Adicione um site de filial com recursos de SD-WAN
Um spoke no local (filial) representa um endpoint que faz parte do equipamento nas instalações do cliente (CPE) em qualquer local físico, como filial ou ponto de venda. Normalmente, esses pontos são conectados usando conexões overlay para locais de hub. Você pode adicionar um site de filial na página de gerenciamento de sites.
Os modelos de dispositivo a seguir são suportados para sites de filiais:
NFX150 como CPE de SD-WAN
NFX250 como CPE de SD-WAN
NFX250 duplo como CPEs de SD-WAN
SRX como CPE de SD-WAN
SRX duplo como CPEs de SD-WAN
SRX4x00 como CPE SD-WAN
SRX4x00 duplo como CPEs SD-WAN
A partir do lançamento do CSO 5.4.0 em diante, os fluxos de trabalho de criação de sites de filiais e ativação do local podem ser separados opcionalmente, oferecendo mais flexibilidade para a instalação no local de equipamentos nas instalações do cliente (CPE).
Em implantações de SD-WAN que compreendem equipamentos de instalações de um ou dois clientes (CPE), os administradores de locatários têm a opção de digitar o número de série do(s) dispositivo(s) CPE após a inclusão dos sites das filiais. O site da filial pode ser adicionado por um administrador de locatário e o dispositivo CPE associado ao site pode ser ativado manualmente por outro usuário autorizado. O usuário autorizado deve inserir o número de série e o código de ativação, ou apenas o número de série ao ativar manualmente o dispositivo CPE mais tarde. A opção de adicionar sites de filiais sem número de série de um dispositivo CPE é aplicável tanto aos modelos de dispositivo SRX quanto NFX (NFX150 e NFX250).
Em modelos de dispositivos Dual CPE, você não pode adicionar o número de série de um CPE e evitar inserir o número de série do outro dispositivo CPE. Você pode inserir números de série para dispositivos primários e secundários ao criar o site ou digitar ambos os números de série enquanto ativa o site.
A partir do lançamento 6.0.0, o CSO oferece suporte aos seguintes serviços de SD-WAN para um site:
Secure SD-WAN Essentials — fornece os serviços básicos de SD-WAN. Esse serviço é ideal para pequenas empresas que procuram gerenciar uma conectividade WAN simples com serviços abrangentes de segurança NGFW nas filiais, usando o direcionamento de aplicativos baseado em link. O serviço SD-WAN Essentials permite que o tráfego da Internet se desfaço localmente e, portanto, evita a necessidade de backhaul do tráfego web em links VPN ou MPLS caros. Os sites oferecem suporte a recursos como políticas de firewall baseadas em intenção, gerenciamento e controle de enlaces WAN, roteamento controlado por CSO entre sites conectados por meio da VPN estática e comunicação de site a site por MPLS ou links de internet por trás do NAT. Um locatário com o nível de serviço SD-WAN Essentials pode criar apenas sites SD-WAN Essentials.
Nota:Você pode atualizar um site secure SD-WAN Essentials para um site SD-WAN Advanced seguro editando as informações do site (permitido se o nível de serviço SD-WAN do locatário for atualizado para Advanced).
Secure SD-WAN Advanced — oferece o serviço SD-WAN completo. Esse serviço é ideal para empresas com um ou mais data centers, exigindo topologias flexíveis e direcionamento dinâmico de aplicativos. A conectividade local a local pode ser estabelecida usando um hub em uma topologia hub-and-spoke ou através de túneis VPN estáticos ou dinâmicos de malha completa. As políticas de SD-WAN baseadas em intenção em toda a empresa e as medições de contrato de nível de serviço (SLA) permitem que o CSO diferencie e rote o tráfego dinamicamente para diferentes aplicativos.
Sites de SD-WAN em versão CSO 5.4.0 ou versões anteriores são tratados como locais avançados de SD-WAN. Você não pode rebaixar o nível de serviço SD-WAN de um locatário do SD-WAN Advanced para o SD-WAN Essentials.
A partir do CSO Release 6.0.0, o fluxo de trabalho de criação de sites de filial é simplificado, tornando o provisionamento de serviços opcional durante o processo de integração. Você pode configurar o serviço durante a criação do site ou adicionar o serviço mais tarde. Para adicionar um site de filial sem o serviço SD-WAN, consulte Adicionar sites de filiais ou hubs empresariais sem provisionar um serviço
Para adicionar um site de filial com apenas recursos de SD-WAN:
Campo |
Descrição |
---|---|
Geral | |
Informações do site |
|
Nome do site |
Insira um nome exclusivo para o site. Você pode usar caracteres alfanuméricos e hífen (-); o comprimento máximo é de 32 caracteres. |
Nome do host do dispositivo |
O nome do host do dispositivo é gerado automaticamente e usa o formato tenant-name.host-name. Você não pode alterar a tenant-name parte no nome do host do dispositivo. Use caracteres alfanuméricos e hífen (-); o comprimento máximo permitido é de 32 caracteres. |
Grupo do site |
Selecione um grupo de sites ao qual você deseja atribuir o site. |
Recursos do site |
Nota:
O gerenciamento de dispositivos, habilitado por padrão, permite que você crie um site com apenas recursos de gerenciamento de dispositivos (sem nenhum serviço) e adicione serviços mais tarde. Para adicionar um recurso de SD-WAN para este site, escolha um dos seguintes tipos de serviçoS SD-WAN:
|
Informações de endereço e contato |
|
Endereço de rua |
Digite o endereço de rua do site. |
Cidade |
Entre na cidade onde o local está localizado. |
Estado/Província |
Selecione o estado ou a província onde o local está localizado. |
CEP/Código Postal |
Digite o código postal para o site. |
País |
Selecione o país onde o local está localizado. Clique no botão Validar para verificar o endereço.
|
Nome de contato |
Insira o nome da pessoa de contato para o site. |
|
Digite o endereço de e-mail da pessoa de contato para o site. |
Telefone |
Digite o número de telefone da pessoa de contato para o site. |
Configuração avançada |
|
Servidor de nome de domínio |
Especifique um ou mais endereços IPv4 ou IPv6 ou IPv4 e IPv6 do servidor DNS. Para especificar mais de um endereço de servidor DNS, digite o endereço, pressione Enter e, em seguida, digite o próximo endereço e assim por diante. Os servidores DNS são usados para resolver nomes de host em endereços IP. |
Servidor NTP |
Especifique os nomes de domínio (FQDNs) ou endereços IP totalmente qualificados de um ou mais servidores NTP. Exemplo: ntp.example.net O site deve ter a acessibilidade de DNS para resolver o FQDN durante a configuração do site. |
Selecione Timezone |
Selecione o fuso horário do site. |
Dispositivo
Nota:
Alguns campos nesta seção são exibidos apenas se você habilitar a opção de redundância de dispositivos. |
|
Redundância de dispositivos |
Desativado por padrão. Habilite essa opção para CPEs duplos. Os seguintes pré-requisitos são necessários para permitir a redundância do dispositivo:
|
Série de dispositivos |
Selecione a série de dispositivos à qual o CPE pertence — SRX, NFX150 ou NFX250. Com base na série de dispositivos que você seleciona, os modelos de dispositivo suportados (contendo informações para configuração de dispositivos) estão listados. Selecione um modelo de dispositivo para a série de dispositivos selecionados. |
Modelo de dispositivo |
Selecione o número do modelo do dispositivo. |
Senha raiz do dispositivo |
A senha raiz padrão é coletada no campo ENC_ROOT_PASSWORD no modelo do dispositivo. Você pode reter a senha ou alterá-la digitando uma senha no formato de texto simples. A senha é criptografada e armazenada no dispositivo. |
Provisionamento zero touch |
Clique no botão de alternar para ativar ou desativar o provisionamento zero-touch (ZTP). Essa opção é habilitada por padrão.
Nota:
Por padrão, este botão é desativado para firewall virtual vSRX. Você pode ativar este botão, se a versão junos OS em execução no firewall virtual vSRX oferece suporte ao cliente de casa de telefone. Para usar ZTP, garanta o seguinte:
Se o ZTP estiver habilitado, o campo Boot Image será exibido e você deve selecionar uma imagem que ofereça suporte ao cliente phone-home. Durante o ZTP, a imagem no dispositivo de firewall é atualizada para a imagem que você escolhe para a imagem boot. Se você desativar o ZTP, garanta que o dispositivo tenha conectividade com o CSO. Se o dispositivo não estiver prestaged/pré-configurado, então você deve fornecer os detalhes sob a seção de conectividade de gerenciamento para que o CSO possa gerar a configuração como parte da configuração de estágio 1. Você pode pular a seção de conectividade de gerenciamento se o dispositivo tiver conectividade com o CSO. Se você desativar o ZTP, você deve copiar a configuração de estágio 1 do CSO e comprometê-la no dispositivo para iniciar o processo de integração. Use qualquer uma das seguintes opções para copiar a configuração de estágio 1:
|
Número de série |
Para um único dispositivo CPE, digite o número de série do dispositivo CPE. Os números de série são sensíveis ao caso. Se você não digitar o número de série, o site da filial será criado, mas o dispositivo CPE associado ao site não será ativado. Consulte a Etapa 5 para obter mais informações. |
Número de série do nó 0 |
Para um dispositivo CPE duplo, digite o número de série do dispositivo de CPE principal. O número de série é sensível ao caso. Se você não digitar o número de série, o site da filial será criado, mas o dispositivo CPE não será ativado. Consulte a Etapa 5 para obter mais informações. |
Número de série do nó 1 |
Para um dispositivo CPE duplo, digite o número de série do dispositivo CPE secundário. O número de série é sensível ao caso. Se você não digitar o número de série, o site da filial será criado, mas o dispositivo CPE não será ativado. Consulte a Etapa 5 para obter mais informações. |
O cluster já está formado? |
Nota:
Este campo está disponível apenas para dispositivos SRX de CPE duplos. Clique no botão de alternar para especificar se o cluster SRX foi formado manualmente (Sim) ou não (Não). |
Cluster ID |
Nota:
Este campo está disponível apenas para dispositivos SRX de CPE duplos. Se o cluster SRX não tiver sido formado manualmente, especifique uma ID única para o cluster. Intervalo: 1 a 15 Se você tiver habilitado o ZTP para o site, o cluster será formado automaticamente quando o site é ativado. Se você tiver desabilitado o ZTP, os seguintes processos serão exibidos na página progresso de ativação do site (que aparece depois de você ter adicionado o site da filial):
Após a detecção do cluster, o CSO executa o bootstrap e os processos de provisionamento e conclui o provisionamento do cluster. |
Ativação automática |
Clique no botão de alternar para ativar ou desabilitar a ativação automática do dispositivo CPE. Se você desativar a ativação automática, consulte Ativar um tópico do dispositivo para ativar manualmente o CPE. |
Código de ativação |
Se a ativação automática do dispositivo for desativada, insira o código de ativação para ativar manualmente o dispositivo. O código de ativação é fornecido pelo administrador que adiciona o site. |
Código de ativação de nós 0 |
Se a ativação automática de CPEs duplos for desativada, insira o código de ativação para ativar manualmente o dispositivo principal de CPE. |
Código de ativação de nós 1 |
Se a ativação automática de CPEs duplos for desativada, insira o código de ativação para ativar manualmente o dispositivo CPE secundário. |
Imagem do Boot |
Selecione a imagem de inicialização da lista de quedas se quiser atualizar a imagem para o dispositivo CPE. A imagem do boot é a imagem de construção mais recente enviada para o sistema de gerenciamento de imagem. A imagem do boot é usada para atualizar o dispositivo quando o CSO inicia o processo ZTP. Se a imagem do boot não for fornecida, o dispositivo ignora o procedimento para atualizar a imagem do dispositivo. A imagem de inicialização (NFX ou SRX) é povoada com base no modelo de dispositivo que você selecionou ao criar um site. Veja o upload de uma imagem do dispositivo. |
(Modelo de dispositivo) |
Selecione um modelo de dispositivo, que contém informações para configurar um dispositivo. |
Conectividade de gerenciamento
Nota:
Esta seção só é exibida quando o provisionamento Zero Touch é desativado. Se você estiver adicionando um cluster de chassi, então você deve fornecer os detalhes da interface para ambos os nós. |
|
Família de endereços |
Selecione IPv4 ou IPv6. |
Nome da interface |
Esta é a interface WAN que o dispositivo usa para se conectar ao CSO. |
Tipo de acesso | Selecione o tipo de acesso para o link underlay. Os tipos de acesso LTE, ADSL e VDSL são suportados apenas em links de Internet. |
Atribuição de endereços |
O DHCP é selecionado por padrão. Se você quiser fornecer um endereço IP estático, selecione a STATIC. |
ID de VLAN de gerenciamento |
Insira uma ID de VLAN para o link WAN. Intervalo: 0 a 4094 |
Pppoe |
Clique no botão de alternar para permitir a atribuição de endereço autenticado para o link WAN usando PPPoE (Protocolo de ponto a ponto na Ethernet). |
Anexo ADSL/VDSL SFP | Aplicável apenas a links MPLS ou Internet com tipos de acesso ADSL ou VDSL. Clique no botão de alternar para habilitar o suporte do Anexo J por meio de um módulo SFP xDSL. O anexo J está especificado nas recomendações de ITU-T G.992.3 e G.992.5. Se você mantiver essa opção desabilitada, você deve usar um módulo Mini-PIM para conectividade. |
Configuração do hub
Nota:
A seleção do hub é opcional para sites SD-WAN Advanced e Essentials. Os sites SD-WAN Essentials não oferecem suporte a multihoming. No entanto, você pode editar um site da Essentials (pós ativação) para atualizá-lo em um site avançado e adicionar um hub secundário mais tarde, se necessário, desde que o nível de serviço do locatário seja atualizado para Advanced. Você pode conectar um site de filial secure SD-WAN Advanced apenas aos hubs empresariais SD-WAN Advanced Secure. |
|
Hub de provedores primários |
Selecione o local principal do hub ao qual este site de filial deve se conectar. |
Hub de provedores secundários |
Nota:
Não aplicável a sites com o serviço Secure SD-WAN Essentials. Selecione o site de hub secundário ao qual este site deve se conectar. Este site se conecta ao site secundário do data hub quando o hub de dados primário não é acessível. |
Hub empresarial principal |
Selecione o hub empresarial com o qual deseja conectar o site da filial. Se você especificar um hub empresarial, o tráfego inicial de site para local, bem como o tráfego central de breakout (backhaul) (se aplicável) são enviados pelo hub empresarial em vez do local do hub. |
Hub empresarial secundário |
Nota:
Não aplicável a sites com o serviço Secure SD-WAN Essentials. Selecione o hub empresarial secundário para este site de filial. O site da filial se conecta com o hub empresarial secundário quando o hub principal não é acessível. |
Use tags de malha para conectar o EHub |
Esse botão de alternância é habilitado por padrão. Se esse botão estiver habilitado, o CSO usará tags de malha para formar automaticamente o túnel de sobreposição entre o site e os hubs empresariais. Desabilitar este botão de alternar se quiser criar manualmente túnel estático (por link WAN) entre o site da filial e os hubs empresariais. Se você desabilitar essa opção, você deve habilitar manualmente pelo menos um link WAN para se conectar ao hub empresarial usando o botão Connects to Enterprise Hubs nas Configurações avançadas do link WAN. |
WAN Links
Nota:
Na versão 6.1.0, o CSO move um site para o estado PROVISIONADO quando pelo menos um dos links WAN obtém o endereço IP e é ativado. Você pode ativar os links DE WAN DHCP restantes mais tarde. Se o site provisionado estabelecer túneis de VPN dinâmica (DVPN) para outros locais antes que os links DHCP WAN sejam ativados, esses links de WAN DHCP participam em DVPN apenas quando os túneis são excluídos e adicionados de volta (ou seja, o tráfego entre um par de sites cai abaixo do limiar de exclusão e depois cruza o limiar de criação novamente). |
|
WAN_0 WAN-Interface-Name |
Esse campo é habilitado por padrão. Digite parâmetros relacionados a WAN_0. Os campos marcados com um asterisco (*) devem ser configurados para prosseguir. |
Tipo de link |
Selecione se o link é um link MPLS ou um link para a Internet. |
Tipo de acesso |
Selecione o tipo de acesso para o link underlay.
Nota:
|
PPPoE/PPP |
Clique no botão de alternar para permitir a atribuição de endereço autenticada para o link WAN usando PPPoE (Protocolo de ponto a ponto na Ethernet) ou PPP (protocolo ponto a ponto). Por padrão, este botão de alternância é desativado. O PPPoE trabalha com tipos de acesso Ethernet, ADSL e VDSL, enquanto o PPP trabalha com o tipo de acesso LTE.
Nota:
Este botão de alternância não está disponível para links de Internet com LTE como o tipo de acesso. Você pode habilitar PPPoE ou PPP por link WAN. Se você tiver habilitado este botão de alternância, você deve especificar os parâmetros PPPoE ou PPP (nome de usuário, senha e protocolo de autenticação) para o servidor PPPoE ou PPP, respectivamente. O servidor PPPoE ou PPP atribui um endereço IP ao link WAN após a autenticação bem sucedida. Para obter mais informações, veja a seção Configurações do PPPoE/PPP nesta tabela. Você pode habilitar PPPoE ou PPP em links WAN baseados em MPLS ou baseados na Internet. Se você desabilitou esse botão de alternar, selecione um método (DHCP ou ESTÁTIC) para atribuir um endereço IP ao link WAN da lista de atribuição de endereços. |
Anexo ADSL/VDSL SFP | Aplicável apenas a links MPLS ou Internet com tipos de acesso ADSL ou VDSL. Clique no botão de alternar para habilitar o suporte do Anexo J por meio de um módulo SFP xDSL. O anexo J é especificado nas recomendações de ITU-T G.992.3 e G.992.5. Se você mantiver essa opção desabilitada, você deve usar um módulo Mini-PIM para conectividade. Você pode habilitar ou desabilitar essa opção apenas em novos links WAN que estão sendo adicionados a um site. Você não pode habilitar ou desabilitar essa opção para os links WAN existentes usando o fluxo de trabalho de edição do site. Você pode habilitar essa opção junto com outros parâmetros, como PPoE, endereço IP estático (IPv4/IPv6), DHCP e VLAN ID. |
Nome do ponto de acesso (APN) |
O nome do ponto de acesso (APN) determina o gateway de rede de dados de pacotes (P-GW) que o dispositivo CPE deve usar para se conectar à rede de dados de pacotes (PDN), como a Internet. Todos os dispositivos CPE são enviados com configurações APN padrão. No entanto, se você optar por usar uma APN privada com o provedor de serviços LTE atual ou usar um provedor de serviços LTE diferente, insira a APN para o dispositivo CPE (conforme especificado pelo provedor de serviços) neste campo. Este campo só é exibido se você tiver habilitado o PPPoE/PPP para links MPLS com LTE como tipo de acesso. Se você tiver desabilitado o PPPoE/PPP para esses links, o CSO usa as configurações APN padrão. |
Largura de banda de saída |
Insira a largura de banda máxima, em Mbps, permitida no link wan. Intervalo: 1 a 10.000.
Nota:
Essa opção não está disponível para links de Internet e MPLS com tipo de acesso LTE. |
Famílias de endereços underlay |
|
IPv4 |
Clique no botão de alternar para ativar ou desabilitar a atribuição de endereçoS IPv4 para o link WAN. Por padrão, a atribuição de endereço IPv4 está habilitada para o link WAN. O link WAN requer um endereço IPv4 para se conectar a uma rede IPv4. |
Método de atribuição de endereços |
Selecione o método de atribuir um endereço IPv4 ao link WAN — DHCP (Dynamic Host Configuration Protocol) ou STATIC. Este campo só é exibido se você tiver desabilitado o botão de alternar PPPoE/PPP. Se você selecionar o STATIC, você deve fornecer o prefixo de endereço IPv4 e o endereço IPv4 do gateway para o link WAN.
Nota:
Para links de Internet e MPLS com tipo de acesso LTE, você pode selecionar apenas DHCP para atribuição de endereços. |
Prefixo IP estático |
Se você tiver configurado o método de atribuição de endereços como ESTÁTIC, insira o prefixo de endereço IPv4 do link WAN. |
Endereço IP do gateway |
Se você tiver configurado o método de atribuição de endereços como ESTÁTIC, insira o endereço IPv4 do gateway do provedor de serviços WAN. |
MTU | Aplicável apenas aos endereços IPv4. Insira o tamanho máximo da unidade de transmissão (MTU) para a mídia ou protocolo. A gama MTU suportada pode variar dependendo do dispositivo, tipo de interface, topologia de rede e outros requisitos individuais. Veja também: Padrão de MTU e valores máximos e módulos de interface física mini LTE (LTE Mini-PIM).A edição dos valores de MTU de todos os links WAN habilitados para OAM de um site ao mesmo tempo pode resultar em flapping de túnel. Você deve garantir que pelo menos um link WAN habilitado para OAM permaneça sempre ininterrupto para um site. Por exemplo, se você tiver um site com quatro links WAN (incluindo dois links que oferecem suporte ao tráfego OAM), você pode editar os valores de MTU de todos os links WAN, exceto um link habilitado para OAM ao mesmo tempo. Após a edição ser concluída e as alterações serem salvas, você pode editar o site novamente e atualizar o link WAN restante.
Nota:
|
IPv6 |
Clique no botão de alternar para ativar ou desabilitar a atribuição de endereçoS IPv6 para o link WAN. Por padrão, a atribuição de endereço IPv6 é desativada para o link WAN. O link WAN requer um endereço IPv6 para se conectar a uma rede IPv6.
Nota:
|
Método de atribuição de endereços |
Selecione o método de atribuir um endereço IPv6 ao link WAN — DHCP (Protocolo de configuração dinâmica de host - apenas anúncio de roteador), STATIC ou SLAAC (Configuração automática de endereço sem estado). Este campo só será exibido se você tiver desabilitado o botão de alternância PPPoE/PPP. Se você selecionar o STATIC, você deve fornecer o prefixo de endereço IPv6 e o endereço IPv6 do gateway para o link WAN.
Nota:
Para links de Internet e MPLS com tipo de acesso LTE, você pode selecionar apenas DHCP para atribuição de endereços. |
Prefixo IP estático |
Se você tiver configurado o método de atribuição de endereços como ESTÁTIC, insira o prefixo de endereço IPv6 do link WAN. |
Endereço IP do gateway |
Se você tiver configurado o método de atribuição de endereços como ESTÁTIC, insira o endereço IPv6 do gateway do provedor de serviços WAN. |
Link WAN (primário ou secundário) |
Para modelos de dispositivos CPE duplos, é exibido se o link WAN é um link primário ou um link secundário. Você não pode modificar este campo. |
Configurações avançadas |
|
Família de endereços (criação de túneis) |
Selecione a família de endereços underlay (IPv4 ou IPv6) usada para estabelecer o túnel overlay. As opções da lista são povoadas com base na família de endereços que você configurou para a underlay (IPv4 ou IPv6, ou ambos). |
Provedor |
Digite o nome do provedor de serviços (SP) que fornece o serviço WAN. Apenas caracteres alfanuméricos e '_', '@', '.', '/', '#', '&', '+' e '-' são permitidos. O número máximo de caracteres permitido em 15. |
Custo/mês |
Insira o custo para usar o link WAN por mês e selecione a moeda em que o custo é indicado na lista de quedas adjacente. Intervalo: 1 a 10.000. Na SD-WAN otimizada para largura de banda, o CSO usa essas informações para identificar o link mais barato para rotear o tráfego quando vários links WAN atendem aos parâmetros de perfil SLA. |
Prioridade de link |
Digite um valor na faixa 1-255. Um valor mais baixo indica um link mais preferido. Um valor de 1 indica a maior prioridade e um valor de 255 indica a menor prioridade. Se você não digitar um valor, a prioridade do link é considerada como 255. |
Habilite a fuga local |
Clique no botão de alternar para permitir a fuga local no link wan. Por padrão, a fuga local é desativada.
Nota:
|
Opções de fuga |
Selecione se você deseja usar o link WAN para o tráfego de breakout e WAN (padrão) ou apenas para o tráfego de breakout. |
MAP-E |
Clique no botão de alternar para ativar ou desativar o mapeamento de endereços e portas com funcionalidade de encapsulamento (MAP-E) no link WAN IPv6. Por padrão, o MAP-E é desativado. O MAP-E oferece suporte ao transporte de pacotes IPv4 em uma rede IPv6 usando o encapsulamento IPv4-in-IPv6. Para obter mais informações sobre o MAP-E, veja Mapeamento de endereços e portas com encapsulamento em dispositivos da Série NFX.
Nota:
|
Regra de NAT de origem automática |
Nota:
Sites com o secure SD-WAN Essentials oferecem suporte apenas às regras de NAT de origem baseada em interface. Se você habilitar essas opções para um site SD-WAN Essentials, as regras de NAT de origem baseadas em interface são aplicadas automaticamente. Se você habilitar essas opções para um site avançado de SD-WAN, você deve selecionar uma regra NAT de origem no campo de tradução . Clique no botão de alternar para ativar ou desabilitar a criação automática de regras de NAT de origem. Por padrão, esse campo é habilitado quando a atribuição de endereçoS IPv4 e a fuga local são habilitadas para o link WAN. A Tabela 2 explica como as regras de NAT de origem são criadas automaticamente no link wan. As regras de NAT de origem criadas automaticamente são definidas e aplicadas implicitamente no site e não são visíveis na página políticas de NAT.
Nota:
Você pode substituir manualmente as regras de NAT criadas automaticamente, criando uma regra DE NAT dentro de um determinado conjunto de regras. Por exemplo, usar um pool de NAT de origem em vez de uma interface para tradução, criar uma regra DE NAT dentro deste conjunto de regras em particular, que inclui a zona de departamento relevante e a interface WAN como fonte e destino. Por exemplo: Dept-Zone1 --> W1 : Translation=Pool-2 A regra NAT criada manualmente é colocada em uma prioridade maior do que a regra NAT criada automaticamente. Você também pode adicionar outros campos (como endereços, portas, protocolos e assim por diante) como parte dos endpoints de origem ou destino. Por exemplo: Dept-Zone1, Port 56578 --> W1: Translation=Pool-2 |
Tradução |
Nota:
Este campo só será exibido se a criação automática das regras de NAT de origem for habilitada para o link WAN, e o serviço SD-WAN usado for Avançado. Sites com o secure SD-WAN Essentials oferecem suporte apenas às regras de NAT de origem baseada em interface. Selecione o tipo de NAT a ser usado para o tráfego no link wan:
|
Endereços IP |
Para NAT baseado em pool, insira um ou mais endereços IP, sub-redes ou uma faixa de endereço IP. Separe vários endereços IP usando vírgulas e use um hífen para denotar um intervalo; por exemplo, 192.0.2.1-192.0.2.50. |
Link de fuga preferido |
Clique no botão de alternar para habilitar o link WAN como o link de breakout mais preferido. Se você desativar essa opção, então o link de separação é escolhido usando o ECMP dos links de breakout disponíveis. |
Opções de underlay do BGP |
Nota:
Não aplicável a sites com serviço SD-WAN Essentials.
Nota:
Essa configuração só pode ser configurada se a atribuição de endereço IPv4 (com a STATIC como método de atribuição de endereços) e a fuga local forem habilitadas para o link WAN. Clique no botão de alternar para habilitar o roteamento underlay BGP. Quando você habilita o roteamento underlay BGP, encaminha anúncios para o nó pe primário e, se configurado, o nó pe secundário ocorre da seguinte forma:
Nota:
Se o BGP underlay estiver habilitado para um link WAN, então as rotas aprendidas com o BGP serão instaladas para fuga local; O CSO não gera a rota padrão estática. |
Vizinho primário |
Exibe o endereço IP que você inseriu no gateway para o link WAN. |
Vizinho secundário |
Se você quiser fornecer resiliência a PE, você pode configurar um nó pe secundário. Digite o endereço IP do nó PE secundário.
Nota:
Se o nó pe primário cair, então o PE secundário é usado como o próximo salto. Quando o PE primário volta, os próximos saltos de rota são alterados para o PE primário. |
Peer-AS-Number eBGP |
Digite o número do sistema autônomo (AS) para o peer externo (EBGP).
Nota:
Se o número de AS do peer não estiver configurado ou o número peer AS configurado for o mesmo do site de CPE, então o tipo BGP será assumido como BGP interno (IBGP). |
Autenticação |
Selecione o método de autenticação de rota BGP a ser usado:
|
Chave Auth |
Se você especificou que o MD5 deve ser usado para autenticação, especifique uma chave de autenticação MD5 (senha), que é usada para verificar a autenticidade dos pacotes BGP. |
Anunciar prefixos de LAN públicos |
Clique no botão de alternar para habilitar o anúncio de prefixos LAN públicos. Este campo é desativado por padrão. Se o locatário tiver um pool de endereços IP público configurado e habilitar o anúncio de prefixos lan públicos, em seguida, para segmentos de LAN que são criados com uma sub-rede que se encaixa no pool de endereços IP públicos de locatário, o CSO anuncia a sub-rede LAN para o underlay BGP.
Nota:
Quando o anúncio de LAN público é habilitado para o link WAN, os prefixos públicos de LAN são anunciados por meio do underlay BGP em direção ao MPLS ou à Internet. Se um site tiver duas versões da rota instaladas para o mesmo prefixo LAN na sobreposição e underlay, as rotas de overlay são sempre preferidas sobre underlay. |
Uso para Fullmesh |
Clique no botão de alternar para especificar se o link WAN pode fazer parte de uma topologia fullmesh. Um site com um único dispositivo CPE pode ter no máximo três links WAN habilitados para a malha e um site com dispositivos de CPE duplo pode ter um máximo de quatro links WAN habilitados para a malha.
Nota:
Mesmo que você habilite este campo, sites com serviço SD-WAN Essentials não oferecem suporte à criação ou exclusão de túneis de malha dinâmica com base em um limiar definido pelo usuário para o número de sessões fechadas entre duas filiais. No entanto, um administrador de OpCo ou o administrador do Tenant podem criar um túnel estático entre um site de origem e um local de destino usando a GUI do CSO no Portal do Cliente. |
Tipo de link de sobreposição de malha |
Quando o uso do campo Fullmesh for habilitado, selecione o tipo de link de sobreposição de malha — GRE e GRE_IPSEC. Se o tipo de link for Internet, por padrão, o valor do tipo de enlace de sobreposição da malha é GRE_IPSEC. Se o tipo de link for MPLS, selecione uma das seguintes opções:
Nota:
Se você tiver habilitado a atribuição de endereço IPv6 para os links WAN, você pode selecionar apenas o GRE-IPSEC como o tipo de link de sobreposição de malha. |
Mesh Tag |
Quando o uso do campo Fullmesh estiver habilitado, insira a tag a ser associada ao link WAN para a criação de túneis. Você pode atribuir apenas uma tag ao link. Combinar tags de malha é um dos critérios usados para formar túneis entre locais que oferecem suporte à malha.
Para obter mais informações sobre tags de malha, veja a visão geral da Mesh Tags. |
Conecta-se a hubs empresariais |
Este campo não será exibido se você tiver habilitado as Etiquetas de Malha de Uso para conectar o campo EHub na seção de configuração do hub . Habilite esse botão de alternar se quiser conectar manualmente o site a um hub empresarial, sem usar tags de malha. |
Tipo de túnel principal do EHub |
Este campo só é exibido se você tiver habilitado o campo Connects to Enterprise Hubs . Selecione o tipo de túnel a ser usado para a conexão entre o local da filial e o hub empresarial principal. |
Dispositivo principal EHub Peer |
Este campo só é exibido se você tiver habilitado o campo Connects to Enterprise Hubs . Exibe o nome do hub empresarial principal que você selecionou. |
Interface de peer principal do Ehub |
Este campo só é exibido se você tiver habilitado o campo Connects to Enterprise Hubs . Selecione o link WAN de hub empresarial principal que precisa fazer parte do túnel. Você pode selecionar vários links WAN. |
Tipo de túnel EHub secundário |
Este campo só é exibido se você tiver habilitado o campo Connects to Enterprise Hubs . Selecione o tipo de túnel a ser usado para a conexão entre o local da filial e o hub empresarial secundário. |
Dispositivo secundário EHub Peer |
Este campo só é exibido se você tiver habilitado o campo Connects to Enterprise Hubs . Exibe o nome do hub empresarial secundário que você selecionou. |
Interface de peer Ehub secundária |
Este campo só é exibido se você tiver habilitado o campo Connects to Enterprise Hubs . Selecione o link WAN de hub empresarial secundário que precisa fazer parte do túnel. Você pode selecionar vários links WAN. |
Conecta-se a hubs de provedores |
Nota:
O campo Connects to Provider Hubs só estará disponível se você tiver selecionado um hub de provedor. Clique no botão de alternar para especificar que o link WAN do site se conecta a um hub.
Nota:
|
Uso para tráfego OAM |
Se você tiver especificado que o link WAN está conectado a um hub, clique no botão de alternar para permitir o envio do tráfego OAM pelo link WAN. Este link WAN é então usado para estabelecer o túnel OAM. |
Tipo de túnel overlay |
Este campo é exibido quando o campo Connects to Provider Hubs é habilitado e apenas um hub de provedor (primário) é especificado. Selecione o tipo de túnel de sobreposição de malha (GRE e GRE_IPSEC) do túnel para o hub. Os links MPLS podem ter o GRE e o GRE_IPSEC como o tipo de link de sobreposição, onde os links de Internet só podem ter GRE_IPSEC como o tipo de link de sobreposição. |
Dispositivo peer overlay |
Este campo é exibido quando o campo Connects to Provider Hubs é habilitado e apenas um hub de provedor (primário) é especificado. Exibe o dispositivo peer hub ao qual o site está conectado. |
Overlay Peer Interface |
Este campo é exibido quando o campo Connects to Provider Hubs é habilitado e apenas um hub de provedor (primário) é especificado. Selecione o nome de interface do dispositivo hub ao qual o link WAN do site está conectado. |
Túnel Overlay Tipo 1 |
Este campo é exibido quando o campo Connects to Provider Hubs é habilitado e ambos os hubs primários e secundários são especificados. Selecione o tipo de túnel de sobreposição de malha (GRE e GRE_IPSEC) para o túnel até o hub principal. Os links MPLS podem ter o GRE e o GRE_IPSEC como o tipo de link de sobreposição, onde os links de Internet só podem ter GRE_IPSEC como o tipo de link de sobreposição. |
Dispositivo peer overlay 1 |
Este campo é exibido quando o campo Connects to Provider Hubs é habilitado e ambos os hubs primários e secundários são especificados. Exibe o dispositivo principal peer hub ao qual o site está conectado. |
Interface de peer overlay 1 |
Este campo é exibido quando o campo Connects to Provider Hubs é habilitado e ambos os hubs primários e secundários são especificados. Selecione o nome de interface do dispositivo de hub principal ao qual o link WAN do site está conectado. |
Túnel Overlay Tipo 2 |
Este campo é exibido quando o campo Connects to Provider Hubs é habilitado e ambos os hubs primários e secundários são especificados. Selecione o tipo de túnel de sobreposição de malha (GRE e GRE_IPSEC) para o túnel até o hub secundário. Os links MPLS podem ter o GRE e o GRE_IPSEC como o tipo de link de sobreposição, onde os links de Internet só podem ter GRE_IPSEC como o tipo de link de sobreposição. |
Dispositivo peer overlay 2 |
Este campo é exibido quando o campo Connects to Provider Hubs é habilitado e ambos os hubs primários e secundários são especificados. Exibe o dispositivo peer hub secundário ao qual o site está conectado. |
Interface de peer overlay 2 |
Este campo é exibido quando o campo Connects to Provider Hubs é habilitado e ambos os hubs primários e secundários são especificados. Selecione o nome de interface do dispositivo de hub secundário ao qual o link WAN do site está conectado. |
Backup Link |
Selecione um link de backup pelo qual o tráfego pode ser roteado quando os links primários (outros) não estiverem disponíveis. Você pode selecionar qualquer link que não seja os links ou links padrão que estão configurados exclusivamente para tráfego local de fuga. Quando um link primário volta on-line, o CSO monitora o desempenho no link principal e quando o link principal atende aos requisitos de SLA, o tráfego é trocado de volta para o link principal. No entanto, os dados de SLA não são monitorados para o link de backup. |
Link padrão |
Selecione um ou mais links que serão usados para roteamento de tráfego na ausência de intençãos de políticaS SD-WAN correspondentes. Um site pode ter vários links padrão para o site do hub. Os links padrão são usados principalmente para tráfego overlay, mas também podem ser usados para tráfego local de fugas. No entanto, um link padrão não pode ser usado exclusivamente para tráfego local de fuga. Se você não especificar um link padrão, então o multicaminho de custo igual (ECMP) é usado para escolher o link no qual rotear o tráfego. |
VLAN ID |
Insira uma ID de VLAN para o link WAN. Faixa: 0 a 4049 (4050 a 4094 é reservado pela CSO).
Nota:
|
WAN_1 WAN-Interface-Name |
Clique no botão de alternar para ativar ou desabilitar o link wan. Quando você habilita o link WAN, campos relacionados ao link WAN aparecem. Os campos marcados com um asterisco (*) devem ser configurados para prosseguir. Consulte os campos descritos para WAN_0 WAN-Interface-Name para obter uma explicação dos campos |
WAN_2 WAN-Interface-Name |
Clique no botão de alternar para ativar ou desabilitar o link wan. Quando você habilita o link WAN, campos relacionados ao link WAN aparecem. Os campos marcados com um asterisco (*) devem ser configurados para prosseguir. Consulte os campos descritos para WAN_0 WAN-Interface-Name para obter uma explicação dos campos |
WAN_3 WAN-Interface-Name |
Clique no botão de alternar para ativar ou desabilitar o link wan. Quando você habilita o link WAN, campos relacionados ao link WAN aparecem. Os campos marcados com um asterisco (*) devem ser configurados para prosseguir. Consulte os campos descritos para WAN_0 WAN-Interface-Name para obter uma explicação dos campos |
Configurações de PPPoE/PPP |
|
Username |
Insira o nome de usuário para o servidor PPPoE ou servidor PPP, conforme especificado pelo provedor de serviços. Por exemplo, ISP-ANetwork. |
Senha |
Digite a senha para o servidor PPPoE ou servidor PPP, conforme especificado pelo provedor de serviços. |
Protocolo de autenticação |
Selecione o Protocolo de Autenticação de Senha (PAP) ou o Challenge Coaxe Authentication Protocol (CHAP) para autenticação, conforme especificado pelo provedor de serviços. |
Configuração avançada
Nota:
Sites com serviço SD-WAN Essentials não oferecem suporte à criação ou exclusão de túneis dinâmicos de malha com base em um limiar definido pelo usuário para o número de sessões fechadas entre duas filiais. No entanto, um administrador de OpCo ou um administrador de locatário podem criar um túnel estático entre um site de origem e um local de destino usando a GUI do CSO no Portal do Cliente. |
|
Prefixo IP OAM |
Insira um prefixo de endereço IPv4 (como 10.100.100.11/32) para a interface de loopback no dispositivo CPE. O prefixo de endereço IP deve ser um prefixo de endereço IP /32 e deve ser único em toda a rede de gerenciamento.
Nota:
Recomendamos que você não configure essa configuração (deixe o campo de Prefixo IP em branco) porque a conectividade de gerenciamento é tratada automaticamente pelo CSO. |
Limite de DVPN para a criação de túneis |
Nota:
Não aplicável a sites com serviço SD-WAN Essentials. Insira o número máximo de sessões fechadas entre os locais conectados em uma duração de dois minutos em que a malha completa é criada entre os dois locais. O valor padrão é 5. Por exemplo, se você especificar o número de sessões como 5, são criados túneis dinâmicos de malha se o número de sessões fechadas entre duas filiais em 2 minutos exceder 5. |
Limite de DVPN para exclusão de túneis |
Nota:
Não aplicável a sites com serviço SD-WAN Essentials. Digite o número de sessões fechadas entre os locais conectados em uma duração de 15 minutos abaixo da qual a malha completa é excluída entre os dois locais. O valor padrão é 8. Por exemplo, se você especificar o número de sessões fechadas como 8, túneis dinâmicos de malha são excluídos se o número de sessões fechadas for menor ou igual a 8. |
Configuração do segmento de LAN |
|
Adicionar segmento de LAN |
Você deve adicionar pelo menos um segmento de LAN para um site de filial. Para adicionar um segmento de LAN:
|
Configuration Templates (Optional) |
|
Lista de modelos de configuração |
Selecione um ou mais modelos de configuração da lista. Esta lista é filtrada com base no dispositivo que você escolhe. Os modelos de configuração são modelos de estágio 2 que são adicionados pelos administradores de OpCo ou administradores de SP ou administradores de locatários.
Nota:
Você deve definir os parâmetros dos modelos de configuração selecionados antes de passar para a seção LAN. Para definir os parâmetros para os modelos de configuração selecionados:
|
Regra de NAT de origem automática |
Tradução |
Criação de regras do NAT |
---|---|---|
Desativado |
Não aplicável (Sem NAT) |
Nenhum. |
Habilitado |
Baseado em interface (padrão)— o CSO cria regras de NAT baseadas em interface. |
As regras de NAT de origem são criadas automaticamente, com cada regra de uma zona de departamento para a interface WAN, com uma tradução de interface de tipo. Cada par de [zona - interface] representa um conjunto de regras. Por exemplo, o conjunto de regras da interface W1 da zona de departamento a seguir (link WAN) pode ser criado: Dept-Zone1 --> W1: Translation=Interface Dept-Zone2 --> W1: Translation=Interface Dept-Zone3 --> W1: Translation=Interface Quando o tráfego de uma filial eclode em um hub empresarial, uma regra de NAT de origem é criada automaticamente no hub empresarial desde o grupo de roteamento de departamento (também chamado de grupo VRF) até a interface WAN. Dept-vrf-group --> W1: Translation=Interface |
Habilitado |
Baseado em pool — o CSO cria automaticamente regras de NAT baseadas em pool (não aplicáveis a sites com serviço SD-WAN Essentials). |
As regras de NAT de origem são criadas automaticamente, com cada regra de uma zona de departamento para o pool DE NAT WAN com uma tradução de grupo de tipos. Por exemplo, uma regra de NAT de origem de zona de departamento para grupo NAT pode ser criada: Dept-Zone1 --> W1 : Translation=Pool-1 Dept-Zone2 --> W1 : Translation=Pool-1 Quando o tráfego de uma filial começa em um hub empresarial, uma regra de NAT de origem é criada automaticamente no hub empresarial, desde o grupo de roteamento de departamento até o pool de WAN. Dept-vrf-group --> W1: Translation=Pool |
Campo |
Descrição |
---|---|
Uso para VPN overlay |
Habilite o uso do campo VPN overlay para associar o segmento LAN ao departamento selecionado (VRF + ZONE) para tráfego overlay a outros sites. Desabitile o uso do campo VPN overlay para associar o segmento LAN a uma zona de segurança para a fuga de underlay. Você deve definir políticas de segurança baseadas em zonas.
Nota:
Ao adicionar um novo site, este campo é habilitado por padrão e não pode ser modificado. No entanto, ao adicionar um novo segmento de LAN a um site provisionado a partir da guia LAN da página Nome do site , você pode habilitar ou desabilitar essa opção. |
Nome |
Insira um nome para o segmento de LAN. O nome para um segmento lan deve ser uma seqüência única de caracteres alfanuméricos e alguns caracteres especiais (.-). Não são permitidos espaços e o comprimento máximo permitido é de 15 caracteres. |
Porta CPE |
Nota:
Aplicável aos firewalls da Série SRX. Selecione a porta CPE a ser adicionada no segmento de LAN. Ao adicionar um novo Segmento de LAN a um site provisionado a partir da guia LAN da Site-Name página, você pode selecionar (ou criar) uma interface LAG ou uma interface Ethernet (reth) redundante (para cluster de CPE duplo) para conectar os dispositivos CPE da Série SRX a um switch série EX. Para usar a interface et em SRX4600 dispositivos, você deve criar uma interface LAG e configurar a interface et como um membro da interface LAG (Ethernet agregada ou ae). Veja criar uma interface LAG. Para um cluster de CPE duplo SRX4600, você pode usar a interface et se ela estiver configurada como um membro da interface Ethernet (reth) redundante. |
Adicionar interface LAG |
Nota:
Essa opção estará disponível quando você adicionar um novo segmento de LAN a um site provisionado a partir da guia LAN da Site-Name página. Clique no link para criar uma interface LAG (ae interface) se quiser usá-la para conectar o CPE da Série SRX ao switch da Série EX. Consulte Criar a interface LAG para obter mais detalhes. |
Crie uma interface RETH |
Nota:
Essa opção estará disponível quando você adicionar um novo segmento de LAN a um site provisionado a partir da guia LAN da Site-Name página. Clique no link para criar uma interface de reth para um site de SD-WAN com um cluster CPE duplo. Consulte Criar uma interface RETH para obter mais detalhes. |
Tipo
Nota:
Este campo é exibido apenas para segmentos de LAN associados a locais de hub empresariais. |
Selecione o tipo de segmento de LAN:
|
VLAN ID |
Insira o ID de VLAN para o segmento de LAN. Por padrão, o VLAN ID é definido para 1 e o VLAN nativo é habilitado para tráfego não registrado. Você pode usar IDs VLAN nas seguintes faixas para configurar segmentos de LAN:
|
Uso para VLAN nativa |
Habilite essa opção de usar o VLAN ID especificado acima para tráfego não registrado. A interface de CPE está configurada com um vlan-id nativo, que tem o mesmo valor que o VLAN ID. |
Departamento |
Nota:
Esse campo só estará disponível se o campo vpn de uso para overlay estiver habilitado. Selecione um departamento ao qual o segmento de LAN é atribuído. Como alternativa, clique no link Criar departamento para criar um novo departamento e atribuir o segmento de LAN a ele. Consulte Adicionar um departamento para obter mais detalhes. Você pode agrupar segmentos de LAN como departamentos para facilitar o gerenciamento e aplicar políticas no nível do departamento. Para segmentos de LAN que são roteado dinamicamente, você pode atribuir apenas um departamento de data center. |
Endereço/máscara do gateway |
Insira um endereço IP de gateway válido e uma máscara para o segmento LAN. Esse endereço será o gateway padrão para endpoints neste segmento de LAN. Por exemplo: 192.0.2.8/24. |
Zona |
Nota:
Este campo só estará disponível se o campo vpn de uso para overlay for desativado. Selecione uma zona de segurança para ser associada a este segmento de LAN. Alternativamente, clique em Criar zona para criar uma nova zona de segurança e atribuir isso a este segmento de LAN. Veja a inclusão de uma zona de segurança para obter mais detalhes. |
DHCP |
Para segmentos de LAN conectados diretamente, clique no botão de alternar para habilitar o DHCP. Você pode habilitar o DHCP se quiser atribuir endereços IP usando um servidor DHCP ou desabilitar DHCP se quiser atribuir um endereço IP estático ao segmento de LAN.
Nota:
Se você habilitar o DHCP, campos adicionais aparecem na página. |
Campos adicionais relacionados ao DHCP |
|
Faixa de endereço baixa |
Insira o endereço IP inicial na gama de endereços IP que podem ser alocados pelo servidor DHCP para o segmento LAN. |
Alcance de endereço alto |
Insira o endereço IP final na gama de endereços IP que podem ser alocados pelo servidor DHCP para o segmento LAN. |
Tempo máximo de locação |
Especifique a duração máxima (em segundos) para a qual um cliente pode solicitar e manter um leasing no servidor DHCP. Padrão: 1440 Alcance: 0 a 4.294.967.295 segundos. |
Servidor de nome |
Especifique um ou mais endereços IPv4 do servidor DNS. Para inserir mais de um endereço de servidor DNS, digite o endereço, pressione Enter e digite o endereço seguinte.
Nota:
Os servidores DNS são usados para resolver nomes de host em endereços IP. |
Portas CPE |
Nota:
Aplicável aos dispositivos NFX150 e NFX250. Para locais com recursos de SD-WAN, o campo de portas CPE está desativado e as portas CPE que você pode incluir no segmento de LAN estão listadas. Selecione as portas da coluna Disponível e clique na seta direita para mover as portas para a coluna Selecionada . |
Roteamento estático Use esta seção para configurar o roteamento estático no segmento de LAN. Forneça os endereços IP de todos os roteadores LAN conectados ao dispositivo CPE e as sub-redes estáticas por trás desses roteadores. |
|
Adicionar prefixo IP do roteador LAN |
|
IP do roteador LAN |
Digite o endereço IP do roteador LAN conectado ao dispositivo CPE. |
Prefixo |
Insira as sub-redes que estão conectadas ao roteador LAN. |
BFD |
Habilite a detecção de encaminhamento bidirecional (BFD) para detectar quaisquer falhas na rota estática. |
Roteamento dinâmico |
|
Protocolo de roteamento |
Habilite este botão de alternância para configurar o roteamento dinâmico usando o protocolo BGP ou OSPF. |
BFD |
Habilite a detecção de encaminhamento bidirecional (BFD) para detectar quaisquer falhas no segmento de LAN. |
Protocolo |
Selecione BGP ou OSPF. |
Configuração do BGP
Nota:
A partir do lançamento do 6.1.0, o CSO desativa explicitamente o recurso de reinicialização graciosa (LLGR) de longa duração para sessões de peering BGP com provedores de borda (PE) e roteadores de data center ou LAN. A desativação do LLGR garante que o CPE não diferencie os anúncios de rota para o roteador de peering, independentemente do recurso LLGR do roteador de peering. Antes da versão do CSO 6.1.0, o modo de helper LLGR é habilitado por padrão (comportamento implícito do Junos OS) no CPE para peering BGP em direção ao roteador PE em implantações de VPN IP, e roteadores de data center ou LAN em implantações de data center. |
|
Autenticação |
Selecione o método de autenticação de rota BGP a ser usado:
|
Chave Auth |
Se você especificou que o MD5 deve ser usado para autenticação, especifique uma chave de autenticação MD5 (senha), que é usada para verificar a autenticidade dos pacotes BGP. |
Opções de BGP |
Você pode selecionar as seguintes opções com base em seus requisitos:
|
Contagem de loops |
Este campo só será exibido se você selecionar AS-LOOP. Digite o número máximo de vezes que a detecção de AS local é permitida no caminho AS. |
Endereço IP peer |
Digite o endereço IP do peer LAN BGP. |
Número de peer AS |
Digite o número do sistema autônomo (AS) do peer BGP da LAN. Por padrão, o CSO usa o AS número 64512. Você pode digitar um número DE diferente. |
Número de AS local |
Insira o número de AS local. Quando você configura esse parâmetro, o número DE local é usado para peering BGP em vez do número de AS global configurado para o CPE. |
Configuração do OSPF |
|
ID da área de OSPF |
Especifique o identificador de área OSPF a ser usado para a rota dinâmica. |
Autenticação |
Selecione o método de autenticação de rota OSPF a ser usado:
|
Senha |
Digite a senha a ser usada para verificar a autenticidade dos pacotes OSPF. |
Confirme a senha |
Repondo a senha para fins de confirmação. |
ID da chave MD5 Auth |
Se você especificou que o MD5 deve ser usado para autenticação, insira o ID da chave de autenticação OSPF MD5. Faixa: 1 a 255. |
Chave Auth |
Se você especificou que o MD5 deve ser usado para autenticação, insira uma chave de autenticação MD5, que é usada para verificar a autenticidade dos pacotes OSPF. |
Controle de anúncios de rota |
|
Rota(s) de LAN para Overlay |
Quando essa opção é habilitada, as rotas lan são anunciadas para a sobreposição SD-WAN. Por padrão, essa opção está habilitada. |
Política de exportação Para ter um controle mais granular sobre as rotas que são anunciadas para a rede overlay, você pode configurar políticas em conjunto com a opção de roteamento(s) lan para overlay . Por exemplo, quando a opção lan route(s) para Overlay é habilitada, você pode configurar políticas para evitar que rotas específicas sejam anunciadas. Da mesma forma, quando a opção lan route(s) para Overlay é desativada, você pode configurar políticas para permitir que apenas rotas específicas sejam anunciadas. Para mudar a ordem das políticas, arraste e solte as linhas para movê-las para cima ou para baixo. Para adicionar uma política, clique no ícone +. |
|
Adicionar política de exportação |
|
Nome | Insira um nome para a política. O nome pode conter letras, números e hífens (-) e pode ter até 255 caracteres de comprimento. |
Condições de correspondência | Uma condição de correspondência define os critérios que a rota deve corresponder. Você pode definir uma ou mais das seguintes condições de jogo:
|
Então: Ação | Selecione qualquer uma das seguintes ações para as rotas que atendem às condições da partida:
|
Overlay Route(s) para LAN |
Essa opção só será exibida se você ativar o botão de alternância do protocolo de roteamento. Por padrão, essa opção é desativada. Habilite essa opção de anunciar as rotas de sobreposição SD-WAN para o roteador LAN. Você pode usar políticas de importação e exportação para controle granular dos anúncios de rota.
Nota:
Na versão CSO 6.0.0 e versões anteriores, essa opção é chamada de Anuncie o Prefixo LAN e é aplicável apenas para departamentos de data center. |
Política de importação de BGP ou OSPF (Esta seção é exibida se você habilitar o roteamento dinâmico.) | Você pode adicionar políticas de exportação para controle granular das rotas que o CPE anuncia para o roteador LAN. Para mudar a ordem das políticas, arraste e solte as linhas para movê-las para cima ou para baixo. Para adicionar uma política, clique no ícone +. Veja a Tabela 4 |
Política de exportação BGP ou OSPF (Esta seção é exibida se você habilitar o roteamento dinâmico.) | Você pode adicionar políticas de exportação para controle granular das rotas que o CPE anuncia para o roteador LAN. Para mudar a ordem das políticas, arraste e solte as linhas para movê-las para cima ou para baixo. Para adicionar uma política, clique no ícone +. Veja a Tabela 4 |
Rotas estáticas/agregadoras para overlay |
Habilite essa opção para permitir o anúncio de rotas estáticas ou agregadas para a rede overlay.
|
Ações de | condições de correspondência do | tipo depolítica |
---|---|---|
Política de importação do BGP | Você pode definir uma ou mais das seguintes condições de jogo:
|
|
Política de exportação do BGP | Você pode definir uma ou mais das seguintes condições de jogo:
|
|
Política de importação de OSPF | Você pode definir uma ou mais das seguintes condições de jogo:
|
Então: Ação — Selecione qualquer uma das seguintes ações para as rotas que atendem às condições da partida:
|
Política de exportação dos OSPF | Você pode definir uma ou mais das seguintes condições de jogo:
|
|