在此页面上

配置中心配置文件
将 LAN 接口添加到集线器配置文件
配置流量引导策略
配置应用程序策略
通过克隆现有中心配置文件来创建第二个中心配置文件
集线器到集线器叠加

为 SRX 系列防火墙配置中枢配置文件

瞻博网络 Mist™ 云拓扑中的每个集线器设备都必须有自己的配置文件。集线器配置文件是在瞻博网络 WAN 保证中创建叠加层并为该叠加层上的每个 WAN 链路分配路径的便捷方式。

中心配置文件和 WAN 边缘模板之间的区别在于，你将中心配置文件应用于中心站点上的单个设备。WAN 边缘模板绑定到具有多个设备的分支站点，并通过跨多个站点的相同模板进行绑定。每个中心 WAN 接口都会为辐射创建一个叠加端点。分支 WAN 接口映射相应的中心 WAN 接口，从而定义拓扑。中心配置文件推动覆盖网络上路径的添加和删除。

当您为瞻博网络® SRX 系列防火墙创建中心配置文件时，Mist 云会自动生成并安装 SSL 证书。它还会设置 WAN 上行链路探测以进行故障转移检测。

在此任务中，您将创建一个中心配置文件，然后克隆该配置文件，以在瞻博网络 Mist 云门户中创建第二个中心配置文件。

配置中心配置文件

集线器配置文件由与特定集线器设备关联的属性集组成。集线器配置文件包括名称、LAN、WAN、流量引导、应用程序策略和路由选项。您可以将中心配置文件分配给中心设备，在将中心配置文件加载到站点后，分配给站点的设备将选取该中心配置文件的属性。

要配置中心配置文件，请执行以下操作：

在瞻博网络 Mist 云门户中，单击组织> WAN > Hub 配置文件。
此时将显示现有配置文件的列表（如果有）。
单击右上角的创建配置文件。

注意：
还可以通过使用“ 导入配置文件 ”选项导入 JavaScript 对象表示法（JSON 文件）来创建中心配置文件。

输入配置文件的名称，然后单击创建。

表 1 汇总了可以在中心配置文件中设置的选项。

表 1：集线器配置文件选项
字段	说明
名字	配置文件名称。输入配置文件的唯一名称。配置文件名称最多可包含 64 个字符。示例：集线器 1。
NTP	网络时间协议（NTP）服务器的 IP 地址或主机名。NTP 允许网络设备将其时钟与互联网上的中央源时钟同步。
适用于设备	用于关联中心配置文件的站点。下拉菜单显示当前站点清单中可用的 WAN 边缘设备列表。
枢纽组	通过指定中心组标识符（编号）来配置中心组。集线器组用于对集线器设备进行逻辑分组。中心组可帮助你横向扩展中心体系结构。通过将一组设备分配给中心组，分支可以形成指向组内中心终结点的叠加路径。每个中心组限制为 31 个中心终结点。
DNS 设置	域名系统（DNS）服务器的 IP 地址或主机名。网络设备使用 DNS 名称服务器将主机名解析为 IP 地址。
安全边缘连接器	安全边缘连接器详细信息。安全边缘对瞻博网络 Mist 云门户管理的 WAN 边缘设备执行流量检查。
广域网	WAN 接口详细信息。中心配置文件使用这些详细信息为辐射创建覆盖端点。对于每个 WAN 链路，您可以定义物理接口、WAN 类型（以太网或 DSL）、IP 配置以及接口的叠加中枢端点。请参阅将 WAN 接口添加到集线器配置文件。
局域网	LAN 接口详细信息。本节列出了将集线器连接到 LAN 分段的 LAN 接口的集线器端。您可以分配网络、创建 VLAN 以及设置 IP 地址和 DHCP 选项（无、中继或服务器）。请参阅将 LAN 接口添加到集线器配置文件。
流量引导	转向路径。定义流量到达目的地的不同路径。对于任何流量转向策略，您可以包括流量遍历的路径以及利用这些路径的策略。请参阅配置流量引导策略。
应用程序策略	用于实施流量规则的策略。定义网络（源）、应用程序（目标）、流量引导策略和策略操作。请参见配置应用程序策略。
路由	用于在中心和分支之间路由流量的路由选项。您可以启用边界网关协议（BGP）底层路由（其中动态学习路由），或使用静态路由手动定义路由。看
CLI 配置	CLI 配置命令。如果要配置模板 GUI 中不可用的设置，可以使用设置格式的 CLI 命令对其进行配置。

单击保存。

将 WAN 接口添加到中枢配置文件

为中心配置文件创建 WAN 接口。WAN 接口成为跨 SD-WAN 的连接。中心配置文件会自动为每个 WAN 接口创建叠加端点。请注意，在叠加中心端点中，您可以向分支（分支）介绍中心端点。

要将 WAN 接口添加到中枢配置文件，请执行以下操作：

向下滚动到 WAN 部分，然后单击添加 WAN 以打开添加 WAN 配置窗格。

根据表 2 中提供的详细信息完成配置。

表 2：WAN 接口配置
现场	WAN 接口 1	WAN 接口 2
名称（标签而非技术）	伊内特	MPLS
覆盖中心端点（自动生成）	集线器1-INET	中枢1-MPLS
WAN 类型	以太网	以太网
接口	ge-0/0/0	ge-0/0/1
虚拟帧 ID	-	-
IP地址	{{WAN0_PFX}}.254	{{WAN1_PFX}}.254
前缀长度	24	24
网关	{{WAN0_PFX}}.1	{{WAN1_PFX}}.1
源 NAT	检查接口。	检查接口。
公共 IP 的替代	检查公共 IP 的覆盖。提供公共 IP={{WAN0_PUBIP} }	检查公共 IP 的覆盖。提供公共 IP={{WAN1_PUBIP} }
公共 IP	{{WAN0_PUBIP}}	{{WAN1_PUBIP}}

注意：

使用网络地址转换（NAT）以及播发公共 IP 地址，除非 WAN 地址是可公开路由的地址。

点击保存

图 1 显示了您创建的 WAN 接口列表。

图 1：配置的 WAN 接口

将 LAN 接口添加到集线器配置文件

LAN 接口的集线器端将集线器设备连接到 LAN 网段。

要将 LAN 接口添加到集线器配置文件，请执行以下操作：

向下滚动到 LAN 部分，单击添加 LAN 按钮以打开添加 LAN 配置窗格。

根据表 3 中提供的详细信息完成配置。

表 3：LAN 接口配置
现场	LAN 接口
网络	HUB1-LAN1（从下拉列表中选择现有网络）
接口	ge-0/0/4
IP地址	{{HUB1_LAN1_PFX}}.1
前缀长度	24
未标记的 VLAN	不
DHCP	不

单击保存。
图 2 显示了您创建的 LAN 接口。
图 2：配置的 LAN 接口

配置流量引导策略

在流量转向中，您可以定义应用程序流量遍历网络的不同路径。您在流量转向中配置的路径决定了目标区域。对于任何流量转向策略，您都需要定义要遍历的流量路径以及利用这些路径的策略。战略包括：

已订购 — 从指定路径开始，并在需要时故障转移到备份路径
加权 - 根据加权偏差（由您输入的成本确定）在链路之间分配流量
等价多路径 — 在多条路径之间均衡负载均衡流量

将集线器配置文件应用于设备时，流量引导策略将确定叠加网络、WAN 和 LAN 接口、策略顺序以及等价多路径（ECMP）的使用。该策略还确定接口或接口组合如何交互以引导流量。

要配置流量引导策略，请执行以下操作：

向下滚动到流量引导部分，然后单击添加流量引导以显示流量引导配置窗格。

根据表 4 中提供的详细信息，配置三个流量引导策略：一个用于叠加，一个用于底层，一个用于中央分支。

表 4：流量引导策略配置
现场	流量引导策略 1	流量控制策略 2	流量控制策略 3
名字	底层（HUB-LAN）	覆盖	中央分线
策略	命令	ECMP	命令
路径对于路径类型，现有 LAN 和 WAN 网络可供选择为端点。	类型 — LAN 网络 —HUB1-LAN1	类型 - WAN 网络 — hub1-INET 和 hub1-MPLS	类型 - WAN 网络 —WAN：INET 和 WAN：MPLS

图 3 显示了您创建的流量引导策略的列表。

图 3：流量引导策略

配置应用程序策略

在应用程序策略中，您可以定义哪些网络和用户可以访问哪些应用程序，以及根据哪个流量转向策略。网络/用户中的设置确定源区域。应用程序和流量引导路径设置确定目标区域。此外，您还可以分配策略操作 — 允许或拒绝以允许或阻止流量。Mist 按照您在门户中列出的顺序评估和应用应用程序策略。您可以使用向上箭头和向下箭头更改策略的顺序。

图 4 显示了此任务中的不同流量方向要求。该图描述了企业 VPN 设置的基本初始流量模型（未显示第三分支设备和第二中心设备）。

图 4：流量方向拓扑 Traffic-Direction Topology

在此任务中，您将创建以下应用程序规则以允许流量：

规则 1 — 允许来自分支站点的流量到达中心站点（以及连接到中心设备的 DMZ 中的服务器）。
规则 2 — 允许来自连接到中心的 DMZ 中的服务器的流量到达分支设备。
规则 3 — 允许来自分支设备的流量通过中心设备到达分支设备发夹
规则 4 — 允许从集线器设备到互联网的互联网绑定流量（本地分支）。在此规则中，将目标定义为 IP 地址为 0.0.0.0/0 的“任意”。流量使用应用 SNAT 的 WAN 底层网络接口到达互联网上的 IP 地址，作为本地分支。
注意：
避免创建具有相同目标名称和 IP 地址 0.0.0.0/0 的规则。如果需要，请使用 IP 地址 0.0.0.0/0 创建具有不同名称的目标。
从分支设备直接传输到互联网（不通过中心设备）。在此规则中，将目标定义为 IP 地址为 0.0.0.0/0 的“任意”。流量使用应用 SNAT 的 WAN 底层网络接口到达互联网上的 IP 地址，作为本地分支。此方法在中心为所有分支设备实现中央分线。

要配置应用程序策略：

向下滚动到“应用程序策略”部分，单击“添加策略”以在策略列表中创建新规则。
注意：
- 对于 SRX 系列防火墙，您必须将流量引导策略关联到应用程序策略。
- 策略列表中应用程序策略的顺序对于 SRX 系列防火墙非常重要。
单击“名称”列并为策略命名，然后单击蓝色复选标记以应用更改。

图 5：添加新的应用程序策略

根据表 5 中提供的详细信息创建应用程序规则。

网络

表 5：应用程序策略规则配置
不。（策略顺序）	规则名称		操作	目标	转向
1	辐条到中枢DMZ	都。辐射-LAN1	通过	集线器1-LAN1	集线器局域网
2	中枢-DMZ 到辐射型	集线器1-LAN1	通过	辐射-LAN1	覆盖
3	轮毂发夹上的辐条到辐条	都。辐射-LAN1	通过	辐射-LAN1	覆盖
4	集线器-DMZ 到互联网	集线器1-LAN1	通过	任何	杠杆收购
5	辐射-流量-CBO-on-Hub	都。辐射-LAN1	通过	任何	杠杆收购

图 6 显示了您创建的应用程序策略的列表。

图 6：应用程序策略摘要 Application Policy Summary

在上图中，绿色计数器标记表示您为图 4 中的流量需求创建的策略。

允许 ICMP ping 进行调试和检查设备连接。
SRX 系列防火墙的默认安全配置不允许从 LAN 设备到 WAN 边缘路由器的本地接口执行 ICMP ping 操作。在设备尝试连接到外部网络之前，可能需要测试连接性。您可以允许 ICMP ping 进行调试和检查设备连接。

在 SRX 系列防火墙上，您可以使用以下 CLI 配置语句来允许对本地 LAN 接口执行 ping 操作以进行调试。

通过克隆现有中心配置文件来创建第二个中心配置文件

集线器设备在整个网络中都是唯一的。您必须为每个集线器设备创建一个单独的配置文件。瞻博网络 Mist™ 使您能够通过克隆现有配置文件并在需要时应用修改来创建集线器配置文件。

要通过克隆现有中心配置文件来创建第二个中心配置文件，请执行以下操作：

在瞻博网络 Mist 云门户中，单击组织> WAN > Hub 配置文件。
此时将显示现有中心配置文件的列表（如果有）。
单击要克隆的中心配置文件（例如：hub1）。此时将打开所选中心配置文件的配置文件页。
在屏幕右上角，单击更多，然后选择克隆。

图 7：使用克隆选项创建新的中心配置文件
为新配置文件命名（例如：hub2），然后单击克隆。

如果您在命名配置文件时看到任何错误，请刷新浏览器。
开始配置配置文件。由于在创建原始中心配置文件时使用了变量，因此无需从头开始配置所有选项。您只需更改所需的配置即可反映 HUB2 详细信息。例如，将“网络”更改为“HUB2-LAN1”，并将 IP 地址更改为 {{HUB2_LAN1_PFX}}.1。

图 8：编辑克隆的配置文件
更改 LAN 接口以包括 HUB2。示例：HUB2-LAN1 和 {{HUB2_LAN1_PFX}}.1
确认配置中的变量已更改，以反映 hub2 配置文件详细信息。示例：叠加定义已更改为 hub2-INET 和 hub2-MPLS。

图 9：更新的流量引导策略
向下滚动到流量引导窗格并编辑条目以将路径更改为 LAN：HUB2-LAN1。

图 10：更新流量转向策略中的路径

根据表 6 中提供的详细信息更新应用程序规则。例如，在适用的情况下，将 HUB1-LAN 更改为 HUB2-LAN。

网络

表 6：应用程序规则配置
S.No。	规则名称		操作	目标	转向
1	辐条到中枢DMZ	都。辐射-LAN1	通过	集线器2-LAN1	集线器局域网
2	中枢-DMZ 到辐射型	集线器2-LAN1	通过	辐射-LAN1	覆盖
3	轮毂发夹上的辐条到辐条	都。辐射-LAN1	通过	辐射-LAN1	覆盖
4	集线器-DMZ 到互联网	集线器2-LAN1	通过	任何	杠杆收购
5	辐射-流量-CBO-on-Hub	都。辐射-LAN1	通过	任何	杠杆收购

图 11 显示了保存更改后更新的应用程序策略的详细信息。

图 11：更新的应用程序策略摘要 Updated Application Policy Summary

集线器到集线器叠加

通过集线器到集线器叠加功能，可以在两个集线器设备之间形成对等路径。您可以将中心到中心的叠加路径用作源自站点的数据中心流量的首选路由。此外，在涉及中心到辐射型连接的情况下，这些中心到中心覆盖网络可用作故障转移路径。

配置中心到中心叠加
验证

配置中心到中心叠加

要创建集线器到集线器叠加网络，一个集线器的 WAN 接口映射到另一个集线器的 WAN 接口，从而形成叠加层并指定流量路径。

注意：

集线器到集线器覆盖可以在两个集线器设备上利用不同的 WAN 接口。在两个集线器上的相同 WAN 接口之间形成叠加并非强制性要求。

假设您有两个集线器，即集线器设备 A 和集线器设备 B，并且您希望在它们之间建立叠加层。

集线器设备 A 配备了两个 WAN 接口：WAN-1-A 和 WAN-2-A。您必须将这些 WAN 接口与中枢设备 B 的 WAN 接口（WAN-1-B 和 WAN-2-B）配对，并将其标记为中枢端点。

同样，对于集线器设备 B：

它具有两个 WAN 接口：WAN-1-B 和 WAN-2-B。这些接口应链接到中心设备 A（WAN-1-A 和 WAN-2-A）的 WAN 接口，以完成作为中心终结点的设置。

使用以下步骤创建中心终结点：

在瞻博网络 Mist 门户上，选择 WAN Edge 并单击中心设备。确保选择的集线器设备必须是集线器拓扑的一部分。
图 12：集线器拓扑中的集线器设备
在“ WAN 边缘> Device-Name ”页上，转到“属性”部分，然后向下滚动到“Hub 配置文件”。
单击中心配置文件链接以打开中心配置文件页面。
向下滚动到 WAN 部分，然后单击要用于叠加的 WAN 接口。
在编辑 WAN 配置窗口中，向下滚动到中心到中心端点，然后单击添加中心到枢纽端点选项。
图 13：添加中心到中心端点
1. 从下拉菜单中选择一个中枢端点点（WAN 接口）。选择其他集线器设备的 WAN 接口以建立叠加连接。
  图 14：选择要叠加的 WAN 接口
2. 单击保存。所选中心终结点将显示在 WAN 窗格中的“中心到中心终结点”列下。
选择另一个 WAN 接口，然后重复相同的过程以添加另一个端点。
现在，两个终结点都显示在 WAN 窗格中的“中心到中心终结点 ”列下。
图 15：第一个集线器设备的已配置中心到中心端点
单击保存。

现在，让我们配置其他中心设备的 WAN 接口，以完成作为中心端点的设置。

在瞻博网络 Mist 门户上，选择 WAN Edge 并单击中心设备。这是您之前选择用于建立叠加网络的 WAN 接口的中心设备。
在“ WAN 边缘> Device-Name ”页上，转到“属性”部分，然后向下滚动到“Hub 配置文件”。
单击中心配置文件链接以打开中心配置文件页面。
向下滚动到 WAN 部分，然后单击要用于叠加的 WAN 接口。
在编辑 WAN 配置窗口中，向下滚动到中心到中心端点，然后单击添加中心到枢纽端点选项。
1. 从下拉菜单中选择一个中心端点点。选择在上一过程中配置的同一中心设备的 WAN 接口
2. 单击保存。所选中心终结点将显示在 WAN 窗格中的“中心到中心终结点”列下。
选择另一个 WAN 接口，然后重复相同的过程以添加另一个端点。
现在，两个终结点都显示在 WAN 窗格中的“中心”中枢终结点列下。
图 16：第二个集线器设备的已配置集线器到集线器终结点
单击保存。

验证

在瞻博网络 Mist 门户上，您可以通过检查 WAN 边缘设备的拓扑来验证已建立的中枢到中枢叠加：

在“WAN 边缘”页上， “拓扑 ”列显示 “中心/网格”。

图 17：显示为集线器/网格 Topology Displaying as Hub/Mesh

的拓扑

转到设备的 WAN Edge 页面，然后查看拓扑详细信息部分。门户将显示对等方详细信息以及连接状态。

图 18：集线器到集线器叠加拓扑详细信息 Hub-to-Hub Overlay Topology Details