AUF DIESER SEITE
Teil 1: Initiale Konfiguration für Internetkonnektivität
Beispielübersicht
Dieses Konfigurationsbeispiel zeigt, wie sie eine kleine bis mittelgroße Zweigstelle mit einem SRX Services Gateway, Switches der EX-Serie und APs von Mist Systems bereitstellen. Das Beispiel verwendet zwei WAN-Verbindungen im Aktiv/Aktiv-Modus mit einer LTE-Backup-Verbindung. Darüber hinaus wird die Juniper Mist Cloud verwendet, um den EX-Switch und Denk-AP von Mist Systems als Teil der kabelgebundenen bzw. drahtlosen Absicherung zu konfigurieren.
Das Beispiel zeigt auch, wie Leistungsüberwachung und richtlinienbasiertes Routing zur Bereitstellung von Application Quality of Experience (AppQoE) verwendet werden. AppQoE priorisiert geschäftskritischen Datenverkehr intelligent, wenn eine oder mehrere Verbindungen ausfallen.
Anforderungen
Sie benötigen die folgende Hardware und Software, um dieses Beispiel zu konfigurieren:
Ein Gerät der SRX300-Serie (SRX320, SRX340, SRX345, SRX380) oder ein Gerät der SRX5000-Serie (SRX550M): Softwareversion: Junos OS Version 19.4R1 oder höher.
Dieses Beispiel erfordert die Installation einer Anwendungsidentifizierungslizenz sowie den Download und die Installation des Anwendungsidentifizierungspakets. Weitere Informationen finden Sie unter Lizenzen für die SRX-Serie . Verwenden Sie die
show system licenseund dieshow services application-identification statusBefehle.Hinweis:Aktualisierungen des Pakets zur Anwendungssignatur von Junos OS werden durch einen separat lizenzierten Abonnementservice autorisiert. Sie müssen den Anwendungsidentifizierungs-Lizenzschlüssel für die Anwendungssignatur auf Ihrem Gerät installieren, um die von Juniper Networks bereitgestellten Updates der Signaturdatenbank herunterzuladen und dann zu installieren. Wenn Ihr Lizenzschlüssel abläuft, können Sie den inhalt des lokal gespeicherten Pakets zur Anwendungssignatur weiterhin verwenden, aber Sie können das Paket nicht aktualisieren.
Ein Ethernet-Switch der EX-Serie (EX2300, EX3400 oder EX4300): Softwareversion: Junos OS 19.4R1 oder höher.
Ein oder mehrere Access Points von MIST Systems (AP12, AP41, AP43, AP61 oder AP32).
Ein LTE-Mini-PIM für das SRX Services Gateway.
Eine SIM-Karte mit einem Abonnement für Datendienste.
Anmeldung für Juniper Mist Cloud. Erstellen Sie Ihr Konto unter: Juniper Mist Cloud .
Implementierungsdetails
In diesem Beispiel konfigurieren wir ein SRX550 zur Bereitstellung von DHCP und SNAT. Das SRX bietet einen sicheren ausgehenden Internetzugang für den EX-Switch, den Ap von Mist Systems und die Client-Geräte vor Ort. Der primäre Link verbindet sich mit einem privaten WAN-Netzwerk (z. B. einem Virtual Private LAN Service (VPLS), der sekundäre Link verwendet Breitband-Internet-over-Ethernet-Zugriff. Die Backup-Verbindung nutzt ein LTE-Mobilfunknetz.
Die primären und sekundären Verbindungen werden im Aktiv/Aktiv-Modus ausgeführt. Das LTE-Modem wird nur verwendet, wenn die primären und sekundären Verbindungen ausfallen.
Der in diesem Beispiel verwendete EX4300-24P-Switch verbindet sich mit dem SRX-Gerät und bietet die kabelgebundene Layer 2-Funktionalität (Bridging) für die Zweigstelle. Ein Virtual Chassis (VC) mehrerer EX2300-, EX3400- und EX4300-Switches unterstützt eine höhere Portdichte für größere Zweigstellen. Für den drahtlosen Zugriff verbinden wir einen Juniper Ap61 Access Point mit dem EX-Switch.
Die Juniper Mist Cloud stellt den Switch der EX-Serie und den Mist Ap schnell für die gewünschte Zweigstellenkonnektivität bereit, sobald die Zweigstelle über den erforderlichen Internetzugang verfügt.
In diesem Beispiel wird eine Reihe von SRX Services Gateways unterstützt. Wir beginnen mit einer modifizierten Werksstandardkonfiguration für ein SRX550. Die Werkseinstellungen können zwischen den SRX-Modellen variieren. Der Leser muss sicherstellen, dass seine SRX-Konfiguration den Besonderheiten seiner Topologie entspricht.
Das Beispiel umfasst drei Hauptabschnitte:
Erstens führen Sie die Erstkonfiguration für SRX und EX durch. Diese Konfiguration bietet Internetzugriff auf die Zweigstellen (mit S-NAT) für DEN EX, den Mist Systems AP und die VLANs der Zweigstelle.
Als nächstes nutzen Sie die Juniper Mist Cloud, um den EX-Switch und mist systems AP zur Bereitstellung der drahtlosen Konnektivität für VLANs in Zweigniederlassungen bereitzustellen.
Im letzten Teil konfigurieren Sie das Services Gateway der SRX-Serie, um ApBR (Advanced Policy Based Routing) zur Unterstützung der Anwendungsqualität (AppQoE) bereitzustellen. Diese Konfiguration ordnet den Geschäftsdatenverkehr der gewünschten Verbindung zu und implementiert SLA-Sondierungen, um zu bestimmen, wann der Datenverkehr zu einer Backup-Verbindung übergeht. Diese Richtlinie aktiviert auch das LTE-Modem, wenn sowohl die primären als auch die sekundären Verbindungen die zugehörigen SLAs nicht erfüllen.
Abbildung 1 zeigt die Topologie der Zweigstellen.
Abbildung 2 zeigt das Verwaltungsnetzwerk für die Zweigniederlassung. In diesem Beispiel verlassen wir uns auf den Konsolenzugriff. Die SRX- und EX-Geräte unterstützen ein Ethernet-basiertes Managementnetzwerk. Der Ap von Mist Systems kann nur über die Cloud verwaltet werden.
Unsere Topologie hat folgendes Hardware-Layout auf dem Gerät der SRX-Serie:
Eine minimale Basiskonfiguration wird auf der SRX geladen. Ein späterer Abschnitt dient als Ausgangsbasis.
Steckplatz 1 des Geräts der SRX-Serie enthält einen LTE-Mini-PIM.
Steckplatz 1 des LTE Mini-PIM ist eine SIM-Karte installiert.
Die Ge-0/0/3-Schnittstelle verbindet sich mit dem primären WAN-Link.
Die GE-0/0/2-Schnittstelle ist an die Breitband-Internetverbindung angeschlossen.
Die Schnittstelle cl-1/0/0 identifiziert den Steckplatz für das Modem-Mini-PIM.
Die Verbindung über das Mobilfunknetz endet auf der Schnittstelle dl0.0.
Die GE-0/0/2-Schnittstelle empfängt ihre IP-Adresse, Netzwerkmaske und das Standard-Gateway über DHCP. Sie konfigurieren eine statische IP-Adresse und eine Standardroute auf der privaten WAN-Schnittstelle (ge-0/0/3), die mit dem WAN-Provider kompatibel ist.
Der Mobilfunkdienstanbieter weist der LTE-Schnittstelle (cl-1/0/0) ip-Adresse, Netzwerkmaske und Standard-Gateway zu.
Auf dem EX-Switch haben wir folgendes Layout:
Eine Factory-Standardkonfiguration wird geladen und mit einem Stammkennwort geändert, um die Commit-Standardkonfiguration zu ermöglichen.
Schnittstelle ge-0/0/1 auf dem EX-Switch verbindet sich mit Schnittstelle ge-0/0/4 der SRX.
Die Access Point ETH0-Schnittstelle von Mist Systems verbindet sich mit ge-0/0/5 des EX-Switch.
Auf dem Ap von Mist Systems haben wir folgendes Layout:
Die Access Point ETH0-Schnittstelle verbindet sich mit ge-0/0/5 des EX-Switch.
Sie müssen den Mist Systems AP über die Juniper Mist Cloud konfigurieren und verwalten. Sie konfigurieren den Mist Systems AP mithilfe der Juniper Mist Cloud im zweiten Teil dieses Beispiels.
Wir konfigurieren zwei Sicherheitszonen auf dem SRX-Gerät, eine vertrauenswürdige Sicherheitszone mit dem Namen trust und eine nicht vertrauenswürdige Sicherheitszone mit dem Namen untrust. Durch Schnittstellen in verschiedenen Sicherheitszonen trennen wir den Datenverkehr und mindern die Risiken für das Unternehmensintranet. MitHilfe von Sicherheitszonen werden klare und vereinfachte Sicherheitsrichtlinien implementiert. Wir hosten Schnittstellen mit Internetzugriff in der untrust Zone. Die private WAN-Verbindung und andere interne Schnittstellen im Unternehmensintranet befinden sich in der trust Zone. Während es fünf VLANs gibt, können nur drei aus der Zweigstelle geroutet werden. Sie konfigurieren auch ein eingeschränktes und Standard-VLAN. Die VLANs lauten wie folgt:
VLAN 1 ist das Standard-VLAN auf dem SRX-Gerät. Diese Einstellung stimmt das SRX mit dem Werksstandard-VLAN auf dem EX-Switch ab.
Die IoT-Geräte verwenden VLAN 20. IoT-Geräte werden häufig für Beleuchtungs- und HLK-Controller verwendet.
Die Überwachungskameras verwenden VLAN 30.
Kabelgebundene Unternehmensgeräte verwenden VLAN 40.
VLAN 99 fungiert als eingeschränktes VLAN für alle nicht verwendeten kabelgebundenen Ports und für Ports, die dynamisches Profiling verwenden. Auf dem SRX-Gerät ist dieses VLAN nicht konfiguriert. Das Ergebnis ist ein nicht-routables VLAN mit nur standortspezifischem Bereich.
In diesem Beispiel wird dynamisches Profiling verwendet. Nicht konfigurierte Ports beginnen in VLAN 99. Der Switch-Port wird für das zugehörige VLAN neu konfiguriert, wenn die Juniper Mist Cloud das Gerät erkennt.
In Abbildung 3 und Tabelle 1 finden Sie Informationen zu Den Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien, die auf der SRX konfiguriert sind.
In Tabelle 1 werden die SRX-Sicherheitsrichtlinie und das erwartete Verhalten des Datenverkehrs zwischen den vertrauenswürdigen und nicht vertrauenswürdigen Zonen detailliert dargestellt.
Aus Zone |
Zur Zone |
Verhalten von Sicherheitsrichtlinien, um Datenverkehr zuzulassen |
|---|---|---|
Vertrauen |
Vertrauen |
Nein |
nicht vertrauenswürdig |
nicht vertrauenswürdig |
Nein |
Vertrauen |
nicht vertrauenswürdig |
Ja |
nicht vertrauenswürdig |
Vertrauen |
Nur vertrauensinitiiert. |
Tabelle 2 listet die VLAN- und IP-Adressinformationen für die Schnittstellen auf der SRX auf.
Schnittstelle |
VLAN-ID |
IP-Adresse |
Netzwerkmaske |
|---|---|---|---|
cl-1/0/0 |
— |
Zuweisung durch Service Provider |
— |
ge-0/0/2 |
— |
172.16.1.10 (DHCP) |
255.255.255.0 |
ge-0/0/3 |
— |
192.168.220.2 |
255.255.255.0 |
ge-0/0/4.0 |
1 |
192.168.1.1 |
255.255.255.0 |
ge-0/0/4.20 |
20 |
10.10.20.1 |
255.255.255.0 |
ge-0/0/4.30 |
30 |
10.10.30.1 |
255.255.255.0 |
ge-0/0/4.40 |
40 |
10.10.40.1 |
255.255.255.0 |
Tabelle 3 listet die in diesem Beispiel verwendeten VLANs, Verwendung und Porttyp auf. Alle anderen Ports auf dem Gerät der SRX-Serie und dem EX-Switch sind nicht vertagte VLAN-Ports.
VLAN |
VLAN-ID |
Namen |
SRX- auf EX-Porttyp |
Verwendung |
|---|---|---|---|---|
VLAN1 |
1 |
Standard |
nicht blockiert/nativ |
Wird vom SRX-Gerät, dem EX-Switch und Access Points zur Verwaltung verwendet. |
VLAN20 |
20 |
Iot |
Tagged |
Wird von IoT-Geräten verwendet. |
VLAN30 |
30 |
Sicherheit |
Tagged |
Wird von Überwachungskameras verwendet. |
VLAN40 |
40 |
Körperschaftlich |
Tagged |
Wird von Mitarbeitern verwendet. |
VLAN99 |
99 |
Beschränkt |
Tagged |
Standard für alle anderen Ports. Unterstützt dynamisches Profiling, um erkannten Geräten ein routables VLAN zuzuweisen. |
Erstkonfiguration
Konfigurieren Sie SRX für die Bereitstellung von Internetzugriff auf den EX-Switch und den Ap von Mist Systems
In diesem Abschnitt erfahren Sie, wie Sie das Gerät der SRX-Serie so konfigurieren, dass es Internetzugang für den Switch der EX-Serie und den Mist Systems AP bereitstellt. Diese Internetkonnektivität ermöglicht es dem Switch der EX-Serie und dem MIST AP, sich bei der Juniper Mist Cloud zu registrieren und dann über die Juniper Mist Cloud zu konfigurieren. In einem späteren Abschnitt besuchen Sie das SRX, um die Konfiguration für AppQoE hinzuzufügen.
Sie können dieses Beispiel auf einer Reihe von SRX Service Gateway-Geräten bereitstellen. Wir beginnen mit der unten dargestellten funktionalen Basislinie. Die Werkseinstellungen können zwischen den SRX-Modellen variieren. Der Leser muss sicherstellen, dass seine SRX-Basis den Besonderheiten ihrer Topologie entspricht.
Load Starting Baseline-Konfiguration auf SRX
Stellen Sie sicher, dass Ihr SRX Services Gateway über eine funktionelle Basis verfügt, die mit der Beispieltopologie kompatibel ist. Die Werkseinstellungen können je nach SRX-Modell variieren. Einige SRX-Geräte unterstützen dieses Beispiel. Angesichts dieser Varianz ist es einfacher, die Lösung zu dokumentieren, indem die unten dargestellte funktionale Baseline vorausgesetzt wird.
Führen Sie diese Schritte aus, um Ihre SRX-Basiskonfiguration zu laden.
-
Nachdem Sie Ihre vorhandene Konfiguration gespeichert haben, löschen Sie sie, um für dieses Beispiel neu zu starten:
[edit] root@srx# save backup Wrote 599 lines of configuration to 'backup' [edit] root@srx# delete This will delete the entire configuration Delete everything under this level? [yes,no] (no) yes
-
Weisen Sie ein starkes Root-Kennwort zu. Die unten dargestellte dient ausschließlich Dokumentationszwecken!
[edit] root@srx# set system root-authentication plain-text-password New password: Enter_a_strong_root_password_h3re Retype new password: Enter_a_strong_root_password_h3re
-
Kopieren Und fügen Sie die unten stehenden Konfigurationsbefehle in einen Texteditor ein und passen Sie sie nach Bedarf an Ihre Umgebung an. Laden Sie Ihre bearbeiteten Befehle mithilfe des Konfigurationsmodus-Befehls in die
load set terminalCLI.set system host-name Mist-SRX-GW set system name-server 8.8.8.8 set system ntp server 216.239.35.12 set system time-zone America/Los_Angeles set system syslog archive size 100k set system syslog archive files 3 set system syslog user * any emergency set system syslog file messages any notice set system syslog file messages authorization info set system syslog file LOG-Accepted-Traffic any any set system syslog file LOG-Accepted-Traffic match RT_FLOW_SESSION_CREATE set system syslog file LOG-Accepted-Traffic archive size 1m set system syslog file LOG-Accepted-Traffic archive files 3 set system syslog file LOG-Blocked-Traffic any any set system syslog file LOG-Blocked-Traffic match RT_FLOW_SESSION_DENY set system syslog file LOG-Blocked-Traffic archive size 1m set system syslog file LOG-Blocked-Traffic archive files 3 set system syslog file LOG-Sessions any any set system syslog file LOG-Sessions match RT_FLOW set system syslog file LOG-Sessions archive size 1m set system syslog file LOG-Sessions archive files 3 set security nat source rule-set trust-to-untrust from zone trust set security nat source rule-set trust-to-untrust to zone untrust set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0 set security nat source rule-set trust-to-untrust rule source-nat-rule then source-nat interface set security policies from-zone trust to-zone trust policy trust-to-trust match source-address any set security policies from-zone trust to-zone trust policy trust-to-trust match destination-address any set security policies from-zone trust to-zone trust policy trust-to-trust match application any set security policies from-zone trust to-zone trust policy trust-to-trust then permit set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone untrust interfaces dl0.0 set interfaces cl-1/0/0 dialer-options pool 1 priority 100 set interfaces dl0 unit 0 family inet negotiate-address set interfaces dl0 unit 0 family inet6 negotiate-address set interfaces dl0 unit 0 dialer-options pool 1 set protocols l2-learning global-mode switching
-
Commit der Basiskonfiguration:
[edit] root@srx# commit commit complete [edit] root@Mist-SRX-GW#
Wenn Sie Änderungen an der Systemauthentifizierung oder am Verwaltungszugriff vornehmen, sollten Sie die Verwendung von commit confirmed. Die Konfiguration wird automatisch zurückgesetzt, indem der Remotezugriff wiederhergestellt wird, was zu einer Isolierung des Geräts führt.
Die Ausgangsbasis bietet folgende Funktionen:
-
System-Hostname und Root-Benutzerauthentifizierung.
-
Wir behalten die Werkseinstellungen für LTE Mini-PIM (cl-1/0/0) und die DL0.0-Dialer-Schnittstellen bei.
-
Sie konfigurieren einen öffentlich zugänglichen Domänennamen und einen NTP-Server zusammen mit der lokalen Zeitzone.
-
Sie ändern die Standardprotokollierungs-Stanza, um sitzungsbezogene Informationen einzuschließen. Details zu blockierten und akzeptierten Sitzungen sind nützlich, wenn Sie Verbindungsprobleme in einem SRX Services Gateway debuggen müssen.
-
Grundlegende Sicherheitszoneneinstellungen mit Definition der Vertrauenswürdigkeits- und nicht vertrauenswürdigen Zonen. Wir verwenden Quell-NAT als Teil dieses Beispiels. Die Werksstandard-NAT-Regel bleibt in der Baseline, um eine spätere Eingabe zu speichern.
Führen Sie die erste SRX-Konfiguration durch
-
Erstellen Sie die VLANs für die vier Arten von Geräten in Zweigniederlassungen, die eine Verbindung zum Unternehmensintranet herstellen. Sie erstellen auch ein Infrastruktur-VLAN, das zur Unterstützung der DHCP-basierten Adresszuweisung an den EX-Switch und den Ap von Mist Systems verwendet wird. Die Ge-0/0/4-Schnittstelle wird dem Infrastruktur-VLAN zugewiesen. Siehe Tabelle 3.
set vlans vlan-infra vlan-id 1 set vlans vlan20 vlan-id 20 set vlans vlan30 vlan-id 30 set vlans vlan40 vlan-id 40
-
Konfigurieren Sie die GE-0/0/4-Schnittstelle zur Bereitstellung von DHCP-Diensten für den EX-Switch und den Ap von Mist Systems. Diese Konfiguration legt die Schnittstelle als Trunk mit flexiblem VLAN-Tagging fest, um eine Mischung aus nicht gekennzeichnetem und getaggtem Datenverkehr zu unterstützen. In diesem Beispiel wird VLAN 1 als natives VLAN verwendet, das kein VLAN-Tag trägt.
set interfaces ge-0/0/4 flexible-vlan-tagging set interfaces ge-0/0/4 native-vlan-id 1 set interfaces ge-0/0/4 unit 0 vlan-id 1 set interfaces ge-0/0/4 unit 0 family inet address 192.168.1.1/24
-
Konfigurieren Sie ein IP-Subnetz für jedes VLAN auf der SRX-Trunkschnittstelle gemäß Tabelle 2.
set interfaces ge-0/0/4 unit 20 vlan-id 20 set interfaces ge-0/0/4 unit 20 family inet address 10.10.20.1/24 set interfaces ge-0/0/4 unit 30 vlan-id 30 set interfaces ge-0/0/4 unit 30 family inet address 10.10.30.1/24 set interfaces ge-0/0/4 unit 40 vlan-id 40 set interfaces ge-0/0/4 unit 40 family inet address 10.10.40.1/24
-
Konfigurieren Sie einen DHCP-Adressenpool, der zum Zuweisen von IP-Adressen zum EX-Switch und zum Mist Systems AP verwendet wird. Konfigurieren Sie die Schnittstelle ge-0/0/4.0 als DHCP-Server
set system services dhcp-local-server group InfraPool interface ge-0/0/4.0 set access address-assignment pool InfraPool family inet network 192.168.1.0/24 set access address-assignment pool InfraPool family inet range junosRange low 192.168.1.2 set access address-assignment pool InfraPool family inet range junosRange high 192.168.1.254 set access address-assignment pool InfraPool family inet dhcp-attributes name-server 8.8.8.8 set access address-assignment pool InfraPool family inet dhcp-attributes router 192.168.1.1
-
Erstellen Sie einen DHCP-Server und einen IP-Adressenpool für die Zuweisung zu Geräten im VLAN20. Konfigurieren Sie die Schnittstelle ge-0/0/4.20 als DHCP-Serveradresse
set system services dhcp-local-server group IOT-NET_DHCP-POOL interface ge-0/0/4.20 set access address-assignment pool IOT-NET_DHCP-POOL family inet network 10.10.20.0/24 set access address-assignment pool IOT-NET_DHCP-POOL family inet range IOT-NET_DHCP-POOL---IP-RANGE low 10.10.20.10 set access address-assignment pool IOT-NET_DHCP-POOL family inet range IOT-NET_DHCP-POOL---IP-RANGE high 10.10.20.100 set access address-assignment pool IOT-NET_DHCP-POOL family inet dhcp-attributes domain-name MyMistLAB.com set access address-assignment pool IOT-NET_DHCP-POOL family inet dhcp-attributes name-server 8.8.8.8 set access address-assignment pool IOT-NET_DHCP-POOL family inet dhcp-attributes router 10.10.20.1
-
Erstellen Sie einen DHCP-Server und einen IP-Adressenpool für die Zuweisung zu Geräten im VLAN30. Konfigurieren Sie die Schnittstelle ge-0/0/4.30 als DHCP-Serveradresse
set system services dhcp-local-server group CAMERA-NET_DHCP-POOL interface ge-0/0/4.30 set access address-assignment pool CAMERA-NET_DHCP-POOL family inet network 10.10.30.0/24 set access address-assignment pool CAMERA-NET_DHCP-POOL family inet range CAMERA-NET_DHCP-POOL---IP-RANGE low 10.10.30.10 set access address-assignment pool CAMERA-NET_DHCP-POOL family inet range CAMERA-NET_DHCP-POOL---IP-RANGE high 10.10.30.100 set access address-assignment pool CAMERA-NET_DHCP-POOL family inet dhcp-attributes domain-name MyMistLAB.com set access address-assignment pool CAMERA-NET_DHCP-POOL family inet dhcp-attributes name-server 8.8.8.8 set access address-assignment pool CAMERA-NET_DHCP-POOL family inet dhcp-attributes router 10.10.30.1
-
Erstellen Sie einen DHCP-Server und einen IP-Adressenpool für die Zuweisung zu Geräten im VLAN40. Konfigurieren Sie die Schnittstelle ge-0/0/4.40 als DHCP-Serveradresse
set system services dhcp-local-server group CORPORATE-NET_DHCP-POOL interface ge-0/0/4.40 set access address-assignment pool CORPORATE-NET_DHCP-POOL family inet network 10.10.40.0/24 set access address-assignment pool CORPORATE-NET_DHCP-POOL family inet range CORPORATE-NET_DHCP-POOL---IP-RANGE low 10.10.40.10 set access address-assignment pool CORPORATE-NET_DHCP-POOL family inet range CORPORATE-NET_DHCP-POOL---IP-RANGE high 10.10.40.100 set access address-assignment pool CORPORATE-NET_DHCP-POOL family inet dhcp-attributes domain-name MyMistLAB.com set access address-assignment pool CORPORATE-NET_DHCP-POOL family inet dhcp-attributes name-server 8.8.8.8 set access address-assignment pool CORPORATE-NET_DHCP-POOL family inet dhcp-attributes router 10.10.40.1
-
Platzieren Sie die GE-0/0/3- und ge-0/0/4-Schnittstellen in der Trust-Zone. Die GE-0/0/4-Schnittstelle fungiert als Trunk. Achten Sie darauf, dass Sie alle konfigurierten logischen Einheiten enthalten.
set security zones security-zone trust interfaces ge-0/0/3.0 set security zones security-zone trust interfaces ge-0/0/4.0 set security zones security-zone trust interfaces ge-0/0/4.20 set security zones security-zone trust interfaces ge-0/0/4.30 set security zones security-zone trust interfaces ge-0/0/4.40
Hinweis:Erinnern Sie sich in diesem Beispiel daran, dass die BASIS-SRX-Konfiguration über eine Vertrauenszone verfügt, die allen Host-eingehenden Protokollen und Services erlaubt. Falls gewünscht, können Sie die eingehenden Host-Dienste auf DHCP und ICMP beschränken. Dies ermöglicht die DHCP-Adresszuweisung und nachfolgende Ping-Tests zwischen dem EX-Switch und dem SRX Services Gateway.
-
Platzieren Sie die ge-0/0/2-Schnittstelle für den Zugriff auf das Breitband-Internet in der Nicht-vertrauenswürdigen Zone.
set security zones security-zone untrust interfaces ge-0/0/2.0
-
Konfigurieren Sie die GE-0/0/3-Schnittstelle, die eine Verbindung zum privaten WAN-Provider herstellt. Fügen Sie eine Beschreibung hinzu, um ihre Rolle als Link zum privaten WAN anzugeben, das hauptsächlich für geschäftskritischen Datenverkehr verwendet wird.
set interfaces ge-0/0/3 unit 0 description "Private WAN Link-Business Critical and broadband internet backup" set interfaces ge-0/0/3 unit 0 family inet address 192.168.220.2/24
-
Sie konfigurieren eine statische Standardroute für die private WAN-Verbindung, die für nicht lokalen Datenverkehr auf das private WAN verweist. Diese Route hat eine geänderte Präferenz, um sicherzustellen, dass sie weniger bevorzugt ist als die Standardroute, die über DHCP auf dem Breitband-Internetlink gelernt wurde. Die geänderte Präferenz bewirkt, dass das SRX nicht klassifizierten Datenverkehr über die Breitband-Internetverbindung routet, wenn er betriebsbereit ist. Falls gewünscht, könnten Sie eine Einstellung von 12 festlegen, um die beiden Standardrouten zu gleichen Kosten zu machen und dann den nicht klassifizierten Datenverkehr auszugleichen.
set routing-options static route 0.0.0.0/0 next-hop 192.168.220.1 preference 13
-
Platzieren Sie die GE-0/0/2-Schnittstelle in die Nicht-vertrauenswürdige Zone.
set security zones security-zone untrust interfaces ge-0/0/2.0
-
Konfigurieren Sie die GE-0/0/2-Schnittstelle, die eine Verbindung zum Breitband-Internet Provider herstellt. Fügen Sie eine Beschreibung hinzu, um ihre Rolle als Breitband-Internetlink anzugeben, und konfigurieren Sie die Schnittstelle als DHCP-Client. Diese Schnittstelle empfängt sowohl eine IP-Adresse als auch eine Standardroute über den DHCP-Server des Internetanbieters.
set interfaces ge-0/0/2 unit 0 description "Broadband Internet Interface - Primary for business, backup for critical" set interfaces ge-0/0/2 unit 0 family inet dhcp vendor-id Juniper-srx550
-
Konfigurieren Sie die nicht vertrauenswürdige Zone zur Unterstützung von DHCP und Ping. DHCP-basierte Adresszuweisung wird auf dem Breitband-Internetlink verwendet.
set security zones security-zone untrust host-inbound-traffic system-services dhcp set security zones security-zone untrust host-inbound-traffic system-services ping
Hinweis:Die nicht vertrauenswürdigen Schnittstellen erhalten eine Standardroute über DHCP oder über den Mobilfunkdienstanbieter für den LTE-Link.
-
Sie konfigurieren eine NAT-Richtlinie für den Datenverkehr zwischen Schnittstellen in der Vertrauenszone. Die Richtlinie unterstützt VLAN-Datenverkehr auf der privaten WAN-Verbindung. Die SRX-Ausgangsbasis enthält eine Werksstandard-NAT-Regel für den Datenverkehr zwischen den Trust- und den Nicht-Vertrauenswürdigkeitszonen. Diese Standardrichtlinie unterstützt VLAN-Datenverkehr, der an das Breitbandinternet oder die LTE-Schnittstellen gesendet wird.
set security nat source rule-set trust-to-trust from zone trust set security nat source rule-set trust-to-trust to zone trust set security nat source rule-set trust-to-trust rule source-nat-rule1 match source-address 0.0.0.0/0 set security nat source rule-set trust-to-trust rule source-nat-rule1 then source-nat interface
-
Erstellen Sie ein Adressbuch und eine Sicherheitsrichtlinie, um Datenverkehr zwischen vertrauenswürdigen und nicht vertrauenswürdigen Zonen zu ermöglichen. Achten Sie darauf, dass Sie die Netzwerk-Subnetzen für alle vier VLANs und die unterstützten Anwendungen in die Richtlinie einbeziehen. Sie erlauben alle Anwendungen, solange der Datenverkehr von einem der VLANs an der Zweigstelle stammt.
set security address-book global address Default 192.168.1.0/24 set security address-book global address IoT 10.10.20.0/24 set security address-book global address Security 10.10.30.0/24 set security address-book global address Corporate 10.10.40.0/24 set security policies from-zone trust to-zone untrust policy trust_vlan-to-untrust match source-address Default set security policies from-zone trust to-zone untrust policy trust_vlan-to-untrust match source-address IoT set security policies from-zone trust to-zone untrust policy trust_vlan-to-untrust match source-address Security set security policies from-zone trust to-zone untrust policy trust_vlan-to-untrust match source-address Corporate set security policies from-zone trust to-zone untrust policy trust_vlan-to-untrust match destination-address any set security policies from-zone trust to-zone untrust policy trust_vlan-to-untrust match application any set security policies from-zone trust to-zone untrust policy trust_vlan-to-untrust then permit
-
Konfigurieren Sie die Modemschnittstelle (LTE-MPIM) und aktivieren Sie den Steckplatz mit der eingesteckten SIM-Karte.
Hinweis:Die SRX-Baseline bewahrte einige der Modemschnittstelleneinstellungen aus einer werksseitig voreingestellten Konfiguration auf.
set interfaces cl-1/0/0 description "LTE Backup Internet Interface - Critical Only" set interfaces cl-1/0/0 act-sim 1 set interfaces cl-1/0/0 cellular-options sim 1 radio-access automatic
-
Konfigurieren Sie die Dialer-Schnittstelle. Vergewissern Sie sich, dass Sie die Werksstandardwähloption
always-onaus der Konfiguration entfernen. Wir erwarten eine Aktivierung der LTE-Verbindung auf Abruf nur, wenn sowohl das private WAN als auch die Breitband-Internetverbindungen ausfallen.set interfaces dl0 unit 0 dialer-options dial-string "*99" delete interfaces dl0 unit 0 dialer-options always-on
Hinweis:Wir behalten einige der Werkseinstellungen für Dialer in der SRX-Ausgangsbasiskonfiguration bei. Sie stellen sicher, dass Sie die
always-onDialer-Option aus der Ausgangsbasis entfernen. Es kann nicht schaden, eine nicht vorhandene Konfigurationsanweisung zu entfernen. Das explizite Löschen dieser Option verhindert die unerwünschte Aktivierung der LTE-Modemverbindung. Die Aktivierung des LTE-Modems hat häufig Auswirkungen auf die Abrechnung. -
Bestätigen Sie die Konfiguration auf dem SRX-Gerät.
[edit] root@Mist-SRX-GW# commit commit complete
-
Legen Sie den Access Point Name (APN) für die SIM im Modem (LTE-MPIM) fest.
request modem wireless create-profile profile-id 10 access-point-name broadband cl-1/0/0 slot 1
Werkseinstellungen auf EX-Switch laden
In diesem Abschnitt laden Sie eine Werkseinstellungen auf dem EX-Switch. Diese Konfiguration führt zu einer als DHCP-Client konfigurierten IRB-Schnittstelle mit allen Switch-Ports, die zum Standard-VLAN (VLAN ID 1) gehören. Mit dieser Konfiguration können sowohl der EX-Switch als auch der Mist Systems AP eine DHCP-zugewiesene Adresse von der SRX abrufen. Die IP-Adresse stammt aus dem Adresspool 192.168.1.2-254/24.
Falls gewünscht, können Sie den EX-Switch zeroisieren, anstatt einen Werksstandard zu laden. Wenn Sie das Gerät zeroisieren, ist kein Root-Kennwort erforderlich. Wenn Sie sich für die Zeroize-Methode entscheiden, werden zero touch provisioning (ZTP)-Nachrichten auf der Konsole angezeigt. Möglicherweise möchten Sie den Konfigurationsmodus eingeben und das delete chassis auto-image-upgrade folgende commit Problem beheben, um diese Nachrichten zu verhindern.
Unabhängig von der verwendeten Methode wird später unter Kontrolle der Juniper Mist Cloud ein Stammkennwort (neu) konfiguriert.
-
Greifen Sie über die Konsole auf den EX-Switch zu und laden Sie die Werkskonfiguration.
[edit] root@ex# load factory-default warning: activating factory configuration
-
Weisen Sie ein starkes Root-Kennwort zu. Die unten dargestellte dient ausschließlich Dokumentationszwecken!
[edit] root@ex# set system root-authentication plain-text-password New password: Enter_a_strong_root_password_h3re Retype new password: Enter_a_strong_root_password_h3re
-
Die geänderte Factory-Standardkonfiguration bestätigen:
[edit] root@ex# commit commit complete [edit] root@ex#
Hinweis:Nach dem Laden eines Factory-Standard bleibt der zuvor zugewiesene Hostname so lange in Kraft, bis Sie den EX-Switch neu starten.
An dieser Stelle sollte die SRX-Verbindung sowohl über das private WAN als auch über Breitband-Internet provider verfügen. Darüber hinaus sollte es dem EX-Switch und dem Ap von Mist Systems aus dem 192.168.1.0/24-Adresspool IP-Adressen zugewiesen haben. Die FÜR EX und AP bereitgestellte DCHP-Konfiguration umfasst einen Domänennamenserver und eine Standardroute.
Sie konfigurieren SNAT für den Datenverkehr zwischen den vertrauenswürdigen und nicht vertrauenswürdigen Zonen sowie für den Datenverkehr zwischen Schnittstellen in der Vertrauenszone.
Überprüfen der ersten Internetkonnektivität über srx
Zweck
Bestätigen Sie, dass das SRX über das private WAN und die Breitbandverbindungen über Internetverbindungen verfügt. Überprüfen Sie auch, ob das SRX Internetzugriff (mit SNAT) auf den EX-Switch (und Mist Ap) bereitstellt.
Aktion
root@mist-SRX-GW> show dhcp client binding
IP address Hardware address Expires State Interface
172.16.1.22 f0:4b:3a:09:ca:02 68649 BOUND ge-0/0/2.0
root@mist-SRX-GW> show route
inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
0.0.0.0/0 *[Access-internal/12] 00:27:07, metric 0
> to 172.16.1.1 via ge-0/0/2.0
[Static/13] 01:04:13
> to 192.168.220.1 via ge-0/0/3.0
. . .
root@mist-SRX-GW> ping www.juniper.net inet count 2
PING e1824.dscb.akamaiedge.net (184.30.231.148): 56 data bytes
64 bytes from 184.30.231.148: icmp_seq=0 ttl=49 time=3.138 ms
64 bytes from 184.30.231.148: icmp_seq=1 ttl=49 time=3.292 ms
--- e1824.dscb.akamaiedge.net ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 3.138/3.215/3.292/0.077 ms
.
Beide Standardrouten sind auf dem SRX-Gerät vorhanden. Aufgrund der geänderten Routenpräferenz für die statische Standardroute zum WAN-Provider erwarten Sie, dass der gesamte Datenverkehr über den Breitband-Internetlink geleitet wird, wenn er betriebsbereit ist. Die SRC leitet den Datenverkehr über die private WAN-Verbindung, wenn die Breitband-Internetverbindung ausfällt. Die Ausgabe bestätigt auch, dass das SRX eine IP-Adresse und eine Standardroute über DHCP vom Breitband-Internet provider erhalten hat.
Die Ausgabe bestätigt auch, dass das SRX Über Internetzugang und einen funktionierenden Namen hat. Sie können testen, ob beide Weiterleitungspfade funktionieren, indem Sie das private WAN oder die Breitband-Internetverbindungen (aus Gründen der Kürze nicht dargestellt) abwechselnd deaktivieren.
In Teil 3 dieses NCE fügen Sie Advanced Policy Based Routing (APBR), Leistungsüberwachungsuntersuchungen und Routing-Instanzen hinzu. Diese Konfiguration leitet den Abgleich des Anwendungsdatenverkehrs an eine Routing-Instanz weiter, die dann den nächsten Hop für die Weiterleitung basierend auf dem aktuellen Status des privaten WAN und der Breitband-Internetverbindungen als Teil von AppQoE auswählt. Nach der Konfiguration von APBR erwarten Sie trotz der niedrigeren Routenpräferenz in der Hauptinstanz einen kritischen Datenverkehr, der den privaten WAN-Link übernimmt.
Bestätigen Sie die DHCP-Adressenzuweisung zum EX-Switch und zum Mist Systems AP.
Vergewissern Sie sich, dass die SRX dem EX-Switch und dem angeschlossenen Ap von Mist Systems IP-Adressen zuweisen. Sie können die MAC-Adresse des EX mit dem show interfaces irb Befehl abrufen. Sie bestätigen die MAC-Adresse des Mist Systems AP, indem Sie den Aufkleber auf dem Gehäuse betrachten. In diesem Beispiel endet A2:01die MAC-Adresse des EX-Switches und der MAC von Mist Systems mit C3:37.
Möglicherweise werden DHCP-Adressen aus dem Pool 192.168.1.0/24 anderen kabelgebundenen Clients auf dem EX-Switch zugewiesen. Wie hier für das kabelgebundene Unternehmensgerät mit MAC-Adresse, die auf 80:84 endet, dargestellt. Später konfigurieren Sie in diesem Beispiel VLAN-Trunking und DHCP-Adressenpools pro VLAN für die Verwendung durch kabelgebundene und drahtlose Clients.
root@mist-SRX-GW> show dhcp server binding IP address Session Id Hardware address Expires State Interface 192.168.1.5 44 20:4e:71:a6:a7:01 85013 BOUND ge-0/0/4.0 192.168.1.2 41 d4:20:b0:00:c3:37 78301 BOUND ge-0/0/4.0 192.168.1.7 45 ec:3e:f7:c6:80:84 64379 BOUND ge-0/0/4.0
Die Ausgabe bestätigt, dass das SRX-Gerät dem EX-Switch, dem Ap von Mist Systems und einem kabelgebundenen Unternehmensclient IP-Adressen zugewiesen hat.
DHCP-Leases können mehrere Stunden andauern. Manchmal ist es in einer Laborumgebung hilfreich, den DHCP-Prozess auf der SRX und dem EX-Switch neu zu starten, um die Dinge zu beschleunigen. Verwenden Sie den restart dhcp-service immediately Befehl, um diese Aktion auszuführen. Sie können auch Befehle clear dhcp [server|client] binding all verwenden, um den DHCP-Status zu aktualisieren.
Überprüfen Sie die Internetkonnektivität über den EX-Switch.
Sie können keine Pings vom Ap von Mist Systems generieren. Sie bestimmen die Internetverbindung und den Cloud-Verbindungsstatus, indem Sie das LED-Blink-Muster gemäß dem LED-Blink-Muster betrachten.
{master:0}
root> show route
inet.0: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
0.0.0.0/0 *[Access-internal/12] 00:00:07, metric 0
> to 192.168.1.1 via irb.0
192.168.1.0/24 *[Direct/0] 00:03:55
> via irb.0
192.168.1.3/32 *[Local/0] 00:03:55
Local via irb.0
{master:0}
root> ping www.juniper.net inet count 2
PING e1824.dscb.akamaiedge.net (104.86.1.14): 56 data bytes
64 bytes from 104.86.1.14: icmp_seq=0 ttl=43 time=4.064 ms
64 bytes from 104.86.1.14: icmp_seq=1 ttl=43 time=4.315 ms
--- e1824.dscb.akamaiedge.net ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 4.064/4.190/4.315/0.125 ms
Die Ausgabe zeigt an, dass dem EX-Switch eine IP-Adresse aus dem 192.168.1.0/24-Adresspool zugewiesen wurde und dass eine DHCP-zugewiesene Standardroute vorhanden ist. Sie bestätigen sowohl den Internetzugang als auch die erfolgreiche Auflösung des Domänennamens mit einem erfolgreichen Ping zu www.juniper.net.
Überprüfen Sie die Internetkonnektivität auf dem Ap von Mist Systems. Sie können die Internetkonnektivität und den Cloud-Verbindungsstatus bestimmen, indem Sie das LED-Blink-Muster gemäß dem LED-Blink-Muster betrachten.
In diesem Stadium des Beispiels sollte der AP von Mist Systems Über Einen Internetzugang haben und eine Verbindung zur Juniper Mist Cloud herstellen können. Daher erwarten Sie eine solide weiße LED. Sie konfigurieren den AP in einem späteren Schritt über die Juniper Mist Cloud, und zu diesem Zeitpunkt sollte die LED grün werden.
Überprüfen Sie, ob LLDP zwischen dem EX-Switch und dem angeschlossenen Ap von Mist Systems funktioniert. In diesem Beispiel wird die durch LLDP erlernte Chassis-ID (MAC-Adresse) verwendet, um Ports mit angeschlossenen APs von Mist Systems automatisch zu profilen. Ein Trunking-Profil wird auf Ports mit Geräten angewendet, die übereinstimmende MAC-Adressen haben.
{master:0}
root> show lldp neighbors
Local Interface Parent Interface Chassis Id Port info System Name
ge-0/0/5 - d4:20:b0:00:c3:37 ETH0 Mist
Die Ausgabe überprüft, ob der EX-Switch und der Mist Systems AP erfolgreich LLDP-Nachrichten austauschen. Notieren Sie sich die MAC-Adresse für den Mist Systems AP in der Ausgabe. Diese MAC-Adresse wird in einem späteren Abschnitt zur Unterstützung von dynamischem Profiling verwendet.
Bedeutung
Die Validierungsschritte bestätigen, dass alle wie erwartet funktionieren. Beide Standardrouten sind auf der SRX vorhanden. Sie haben auch die DHCP-basierte Adresszuweisung an EX, Mist AP und den kabelgebundenen Unternehmensclient überprüft. Der EX-Switch und der Mist Systems AP verfügen nun über den erforderlichen Internetzugang, um über die Juniper Mist Cloud konfiguriert und verwaltet zu werden.
Überprüfung der Erkennung von Mini-PIM-Modulen durch Junos OS
Zweck
Vergewissern Sie sich, dass das Junos OS die Mini-PIM-Module erkennt.
Aktion
Überprüfen Sie die Installation des LTE Mini-PIM auf dem SRX-Gerät.
user@host> show chassis hardware
root@Mist-SRX-GW> show chassis hardware
Hardware inventory:
Item Version Part number Serial number Description
Chassis DA4018AK0020 SRX550M
Midplane REV 12 750-063950 BCAL7302
Routing Engine REV 07 711-062269 BCAH4029 RE-SRX550M
FPC 0 FPC
PIC 0 6x GE, 4x GE SFP Base PIC
FPC 1 REV 03 650-096889 EV2619AF0085 FPC
PIC 0 LTE for AE
FPC 2 REV 08 750-032730 ACPX8538 FPC
PIC 0 1x GE High-Perf SFP mPIM
FPC 5 REV 04 750-064615 BCAH7052 FPC
PIC 0 8x GE SFP gPIM
FPC 7 REV 13 750-030454 ACLZ9488 FPC
Power Supply 0 Rev 05 740-024283 CI03052 PS 645W AC
Bedeutung
Der Ausgang bestätigt die Installation und Erkennung des LTE Mini-PIM.
Überprüfen der Firmware-Version des Mini-PIM
Zweck
Überprüfen Sie die Firmware-Version des Mini-PIM.
Aktion
Überprüfen Sie auf dem Gerät der SRX-Serie die Firmware-Version des LTE Mini-PIM-Moduls.
user@host>show system firmware
Part Type Tag Current Available Status
version version
FPC 1
PIC 0 MLTE_FW 1 17.1.80 0 OK
FPC 2
PIC 0 SFPI2CMFPGA 13 0.9.0 0 OK
Routing Engine 0 RE BIOS 0 2.10 2.10 OK
Routing Engine 0 RE BIOS Backup 1 2.10 2.10 OK
Bedeutung
Die Ausgabe zeigt die Firmware-Version des Mini-PIM als 17.1.80 an. Aktualisieren Sie bei Bedarf die Firmware. Weitere Informationen zum Aktualisieren der Firmware auf LTE finden Sie unter LTE Mini-Physical Interface Module.