Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

使用自定义提供商设置安全边缘连接器

按照此工作流与您自己的安全边缘提供商集成。

Juniper Mist为隧道调配提供自定义选项。只需最少的配置,WAN 边缘设备就可以使用 IPsec 或 GRE 协议与 SSE 建立连接。

使用自定义选项配置安全边缘连接器

先决条件

  • 确保您已准备好本地和远程网络帐户详细信息。

配置隧道调配

  1. 在Juniper Mist门户上,转到“WAN 边缘模板级别”、“中心配置文件”或“站点”级别的 安全边缘连接器
    图 1:为安全边缘连接器 Add Provider for Secure Edge Connector添加提供商
  2. 单击 添加提供程序
  3. “添加提供程序 ”窗口中,选择 “自定义 ”选项。
  4. 输入隧道配置的详细信息。
      1. 名称 - 输入服务的名称。
      2. 提供商 - 选择 自定义
      3. 远程网络 - 选择现有网络或创建网络。
      4. 提供程序 - 选择 IPsecGRE

      5. 对于 IPsec,输入以下选项:

        1. 本地 ID - 提供本地帐户的登录 ID。
        2. 预共享密钥 - 提供预共享密钥 (PSK)。PSK 的长度必须介于 6-255 个字符之间。
        3. IP 或主机名 — IP 地址或主机名。
        4. 源 IP — 隧道的源 IP 地址。
        5. 探测 IP — 输入探测 IP 地址。您可以使用任何众所周知的 IP(例如:8.8.8.8)。
        6. 远程 ID - 提供远程帐户的登录 ID。
        7. WAN 接口 — 分配用于调配主隧道和辅助隧道的 WAN 接口。您可以添加多个 WAN 接口,第一个接口优先。如果第一个接口关闭,则系统使用第二个接口建立隧道。
        8. IKEv2 提议 - 保留默认值或从下拉列表中选择 “加密算法”、“ 身份验证算法”、“ DH 组 ”,然后输入“生存 时间 介于 180 到 86400 秒之间”。
        9. IPsec 提议 - 保留默认值或从下拉列表中选择 “加密算法”、“ 身份验证算法”、“ DH 组 ”,然后输入“生存 时间 介于 180 到 86400 秒之间”。

      6. 对于 GRE,请输入以下选项:

        1. IP 或主机名 — IP 地址或主机名。
        2. 源 IP — 隧道的源 IP 地址。
        3. 探测 IP — 输入探测 IP 地址。您可以使用任何众所周知的 IP(例如:8.8.8.8)。
        4. 远程 ID - 提供远程帐户的登录 ID。
        5. WAN 接口 — 分配用于调配主隧道和辅助隧道的 WAN 接口。您可以添加多个 WAN 接口,第一个接口优先。如果第一个接口关闭,则系统使用第二个接口建立隧道。
          图 2:BGP over GRE 选项 BGP over GRE option
  5. 单击 “添加 ”继续。
  6. 创建新的 BGP 组。
    1. 向下滚动至路由窗格,然后单击 添加 BGP 组
      图 3:添加 BGP 组 Add BGP Group
    2. “添加 BGP 组 ”窗口中,添加 BGP 组的详细信息。
    3. 对于对等网络,选择相同的 SEC 提供商(在前面的步骤中创建)。
    4. 对于本地 AS (本地 AS),输入 WAN 边缘的 AS 编号或非默认 AS。
    5. 如果要如图 2 所示设置 BGP over GRE,请按如下方式配置 BGP 组:

      • 名称:为 BGP 组命名,例如 BGP-over-GRE

      • 对等网络:选择 SEC 隧道,然后选择您在上述步骤 iv 中配置的隧道。

      • 选择播发到叠加。

      • BDF:选择 “已禁用”

      • 类型:选择 External

      • 本地 AS:键入您正在使用的 AS 的编号,例如 65000。

      • 保持时间:指定时间,以秒为单位,例如 90。

      • 平滑重启时间:指定时间(以秒为单位),如 120。

        图 4:与 WAN 边缘关联的 BGP 组。 A BGP group that is associated with the WAN edge.
    6. 在“邻居”窗格中,单击“添加邻居”。
      • 添加 SSE 的 BGP 对等体 IP 地址和 AS 值。
      • 或者,您可以为路由的导入或导出添加 BGP 策略

      有关创建 BGP 组的说明,请参阅 配置 BGP 组

  7. 在 WAN Edge Templates 页面或 WAN Edge 设备页面上添加流量引导配置文件。

    图 5:为安全边缘连接器 Add Traffic Steering for Secure Edge Connector添加流量引导
    • 输入流量转向路径的详细信息:
      • 名称 - 输入流量定向配置文件的名称。
      • 策略 - 选择策略。您可以根据拓扑和配置,使用任何策略(有序加权ECMP)配置流量控制配置文件。
      • 路径 - 单击 添加路径, 然后输入以下详细信息。
        1. 类型Type) - 选择安全边缘连接器 (Secure Edge Connector)。
        2. 提供商 - 选择 自定义
        3. 名称 - 选择您在上一步中创建的自定义连接器的名称。
      • 单击 “添加”
  8. 添加应用策略。应用策略允许所需网络使用路由表访问更具体的应用。在应用程序策略中,您可以包括在上一步中创建的远程网络。在应用策略中使用该网络,以允许从 Secure Edge Connector 进行入站访问。要创建应用策略,请在 Juniper Mist 云门户中,转到“组织 > WAN > 应用策略”。

    下图显示了在上一步中配置了流量转向的应用策略示例。

    图 6:为安全边缘连接器 Create Application Policies for Secure Edge Connectors创建应用程序策略

有关创建应用程序策略的说明,请参阅 配置 应用程序策略

支持站点到站点 VPN

您可以使用自定义隧道配置选项来设置站点到站点 VPN。

站点到站点 VPN 是一种安全的软件定义网络连接,可通过互联网链接两个或多个远程站点。这种类型的 VPN 对于希望安全高效连接分支机构、数据中心或其他远程位置的企业来说至关重要。

  1. 转到Juniper Mist门户,然后导航到 WAN 边缘模板级别、中心配置文件或站点级别的安全边缘连接器部分。

  2. 单击 “添加提供程序” ,然后选择 “自定义 ”选项。

  3. 输入隧道调配所需的详细信息,例如本地和远程网络帐户详细信息、IP 地址和预共享密钥

  4. 定义 IKEv2 和 IPsec 提议,包括加密和验证算法、Diffie-Hellman 组和生存期。您必须选择与隧道另一端的设备匹配的 IKE 和 IPsec 值。

  5. 为主隧道和辅助隧道分配 WAN 接口。

  6. 创建流量引导配置文件。此配置文件定义流量如何通过 VPN 隧道路由。然后,在应用程序策略中使用此配置文件,以将这些设置应用于特定类型的流量。

  7. 创建入站或出站应用程序策略。如果要允许来自远程网络的流量进入本地网络,则需要创建一个表示远程网络的网络。将此网络连接到自定义安全边缘连接器 (SEC) 提供商,并将其用作应用程序策略中的源。

验证

在门户Juniper Mist,当 WAN Edge Edge 隧道自动调配成功事件出现在 WAN Edge 事件下时,您可以在设备的 WAN 见解中验证已建立的隧道详细信息。

更新模板后,系统会将 IPsec 配置推送到 WAN 边缘设备。首次进行 IPSec 部署时,系统需要一些时间来下载软件和配置。

部署 IPSec 配置后,您可以导航到 WAN 边缘 > WAN Edge Name >安全边缘连接器详细信息来查看 IPsec 状态。

您可以导航至监控 WAN Edge >> Insights 来查看 BGP 邻接方 状态。

若要验证创建的基于 GRE 的 BGP 会话,可以使用 WAN Edge 测试工具:

  • WAN 边缘 > 公用事业 > 测试工具

    打开 BGP >摘要选项卡,或路由>显示路由