Abschnitt Schnittstelle des Fensters eine der folgenden Optionen aus:
    • Deaktiviert : Deaktivieren Sie den LAN-Port administrativ.
    • Portaggregation: Gruppieren Sie Ethernet-Schnittstellen zu einer Single-Link-Layer-Schnittstelle. Sie können dies für die LACP-Konfiguration (Link Aggregation Control Protocol) verwenden.

      • Disable LACP: Deaktiviert die LACP-Schnittstelle.

      • Erzwingen aktivieren: Wählen Sie diese Option vor dem Onboarding eines Geräts aus, das über das Link Aggregation Control Protocol (LACP) mit dem LAN-Port verbunden ist. Wenn Sie beispielsweise einen neuen Switch in die Mist Cloud integrieren, wird der Switch noch nicht für LACP bereitgestellt. Durch die Einstellung " Enable Force Up " wird die erste Ethernet-Schnittstelle des LACP auf dem WAN-Edge-Gerät in den Up-Status versetzt, wodurch der Switch wiederum über vollständig automatisierte Bereitstellung (ZTP) eine Verbindung zur Mist-Cloud herstellen kann, wo er die für den Abschluss des Onboardings erforderlichen Konfigurationsdateien abruft.

    • Redundant – Redundanz aktivieren.
    • Warnungstyp "Up/Down-Port" aktivieren: Der Benutzer kann Warnmeldungen erhalten, wenn der Port von "Aufwärts" zu "Abwärts" oder umgekehrt wechselt.
  3. Klicken Sie unten im Fenster auf Speichern, um die Änderungen zu speichern.

Konfiguration von LACP auf redundanten Ethernet-Schnittstellen

Link Aggregation Control Protocol (LACP) ist ein IEEE-Standardprotokoll, das definiert, wie eine Gruppe von Schnittstellen funktioniert. Mit LACP senden Geräte LACP-Dateneinheiten aneinander, um eine Verbindung herzustellen. Die Geräte versuchen nicht, eine Verbindung herzustellen, wenn sie dazu nicht in der Lage sind, wodurch Probleme während des Einrichtungsprozesses der Link-Aggregation verhindert werden, z. B. falsch konfigurierte LAG-Einstellungen (Link Aggregation Group). Sie können LACP auf den redundanten Ethernet (Reth)-Schnittstellen Ihrer Firewalls der SRX-Serie konfigurieren.

So konfigurieren Sie LACP auf redundanten Ethernet-Schnittstellen:

  1. Wählen Sie im linken Menü des Juniper Mist Portals die Option Organisations- > WAN-Edge-Vorlagen aus.
  2. Wählen Sie die WAN-Edge-Vorlage mit den redundanten Ethernet-Schnittstellen aus, für die Sie LACP konfigurieren möchten.
  3. Scrollen Sie nach unten zum LAN-Bereich und klicken Sie auf LAN hinzufügen, um den Bereich LAN-Konfiguration hinzufügen zu öffnen, oder klicken Sie auf ein vorhandenes LAN, um den Bereich LAN-Konfiguration bearbeiten zu öffnen.
  4. Konfigurieren Sie die folgenden Felder:
    Tabelle 4: Beispielkonfiguration von LACP auf redundanten Ethernet-Schnittstellen
    Felder LAN-Schnittstellenkonfiguration
    Schnittstelle Listen Sie die redundanten Schnittstellen durch ein Komma getrennt auf.
    Port-Aggregation Aktivieren Sie dieses Kontrollkästchen, um LACP auf den Reth-Schnittstellen zu aktivieren.
    Erzwingen nach oben aktivieren Wenn Sie dieses Kontrollkästchen aktivieren, wird der Status der Schnittstelle auf "aktiv" gesetzt, wenn der Peer über eine begrenzte LACP-Kapazität verfügt.

    Anwendungsfall: Wenn ein Gerät, das an diesen Aggregate Ethernet (AE)-Schnittstellenport angeschlossen ist, zum ersten Mal Zero-Touch Provisioning (ZTP) verwendet, ist am anderen Ende kein LACP konfiguriert.

    Anmerkung:

    Wenn Sie diese Option auswählen, wird Force Up nur auf einer der Schnittstellen im Paket aktiviert.
    Redundant (BETA) Aktivieren Sie dieses Kontrollkästchen, um Redundanz zu aktivieren. Die in der LAN-Konfiguration erwähnten physikalischen Schnittstellen werden in einer Redundanzgruppe und unter einer reth-Schnittstelle (redundantes Eltern) konfiguriert.
    Nur redundanter Index (SRX) Dies ist der Index für die reth-Schnittstelle. Ein Index von 4 würde z. B. die redundante Schnittstelle reth4 konfigurieren.
    Primärer Knoten Dies gibt an, welcher Knoten der primäre Knoten in einer Redundanzgruppe ist, wobei einer der Knoten primär und der andere sekundär ist, sodass ein Knoten im Falle eines Schnittstellenfailovers für den anderen Knoten übernehmen kann.

    Warnungstyp "Up/Down-Port" aktivieren

    Aktivieren Sie diesen Warnungstyp, damit der Benutzer Warnungen erhalten kann, wenn der Port von oben nach unten oder umgekehrt wechselt.

    Dazu muss der Benutzer unter "Monitor > Alerts > Alerts Configuration" die Option "Critical WAN Edge Port Up/Down" aktivieren.
  5. Klicken Sie am unteren Rand des Fensters auf Hinzufügen oder Speichern, um die Konfiguration zu speichern.

Konfigurieren von Richtlinien für die Datenverkehrssteuerung

Genau wie bei Hubprofilen definieren Sie bei der Datenverkehrssteuerung in einem Juniper Mist Netzwerk die verschiedenen Pfade, die der Anwendungsdatenverkehr nehmen kann, um das Netzwerk zu durchqueren. Die Pfade, die Sie innerhalb der Datenverkehrssteuerung konfigurieren, bestimmen auch die Zielzone.

So konfigurieren Sie Richtlinien für die Datenverkehrssteuerung:

  1. Scrollen Sie im Juniper Mist-Portal nach unten zum Abschnitt Traffic Controlling, und klicken Sie auf Traffic Steering hinzufügen, um den Konfigurationsbereich Traffic Steering anzuzeigen.
  2. Schließen Sie die Konfiguration gemäß den Angaben in Tabelle 5 ab.
    Tabelle 5: Konfiguration der Traffic-Steuerungsrichtlinie
    Felder Traffic-Steering Policy 1 Traffic-Steering Policy 2
    Name SPEICHEN-LANs Overlay
    Strategie Angeordnet ECMP
    PFADE (Für Pfadtypen können Sie die zuvor erstellten LAN- und WAN-Netzwerke als Endpunkte auswählen.)

    • Typ: LAN

    • Netzwerk—SPOKE-LAN1

    • Typ – WAN

    • Netzwerk

      • hub1-INET

      • hub2-INET

      • hub1-MPLS

      • hub2-MPLS

    Abbildung 6 zeigt die Liste der von Ihnen erstellten Richtlinien zur Datenverkehrssteuerung.

    Abbildung 6: Zusammenfassung der Traffic-Steering Policies Summary Richtlinien zur Datenverkehrssteuerung

Konfigurieren von Anwendungsrichtlinien

In einem Mist Netzwerk definieren Sie mithilfe von Anwendungsrichtlinien, welches Netzwerk und welche Benutzer auf welche Anwendungen zugreifen können und welche Richtlinien für die Datenverkehrssteuerung. Die Netzwerk-/Benutzereinstellungen bestimmen die Quellzone. Die Einstellungen für die Anwendungs- + Verkehrssteuerung bestimmen die Zielzone. Darüber hinaus können Sie die Aktion "Zulassen" oder "Verweigern" zuweisen. Mist wertet Anwendungsrichtlinien in der Reihenfolge aus, in der Sie sie auflisten, und wendet sie an.

Betrachten Sie die Anforderungen an den Datenverkehrsfluss in Abbildung 7. Die Abbildung zeigt ein grundlegendes anfängliches Datenverkehrsmodell für eine Unternehmens-VPN-Einrichtung (drittes Spoke-Gerät und zweites Hub-Gerät werden nicht angezeigt).

Abbildung 7: Datenverkehrsfluss und -verteilung Traffic Flow and Distribution

Um die oben genannten Anforderungen zu erfüllen, müssen Sie die folgenden Anwendungsrichtlinien erstellen:

  • Richtlinie 1: Lässt Datenverkehr von Spoke-Sites zum Hub zu. In diesem Fall stellt das in Adressgruppen verwendete Zielpräfix die LAN-Schnittstelle zweier Hubs dar.

  • Richtlinie 2: Lässt Spoke-to-Spoke-Datenverkehr durch das Unternehmens-LAN durch ein Overlay zu.

    Anmerkung:

    In der Praxis ist dies möglicherweise nur in teuren MPLS-Netzwerken mit verwalteten IPs möglich. Verwaltete IP-Adressen senden den Datenverkehr direkt an den jeweils anderen Spoke. Diese Art von Datenverkehr fließt normalerweise über ein Hub-Gerät

  • Richtlinie 3: Lässt Datenverkehr sowohl vom Hub als auch von der an den Hub angeschlossenen DMZ zu den Spoke-Geräten zu.

  • Richtlinie 4: Lässt den Datenverkehr über das Internet von Spoke-Geräten zum Hub-Gerät fließen. Von dort bricht der Datenverkehr ins Internet aus. In diesem Fall wendet der Hub eine Quell-NAT auf den Datenverkehr an und leitet ihn an eine WAN-Schnittstelle weiter, wie im Hub-Profil definiert. Da es sich um eine allgemeine Regel handelt, sollten Sie sie nach den spezifischen Regeln platzieren. Weil Mist Anwendungsrichtlinien in der Reihenfolge auswertet, in der sie in der Richtlinienliste platziert werden.

So konfigurieren Sie Anwendungsrichtlinien:

  1. Scrollen Sie im Juniper Mist Portal nach unten zum Abschnitt Anwendungsrichtlinie, und klicken Sie auf Richtlinie hinzufügen, um der Richtlinienliste eine neue Richtlinie hinzuzufügen.
  2. Schließen Sie die Konfiguration gemäß den Angaben in Tabelle 6 ab.
    Steering
    Tabelle 6: Konfiguration der Anwendungsrichtlinien
    S.No. Regelname Netzwerkaktion Destination
    1 Spoke-to-Hub-DMZ SPOKE-LAN1 Bestehen HUB1-LAN1 + HUB2-LAN1 Overlay
    2 Spoke-to-Spoke-via-Hub SPOKE-LAN1 Bestehen SPOKE-LAN1 Overlay
    3 Hub-DMZ-to-Spoke HUB1-LAN1 + HUB2-LAN1 Bestehen SPOKE-LAN1 SPEICHEN-LANs
    4 Internet-via-Hub-CBO SPOKE-LAN1 Bestehen JEGLICHE Overlay
    Anmerkung:

    • Juniper Mist Cloud wertet Anwendungsrichtlinien in der Reihenfolge aus, in der sie aufgelistet sind, und wendet sie an. Sie können eine bestimmte Richtlinie in der Reihenfolge nach oben oder unten verschieben, indem Sie auf die Schaltfläche mit den Auslassungspunkten (...) klicken.

    • Sie müssen Steuerungsrichtlinien für die Verwendung mit Firewalls der SRX-Serie erstellen.

    Abbildung 8 zeigt die Liste der von Ihnen erstellten Anwendungsrichtlinien.
    Abbildung 8: Zusammenfassung der Application Policy Summary Anwendungsrichtlinie
  3. Internet Control Message Protocol (ICMP)-Pings für das Debugging und die Überprüfung der Gerätekonnektivität zulassen.

    Die Standardsicherheitskonfiguration für Firewalls der SRX-Serie lässt keine ICMP-Ping-Anfragen vom LAN-Gerät an die lokale Schnittstelle des WAN-Edge-Routers zu. Es wird empfohlen, die Konnektivität zu testen, bevor das Gerät versucht, eine Verbindung mit dem externen Netzwerk herzustellen. Es wird außerdem empfohlen, ICMP-Ping-Anforderungen für das Debugging und die Überprüfung der Gerätekonnektivität zuzulassen.

    Verwenden Sie auf der Firewall der SRX-Serie die folgende CLI-Konfigurationsanweisung, um Ping-Anfragen an die lokale LAN-Schnittstelle zum Debuggen zuzulassen:

Gerätespezifische WAN-Edge-Vorlagen konfigurieren

Die Gerätekonfiguration wird durch WAN-Edge-Vorlagen simplifiziert, die den Onboarding-Prozess Ihres Geräts verfolgen. Diese WAN-Edge-Vorlagen können für einzigartige Bereitstellungen auf allen Edge-Geräten angepasst werden. Mist AI von Juniper Networks ist einzigartig in der Branche positioniert, da Mist AI WAN-Edge-Vorlagen auf jedes Modell angewendet werden können, unabhängig vom Anbieter. Darüber hinaus können WAN-Edge-Vorlagen verschiedene Modelle unter einer einzigen Vorlage kombinieren, wodurch Ihre Konfigurations- und Bereitstellungsphase optimiert wird.

Informationen zur manuellen Konfiguration Ihrer WAN-Edge-Vorlagen für die Firewalls der SRX-Serie finden Sie unter Konfigurieren einer WAN-Edge-Vorlage.

Gerätespezifische WAN-Edge-Vorlagen

Die Nutzung ausgewählter Hardware von Juniper Networks mit Mist AI SD-WAN bietet einen erheblichen Vorteil. Die Konfiguration vieler Firewalls der SRX-Serie von Juniper Networks® wird simplifiziert, da diese über gerätespezifische Vorlagen verfügen, die automatisch WAN- und LAN-Schnittstellen zuweisen und LAN-Netzwerke für die Konnektivität definieren.

Diese Vorlagen sind für jedes Gerätemodell eindeutig. Nach der Geräteauswahl und der Benennung des WAN-Edge gibt es keine manuelle Eingabe, sondern das vom Benutzer angegebene WAN-Edge-Gerät wird mit den Werten vorausgefüllt. Abbildung 9 zeigt, dass die WAN-Edge-Vorlage der SRX-Serie generiert mehrere Werte, einschließlich Ethernet-Schnittstellen für LAN und WAN mit relevanten DHCP- und IP-Werten.

Abbildung 9: Beispiel für eine WAN-Edge-Vorlage Sample of SRX Series WAN Edge Template der SRX-Serie

Darüber hinaus füllt das Juniper Mist-Portal eine Richtlinie zur Datenverkehrssteuerung auf. Auf diese Weise können Juniper Mist Datenverkehr über unsere WAN-Verbindung an eine beliebige Mist Anwendung mit einem Vierfach-Null-Catch-All-Ziel senden.

Wenn Sie eine WAN-Edge-Vorlage anwenden, können Sie feststellen, dass Anwendungsrichtlinien, Netzwerke und Anwendungen automatisch aktualisiert werden. Abbildung 10 zeigt ein Beispiel für Anwendungsrichtlinien.

Abbildung 10: Anwendungsrichtlinien nach dem Anwenden der WAN-Edge-Vorlage Application Policies After Applying WAN Edge Template

Juniper Mist KI SD-WAN umfasst die folgenden Gerätemodelle mit vorkonfigurierten WAN-Edge-Vorlagen für SRX-Serie Firewalls:

  • SRX300-KARTON
  • SRX320-PoE
  • SRX320-KARTON
  • SRX340-KARTON
  • SRX345-KARTON
  • SRX380-KARTON
  • SRX550M
  • SRX1500
  • SRX1600*
  • SRX4100
  • SRX4200
  • SRX4600
  • SRX2300*
  • SRX4300*

* Deutet auf geplante Juniper Mist KI-WAN-Unterstützung für ein neues Modell im Laufe des Jahres 2024 hin.

Die gerätespezifischen WAN-Edge-Vorlagen bieten eine grundlegende Netzwerkkonfiguration in einem einzigen Schritt und ermöglichen eine wiederverwendbare und konsistente Konfiguration für jeden Session Smart-Router und jedes Firewall-Gerät der SRX-Serie, das Sie bereitstellen. Die Vorlage bietet gerätespezifische, vorkonfigurierte WAN-Schnittstellen, LAN-Schnittstellen, eine Richtlinie zur Datenverkehrssteuerung und eine Anwendungsrichtlinie. Alles, was Sie tun müssen, ist, die Vorlage zu benennen und den Gerätetyp auszuwählen.

So wählen Sie eine gerätespezifische WAN-Edge-Vorlage aus:

  1. Wählen Sie im Juniper Mist-Portal die Option Organization > WAN- > WAN-Edge-Vorlagen aus.
  2. Wählen Sie in der oberen rechten Ecke Vorlage erstellen aus, um eine neue Vorlagenseite zu öffnen.
  3. Geben Sie den Namen für die Vorlage ein.
  4. Klicken Sie auf das Kontrollkästchen Aus Gerätemodell erstellen .
  5. Wählen Sie Ihr Gerätemodell aus dem Dropdown-Feld aus.
    Abbildung 11: Konfigurieren der gerätespezifischen WAN-Edge-Vorlage Configure Device-Specific WAN Edge Template
  6. Klicken Sie auf Erstellen.

Juniper Mist Benutzeroberfläche wird die ausgefüllte Gerätevorlage angezeigt. Sie haben jetzt eine funktionierende WAN-Edge-Vorlage, die Sie auf viele Standorte und Geräte in Ihrem Unternehmen anwenden können.

Dem Standort zuweisen

Nachdem Sie Ihre Vorlage eingerichtet haben, müssen Sie sie speichern und dem Standort zuweisen, an dem Ihr WAN-Edge-Gerät bereitgestellt werden soll.

  1. Klicken Sie oben auf der Vorlagenseite auf die Schaltfläche Assign to Site .
  2. Wählen Sie in der Liste einen Standort aus, auf den die Vorlage angewendet werden soll.
  3. Klicken Sie auf Übernehmen.
  4. Schließlich müssen Sie das Gerät nur noch mit Ihrem Standort verknüpfen, siehe Onboard Firewalls der SRX-Serie für die WAN-Konfiguration.

Siehe auch