为 Session Smart 路由器配置 WAN 边缘模板
利用 Juniper Mist™ WAN 保证 中的 WAN 边缘模板,您可以定义通用分支特征,包括 WAN 接口、流量引导规则和访问策略。然后,将这些配置应用到部署为 WAN 边缘设备的瞻博网络® Session Smart™ 路由器。将 WAN 边缘设备分配给站点时,设备会自动采用关联模板中的配置。通过此自动化流程,您可以在整个网络基础架构中管理和应用一致且标准化的配置,从而简化配置流程。
辐射设备可以有一个或多个模板。
在此任务中,您将在Juniper Mist™云门户中为分支设备创建和配置 WAN 边缘模板。
配置 WAN 边缘模板
要配置 WAN 边缘模板,请执行以下操作:
将 WAN 接口添加到模板
在此任务中,将两个 WAN 接口添加到 WAN 边缘模板。
要将 WAN 接口添加到模板,请执行以下操作:
配置 LTE 接口
Juniper Mist SD-WAN 允许组织无缝集成 LTE 连接。LTE 连接为多路径路由提供了替代路径;既可以作为无法访问电路的位置的主路径,也可以在主电路发生故障时作为最后路径。
例如:在一家零售店中,为关键业务应用提供了主 MPLS 连接。Juniper Mist SD-WAN 可以添加 LTE 链路作为备份。如果 MPLS 链路遇到问题,Juniper Mist 会动态地将流量切换到 LTE 链路。这样可以确保持续的连接,并最大限度地减少中断。
在 Session Smart 路由器上,LTE 支持通过在 3G 和 4G 网络上运行的内置 LTE 模块提供。请参阅 LTE 和双 LTE 配置 ,了解如何在 Session Smart 路由器上设置 LTE。
要为 Juniper Mist SD-WAN 建立 LTE 链路,您需要在 Session Smart 路由器和SRX 系列防火墙上设置 LTE 接口,并将订阅者身份模块 (SIM) 插入 LTE 卡中。
要将 LTE 接口添加为 WAN 链路,请执行以下操作:
禁用 WAN 边缘端口
可能需要禁用 WAN 边缘端口的原因有很多。例如,在调试方案中,禁用端口然后再次启用它可以触发进程重置,这有助于解决问题。
您可能还希望在暂存连接时禁用端口,但尚未准备好将连接投入使用,或者如果已识别出恶意或有问题的设备,则可以禁用端口以快速禁用设备,直到可以删除或修复设备。
要禁用 WAN 边缘端口,请执行以下操作:
添加 LAN 接口
LAN 接口配置通过您在 LAN 配置中指定的网络名称来识别请求源。(请注意,Mist可以通过连接的 WAN 边缘群集上的聚合接口自动执行载入,但必须先启用该接口,否则连接将失败。有关详细信息,请参阅 启用强制向上 。
要添加 LAN 接口,请执行以下操作:
LAN 接口配置通过您在 LAN 配置中指定的网络名称来识别请求源。
要添加 LAN 接口,请执行以下操作:
配置流量引导策略
与中心配置文件类似,在Juniper Mist网络中,您可以利用流量转向来定义应用流量遍历网络的不同路径。您在流量转向中配置的路径也决定了目标区域。
要配置流量引导策略,请执行以下操作:
配置应用策略
在Mist网络中,您可以在应用策略中定义哪些网络和用户可以访问哪些应用,以及根据哪种流量定向策略。 “网络/用户 ”设置确定源区域。 “应用程序 + 流量转向 ”设置确定目标区域。此外,还可以分配“允许”或“拒绝”操作。Mist按照您列出的顺序评估和应用应用程序策略。
考虑 图 6 中的流量要求。该图描绘了企业 VPN 设置的基本初始流量模型(未显示第三个分支设备和第二个中枢设备)。
为了满足上述要求,您需要创建以下应用程序规则:
-
策略 1 — 允许从辐射站点到中枢的流量。在这种情况下,地址组中使用的目标前缀表示两个集线器的 LAN 接口。
-
策略 2 — 允许辐辐式流量通过叠加网络通过企业 LAN。
注意:这在现实世界中可能并不可行,除非在使用托管 IP 的昂贵 MPLS 网络上。托管 IP 将流量直接发送到其他分支。此类流量通常流经中枢设备
-
策略 3 — 允许从连接到中心的中心和 DMZ 到分支设备的流量。
-
策略 4 — 允许 Internet 绑定流量从分支设备流向中枢设备。从那里,流量爆发到互联网。在这种情况下,中枢会将源 NAT 应用于流量,并将流量路由到中枢配置文件中定义的 WAN 接口。此规则是通用的,因此应将其放在特定规则之后。Juniper Mist云按照策略的列出顺序评估和应用应用策略。
-
应用策略的顺序不会对 Session Smart 路由器配置产生任何影响。作为良好做法,建议将全局规则放在策略规则列表的末尾。
-
对于 Session Smart 路由器来说,每个规则的流量引导都不是强制性的。当您使用 Session Smart 路由器时,系统会使用基于 iBGP 的路由分布通告每个 LAN 接口上的所有路由。
-
对 Session Smart 路由器两端的网络使用相同的名称,以便流量在中心和分支之间遍历。Session Smart 路由器的网络名称必须与用于流量隔离的安全租户相同。因此,两端的网络名称必须匹配。
要创建应用程序策略,请执行以下操作:
为站点分配分支模板
该模板现在作为对象存在于Juniper Mist云中,可附加到一个或多个站点。
-
您可以将同一模板应用于多个站点。
-
如果已向网站分配了模板,则分配另一个模板将替换现有模板(换句话说,一个网站不能有两个模板)。
若要将分支模板分配给站点,请执行以下操作:
配置特定于设备的 WAN 边缘模板
按照设备上线流程,使用 WAN 边缘模板简化设备配置。这些 WAN 边缘模板可以自定义,以在所有边缘设备上进行独特的部署。瞻博网络 Mist AI 在行业中具有独特的优势,因为 Mist AI WAN 边缘模板可以应用于任何型号,不受供应商限制。此外,WAN 边缘模板可以在单个模板下混合搭配不同的型号,从而简化配置和部署阶段。
要为 Session Smart 路由器手动配置 WAN 边缘模板,请参阅 配置 WAN 边缘模板。
特定于设备的 WAN 边缘模板
将精选的瞻博网络硬件与 Mist AI SD-WAN 搭配使用有显著优势。许多瞻博网络® Session Smart™ 路由器和瞻博网络® SRX 系列防火墙的配置都得到了简化,这些防火墙具有特定于设备的模板,可自动分配 WAN 和 LAN 接口并定义 LAN 网络进行连接。
这些模板对于每种设备型号都是唯一的。在选择设备并命名 WAN Edge 后,无需手动输入,用户指定的 WAN Edge 设备将预先填充这些值。
例如,图 11 显示了 SSR120 WAN 边缘模板生成多个值,包括具有相关 DHCP 和 IP 值的 LAN 和 WAN 的以太网接口:
- 广格-0/0/0
- WAN 2 GE-0/0/1
- WAN 3 GE-0/0/2
- 局域网 GE-0/03
此外,我们在 图 11 中看到,Juniper Mist门户填充了流量转向策略。这样Juniper Mist就能够通过我们的 WAN 连接将流量发送到具有四零catch-all 目标 的任何Mist应用 。
应用 WAN 边缘模板后,应用策略、网络和应用会自动收到更新,如 图 12、 图 13 和 图 14 所示。
Juniper Mist AI SD-WAN 包括以下设备型号,其中包含用于 Session Smart 路由器的预配置 WAN 边缘模板:
- SSR120
- SSR130
- SSR1200
- SSR1300
- SSR1400
- SSR1500
WAN 边缘设备特定模板可通过一步提供基本网络配置,并允许为您部署的 Session Smart 路由器和 SRX 系列防火墙设备进行可重用且一致的配置。该模板提供特定于设备的预配置 WAN 接口、LAN 接口、流量引导策略和应用策略。您所要做的就是命名模板并选择设备类型。
要选择特定于设备的 WAN 边缘模板,请执行以下操作:
- 在 Juniper Mist 门户中,选择 “WAN > > WAN 边缘模板”。
- 选择右上角的“ 创建模板 ”,打开新模板页面。
- 输入模板的名称。
- 单击“ 从设备模型创建” 复选框。
- 从下拉框中选择您的设备型号。
图 15:配置特定于设备的 WAN 边缘模板
- 单击 创建。
Juniper Mist UI 将显示已完成的设备模板。您现在拥有了一个有效的 WAN 边缘模板,可将其应用于组织中的许多站点和设备。
分配给站点
设置模板后,您需要保存模板并将其分配给将部署 WAN 边缘设备的站点。
- 单击模板页面顶部的 “分配给站点 ”按钮。
- 从列表中选择要应用模板的网站。
- 单击 应用。
- 最后,剩下的就是将设备与您的站点相关联: 载入 Session Smart 路由器以进行 WAN 配置