瞻博网络 Mist WAN 保证配置层次结构

瞻博网络 Mist WAN 保证配置

对于网络管理员来说，了解拼图的每一部分都构建了瞻博网络 Mist WAN 保证云服务中的网络策略、安全性和连接性。完整的 SD-WAN 部署需要每一部分都完成站点间连接。Mist 使用 Mist 基于意图的网络 （IBN） 模型，将您的流量意图自动转换为 WAN 边缘设备的配置。每一部分协同工作以构建复杂的接口分配、安全性、路由策略，以及目标区域（具体取决于平台）。因此，在深入研究瞻博网络 Mist WAN 保证的配置层次结构时，了解 Mist 意图模型至关重要。

基于意图的路由

IBN 解决了几个问题。例如，有两个网络需要实现安全通信。意图模型指出，安全通信需要在网络 A 和网络 B 之间建立一条安全隧道。在此场景中，网络管理员将确定哪些流量使用隧道，并描述其他所需的常规属性。但操作员不会指定，甚至不知道如何建造隧道。要实施隧道，您必须知道要保护多少设备、如何制作 BGP 广告以及要打开哪些功能和参数。相比之下，IBN 系统会根据服务描述自动生成所有设备的整个配置。然后，还会使用闭环验证对配置的正确性进行持续验证，进而在网络的预期状态和运行状态之间提供持续的保证检查。IBN 是一种声明式网络运维模式。与传统的指令式网络形成鲜明对比。传统的指令式网络要求网络工程师对针对各网络元素所采取的措施进行排序，出错的可能性很大。

基于意图的模型主要特征：

• 不像传统网络模型那样需要太多显式指示。
• 根据哪个网络访问哪个应用来构建策略。
• 在组织范围内配置瞻博网络 Mist WAN 保证网络和应用。
• 仅推送相关配置。
• 仅配置设备使用的 应用程序 。如果设备不使用 应用程序，则基于意图的网络不会在该设备上对其进行配置。

让我们看一下在 LAN 上配置 DHCP 的示例，并假设接口已配置并分配给某个区域。

Junos CLI 中的必需步骤：

• 导航至 Junos 系统服务级别，并为您的接口启用 DHCP-local-server。
• 导航至 Junos 系统地址分配并创建一个地址池，其中指定目标网络、池地址范围、默认网关和任何其他 DHCP 属性。
• 导航到您的安全区域，并为 DHCP 系统服务启用主机入站流量，以允许 SRX 系列处理来自客户端的 DHCP 请求。

上述步骤至少需要多个配置行分布在三个配置层次结构中。

Mist 中也大幅简化了相同的工作流程：

• 首先，导航到您的 LAN 配置并将其打开进行编辑。
• 接下来，启用 DHCP 服务器单选按钮以解锁配置并填充必填字段（IP 开始、IP 结束和网关）。
• 保存 LAN 配置，然后保存设备配置。

组织范围内的配置元素

Mist 配置的顶部称为您的 Mist 组织。这些因素会影响整个软件定义广域网 （SD-WAN） 部署。此配置级别的不同组件成为整个部署中源和目标的构建块。识别后，流量请求会适当地关联发件人和所需目的地。这些元素有助于根据您的平台构建不同的瞻博网络 Mist WAN 保证部署组件。识别来源和目标将在瞻博网络® SRX 系列防火墙上的 WAN 和相关安全区域构建 IPsec 隧道。瞻博网络® Session Smart™ 路由器上的这些组件成为相应的源和目标，以帮助构建安全向量路由 （SVR） 元数据交换。这两个平台以独特的方式应对 SD-WAN 挑战，因此了解您的瞻博网络 Mist WAN 保证平台非常重要。

网络

瞻博网络 Mist WAN 保证 网络是 Mist 意图驱动范式中的“对象”。 网络 是网络中请求的来源。通过网络，您可以定义“用户”组。在 Mist 设计中创建此元素后，即可定义网络供整个组织使用。

瞻博网络® Session Smart™ 路由器上的网络特性：

• Mist 网络在 后台为 SVR 创建租户。
• Session Smart 路由器在逻辑接口（网络接口）上识别租户。
• LAN 和 WAN 接口配置标识您的租户（请求源）。

瞻博网络® SRX 系列防火墙上的网络特征：

• 网络 可创建地址簿，用作 安全性策略 和基于高级策略的路由 （APBR） 策略的来源。
• 如果配置了 应用策略 ，则配置将应用于设备。
• 对于 LAN，区域的名称派生自指定网络的名称。
• 对于 WAN，区域的名称基于 WAN 的名称。

路由通告（通过叠加播发）

WAN 保证是将传输网络抽象到 SD-WAN 中。您可以通过 SD-WAN 播发网络，以通过路由播发来控制和可达性。然后，就可以在叠加网络中通告 LAN 网段中已建立的网络。设置这些网络会为服务策略生成源地址。如果需要，源和目标的网络地址转换 （NAT） 可以将流量路由到您的用户。

SD-WAN 的目的是实现站点间连接。因此，可以通过叠加对网络进行通告，以便在 SD-WAN 设备之间实现可达性。使用此设置，您的网络将跨 WAN 共享地址，以便其他设备知道如何访问该地址。

访问 Mist 云

Mist 是一款全栈解决方案只有部分设备是 WAN 边缘或 SD-WAN 路由器。特定设备可能需要访问 Mist 云，以利用无线接入点和交换机上的无线和 Wired Assurance 等其他解决方案。 访问 Mist 云 将自动生成特定的防火墙/策略规则，使设备能够将电话发送到 Mist，而无需明确的应用策略。但是，您不希望在 SD-WAN 部署中 WAN Edge 后面的所有设备上都采用此级别的访问，因为这样做可能会给路由器带来策略挑战。通常，选择接入点或交换机的 访问Mist 云 ，以便从Mist门户监控这些设备并排除故障。

启用对 Mist 云的访问可确保位于 WAN 边缘后面的任何内容都可以访问 Mist 云，而无需手动表达连接策略。此设置的端口和协议包括：

• TCP/443
• DNS/53
• SSH/2200
• NTP/123
• 系统日志/6514
• ICMP

用户

不要被标签欺骗了。 用户 不代表网络上的单个用户。 用户 是子网的子集或间接连接的子网。由于 网络 是“谁”，因此将 用户 视为该网络身份的一个细分。通常有同样对待网络的通用规则。例如，对于 99% 的流量，您希望会话执行相同的作。但是，当您阻止从访客网络访问公司网络，而只有一个 IP 需要打印机访问时，该怎么办？在这种情况下，添加 用户。对于熟悉 Session Smart 路由平台的用户，可以将用户与租户进行比较。您还可以创建 用户 来在网络上定义间接前缀。

• 用户可以 定义精细化权限。例如，您的 LAN 分段可能需要互联网接入，但您必须将其限制为特定的网络设备。因此，在这里，您将围绕该桌面创建访问策略。
• 有时，您需要访问 LAN 网段上路由器后面的间接连接的前缀。例如，想象一个设备后面的路由器，该设备将多个设备连接到外部应用程序。

应用

应用 构成了 Mist 意图驱动模型范式中的“内容”。 应用 就是您的网络所提供的服务。 应用 代表流量目的地，并以客户端将访问的内容命名，例如“数据库”或“互联网”。在 Mist 设计中创建此元素后，系统就会定义 应用 ，以便在整个组织中使用。

瞻博网络® Session Smart™ 路由器上的 应用 特征

• Mist 应用在后台为 SVR 创建服务。
• 应用程序 可以是端口、协议、前缀、自定义域或内置 AppID 库中的应用程序名称。

端口、协议和前缀是所有策略的所在。

• 自定义应用 是一组端口、协议或前缀。
• 应用 映射到因特网应用 ID。
• URL 类别 是强制点 URL。

瞻博网络® SRX 系列防火墙上的应用特征

• 应用 确定安全策略中使用的目标。
  • 前缀 0.0.0.0/0 加上协议“any”，将解析为瞻博网络 Mist WAN 保证策略中的 any 。无需地址簿或应用程序。
• WAN 边缘上的自定义应用使用 SRX 系列本机引擎“类型”，是通讯簿和应用的组合。
• 应用 映射到 SRX 系列第 7 层 AppID 引擎。
• URL 类别 是强制点 URL。

流量引导

流量引导 是 Mist 意图驱动模型范式中的“方法”。 流量引导 是定义流量到达目的地可采用的不同路径的方式。如果流向应用的流量有多个路径，您可以将路径限制为路径的子集，并配置优先顺序。您还可以跨可用路径加载和平衡大量流。

瞻博网络® Session Smart™ 路由器上的 流量引导 特征：

• 瞻博网络® Session Smart 路由器™采用基于会话的技术，对底层和叠加路径采用连续路径监控技术，为任何应用找到最佳可用路径。

• SSR 系列有三种指导策略：

  • 有序：这是默认设置 - 按列表顺序排列。顶部的活动路径优先。如果路径出现故障，则移至列表中的下一个活动路径。这将创建一个有序列表。

  • 加权：允许您根据权重设置所需的顺序。例如，两个加权路径（均设置为 5）会导致跨两个路径的 ECMP 会话。另一方面，两个加权路径（一个设置为 5，另一个设置为 10）会导致有序转向，会话首先采用权重较低的路径。

  • ECMP：使用等价多路径算法对流量进行完全负载均衡。会话将在所有可用路径上平均分配。

• 与 SRX 系列防火墙不同，如果 SSR 的 RIB 中已经存在流量路由，则 SSR 的应用策略不需要流量引导。在某些情况下，在应用策略上配置流量引导将导致不良行为。更多信息，请参阅 通过 Hub 的互联网回传 。

• SSR 支持的流量引导策略，这些策略可以通过两种方式引导流量：

  • 走向叠加，其中包含使用安全向量路由 （SVR） 在不同 WAN 路径上引导此流量的各种选项。对于叠加中的流量引导，Mist WAN 保证依靠 BGP 在 SSR 设备之间路由流量。您可以利用此行为在现有网络和 SSR 设备之间交换和传播路由。

  • 本地路由出一个或多个特定接口，这在本地分支（底层）流量中很常见。对于不想使用 SSR 执行动态路由的客户，或没有现有动态路由解决方案的客户，请参阅通过中 枢的互联网回传 ，了解详细信息。

• 对于具有阻止作的应用策略，请勿输入任何流量引导

• SSR 采用默认拒绝行为。除非某个特定网络对象已有权访问更广泛的应用，并且您希望限制该地址空间内的特定范围，否则无需创建阻止策略。

瞻博网络® SRX 系列防火墙上的 流量引导 特征：

• 瞻博网络® SRX 系列防火墙是基于区域的，目标区域由 流量引导 策略中配置的路径决定。
• 流量引导 可配置转发类型的路由实例和相关路由策略以导入路由。对于 SRX 系列，此路由实例在 APBR 中使用。
• SRX 系列有几种转向策略：
  • 有序：默认，按列表顺序排列。顶部优先，然后故障切换到下一个。创建有序列表。
  • 加权：允许您根据权重设置所需的顺序。例如，如果两个加权路径均设置为 5，则会导致跨两个路径的 ECMP。另一方面，两个加权路径（一个设置为 5，另一个设置为 10）会导致有序转向，流量首先采用权重较低的路径。
  • ECMP：使用等价多路径算法对流量进行完全负载均衡。流量将在所有可用路径上平均分配。

应用策略

“人员”、“内容”和“如何”与 应用策略结合在一起。Mist 意图驱动模型通过 SRX 系列上的 Junos OS 简化了手动生成路由和安全策略的过程，涉及数千行代码。对于从基于 Conductor 的 Session Smart 部署过渡到 WAN 保证的客户，它还简化了 Session Smart 路由器的部署。您不再需要显式权限和接口分配即可启动和运行。WAN 保证是零信任。此功能既是隐含的，也是意图驱动模型的一部分。您必须明确授予允许 网络 访问 应用程序的权限。否则，它将不会路由。

只有在通过瞻博网络® Session Smart™ 路由器排出本地网络时，顺序才重要。Session Smart 路由器使用最具体的匹配项。因此，本地流量不需要流量定向。此外，在 流量引导 中使用块不适用于 SVR，因为它会破坏专有进程。如果您不希望设备、子网或网络访问 应用程序，请不要为该设备创建流量引导。

瞻博网络® SRX 系列防火墙上的 应用策略 特征：

转向路径决定了 SRX 系列中的目标区域。请确保为策略分配了 流量引导， 因为在使用 SRX 系列时，策略的顺序很重要。作为传统的基于区域的防火墙，它使用一系列规则来生成过滤器和策略。大多数具体规则应位于 SRX 系列应用策略列表的顶部。

WAN 边缘模板

SD-WAN 的基本配置元素就位后，Mist 允许您通过 WAN Edge 模板部署新的 WAN Edge 设备。所有以前的配置都可以使用 WAN 边缘模板进行模板化。这些模板适用于独立边缘设备到包含数百个站点的完整 SD-WAN 部署。自动化过程可消除错误并简化多个分支站点和前端的部署。

模板可减少或消除常见的配置任务，并消除配置多个设备时的人为错误。WAN 边缘模板：

• 在整个部署中强制执行标准。
• 确保所有网络设备都指向同一个 DNS （8.8.8.8）。
• 提供可预测的行为，因为它们使用相同的网络时间协议 （NTP） 进行同步和日志记录。（这也会影响特定证书。
• 简化故障排除和管理。
  图 1：WAN 边缘模板

但是，WAN 边缘模板的作用不仅仅是自动执行任务。您可以使用模板来标准化可以跨站点 一致应用的 配置，即使您 实际上 没有在所有站点上部署所有功能也是如此。例如，您可能不需要在每个站点都有访客网络，但通过将配置包含在模板中，即表示您保留了该接口。如果未来计划需要访客网络，则该接口已可供使用。

这些模板还允许：

• 通过特定型号为端口和站点组批量订购硬件。
• 特定用例和流量。
• 不同的企业 LAN 网络。
• 访客网络。

WAN 边缘模板会自动配置重复信息，如 IP、网关或 VLAN。此外，WAN 边缘模板可以包括流量控制、访问策略、路由首选项以及您想要标准化的任何其他配置。请记住，您需要前缀、NAT 或其他本地信息才能实现 WAN 和 LAN 连接。

集线器配置文件

中枢配置文件可与 WAN 边缘模板配合使用。中枢不位于边缘，在整个网络中普遍具有独特性。集线器会影响 Mist 构建叠加网络的方式。每个分支机构和远程办公室构建与中枢的 SD-WAN 通信。拓扑由构成单个叠加的叠加端点决定。每个中心 WAN 接口都会为分支创建一个叠加端点。分支型 WAN 接口映射相应的中枢 WAN 接口，从而定义拓扑。这就是传输网络的抽象化由于两个 WAN 保证平台对抽象问题的解决方法不同，因此在构建叠加网络时，您需要了解它们的细微差别。

瞻博网络® SRX 系列防火墙

SRX 系列叠加 SD-WAN 结合了用于路由分离的虚拟路由器和用于安全传输流量的 IPsec 隧道。WAN 配置确定拓扑结构并构建叠加网络。需要注意的一件事是，每个组织只能实施一个叠加。但是，您可以在此叠加层中跨多种类型的传输拥有许多路径，并安全地隔离和转发流量。对于 SRX 系列设备，叠加网络结合了安全区域、虚拟路由器和 IPsec 隧道。

瞻博网络® Session Smart™ 路由器

Session Smart 叠加网络 SD-WAN 就是您的邻居，它涉及通过端口 1280 上的 BFD 进行专用通信，以确保 Session Smart 对等节点之间的活跃和抖动、延迟和丢失。在中枢配置文件上配置 WAN 接口时，它会创建一个叠加中枢端点。在 Session Smart 路由器上，端点是 SVR 的接收端。

将分支 WAN 接口映射到叠加中枢端点时，会发生一些情况。分支将建立对等连接，并为 SVR 识别邻域和向量，SVR 是传输网络的 Session Smart 抽象。

关于叠加的最后说明： SRX 系列和 Session Smart 路由器不能存在于单个叠加中。这些设备可以通过集线器的 BGP 进行配对，但它们用于创建站点间连接的解决方案是独一无二的，不能在同一叠加层中协同运行。如果您有迁移计划，请确定哪些路由需要播发并在中枢上播发。

请记住以下中心配置文件注意事项：

• 必须先构建中心配置文件，以便分支模板知道连接位置。
  • 中枢必须具有叠加端点的静态 IP。
  • 叠加端点配置在 WAN Edge 分支模板中公开。
• 在这些准则中，您可以纳入的枢纽数量没有限制：
  • 每个数据中心一个中心
  • 两个冗余中心（高可用性群集）

分支通过流量引导和 应用策略选择主中枢。全自动部署 （ZTP） 需要 DHCP（用于物理实施），除非完成 ZTP 之后迁移到目标网络。您也可以手动对设备进行预级设置。

站点变量

站点变量是按站点配置的。在整体规划网络时，可以为特定的 WAN Edge 和 WAN Edge 集群创建标准模板。理想情况下，每个站点只有一个 WAN Edge 设备（如果设备是群集的，则只有一个逻辑 WAN Edge）。由于变量可能因站点而异，因此管理员可以在模板或 WAN Edge 配置页面中使用这些变量。当配置被呈现并推送到设备时，就会发生转换。

请记住以下站点变量注意事项：

• 变量的语法与 Jinja2 匹配，并包含在双大括号内，如下所示：{{variableName}}
• UI 强制使用前导大括号和尾随大括号作为名称的一部分。
• 站点变量限制：
  • 变量中没有空格。
  • 变量字段内没有特殊字符（下划线除外）。
  • 变量只能在一个字段中使用，不能指定整个前缀。

  例如，10.88.88.88/24 至少需要两个变量，一个用于 IP 地址 （10.88.88.88），另一个用于前缀长度 （24）。

  图 3：站点变量

  使用模板真正功能的最佳方法是使用站点变量。部署硬件需要许多配置项。将 WAN 边缘模板和站点变量组合在一起是有意义的。请考虑以下情况，其中可以定义前三个八位位组的整个 IP 子网，从而在每台设备上保留最小配置：

  创建标准模板，并通过以下任一方式将变量放置在标准接口（如 WAN）中：

  • 使用WAN1PFX变量（如 {{192.168.170}}），在“配置”页面的“WAN”字段中，本地 IP 为 {{WAN1PFX}}.1，网关为 {{WAN1PFX}}.2。
  • 您可以定义一对 {{WAN1IP}} 和 {{WAN1_GW}} 变量;但是，有些地方可以重用子网，但不能重用特定 IP。
    图 4：WAN 配置 中的站点变量

    另一个强大的用例是魔术八位字节，其中第三个八位字节成为一个变量，并且该变量也可能适用于多个字段。例如，{{SITEID}} 变量可以同时用于第三个八位位组和 VLAN 标记。在这种情况下，网络前缀可能为 192.168。{{SITEID}}.1/24 配置为 {{SITE_ID}} VLAN ID。 请记住，虽然 WAN Edge 模板仅适用于 WAN Edge，但站点变量也适用于交换机和接入点。实现自动化的目的是简化部署并提高可重用性。

应用模板简介

请记住，网站是所有资产集中在一个位置的集合。这意味着只有一个 WAN 边缘。通过瞻博网络 Mist AI 进行 Mist 管理的一个关键功能是，您可以使用配置模板对 WAN Edge 进行分组并进行批量更新。模板提供统一性和便利性，而层次结构提供可扩展性和粒度。

导入和导出模板

没有一种解决方案可以覆盖所有情况。您可以有多个模板为节省时间，请克隆模板。然后根据需要修改克隆副本。

覆盖模板

模板适用于站点，而站点则适用于设备。模板用于标准化配置，但始终存在例外。您不是为一个站点创建略有不同的模板，而是覆盖设备上的模板配置。

组织级应用策略