Guia de solucions per a teletreballadors de Juniper Mist Edge
ALliberament
Publicat
2024-01-11

Sobre la Guia
Utilitzeu aquesta guia per conèixer la solució Juniper Mist™ Teleworker per ampliar la xarxa corporativa als treballadors d'oficina remots.

Teletreballador de Juniper Mist acabatview

EN AQUESTA SECCIÓ

• Beneficis de la solució Mist Teletreballador | 2

La solució Juniper Mist™ Teleworker aprofita l'arquitectura Juniper Mist Edge per estendre la xarxa corporativa als treballadors d'oficina remots. Juniper Mist amplia la xarxa mitjançant un túnel L2TPv3 amb seguretat IPsec des d'un punt d'accés remot (AP). A més, Juniper Mist Edge ofereix un servei RadSec addicional per enviar de manera segura les sol·licituds autenticades des d'AP remots. Aquesta característica facilita la mateixa experiència d'usuari per als treballadors remots que els altres a l'oficina.

Els serveis al núvol de Juniper®, impulsats per Mist AI, proporcionen:

• Un marc d'expectatives de nivell de servei (SLE), que ofereix una visibilitat de l'experiència d'usuari sense precedents.
• El motor Marvis impulsat per IA, amb processament en llenguatge natural per a la resolució de problemes i l'anàlisi de la causa arrel.
• Marvis Actions, que TI pot aprofitar per a la resolució remota de problemes dels usuaris sense gastar cap recurs addicional.

La imatge següent il·lustra la solució Juniper Mist Teleworker:

Els components de la solució Juniper Mist Teleworker són:

• Punt d'accés Juniper Mist (AP)
• Electrodomèstic Juniper Mist Edge
• Subscripció a Juniper Mist Wireless Assurance (1x per AP). SUB-1S-Y, on X és un, tres o cinc anys de servei.
• Subscripció a Juniper Mist Edge (1x per AP). SUB-ME-1S-Y, on X és un, tres o cinc anys de servei.
• Subscripció a Juniper Mist Marvis (1x per AP). SUB-ME-1S-Y, on X és un, tres o cinc anys de servei.

Beneficis de la solució Mist Teletreballador

La solució Juniper Mist Teleworker ofereix els següents avantatges:

• Agilitat
•  Provisionament sense contacte: suprimiu els anteriorstagrequisit per als AP.
•  Gestió de la xarxa amb el mínim esforç: aprofiteu Marvis® Virtual Network Assistant i gestioneu el rendiment de la xarxa amb analítiques sobre les mètriques d'expectativa de nivell de servei (SLE) de Juniper Mist.
• Independència del microprogramari: elimineu la dependència del microprogramari entre un AP i Juniper Mist Edge.
  Podeu actualitzar de manera independent els serveis de Juniper Mist Edge en menys de 3 segons.
• Seguretat
• Aïllament del trànsit: el nivell de control del trànsit és similar al nivell de l'arquitectura original del controlador de LAN sense fil. Activeu el moviment transparent del trànsit d'usuaris a una única ubicació central, aïllant-lo dels vostres commutadors d'accés.
• Seguretat automatitzada: habiliteu el desplegament del lloc impulsat per màquina sense cap exposició de credencials.
• Segur WebEndoll per parlar amb el núvol.
• Protecció de punt final: assegureu els punts finals sense fil i per cable mitjançant la sortida PoE.
•  Flexibilitat
•  Reutilitza el maquinari.
• Admet una cobertura flexible de tota la llar amb capacitats de malla segura.
• Permet als empleats autogestionar el seu SSID de casa.

Creeu un lloc per a treballadors d'oficina remota

Mitjançant l'ús de Juniper Mist per donar suport als treballadors remots, els clients poden estendre la seva WLAN corporativa a les llars dels empleats sempre que els empleats treballin de forma remota.
Podeu crear llocs al portal Juniper Mist des del menú Organització>Configuració del lloc.
NOTA:

• Per a AP41 i AP43, la versió mínima de microprogramari d'AP necessària per admetre IPsec i túnel dividit és 0.7.20289.
• Per a AP32/33 i AP12, la versió mínima de microprogramari d'AP necessària per admetre IPsec amb túnel dividit és 0.8.21022.

Configureu Juniper Mist Edge i configureu la plantilla WLAN

Quan s'hagi completat la configuració inicial de Juniper Mist™, no cal que ho feu prèviamenttagi el punt d'accés (AP). Podeu enviar l'AP directament a casa de l'empleat i estar preparat per atendre els clients en 20 segons.
Juniper Mist Edge normalment resideix a la DMZ on un braç es connecta a Internet i un altre braç es connecta a una xarxa corporativa de confiança. Abans de configurar les plantilles WLAN per habilitar el SSID corporatiu, heu de completar les tasques següents:

Taula 1:

Tasca	Consulteu
Configureu les connexions de ports i configureu Juniper Mist Edge	Primers passos
Creeu el clúster Juniper Mist Edge	Sense títol de l'enllaç
Crea un túnel de boira	Sense títol de l'enllaç
Activa el servei de proxy RADIUS	Sense títol de l'enllaç

Per configurar la plantilla WLAN:

1. Configureu la plantilla WLAN per habilitar un identificador de conjunt de serveis corporatius (SSID).
2.  Al menú esquerre del portal Juniper Mist, seleccioneu Organització > Plantilles WLAN.
3.  A la finestra Plantilles WLAN, feu clic a Crea plantilla.
4. A la finestra Plantilla nova, introduïu Nom i assigneu la plantilla a l'organització sencera o als grups de llocs i llocs.
   Cada lloc d'oficina a casa remota es col·loca en un grup de llocs anomenat Teletreballador remot. Si ho preferiu, podeu col·locar tota l'organització al grup de llocs i afegir llocs d'oficina físiques afegits com a excepcions.
   Per example, la plantilla següent s'assigna a tots els llocs excepte als llocs "BranchA" i "BranchB".
   
5. Especifiqueu la configuració de seguretat.
   La configuració del SSID depèn dels requisits de la vostra organització. La imatge següent il·lustra la configuració de la WLAN segura 802.1X.
   
6. Especifiqueu el nombre de VLAN que s'han de tunelitzar a través del dispositiu Edge.
   
   Un punt d'accés (AP) de Juniper Mist no túnel una WLAN configurada amb untagGed VLAN.
7. Per a un desplegament a nivell d'organització, especifiqueu Reenviament personalitzat a Mist i seleccioneu un professional del túnelfile des del menú desplegable Túnel. El túnel Mist ha d'especificar les mateixes VLAN que voleu tunelitzar.
   
8. Per a la implementació a nivell de lloc, especifiqueu Reenviament personalitzat a Site Edge. El túnel del lloc ha d'especificar les mateixes VLAN que voleu tunelitzar.
   

Connexió de client per cable mitjançant ETH1 o el port del mòdul de l'AP

EN AQUESTA SECCIÓ

• Example: Configuració del port per cable AP12 per al túnel | 8
• Example: Configuració del segon port per a AP41 | 11

A més d'ampliar una xarxa corporativa de Juniper Mist als treballadors d'oficina remots, també heu de connectar dispositius amb cable a la xarxa corporativa. Per exampPer exemple, dispositius com una càmera de seguretat i un telèfon IP requereixen un control de seguretat estricte al tallafoc, després de la incorporació. Per tant, heu de col·locar aquests dispositius en una VLAN única. Podeu configurar el punt d'accés del dispositiu (AP) per AP o mitjançant substitucions d'AP. Si ho prefereixes, pots crear un dispositiu professionalfiles i assignar-los als dispositius. En qualsevol cas, la configuració és
exactament el mateix.

Example: Configuració del port per cable AP12 per al túnel
Quan diversos AP d'usuari remot requereixen la mateixa configuració de port, podeu crear un dispositiu professionalfile i mapeja el dispositiu profile als AP. També podeu configurar AP individuals.

La configuració del port és la següent:
Port 0—El trànsit de gestió d'AP s'envia untagged. Totes les WLAN i VLAN locals són automàtiquestagged a Eth0.
Per tant, podeu configurar Eth0 amb la llista d'ID(s) de VLAN i establir l'ID de VLAN del port a 1.
Altres ports— Assigna altres ports a una única VLAN o a diverses VLAN tal com es mostra. Si mapeu un altre port a una única VLAN, l'amfitrió amb cable rep l'adreça IP d'aquesta VLAN. Si configureu altres ports com a troncal amb múltiples VLAN permeses i un d'ells com a VLAN nativa, es comporta com un tronc. Utilitzeu els ports amb cable addicionals per estendre una VLAN tunelitzada a un port amb cable.

NOTA: Nota: un port cablejat no admet el túnel dividit. Per tant, ometeu la VLAN 1726 de la configuració. Podeu incloure la VLAN 110 en un port amb cable, perquè túnels per al dispositiu amb cable.
La imatge següent il·lustra el port Eth0+PoE i els ports de pas (Pass Thru).
Figura 1: Ports Eth0+PoE i Pass Thru

Podeu connectar el port Eth0+PoE al commutador PoE o al brick PoE per encendre l'AP12. El port utilitza una adreça IP DHCP per a la gestió. Els ports de pas marcats com Pass Thru actuen com un pegat des de la part posterior fins al port lateral. Podeu utilitzar un port de pas en els casos en què necessiteu connectar un dispositiu darrere d'un suport de paret, com ara un televisor d'un hotel.
Podeu configurar els ports Eth1, Eth2 i Eth3 als detalls de l'AP o al dispositiu Profile pàgina al portal Juniper Mist. Podeu assignar els ports a una VLAN de gestió o a una VLAN tunelitzada.

Example: Configuració del segon port per a AP41
La imatge següent mostra la configuració del segon port per a AP41.

En l'example, Port VLAN ID és el mateix que Native VLAN ID o UntagGed VLAN. Tingueu en compte que només el port del mòdul és capaç de proporcionar alimentació a través d'Ethernet (PoE) per alimentar un dispositiu de poca potència, com ara un telèfon IP. El Passthrough POE només s'admet si un injector PoE (no una font d'alimentació de CC) alimenta un AP.

NOTA: AP12, AP41, AP43 i AP45 poden proporcionar sortida PoE. Els ports següents proporcionen sortida d'alimentació a través d'Ethernet (PoE) en diferents AP:

• Port del mòdul a AP41
• ETH1 a AP41 i AP43
• Port de pas a l'AP12

Split Tunneling per a un SSID corporatiu

Juniper Mist Edge ofereix una capacitat de túnel dividit. Aquesta capacitat permet als clients corporatius connectar-se a dispositius domèstics locals (com impressores i sistemes multimèdia) mentre estan connectats a la xarxa corporativa. Podeu activar aquesta funció a la configuració del túnel de boira.
NOTA: La capacitat de túnel dividit és aplicable a un únic AP remot en un lloc.
Després d'habilitar el túnel dividit, les adreces IP que figuren al camp Subxarxa de destinació es tornen a tunelitzar al Juniper Mist Edge. La resta d'adreces IP estan connectades localment. A més, el camp Servidors DNS, quan està configurat, proporciona una manera d'utilitzar servidors DNS corporatius per resoldre'ls URLs/FQDN tant per al trànsit túnel com per a pont local.
Quan activeu el túnel dividit, l'AP serveix l'adreça IP 192.168.157.X/27 des d'una subxarxa privada que executa per als clients. El trànsit destinat a l'oficina corporativa, definit a la Subxarxa de destinació, es tradueix a la IP corporativa. La IP corporativa és la IP que rep l'AP de la VLAN de la WLAN corporativa. La resta del trànsit del client sense fil es tradueix a l'adreça IP de la VLAN de gestió de l'AP.
Configureu la configuració de la passarel·la del túnel amb la passarel·la de subxarxa del client. Aquesta és la passarel·la per a la VLAN assignada a la WLAN. Tingueu en compte que podeu configurar diverses subxarxes de destinació. També podeu afegir les adreces IP i separar-les per comes.
Feu que els servidors DNS corporatius formen part de la subxarxa de destinació o afegiu els servidors com a entrada /32.

Reclameu i envieu un AP a la ubicació d'un empleat

Podeu utilitzar l'aplicació Juniper Mist™ AI per reclamar un AP abans d'enviar-lo a l'oficina remota d'un empleat. Mireu https://www.mist.com/documentation/mist-ai-mobile-app/.
A l'aplicació Mist AI, seleccioneu el lloc i Reclameu un AP a aquest lloc mitjançant el codi QR a la part posterior de l'AP.
A continuació, encara des de l'aplicació, envieu l'AP a la ubicació de l'empleat. No cal connectar-lo a la xarxa abans de l'enviament!
Per a la solució de teletreballador remot, assegureu-vos que el tallafoc està configurat per permetre la connexió des d'un AP remot. Tingueu en compte les directrius següents:

• Permet el port 500/4500 per a IPSec i el port 2083 per a RadSec des d'AP remots
• El tallafoc ha de traduir la IP de destinació dels paquets de l'AP remot a la IP del túnel
• Obteniu l'IP externa per a la IP del túnel Mist Edge on es connecta un AP remot (generalment una IP de tallafoc), afegiu aquesta IP al nom d'amfitrió/IPs als serveis de terminació del túnel.

No es requereix cap configuració addicional a Mist Edge o AP, a part de seleccionar el tipus de túnel com a IPSec i Radius per utilitzar el servidor intermediari a través de Mist Edge.
En rebre l'AP, l'empleat ara pot connectar-lo a qualsevol dels ports Ethernet de l'encaminador domèstic local (utilitzant un injector PoE o alimentació CC). L'AP està preparat per donar servei a la nova oficina remota en menys de 20 segons.
Juniper Networks, el logotip de Juniper Networks, Juniper i Junos són marques registrades de Juniper Networks, Inc. als Estats Units i altres països. Totes les altres marques comercials, marques de servei, marques registrades o marques de servei registrades són propietat dels seus respectius propietaris. Juniper Networks no assumeix cap responsabilitat per qualsevol inexactitud en aquest document. Juniper Networks es reserva el dret de canviar, modificar, transferir o revisar aquesta publicació sense previ avís. Copyright © 2024 Juniper Networks, Inc. Tots els drets reservats.

Documents/Recursos

Solució de teletreballador JUNIPER Mist Edge [pdfGuia de l'usuari Solució de teletreballador Mist Edge, Mist, Solució de teletreballador Edge, Solució de teletreballador

Referències

• Manual d'usuari