1re partie : Configuration initiale de la connectivité Internet
Présentation de l’exemple
Cet exemple de configuration montre comment déployer une filiale de petite à moyenne taille avec une passerelle de services SRX, des commutateurs EX Series et des points d’accès Mist. L’exemple utilise deux liaisons WAN en mode actif/actif avec une liaison de sauvegarde LTE. En outre, Juniper Mist Cloud est utilisé pour configurer respectivement le commutateur EX et le point d’accès Mist dans le cadre de Wired Assurance et Wireless Assurance.
L’exemple montre également comment utiliser la surveillance des performances et le routage basé sur les stratégies pour fournir une qualité de l’expérience applicative (AppQoE). AppQoE hiérarchise intelligemment le trafic stratégique de l’entreprise en cas de défaillance d’une ou plusieurs liaisons.
Exigences
Vous aurez besoin du matériel et des logiciels suivants pour configurer cet exemple :
Un équipement SRX300 Series (SRX320, SRX340, SRX345, SRX380) ou un équipement SRX5000 Series (SRX550M) : Version logicielle : Junos OS version 19.4R1 ou supérieure.
Cet exemple nécessite l’installation d’une licence d’identification des applications, ainsi que le téléchargement et l’installation du package d’identification de l’application. Voir Licences pour SRX Series pour plus d’informations. Utilisez les
show system licensecommandes.show services application-identification statusNote:Les mises à jour du package de signatures d’application Junos OS sont autorisées par un service d’abonnement sous licence séparé. Vous devez installer la clé de licence de mise à jour de signature de l’application d’identification de l’application pour télécharger et installer les mises à jour de la base de données de signatures fournies par Juniper Networks. Lorsque votre clé de licence expire, vous pouvez continuer à utiliser le contenu du package de signatures d’application stocké localement, mais vous ne pouvez pas mettre à jour le package.
Un commutateur Ethernet EX Series (EX2300, EX3400 ou EX4300) : version logicielle : Junos OS 19.4R1 ou supérieure.
Un ou plusieurs points d’accès MIST (AP12, AP41, AP43, AP61 ou AP32).
Un mini-PIM LTE pour la passerelle de services SRX.
Une carte SIM avec un abonnement aux services de données.
Une connexion Mist Cloud de Juniper. Créez votre compte à l’adresse : Juniper Mist Cloud .
Détails du déploiement
Dans cet exemple, nous configurons un SRX550 pour fournir des fonctionnalités DHCP et SNAT. Le SRX fournit un accès Internet sortant sécurisé pour le commutateur EX, le point d’accès Mist et les équipements clients sur site. La liaison principale se connecte à un réseau WAN privé (par exemple, un service DEN privé virtuel (VPLS), la liaison secondaire utilise l’accès Internet haut débit via Ethernet. La liaison de secours utilise un réseau cellulaire LTE.
Les liaisons principales et secondaires fonctionnent en mode actif/actif. Le modem LTE n’est pas utilisé sauf si les liaisons primaires et secondaires tombent en panne.
Le commutateur EX4300-24P utilisé dans cet exemple se connecte à l’équipement SRX et fournit la fonctionnalité de pontage de couche 2 filaire pour la filiale. Un châssis virtuel (VC) de plusieurs commutateurs EX2300, EX3400 et EX4300 prend en charge une densité de ports plus élevée pour les filiales plus importantes. Pour un accès sans fil, nous connectons un point d’accès Juniper Mist AP61 au commutateur EX.
Le Mist Cloud de Juniper provisionne rapidement le commutateur EX Series et le point d’accès Mist pour la connectivité de filiale souhaitée une fois que la filiale dispose de l’accès Internet requis.
Plusieurs passerelles de services SRX sont prises en charge dans cet exemple. Nous commençons par une configuration par défaut modifiée en usine pour un SRX550. La configuration par défaut définie en usine peut varier d’un modèle SRX à l’autre. Le lecteur doit s’assurer que sa configuration SRX correspond aux spécificités de sa topologie.
L’exemple comprend trois sections principales :
Tout d’abord, vous effectuez la configuration initiale sur les modèles SRX et EX. Cette configuration fournit un accès Internet au site de la filiale (avec S-NAT) pour l’EX, le point d’accès Mist et les VLAN des filiales.
Ensuite, vous utilisez Juniper Mist Cloud pour provisionner le commutateur EX et le point d’accès Mist afin de provisionner la connectivité sans fil des réseaux VLAN des filiales.
Dans la dernière partie, vous configurez la passerelle de services SRX afin de fournir un routage avancé basé sur des stratégies (APBR) afin de prendre en charge la qualité de l’expérience applicative (AppQoE). Cette configuration mappe le trafic professionnel au lien souhaité et implémente des sondes SLA pour déterminer quand le trafic doit tomber sur une liaison de secours. Cette stratégie active également le modem LTE lorsque les liaisons primaires et secondaires ne respectent pas les SLA associés.
La figure 1 illustre la topologie des filiales.
Internet redondante
La figure 2 illustre l’exemple de réseau de gestion pour les filiales. Dans cet exemple, nous nous appuyons sur l’accès à la console. Les équipements SRX et EX prennent en charge un réseau de gestion basé sur Ethernet. Le point d’accès Mist ne peut être géré que via le cloud.
de gestion des filiales
Notre topologie présente la disposition matérielle suivante sur l’équipement SRX Series :
Une configuration de base minimale est chargée sur le SRX. Une section ultérieure fournit la base de départ.
L’emplacement 1 de l’équipement SRX Series contient un mini-PIM LTE.
Le logement 1 du mini-PIM LTE est doté d’une carte SIM.
L’interface ge-0/0/3 se connecte à la liaison WAN principale.
L’interface ge-0/0/2 se fixe à la liaison Internet haut débit.
L’interface cl-1/0/0 identifie l’emplacement du mini-PIM de modem.
La liaison sur le réseau cellulaire se termine sur l’interface dl0.0.
L’interface ge-0/0/2 reçoit son adresse IP, son masque réseau et sa passerelle par défaut via DHCP. Vous configurez une adresse IP statique et un routage par défaut sur l’interface WAN privée (ge-0/0/3) compatible avec le fournisseur WAN.
Le fournisseur de services cellulaires attribue l’adresse IP, le masque réseau et la passerelle par défaut à l’interface LTE (cl-1/0/0).
Sur le commutateur EX, nous avons la disposition suivante :
Une configuration par défaut définie en usine est chargée et modifiée avec un mot de passe racine pour permettre à la configuration par défaut de valider.
L’interface ge-0/0/1 du commutateur EX se connecte à l’interface ge-0/0/4 du SRX.
L’interface ETH0 du point d’accès Mist se connecte à ge-0/0/5 du commutateur EX.
Le point d’accès Mist présente la disposition suivante :
L’interface du point d’accès ETH0 se connecte à ge-0/0/5 du commutateur EX.
Vous devez configurer et gérer le point d’accès Mist via Juniper Mist Cloud. Vous configurez le point d’accès Mist à l’aide de Juniper Mist Cloud dans la deuxième partie de cet exemple.
Nous configurons deux zones de sécurité sur l’équipement SRX, une zone de sécurité sécurisée nommée trust et une zone de sécurité non sécurisée nommée untrust. En disposant d’interfaces dans différentes zones de sécurité, nous dissocions le trafic et atténuons les risques pour l’intranet de l’entreprise. Les zones de sécurité sont utilisées pour mettre en œuvre des stratégies de sécurité claires et simplifiées. Nous hébergeons des interfaces avec accès à Internet dans la untrust zone. La liaison WAN privée et les autres interfaces internes de l’Intranet d’entreprise sont dans la trust zone. Alors qu’il existe cinq VLAN, seuls trois peuvent être acheminés hors du site distant. Vous configurez également un VLAN restreint et par défaut. Les VLAN sont les suivants :
Le VLAN 1 est le VLAN par défaut sur l’équipement SRX. Ce paramètre établit un correspondance entre le SRX et le VLAN par défaut en usine sur le commutateur EX.
Les appareils IoT utilisent le VLAN 20. Les équipements IoT sont couramment utilisés pour l’éclairage et les contrôleurs CVC.
Les caméras de surveillance utilisent le VLAN 30.
Les équipements filaires d’entreprise utilisent le VLAN 40.
Le VLAN 99 fonctionne comme un VLAN restreint pour tous les ports filaires inutilisés et pour les ports utilisant le profilage dynamique. Ce VLAN n’est pas configuré sur l’équipement SRX. Il en résulte un VLAN non routable avec une portée locale uniquement sur le site.
Le profilage dynamique est utilisé dans cet exemple. Les ports non configurés commencent dans le VLAN 99. Le port du commutateur est reconfiguré pour le VLAN associé lorsque Juniper Mist Cloud reconnaît l’équipement.
Pour plus d’informations sur les interfaces, les zones de sécurité et les stratégies de sécurité configurées sur le SRX, reportez-vous aux figures 3 et 1 .
de sécurité
Le tableau 1 détaille la stratégie de sécurité SRX et le comportement attendu des flux de trafic entre les zones sécurisées et non sécurisées.
Depuis la zone |
Vers la zone |
Comportement des stratégies de sécurité pour autoriser le trafic |
|---|---|---|
Confiance |
Confiance |
Non |
Untrust |
Untrust |
Non |
Confiance |
Untrust |
Oui |
Untrust |
Confiance |
Initié par la confiance uniquement. |
Le tableau 2 répertorie le VLAN et les informations d’adresse IP pour les interfaces sur le SRX.
Interface |
VLAN ID |
Adresse IP |
Masque de réseau |
|---|---|---|---|
cl-1/0/0 |
— |
Attribué par le fournisseur de services |
— |
ge-0/0/2 |
— |
172.16.1.10 (DHCP) |
255.255.255.0 |
ge-0/0/3 |
— |
192.168.220.2 |
255.255.255.0 |
ge-0/0/4.0 |
1 |
192.168.1.1 |
255.255.255.0 |
ge-0/0/4.20 |
20 |
10.10.20.1 |
255.255.255.0 |
ge-0/0/4.30 |
30 |
10.10.30.1 |
255.255.255.0 |
ge-0/0/4.40 |
40 |
10.10.40.1 |
255.255.255.0 |
Le tableau 3 répertorie les VLAN, l’utilisation et le type de port utilisés dans cet exemple. Tous les autres ports de l’équipement SRX Series et du commutateur EX sont des ports VLAN non marqués.
VLAN |
VLAN ID |
Nom |
Type de port SRX vers EX |
Utilisation |
|---|---|---|---|---|
vlan1 |
1 |
Par défaut |
non marqué/natif |
Utilisé par l’équipement SRX, le commutateur EX et les points d’accès pour la gestion. |
vlan20 |
20 |
IoT |
Tag |
Utilisé par les appareils IoT. |
vlan30 |
30 |
Sécurité |
Tag |
Utilisé par les caméras de surveillance. |
vlan40 |
40 |
Entreprise |
Tag |
Utilisé par les employés. |
vlan99 |
99 |
Restreint |
Tag |
Par défaut pour tous les autres ports. Prend en charge le profilage dynamique pour réaffecter les équipements reconnus à un VLAN routable. |
Configuration initiale
Configurer srx pour fournir un accès Internet au commutateur EX et au point d’accès Mist
Cette section explique comment configurer l’équipement SRX Series afin de fournir un accès Internet au commutateur EX Series et au point d’accès Mist. Cette connectivité Internet permet au commutateur EX Series et au point d’accès MIST de s’enregistrer auprès du Mist Cloud de Juniper, puis de le configurer. Dans une section ultérieure, vous revisitez le SRX pour ajouter une configuration pour AppQoE.
Vous pouvez déployer cet exemple sur un large éventail d’équipements de passerelle de services SRX. Commençons par la base fonctionnelle ci-dessous. La configuration par défaut définie en usine peut varier d’un modèle SRX à l’autre. Le lecteur doit s’assurer que ses points de référence SRX correspondent aux spécificités de sa topologie.
Charger la configuration de base de départ sur SRX
Assurez-vous que votre passerelle de services SRX dispose d’une base fonctionnelle compatible avec la topologie de l’exemple. Les paramètres par défaut définis en usine peuvent varier en fonction du modèle SRX. Un certain nombre d’équipements SRX prennent en charge cet exemple. Compte tenu de ces variances, il est plus facile de documenter la solution en supposant la base fonctionnelle indiquée ci-dessous.
Suivez ces étapes pour charger votre configuration de base SRX.
-
Après avoir enregistré votre configuration existante, supprimez-la pour la relancer. Voici un exemple :
[edit] root@srx# save backup Wrote 599 lines of configuration to 'backup' [edit] root@srx# delete This will delete the entire configuration Delete everything under this level? [yes,no] (no) yes
-
Attribuez un mot de passe racine solide. Celui ci-dessous est disponible uniquement à des fins de documentation.
[edit] root@srx# set system root-authentication plain-text-password New password: Enter_a_strong_root_password_h3re Retype new password: Enter_a_strong_root_password_h3re
-
Copiez et collez les commandes de configuration de base ci-dessous dans un éditeur de texte et modifiez-les selon les besoins pour s’adapter à votre environnement. Chargez vos commandes modifiées dans l’interface de ligne de commande à l’aide de la commande mode
load set terminalde configuration.set system host-name Mist-SRX-GW set system name-server 8.8.8.8 set system ntp server 216.239.35.12 set system time-zone America/Los_Angeles set system syslog archive size 100k set system syslog archive files 3 set system syslog user * any emergency set system syslog file messages any notice set system syslog file messages authorization info set system syslog file LOG-Accepted-Traffic any any set system syslog file LOG-Accepted-Traffic match RT_FLOW_SESSION_CREATE set system syslog file LOG-Accepted-Traffic archive size 1m set system syslog file LOG-Accepted-Traffic archive files 3 set system syslog file LOG-Blocked-Traffic any any set system syslog file LOG-Blocked-Traffic match RT_FLOW_SESSION_DENY set system syslog file LOG-Blocked-Traffic archive size 1m set system syslog file LOG-Blocked-Traffic archive files 3 set system syslog file LOG-Sessions any any set system syslog file LOG-Sessions match RT_FLOW set system syslog file LOG-Sessions archive size 1m set system syslog file LOG-Sessions archive files 3 set security nat source rule-set trust-to-untrust from zone trust set security nat source rule-set trust-to-untrust to zone untrust set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0 set security nat source rule-set trust-to-untrust rule source-nat-rule then source-nat interface set security policies from-zone trust to-zone trust policy trust-to-trust match source-address any set security policies from-zone trust to-zone trust policy trust-to-trust match destination-address any set security policies from-zone trust to-zone trust policy trust-to-trust match application any set security policies from-zone trust to-zone trust policy trust-to-trust then permit set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone untrust interfaces dl0.0 set interfaces cl-1/0/0 dialer-options pool 1 priority 100 set interfaces dl0 unit 0 family inet negotiate-address set interfaces dl0 unit 0 family inet6 negotiate-address set interfaces dl0 unit 0 dialer-options pool 1 set protocols l2-learning global-mode switching
-
Validez la configuration de base :
[edit] root@srx# commit commit complete [edit] root@Mist-SRX-GW#
Lorsque vous apportez des modifications à l’authentification système ou à l’accès à la gestion, envisagez d’utiliser commit confirmed. La configuration restaurera automatiquement l’accès distant, ce qui entraînera une isolation de l’équipement.
La base de base fournit cette fonctionnalité :
-
Un nom d’hôte système et une authentification de l’utilisateur racine.
-
Nous conservons les paramètres par défaut définis en usine pour le mini-PIM LTE (cl-1/0/0) et les interfaces commuteurs dl0.0.
-
Vous configurez un nom de domaine publiquement accessible et un serveur NTP, ainsi que le fuseau horaire local.
-
Vous modifiez l’aubaine de journalisation du système par défaut pour inclure des informations relatives aux sessions. Les détails sur les sessions bloquées et acceptées sont utiles si vous devez déboguer les problèmes de connectivité sur une passerelle de services SRX.
-
Paramètres de base de la zone de sécurité avec définition des zones de confiance et de non-confiance. Nous utilisons la règle NAT source dans cet exemple. La règle NAT par défaut définie en usine est laissée dans la ligne de base pour enregistrer quelques saisies plus tard.
Exécution de la configuration SRX initiale
-
Créez des VLAN pour les quatre types d’équipements de filiale qui se connectent à l’intranet de l’entreprise. Vous créez également un VLAN d’infrastructure utilisé pour prendre en charge l’attribution d’adresses DHCP au commutateur EX et au point d’accès Mist. L’interface ge-0/0/4 est attribuée au VLAN d’infrastructure. Voir tableau 3.
set vlans vlan-infra vlan-id 1 set vlans vlan20 vlan-id 20 set vlans vlan30 vlan-id 30 set vlans vlan40 vlan-id 40
-
Configurez l’interface ge-0/0/4 utilisée pour fournir des services DHCP au commutateur EX et au point d’accès Mist. Cette configuration définit l’interface comme un tronc avec un balisage VLAN flexible pour prendre en charge un mélange de trafic non marqué et balisé. Dans cet exemple, le VLAN 1 est utilisé comme un VLAN natif qui ne porte pas de balise VLAN.
set interfaces ge-0/0/4 flexible-vlan-tagging set interfaces ge-0/0/4 native-vlan-id 1 set interfaces ge-0/0/4 unit 0 vlan-id 1 set interfaces ge-0/0/4 unit 0 family inet address 192.168.1.1/24
-
Configurez un sous-réseau IP pour chaque VLAN sur l’interface d’agrégation SRX conformément au tableau 2.
set interfaces ge-0/0/4 unit 20 vlan-id 20 set interfaces ge-0/0/4 unit 20 family inet address 10.10.20.1/24 set interfaces ge-0/0/4 unit 30 vlan-id 30 set interfaces ge-0/0/4 unit 30 family inet address 10.10.30.1/24 set interfaces ge-0/0/4 unit 40 vlan-id 40 set interfaces ge-0/0/4 unit 40 family inet address 10.10.40.1/24
-
Configurez un pool d’adresses DHCP utilisé pour attribuer des adresses IP au commutateur EX et au point d’accès Mist. Configurez l’interface ge-0/0/4.0 comme serveur DHCP
set system services dhcp-local-server group InfraPool interface ge-0/0/4.0 set access address-assignment pool InfraPool family inet network 192.168.1.0/24 set access address-assignment pool InfraPool family inet range junosRange low 192.168.1.2 set access address-assignment pool InfraPool family inet range junosRange high 192.168.1.254 set access address-assignment pool InfraPool family inet dhcp-attributes name-server 8.8.8.8 set access address-assignment pool InfraPool family inet dhcp-attributes router 192.168.1.1
-
Créez un serveur DHCP et un pool d’adresses IP pour l’affectation aux équipements sur vlan20. Configurer l’interface ge-0/0/4.20 comme adresse serveur DHCP
set system services dhcp-local-server group IOT-NET_DHCP-POOL interface ge-0/0/4.20 set access address-assignment pool IOT-NET_DHCP-POOL family inet network 10.10.20.0/24 set access address-assignment pool IOT-NET_DHCP-POOL family inet range IOT-NET_DHCP-POOL---IP-RANGE low 10.10.20.10 set access address-assignment pool IOT-NET_DHCP-POOL family inet range IOT-NET_DHCP-POOL---IP-RANGE high 10.10.20.100 set access address-assignment pool IOT-NET_DHCP-POOL family inet dhcp-attributes domain-name MyMistLAB.com set access address-assignment pool IOT-NET_DHCP-POOL family inet dhcp-attributes name-server 8.8.8.8 set access address-assignment pool IOT-NET_DHCP-POOL family inet dhcp-attributes router 10.10.20.1
-
Créez un serveur DHCP et un pool d’adresses IP pour l’affectation aux équipements sur vlan30. Configurer l’interface ge-0/0/4.30 comme adresse serveur DHCP
set system services dhcp-local-server group CAMERA-NET_DHCP-POOL interface ge-0/0/4.30 set access address-assignment pool CAMERA-NET_DHCP-POOL family inet network 10.10.30.0/24 set access address-assignment pool CAMERA-NET_DHCP-POOL family inet range CAMERA-NET_DHCP-POOL---IP-RANGE low 10.10.30.10 set access address-assignment pool CAMERA-NET_DHCP-POOL family inet range CAMERA-NET_DHCP-POOL---IP-RANGE high 10.10.30.100 set access address-assignment pool CAMERA-NET_DHCP-POOL family inet dhcp-attributes domain-name MyMistLAB.com set access address-assignment pool CAMERA-NET_DHCP-POOL family inet dhcp-attributes name-server 8.8.8.8 set access address-assignment pool CAMERA-NET_DHCP-POOL family inet dhcp-attributes router 10.10.30.1
-
Créez un serveur DHCP et un pool d’adresses IP pour l’affectation aux équipements sur vlan40. Configurer l’interface ge-0/0/4.40 comme adresse de serveur DHCP
set system services dhcp-local-server group CORPORATE-NET_DHCP-POOL interface ge-0/0/4.40 set access address-assignment pool CORPORATE-NET_DHCP-POOL family inet network 10.10.40.0/24 set access address-assignment pool CORPORATE-NET_DHCP-POOL family inet range CORPORATE-NET_DHCP-POOL---IP-RANGE low 10.10.40.10 set access address-assignment pool CORPORATE-NET_DHCP-POOL family inet range CORPORATE-NET_DHCP-POOL---IP-RANGE high 10.10.40.100 set access address-assignment pool CORPORATE-NET_DHCP-POOL family inet dhcp-attributes domain-name MyMistLAB.com set access address-assignment pool CORPORATE-NET_DHCP-POOL family inet dhcp-attributes name-server 8.8.8.8 set access address-assignment pool CORPORATE-NET_DHCP-POOL family inet dhcp-attributes router 10.10.40.1
-
Placez les interfaces ge-0/0/3 et ge-0/0/4 dans la zone de confiance. L’interface ge-0/0/4 fonctionne comme un tronc. Assurez-vous d’inclure toutes les unités logiques configurées.
set security zones security-zone trust interfaces ge-0/0/3.0 set security zones security-zone trust interfaces ge-0/0/4.0 set security zones security-zone trust interfaces ge-0/0/4.20 set security zones security-zone trust interfaces ge-0/0/4.30 set security zones security-zone trust interfaces ge-0/0/4.40
Note:Rappelez-vous dans cet exemple que la configuration de base de SRX comporte un ensemble de zones de confiance permettant d’autoriser tous les protocoles et services entrants de l’hôte. Si vous le souhaitez, vous pouvez restreindre les services entrants de l’hôte à dhcp et ICMP uniquement. Cela permet l’attribution d’adresses DHCP et les tests ping suivants entre le commutateur EX et la passerelle de services SRX.
-
Placez l’interface ge-0/0/2 utilisée pour accéder à Internet haut débit dans la zone non sécurisée.
set security zones security-zone untrust interfaces ge-0/0/2.0
-
Configurez l’interface ge-0/0/3 qui se connecte au fournisseur WAN privé. Incluez une description pour indiquer son rôle comme lien vers le WAN privé utilisé principalement pour le trafic stratégique de l’entreprise.
set interfaces ge-0/0/3 unit 0 description "Private WAN Link-Business Critical and broadband internet backup" set interfaces ge-0/0/3 unit 0 family inet address 192.168.220.2/24
-
Vous configurez une route statique par défaut pour la liaison WAN privée qui pointe vers le WAN privé pour le trafic non local. Cette route a une préférence modifiée pour s’assurer qu’elle est moins privilégiée que la route par défaut apprise via DHCP sur la liaison Internet haut débit. La préférence modifiée permet au SRX de router le trafic non classifié sur la liaison Internet haut débit lorsqu’il est opérationnel. Si vous le souhaitez, vous pouvez définir une préférence de 12 pour que les deux routes par défaut équivauent aux coûts, puis équilibrer la charge du trafic non classifié.
set routing-options static route 0.0.0.0/0 next-hop 192.168.220.1 preference 13
-
Placez l’interface ge-0/0/2 dans la zone non sécurisée.
set security zones security-zone untrust interfaces ge-0/0/2.0
-
Configurez l’interface ge-0/0/2 qui se connecte au fournisseur d’accès Internet haut débit. Inclure une description pour indiquer son rôle en tant que lien Internet haut débit et configurer l’interface comme client DHCP. Cette interface reçoit à la fois une adresse IP et un routage par défaut via le serveur DHCP du fournisseur Internet.
set interfaces ge-0/0/2 unit 0 description "Broadband Internet Interface - Primary for business, backup for critical" set interfaces ge-0/0/2 unit 0 family inet dhcp vendor-id Juniper-srx550
-
Configurez la zone non fiable pour prendre en charge DHCP et ping. L’attribution d’adresse basée sur DHCP est utilisée sur la liaison Internet haut débit.
set security zones security-zone untrust host-inbound-traffic system-services dhcp set security zones security-zone untrust host-inbound-traffic system-services ping
Note:Les interfaces non fiables reçoivent un routage par défaut via DHCP ou via le fournisseur de services cellulaires pour la liaison LTE.
-
Vous configurez une stratégie NAT pour le trafic circulant entre les interfaces dans la zone de confiance. La stratégie prend en charge le trafic VLAN sur la liaison WAN privée. La base de départ SRX inclut une règle NAT par défaut définie en usine pour le trafic entre la confiance et les zones non fiables. Cette stratégie par défaut prend en charge le trafic VLAN envoyé à l’Internet haut débit ou aux interfaces LTE.
set security nat source rule-set trust-to-trust from zone trust set security nat source rule-set trust-to-trust to zone trust set security nat source rule-set trust-to-trust rule source-nat-rule1 match source-address 0.0.0.0/0 set security nat source rule-set trust-to-trust rule source-nat-rule1 then source-nat interface
-
Créez un carnet d’adresses et une stratégie de sécurité pour autoriser le trafic entre les zones sécurisées et non sécurisées. Assurez-vous d’inclure les sous-réseaux réseau des quatre VLAN et d’inclure les applications prises en charge dans la stratégie. Vous autorisez toutes les applications tant que le trafic provient d’un des VLAN de la filiale.
set security address-book global address Default 192.168.1.0/24 set security address-book global address IoT 10.10.20.0/24 set security address-book global address Security 10.10.30.0/24 set security address-book global address Corporate 10.10.40.0/24 set security policies from-zone trust to-zone untrust policy trust_vlan-to-untrust match source-address Default set security policies from-zone trust to-zone untrust policy trust_vlan-to-untrust match source-address IoT set security policies from-zone trust to-zone untrust policy trust_vlan-to-untrust match source-address Security set security policies from-zone trust to-zone untrust policy trust_vlan-to-untrust match source-address Corporate set security policies from-zone trust to-zone untrust policy trust_vlan-to-untrust match destination-address any set security policies from-zone trust to-zone untrust policy trust_vlan-to-untrust match application any set security policies from-zone trust to-zone untrust policy trust_vlan-to-untrust then permit
-
Configurez l’interface du modem (LTE-MPIM) et activez l’emplacement à l’aide de la carte SIM insérée.
Note:La base SRX a conservé certains paramètres d’interface du modem à partir d’une configuration par défaut définie en usine.
set interfaces cl-1/0/0 description "LTE Backup Internet Interface - Critical Only" set interfaces cl-1/0/0 act-sim 1 set interfaces cl-1/0/0 cellular-options sim 1 radio-access automatic
-
Configurez l’interface commuter. Assurez-vous de supprimer l’option d’appel par défaut définie en
always-onusine de la configuration. Nous nous attendons à ce que la liaison LTE soit activée à la demande uniquement lorsque le WAN privé et les liaisons Internet haut débit sont en panne.set interfaces dl0 unit 0 dialer-options dial-string "*99" delete interfaces dl0 unit 0 dialer-options always-on
Note:Nous conservons certains des paramètres d’appel par défaut définis en usine dans la configuration de base de départ SRX. Vous assurez-vous de supprimer l’option
always-ond’appel de la ligne de base de départ. Il n’y a aucun mal à essayer de supprimer une instruction de configuration qui n’existe pas. La suppression explicite de cette option empêche toute activation indésirable de la liaison de modem LTE. L’activation du modem LTE a souvent un impact sur la facturation. -
Validez la configuration sur l’équipement SRX.
[edit] root@Mist-SRX-GW# commit commit complete
-
Définissez le nom du point d’accès (APN) pour la carte SIM dans le modem (LTE-MPIM).
request modem wireless create-profile profile-id 10 access-point-name broadband cl-1/0/0 slot 1
Charger un commutateur EX par défaut en usine
Dans cette section, vous chargez et validez une configuration par défaut définie en usine sur le commutateur EX. Cette configuration se traduit par une interface IRB configurée en tant que client DHCP avec tous les ports de commutation appartenant au VLAN par défaut (ID VLAN 1). Grâce à cette configuration, le commutateur EX et le point d’accès Mist peuvent obtenir une adresse DHCP attribuée par le SRX. L’adresse IP provient du pool d’adresses 192.168.1.2-254/24.
Si vous le souhaitez, vous pouvez zeroiser le commutateur EX plutôt que de charger une charge par défaut définie en usine. Un mot de passe racine n’est pas requis lorsque vous zeroizez l’équipement. Si vous optez pour la méthode de zeroize, vous verrez des messages de provisionnement sans intervention (ZTP) sur la console. Vous pouvez entrer dans le mode de configuration et émettre le delete chassis auto-image-upgrade problème suivi par un commit pour empêcher ces messages.
Quelle que soit la méthode utilisée, une fois sous le contrôle de Juniper Mist Cloud, un mot de passe racine sera (reconfiguré).
-
Accédez au commutateur EX à l’aide de la console et chargez la configuration par défaut définie en usine.
[edit] root@ex# load factory-default warning: activating factory configuration
-
Attribuez un mot de passe racine solide. Celui ci-dessous est disponible uniquement à des fins de documentation.
[edit] root@ex# set system root-authentication plain-text-password New password: Enter_a_strong_root_password_h3re Retype new password: Enter_a_strong_root_password_h3re
-
Valider la configuration par défaut modifiée en usine :
[edit] root@ex# commit commit complete [edit] root@ex#
Note:Après le chargement d’une fonction par défaut définie en usine, le nom de l’hôte précédemment assigné reste en vigueur jusqu’au redémarrage du commutateur EX.
À ce stade, le SRX doit disposer d’une connectivité à la fois sur le WAN privé et sur les fournisseurs d’Internet haut débit. En outre, il aurait dû attribuer des adresses IP au commutateur EX et au point d’accès Mist du pool d’adresses 192.168.1.0/24. La configuration DCHP fournie aux points d’accès et ex comprend un serveur de noms de domaine et un routage par défaut.
Vous configurez le SNAT pour le trafic entre les zones de confiance et de non-confiance, ainsi que pour le trafic entre les interfaces de la zone de confiance.
Vérifier la connectivité Internet initiale via le SRX
But
Vérifiez que le SRX dispose d’une connectivité Internet via le WAN privé et les liaisons haut débit. Vérifiez également que le SRX fournit un accès Internet (avec SNAT) au commutateur EX (et au point d’accès Mist).
Action
root@mist-SRX-GW> show dhcp client binding
IP address Hardware address Expires State Interface
172.16.1.22 f0:4b:3a:09:ca:02 68649 BOUND ge-0/0/2.0
root@mist-SRX-GW> show route
inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
0.0.0.0/0 *[Access-internal/12] 00:27:07, metric 0
> to 172.16.1.1 via ge-0/0/2.0
[Static/13] 01:04:13
> to 192.168.220.1 via ge-0/0/3.0
. . .
root@mist-SRX-GW> ping www.juniper.net inet count 2
PING e1824.dscb.akamaiedge.net (184.30.231.148): 56 data bytes
64 bytes from 184.30.231.148: icmp_seq=0 ttl=49 time=3.138 ms
64 bytes from 184.30.231.148: icmp_seq=1 ttl=49 time=3.292 ms
--- e1824.dscb.akamaiedge.net ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 3.138/3.215/3.292/0.077 ms
.
Les deux routes par défaut sont présentes sur l’équipement SRX. En raison de la modification de la préférence de routage pour la route statique par défaut vers le fournisseur WAN, vous vous attendez à ce que tout le trafic soit dirigé sur la liaison Internet haut débit lorsqu’il sera opérationnel. Le SRC dirige le trafic vers la liaison WAN privée lorsque la liaison Internet haut débit est en panne. La sortie confirme également que le SRX a reçu une adresse IP et un routage par défaut via DHCP du fournisseur d’accès Internet haut débit.
La sortie confirme également que le SRX dispose d’un accès Internet et d’une résolution des noms de travail. Vous pouvez vérifier que les deux chemins de transfert fonctionnent en désactivant alternativement le WAN privé ou les liaisons Internet haut débit (non illustrées par la brièveté).
Dans la troisième partie de cette NCE, vous ajoutez le routage avancé basé sur des stratégies (APBR), les sondes de surveillance des performances et les instances de routage. Cette configuration dirige le trafic applicatif correspondant à une instance de routage, puis sélectionne le saut suivant en fonction de l’état actuel du WAN privé et des liaisons Internet haut débit dans le cadre d’AppQoE. Après avoir configuré APBR, vous vous attendez à voir un trafic critique prendre la liaison WAN privée malgré la préférence de routage plus faible dans l’instance principale.
Confirmez l’attribution de l’adresse DHCP au commutateur EX et au point d’accès Mist.
Vérifiez que le SRX attribue des adresses IP au commutateur EX et au point d’accès Mist joint. Vous pouvez obtenir l’adresse MAC de l’EX avec la show interfaces irb commande. Vous confirmez l’adresse MAC du point d’accès Mist en regardant l’autocollant sur le châssis. Dans cet exemple, l’adresse MAC du commutateur EX se termine par A2:01, et le point d’accès Mist se termine par C3:37.
Des adresses DHCP du pool 192.168.1.0/24 peuvent être attribuées à d’autres clients filaires du commutateur EX. Comme illustré ici pour l’équipement filaire d’entreprise avec une adresse MAC se terminant par 80:84. Plus tard dans cet exemple, vous configurez l’agrégation VLAN et les pools d’adresses DHCP par VLAN pour les clients filaires et sans fil.
root@mist-SRX-GW> show dhcp server binding IP address Session Id Hardware address Expires State Interface 192.168.1.5 44 20:4e:71:a6:a7:01 85013 BOUND ge-0/0/4.0 192.168.1.2 41 d4:20:b0:00:c3:37 78301 BOUND ge-0/0/4.0 192.168.1.7 45 ec:3e:f7:c6:80:84 64379 BOUND ge-0/0/4.0
La sortie confirme que l’équipement SRX a attribué des adresses IP au commutateur EX, au point d’accès Mist et à un client d’entreprise filaire.
Les baux DHCP peuvent persister pendant plusieurs heures. Parfois, dans un environnement de laboratoire, il est utile de redémarrer le processus DHCP sur le SRX et le commutateur EX pour accélérer les opérations. Utilisez la restart dhcp-service immediately commande pour exécuter cette action. Vous pouvez également utiliser des commandes telles que clear dhcp [server|client] binding all l’actualisation de l’état DHCP.
Vérifier la connectivité Internet à partir du commutateur EX.
Vous ne pouvez pas générer de pings à partir du point d’accès Mist. Vous déterminez sa connexion Internet et son état de connexion cloud en regardant le motif de clignement de clignement de DEL selon le motif de clignement de clignement de LED.
{master:0}
root> show route
inet.0: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
0.0.0.0/0 *[Access-internal/12] 00:00:07, metric 0
> to 192.168.1.1 via irb.0
192.168.1.0/24 *[Direct/0] 00:03:55
> via irb.0
192.168.1.3/32 *[Local/0] 00:03:55
Local via irb.0
{master:0}
root> ping www.juniper.net inet count 2
PING e1824.dscb.akamaiedge.net (104.86.1.14): 56 data bytes
64 bytes from 104.86.1.14: icmp_seq=0 ttl=43 time=4.064 ms
64 bytes from 104.86.1.14: icmp_seq=1 ttl=43 time=4.315 ms
--- e1824.dscb.akamaiedge.net ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 4.064/4.190/4.315/0.125 ms
La sortie indique que le commutateur EX se voit attribuer une adresse IP du pool d’adresses 192.168.1.0/24 et qu’un routage par défaut DHCP lui est attribué. Vous confirmez l’accès à Internet et la résolution des noms de domaine avec un ping réussi vers www.juniper.net.
Vérifier la connectivité Internet sur le point d’accès Mist. Vous pouvez déterminer sa connectivité Internet et l’état de sa connexion cloud en regardant le motif de clignement de clignement de DEL selon le motif de clignement de clignement de LED.
À ce stade de l’exemple, le point d’accès Mist doit disposer d’un accès Internet et être en mesure de se connecter au Mist Cloud de Juniper. Par conséquent, vous vous attendez à voir une SOLIDE DEL blanche. Vous configurez le point d’accès via Juniper Mist Cloud dans une étape ultérieure, à laquelle la DEL doit passer au vert.
Vérifiez que le protocole LLDP fonctionne entre le commutateur EX et le point d’accès Mist connecté. Cet exemple utilise l’ID de châssis (adresse MAC) appris via LLDP pour profiler automatiquement les ports avec les points d’accès Mist connectés. Un profil d’agrégation est appliqué aux ports dotés d’adresses MAC équivalentes.
{master:0}
root> show lldp neighbors
Local Interface Parent Interface Chassis Id Port info System Name
ge-0/0/5 - d4:20:b0:00:c3:37 ETH0 Mist
La sortie vérifie que le commutateur EX et le point d’accès Mist échangent correctement des messages LLDP. Notez l’adresse MAC du point d’accès Mist en sortie. Cette adresse MAC est utilisée dans une section ultérieure pour prendre en charge le profilage dynamique.
Sens
Les étapes de validation confirment que tout fonctionne comme prévu. Les deux routes par défaut sont présentes sur le SRX. Vous avez également vérifié l’attribution de l’adresse DHCP au commutateur EX, au point d’accès Mist et au client d’entreprise filaire. Le commutateur EX et le point d’accès Mist ont désormais l’accès Internet nécessaire pour être configurés et gérés via Juniper Mist Cloud.
Vérification de la détection des modules mini-PIM par Junos OS
But
Vérifiez que Junos OS détecte les modules mini-PIM.
Action
Vérifiez l’installation du mini-PIM LTE sur l’équipement SRX.
user@host> show chassis hardware
root@Mist-SRX-GW> show chassis hardware
Hardware inventory:
Item Version Part number Serial number Description
Chassis DA4018AK0020 SRX550M
Midplane REV 12 750-063950 BCAL7302
Routing Engine REV 07 711-062269 BCAH4029 RE-SRX550M
FPC 0 FPC
PIC 0 6x GE, 4x GE SFP Base PIC
FPC 1 REV 03 650-096889 EV2619AF0085 FPC
PIC 0 LTE for AE
FPC 2 REV 08 750-032730 ACPX8538 FPC
PIC 0 1x GE High-Perf SFP mPIM
FPC 5 REV 04 750-064615 BCAH7052 FPC
PIC 0 8x GE SFP gPIM
FPC 7 REV 13 750-030454 ACLZ9488 FPC
Power Supply 0 Rev 05 740-024283 CI03052 PS 645W AC
Sens
La sortie confirme l’installation et la reconnaissance du mini-PIM LTE.
Vérification de la version du firmware du mini-PIM
But
Vérifiez la version du firmware du mini-PIM.
Action
Sur l’équipement SRX Series, vérifiez la version du firmware du module Mini-PIM LTE.
user@host>show system firmware
Part Type Tag Current Available Status
version version
FPC 1
PIC 0 MLTE_FW 1 17.1.80 0 OK
FPC 2
PIC 0 SFPI2CMFPGA 13 0.9.0 0 OK
Routing Engine 0 RE BIOS 0 2.10 2.10 OK
Routing Engine 0 RE BIOS Backup 1 2.10 2.10 OK
Sens
La sortie affiche la version du firmware du mini-PIM sous la forme 17.1.80. Mettez à jour le firmware si nécessaire. Pour plus d’informations sur la mise à niveau du firmware sur le LTE, reportez-vous au mini-module d’interface physique LTE.