Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

为 Session Smart 路由器配置应用程序

按照以下步骤定义要在应用程序策略中使用的应用程序,这些应用程序允许或拒绝访问网络目标。

配置概述

您可以将Juniper Mist 中的应用 视为网络流量的 目的地 。示例包括网络服务、SaaS、专用子网和云工作负载。

定义应用程序是创建应用程序策略的先决条件。

您可以通过输入自己的自定义设置、选择品牌应用程序或分配 URL 类别来定义应用程序。

要配置应用程序,请执行以下作:

  1. 在左侧菜单中,单击组织”>“WAN>应用程序”
  2. 单击“应用程序”页面右上角的“添加应用程序”。
  3. 输入名称和描述。

    • 名称 - 输入应用程序的唯一名称。您最多可以使用 32 个字符来命名应用程序,包括字母数字、下划线和破折号。

    • 描述 - 输入应用程序和上下文的描述。

  4. 选择应用程序类型,然后输入相关设置,如下所述。

    • 自定义应用 - 您自己的应用程序。输入 IP 地址、域名和协议。有关详细信息,请参阅 自定义应用程序

    • 应用程序 - 命名的应用程序,如 Apple iCloud、Facebook、Google 地图等。从下拉列表中选择一个或多个应用程序。要快速查找应用程序,请单击加号并开始在“搜索”框中键入。

      预定义应用程序是内置的常用服务,Mist使用其库进行识别。这些应用按名称识别,包括常用的云服务、协作工具和生产力平台。Mist提供了已知应用(例如 Microsoft Teams、Zoom、Dropbox)的下拉列表。这些应用已映射到各自的域、端口和协议。选择它们时,不必定义 IP 或 URL。然后,根据这些应用分配策略以允许、阻止或引导流量。

    • URL Categories—Categories such as Conferencing, Images, Shopping, and so on. Select one or more categories and sub-categories from the drop-down list. See URL Categories.

    • 自定义 URL - URL 和/或通配符。请参阅自定义 URL。

  5. “高级设置”下,保留默认设置或选择其他选项。
    有关这些设置的帮助,请参阅 高级设置
  6. 单击设置面板底部的添加

自定义应用程序

选择“自定义应用”作为应用程序类型时,将按 IP 地址范围、域名和协议定义流量目标。此方法适用于网络中使用的内部服务、特定 IP 范围和独特协议。

表 1:自定义设置
字段 说明
IP地址 输入网络 IP 地址,包括应用程序的前缀(如果有)。您可以输入多个目标 IP 地址或域名,用逗号分隔。
域名 输入应用程序的域名,例如 juniper.example.com。该域名在云分支配置文件中用于生成完全限定的域名 (FQDN)。云安全提供商使用 FQDN 来识别 IPsec 隧道。
协议、端口号和端口范围 选择协议并指定应用程序正在使用的端口范围(开始和结束端口)。

如果选择“自定义(仅限 SRX)”作为协议,请同时输入 1-254 之间的协议号。

注意:

如果您需要为此应用程序添加更多协议,请单击协议部分右上角的 + 按钮。

请考虑使用变量来表示值。如果您在字段标题旁边看到 VAR 标签,则可以在该字段中输入变量以匹配目标,而无需输入特定值。

最好使用不太具体的地址创建应用程序。例如,您可能有一个前缀为 10.0.0.0/8 的数据中心。此前缀中可以包含更具体的地址,以便选择更具体的路径。

下表提供了示例。

表 2:自定义应用程序示例
自定义应用 IP 地址 说明
任何 0.0.0.0/0

使用此地址可匹配所有或任意 IPv4 地址目标。IP 地址 0.0.0.0 也用作占位符地址。
分支-LAN1 10.0.0.0/8 企业 VPN 内所有 IP 地址的匹配标准。
HUB1-LAN1 10.66.66.0/24

Hub1 设备的 LAN 接口上连接的所有 IP 地址的匹配标准。

HUB2-LAN1 10.55.55.0/24

Hub2 设备的 LAN 接口上连接的所有 IP 地址的匹配标准。

URL 类别

应用表示用户尝试访问的端点,可以是 IP、域名或 URL。URL 模式有助于更灵活地定义这些目标。Juniper Mist云提供了基于类型(例如:购物、体育)并按严重性(全部、标准、严格)分组的 URL 类别列表。您可以使用 URL 类别来定义应用程序。其他子类别为应用程序创建提供了更精细的筛选。您可以为应用程序选择一个或多个 URL 类别。

例如:您可以创建一个应用程序并将其命名为“社交媒体”,然后选择“社交网络”或“即时消息”的 URL 类别。然后,您可以创建策略以在工作时间内阻止或限制访问。

添加应用程序时,可以使用 URL 类别类型按娱乐、购物和体育等类别定义目标。

注意:此选项需要 IDP/URL 过滤许可证。它与某些设备打包在一起,可以以安全捆绑包的形式购买。

例如,创建一个名为“社交媒体”的应用程序,然后选择“社交网络”和“即时消息”的 URL 类别。稍后,在“应用程序策略”页上,创建策略以在工作时间内阻止或限制对这些 URL 的访问。

图 1:URL 类别示例 Example showing URL Categories as the type and selected categories of Arts and Entertainment, Games, and Blogs
注意:

对于 Session Smart 路由器,我们建议仅在分支设备上配置具有 URL 类别的应用程序,而不是在中枢设备上配置应用程序。

自定义 URL

定义应用程序时,您可以为预定义应用程序未涵盖的服务输入自定义 URL。

您可以输入:

  • 确切的域名。 example.com

  • 使用星号的通配符域。例: *.example.com

    使用此方法,可以将相关服务分组到一个应用程序下。例如, *.google.com 包括 Gmail、云端硬盘、Meet 和其他 Google 网站。

  • 使用逗号分隔符指定多个 URL。

  • 您最多可以为应用程序指定 15 个 URL 模式。

  • *仅支持通配符。

  • 您可以通过将鼠标悬停在工具提示图标上来查看支持的模式。请注意,只能对 SRX 系列设备使用该 https://abc.com 模式。

    图 2:自定义 URL Custom URLs

高级设置

“高级设置”下,指定 流量类型。对于常规流量保留 默认 值,选择预设流量类型,或选择 自定义

  • 如果选择预设流量类型,你将看到故障转移(仅限 SSR)、延迟、抖动和丢失等设置值。

    注意:

    对于“应用和 URL 类别”,只有在选中“ 覆盖设置” 复选框后才能选择特定的流量类型。

  • 如果选择 “自定义 ”作为流量类型,请同时选择 “流量类”,然后按照下表所述调整预设值。

表 3:高级设置
字段 说明
故障转移策略(仅限 SSR) 仅适用于 SSR
  • 可恢复 — 当主链路恢复时,流量会自动切换回主链路。
  • 不可恢复 — 需要手动干预才能恢复到主链路。当流量因主链路故障而切换到辅助链路时,它不会自动恢复到主链路。
  • None - 禁用会话故障切换。如果设备上的主链路不符合服务级别协议 (SLA),则现有会话将保留在主链路上,而新会话将重定向到辅助链路。当主链路恢复并满足 SLA 时,辅助链路上的现有会话将继续,任何新会话都将在主链路上启动。即使整个链路断开,此行为也保持一致。
信息流类
  • 尽力而为——无特殊处理,适用于非关键数据。
  • 中等 - 优先于尽力而为,用于对延迟不敏感的应用。
  • 高 - 具有低延迟要求的关键应用。
  • 低 - 背景或非紧急流量
DSCP 类(仅限 SSR) 仅适用于通过 SSR 的流量

选择流量类(尽力而为、高、中或低)时,适用的默认 DSCP 类值将显示为帮助文本。您可以选择覆盖它。通过配置 DSCP 类,您可以将特定流量类型映射到适当的 QoS 级别。范围:0-63
最大延迟

设置最大延迟阈值可确保 SD-WAN 避免出现延迟过高的链路。范围:0-4294967295(毫秒)
最大抖动

通过指定最大抖动阈值,SD-WAN 可以选择稳定的链路来维持可预测的性能。范围:0-4294967295(毫秒)
最大损耗

配置此阈值有助于 SD-WAN 避免数据包丢失率高的链路。范围:0-100