第 1 部分:Internet 连接的初始配置
示例概述
此配置示例显示如何使用 SRX 服务网关、EX 系列交换机和路由器部署中小型Mist AP。此示例使用带 LTE 备份链路的主动/主动模式下的两个 WAN 链路。此外,瞻博网络 Mist 云分别用于将 EX 交换机和 Mist AP配置为有线和无线保证的一部分。
该示例还显示了如何使用性能监控和基于策略的路由来提供应用程序体验质量 (AppQoE)。当一个或多个链路出现故障时,AppQoE 以智能方式确定业务关键信息流的优先处理顺序。
要求
您需要以下硬件和软件来配置此示例:
一个 SRX300 系列设备(SRX320、SRX340、SRX345、SRX380)或 SRX5000 系列设备 (SRX550M):软件版本:Junos OS 版本 19.4R1 或更高版本。
此示例要求安装应用程序识别许可证,以及下载和安装应用程序标识包。有关详细信息 ,请参阅 SRX 系列的 许可证 。使用
show system license
和show services application-identification status
命令。注意:应用程序签名Junos OS更新由单独许可的订阅服务授权。您必须在设备上安装应用程序识别应用程序签名更新许可证密钥才能下载,然后安装 瞻博网络。许可证密钥到期时,您可以继续使用本地存储的应用程序签名包内容,但是不能更新包。
一台 EX 系列以太网交换机(EX2300、EX3400 或 EX4300):软件版本:Junos OS 19.4R1或更高版本。
一个或多个 MIST 接入点(AP12、AP41、AP43、AP61或 AP32)。
用于 SRX 网络的一个 LTE 小型 PIM 服务网关。
一个订阅数据服务的 SIM 卡。
一瞻博网络 Mist 云登录。请于 : 瞻博网络 Mist 云 。
部署详细信息
此示例将配置一个SRX550来提供 DHCP 和 SNAT。SRX 为 EX 交换机、交换机和Mist AP客户端设备提供安全传出 Internet 访问。主要链路连接到专用 WAN 网络(例如虚拟专用 LAN 服务 (VPLS),辅助链路使用以太网上宽带 Internet 接入。备份链路使用 LTE 蜂窝网络。
主链路和辅助链路在主动/主动模式下运行。除非主链路和辅助链路同时关闭,否则不会使用 LTE 调制解调器。
此示例EX4300-24P 交换机连接到 SRX 设备,为分支机构提供有线第 2 层功能(桥接)。由多个交换机、EX2300交换机EX3400虚拟机EX4300 (VC) 为较大的分支机构位置支持更高的端口密度。对于无线接入,我们将一个瞻博网络 Mist AP61接入点连接到 EX 交换机。
在瞻博网络 Mist 云具有所需 Internet 接入后,该Mist AP可快速配置 EX 系列交换机和交换机,以用于所需的分支机构连接。
此示例支持一系列 SRX 服务网关。我们先从修改后的出厂默认配置开始,SRX550。出厂默认配置因 SRX 型号而异。读者必须确保其 SRX 配置符合其拓扑结构的具体要求。
该示例包含三个主要部分:
首先,对 SRX 和 EX 执行初始配置。此配置提供对 EX、Mist AP 和分支办事处 V VPN 的分支机构站点(带 S-NAT)的 Internet 访问。
接下来,您可使用 瞻博网络 Mist 云 配置 EX 交换机,Mist AP为分支办事处的 VLA 提供无线连接。
在最后一部分,您将配置 SRX 服务网关以提供基于策略的高级路由 (APBR),以支持应用程序体验质量 (AppQoE)。此配置将业务流量映射到所需链路,并实施 SLA 探测器以确定流量应在何时属于备份链路。当主要和辅助链路均不能满足相关 SLA 时,此策略还会激活 LTE 调制解调器。
图 1 显示了分支机构拓扑。
![Branch Office with Redundant Internet Connectivity](/documentation/us/en/software/nce/nce-214-midsize-branch-mist-pwp/images/g301547.png)
图 2 显示了分支办事处的管理网络示例。在此例中,我们依靠控制台访问。SRX 和 EX 设备支持基于以太网的管理网络。此Mist AP只能通过云进行管理。
![Branch Office Management Network](/documentation/us/en/software/nce/nce-214-midsize-branch-mist-pwp/images/g301548.png)
我们的拓扑在 SRX 系列设备上具有以下硬件布局:
SRX 上加载最小基准配置。稍后部分将提供开始基准。
SRX 系列设备上插槽 1 包含 LTE 小型 PIM。
LTE 小型 PIM 的插槽 1 已安装 SIM 卡。
ge-0/0/3 接口连接到主 WAN 链路。
ge-0/0/2 接口连接到宽带 Internet 链路。
接口 cl-1/0/0 标识调制解调器小型 PIM 的插槽。
蜂窝网络的链路端位于接口 dl0.0 上。
ge-0/0/2 接口通过 DHCP 接收其 IP 地址、网络掩码和默认网关。您可以在与 WAN 提供商兼容的专用 WAN 接口 (ge-0/0/3) 上配置静态 IP 地址和默认路由。
蜂窝服务提供商将 IP 地址、网络掩码和默认网关分配给 LTE 接口 (cl-1/0/0)。
在 EX 交换机上,我们具有以下布局:
使用 root 密码加载并修改出厂默认配置,以允许提交默认配置。
EX 交换机上的接口 ge-0/0/1 连接到 SRX 的接口 ge-0/0/4。
Mist接入点 ETH0 接口连接到 EX 交换机的 ge-0/0/5。
在 Mist AP 上,我们具有以下布局:
接入点 ETH0 接口连接到 EX 交换机的 ge-0/0/5。
必须通过此Mist AP配置和管理 瞻博网络 Mist 云。您可使用Mist AP第瞻博网络 Mist 云中的配置配置。
我们在 SRX 设备上配置两个安全区域,一个可信安全区域名为 ,一个不可信 trust 安全区域名为 untrust 。通过在不同的安全区域建立接口,我们可以分离流量并缓解企业内部网的风险。安全区域用于实施清晰和简化的安全策略。我们托管能够访问该区域中的 Internet 的 untrust 接口。企业内部网上的专用 WAN 链路和其他内部接口位于 trust 区域内。虽然存在五个 VLA,但从分支机构站点中仅能路由出三个。您也可配置受限和默认 VLAN。VLAN 如下所示:
VLAN 1 是 SRX 设备上的默认 VLAN。此设置将 SRX 与 EX 交换机上的出厂默认 VLAN 匹配。
这些IoT设备使用 VLAN 20。IoT设备一般用于灯和 HVAC 控制器。
监控摄像机使用 VLAN 30。
有线公司设备使用 VLAN 40。
VLAN 99 用作所有未使用的有线端口和使用动态分析的端口的受限 VLAN。SRX 设备未配置此 VLAN。其结果是产生一个仅包含站点-本地范围的不可路由 VLAN。
此示例使用了动态分析。未配置的端口从 VLAN 99 开始。当交换机端口识别设备时,会为瞻博网络 Mist 云 VLAN 重新配置交换机端口。
有关在 SRX 上配置的接口、安全区域和安全策略的信息,请参阅图3和表1。
![Security Zones](/documentation/us/en/software/nce/nce-214-midsize-branch-mist-pwp/images/g301550.png)
表 1 详细介绍了 SRX 安全策略以及可信区域和不受信任区域之间的流量预期行为。
从区 |
至区域 |
允许流量的安全策略行为 |
---|---|---|
信任 |
信任 |
不 |
不可信 |
不可信 |
不 |
信任 |
不可信 |
是的 |
不可信 |
信任 |
仅信任启动。 |
表 2 列出了 SRX 上接口的 VLAN 和 IP 地址信息。
接口 |
VLAN ID |
IP 地址 |
网络掩码 |
---|---|---|---|
cl-1/0/0 |
— |
由服务提供商分配 |
— |
ge-0/0/2 |
— |
172.16.1.10 (DHCP) |
255.255.255.0 |
ge-0/0/3 |
— |
192.168.220.2 |
255.255.255.0 |
ge-0/0/4.0 |
1 |
192.168.1.1 |
255.255.255.0 |
ge-0/0/4.20 |
20 |
10.10.20.1 |
255.255.255.0 |
ge-0/0/4.30 |
30 |
10.10.30.1 |
255.255.255.0 |
ge-0/0/4.40 |
40 |
10.10.40.1 |
255.255.255.0 |
表 3 列出了此示例中使用的 V VPN、使用情况和端口类型。SRX 系列设备和 EX 交换机上的所有其他端口都是未标记的 VLAN 端口。
VLAN |
VLAN ID |
名字 |
SRX 到 EX 端口类型 |
使用 |
---|---|---|---|---|
vlan1 |
1 |
默认 |
未标记/本机 |
由 SRX 设备、EX 交换机和接入点用于管理。 |
vlan20 |
20 |
IoT |
标记 |
由 IoT 使用。 |
vlan30 |
30 |
安全 |
标记 |
监控摄像机使用。 |
vlan40 |
40 |
企业 |
标记 |
员工使用。 |
vlan99 |
99 |
限制 |
标记 |
所有其他端口为默认设置。支持动态分析,以将识别的设备重新分配给可路由的 VLAN。 |
初始配置
配置 SRX 以提供 EX 交换机和交换机的Mist AP
本部分将展示如何配置 SRX 系列设备,以便提供 EX 系列交换机和交换机的Mist AP。通过这种互联网连接,EX 系列交换机和 MIST AP注册到交换机,然后瞻博网络 Mist 云。在后一节,您将回顾 SRX 以添加 AppQoE 配置。
您可以在一系列 SRX 服务网关设备上部署此示例。我们首先展示功能基准,如下所示。出厂默认配置因 SRX 型号而异。读者必须确保其 SRX 基准符合其拓扑结构的具体要求。
SRX 上的负载开始基准配置
确保您的 SRX 服务网关具有与示例拓扑兼容的功能基准。出厂默认设置可能因 SRX 型号而异。许多 SRX 设备支持此示例。考虑到这一变体,假设以下显示的功能基准,更容易记录解决方案。
按照以下步骤加载 SRX 基准配置。
-
保存现有配置之后,请将其删除,以全新开始此示例:
[edit] root@srx# save backup Wrote 599 lines of configuration to 'backup' [edit] root@srx# delete This will delete the entire configuration Delete everything under this level? [yes,no] (no) yes
-
分配强 root 密码。下面展示的一个仅供文档使用!
[edit] root@srx# set system root-authentication plain-text-password New password: Enter_a_strong_root_password_h3re Retype new password: Enter_a_strong_root_password_h3re
-
将以下基准配置命令复制粘贴到文本编辑器中,并根据需要修改以适应您的环境。使用配置模式命令将编辑CLI
load set terminal
加载到配置模式中。set system host-name Mist-SRX-GW set system name-server 8.8.8.8 set system ntp server 216.239.35.12 set system time-zone America/Los_Angeles set system syslog archive size 100k set system syslog archive files 3 set system syslog user * any emergency set system syslog file messages any notice set system syslog file messages authorization info set system syslog file LOG-Accepted-Traffic any any set system syslog file LOG-Accepted-Traffic match RT_FLOW_SESSION_CREATE set system syslog file LOG-Accepted-Traffic archive size 1m set system syslog file LOG-Accepted-Traffic archive files 3 set system syslog file LOG-Blocked-Traffic any any set system syslog file LOG-Blocked-Traffic match RT_FLOW_SESSION_DENY set system syslog file LOG-Blocked-Traffic archive size 1m set system syslog file LOG-Blocked-Traffic archive files 3 set system syslog file LOG-Sessions any any set system syslog file LOG-Sessions match RT_FLOW set system syslog file LOG-Sessions archive size 1m set system syslog file LOG-Sessions archive files 3 set security nat source rule-set trust-to-untrust from zone trust set security nat source rule-set trust-to-untrust to zone untrust set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0 set security nat source rule-set trust-to-untrust rule source-nat-rule then source-nat interface set security policies from-zone trust to-zone trust policy trust-to-trust match source-address any set security policies from-zone trust to-zone trust policy trust-to-trust match destination-address any set security policies from-zone trust to-zone trust policy trust-to-trust match application any set security policies from-zone trust to-zone trust policy trust-to-trust then permit set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone untrust interfaces dl0.0 set interfaces cl-1/0/0 dialer-options pool 1 priority 100 set interfaces dl0 unit 0 family inet negotiate-address set interfaces dl0 unit 0 family inet6 negotiate-address set interfaces dl0 unit 0 dialer-options pool 1 set protocols l2-learning global-mode switching
-
提交基准配置:
[edit] root@srx# commit commit complete [edit] root@Mist-SRX-GW#
对系统身份验证或管理访问进行更改时,请考虑使用 commit confirmed
。配置将自动回滚恢复远程访问,从而将更改与设备隔离。
开始基准提供此功能:
-
系统主机名和 root 用户认证。
-
我们会保留 LTE 小型 PIM (cl-1/0/0) 和 dl0.0 拨号器接口的出厂默认设置。
-
您可配置可公开访问的域名和 NTP 服务器以及本地时区。
-
您修改默认系统记录部分以包含会话相关信息。如果您需要调试 SRX 主机上的连接问题,有关阻止和已接受的会话的详细信息服务网关。
-
定义信任区域和不信任区域的基本安全区设置。我们将源NAT用作此示例的一部分。出厂默认NAT规则位于基准中,用于以后保存一些键入操作。
执行初始 SRX 配置
-
为连接到企业内部网的四种类型的分支机构设备创建 VLAN。您也可创建一个基础架构 VLAN,用于支持将基于 DHCP 的地址分配到 EX 交换机并Mist AP。ge-0/0/4 接口分配给基础架构 VLAN。请参阅 表 3。
set vlans vlan-infra vlan-id 1 set vlans vlan20 vlan-id 20 set vlans vlan30 vlan-id 30 set vlans vlan40 vlan-id 40
-
配置 ge-0/0/4 接口,用于向 EX 交换机和交换机Mist AP。此配置将接口设置为带有灵活 VLAN 标记的中继,以支持混合未标记和已标记的流量。此示例将 VLAN 1 用作不承载 VLAN 标记的本机 VLAN。
set interfaces ge-0/0/4 flexible-vlan-tagging set interfaces ge-0/0/4 native-vlan-id 1 set interfaces ge-0/0/4 unit 0 vlan-id 1 set interfaces ge-0/0/4 unit 0 family inet address 192.168.1.1/24
-
按表 2为 SRX 中继接口上每个 VLAN 配置 IP 子网。
set interfaces ge-0/0/4 unit 20 vlan-id 20 set interfaces ge-0/0/4 unit 20 family inet address 10.10.20.1/24 set interfaces ge-0/0/4 unit 30 vlan-id 30 set interfaces ge-0/0/4 unit 30 family inet address 10.10.30.1/24 set interfaces ge-0/0/4 unit 40 vlan-id 40 set interfaces ge-0/0/4 unit 40 family inet address 10.10.40.1/24
-
配置用于将 IP 地址分配给 EX 交换机的 DHCP 地址池Mist AP。 将接口 ge-0/0/4.0 配置为 DHCP 服务器
set system services dhcp-local-server group InfraPool interface ge-0/0/4.0 set access address-assignment pool InfraPool family inet network 192.168.1.0/24 set access address-assignment pool InfraPool family inet range junosRange low 192.168.1.2 set access address-assignment pool InfraPool family inet range junosRange high 192.168.1.254 set access address-assignment pool InfraPool family inet dhcp-attributes name-server 8.8.8.8 set access address-assignment pool InfraPool family inet dhcp-attributes router 192.168.1.1
-
创建 DHCP 服务器和 IP 地址池,以分配给 vlan20 上的设备。将接口 ge-0/0/4.20 配置为 DHCP 服务器地址
set system services dhcp-local-server group IOT-NET_DHCP-POOL interface ge-0/0/4.20 set access address-assignment pool IOT-NET_DHCP-POOL family inet network 10.10.20.0/24 set access address-assignment pool IOT-NET_DHCP-POOL family inet range IOT-NET_DHCP-POOL---IP-RANGE low 10.10.20.10 set access address-assignment pool IOT-NET_DHCP-POOL family inet range IOT-NET_DHCP-POOL---IP-RANGE high 10.10.20.100 set access address-assignment pool IOT-NET_DHCP-POOL family inet dhcp-attributes domain-name MyMistLAB.com set access address-assignment pool IOT-NET_DHCP-POOL family inet dhcp-attributes name-server 8.8.8.8 set access address-assignment pool IOT-NET_DHCP-POOL family inet dhcp-attributes router 10.10.20.1
-
创建 DHCP 服务器和 IP 地址池,以分配给 vlan30 上的设备。将接口 ge-0/0/4.30 配置为 DHCP 服务器地址
set system services dhcp-local-server group CAMERA-NET_DHCP-POOL interface ge-0/0/4.30 set access address-assignment pool CAMERA-NET_DHCP-POOL family inet network 10.10.30.0/24 set access address-assignment pool CAMERA-NET_DHCP-POOL family inet range CAMERA-NET_DHCP-POOL---IP-RANGE low 10.10.30.10 set access address-assignment pool CAMERA-NET_DHCP-POOL family inet range CAMERA-NET_DHCP-POOL---IP-RANGE high 10.10.30.100 set access address-assignment pool CAMERA-NET_DHCP-POOL family inet dhcp-attributes domain-name MyMistLAB.com set access address-assignment pool CAMERA-NET_DHCP-POOL family inet dhcp-attributes name-server 8.8.8.8 set access address-assignment pool CAMERA-NET_DHCP-POOL family inet dhcp-attributes router 10.10.30.1
-
创建 DHCP 服务器和 IP 地址池,以分配给 vlan40 上的设备。将接口 ge-0/0/4.40 配置为 DHCP 服务器地址
set system services dhcp-local-server group CORPORATE-NET_DHCP-POOL interface ge-0/0/4.40 set access address-assignment pool CORPORATE-NET_DHCP-POOL family inet network 10.10.40.0/24 set access address-assignment pool CORPORATE-NET_DHCP-POOL family inet range CORPORATE-NET_DHCP-POOL---IP-RANGE low 10.10.40.10 set access address-assignment pool CORPORATE-NET_DHCP-POOL family inet range CORPORATE-NET_DHCP-POOL---IP-RANGE high 10.10.40.100 set access address-assignment pool CORPORATE-NET_DHCP-POOL family inet dhcp-attributes domain-name MyMistLAB.com set access address-assignment pool CORPORATE-NET_DHCP-POOL family inet dhcp-attributes name-server 8.8.8.8 set access address-assignment pool CORPORATE-NET_DHCP-POOL family inet dhcp-attributes router 10.10.40.1
-
将 ge-0/0/3 和 ge-0/0/4 接口放在信任区域。ge-0/0/4 接口用作中继。请确保包含所有已配置的逻辑单元。
set security zones security-zone trust interfaces ge-0/0/3.0 set security zones security-zone trust interfaces ge-0/0/4.0 set security zones security-zone trust interfaces ge-0/0/4.20 set security zones security-zone trust interfaces ge-0/0/4.30 set security zones security-zone trust interfaces ge-0/0/4.40
注意:在此示例中,基准 SRX 配置具有一个信任区域集以允许所有主机入站协议和服务。如果需要,您可将主机入站服务限制为仅 DHCP 和 ICMP。这允许在 EX 交换机和 SRX 交换机之间分配 DHCP 地址并后续执行 ping 服务网关。
-
将用于访问宽带 Internet 的 ge-0/0/2 接口放在不信任区域。
set security zones security-zone untrust interfaces ge-0/0/2.0
-
配置连接到专用 WAN 提供商的 ge-0/0/3 接口。包括说明以指明其作为专用 WAN 链路的角色,该链路主要用于业务关键型信息流。
set interfaces ge-0/0/3 unit 0 description "Private WAN Link-Business Critical and broadband internet backup" set interfaces ge-0/0/3 unit 0 family inet address 192.168.220.2/24
-
您可为专用 WAN 链路配置静态默认路由,该链路将指向非本地流量的专用 WAN。此路由具有修改的优先级,以确保其不如通过宽带 Internet 链路上的 DHCP 学习的默认路由更可取。修改的优先级会导致 SRX 在操作时通过宽带 Internet 链路路由未分类的信息流。如果需要,您可将优先级设置为 12,使两个默认路由等于成本,然后均衡未分类的流量。
set routing-options static route 0.0.0.0/0 next-hop 192.168.220.1 preference 13
-
将 ge-0/0/2 接口放入不信任区域。
set security zones security-zone untrust interfaces ge-0/0/2.0
-
配置连接到宽带 Internet 提供商的 ge-0/0/2 接口。包括说明以指明其作为宽带 Internet 链路的角色,并且将接口配置为 DHCP 客户端。此接口通过互联网提供商的 DHCP 服务器同时接收 IP 地址和默认路由。
set interfaces ge-0/0/2 unit 0 description "Broadband Internet Interface - Primary for business, backup for critical" set interfaces ge-0/0/2 unit 0 family inet dhcp vendor-id Juniper-srx550
-
配置不信任区域以支持 DHCP 和 ping。基于 DHCP 的地址分配用于宽带 Internet 链路上。
set security zones security-zone untrust host-inbound-traffic system-services dhcp set security zones security-zone untrust host-inbound-traffic system-services ping
注意:不可信接口通过 DHCP 或蜂窝服务提供商接收 LTE 链路的默认路由。
-
您可为信任NAT接口之间的流量配置一个策略。该策略支持专用 WAN 链路上的 VLAN 流量。SRX 开始基准包括出厂默认NAT域与不信任区域之间的流量规则。此默认策略支持发送到宽带 Internet 或 LTE 接口的 VLAN 流量。
set security nat source rule-set trust-to-trust from zone trust set security nat source rule-set trust-to-trust to zone trust set security nat source rule-set trust-to-trust rule source-nat-rule1 match source-address 0.0.0.0/0 set security nat source rule-set trust-to-trust rule source-nat-rule1 then source-nat interface
-
创建地址簿和安全策略以允许可信区域和不受信任区域之间的流量。请确保包含所有四个 VLA 的网络子网,并且将支持的应用程序包括到策略中。只要流量源自分支机构站点的其中一个 VLA,就允许所有应用程序。
set security address-book global address Default 192.168.1.0/24 set security address-book global address IoT 10.10.20.0/24 set security address-book global address Security 10.10.30.0/24 set security address-book global address Corporate 10.10.40.0/24 set security policies from-zone trust to-zone untrust policy trust_vlan-to-untrust match source-address Default set security policies from-zone trust to-zone untrust policy trust_vlan-to-untrust match source-address IoT set security policies from-zone trust to-zone untrust policy trust_vlan-to-untrust match source-address Security set security policies from-zone trust to-zone untrust policy trust_vlan-to-untrust match source-address Corporate set security policies from-zone trust to-zone untrust policy trust_vlan-to-untrust match destination-address any set security policies from-zone trust to-zone untrust policy trust_vlan-to-untrust match application any set security policies from-zone trust to-zone untrust policy trust_vlan-to-untrust then permit
-
配置调制解调器接口 (LTE-MPIM) 并插入 SIM 卡激活插槽。
注意:SRX 基准在出厂默认配置中保留一些调制解调器接口设置。
set interfaces cl-1/0/0 description "LTE Backup Internet Interface - Critical Only" set interfaces cl-1/0/0 act-sim 1 set interfaces cl-1/0/0 cellular-options sim 1 radio-access automatic
-
配置拨号器接口。确保从配置中卸下出厂
always-on
默认拨号器选项。我们期望仅在专用 WAN 和宽带 Internet 链路关闭时按需激活 LTE 链路。set interfaces dl0 unit 0 dialer-options dial-string "*99" delete interfaces dl0 unit 0 dialer-options always-on
注意:我们在 SRX 中保留一些出厂默认拨号器设置,以开始基准配置。请确保从开始
always-on
基准中删除拨号器选项。试图删除不存在的配置语句不会造成损害。明确删除此选项可防止 LTE 调制解调器链路被意外激活。激活 LTE 调制解调器通常有计费影响。 -
在 SRX 设备上提交配置。
[edit] root@Mist-SRX-GW# commit commit complete
-
设置调制解调器 (LTE-MPIM) 中 SIM 的接入点名称 (APN)。
request modem wireless create-profile profile-id 10 access-point-name broadband cl-1/0/0 slot 1
在 EX 交换机上加载出厂默认值
在此部分中,您可以在 EX 交换机上加载并提交出厂默认配置。此配置会导致将 IRB 接口配置为 DHCP 客户端,所有交换机端口均属于默认 VLAN (VLAN ID 1)。借助此配置,EX 交换机和 Mist AP都能从 SRX 获取 DHCP 分配的地址。IP 地址来自 192.168.1.2-254/24 地址池。
如果需要,您可将 EX 交换机归零,而不是加载出厂默认设置。将设备归零时,不需要 root 密码。如果选择零化方法,将在控制台上看到零接触调配 (ZTP) 消息。您可能需要进入配置模式,然后发出 ,然后 delete chassis auto-image-upgrade
发出 来防止 commit
这些消息。
不管使用哪种方法,以后在控制瞻博网络 Mist 云将 (re) 配置 root 密码。
-
使用控制台访问 EX 交换机,然后加载出厂默认配置。
[edit] root@ex# load factory-default warning: activating factory configuration
-
分配强 root 密码。下面展示的一个仅供文档使用!
[edit] root@ex# set system root-authentication plain-text-password New password: Enter_a_strong_root_password_h3re Retype new password: Enter_a_strong_root_password_h3re
-
提交修改后的出厂默认配置:
[edit] root@ex# commit commit complete [edit] root@ex#
注意:加载出厂默认设置后,先前分配的主机名将一直有效,直到重新启动 EX 交换机。
此时,SRX 应具有通过专用 WAN 和宽带 Internet 提供商的连接。此外,还应从 192.168.1.0/24 地址池中为 EX 交换机和 Mist AP 分配 IP 地址。提供给 EX 和数据中心的 DCHP 配置AP域名服务器和默认路由。
您可为信任区域与不信任区域之间的流量以及信任区域接口之间的流量配置 SNAT。
通过 SRX 验证初始互联网连接
目的
确认 SRX 通过专用 WAN 和宽带链路提供互联网连接。另请验证 SRX 是否提供 EX 交换机的 Internet 接入(带 SNAT)(Mist AP)。
行动
root@mist-SRX-GW> show dhcp client binding IP address Hardware address Expires State Interface 172.16.1.22 f0:4b:3a:09:ca:02 68649 BOUND ge-0/0/2.0 root@mist-SRX-GW> show route inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 0.0.0.0/0 *[Access-internal/12] 00:27:07, metric 0 > to 172.16.1.1 via ge-0/0/2.0 [Static/13] 01:04:13 > to 192.168.220.1 via ge-0/0/3.0 . . . root@mist-SRX-GW> ping www.juniper.net inet count 2 PING e1824.dscb.akamaiedge.net (184.30.231.148): 56 data bytes 64 bytes from 184.30.231.148: icmp_seq=0 ttl=49 time=3.138 ms 64 bytes from 184.30.231.148: icmp_seq=1 ttl=49 time=3.292 ms --- e1824.dscb.akamaiedge.net ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.138/3.215/3.292/0.077 ms .
SRX 设备上存在两个默认路由。由于静态默认路由对 WAN 提供商的修改路由首选项,因此所有流量在运行时均会通过宽带 Internet 链路定向。当宽带互联网链路关闭时,SRC 通过专用 WAN 链路指导流量。输出还确认 SRX 已收到来自宽带互联网提供商的 DHCP 的 IP 地址和默认路由。
输出还会确认 SRX 具有互联网访问权和工作名称解析功能。您可以通过替代禁用专用 WAN 或宽带 Internet 链路来测试两个转发路径是否均正常工作(未显示简洁性)。
在此 NCE 的第三部分,您可添加基于高级策略的路由 (APBR)、性能监控探测和路由实例。此配置将匹配应用程序流量引导至路由实例,然后根据专用 WAN 的当前状态和 AppQoE 中的宽带 Internet 链路选择转发下一跳跃。配置 APBR 后,尽管主要实例中的路由优先级较低,仍然会看到进入专用 WAN 链路的重要流量。
确认 DHCP 地址分配至 EX 交换机和Mist AP。
验证 SRX 是否将 IP 地址分配给 EX 交换机和随附Mist AP。您可使用 命令MAC 地址 EX 的 show interfaces irb
证书。您看MAC 地址上的Mist AP,以确认标签的背面。此示例中,EX 交换机的 MAC 地址 结束,Mist AP A2:01
的 MAC 结束为 C3:37
。
您可能会看到,正在将 192.168.1.0/24 池的 DHCP 地址分配给 EX 交换机上的其他有线客户端。如 这里 所示,以 80:84 结束的有线MAC 地址企业设备。此示例稍后将配置 VLAN 中继和 per-VLAN DHCP 地址池,供有线和无线客户端使用。
root@mist-SRX-GW> show dhcp server binding IP address Session Id Hardware address Expires State Interface 192.168.1.5 44 20:4e:71:a6:a7:01 85013 BOUND ge-0/0/4.0 192.168.1.2 41 d4:20:b0:00:c3:37 78301 BOUND ge-0/0/4.0 192.168.1.7 45 ec:3e:f7:c6:80:84 64379 BOUND ge-0/0/4.0
输出确认 SRX 设备已为 EX 交换机、交换机和Mist AP有线公司客户端分配了 IP 地址。
DHCP 租用可以持续数小时。有时在实验室设置中,重新启动 SRX 和 EX 交换机上的 DHCP 进程会有助于加快操作速度。使用 restart dhcp-service immediately
命令执行此操作。您还可以使用刷新 clear dhcp [server|client] binding all
DHCP 状态等命令。
验证 EX 交换机的互联网连接。
不能从 Mist AP 生成 ping。您可以根据 LED 闪烁模式查看 LED 闪烁模式,以确定 其互联网连接和云连接状态。
{master:0} root> show route inet.0: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 0.0.0.0/0 *[Access-internal/12] 00:00:07, metric 0 > to 192.168.1.1 via irb.0 192.168.1.0/24 *[Direct/0] 00:03:55 > via irb.0 192.168.1.3/32 *[Local/0] 00:03:55 Local via irb.0 {master:0} root> ping www.juniper.net inet count 2 PING e1824.dscb.akamaiedge.net (104.86.1.14): 56 data bytes 64 bytes from 104.86.1.14: icmp_seq=0 ttl=43 time=4.064 ms 64 bytes from 104.86.1.14: icmp_seq=1 ttl=43 time=4.315 ms --- e1824.dscb.akamaiedge.net ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.064/4.190/4.315/0.125 ms
输出显示,EX 交换机从 192.168.1.0/24 地址池中分配了一个 IP 地址,并且 DHCP 分配的默认路由存在。您通过成功 ping 功能确认 Internet 访问和域名解析成功 www.juniper.net。
验证主机上的Mist AP。您可以根据 LED 闪烁模式查看 LED 闪烁模式,以确定其互联网连接和云 连接状态。
在示例的这个阶段,Mist AP应具有 Internet 访问权限,并且应该能够连接到瞻博网络 Mist 云。因此,您期待看到一个坚实的白 LED。稍后AP通过 瞻博网络 Mist 云配置 LED,此时 LED 应变绿。
验证 LLDP 在 EX 交换机与连接的交换机之间Mist AP。此示例使用通过 LLDP 学习的机箱 ID (MAC 地址)自动分析已连接的端口Mist AP。中继配置文件适用于设备具有匹配 MAC 地址的端口。
{master:0} root> show lldp neighbors Local Interface Parent Interface Chassis Id Port info System Name ge-0/0/5 - d4:20:b0:00:c3:37 ETH0 Mist
输出将验证 EX 交换机和 Mist AP是否成功交换 LLDP 消息。请注意MAC 地址输出Mist AP的输入点。本部分MAC 地址稍后部分用于支持动态分析。
意义
验证步骤确认所有操作均正常工作。SRX 上存在两个默认路由。您还将验证基于 DHCP 的地址分配至 EX、Mist AP 和有线公司客户端。EX 交换机和 Mist AP现在可以通过交换机配置和管理 Internet 瞻博网络 Mist 云。
按设备验证小型 PIM 模块Junos OS
目的
验证设备是否Junos OS小型 PIM 模块。
行动
验证 SRX 设备上 LTE 小型 PIM 的安装。
user@host> show chassis hardware
root@Mist-SRX-GW> show chassis hardware
Hardware inventory:
Item Version Part number Serial number Description
Chassis DA4018AK0020 SRX550M
Midplane REV 12 750-063950 BCAL7302
Routing Engine REV 07 711-062269 BCAH4029 RE-SRX550M
FPC 0 FPC
PIC 0 6x GE, 4x GE SFP Base PIC
FPC 1 REV 03 650-096889 EV2619AF0085 FPC
PIC 0 LTE for AE
FPC 2 REV 08 750-032730 ACPX8538 FPC
PIC 0 1x GE High-Perf SFP mPIM
FPC 5 REV 04 750-064615 BCAH7052 FPC
PIC 0 8x GE SFP gPIM
FPC 7 REV 13 750-030454 ACLZ9488 FPC
Power Supply 0 Rev 05 740-024283 CI03052 PS 645W AC
意义
输出确认 LTE 小型 PIM 的安装和识别。
验证小型 PIM 的固件版本
目的
检查小型 PIM 的固件版本。
行动
在 SRX 系列设备上,验证 LTE 小型 PIM 模块的固件版本。
user@host>show system firmware
Part Type Tag Current Available Status
version version
FPC 1
PIC 0 MLTE_FW 1 17.1.80 0 OK
FPC 2
PIC 0 SFPI2CMFPGA 13 0.9.0 0 OK
Routing Engine 0 RE BIOS 0 2.10 2.10 OK
Routing Engine 0 RE BIOS Backup 1 2.10 2.10 OK
意义
输出显示小型 PIM 的固件版本为 17.1.80。如果需要,更新固件。有关升级 LTE 上的固件的信息,请参阅 LTE 小型物理接口模块。