Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

SRX 系列防火墙的全栈设计

由 Mist AI™ 全栈设计的瞻博网络® SD-WAN 示例是 SRX 系列防火墙 Mist WAN 保证部署的后续产品。有关更多详细信息,请参阅 WAN 保证配置概述

概述

通过此配置示例,您可以通过集成 Mist 接入点和瞻博网络 EX 交换机来扩展网络功能。此全栈示例向您展示如何与部署在 Wired Assurance 中的瞻博网络 EX 系列交换机一起设置瞻博网络 SD-WAN SRX 系列 WAN 边缘设备。这会将您的所有网络设备整合到一个统一的入网、监控和故障排除仪表板中。

该示例从最高级别的 WAN 保证开始,重点关注 SRX 系列防火墙。假设您已经在中心辐射型网络中部署了 SRX 系列防火墙。SRX 系列防火墙是构建整个网络的 WAN 边缘设备和基础。

对于这种全栈设计,您至少需要一台瞻博网络 EX 交换机才能接入 Mist 云。如果您计划使用虚拟电路进行高级测试,则最好使用两台 EX 交换机。此外,您还可以在设置中加入 Mist 接入点,以增强网络的无线功能。通过将接入点和交换机集成到您的 LAN 网络中以便由 Mist 进行管理,即可通过瞻博网络 Mist 门户仪表板轻松监控和控制 WAN 边缘设备、交换机和接入点。

图 1 显示了此示例中使用的全栈瞻博网络 Mist WAN 保证拓扑。

图 1:瞻博网络® Mist 验证设计 - 具有无线和有线保证的 Mist WAN 保证 Juniper® Mist Validated Design - Mist WAN Assurance with Wireless and Wired Assurance

要求

首先,您需要更改在 SRX 系列防火墙上为 WAN 部署配置的一些接口。在此示例中,我们将使用 WAN 边缘模板更改接口。您可以在此处找到有关 WAN 边缘模板的详细信息: 为 SRX 系列防火墙配置 WAN 边缘模板

此外,此示例还使用:

  • Desktop3 VM (VLAN1077) - 用作无线客户端 Raspberry Pi 的查看器。或者,您可以使用本地笔记本。
  • 桌面 1 虚拟机 (VLAN1099) - 已连接到新分支交换机的接口 ge-0/0/0

创建新的分支配置模板

要快速高效地创建新的分支配置,您可以克隆现有分支的模板,然后进行必要的更改。它使事情变得容易得多。

  1. 在瞻博网络 Mist™ 门户中,单击组织> WAN > WAN 边缘模板
    图 2:导航到 WAN 边缘模板 Navigate to WAN Edge Template
    注意:

    您也可以通过导入共享 JSON 文件来创建模板。
    此时将显示现有模板的列表(如果有)。
    图 3:WAN 边缘模板 List of WAN Edge Templates列表

    通过克隆现有分支模板来创建分支模板。

  2. 单击更多,然后选择克隆
    图 4:为模板 Selecting Clone Option for Template选择克隆选项
  3. 输入名称作为交换机分支,然后单击克隆
    图 5:保存克隆的模板 Saving Cloned Template
    提示:

    克隆后刷新浏览器。这可确保显示的对象真正刷新。

编辑 LAN 接口

  1. 在 LAN 接口配置部分,编辑现有接口 (LAN1)。
    图 6:模板 LAN Interface Configuration on Template上的 LAN 接口配置
    将 LAN1 接口的名称更改为 SPOKE-LAN1 ,并应用以下更改:
    图 7:修改 LAN 接口配置 Modify LAN Interface Configuration
    • 接口 - ge-0/0/5、ge-0/0/6。
    • 端口聚合 — 启用。
    • 启用强制 - 启用。当交换机在 LAG 中没有专用 OOB 接口且使用带内托管接口时,建议使用此配置。此设置可防止交换机失去与瞻博网络 Mist 云的连接
    • AE 索引 - 0(因为没有启用 LAG 端口)。
  2. 继续配置 SPOKE-LAN1 接口:
    图 8:修改 LAN 接口配置 Modify LAN Interface Configuration

    • 未标记的 VLAN - 是。此设置允许 VLAN 访问/本机向交换机分发 DHCP 租约。否则,请将站点变量 {{SPOKE_LAN1_VLAN}} 设置为“0”以获得相同的结果。

    • DHCP — 服务器

    • IP Start—{{SPOKE_LAN1_PFX}}.100

    • IP End—{{SPOKE_LAN1_PFX}}.199

    • 网关—{{SPOKE_LAN1_PFX}}.1

    • DNS 服务器 - 8.8.8.8、9.9.9.9

  3. 图 9显示了您修改的 LAN 接口。
    图 9:LAN 接口 Summary of LAN Interface摘要
  4. 单击保存以保存更改。
    图 10:保存 WAN 边缘模板 Saving WAN Edge Template

将新模板分配给站点

  1. 滚动到 WAN Edge 模板页面顶部,然后单击分支面板下的分配到站点
    图 11:将分支模板分配给站点 Assign Spoke Templates to Sites
  2. 在“将模板分配给站点”窗格中,选择分支 1-site 模板,然后单击“应用”。
    图 12:选择要分配分支模板 Select Sites to Assign Spoke Templates的站点
  3. 查看模板设置,如图 13 所示。
    图 13:WAN 边缘模板 Details of WAN Edge Template的详细信息

将交换机添加到拓扑

现在是时候将交换机上线并将其添加到您的基础架构中了。有关如何载入交换机的详细信息,请参阅瞻博网络 技术库中交换机的产品文档。

有关在瞻博网络 Mist AI 云门户中启动并运行新的云就绪 EX 交换机的详细信息,请参阅 带 Mist 的云就绪 EX 和 QFX 交换机

要将交换机分配到站点:

  1. 在瞻博网络 Mist 门户中,单击组织>管理员>清单
    图 14:导航到清单 Navigating to Inventory
  2. 在“清单” 页面中,确保将清单视图设置为 “org(整个组织) ”,然后刷新浏览器,直到看到所有设备。
    图 15:库存 EX Series Switch in Inventory中的 EX 系列交换机
  3. 选择新交换机,然后单击分配到站点
  4. 在“分配交换机”页上:
    • 选择 分支 1 站点
    • 禁用 使用 Mist 选项管理配置 。如果需要,您可以在稍后阶段启用此选项。
    图 16:选择要分配交换机 Selecting Site for Assigning Switch的站点
  5. 单击“分配到站点”。
  6. 将设备分配到站点后,确认清单中的更改。

    您可以在“新建站点”下看到分支 1-site

    图 17:分配给站点详细信息 Assigned Switch to Site Details的交换机
  7. 在瞻博网络 Mist 门户中,转至交换机并选择分支 1 站点
    图 18:选择要修改 Selecting Assigned Switch for Modification的已分配交换机
    该页面将显示分配给站点的交换机列表。
  8. 单击所需的交换机,打开交换机配置页面。
  9. 验证设备名称,然后向下滚动到“交换机配置”部分并选中“启用配置管理”。
    图 19:分配的交换机 Configuration of Assigned Switch的配置
  10. “端口配置”下,单击“添加端口范围”。
    图 20:已分配交换机 Port Configuration of Assigned Switch的端口配置
  11. 在“新建端口范围”页中,配置以下选项:

    • 启用 端口聚合

    • AE 指数 设置为 0 以确保两边的 AE 指数相同。

    • 端口 ID 设置为 ge-0/0/1 和 ge-0/0/2(LAG 的两个端口)。

    • 选择现有 配置文件 作为 上行链路

    图 21:已分配交换机 Port Configuration of Assigned Switch的端口配置
  12. 图 20 显示了端口配置的摘要。
    图 22:分配的交换机 Port Configuration of Assigned Switch的端口配置
  13. 保存更改。
    图 23:保存更改 Save Changes
您现在已将瞻博网络交换机添加到 Mist WAN 保证部署中。
或者,您可以使用远程 Shell 确认交换机具有指向 SRX 系列防火墙的两个链路,如以下示例所示:

参见