Configure modelos de borda wan para roteadores Session Smart
O modelo de borda WAN no Juniper Mist™ WAN Assurance permite que você defina características comuns de spoke, incluindo interfaces WAN, regras de direcionamento de tráfego e políticas de acesso. Em seguida, você aplica essas configurações ao Roteador Session Smart™ da Juniper® implantado como um dispositivo de borda WAN. Quando você atribui um dispositivo de borda WAN a um site, o dispositivo adota automaticamente a configuração a partir do modelo associado. Esse processo automático permite que você gerencie e aplique configurações consistentes e padronizadas em toda a sua infraestrutura de rede, agilizando o processo de configuração.
Você pode ter um ou mais modelos para seus dispositivos spoke.
Nesta tarefa, você cria e configura um modelo de borda WAN para um dispositivo spoke no portal de nuvem Juniper Mist™.
Configure um modelo de borda WAN
Para configurar um modelo de borda WAN:
Adicione interfaces WAN ao modelo
Nesta tarefa, adicione duas interfaces WAN ao modelo de borda da WAN.
Para adicionar interfaces WAN ao modelo:
Configure LTE Interface
A Juniper Mist SD-WAN permite que as organizações integrem a conectividade LTE perfeitamente. A conectividade LTE oferece um caminho alternativo para o roteamento multicaminho; seja como um caminho primário em locais que não têm acesso a circuitos ou como um caminho de último recurso caso o circuito primário tenha falhado.
Por exemplo: em uma loja de varejo com uma conexão MPLS primária para aplicativos críticos para os negócios. A Juniper Mist SD-WAN pode adicionar um link LTE como backup. Se o link MPLS tiver problemas, a Juniper Mist mudará dinamicamente o tráfego para o link LTE. Isso garante conectividade contínua e minimiza interrupções.
Nos Session Smart Routers, o suporte LTE é fornecido por meio do módulo LTE embutido que opera em redes 3G e 4G. Veja https://docs.128technology.com/docs/howto_lte/ na configuração do LTE nos Roteadores Session Smart.
Para ter o link LTE para a SD-WAN da Juniper Mist, você precisa de uma configuração de interface LTE em seus roteadores Session Smart e firewalls da Série SRX e inserir o Módulo de Identidade de Assinante (SIM) na placa LTE.
Para adicionar uma interface LTE como link WAN:
Desativar portas de borda WAN
Existem muitas razões pelas quais pode ser necessário desativar uma porta wan edge. Em cenários de depuração, por exemplo, desativar uma porta e depois habilitá-la novamente pode acionar processos para redefinir, o que pode ajudar a resolver problemas.
Você também pode querer desativar uma porta quando estiver preparando uma conexão, mas não está pronto para colocar a conexão em serviço, ou se você identificou um dispositivo malicioso ou problemático, você pode desabilitar a porta para desabilitar rapidamente o dispositivo até que o dispositivo possa ser removido ou reparado.
Para desativar as portas de borda da WAN:
Adicione uma interface lan
A configuração da interface lan identifica sua fonte de solicitação a partir do nome da rede que você especifica na configuração de LAN.
Para adicionar uma interface lan:
A configuração da interface lan identifica sua fonte de solicitação a partir do nome da rede que você especifica na configuração de LAN.
Para adicionar uma interface lan:
Configure políticas de direcionamento de tráfego
Assim como acontece com os perfis de hub, o direcionamento de tráfego em uma rede Juniper Mist é onde você define os diferentes caminhos que o tráfego de aplicativos pode tomar para atravessar a rede. Os caminhos que você configura dentro do direcionamento de tráfego também determinam a zona de destino.
Para configurar políticas de direcionamento de tráfego:
Configure políticas de aplicativos
Em uma rede Mist, as políticas de aplicativos são onde você define quais redes e usuários podem acessar quais aplicativos e de acordo com qual política de direcionamento de tráfego. As configurações de redes/usuários determinam a zona de origem. As configurações do aplicativo + direcionamento de tráfego determinam a zona de destino. Além disso, você pode atribuir uma ação de Permissão ou Negar. A Mist avalia e aplica políticas de aplicativos na ordem em que você as lista.
Considere os requisitos de fluxo de tráfego na Figura 6. A imagem mostra um modelo de tráfego inicial básico para uma configuração de VPN corporativa (o terceiro dispositivo spoke e o segundo dispositivo hub não são mostrados).
Para atender aos requisitos anteriores, você precisa criar as seguintes regras de aplicativo:
-
Política 1 — permite o tráfego de sites de spoke para o hub. Neste caso, o prefixo de destino usado em grupos de endereços representa a interface LAN de dois hubs.
-
Política 2 — permite o tráfego de spoke-to-spoke por meio da LAN corporativa por meio de uma sobreposição.
Nota:Isso pode não ser viável no mundo real, exceto em redes MPLS caras com IPs gerenciados. Os IPs gerenciados enviam tráfego diretamente para o outro spoke. Esse tipo de tráfego normalmente flui por um dispositivo hub
-
Política 3 — permite o tráfego tanto do hub quanto da DMZ anexada ao hub aos dispositivos spoke.
-
Política 4 — permite que o tráfego vinculado à Internet flua de dispositivos spoke para o dispositivo hub. A partir daí, o tráfego eclode para a Internet. Neste caso, o hub aplica NAT de origem ao tráfego e roteia o tráfego para uma interface WAN, conforme definido no perfil do hub. Essa regra é geral, então você deve colocá-la após as regras específicas. O Juniper Mist Cloud avalia e aplica políticas de aplicativos na ordem em que as políticas estão listadas.
-
A ordem das políticas de aplicativo não surtiu efeito na configuração do Session Smart Router. Como boa prática, recomendamos que você coloque regras globais no final da lista de regras de políticas.
-
O direcionamento de tráfego em cada regra não é obrigatório para os Roteadores Session Smart. Quando você usa o Session Smart Router, o sistema anuncia todas as rotas em cada interface lan usando a distribuição de rota baseada em iBGP.
-
Use o mesmo nome para rede de ambos os lados para Session Smart Router para que o tráfego passe entre um hub e um spoke. O nome de rede do Session Smart Router deve ser idêntico ao locatário de segurança usado para isolamento de tráfego. Por causa disso, o nome da rede deve combinar em ambos os lados.
Para criar uma política de aplicativo:
Atribua modelos de spoke para sites
O modelo agora existe na nuvem Juniper Mist como um objeto que pode ser anexado a um ou mais sites.
-
Você pode aplicar o mesmo modelo em vários sites.
-
Se um site já tiver um modelo atribuído a ele, a atribuição de outro modelo substituirá o modelo existente (em outras palavras, um site não pode ter dois modelos).
Para atribuir o modelo de spoke ao site:
Configure modelos de borda WAN específicos para dispositivos
A configuração do dispositivo é simplificada com modelos de borda wan após o processo de integração do seu dispositivo. Esses modelos de borda WAN podem ser personalizados para implantações exclusivas em todos os dispositivos de borda. A IA da Mist da Juniper Networks está posicionada de forma exclusiva no setor, pois os modelos de borda de WAN da Mist AI podem ser aplicados a qualquer modelo, independentemente do fornecedor. Além disso, os modelos de borda wan podem misturar e combinar modelos diferentes em um único modelo, agilizando sua configuração e fase de implantação.
Para configurar manualmente seus modelos de borda WAN para o Session Smart Router, consulte Configure um modelo de borda WAN.
Modelos de borda WAN específicos para dispositivos
Há um benefício significativo em aproveitar o hardware selecionado da Juniper Networks com a Mist AI SD-WAN. A configuração é simplificada para muitos roteadores Session Smart™ da Juniper Networks® e firewalls da Série SRX da Juniper Networks®, que têm modelos específicos de dispositivo que atribuem automaticamente interfaces WAN e LAN e definem redes LAN para conectividade.
Esses modelos são exclusivos para cada modelo de dispositivo. Sem entrada manual após a seleção do dispositivo e nomeando o WAN Edge, o dispositivo WAN Edge especificado do usuário é pré-preenchido com os valores.
Por exemplo, a Figura 11 mostra que o modelo de borda SSR120 WAN gera vários valores, incluindo interfaces Ethernet para LAN e WAN com valores relevantes de DHCP e IP :
- ge-0/0/0 wan
- ge-0/0/1 wan2
- wan3 ge-0/0/2
- lan ge-0/03
Além disso, vemos na Figura 11 que o portal Juniper Mist preenche uma política de direcionamento de tráfego. Isso permite que a Juniper Mist envie tráfego por nossa conexão wan a qualquer aplicativo Mist com um destino quad zero catch-all.
Ao aplicar um modelo de BORDA WAN, políticas de aplicativos, redes e aplicativos recebem atualizações automáticas conforme mostrado na Figura 12, Figura 13 e Figura 14.
A SD-WAN da Mist AI da Juniper inclui os seguintes modelos de dispositivo com modelos de borda WAN pré-configurados para Roteadores Session Smart:
- SSR120
- SSR130
- SSR1200
- SSR1300
- SSR1400
- SSR1500
Os modelos específicos do dispositivo WAN Edge oferecem configuração básica de rede em uma única etapa e permitem uma configuração re-utilizável e consistente para dispositivos Session Smart Router e firewall da Série SRX que você implanta. O modelo oferece interfaces WAN pré-configuradas e específicas do dispositivo, interfaces LAN, uma política de direcionamento de tráfego e uma política de aplicativo. Tudo o que você precisa fazer é nomear o modelo e selecionar o tipo de dispositivo.
Para selecionar um modelo de borda WAN específico para dispositivos:
- No portal Juniper Mist, selecione A organização > WAN > modelos de borda de WAN.
- Selecione Criar modelo no canto superior direito para abrir uma nova página de modelo.
- Insira o nome do modelo.
- Clique na caixa de verificação Criar a partir do modelo de dispositivo .
- Selecione seu modelo de dispositivo na caixa de quedas.
Figura 15: Configure o modelo de borda WAN específico do dispositivo
- Clique em Criar.
A UI da Juniper Mist exibe o modelo de dispositivo completo. Agora você tem um modelo DE BORDA WAN em funcionamento que pode ser aplicado a muitos sites e dispositivos em toda a sua organização.
Atribua ao site
Com o seu modelo configurado, você precisa salvá-lo e atribuí-lo ao site onde seu dispositivo de borda WAN será implantado.
- Clique no botão Atribuir ao site na parte superior da página do modelo.
- Selecione um site da lista onde você deseja que o modelo seja aplicado.
- Clique em Aplicar.
- Por fim, tudo o que resta é associar o dispositivo ao seu site: integrar roteadores Session Smart para configuração de WAN