Hierarquia de configuração do Juniper Mist WAN Assurance

Configuração do Juniper Mist WAN Assurance

Para os administradores de rede, é essencial entender que cada peça do quebra-cabeça constrói as políticas, segurança e conectividade de sua rede no serviço de nuvem Juniper Mist WAN Assurance. Uma implantação completa da SD-WAN requer que cada parte complete a conectividade entre locais. A Mist traduz automaticamente sua intenção de tráfego para configurações para dispositivos de borda WAN usando o modelo de rede baseado em intenção da Mist. Cada parte trabalha em conjunto para construir atribuições de interface complexas, segurança, políticas de roteamento e, dependendo da plataforma, zonas de destino. Portanto, entender o modelo de intenção da Mist é crucial à medida que mergulhamos na hierarquia de configuração para o Juniper Mist WAN Assurance.

Roteamento baseado em intenção

A rede baseada em intenção resolve vários problemas. Por exemplo, considere a necessidade de comunicação segura entre duas redes. Um modelo de intenção afirma que a comunicação segura requer um túnel seguro entre a Rede A e a Rede B. Nesse cenário, um administrador de rede identifica qual tráfego usa o túnel e descreve outras propriedades gerais desejadas. Mas um operador não especificaria ou mesmo saberia como construir um túnel. Para implementar um túnel, você deve saber quantos dispositivos proteger, como fazer anúncios BGP e quais recursos e parâmetros devem ser ativados. Por outro lado, um sistema de rede baseado em intenção gera automaticamente uma configuração inteira de todos os dispositivos com base na descrição do serviço. Em seguida, ele fornece verificações de garantia contínuas entre o estado pretendido e operacional da rede, usando validação de loop fechado para verificar continuamente a correção da configuração. A rede baseada em intenção é um modelo declarativo de operação de rede. Ela contrasta com as redes imperativas tradicionais, que exigem que os engenheiros de rede especifiquem a sequência de ações necessárias em elementos de rede individuais e cria um potencial significativo de erro.

Características principais do modelo baseado em intenção:

• Não exija uma direção tão explícita quanto os modelos de rede tradicionais exigem.
• Crie políticas com base em qual rede vai para qual aplicativo.
• Configure a juniper Mist WAN Assurance Networks e aplicativos em toda a organização.
• Empurre apenas configurações relevantes.
• Configure apenas os aplicativos que um dispositivo usa. Se um dispositivo não usa um aplicativo, a rede baseada em intenção não o configura nesse dispositivo.

Vamos analisar o exemplo da configuração do DHCP em uma LAN e supor que a interface já está configurada e atribuída a uma zona.

Etapas necessárias no Junos CLI:

• Navegue até o nível de serviços do sistema Junos e habilite o servidor local-DHCP para sua interface.
• Navegue até a atribuição de endereços do sistema Junos e crie um pool de endereços especificando a rede alvo, a gama de endereços para o pool, o gateway padrão e quaisquer outros atributos DHCP.
• Navegue até sua zona de segurança e habilite o tráfego de entrada de host para o serviço do sistema DHCP para permitir que a Série SRX processe solicitações de DHCP dos clientes.

Isso requer várias linhas de configuração espalhadas por três hierarquias de configuração, no mínimo.

O mesmo fluxo de trabalho é significativamente simplificado na Mist:

• Primeiro, navegue até sua configuração lan e abra-a para edição.
• Em seguida, habilite o botão de rádio DHCP Server para desbloquear a configuração e preencher os campos necessários (IP Start, IP End e gateway).
• Reserve a configuração de LAN e reserve a configuração do dispositivo.

Elementos de configuração em toda a organização

O topo da configuração da Mist é chamado de Organização Mist. Esses elementos afetam toda a implantação da sua rede de longa distância definida por software (SD-WAN). Os diferentes componentes neste nível de configuração tornam-se blocos de construção para fontes e destinos em toda a sua implantação. Uma vez identificadas, as solicitações de tráfego associam um remetente e o destino desejado adequadamente. Os elementos ajudam a construir diferentes componentes de implantação do Juniper Mist WAN Assurance, dependendo da sua plataforma. Identificar a origem e o destino construirá túneis IPsec em toda a WAN e zonas de segurança associadas no firewall da Série SRX da Juniper®. Esses componentes no Roteador Session Smart™ da Juniper® Networks tornam-se a fonte e o destino correspondentes para ajudar a construir a troca de metadados de roteamento de vetor seguro (SVR). As duas plataformas abordam o desafio da SD-WAN de maneira exclusiva, o que torna importante conhecer sua plataforma Juniper Mist WAN Assurance.

Redes

A Rede Juniper Mist WAN Assurance é o "quem" no paradigma orientado pela intenção da Mist. As redes são fontes da solicitação em sua rede. As redes permitem que você defina grupos de "usuários". Assim que você cria esse elemento em seu design Mist, a rede é definida para uso em toda a organização.

Características das redes no roteador Session Smart™ da Juniper® Networks:

• A Mist Networks cria locatários em segundo plano para o SVR.
• O Session Smart Router identifica locatários na interface lógica (Interface de rede).
• As configurações da interface de LAN e WAN identificam seu Tenant (fonte de solicitação).

Características das redes no firewall da Série SRX da Juniper®:

• As redes criam livros de endereços usados como fonte para políticas de segurança e políticas avançadas de roteamento baseado em políticas (APBR).
• As configurações são aplicadas ao dispositivo se uma política de aplicativo estiver configurada.
• Para a LAN, o nome da zona é derivado do nome da rede especificada.
• Para a WAN, o nome da zona é baseado no nome da WAN.

Anúncio de rota (Anunciar via Overlay)

O WAN Assurance tem a ver com a abstração da rede de transporte na SD-WAN. Você pode anunciar redes via SD-WAN para controle e acessibilidade com anúncio de rota. É assim que as redes estabelecidas em seus segmentos de LAN podem ser anunciadas em toda a sobreposição. A configuração dessas redes gera os endereços de origem para políticas de serviço. A tradução de endereços de rede (NAT) para a origem e destino pode encaminhar o tráfego para seus usuários, se necessário.

O objetivo da SD-WAN é a conectividade entre sites. Portanto, as redes podem ser anunciadas por overlay para permitir a acessibilidade entre seus dispositivos SD-WAN. Com essa configuração, sua rede compartilhará o endereço por toda a WAN para que outros dispositivos saibam como acessá-lo.

Acesso à Mist Cloud

A Mist é uma solução full stack. Apenas alguns de seus dispositivos são roteadores wan de borda ou SD-WAN. Dispositivos específicos vão querer acesso à Mist Cloud para utilizar outras soluções, como Wireless e Wired Assurance em APs e switches sem fio. O acesso à Mist Cloud gerará automaticamente regras específicas de firewall/política, permitindo que os dispositivos telefonem para casa da Mist sem precisar de uma Política de aplicativo explícita. Você não quer isso em todos os dispositivos por trás da borda da WAN em uma implantação de SD-WAN, pois pode representar um desafio de política para os roteadores. O acesso à Mist Cloud é excelente para Mist APs ou switches, pois você pode monitorá-los e resolvê-los a partir do painel da Mist. Veja Juniper Mist Wireless Assurance e Wired Assurance.

Habilitar o acesso à mist cloud garante que qualquer coisa sentada atrás da borda da WAN possa chegar à Mist Cloud sem precisar expressar políticas de conectividade manualmente. As portas e protocolos para esta configuração incluem:

• TCP/443
• DNS/53
• SSH/2200
• NTP/123
• Syslog/6514
• ICMP

Usuários

Não deixe o rótulo enganá-lo. Os usuários não representam um único usuário em sua rede. Os usuários são subconjuntos de sub-redes ou sub-redes conectadas indiretamente. Como a Networks é "quem", pense nos usuários como uma subdivisão dessa identidade de rede. Muitas vezes, existem regras universais para tratar as redes da mesma forma. Por exemplo, para 99% do seu tráfego, você quer que as sessões façam a mesma coisa. Mas e quando você está bloqueando o acesso a uma rede corporativa de uma rede de convidados, mas você precisa de um IP específico para ter acesso a impressoras? Este é o seu caso de uso para usuários. Para aqueles familiarizados com a plataforma Session Smart Routing, considere isso a criança para a rede-mãe "Tenant". Como alternativa, os usuários têm um segundo caso de uso definindo prefixos indiretos na rede.

• Os usuários podem definir permissões granulares. Por exemplo, seu segmento de LAN pode precisar de acesso à Internet, mas você deve restringi-lo a um determinado dispositivo de rede. Então, aqui, você criaria uma política de acesso em torno desse desktop.
• Às vezes, você precisa alcançar prefixos conectados indiretamente atrás de um roteador no segmento de LAN. Por exemplo, imagine um roteador atrás de um dispositivo que conecta vários dispositivos a um aplicativo externo.

Aplicativos

Os aplicativos incluem o "o quê" no paradigma do modelo orientado por intenção da Mist. Aplicativos são o que sua rede oferece. Os aplicativos representam destinos de tráfego e têm o nome do que um cliente acessaria, como um "banco de dados" ou "Internet". Assim que você cria esse elemento em seu design Mist, o aplicativo é definido para uso em toda a organização.

Características dos aplicativos no roteador Session Smart™ da Juniper® Networks

• Os aplicativos Mist criam serviços em segundo plano para o SVR.
• Os aplicativos podem ser portas, protocolos, prefixos, domínios personalizados ou nomes de aplicativos da biblioteca integrada do AppID.

Portas, protocolos e prefixos são onde toda a política gira.

• Aplicativos personalizados são um conjunto de portas, protocolos ou prefixos.
• Mapa de aplicativos para a id do aplicativo da Internet.
• As categorias de URL são URLs de ponto de força.

Características dos aplicativos no firewall da Série SRX da Juniper®

• Os aplicativos determinam o destino usado em uma política de segurança.
  • Um prefixo de 0.0.0.0/0 com protocolo "qualquer", é resolvido a qualquer um dentro da política juniper Mist WAN Assurance. Nenhuma lista de endereços ou aplicativo é necessário.
• Aplicativos personalizados na borda da WAN usam o "tipo" do mecanismo on-box da Série SRX e são uma combinação de uma lista de endereços e aplicativos.
• Mapa de aplicativos para o mecanismo appID de Camada 7 da Série SRX.
• As categorias de URL são URLs de ponto de força.

Direcionamento de tráfego

O direcionamento de tráfego é o "como" no paradigma do modelo orientado por intenção da Mist. O direcionamento de tráfego é como você define os diferentes caminhos que o tráfego pode tomar para chegar ao seu destino. Se o tráfego para um aplicativo tiver vários caminhos, você pode restringir os caminhos a um subconjunto de caminhos e configurar uma ordem de preferência. Você também pode carregar e equilibrar inúmeros fluxos pelos caminhos disponíveis.

Características do direcionamento de tráfego no roteador Session Smart™ da Juniper® Networks:

• O Session Smart Router™ da Juniper® tem uma solução proprietária para o traffic steering que determina o próximo salto e o vetor para o destino que aproveita o SVR.
• Os itens da lista de bloqueio interferem no estabelecimento dos próximos saltos para SVR.

Você só vai querer regras de direção de tráfego em um roteador Session Smart

• Estratégias de direcionamento tradicionais como Ordered, Weighted e ECMP não se aplicam ao Session Smart Router.
• O bloqueio de aplicativos na Política de aplicativos é desnecessário e prejudica o processo de seleção de next-hop do Session Smart.

O Session Smart Router escolhe o próximo salto usando um mecanismo de olá proprietário. Esta mensagem bidirecional de detecção de encaminhamento (BFD) entre os roteadores Session Smart da peer verifica a integridade da vida e do caminho.

Características do direcionamento de tráfego no firewall da Série SRX da Juniper®:

• O firewall da Série SRX da Juniper® é baseado em zonas, e a zona de destino é determinada pelos caminhos configurados dentro de uma política de direcionamento de tráfego .
• O direcionamento de tráfego configura instâncias de roteamento do tipo de encaminhamento e a política de roteamento relevante para rotas de importação. Para a série SRX, esta instância de roteamento é usada no APBR.
• Existem várias estratégias de orientação para a Série SRX:
  • Pedido: Padrão, entre em ordem da lista. O topo tem prioridade e depois falha para o próximo. Cria uma lista ordenada.
  • Ponderado: permite definir sua ordem desejada com base no peso. Por exemplo, dois caminhos ponderados, ambos definidos para 5 resultam em ECMP nos dois caminhos. Por outro lado, dois caminhos ponderados com um conjunto a 5 e o outro definido para 10 resultam em direcionamento ordenado com o tráfego tomando um caminho de menor peso primeiro.
  • ECMP: balancear totalmente o tráfego com um algoritmo multicaminho de igual custo. O tráfego será dividido uniformemente em todos os caminhos disponíveis.

Política de aplicativos

Os "quem", "o quê" e "como" se juntam com a Política de Aplicativos. O modelo orientado por intenção Mist simplifica a geração manual de rotas e políticas de segurança por meio do Junos OS na Série SRX com milhares de linhas de código. Ele também simplifica a implantação de um Session Smart Router para aqueles que estão fazendo a transição de uma implantação Session Smart baseada em condutor para o WAN Assurance. Você não precisa mais de permissões explícitas e atribuições de interface para se colocar em funcionamento. O WAN Assurance é zero trust. Isso está implícito e faz parte do modelo orientado por intenção. Você deve conceder permissão explicitamente a uma rede para acesso a um aplicativo ou ele não irá rotear.

A ordem só importa quando você está de saída de sua rede local no Session Smart™ Router da Juniper® Networks. O Session Smart Router é um roteador que usa as correspondências mais específicas. Isso significa que o uso do Mist Traffic Steering não é necessário para o tráfego local. É importante destacar que o uso de um bloco em seu Direcionamento de Tráfego não funciona com sVR, pois prejudica o processo de propriedade. Se um dispositivo, sub-rede ou rede não tiver acesso a um aplicativo, não crie direcionamento de tráfego para ele.

Características da política de aplicativos no firewall da Série SRX da Juniper®:

O caminho de direção determina a zona de destino da série SRX. Certifique-se de que as políticas tenham o direcionamento de tráfego atribuído porque a ordem das políticas é importante ao trabalhar com a Série SRX. Como um firewall tradicional baseado em zonas, ele usa uma lista de regras que geram filtros e políticas. A maioria das regras específicas deve estar no topo da lista de políticas de aplicativos da Série SRX.

Modelos de borda wan

Assim que os elementos básicos de configuração da SD-WAN estiverem em vigor, a Mist permite que você implante novos dispositivos de borda WAN por meio de modelos de borda WAN. Toda essa configuração anterior pode ser templateada com modelos de borda de WAN. Esses modelos funcionam para um dispositivo de borda autônomo para uma implantação completa de SD-WAN com centenas de sites. O processo de automação elimina erros e simplifica a implantação de vários sites de spoke e headends.

Os modelos reduzem ou eliminam tarefas comuns de configuração e removem erros humanos ao configurar vários dispositivos. Modelos de borda wan:

• Aplique padrões em toda a implantação.
• Garanta que todos os seus dispositivos de rede apontem para a mesma DNS (8,8,8,8).
• Forneça um comportamento previsível porque eles usam o mesmo protocolo de tempo de rede (NTP) para sincronização e registro. (Isso também afeta certificados específicos.)
• Simplifique a solução de problemas e o gerenciamento.
  Figura 1: Modelo de borda wan

No entanto, os modelos de borda da WAN fazem mais do que automatizar tarefas e podem conter coisas que você não costuma usar e aplicar a todos os sites ou a um subconjunto de sites. Por exemplo, nem todos os sites podem ter uma rede de convidados, mas você pode reservar essa interface.

Esses modelos também permitem:

• Pedidos em massa de hardware para portas e grupos de sites por meio de modelos específicos.
• Casos de uso específicos e fluxos de tráfego.
• Redes LAN corporativas diferentes.
• Redes de convidados.

Os modelos de borda wan configuram automaticamente informações repetitivas como IP, gateway ou VLAN. Além disso, os modelos de borda da WAN podem incluir direcionamento de tráfego, políticas de acesso, preferências de roteamento e qualquer configuração adicional que você gostaria de padronizar. Lembre-se que você precisará de um prefixo, NAT ou outras informações locais para conectividade WAN e LAN.

Perfis de hub

Os perfis de hub trabalham com modelos de borda wan. Os hubs não estão na borda e são universalmente únicos em toda a sua rede. É impossível definir sua implantação totalmente dentro de um modelo. Os hubs afetam a forma como a Mist constrói a rede overlay. Cada filial e escritório remoto constroem a comunicação SD-WAN para o hub. A topologia é determinada por endpoints overlay que compõem uma única sobreposição. Cada interface WAN de hub cria um endpoint overlay para spokes. As interfaces WAN spoke mapeiam as interfaces de WAN de hub apropriadas, definindo a topologia. Esta é a abstração da rede de transporte. Como as duas plataformas para o WAN Assurance resolvem a abstração de forma diferente, é essencial entender suas nuances ao construir essa rede overlay.

Firewall da Série SRX da Juniper®

A SD-WAN overlay da Série SRX combina um roteador virtual para separação de rotas e túneis IPsec para tráfego de trânsito seguro. As configurações de WAN determinam a topologia e constroem a rede overlay. Uma coisa a notar é que você pode implementar apenas um overlay por organização. No entanto, você pode ter muitos caminhos dentro dessa sobreposição em vários tipos de transporte e isolar e encaminhar tráfego com segurança. Para dispositivos da Série SRX, o overlay combina uma zona de segurança, roteador virtual e túneis IPsec.

Roteador Session Smart™ da Juniper® Networks

A SD-WAN overlay Session Smart é o seu bairro, que envolve comunicação proprietária via BFD na porta 1280 para viver e jitter, latência e perda entre os pares Session Smart. Quando você configura uma interface WAN em um perfil de hub, ela cria um endpoint de hub overlay. No Session Smart Router, o endpoint é a extremidade receptora do SVR.

Algumas coisas acontecem quando você mapeia uma interface WAN spoke para o endpoint de hub overlay. O spoke estabelecerá conectividade entre pares e identificará os bairros e vetores para SVR, que é a abstração Session Smart da rede de transporte.

Uma nota final sobre a sobreposição: os roteadores Session Smart da Série SRX e da Série SRX não podem existir em uma única sobreposição. Eles podem ser pareados via BGP no hub, mas suas soluções para criar conectividade entre sites são únicas e não podem funcionar em conjunto. Isso significa que aqueles com planos de migração devem identificar quais rotas precisam de anúncio e anunciar no hub.

Lembre-se das seguintes considerações sobre o perfil do hub:

• Os perfis do hub precisam ser construídos primeiro, para que os modelos de spoke saibam onde se conectar.
  • Os hubs devem ter IPs estáticos para endpoints overlay.
  • A configuração de endpoint overlay é exposta no modelo de spoke de borda da WAN.
• Não há limite para o número de hubs que você pode incorporar nessas diretrizes:
  • Um hub por data center
  • Dois hubs para redundância (clusters ha)

Os spokes escolhem o hub principal por meio de direcionamento de tráfego e uma Política de Aplicativos. O provisionamento zero-touch (ZTP) requer DHCP (para implementação física) a menos que o ZTP seja feito e depois migrado para a rede de destino. Você também pode pré-preparar os dispositivos manualmente.

Variáveis do site

As variáveis do site são configuradas por site. Ao planejar uma rede de maneira holística, você pode criar modelos padrão para bordas WAN específicas e clusters de borda WAN. O ideal é que você tenha apenas um dispositivo de borda WAN por site (ou uma única borda wan lógica se o dispositivo estiver agrupado). Como as variáveis podem diferir por site, os administradores as usam em templates ou na página de configuração de borda da WAN. A transformação acontece quando a configuração é renderizada e empurrada para o dispositivo.

Lembre-se das seguintes considerações variáveis do site:

• A sintaxe para variáveis combina com Jinja2 e está contida em suportes encaracolados duplos, como este: {{variávelName}}
• A UI aplica os parênteses encaracolados líderes e atrás como parte do nome.
• Limitações variáveis do site:
  • Não há espaços na variável.
  • Não há caracteres especiais (exceto sublinhados) no campo variável.
  • As variáveis só podem ser usadas em um campo e não podem especificar um prefixo inteiro.

  Por exemplo, 10,88,88,88/24 precisariam de pelo menos duas variáveis, uma para o endereço IP (10,88,88,88) e outra para o comprimento do prefixo (24).

  Figura 3: Variáveis do site

  A melhor maneira de usar o poder real dos modelos é com variáveis de site. Muitos itens de configuração são necessários para implantar o hardware. Faz sentido combinar os modelos de borda wan e as variáveis do site. Considere a situação a seguir em que você pode definir sub-redes IP inteiras dos três primeiros octets, deixando uma configuração mínima em cada dispositivo:

  Crie modelos padrão e coloque variáveis em interfaces padrão como a SUA WAN de qualquer uma dessas maneiras:

  • Com uma variável WAN1PFX, digamos {{192.168.170}}, e no campo WAN na página de Configuração, seria {{WAN1PFX}}.1 para o IP local e {{WAN1PFX}.2 para o gateway.
  • Você pode definir um par de variáveis {{WAN1IP}} e {{WAN1_GW}} no entanto, existem lugares onde a sub-rede pode ser reutilizado, mas não o IP específico.
    Figura 4: Variáveis de site na configuração da WAN

    Outro caso de uso robusto é o octet mágico, onde o terceiro octeto se torna uma variável, e essa variável também pode se aplicar a vários campos. Por exemplo, uma variável {{SITEID}} pode ser usada tanto para o terceiro octeto quanto para uma tag VLAN. Nesse caso, o prefixo de rede pode ser 192.168. {{SITEID}}.1/24 com o {{SITE_ID}} ID de VLAN. Lembre-se que, embora os modelos de borda de WAN se apliquem apenas à borda da WAN, as variáveis de site também se aplicam a switches e APs. O objetivo da automação é simplificar implantações e aumentar a reutilização.

Introdução a modelos de aplicação

Lembre-se que um site é uma coleção de todos os seus ativos em um único local. Está implícito que haverá apenas uma única borda WAN. Um recurso essencial do gerenciamento da Mist por meio da IA da Juniper Mist é a sua capacidade de usar modelos de configuração para agrupar bordas DE WAN e fazer atualizações em massa. Os modelos oferecem uniformidade e conveniência, enquanto a hierarquia oferece escala e granularidade.

Modelos de importação e exportação

Não há uma solução de tamanho único. Você pode ter vários modelos. Para economizar tempo, clone um modelo e modifique-o na UI ou exporte-o para modificação offline/programática a ser importada posteriormente.

Substituindo o modelo

Os modelos se aplicam aos sites, que se aplicam aos dispositivos. Os modelos são usados para padronizar configurações, mas sempre existem exceções. Em vez de criar um modelo um pouco diferente para um site, você substitui a configuração do modelo no dispositivo.

Política de aplicativos de nível organizacional