本页内容

配置 Hub 配置文件
将 WAN 接口添加到集线器配置文件
在 Hub 配置文件中配置 LAN
配置流量引导策略
配置应用策略
通过克隆现有中心配置文件创建第二个中心
中心到中心叠加

为 Session Smart 路由器配置中心配置文件

按照以下步骤为每个中心设备设置中心配置文件。

Juniper Mist™云拓扑中的每个中心设备都必须有自己的配置文件。中心配置文件是在瞻博网络 WAN 保证中创建叠加层并为该叠加层上的每个 WAN 链路分配路径的便捷方式。

中心配置文件与 WAN 边缘模板之间的区别在于，您需要将中心配置文件应用于中心站点上的单个设备。此外，WAN 边缘模板绑定到具有多个设备的分支站点，并在多个站点之间绑定使用同一模板。每个中心 WAN 接口都会为分支创建一个叠加端点。分支 WAN 接口映射相应的中心 WAN 接口，从而定义拓扑。中心配置文件推动了叠加层路径的添加和删除。

为瞻博网络® Session Smart™ 路由器创建中心配置文件时，Mist云会自动生成并安装 SSL 证书。它还会设置 WAN 上行链路探测以进行故障切换检测。

在此任务中，您将创建一个中心配置文件，然后克隆该配置文件，以在Juniper Mist云门户中创建第二个中心配置文件。

配置 Hub 配置文件

集线器配置文件包含与特定集线器设备关联的一组属性。中心配置文件包括名称、LAN、WAN、流量引导、应用策略和路由选项。您可以将中心配置文件分配给中心设备，在中心配置文件加载到站点后，分配给站点的设备将选取该中心配置文件的属性。

要配置中心配置文件，请执行以下作：

在Juniper Mist云门户中，单击“组织”>“WAN > 中心配置文件”。
此时将显示现有配置文件的列表（如果有）。
单击右上角的创建个人资料。

注意：
您还可以通过使用 “导入配置文件 ”选项导入 JavaScript 对象表示法（JSON 文件）来创建中心配置文件。

输入配置文件的名称，然后单击创建。

表1 总结了您可以在中心配置文件中设置的选项。

表 1：集线器配置文件选项
字段	说明
名字	配置文件名称。输入配置文件的唯一名称。名称必须为 2-32 个字符，并且只能包含字母数字字符和下划线。示例：hub1。
NTP	网络时间协议（NTP）服务器的 IP 地址或主机名。NTP 允许网络设备将其时钟与互联网上的中央源时钟同步。
适用于设备	用于关联中心配置文件的站点。下拉菜单显示当前站点清单中可用的 WAN 边缘设备列表。
Hub 组	通过指定中心组标识符（数字）来配置中心组。此标识符必须是 2-128 范围内的整数。集线器组用于对集线器设备进行逻辑分组。中心组可帮助您横向扩展中心架构。通过将一组设备分配给中心组，分支可以形成到组内中心端点的叠加路径。每个中心组限制为 31 个中心端点。
DNS 设置	域名系统（DNS）服务器的 IP 地址列表，以逗号分隔。网络设备使用 DNS 名称服务器将主机名解析为 IP 地址。
安全边缘连接器	安全边缘连接器详细信息。Secure Edge 对由瞻博网络 Mist 云门户管理的 WAN 边缘设备执行流量检测。
广域网	WAN 接口详细信息。中心配置文件使用这些详细信息为分支创建叠加端点。对于每个 WAN 链路，您可以定义物理接口、WAN 类型（以太网或 DSL）、IP 配置以及接口的叠加中心端点。请参阅将 WAN 接口添加到 Hub 配置文件。
局域网	LAN 接口详细信息。将中枢连接到 LAN 分段的 LAN 接口的中心侧。您可以分配网络，创建 VLAN，设置 IP 地址和 DHCP 选项（无、中继或服务器）。请参阅在 Hub 配置文件中配置 LAN。
流量引导	转向路径。定义流量到达目的地的不同路径。对于任何流量控制策略，您都可以包括供流量遍历的路径以及利用这些路径的策略。请参阅配置流量引导策略。
应用策略	用于实施流量规则的策略。定义网络（源）、应用（目标）、流量引导策略和策略作。请参阅配置应用策略。
路由	用于在中心和分支站点之间路由流量的路由选项。您可以启用边界网关协议（BGP）底层路由，其中路由是动态学习的，或使用静态路由手动定义路由。
CLI 配置	CLI 配置命令。如果要配置模板 GUI 中不可用的设置，可以使用 CLI 命令以集格式进行配置。

点击保存。

将 WAN 接口添加到集线器配置文件

为中心配置文件创建 WAN 接口。WAN 接口成为跨 SD-WAN 的连接。中心配置文件会自动为每个 WAN 接口创建一个叠加端点。请注意，您可以在叠加中心端点（Hub Endpoints）中告知分支（分支）中心端点。

要将 WAN 接口添加到中心配置文件，请执行以下作：

中心到分支型流量引导

借助轮毂配置文件，您可以控制

向下滚动到 WAN 部分，然后单击添加 WAN，打开添加 WAN 配置窗格。

根据表 2 中提供的详细信息完成配置。

表 2：WAN 接口配置
字段	WAN 接口 1	WAN 接口 2
名称（一种标签，而非一种技术）	INET	MPLS 的比较
叠加中心端点（自动生成）另请参阅使用流量引导配置从中心到分支的路径选择	hub1-INET	hub1-MPLS
WAN 类型	以太网	以太网
接口	ge-0/0/0	ge-0/0/1
VLAN ID	-	-
IP地址	{{WAN0_PFX}}.254	{{WAN1_PFX}}.254
前缀长度	24	24
网关	{{WAN0_PFX}}.1	{{WAN1_PFX}}.1
源 NAT	检查接口。	检查接口。
公共 IP 的覆盖	检查公共 IP 的覆盖提供公共 IP={{WAN0_PUBIP} }	检查公共 IP 的覆盖提供公共 IP={{WAN1_PUBIP} }
公共 IP	{{WAN0_PUBIP}}	{{WAN1_PUBIP}}

注意：

使用网络地址转换（NAT）并播发公共 IP 地址，除非 WAN 地址是可公开路由的地址。

点击保存。

图 1 显示了您创建的 WAN 接口列表。

显示您创建的 WAN 接口列表。

图 1：配置的 WAN 接口

在 Hub 配置文件中配置 LAN

LAN 接口的集线器侧将集线器设备连接到 LAN 网段。

在 Hub 配置文件页面的 LAN 部分，您可以配置 IP 地址、DHCP、自定义 VR 和 LAN 接口等设置。中心配置文件中的 LAN 配置设置与 WAN Edge 模板中的设置相同。配置 LAN 中列出的步骤也适用于在中心配置文件中配置 LAN。

有关 LAN 接口示例配置值，请参阅表 3。

表 3：LAN 接口配置
字段	LAN 接口
网络	HUB1-LAN1（从下拉列表中选择现有网络）
接口	ge-0/0/4
IP地址	{{HUB1_LAN1_PFX}}.1
前缀长度	24
未标记的 VLAN	不
DHCP	不

配置流量引导策略

流量转向是指您定义应用流量遍历网络的不同路径。您在流量转向中配置的路径将确定目标区域。对于任何流量控制策略，都需要定义流量要遍历的路径以及利用这些路径的策略。策略包括：

有序 - 从指定路径开始，并在需要时故障转移到备份路径
加权 — 选择成本最低的路径，在成本相等的情况下，对流量进行负载均衡
等价多路径 — 跨多条路径均衡流量负载

将中心配置文件应用于设备时，流量引导策略将确定叠加、WAN 和 LAN 接口、策略顺序以及等价多路径（ECMP）的使用。该策略还决定了接口或接口组合如何交互以引导流量。

要配置流量引导策略，请执行以下作：

向下滚动到 Traffic Steering 部分，然后单击 Add Traffic Steering 以显示 Traffic Steering 配置窗格。

根据表 4 中提供的详细信息，配置三个流量引导策略：一个用于叠加，一个用于底层，一个用于中央分支。

表 4：流量引导策略配置
字段	流量转向策略 1	流量转向策略 2	流量转向策略 3
名字	集线器-LAN	覆盖	中央分组讨论
策略	命令	ECMP	命令
路径对于路径类型，可以选择已创建的 LAN 和 WAN 网络作为端点。	类型—LAN 网络 — HUB1-LAN1	类型 - WAN 网络 — hub1-INET 和 hub1-MPLS	类型 - WAN 网络 - WAN：INET 和 WAN：MPLS

注意：

应用策略的顺序不会对 Session Smart 路由器配置产生任何影响。作为良好做法，建议将全局规则放在策略规则列表的末尾。
Session Smart 路由器不需要在每个应用规则上关联流量转向策略。使用 Session Smart 路由器时，系统会使用基于 iBGP 的路由分布通告每个 LAN 接口上的所有路由。
对于 Session Smart 路由器部署，要使流量在中心辐射型之间遍历，您必须对两端的网络使用相同的名称。Session Smart 路由器的网络名称与用于流量隔离的安全租户相同。因此，名称必须在两边匹配。

图 2 显示了您创建的流量定向策略列表。

图 2：流量引导策略 Traffic Steering Policies

配置应用策略

应用策略是指您定义哪些网络和用户可以访问哪些应用，以及根据哪种流量定向策略进行访问。“网络/用户”中的设置决定了源区域。“应用程序”和“流量引导路径”设置确定目标区域。此外，您还可以分配一个策略作 - 允许或拒绝以允许或阻止流量。Mist按照您在门户中列出的顺序评估和应用应用程序策略。您可以使用向上箭头和向下箭头来更改策略的顺序。

图 3 显示了此任务中的不同流量方向要求（图像中未显示第三个分支设备和第二个中枢设备）。

图 3：流量方向拓扑 Traffic Direction Topology

在此任务中，您将创建以下应用程序规则以允许流量：

规则 1 — 允许来自分支站点的流量到达中枢（以及连接到中枢设备的 DMZ 中的服务器）。
规则 2 — 允许来自连接到集线器的 DMZ 中的服务器的流量到达分支设备。
规则 3 — 允许来自分支设备的流量通过中枢设备到达分支设备发夹
规则 4 — 允许从中枢设备到 Internet 的 Internet 绑定流量（本地分支）。在此规则中，将目标定义为 IP 地址为 0.0.0.0/0 的“任何”。流量使用应用了 SNAT 的 WAN 底层接口到达互联网上的 IP 地址，作为本地分支。

注意：
避免创建具有相同目标名称和 IP 地址 0.0.0.0/0 的规则。如果需要，可以使用 IP 地址 0.0.0.0/0 创建具有不同名称的目标。
直接从辐射设备到 Internet（不通过中枢设备）。在此规则中，将目标定义为 IP 地址为 0.0.0.0/0 的“任何”。流量使用应用了 SNAT 的 WAN 底层接口到达互联网上的 IP 地址，作为本地分支。此方法在集线器上为所有分支设备实现中央分支。

要配置应用程序策略，请执行以下作：

向下滚动到“应用程序策略”部分，单击“添加策略”以在策略列表中创建新规则。
单击“名称”列并为策略命名，然后单击蓝色复选标记以应用更改。

图 4：添加新的应用程序策略

根据表5中提供的详细信息创建应用规则。

表 5：应用程序策略规则配置
S.No。	规则名称	网络	作	目标	转向
1	辐条到集线器-DMZ	分支-LAN1	通过	HUB1-LAN1	那
2	中心 DMZ 到分支	HUB1-LAN1	通过	分支-LAN1	那
3	Spoke-to-Spoke-on-Hub-Hairpin	分支-LAN1	通过	分支-LAN1	那
4	集线器 DMZ 到互联网	HUB1-LAN1	通过	任何杠杆收购	杠杆收购
5	spokes-traffic-cbo-on-hub	都。分支-LAN1	通过	任何	杠杆收购

注意：

如果为 Session Smart 路由器配置应用策略，则不需要为每个应用策略关联流量转向。表 5 显示了在没有任何流量转向配置文件的情况下配置的应用策略。原因是 - 当您使用 Session Smart 路由器时，系统充当路由设备并通告每个 LAN 接口上的所有路由。当您构建中心辐射型 VPN 时，系统会使用基于 iBGP 的路由分配自动应用流量控制。

图 5 显示了您创建的应用程序策略的列表。

图 5：应用程序策略摘要 Application Policies Summary

在上图中，绿色计数器标记表示您为图 3 中的流量要求创建的策略。

通过克隆现有中心配置文件创建第二个中心

集线器设备在整个网络中都是唯一的。您必须为每个集线器设备创建单独的配置文件。Juniper Mist为您提供了一个选项，用于通过克隆现有配置文件并在需要时应用修改来创建中心配置文件。

要通过克隆现有中心配置文件来创建第二个中心配置文件，请执行以下作：

在Juniper Mist云门户中，单击“组织”>“WAN > 中心配置文件”。
此时将显示现有配置文件的列表（如果有）。
单击要克隆的中心配置文件（例如：hub1）。此时将打开选定中心配置文件的配置文件页面。
在屏幕右上角，单击“更多”，然后选择“克隆”。

图 6：使用克隆选项创建新的中心配置文件
将新配置文件命名为 hub2，然后单击克隆

如果在命名配置文件时看到任何错误，请刷新浏览器。
开始配置配置文件。由于在创建原始中心配置文件时使用了变量，因此无需从头开始配置所有选项。您只需更改所需的配置即可反映 HUB2 详细信息。例如，将 Network 更改为 HUB2-LAN1，并将 IP Address 更改为 {{HUB2_LAN1_PFX}}.1。

图 7：编辑克隆的配置文件
更改 LAN 接口以包括 HUB2。示例：HUB2-LAN1 和 {{HUB2_LAN1_PFX}}.1
确认配置中的变量已更改以反映 hub2 配置文件详细信息。示例：叠加定义已更改为 hub2-INET 和 hub2-MPLS。

图 8：更新的流量引导策略
向下滚动到 TRAFFIC STEERING 窗格并编辑条目以更改 LAN 的路径：HUB2-LAN1。

图 9：更新流量转向策略中的路径

根据表6中提供的详细信息更新应用程序规则。例如，在适用的情况下，将 HUB1-LAN 更改为 HUB2-LAN。

表 6：应用程序规则配置
S.No。	规则名称	网络	作	目标	转向
1	辐条到集线器-DMZ	分支-LAN1	通过	HUB2-LAN1	不适用
1	中心 DMZ 到分支	HUB2-LAN1	通过	分支-LAN1	不适用
3	Spoke-to-Spoke-on-Hub-Hairpin	分支-LAN1	通过	分支-LAN1	不适用
4	集线器 DMZ 到互联网	HUB2-LAN1	通过	任何杠杆收购	杠杆收购
5	spokes-traffic-cbo-on-hub	分支-LAN1	通过	任何	杠杆收购

图 10 显示了保存更改后更新的应用程序策略的详细信息。

图 10：更新的应用程序策略摘要 Updated Application Policy Summary

中心到中心叠加

Hub-to-Hub 叠加功能允许您在两个 Hub 设备之间形成对等路径。您可以将中心到中心叠加路径用作源自站点的数据中心流量的首选路由。此外，在涉及中心到分支连接的场景中，这些中心到中心叠加网络可用作故障转移路径。

配置 Hub-to-Hub 叠加
验证

配置 Hub-to-Hub 叠加

要创建 Hub-to-Hub 叠加，一个中枢的 WAN 接口将映射到另一个中枢的 WAN 接口，从而形成叠加并指定流量路径。

注意：

Hub-to-Hub 叠加可在两个中枢设备上利用不同的 WAN 接口。在两个集线器上的相同 WAN 接口之间形成叠加并非强制性要求。

假设您有两个集线器（集线器设备 A 和集线器设备 B），并且您希望在它们之间建立叠加。

集线器设备 A 配备了两个 WAN 接口：WAN-1-A 和 WAN-2-A。您必须将这些 WAN 接口与集线器设备 B 的 WAN 接口（即 WAN-1-B 和 WAN-2-B）配对，并将其标记为集线器端点。

同样，对于集线器设备 B：

它具有两个 WAN 接口：WAN-1-B 和 WAN-2-B。这些接口应链接到集线器设备 A 的 WAN 接口（WAN-1-A 和 WAN-2-A），以完成作为集线器端点的设置。

使用以下步骤创建中心终结点：

在门户Juniper Mist，选择 WAN Edge，然后单击中心设备。确保您选择的中心设备必须是中心拓扑的一部分。
图 11：集线器拓扑中的集线器设备
在 “WAN 边缘> Device-Name ”页面上，转到“属性”部分，然后向下滚动到“中心配置文件”。
单击“Hub 配置文件”链接以打开“ Hub 配置文件” 页面。
向下滚动到 WAN 部分，然后单击要用于叠加的 WAN 接口。
在 “编辑 WAN 配置 ”窗口中，向下滚动到 “Hub-to-Hub 端点 ”，然后单击 “Add Hub-to-Hub Endpoints ”选项。
图 12：添加 Hub-to-Hub 端点
1. 从下拉菜单中选择中心端点（WAN 接口）。选择其他中枢设备的 WAN 接口以建立叠加连接。
  图 13：选择用于叠加的 WAN 接口
2. 点击保存。选定的中心端点将显示在 WAN 窗格的“中心到中心端点”列下。
选择另一个 WAN 接口，然后重复相同的过程以添加另一个端点。
现在，这两个端点都显示在 WAN 窗格的 Hub to Hub Endpoints 列下。
图 14：配置的第一个集线器设备的集线器到集线器端点
点击保存。

现在，让我们配置其他中枢设备的 WAN 接口，以中枢端点完成设置。

在门户Juniper Mist，选择 WAN Edge，然后单击中心设备。这是您之前选择用于建立叠加网络的 WAN 接口的中枢设备。
在 “WAN 边缘> Device-Name ”页面上，转到“属性”部分，然后向下滚动到“中心配置文件”。
单击“Hub 配置文件”链接以打开“ Hub 配置文件” 页面。
向下滚动到 WAN 部分，然后单击要用于叠加的 WAN 接口。
在 “编辑 WAN 配置 ”窗口中，向下滚动到 “Hub-to-Hub 端点 ”，然后单击 “Add Hub-to-Hub Endpoints ”选项。
1. 从下拉菜单中选择中心端点。选择在上一过程中配置的同一中枢设备的 WAN 接口
2. 点击保存。选定的中心端点将显示在 WAN 窗格的“中心到中心端点”列下。
选择另一个 WAN 接口，然后重复相同的过程以添加另一个端点。
现在，这两个端点都显示在 WAN 窗格的 Hub yo Hub 端点列下。
图 15：第二个集线器设备的已配置集线器到集线器端点
点击保存。

验证

在Juniper Mist门户上，可以通过检查 WAN 边缘设备的拓扑来验证已建立的中心到中心叠加：

在 WAN Edge 页面上，拓扑列显示 Hub/Mesh。

图 16：显示为集线器/网格的 Topology Displaying as Hub/Mesh

拓扑

转到设备的 WAN 边缘页面，然后查看拓扑详细信息部分。门户会显示对等方详细信息以及连接状态。

图 17：Hub-to-Hub 叠加拓扑详细信息 Hub-to-Hub Overlay Topology Details