Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

为 Session Smart 路由器配置 WAN 边缘模板

利用 Juniper Mist™ WAN 保证 中的 WAN 边缘模板,您可以定义通用分支特征,包括 WAN 接口、流量引导规则和访问策略。然后,将这些配置应用到部署为 WAN 边缘设备的瞻博网络® Session Smart™ 路由器。将 WAN 边缘设备分配给站点时,设备会自动采用关联模板中的配置。通过此自动化流程,您可以在整个网络基础架构中管理和应用一致且标准化的配置,从而简化配置流程。

辐射设备可以有一个或多个模板。

在此任务中,您将在Juniper Mist™云门户中为分支设备创建和配置 WAN 边缘模板。

配置 WAN 边缘模板

要配置 WAN 边缘模板,请执行以下操作:

  1. 在 Juniper Mist 云门户中,单击组织> WAN > WAN 边缘模板。此时将显示现有模板的列表(如果有)。
  2. 单击右上角的“创建模板”按钮。
    注意:

    您还可以通过使用 导入配置文件 选项导入 JavaScript 对象标记 (JSON) 文件来创建 WAN 边缘模板。

  3. 在出现的框中,输入模板的名称,单击“类型”并选择“分支”,然后单击“创建”。
    图 1:选择模板类型 Select the Template Type
    注意:

    您还可以通过使用 导入配置文件 选项导入 JSON 文件来创建 WAN 边缘模板。

  4. 根据表 1 中提供的详细信息完成配置
    表 1:WAN 边缘配置文件选项
    字段 说明
    名字 配置文件名称。输入最多 64 个字符的唯一配置文件名称。
    类型 WAN 边缘配置文件类型。选择以下选项之一:
    • 独立设备 - 管理站点中的独立设备。

    • 分支 — 管理连接到配置中的中心设备的分支设备。

    NTP 网络时间协议 (NTP) 服务器的 IP 地址或主机名。NTP 用于同步交换机和互联网上其他硬件设备的时钟。
    适用于设备 用于关联 WAN 边缘模板的站点。下拉菜单显示已添加到当前站点清单中的 WAN 边缘设备列表。
    DNS 设置 域名系统 (DNS) 服务器的 IP 地址或主机名。网络设备使用 DNS 名称服务器将主机名解析为 IP 地址。
    安全边缘连接器 安全边缘连接器详细信息。Juniper Secure Edge 对由瞻博网络 Mist 云门户管理的 WAN 边缘设备执行流量检测。
    广域网 WAN 接口详细信息。此 WAN 接口与集线器上的 WAN 接口相对应。也就是说,Mist在集线器上的 WAN 接口到分支上的 WAN 接口之间创建一个 IPsec VPN 隧道。对于每个 WAN 链路,您可以定义物理接口、WAN 类型(以太网或 DSL)、IP 配置以及接口的叠加中心端点。请参阅 向模板添加 WAN 接口
    局域网 LAN 接口。连接 LAN 网段的 LAN 接口。您可以分配网络,创建 VLAN,并设置 IP 地址和 DHCP 选项(无、中继或服务器)。请参阅 添加 LAN 接口
    流量引导 转向路径。定义流量到达目的地的不同路径。对于任何流量控制策略,您都可以包括供流量遍历的路径以及利用这些路径的策略。请参阅 配置流量引导策略
    应用策略 用于实施流量规则的策略。定义网络(源)、应用(目标)、流量引导策略和策略操作。请参阅 配置应用策略
    路由 用于在中心和分支站点之间路由流量的路由选项。您可以启用边界网关协议 (BGP) 底层路由,动态学习路由,或使用静态路由手动定义路由。
    CLI 配置 对于模板 GUI 中没有可用的任何其他设置,您仍然可以使用 CLI 命令以集格式进行配置。
  5. 单击“保存”。

将 WAN 接口添加到模板

分支上的 WAN 接口与集线器上的 WAN 接口相对应。也就是说,Mist在集线器上的 WAN 接口到分支上的 WAN 接口之间创建一个 IPsec VPN 隧道。(请注意,Mist也可以通过连接的 WAN 边缘群集上的聚合接口自动执行载入,但必须先启用该接口,否则连接将失败。有关配置详细信息,请参阅表 2 中的启用 强制。

在此任务中,将两个 WAN 接口添加到 WAN 边缘模板。

要将 WAN 接口添加到模板,请执行以下操作:

  1. 向下滚动到 WAN 部分,然后单击添加 WAN,打开添加 WAN 配置窗格。
  2. 根据 表 2 中提供的详细信息完成配置。
    提示:在配置屏幕上工作时,请查找 VAR 指示器。带有此指示符的字段允许站点变量。

    当您开始在其中键入特定变量时,带有此标签的字段还会显示匹配的变量(如果已配置)。此字段列出组织内所有站点的变量。

    可以使用 GET /api/v1/orgs/:org_id/vars/search?var=* 查看组织范围的变量列表。当在站点设置下添加变量时,将填充此列表。

    表 2:WAN 接口配置选项
    字段 WAN 接口 1 WAN 接口 2
    名称 (一种标签,而非一种技术) INET MPLS 的比较
    WAN 类型 以太网 以太网
    接口 ge-0/0/0 ge-0/0/3
    VLAN ID - -
    启用 Force Up

    在通过链路聚合控制协议 (LACP) 接口载入 WAN 边缘设备之前,请选择此选项。启用后, Enable Force Up 会将群集中的第一个以太网接口强制对等方进入 up 状态,从而允许全自动部署 (ZTP) 过程检索完成载入所需的配置文件。

    IP 配置 DHCP 静态的
      • IP 地址={{WAN1_PFX}}.2

      • 前缀长度 = 24

      • 网关={{WAN1_PFX}}.1

    源 NAT 接口 接口
    叠加中心端点 (自动生成)。 hub1-INET、hub2-INET(BFD 配置文件宽带) hub1-MPLS 和 hub2-MPLS

    MTU

    输入介于 256 -9192 之间的 MTU 值。默认值为 1500。

    输入介于 256 -9192 之间的 MTU 值。默认值为 1500。

    图 2 显示了您创建的 WAN 接口列表。

    图 2:WAN 接口摘要 WAN Interfaces Summary

配置 LTE 接口

Juniper Mist SD-WAN 允许组织无缝集成 LTE 连接。LTE 连接为多路径路由提供了替代路径;既可以作为无法访问电路的位置的主路径,也可以在主电路发生故障时作为最后路径。

例如:在一家零售店中,为关键业务应用提供了主 MPLS 连接。Juniper Mist SD-WAN 可以添加 LTE 链路作为备份。如果 MPLS 链路遇到问题,Juniper Mist 会动态地将流量切换到 LTE 链路。这样可以确保持续的连接,并最大限度地减少中断。

在 Session Smart 路由器上,LTE 支持通过在 3G 和 4G 网络上运行的内置 LTE 模块提供。请参阅 LTE 和双 LTE 配置 ,了解如何在 Session Smart 路由器上设置 LTE。

要为 Juniper Mist SD-WAN 建立 LTE 链路,您需要在 Session Smart 路由器和SRX 系列防火墙上设置 LTE 接口,并将订阅者身份模块 (SIM) 插入 LTE 卡中。

要将 LTE 接口添加为 WAN 链路,请执行以下操作:

  1. 向下滚动到 WAN 部分,然后单击添加 WAN,打开添加 WAN 配置窗格。
  2. 输入接口配置的详细信息
    表 3: LTE 接口配置

    领域

    名字

    LTE 接口的名称

    描述

    接口说明。

    WAN 类型 LTE
    接口 LTE-0/0/0

    LTE APN

    输入网关路由器的接入点名称 (APN)。名称可以包含字母数字字符和特殊字符。(对于 Session Smart 路由器是必需的)。

    LTE 身份验证

    选择 APN 配置的身份验证方法:

    • PAP — 选择此选项可使用密码身份验证协议 (PAP) 作为身份验证方法。提供用户名和密码。

    • CHAP - 选择此选项可使用质询握手身份验证协议 (CHAP) 身份验证作为身份验证方法。提供用户名和密码。

    • 无(默认值)- 如果不想使用任何身份验证方法,请选择此选项。

    源 NAT

    选择源 NAT 选项:

    • 接口 — 使用源接口的 NAT。
    • 池 — 使用定义的 IP 地址池的 NAT。
    • 已禁用 - 禁用源 NAT
    流量整形

    选择 “已启用”“已禁用”。(Session Smart 路由器需要)

    自动协商

    选择 “已启用”“已禁用”

    MTU 输入介于 256 -9192 之间的 MTU 值。默认值为 1500。
  3. 点击保存

禁用 WAN 边缘端口

可能需要禁用 WAN 边缘端口的原因有很多。例如,在调试方案中,禁用端口然后再次启用它可以触发进程重置,这有助于解决问题。

您可能还希望在暂存连接时禁用端口,但尚未准备好将连接投入使用,或者如果已识别出恶意或有问题的设备,则可以禁用端口以快速禁用设备,直到可以删除或修复设备。

要禁用 WAN 边缘端口,请执行以下操作:

  1. 导航到“组织”>“WAN 边缘模板”
  2. 单击相应的 WAN 边缘模板。
  3. 向下滚动至 WAN 或 LAN 部分,然后单击相应的 WAN Edge。
  4. 在窗口的“接口”部分,选中“已禁用”复选框。这将在管理上禁用指定接口的 WAN 边缘设备端口。

  5. 单击窗口底部的“保存”以保存更改。
  6. 单击模板页面右上角的保存。

    此选项是接口配置的一部分。如果使用此选项禁用聚合以太网 (AE) 接口或冗余以太网 (reth) 接口,则将禁用所有成员链路

添加 LAN 接口

LAN 接口配置通过您在 LAN 配置中指定的网络名称来识别请求源。(请注意,Mist可以通过连接的 WAN 边缘群集上的聚合接口自动执行载入,但必须先启用该接口,否则连接将失败。有关详细信息,请参阅 启用强制向上

要添加 LAN 接口,请执行以下操作:

LAN 接口配置通过您在 LAN 配置中指定的网络名称来识别请求源。

要添加 LAN 接口,请执行以下操作:

  1. 向下滚动到 LAN 窗格,然后单击添加 LAN 以打开“添加 LAN 配置”面板。
    图 3:向模板 Add LAN Interfaces to the Template添加 LAN 接口
  2. 配置 LAN 接口。

    LAN 配置部分包括 IP 配置、DHCP 配置和自定义 VR 组件。LAN 配置部分允许您在不接触其他组件的情况下分别覆盖每个配置组件(如 IP 配置),从而实现了更大的灵活性。

    LAN 配置部分还提供了一个筛选器,以便您轻松搜索每个端口或网络的配置。

    • IP 配置

      • 网络 - 从下拉列表中选择可用网络。
      • IP 地址 — 接口的 IPv4 地址和前缀长度。
      • 前缀长度 — 接口的前缀长度。
      • 重定向网关 — Session Smart 路由器重定向网关的 IP 地址。
    • DHCP 配置 — 选择 “已启用” 选项以使用 DHCP 服务为 LAN 接口分配 IP 地址。

      • 网络 - 从可用网络列表中选择网络。
      • DHCP 类型 - 选择 DHCP 服务器或 DHCP 中继。如果选择DHCP服务器,请输入以下选项:
        • IP 开始 — 输入所需 IP 地址范围的起始 IP 地址。
        • IP 结束 — 输入结束 IP 地址。
        • 网关 — 输入网络网关的 IP 地址。
        • 最长租期 — 指定DHCP地址的最长租期。支持的 DHCP 租用持续时间从 3600 秒(1 小时)到 604800 秒(1 周)不等。

        • DNS 服务器 — 输入域名系统 (DNS) 服务器的 IP 地址。
        • 服务器选项 - 添加以下选项:
          • 代码 - 输入要配置服务器的 DHCP 选项代码。“类型”字段将使用关联的值填充。例如:如果选择“选项 15”(域名), 则“类型 ”字段将显示 FQDN。您必须输入与“类型”关联的 “值 ”。
        • 静态预留 - 如果要静态预留 DHCP 地址,请使用此选项。静态 DHCP IP 地址保留涉及将客户端 MAC 地址绑定到 DHCP 地址池中的静态 IP 地址。可以使用以下选项:

          • 名称 - 标识配置的名称。

          • MAC 地址 — 要在预留中使用的 MAC 地址。

          • IP 地址 - 要保留的 IP 地址。

    • 自定义 VR 配置。

      • 网络 - 从下拉列表中选择可用网络。
      • 名称 - 输入路由实例的名称。
  3. 根据 表 4 中提供的详细信息完成配置。
    提示:在配置屏幕上工作时,请查找 VAR 指示器。带有此指示符的字段允许站点变量。

    当您开始在其中键入特定变量时,带有此标签的字段还会显示匹配的变量(如果已配置)。此字段列出组织内所有站点的变量。

    可以使用 GET /api/v1/orgs/:org_id/vars/search?var=* 查看组织范围的变量列表。当在站点设置下添加变量时,将填充此列表。

    表 4:LAN 接口配置示例
    字段 LAN 接口  
    网络 SPOKE-LAN1(从显示的网络列表中选择。执行此操作时,将自动填充剩余配置。  
    接口 ge-0/0/3  
    IP地址 {{SPOKE_LAN1_PFX}}.1  
    前缀长度 24  
    启用 Force Up

    在加入通过链路聚合控制协议 (LACP) 连接到 LAN 端口的设备之前,请选择此选项。例如,如果要将新交换机加入 Mist 云,则交换机尚未针对 LACP 进行配置。设置 Enable Force Up 将强制 WAN 边缘设备上 LACP 的第一个以太网接口进入 up 状态,进而允许交换机使用 全自动部署 连接到 Mist 云 (ZTP),并在其中检索完成载入所需的配置文件。

    DHCP  

    图 4 显示了您创建的 LAN 接口列表。

    图 4:LAN 接口 Summary of LAN Interface汇总

配置流量引导策略

与中心配置文件类似,在Juniper Mist网络中,您可以利用流量转向来定义应用流量遍历网络的不同路径。您在流量转向中配置的路径也决定了目标区域。

要配置流量引导策略,请执行以下操作:

  1. 向下滚动到 Traffic Steering 部分,然后单击 Add Traffic Steering 以显示 Traffic Steering 配置窗格。
  2. 根据表 5 中提供的详细信息完成配置。
    表 5:流量引导策略摘要
    字段 流量引导策略 1 流量引导策略 2
    名字 分支-LAN 覆盖
    策略 命令 ECMP
    路径 (对于路径类型,可以选择之前创建的 LAN 和 WAN 网络作为端点。)
    • 类型—LAN
    • 网络 —SPOKE-LAN1
    • 类型 — WAN
    • 网络
      • hub1-INET
      • hub2-INET
      • hub1-MPLS
      • hub2-MPLS

    图 5 显示了您创建的流量转向策略列表。

    图 5:流量引导策略摘要 Traffic-Steering Policies Summary

配置应用策略

在Mist网络中,您可以在应用策略中定义哪些网络和用户可以访问哪些应用,以及根据哪种流量定向策略。 “网络/用户 ”设置确定源区域。 “应用程序 + 流量转向 ”设置确定目标区域。此外,还可以分配“允许”或“拒绝”操作。Mist按照您列出的顺序评估和应用应用程序策略。

考虑 图 6 中的流量要求。该图描绘了企业 VPN 设置的基本初始流量模型(未显示第三个分支设备和第二个中枢设备)。

图 6:流量和分布 Traffic Flow and Distribution

为了满足上述要求,您需要创建以下应用程序规则:

  • 策略 1 — 允许从辐射站点到中枢的流量。在这种情况下,地址组中使用的目标前缀表示两个集线器的 LAN 接口。

  • 策略 2 — 允许辐辐式流量通过叠加网络通过企业 LAN。

    注意:

    这在现实世界中可能并不可行,除非在使用托管 IP 的昂贵 MPLS 网络上。托管 IP 将流量直接发送到其他分支。此类流量通常流经中枢设备

  • 策略 3 — 允许从连接到中心的中心和 DMZ 到分支设备的流量。

  • 策略 4 — 允许 Internet 绑定流量从分支设备流向中枢设备。从那里,流量爆发到互联网。在这种情况下,中枢会将源 NAT 应用于流量,并将流量路由到中枢配置文件中定义的 WAN 接口。此规则是通用的,因此应将其放在特定规则之后。Juniper Mist云按照策略的列出顺序评估和应用应用策略。

注意:
  • 应用策略的顺序不会对 Session Smart 路由器配置产生任何影响。作为良好做法,建议将全局规则放在策略规则列表的末尾。

  • 对于 Session Smart 路由器来说,每个规则的流量引导都不是强制性的。当您使用 Session Smart 路由器时,系统会使用基于 iBGP 的路由分布通告每个 LAN 接口上的所有路由。

  • 对 Session Smart 路由器两端的网络使用相同的名称,以便流量在中心和分支之间遍历。Session Smart 路由器的网络名称必须与用于流量隔离的安全租户相同。因此,两端的网络名称必须匹配。

要创建应用程序策略,请执行以下操作:

  1. “应用程序策略”窗格下,单击“添加策略”按钮以在策略列表中添加新规则。
  2. 根据表 6 中提供的详细信息完成配置
    表 6:应用程序策略配置
    S.No 规则名称 网络 操作 目标 转向
    1 辐条到集线器-DMZ 分支-LAN1 通过 HUB1-LAN1 + HUB2-LAN1 覆盖
    2 通过集线器进行辐条到辐条 分支-LAN1 通过 分支-LAN1 覆盖
    3 Hub-DMZ 到分支 HUB1-LAN1 + HUB2-LAN1 通过 分支-LAN1 分支-LAN
    4 Internet-via-Hub-CBO 分支-LAN1 通过 任何 覆盖

    图 7 显示了您创建的应用程序策略列表。

    图 7:应用程序策略摘要 Application Policies Summary

为站点分配分支模板

该模板现在作为对象存在于Juniper Mist云中,可附加到一个或多个站点。

  • 您可以将同一模板应用于多个站点。

  • 如果已向网站分配了模板,则分配另一个模板将替换现有模板(换句话说,一个网站不能有两个模板)。

若要将分支模板分配给站点,请执行以下操作:

  1. 滚动到“WAN Edge 模板”页面顶部,然后单击“分支”面板下的“分配给站点”。
    图 8:将分支模板分配给站点 Assign Spoke Templates to Sites
  2. 在“将模板分配给站点”中,选择所需的站点。
    图 9:选择要分配分支模板的 Select Sites to Assign Spoke Templates站点
  3. 单击应用
    图 10:应用于站点 WAN Edge Templates Applied to Sites的 WAN Edge 模板

配置特定于设备的 WAN 边缘模板

按照设备上线流程,使用 WAN 边缘模板简化设备配置。这些 WAN 边缘模板可以自定义,以在所有边缘设备上进行独特的部署。瞻博网络 Mist AI 在行业中具有独特的优势,因为 Mist AI WAN 边缘模板可以应用于任何型号,不受供应商限制。此外,WAN 边缘模板可以在单个模板下混合搭配不同的型号,从而简化配置和部署阶段。

要为 Session Smart 路由器手动配置 WAN 边缘模板,请参阅 配置 WAN 边缘模板

特定于设备的 WAN 边缘模板

将精选的瞻博网络硬件与 Mist AI SD-WAN 搭配使用有显著优势。许多瞻博网络® Session Smart™ 路由器和瞻博网络® SRX 系列防火墙的配置都得到了简化,这些防火墙具有特定于设备的模板,可自动分配 WAN 和 LAN 接口并定义 LAN 网络进行连接。

这些模板对于每种设备型号都是唯一的。在选择设备并命名 WAN Edge 后,无需手动输入,用户指定的 WAN Edge 设备将预先填充这些值。

图 11:SSR120 WAN 边缘模板示例Figure 11: Sample of SSR120 WAN Edge Template Sample of SSR120 WAN Edge Template

例如,图 11 显示了 SSR120 WAN 边缘模板生成多个值,包括具有相关 DHCPIP的 LANWAN 的以太网接口:

  • 广格-0/0/0
  • WAN 2 GE-0/0/1
  • WAN 3 GE-0/0/2
  • 局域网 GE-0/03

此外,我们在 图 11 中看到,Juniper Mist门户填充了流量转向策略。这样Juniper Mist就能够通过我们的 WAN 连接将流量发送到具有四零catch-all 目标 的任何Mist应用

应用 WAN 边缘模板后,应用策略、网络和应用会自动收到更新,如 图 12图 13图 14 所示。

图 12:为 SSR120 应用 WAN 边缘模板后的应用策略 Application Policies After Applying WAN Edge Template for SSR120
图 13:为 SSR120 应用 WAN 边缘模板后的网络 Networks After Applying WAN Edge Template for SSR120
图 14:为 SSR120 应用 WAN 边缘模板后的应用 Applications After Applying WAN Edge Template for SSR120

Juniper Mist AI SD-WAN 包括以下设备型号,其中包含用于 Session Smart 路由器的预配置 WAN 边缘模板:

  • SSR120
  • SSR130
  • SSR1200
  • SSR1300
  • SSR1400
  • SSR1500

WAN 边缘设备特定模板可通过一步提供基本网络配置,并允许为您部署的 Session Smart 路由器和 SRX 系列防火墙设备进行可重用且一致的配置。该模板提供特定于设备的预配置 WAN 接口、LAN 接口、流量引导策略和应用策略。您所要做的就是命名模板并选择设备类型。

要选择特定于设备的 WAN 边缘模板,请执行以下操作:

  1. 在 Juniper Mist 门户中,选择 “WAN > > WAN 边缘模板”
  2. 选择右上角的“ 创建模板 ”,打开新模板页面。
  3. 输入模板的名称。
  4. 单击“ 从设备模型创建” 复选框。
  5. 从下拉框中选择您的设备型号。
    图 15:配置特定于设备的 WAN 边缘模板 Configure Device-Specific WAN Edge Template
  6. 单击 创建

Juniper Mist UI 将显示已完成的设备模板。您现在拥有了一个有效的 WAN 边缘模板,可将其应用于组织中的许多站点和设备。

分配给站点

设置模板后,您需要保存模板并将其分配给将部署 WAN 边缘设备的站点。

  1. 单击模板页面顶部的 “分配给站点 ”按钮。
  2. 从列表中选择要应用模板的网站。
  3. 单击 应用
  4. 最后,剩下的就是将设备与您的站点相关联: 载入 Session Smart 路由器以进行 WAN 配置