瞻博网络 Mist WAN 保证配置层次结构

瞻博网络 Mist WAN 保证配置

对于网络管理员来说，必须了解在瞻博网络 Mist WAN 保证云服务中构建网络策略、安全性和连接性的每一块拼图。完整的 SD-WAN 部署需要每个部分完成站点间连接。Mist 使用 Mist 基于意图的网络模型，自动将您的流量意图转换为 WAN 边缘设备的配置。每个部分协同工作，以构建复杂的接口分配、安全性、路由策略以及（取决于平台）目标区域。因此，在我们深入研究 瞻博网络 Mist WAN 保证 的配置层次结构时，了解Mist意图模型至关重要。

基于意图的路由

基于意图的网络解决了几个问题。例如，考虑两个网络之间的安全通信需求。意图模型指出，安全通信需要在网络 A 和网络 B 之间建立一条安全隧道。在此场景中，网络管理员将确定哪些流量使用隧道，并描述所需的其他常规属性。但操作员不会指定，甚至不知道如何构建隧道。要实施隧道，您必须知道要保护多少台设备、如何进行 BGP 播发以及要开启的功能和参数。相比之下，基于意图的网络系统会根据服务描述自动生成所有设备的完整配置。然后，还会使用闭环验证对配置的正确性进行持续验证，进而在网络的预期状态和运行状态之间提供持续的保证检查。基于意图的网络采用声明式网络运维模式，与传统的指令式网络形成鲜明对比。传统的指令式网络要求网络工程师对针对各网络元素所采取的措施进行排序，出错的可能性很大。

基于意图的模型关键特征：

• 不需要像传统网络模型那样需要太多的明确方向。
• 根据哪个网络访问哪个应用构建策略。
• 在整个组织范围内配置瞻博网络 Mist WAN 保证 网络 和 应用 。
• 仅推送相关配置。
• 仅配置设备使用的 应用程序 。如果设备不使用 应用程序，则基于意图的网络不会在该设备上配置它。

让我们以在 LAN 上配置 DHCP 的示例为例，假设接口已配置并分配给一个区域。

Junos CLI 中所需执行的步骤：

• 导航至 Junos 系统服务级别并为您的接口启用 DHCP-local-server。
• 导航到 Junos 系统地址分配并创建一个地址池，其中指定目标网络、池的地址范围、默认网关和任何其他 DHCP 属性。
• 导航至安全区域并为 DHCP 系统服务启用主机入站流量，以允许 SRX 系列处理来自客户端的 DHCP 请求。

这需要至少要有多个配置行分布在三个配置层次结构中。

相同的工作流程在Mist以下方面得到了显著简化：

• 首先，导航到您的 LAN 配置并将其打开以进行编辑。
• 接下来，启用 DHCP 服务器单选按钮以解锁配置并填充必填字段（IP 开始、IP 结束和网关）。
• 保存 LAN 配置，然后保存设备配置。

组织范围的配置元素

Mist配置的顶层称为Mist组织。这些因素会影响整个软件定义广域网 （SD-WAN） 部署。此配置级别的不同组件将成为整个部署中源和目标的构建块。识别后，流量请求会适当地将发件人和所需目的地关联起来。这些元素有助于根据您的平台构建不同的瞻博网络 Mist WAN 保证部署组件。识别来源和目标将在瞻博网络® SRX 系列防火墙上的 WAN 和相关安全区域之间构建 IPsec 隧道。瞻博®网络 Session Smart™ 路由器上的这些组件成为相应的源和目标，帮助构建安全向量路由 （SVR） 元数据交换。这两个平台都以独特的方式应对 SD-WAN 挑战，因此了解您的瞻博网络 Mist WAN 保证平台非常重要。

网络

瞻博网络 Mist WAN 保证 网络 是Mist意图驱动范式中的“谁”。 网络 是您网络中请求的来源。通过网络可以定义“用户”组。在 Mist 设计中创建此元素后，系统便会定义供整个组织使用的网络。

瞻博®网络 Session Smart™ 路由器上的网络特征：

• Mist 网络 在后台为 SVR 创建租户。
• Session Smart 路由器在逻辑接口（网络接口）上识别租户。
• LAN 和 WAN 接口配置可识别您的租户（请求源）。

瞻博网络® SRX 系列防火墙上的网络特征：

• 网络 创建地址簿，用作 安全策略 和基于高级策略的路由 （APBR） 策略的源。
• 如果配置了 应用程序策略 ，则配置将应用于设备。
• 对于 LAN，区域的名称派生自指定网络的名称。
• 对于 WAN，区域的名称基于 WAN 的名称。

路由通告（通过叠加播发）

WAN 保证是将传输网络抽象到 SD-WAN 中。您可以通过 SD-WAN 通告网络，通过路由通告实现控制和可达性。这就是通过叠加层播发 LAN 分段中已建立的网络的方式。设置这些网络会生成服务策略的源地址。源和目标的网络地址转换 （NAT） 可根据需要将流量路由到您的用户。

SD-WAN 的目的是站点间连接。因此，可以通过叠加层播发网络，以实现 SD-WAN 设备之间的可访问性。使用此设置，您的网络将在 WAN 中共享该地址，以便其他设备知道如何访问该地址。

访问 Mist 云

Mist是一个全栈解决方案。只有部分设备是 WAN 边缘或 SD-WAN 路由器。特定设备需要访问 Mist 云，以便在无线接入点和交换机上使用其他解决方案，如无线和 Wired Assurance。 对 Mist 云 的访问 将自动生成特定的防火墙/策略规则，使设备能够通过电话Mist，而无需显式的 应用策略。在 SD-WAN 部署中，您不希望在 WAN 边缘后面的所有设备上都出现这种情况，因为这可能会给路由器带来策略挑战。 Mist 云 非常适合Mist接入点或交换机访问，因为您可以从 Mist 仪表板对其进行监控和故障排除。请参阅瞻博网络 Mist Wireless Assurance 和 Wired Assurance。

启用对 Mist 云的访问可确保位于 WAN 边缘后面的任何内容都可以访问Mist云，而无需手动制定连接策略。此设置的端口和协议包括：

• TCP/443号文件
• DNS/53
• SSH/2200
• NTP/123号文件
• 系统日志/6514
• ICMP

用户

不要让标签欺骗你。 “用户” 并不代表您网络上的单个用户。 用户 是子网或间接连接的子网。由于 网络 是“谁”，因此可以将 “用户 ”视为该网络身份的细分。通常有一些通用规则可以一视同仁地对待网络。例如，对于 99% 的流量，您希望会话执行相同的操作。但是，当您阻止访客网络访问公司网络，但需要一个特定的 IP 来访问打印机时，该怎么办？这是 您的用户用例。对于熟悉 Session Smart 路由平台的用户，可以将其视为父网络“租户”的子项。或者， 用户 还有第二个用例，用于定义网络上的间接前缀。

• 用户 可以定义细粒度权限。例如，您的 LAN 分段可能需要访问互联网，但您必须将其限制在特定的网络设备上。因此，在这里，您将围绕该桌面创建访问策略。
• 有时需要到达 LAN 分段上路由器后面的间接连接前缀。例如，想象一下设备后面的路由器，该路由器将多个设备连接到外部应用。

应用

应用 决定了Mist意图驱动模型范式中的“内容”。 应用 是您的网络所提供的内容。 应用 表示流量目标，并以客户端将访问的内容（如“数据库”或“互联网”）命名。在Mist设计中创建此元素后， 将定义应用程序 以在整个组织中使用。

瞻博®网络 Session Smart™ 路由器上的 应用 特征

• Mist应用在后台为 SVR 创建服务。
• 应用程序 可以是内置 AppID 库中的端口、协议、前缀、自定义域或应用程序名称。

端口、协议和前缀是所有策略的核心所在。

• 自定义应用程序 是一组端口、协议或前缀。
• 应用 映射到 Internet 应用 ID。
• URL 类别 是强制点网址。

瞻博网络® SRX 系列防火墙上的应用特征

• 应用 确定安全策略中使用的目标。
  • 协议“any”的前缀 0.0.0.0/0 在瞻博网络 Mist WAN 保证策略中解析为 any 。无需地址簿或应用程序。
• WAN 边缘上的自定义应用使用 SRX 系列本机引擎“类型”，是通讯簿和应用的组合。
• 应用 映射到 SRX 系列第 7 层 AppID 引擎。
• URL 类别 是强制点网址。

流量引导

流量引导 是Mist意图驱动模型范式中的“方法”。 流量控制 是指您定义流量到达目的地的不同路径的方式。如果流向应用程序的流量有多个路径，则可以将路径限制为路径子集，并配置优先级顺序。您还可以在可用路径上加载和平衡大量流。

瞻博®网络 Session Smart™ 路由器 流量引导 特征：

• 瞻®博网络 Session Smart 路由器™具有专有 的流量引导 解决方案，可利用 SVR 确定到达目标的下一跃点和向量。
• 阻止列表项会干扰 SVR 下一跃点的建立。

您只需要 Session Smart 路由器上的 流量引导 规则

• 传统的转向策略（如有序、加权和 ECMP）不适用于 Session Smart 路由器。
• 没有必要在应用程序策略中阻止应用程序，并且会破坏 Session Smart 下一跃点选择过程。

Session Smart 路由器使用专用的发送机制选择下一跃点。对等方 Session Smart 路由器之间的这种双向转发检测 （BFD） 消息会检查活动和路径运行状况。

瞻博网络® SRX 系列防火墙 流量引导 的特征：

• 瞻®博网络 SRX 系列防火墙基于区域，目标区域由 流量引导 策略中配置的路径确定。
• 流量引导 通过配置转发类型的路由实例和相关路由策略来导入路由。对于您的 SRX 系列，APBR 中使用此路由实例。
• SRX 系列有几种转向策略：
  • Ordered：默认值，按列表的顺序进行。顶部优先，然后故障转移到下一个。创建有序列表。
  • 加权：允许您根据重量设置所需的订单。例如，如果两条加权路径均设置为 5，则两条路径的 ECMP 将导致两者之间的 ECMP。另一方面，两条加权路径，一条设置为 5，另一条设置为 10，导致有序转向，交通首先采用重量较低的路径。
  • ECMP：使用等价多路径算法对流量进行完全负载均衡。流量将在所有可用路径上平均分配。

应用策略

“谁”、“什么”和“如何”与 应用程序策略结合在一起。Mist意图驱动模型简化了通过SRX 系列上的Junos OS（包含数千行代码）手动生成路由和安全策略的过程。对于从基于 Conductor 的 Session Smart 部署过渡到 WAN 保证的用户，该架构还简化了 Session Smart 路由器的部署。您不再需要显式权限和接口分配来启动和运行。WAN 保证是零信任。这既是隐含的，也是意图驱动模型的一部分。您必须明确授予 网络 访问 应用程序的权限，否则它将无法路由。

仅在使用瞻®博网络 Session Smart™ 路由器离开本地网络时，顺序才重要。Session Smart 路由器是使用最具体匹配的路由器。这意味着，对于本地流量，不需要使用Mist流量转向。重要的是，在 流量转向 中使用块不适用于 SVR，因为它会破坏专有过程。如果设备、子网或网络不应访问 应用程序，请不要为其创建流量定向。

瞻博网络® SRX 系列防火墙上 应用策略 的特征：

转向路径决定了 SRX 系列中的目的地区域。请确保为策略分配了 流量转向 ，因为在使用 SRX 系列时，策略的顺序很重要。作为传统的基于区域的防火墙，它使用一系列规则来生成过滤器和策略。最具体的规则应位于 SRX 系列的“应用策略”列表的顶部。

WAN 边缘模板

SD-WAN 的基本配置元素就位后，Mist 允许您通过 WAN 边缘模板部署新的 WAN 边缘设备。之前的所有配置都可以使用 WAN 边缘模板进行模板化。这些模板适用于从独立边缘设备到包含数百个站点的完整 SD-WAN 部署。自动化过程消除了错误并简化了多个辐射站点和头端的部署。

模板可减少或消除常见配置任务，并消除配置多个设备时的人为错误。WAN 边缘模板：

• 在整个部署中实施标准。
• 确保所有网络设备指向相同的 DNS （8.8.8.8）。
• 提供可预测的行为，因为他们使用相同的网络时间协议 （NTP） 进行同步和日志记录。（这也会影响特定证书。
• 简化故障排除和管理。
  图 1：WAN 边缘模板

但是，WAN 边缘模板的作用不仅仅是自动执行任务，并且可能包含您不经常使用的内容，并且可能包含适用于所有站点或部分站点的内容。例如，并非每个站点都有访客网络，但您可以保留该接口。

这些模板还允许：

• 通过特定型号批量订购端口和站点组的硬件。
• 特定用例和流量。
• 不同的企业 LAN 网络。
• 访客网络。

WAN 边缘模板可自动配置重复信息，如 IP、网关或 VLAN。此外，WAN 边缘模板还可以包括流量引导、访问策略、路由优先级以及您希望实现标准化的任何其他配置。请记住，WAN 和 LAN 连接需要前缀、NAT 或其他本地信息。

集线器配置文件

中心配置文件可与 WAN 边缘模板配合使用。集线器并不位于边缘，它们在整个网络中普遍是唯一的。不可能在模板中完全定义它们的部署。集线器会影响Mist构建叠加网络的方式。每个分支机构和远程办公室都会构建到中枢的 SD-WAN 通信。拓扑由组成单个叠加的叠加端点决定。每个中心 WAN 接口都会为分支创建一个叠加端点。分支 WAN 接口映射相应的中枢 WAN 接口，从而定义拓扑。这就是传输网络的抽象化。由于两个 WAN 保证平台以不同的方式解决抽象问题，因此在构建该叠加网络时必须了解它们的细微差别。

瞻®博网络 SRX 系列防火墙

SRX 系列叠加型 SD-WAN 结合了用于路由分离的虚拟路由器和安全传输流量的 IPsec 隧道。WAN 配置确定拓扑并构建叠加网络。需要注意的一点是，每个组织只能实施一个叠加。但是，您可以在此叠加层中拥有跨多种传输类型的多条路径，并安全地隔离和转发流量。对于 SRX 系列设备，叠加结合了安全区域、虚拟路由器和 IPsec 隧道。

瞻®博网络 Session Smart™ 路由器

Session Smart 叠加层 SD-WAN 就是您的邻居，它涉及通过端口 1280 上的 BFD 进行专有通信，以实现 Session Smart 对等方之间的活跃和抖动、延迟和丢包。在中心配置文件上配置 WAN 接口时，它将创建一个叠加中心端点。在 Session Smart 路由器上，端点是 SVR 的接收端。

将分支 WAN 接口映射到叠加中心端点时，会发生一些情况。该分支将建立对等连接并识别 SVR 的邻域和向量，SVR 是传输网络的 Session Smart 抽象。

关于叠加层的最后说明：SRX 系列和 Session Smart 路由器不能存在于单个叠加层中。它们可以通过中枢的 BGP 进行配对，但它们用于创建站点间连接的解决方案是独一无二的，不能协同工作。这意味着那些有迁移计划的人应该确定哪些路线需要播发，并在集线器上做广告。

请记住以下中心配置文件注意事项：

• 必须首先构建中心配置文件，以便分支模板知道连接位置。
  • 中心必须具有用于叠加端点的静态 IP。
  • 叠加端点配置在 WAN 边缘分支模板中公开。
• 可以在这些准则中纳入的中心数量没有限制：
  • 每个数据中心一个中心
  • 两个冗余中心（HA 群集）

分支通过流量引导和 应用策略选择主枢纽。全自动部署 （ZTP） 需要 DHCP（用于物理实施），除非完成 ZTP 然后迁移到目标网络。您也可以手动预设设备。

站点变量

站点变量基于每个站点进行配置。整体规划网络时，您可以为特定 WAN 边缘和 WAN 边缘群集创建标准模板。理想情况下，每个站点只有一个 WAN 边缘设备（如果设备为群集，则只有一个逻辑 WAN 边缘）。由于变量可能因站点而异，因此管理员可以在模板或 WAN 边缘配置页面中使用这些变量。当配置呈现并推送到设备时，就会发生转换。

请记住以下站点变量注意事项：

• 变量的语法与 Jinja2 匹配，并包含在双大括号内，如下所示： {{variableName}}
• UI 强制使用前导括号和尾部大括号作为名称的一部分。
• 站点变量限制：
  • 变量中没有空格。
  • 变量字段中没有特殊字符（下划线除外）。
  • 变量只能在一个字段中使用，不能指定整个前缀。

  例如，10.88.88.88/24 至少需要两个变量，一个用于 IP 地址 （10.88.88.88），另一个用于前缀长度 （24）。

  图 3：站点变量

  使用模板真正功能的最佳方式是使用站点变量。部署硬件需要许多配置项目。将 WAN 边缘模板和站点变量组合在一起很有意义。请考虑以下情况：您可以定义前三个八位位组的整个 IP 子网，同时在每个设备上保留最少的配置：

  通过以下任一方式创建标准模板并将变量放置在标准接口（如 WAN）中：

  • 使用WAN1PFX变量，假设 {{192.168.170}}，在“配置”页面的 WAN 字段中，本地 IP 为 {{WAN1PFX}}.1，网关为 {{WAN1PFX}}.2。
  • 您可以定义一对 {{WAN1IP}} 和 {{WAN1_GW}} 变量;但是，在某些地方可以重复使用子网，但不能重复使用特定 IP。
    图 4：WAN 配置 中的站点变量

    另一个强大的用例是魔术八位字节，其中第三个八位字节成为一个变量，该变量也可能适用于多个字段。例如，{{SITEID}} 变量可用于第三个八位位组和 VLAN 标记。在这种情况下，网络前缀可能是 192.168。{{SITEID}}.1/24，替换为 {{SITE_ID}} VLAN ID。 请记住，尽管 WAN 边缘模板仅适用于 WAN 边缘，但站点变量也适用于交换机和接入点。自动化的目的是简化部署并提高可重用性。

应用模板简介

请记住，站点是所有资产在单个位置的集合。这意味着只会有一个 WAN 边缘。通过 Juniper Mist AI 进行Mist管理的一个关键功能是，您能够使用配置模板对 WAN 边缘进行分组并进行批量更新。模板提供了统一性和便利性，而层次结构提供了规模和粒度。

导入和导出模板

没有放之四海而皆准的解决方案。您可以拥有多个模板。为了节省时间，请克隆模板并在 UI 中对其进行修改，或者将其导出以进行离线/编程修改，以便稍后导入。

覆盖模板

模板适用于站点，而站点又适用于设备。模板用于标准化配置，但总是存在例外。您不必为一个站点创建略有不同的模板，而是覆盖设备上的模板配置。

组织级应用策略