瞻博网络 Mist WAN 保证配置层次结构

瞻博网络 Mist WAN 保证配置

对于网络管理员来说，必须了解，在瞻博网络 Mist WAN 保证云服务中构建网络策略、安全性和连接性的每一块拼图都是如此。完整的 SD-WAN 部署要求每个部分都完成站点间连接。Mist 使用 Mist 基于意图的网络模型，自动将您的流量意图转换为 WAN 边缘设备的配置。每个部分协同工作以构建复杂的接口分配、安全性、路由策略以及目标区域（具体取决于平台）。因此，在我们深入研究瞻博网络 Mist WAN 保证的配置层次结构时，了解 Mist 意图模型至关重要。

基于意图的路由

基于意图的网络可以解决几个问题。例如，考虑两个网络之间安全通信的需求。意图模型指出，安全通信需要在网络 A 和网络 B 之间建立安全隧道。在此方案中，网络管理员确定哪些流量使用隧道，并描述所需的其他常规属性。但是运营商不会指定甚至不知道如何建造隧道。要实施隧道，您必须知道要保护多少设备、如何制作 BGP 通告以及打开哪些功能和参数。相比之下，基于意图的网络系统会根据服务描述自动生成所有设备的完整配置。然后，它会使用闭环验证来持续验证配置的正确性，从而在网络的预期状态和运行状态之间提供持续的保证检查。基于意图的网络是一种声明式网络运维模型。与传统的命令式网络形成鲜明对比，传统的命令式网络要求网络工程师指定针对各个网络元素所需的操作顺序，并且会产生很大的错误可能性。

基于意图的模型关键特征：

• 不需要像传统网络模型那样明确的指示。
• 根据哪个网络访问哪个应用程序构建策略。
• 在组织范围内配置瞻博网络 Mist WAN 保证 网络 和 应用程序 。
• 仅推送相关配置。
• 仅配置设备使用 的应用程序 。如果设备不使用 应用程序，则基于意图的网络不会在该设备上对其进行配置。

让我们看一下在 LAN 上配置 DHCP 的示例，并假设接口已配置并分配给区域。

Junos CLI 中的必要步骤：

• 导航到 Junos 系统服务级别，并为您的接口启用 DHCP 本地服务器。
• 导航到 Junos 系统地址分配并创建一个地址池，指定目标网络、池的地址范围、默认网关和任何其他 DHCP 属性。
• 导航到您的安全区域并为 DHCP 系统服务启用主机入站流量，以允许 SRX 系列处理来自客户端的 DHCP 请求。

这至少需要分布在三个配置层次结构中的多个配置行。

Mist 中显著简化了相同的工作流程：

• 首先，导航到您的 LAN 配置并打开它进行编辑。
• 接下来，启用 DHCP 服务器单选按钮以解锁配置并填充必填字段（IP 开始、IP 结束和网关）。
• 保存 LAN 配置，然后保存设备配置。

组织范围的配置元素

Mist 配置的顶部称为 Mist 组织。这些因素会影响您的整个软件定义广域网 （SD-WAN） 部署。此配置级别的不同组件将成为整个部署中的源和目标的构建基块。识别后，流量请求会相应地关联发送方和所需目标。这些元素有助于根据您的平台构建不同的瞻博网络 Mist WAN 保证部署组件。识别来源和目标将在瞻博网络® SRX 系列防火墙上的 WAN 和相关安全区域之间构建 IPsec 隧道。瞻博®网络 Session Smart™ 路由器上的这些组件将成为相应的源和目标，以帮助构建安全矢量路由 （SVR） 元数据交换。这两个平台以独特的方式应对 SD-WAN 的挑战，因此了解您的瞻博网络 Mist WAN 保证平台非常重要。

网络

瞻博网络 Mist WAN 保证 网络 是 Mist 意图驱动范式中的“谁”。 网络 是网络中请求的来源。网络使您能够定义“用户”组。在 Mist 设计中创建此元素后，网络就会被定义为在整个组织中使用。

瞻博®网络 Session Smart™ 路由器上的网络特征：

• Mist Networks 在后台为 SVR 创建租户。
• 会话智能路由器在逻辑接口（网络接口）识别租户。
• LAN 和 WAN 接口配置标识您的租户（请求源）。

瞻博网络® SRX 系列防火墙上的网络特征：

• 网络创建 地址簿，用作 安全策略 和基于高级策略的路由 （APBR） 策略的来源。
• 如果配置了 应用程序策略 ，则配置将应用于设备。
• 对于 LAN，区域的名称派生自指定网络的名称。
• 对于 WAN，区域的名称基于 WAN 的名称。

路由播发（通过叠加层播发）

WAN 保证是将传输网络抽象到 SD-WAN 中。您可以通过 SD-WAN 通告网络，通过路由通告实现控制和可达性。这就是 LAN 网段中已建立的网络在叠加层中通告的方式。设置这些网络会生成服务策略的源地址。如果需要，源和目标的网络地址转换 （NAT） 可以将流量路由到您的用户。

SD-WAN 的目的是站点间连接。因此，可以通过叠加层通告网络，以实现 SD-WAN 设备之间的可访问性。使用此设置，您的网络将在 WAN 上共享该地址，以便其他设备知道如何访问该地址。

访问 Mist 云

Mist 是一种全栈解决方案。只有部分设备是 WAN 边缘或 SD-WAN 路由器。特定设备将需要访问 Mist 云，以利用其他解决方案，例如无线接入点和交换机上的无线和有线保证。 访问 Mist 云 将自动生成特定的防火墙/策略规则，使设备无需显式 应用程序策略即可将总部呼叫 Mist。在 SD-WAN 部署中，您不希望在 WAN 边缘后面的所有设备上都出现这种情况，因为这可能会给路由器带来策略挑战。 Mist 云的访问 非常适合 Mist 接入点或交换机，因为您可以从 Mist 仪表板对其进行监控和故障排除。请参阅瞻博网络 Mist Wireless Assurance 和 Wired Assurance。

启用对 Mist 云的访问可确保位于 WAN 边缘后面的任何内容都可以访问 Mist 云，而无需手动表达连接策略。此设置的端口和协议包括：

• TCP/443
• DNS/53
• SSH/2200
• NTP/123
• 系统日志/6514
• Icmp

用户

不要让标签欺骗你。 用户 不代表网络上的单个用户。 用户 是子网或间接连接的子网的子集。由于 网络 是“谁”，因此 请将用户 视为该网络身份的细分。通常有普遍的规则来对待网络。例如，对于 99% 的流量，您希望会话执行相同的操作。但是，当您阻止从访客网络访问公司网络，但您需要一个特定 IP 才能访问打印机时，该怎么办？这是 您的用户用例。对于熟悉 Session Smart 路由平台的用户，请将其视为父网络“租户”的子网络。或者， 用户 有第二个用例在网络上定义间接前缀。

• 用户可以 定义精细权限。例如，您的 LAN 网段可能需要访问互联网，但您必须将其限制为特定网络设备。因此，在这里，您将围绕该桌面创建访问策略。
• 您有时需要访问 LAN 网段上路由器后面间接连接的前缀。例如，想象设备后面的路由器将多个设备连接到外部应用程序。

应用

应用程序 包含 Mist 意图驱动模型范式中的“内容”。 应用 是您的网络所提供的。 应用程序 表示流量目标，并根据客户端将访问的内容（如“数据库”或“Internet”）命名。在 Mist 设计中创建此元素后， 应用程序 将被定义为在整个组织中使用。

瞻博®网络 Session Smart™ 路由器上的 应用程序 特征

• Mist 应用程序在后台为 SVR 创建服务。
• 应用程序 可以是内置 AppID 库中的端口、协议、前缀、自定义域或应用程序名称。

端口、协议和前缀是所有策略的中心。

• 自定义 App 是一组端口、协议或前缀。
• 应用 映射到互联网应用 ID。
• URL 类别 是强制点 URL。

瞻博网络® SRX 系列防火墙上的应用程序特征

• 应用程序 确定安全策略中使用的目标。
  • 协议为“any”的前缀 0.0.0.0/0 将解析为瞻博网络 Mist WAN 保证策略中的 任意 位置。无需地址簿或应用程序。
• WAN 边缘的自定义应用程序使用 SRX 系列本机引擎“类型”，是地址簿和应用程序的组合。
• 应用程序 映射到 SRX 系列第 7 层 AppID 引擎。
• URL 类别 是强制点 URL。

流量引导

流量引导 是 Mist 意图驱动模型范式中的“操作方法”。 流量转向 是您定义流量到达目的地的不同路径的方式。如果流向应用程序的流量具有多个路径，则可以将这些路径限制为路径的子集并配置优先顺序。您还可以跨可用路径加载和平衡大量流。

瞻博®网络 Session Smart™ 路由器上的 流量引导 特征：

• 瞻博网络® Session Smart 路由器™具有专有的 流量引导 解决方案，可利用 SVR 确定到达目的地的下一跃点和矢量。
• 阻止列表项会干扰 SVR 下一跃点的建立。

您只需要在 Session Smart 路由器上使用 流量引导 规则

• 有序、加权和 ECMP 等传统转向策略不适用于 Session Smart 路由器。
• 在应用程序策略中阻止应用程序是不必要的，并且会破坏 Session Smart 下一跃点选择过程。

Session Smart 路由器使用专有的 hello 机制选择下一跃点。对等方会话智能路由器之间的此双向转发检测 （BFD） 消息可检查活动性和路径运行状况。

瞻博网络® SRX 系列防火墙上的 流量引导 特征：

• 瞻博网络® SRX 系列防火墙基于区域，目标区域由 流量转向 策略中配置的路径确定。
• 流量转向 配置转发类型路由实例和相关路由策略以导入路由。对于您的 SRX 系列，此路由实例在 APBR 中使用。
• SRX 系列有几种转向策略：
  • 已排序：默认，按列表顺序排列。顶部优先，然后故障转移到下一个。创建有序列表。
  • 加权：允许您根据重量设置所需的订单。例如，两个加权路径（均设置为 5）会导致跨两条路径产生 ECMP。另一方面，两个加权路径，一个设置为 5，另一个设置为 10，导致有序转向，流量首先采用较低权重路径。
  • ECMP：使用等价多路径算法对流量进行完全负载平衡。流量将在所有可用路径上平均分配。

应用程序策略

“谁”、“什么”和“如何”与 应用程序策略结合在一起。Mist 意图驱动模型通过 SRX 系列上的 Junos OS 简化了手动生成路由和安全策略的过程，只需数千行代码。对于从基于导体的 Session Smart 部署过渡到 WAN 保证的用户，它还可以简化 Session Smart 路由器的部署。您不再需要显式权限和接口分配即可启动和运行。WAN 保证是零信任的。这既是隐含的，也是意图驱动模型的一部分。您必须显式向 网络 授予访问 应用程序的权限，否则它将无法路由。

只有在瞻博®网络 Session Smart™ 路由器上出口本地网络时，顺序才重要。会话智能路由器是使用最具体匹配项的路由器。这意味着本地流量不需要使用 Mist 流量转向。重要的是，在 流量转向 中使用块不适用于 SVR，因为它会破坏专有流程。如果设备、子网或网络不应访问 应用程序，请不要为其创建流量引导。

瞻博网络® SRX 系列防火墙上 应用程序策略 的特征：

转向路径决定了 SRX 系列中的目标区域。请确保为策略分配了 流量引导 ，因为在使用 SRX 系列时，策略的顺序很重要。作为传统的基于区域的防火墙，它使用生成筛选器和策略的规则列表。大多数特定规则应位于 SRX 系列应用程序策略列表的顶部。

WAN 边缘模板

SD-WAN 的基本配置元素就位后，Mist 即可通过 WAN 边缘模板部署新的 WAN 边缘设备。之前的所有配置都可以使用 WAN 边缘模板进行模板化。这些模板适用于从独立边缘设备到包含数百个站点的完整 SD-WAN 部署。自动化过程可消除错误并简化多个分支站点和头端的部署。

模板可减少或消除常见的配置任务，并消除配置多个设备时的人为错误。WAN 边缘模板：

• 在整个部署中强制实施标准。
• 确保所有网络设备都指向相同的 DNS （8.8.8.8）。
• 提供可预测的行为，因为它们使用相同的网络时间协议 （NTP） 进行同步和日志记录。（这也会影响特定证书。
• 简化故障排除和管理。
  图 1：WAN 边缘模板

但是，WAN 边缘模板的作用不仅仅是自动执行任务，还可能包含您不经常使用的内容，并应用于所有站点或部分站点。例如，并非每个站点都有访客网络，但您可以保留该接口。

这些模板还允许：

• 通过特定型号批量订购端口和站点组的硬件。
• 特定用例和流量。
• 不同的企业局域网。
• 访客网络。

WAN 边缘模板会自动配置重复的信息，例如 IP、网关或 VLAN。此外，WAN 边缘模板可以包括流量引导、访问策略、路由首选项以及您希望标准化的任何其他配置。请记住，WAN 和 LAN 连接需要前缀、NAT 或其他本地信息。

集线器配置文件

中心配置文件使用 WAN 边缘模板。集线器不在边缘，在整个网络中普遍是唯一的。不可能在模板中完全定义它们的部署。枢纽会影响 Mist 构建叠加网络的方式。每个分支机构和远程办公室都建立到中枢的 SD-WAN 通信。拓扑由构成单个叠加的叠加端点确定。每个中心 WAN 接口都会为分支创建一个覆盖网络终结点。分支 WAN 接口映射相应的中心 WAN 接口，从而定义拓扑。这是传输网络的抽象。由于 WAN 保证的两个平台以不同的方式解决抽象问题，因此在构建叠加网络时了解它们的细微差别至关重要。

瞻博网络® SRX 系列防火墙

SRX 系列叠加型 SD-WAN 结合了用于路由分离的虚拟路由器和用于安全传输流量的 IPsec 隧道。WAN 配置确定拓扑并构建叠加网络。需要注意的一点是，每个组织只能实施一个叠加层。但是，您可以在此叠加层中跨多种传输类型设置许多路径，并安全地隔离和转发流量。对于 SRX 系列设备，叠加网络结合了安全区域、虚拟路由器和 IPsec 隧道。

® 瞻博网络 Session Smart™ 路由器

Session Smart 叠加 SD-WAN 是您所在的区域，它涉及通过端口 1280 上的 BFD 进行专有通信，以了解 Session Smart 对等方之间的活动性和抖动、延迟和丢失。在中枢配置文件上配置 WAN 接口时，它会创建一个覆盖网络中枢端点。在会话智能路由器上，端点是 SVR 的接收端。

将分支 WAN 接口映射到叠加中心端点时，会发生一些情况。分支将建立对等连接并识别 SVR 的邻域和向量，SVR 是传输网络的 Session Smart 抽象。

关于叠加层的最后一点说明：SRX 系列和 Session Smart 路由器不能存在于单个叠加层中。它们可以通过中枢的 BGP 进行配对，但它们用于创建站点间连接的解决方案是独一无二的，无法协同工作。这意味着有迁移计划的用户应确定哪些路由需要播发并在中心播发。

请记住以下中心配置文件注意事项：

• 必须先构建中心配置文件，以便分支模板知道连接的位置。
  • 中心必须具有用于覆盖终结点的静态 IP。
  • 叠加端点配置在 WAN 边缘辐射模板中公开。
• 您可以在以下准则中合并的中心数量没有限制：
  • 每个数据中心一个中心
  • 两个冗余中枢（HA 群集）

分支通过流量控制和 应用程序策略选择主中心。零接触配置 （ZTP） 需要 DHCP（用于物理实施），除非 ZTP 完成，然后迁移到目标网络。您也可以手动预暂存设备。

站点变量

站点变量基于每个站点进行配置。整体规划网络时，您可以为特定的 WAN 边缘和 WAN 边缘群集创建标准模板。理想情况下，每个站点只有一个 WAN 边缘设备（如果设备是群集设备，则只有一个逻辑 WAN 边缘）。由于变量可能因站点而异，因此管理员可以在模板或 WAN 边缘配置页面中使用它们。当配置呈现并推送到设备时，会发生转换。

请记住以下站点变量注意事项：

• 变量的语法与 Jinja2 匹配，并包含在双大括号中，如下所示：{{变量名称}}
• UI 强制使用前导和尾随大括号作为名称的一部分。
• 站点变量限制：
  • 变量中没有空格。
  • 变量字段中没有特殊字符（下划线除外）。
  • 变量只能在一个字段中使用，不能指定整个前缀。

  例如，10.88.88.88/24 至少需要两个变量，一个用于 IP 地址 （10.88.88.88），另一个用于前缀长度 （24）。

  图 3：站点变量

  使用模板真正功能的最佳方法是使用站点变量。部署硬件需要许多配置项。将 WAN 边缘模板和站点变量组合在一起是有意义的。请考虑以下情况，您可以在其中定义前三个八位位组的整个 IP 子网，在每个设备上保留最少的配置：

  使用以下任一方式创建标准模板并将变量放置在标准接口（如 WAN）中：

  • 如果使用 WAN1PFX 变量，假设为 {{192.168.170}}，在“配置”页面的 WAN 字段中，本地 IP 为 {{WAN1PFX}}.1，网关为 {{WAN1PFX}}.2。
  • 您可以定义一对 {{WAN1IP}} 和 {{WAN1_GW}} 变量;但是，有些地方可以重复使用子网，但不能重用特定 IP。
    图 4：WAN 配置 中的站点变量

    另一个强大的用例是魔术八位组，其中第三个八位字节成为一个变量，该变量也可能应用于多个字段。例如，{{SITEID}} 变量可用于第三个八位字节和 VLAN 标记。在这种情况下，网络前缀可能是 192.168。{{SITEID}}.1/24，VLAN ID 为 {{SITE_ID}}。 请记住，虽然 WAN 边缘模板仅适用于 WAN 边缘，但站点变量也适用于交换机和接入点。自动化的目的是简化部署并提高可重用性。

应用模板简介

请记住，站点是单个位置中所有资产的集合。这意味着将只有一个 WAN 边缘。通过瞻博网络 Mist AI 进行 Mist 管理的一个关键功能是，您可以使用配置模板对 WAN 边缘进行分组并进行批量更新。模板提供统一性和便利性，而层次结构提供规模和粒度。

导入和导出模板

没有放之四海而皆准的解决方案。您可以有多个模板。为了节省时间，请克隆模板并在 UI 中对其进行修改，或者将其导出以供以后导入脱机/编程修改。

覆盖模板

模板适用于网站，而网站也适用于设备。模板用于标准化配置，但例外始终存在。您不必为一个站点创建略有不同的模板，而是覆盖设备上的模板配置。

组织级应用程序策略