คู่มือโซลูชัน Teleworker ของ Juniper Mist Edge
ปล่อย
ที่ตีพิมพ์
2024-01-11
เกี่ยวกับไกด์
ใช้คู่มือนี้เพื่อเรียนรู้เกี่ยวกับโซลูชัน Juniper Mist™ Teleworker เพื่อขยายเครือข่ายองค์กรไปยังพนักงานสำนักงานระยะไกล
Juniper Mist Teleworker จบแล้วview
ในส่วนนี้
- ประโยชน์ของโซลูชัน Mist Teleworker | 2
โซลูชัน Juniper Mist™ Teleworker ใช้ประโยชน์จากสถาปัตยกรรม Juniper Mist Edge เพื่อขยายเครือข่ายองค์กรไปยังพนักงานสำนักงานระยะไกล Juniper Mist ขยายเครือข่ายโดยใช้อุโมงค์ L2TPv3 ที่มีการรักษาความปลอดภัย IPsec จากจุดเชื่อมต่อระยะไกล (AP) นอกจากนี้ Juniper Mist Edge ยังให้บริการ RadSec เพิ่มเติมเพื่อรักษาความปลอดภัยคำขอตรวจสอบสิทธิ์พร็อกซีจาก AP ระยะไกล ฟีเจอร์นี้อำนวยความสะดวกให้กับประสบการณ์ผู้ใช้แบบเดียวกันสำหรับผู้ปฏิบัติงานระยะไกลเช่นเดียวกับคนอื่นๆ ในสำนักงาน
บริการคลาวด์ของ Juniper® ซึ่งขับเคลื่อนโดย Mist AI ให้:
- กรอบงานความคาดหวังระดับบริการ (SLE) ซึ่งมอบการมองเห็นประสบการณ์ผู้ใช้ที่ไม่เคยมีมาก่อน
- เอ็นจิ้น Marvis ที่ขับเคลื่อนด้วย AI พร้อมการประมวลผลด้วยภาษาธรรมชาติสำหรับการแก้ไขปัญหาและการวิเคราะห์สาเหตุที่แท้จริง
- Marvis Actions ซึ่งฝ่ายไอทีสามารถใช้ประโยชน์ในการแก้ไขปัญหาผู้ใช้จากระยะไกลโดยไม่ต้องใช้ทรัพยากรเพิ่มเติมใดๆ
รูปภาพต่อไปนี้แสดงให้เห็นโซลูชัน Juniper Mist Teleworker:
ส่วนประกอบของโซลูชัน Juniper Mist Teleworker ได้แก่:
- จุดเชื่อมต่อ Juniper Mist (AP)
- เครื่องใช้ไฟฟ้า Juniper Mist Edge
- การสมัครสมาชิก Juniper Mist Wireless Assurance (1x ต่อ AP) SUB-1S-Y โดยที่ X คือหนึ่งปี สาม หรือห้าปีในการให้บริการ
- การสมัครสมาชิก Juniper Mist Edge (1x ต่อ AP) SUB-ME-1S-Y โดยที่ X คือหนึ่ง สาม หรือห้าปีในการให้บริการ
- การสมัครสมาชิก Juniper Mist Marvis (1x ต่อ AP) SUB-ME-1S-Y โดยที่ X คือหนึ่ง สาม หรือห้าปีในการให้บริการ
ประโยชน์ของโซลูชัน Mist Teleworker
โซลูชัน Juniper Mist Teleworker มอบคุณประโยชน์ดังต่อไปนี้:
- ความคล่องตัว
- การจัดเตรียมแบบ Zero-touch—ลบ Prior-stagข้อกำหนดสำหรับ AP
- การจัดการเครือข่ายด้วยความพยายามเพียงเล็กน้อย—ใช้ประโยชน์จาก Marvis® Virtual Network Assistant และจัดการประสิทธิภาพเครือข่ายด้วยการวิเคราะห์เกี่ยวกับตัวชี้วัดความคาดหวังระดับบริการ (SLE) ของ Juniper Mist
- ความเป็นอิสระของเฟิร์มแวร์—ลบการพึ่งพาเฟิร์มแวร์ระหว่าง AP และ Juniper Mist Edge
คุณสามารถอัปเดตบริการ Juniper Mist Edge ได้อย่างอิสระภายในเวลาไม่ถึง 3 วินาที - ความปลอดภัย
- การแยกการรับส่งข้อมูล—ระดับของการควบคุมการรับส่งข้อมูลจะคล้ายกับระดับในสถาปัตยกรรมตัวควบคุม LAN ไร้สายดั้งเดิม เปิดใช้งานการเคลื่อนย้ายการรับส่งข้อมูลของผู้ใช้ไปยังตำแหน่งศูนย์กลางแห่งเดียวอย่างโปร่งใส โดยแยกออกจากสวิตช์การเข้าถึงของคุณ
- การรักษาความปลอดภัยอัตโนมัติ—เปิดใช้งานการใช้งานไซต์ที่ขับเคลื่อนด้วยเครื่องจักรโดยไม่ต้องเปิดเผยข้อมูลรับรองใดๆ
- ปลอดภัย Webซ็อกเก็ตเพื่อพูดคุยกับคลาวด์
- การป้องกันอุปกรณ์ปลายทาง—รักษาความปลอดภัยอุปกรณ์ปลายทางแบบไร้สายและแบบมีสายผ่าน PoE-out
- ความยืดหยุ่น
- นำฮาร์ดแวร์กลับมาใช้ใหม่
- รองรับการครอบคลุมทั่วทั้งบ้านที่ยืดหยุ่นด้วยความสามารถแบบตาข่ายที่ปลอดภัย
- ช่วยให้พนักงานจัดการ SSID ที่บ้านด้วยตนเอง
สร้างไซต์สำหรับพนักงานออฟฟิศระยะไกล
ด้วยการใช้ Juniper Mist เพื่อสนับสนุนพนักงานที่ทำงานจากระยะไกล ลูกค้าสามารถขยาย WLAN ขององค์กรไปยังบ้านของพนักงานเมื่อใดก็ตามที่พนักงานทำงานจากระยะไกล
คุณสามารถสร้างไซต์ในพอร์ทัล Juniper Mist ได้จากเมนูองค์กร>การกำหนดค่าไซต์
บันทึก:
- สำหรับ AP41 และ AP43 เวอร์ชันเฟิร์มแวร์ AP ขั้นต่ำที่จำเป็นสำหรับการรองรับ IPsec และ split tunneling คือ 0.7.20289
- สำหรับ AP32/33 และ AP12 เวอร์ชันเฟิร์มแวร์ AP ขั้นต่ำที่จำเป็นสำหรับการรองรับ IPsec ด้วย split tunneling คือ 0.8.21022
ตั้งค่า Juniper Mist Edge และกำหนดค่าเทมเพลต WLAN
หลังจากการกำหนดค่าเริ่มต้นของ Juniper Mist™ เสร็จสมบูรณ์แล้ว คุณไม่จำเป็นต้องดำเนินการล่วงหน้าtage จุดเข้าใช้งาน (AP) คุณสามารถจัดส่ง AP ไปที่บ้านพนักงานได้โดยตรงและพร้อมให้บริการลูกค้าภายใน 20 วินาที
โดยทั่วไป Juniper Mist Edge จะอยู่ใน DMZ โดยที่แขนข้างหนึ่งเชื่อมต่อกับอินเทอร์เน็ต และอีกแขนหนึ่งเชื่อมต่อกับเครือข่ายองค์กรที่เชื่อถือได้ ก่อนที่คุณจะกำหนดค่าเทมเพลต WLAN เพื่อเปิดใช้งาน SSID องค์กร คุณต้องดำเนินการต่อไปนี้:
ตารางที่ 1:
| งาน | อ้างถึง |
| กำหนดค่าการเชื่อมต่อพอร์ตและตั้งค่า Juniper Mist Edge | การเริ่มต้น |
| สร้างคลัสเตอร์ Juniper Mist Edge | ไม่มีชื่อลิงก์ |
| สร้างอุโมงค์หมอก | ไม่มีชื่อลิงก์ |
| เปิดใช้งานบริการพร็อกซี RADIUS | ไม่มีชื่อลิงก์ |
ในการกำหนดค่าเทมเพลต WLAN:
- กำหนดค่าเทมเพลต WLAN เพื่อเปิดใช้งานตัวระบุชุดบริการขององค์กร (SSID)
- จากเมนูด้านซ้ายของพอร์ทัล Juniper Mist ให้เลือก องค์กร > เทมเพลต WLAN
- ในหน้าต่างเทมเพลต WLAN คลิกสร้างเทมเพลต
- ในหน้าต่างเทมเพลตใหม่ ให้ป้อนชื่อและกำหนดเทมเพลตให้กับทั้งองค์กรหรือกลุ่มไซต์และไซต์
ไซต์โฮมออฟฟิศระยะไกลแต่ละไซต์จะถูกจัดอยู่ในกลุ่มไซต์ที่เรียกว่า Remote Teleworker ถ้าคุณต้องการ คุณสามารถวางทั้งองค์กรในกลุ่มไซต์และเพิ่มไซต์สำนักงานจริงที่เพิ่มเป็นข้อยกเว้นได้
เช่นampอย่างไรก็ตาม เทมเพลตต่อไปนี้ถูกกำหนดให้กับทุกไซต์ ยกเว้นไซต์ “BranchA” และ “BranchB”
- ระบุการตั้งค่าความปลอดภัย
การตั้งค่า SSID ขึ้นอยู่กับข้อกำหนดขององค์กรของคุณ รูปภาพต่อไปนี้แสดงการกำหนดค่า WLAN ที่ปลอดภัย 802.1X
- ระบุจำนวน VLAN ที่จะส่งสัญญาณผ่านอุปกรณ์ Edge
จุดเข้าใช้งาน Juniper Mist (AP) ไม่ได้ส่งสัญญาณ WLAN ที่กำหนดค่าด้วย untagเกด VLAN - สำหรับการปรับใช้ระดับองค์กร ให้ระบุ Custom Forwarding to Mist และเลือก tunnel profile จากเมนูแบบเลื่อนลงอุโมงค์ อุโมงค์ Mist ต้องระบุ VLAN เดียวกันกับที่คุณต้องการสร้างอุโมงค์
- สำหรับการปรับใช้ระดับไซต์ ให้ระบุการส่งต่อแบบกำหนดเองไปยัง Site Edge อุโมงค์ไซต์ต้องระบุ VLAN เดียวกันกับที่คุณต้องการสร้างอุโมงค์
การเชื่อมต่อไคลเอนต์แบบมีสายผ่าน ETH1 หรือพอร์ตโมดูลของ AP
ในส่วนนี้
- Example: การกำหนดค่าพอร์ตแบบมีสาย AP12 สำหรับการขุดอุโมงค์ | 8
- Example: การกำหนดค่าพอร์ตที่สองสำหรับ AP41 | 11
นอกจากการขยายเครือข่าย Juniper Mist ขององค์กรไปยังพนักงานออฟฟิศระยะไกลแล้ว คุณยังต้องเชื่อมต่ออุปกรณ์แบบใช้สายเข้ากับเครือข่ายองค์กรด้วย สำหรับเช่นampอย่างไรก็ตาม อุปกรณ์ต่างๆ เช่น กล้องรักษาความปลอดภัยและโทรศัพท์ IP จำเป็นต้องมีการตรวจตราการรักษาความปลอดภัยที่เข้มงวดบนไฟร์วอลล์หลังจากเริ่มต้นใช้งาน ดังนั้นคุณต้องวางอุปกรณ์เหล่านี้ไว้ใน VLAN ที่ไม่ซ้ำกัน คุณสามารถกำหนดค่าจุดเข้าใช้งาน (AP) ของอุปกรณ์โดย AP หรือผ่านการแทนที่ AP หากต้องการ คุณสามารถสร้างอุปกรณ์โปรได้fileและกำหนดสิ่งเหล่านี้ให้กับอุปกรณ์ ไม่ว่าในกรณีใด การกำหนดค่าจะเป็นดังนี้
เหมือนเดิมทุกประการ.
Example: การกำหนดค่าพอร์ตแบบใช้สาย AP12 สำหรับการขุดอุโมงค์
เมื่อ AP ผู้ใช้ระยะไกลหลายตัวต้องการการกำหนดค่าพอร์ตเดียวกัน คุณสามารถสร้างอุปกรณ์ระดับมืออาชีพได้file และแมปอุปกรณ์โปรfile ถึง AP คุณยังสามารถกำหนดค่า AP แต่ละตัวได้เช่นกัน
![JUNIPER Mist Edge Teleworker Solution - พอร์ต conC]†r-ঞon](https://manuals.plus/wp-content/uploads/2024/01/JUNIPER-Mist-Edge-Teleworker-Solution-Port-conC%C2%86r-%E0%A6%9Eon.jpg)
การกำหนดค่าพอร์ตมีดังนี้:
พอร์ต 0—การรับส่งข้อมูลการจัดการ AP ถูกส่งไปtagเกด WLAN และ VLAN ภายในเครื่องทั้งหมดเป็นแบบอัตโนมัติtagได้รับบน Eth0
ดังนั้น คุณสามารถกำหนดค่า Eth0 ด้วยรายการ VLAN ID และตั้งค่า Port VLAN ID เป็น 1
พอร์ตอื่นๆ— แมปพอร์ตอื่นๆ กับ VLAN เดียวหรือหลาย VLAN ตามภาพประกอบ หากคุณแมปพอร์ตอื่นกับ VLAN เดียว โฮสต์แบบมีสายจะได้รับที่อยู่ IP จาก VLAN นั้น หากคุณกำหนดค่าพอร์ตอื่นเป็น trunk ที่มี VLAN ที่อนุญาตหลายรายการและพอร์ตใดพอร์ตหนึ่งเป็น VLAN ดั้งเดิม พอร์ตนั้นจะทำงานเป็น trunk ใช้พอร์ตแบบใช้สายเพิ่มเติมเพื่อขยาย VLAN แบบทันเนลไปยังพอร์ตแบบมีสาย
บันทึก: หมายเหตุ: พอร์ตแบบใช้สายไม่รองรับการแยกช่องสัญญาณ ดังนั้นให้ละเว้น VLAN 1726 จากการกำหนดค่า คุณสามารถรวม VLAN 110 ไว้ในพอร์ตแบบใช้สายได้ เนื่องจากเป็นช่องสัญญาณสำหรับอุปกรณ์แบบมีสาย
รูปภาพต่อไปนี้แสดงพอร์ต Eth0+PoE และพอร์ตพาสทรู (Pass Thru)
รูปที่ 1: Eth0+PoE และพอร์ต Pass Thru
คุณสามารถเสียบพอร์ต Eth0+PoE เข้ากับสวิตช์ PoE หรืออิฐ PoE เพื่อเปิดเครื่อง AP12 พอร์ตใช้ที่อยู่ IP DHCP สำหรับการจัดการ พอร์ตพาสทรูที่มีเครื่องหมาย Pass Thru ทำหน้าที่เป็นแพตช์จากด้านหลังไปยังพอร์ตด้านข้าง คุณสามารถใช้พอร์ตพาสทรูได้ในกรณีที่คุณต้องเชื่อมต่ออุปกรณ์ที่อยู่ด้านหลังตัวยึดติดผนัง เช่น ทีวีในโรงแรม
คุณสามารถกำหนดค่าพอร์ต Eth1, Eth2 และ Eth3 ได้ในรายละเอียด AP หรือ Device Profile หน้าในพอร์ทัล Juniper Mist คุณสามารถแมปพอร์ตกับ VLAN การจัดการหรือ VLAN แบบทันเนลได้
Example: การกำหนดค่าพอร์ตที่สองสำหรับ AP41
รูปภาพต่อไปนี้แสดงการกำหนดค่าพอร์ตที่สองสำหรับ AP41
![JUNIPER Mist Edge Teleworker Solution - พอร์ตที่สอง ComC]†r-ঞom](https://manuals.plus/wp-content/uploads/2024/01/JUNIPER-Mist-Edge-Teleworker-Solution-Second-Port-ComC%C2%86r-%E0%A6%9Eom.jpg)
ในอดีตampแต่พอร์ต VLAN ID จะเหมือนกับ Native VLAN ID หรือ Untagเกจ VLAN. โปรดทราบว่ามีเพียงพอร์ตโมดูลเท่านั้นที่สามารถจ่ายไฟผ่านอีเธอร์เน็ต (PoE) เพื่อจ่ายไฟให้กับอุปกรณ์ที่ใช้พลังงานต่ำ เช่น โทรศัพท์ IP รองรับ POE Passthrough เฉพาะในกรณีที่ PoE injector ไม่ใช่แหล่งจ่ายไฟ DC จ่ายไฟให้กับ AP
บันทึก: AP12, AP41, AP43 และ AP45 สามารถให้ PoE-out ได้ พอร์ตต่อไปนี้จ่ายไฟผ่านอีเธอร์เน็ต (PoE) บน AP ที่แตกต่างกัน:
- พอร์ตโมดูลบน AP41
- ETH1 บน AP41 และ AP43
- พอร์ต Passthrough บน AP12
แยกอุโมงค์สำหรับ SSID ขององค์กร
Juniper Mist Edge ให้ความสามารถในการแยกอุโมงค์ ความสามารถนี้ช่วยให้ไคลเอนต์องค์กรสามารถเชื่อมต่อกับอุปกรณ์ภายในบ้านในพื้นที่ (เช่น เครื่องพิมพ์และระบบสื่อ) ในขณะที่เชื่อมต่อกับเครือข่ายองค์กร คุณสามารถเปิดใช้งานคุณสมบัตินี้ได้ภายใต้การตั้งค่า Mist Tunnel
บันทึก: ความสามารถแบบแยกอุโมงค์ใช้ได้กับ AP ระยะไกลตัวเดียวที่ไซต์งาน
หลังจากที่คุณเปิดใช้งานการแยกช่องสัญญาณ ที่อยู่ IP ที่แสดงอยู่ในช่องเครือข่ายย่อยปลายทางจะถูกเชื่อมต่อกลับไปยัง Juniper Mist Edge ที่อยู่ IP ที่เหลือจะเชื่อมโยงในเครื่อง นอกจากนี้ ฟิลด์เซิร์ฟเวอร์ DNS เมื่อกำหนดค่าแล้ว ยังให้วิธีการใช้เซิร์ฟเวอร์ DNS ขององค์กรเพื่อแก้ไข URLs/FQDN สำหรับการรับส่งข้อมูลทั้งแบบทันเนลและแบบบริดจ์ในเครื่อง
เมื่อคุณเปิดใช้งานการแยกช่องสัญญาณ AP จะให้บริการที่อยู่ IP 192.168.157.X/27 จากเครือข่ายย่อยส่วนตัวที่รันสำหรับไคลเอนต์ การรับส่งข้อมูลที่กำหนดให้กับสำนักงานของบริษัท ซึ่งกำหนดไว้ในเครือข่ายย่อยปลายทาง จะถูกแปลเป็น IP ขององค์กร IP ขององค์กรคือ IP ที่ AP ได้รับจาก VLAN ของ WLAN ขององค์กร การรับส่งข้อมูลไคลเอนต์ไร้สายที่เหลือจะถูกแปลเป็นที่อยู่ IP VLAN การจัดการของ AP
กำหนดการตั้งค่า Tunnel Gateway ด้วยซับเน็ตเกตเวย์ไคลเอ็นต์ นี่คือเกตเวย์สำหรับ VLAN ที่แมปกับ WLAN โปรดทราบว่าคุณสามารถกำหนดค่าเครือข่ายย่อยปลายทางได้หลายรายการ คุณยังสามารถเพิ่มที่อยู่ IP และคั่นด้วยเครื่องหมายจุลภาคได้
ทำให้เซิร์ฟเวอร์ DNS ขององค์กรเป็นส่วนหนึ่งของเครือข่ายย่อยปลายทาง หรือเพิ่มเซิร์ฟเวอร์เป็นรายการ /32
อ้างสิทธิ์และจัดส่ง AP ไปยังสถานที่ตั้งของพนักงาน
คุณสามารถใช้แอป Juniper Mist™ AI เพื่อขอรับ AP ก่อนจัดส่งไปยังที่ตั้งสำนักงานที่บ้านระยะไกลของพนักงานได้ ดู https://www.mist.com/documentation/mist-ai-mobile-app/.
ในแอป Mist AI ให้เลือกไซต์และอ้างสิทธิ์ AP ไปยังไซต์นั้นโดยใช้โค้ด QR ที่ด้านหลังของ AP
จากนั้น จากแอป ให้จัดส่ง AP ไปยังตำแหน่งของพนักงาน ไม่จำเป็นต้องเชื่อมต่อกับเครือข่ายก่อนจัดส่ง!
สำหรับโซลูชัน Remote Teleworker ตรวจสอบให้แน่ใจว่าไฟร์วอลล์ได้รับการกำหนดค่าให้อนุญาตการเชื่อมต่อจาก AP ระยะไกล พิจารณาแนวทางต่อไปนี้:
- อนุญาตพอร์ต 500/4500 สำหรับ IPSec และพอร์ต 2083 สำหรับ RadSec จาก AP ระยะไกล
- ไฟร์วอลล์จะต้องแปล IP ปลายทางของแพ็กเก็ตจาก AP ระยะไกลเป็น IP ช่องสัญญาณ
- รับ IP ภายนอกสำหรับ IP อุโมงค์ Mist Edge ที่ AP ระยะไกลเชื่อมต่อ (โดยปกติแล้วจะเป็น IP ไฟร์วอลล์) ผนวก IP นั้นเข้ากับชื่อโฮสต์/IP ภายใต้บริการยุติอุโมงค์
ไม่จำเป็นต้องมีการกำหนดค่าเพิ่มเติมบน Mist Edge หรือ AP นอกเหนือจากการเลือกประเภทช่องสัญญาณเป็น IPSec และ Radius ไปยังพร็อกซีผ่าน Mist Edge
เมื่อได้รับ AP แล้ว พนักงานสามารถเชื่อมต่อกับพอร์ตอีเธอร์เน็ตใดๆ บนเราเตอร์ภายในบ้านได้ (โดยใช้ PoE injector หรือไฟ DC) AP พร้อมให้บริการสำนักงานระยะไกลแห่งใหม่ภายในเวลาไม่ถึง 20 วินาที
Juniper Networks, โลโก้ Juniper Networks, Juniper และ Junos เป็นเครื่องหมายการค้าจดทะเบียนของ Juniper Networks, Inc. ในสหรัฐอเมริกาและประเทศอื่นๆ เครื่องหมายการค้า เครื่องหมายบริการ เครื่องหมายจดทะเบียน หรือเครื่องหมายบริการจดทะเบียนอื่นๆ ทั้งหมดเป็นทรัพย์สินของเจ้าของที่เกี่ยวข้อง Juniper Networks จะไม่รับผิดชอบต่อความไม่ถูกต้องใดๆ ในเอกสารนี้ Juniper Networks ขอสงวนสิทธิ์ในการเปลี่ยนแปลง แก้ไข โอน หรือแก้ไขสิ่งพิมพ์นี้โดยไม่ต้องแจ้งให้ทราบล่วงหน้า ลิขสิทธิ์ © 2024 Juniper Networks, Inc. สงวนลิขสิทธิ์
เอกสาร / แหล่งข้อมูล
 |
โซลูชันผู้ปฏิบัติงานทางไกลของ JUNIPER Mist Edge [พีดีเอฟ] คู่มือการใช้งาน โซลูชัน Mist Edge Teleworker, Mist, โซลูชัน Edge Teleworker, โซลูชัน Teleworker |