Bausteine von Contrail Service Orchestration

Administratoren

CSO verwendet ein hierarchisches, domänenbasiertes Administrationsframework. Nach der CSO-Installation wird der erste Administrator standardmäßig cspadmin genannt. Dieser Administrator wird auch als Administrator des globalen Dienstanbieters (SP) bezeichnet. Dieser SP-Administrator verfügt über vollen Lese- und Schreibzugriff auf die gesamte CSO-Plattform aus der globalen Domäne. In CSOaaS ist die Rolle cspadmin Juniper Networks vorbehalten. Der SP-Administrator kann andere Administratoren und Operatoren erstellen, bearbeiten und löschen, die rollenbasierten Zugriffssteuerungen (RBAC) unterliegen, die ihnen Berechtigungen für die verschiedenen Objekte in CSO zuweisen.

Die nächste Ebene des Administrators ist der Operator Company oder OpCo-Administrator. In CSOaaS ist der OpCo-Administrator die höchste Administratorebene, die Abonnenten von Managed Service Providern zur Verfügung steht. Der erste Administrator für ein bestimmtes OpCo wird vom SP-Administrator erstellt. Dieser Benutzer verfügt über vollständige Administratorrechte innerhalb einer OpCo-Domäne. In einer CSO-On-Premises-Installation kann ein OpCo als regionsspezifischer Service Provider innerhalb des globalen Service Providers betrachtet werden. Der OpCo-Administrator kann andere Administratoren und Operatoren innerhalb der OpCo-Domäne und ihrer Mandanten erstellen, kann jedoch keine Elemente der globalen Domäne oder der Domäne anderer OpCos beeinflussen. Nach erfolgreicher Anmeldung durch den OpCo-Administrator wird er in das Administrationsportal seines OpCo aufgenommen.

Die andere Ebene des Administrators ist der Mandantenadministrator. Dieser Administrator hat Vollzugriff auf alle Objekte innerhalb eines einzelnen Mandanten und kann weitere Administrator- und Operatorbenutzer innerhalb dieses Mandanten erstellen. Durch die Anmeldung des Mandantenadministrators wird er im Kundenportal für diesen Mandanten platziert.

Es gibt auch OpCo- und Mandantenbetreiber-Benutzer. Operator-Benutzer werden von Administratoren in ihrer jeweiligen Domäne erstellt. Standardmäßig haben Operatoren schreibgeschützten Zugriff auf die Elemente in ihrer Domäne.

Dies ist in Tabelle 1 zusammengefasst:

Tabelle 1: Zuordnung von Benutzern zu Portalen und Domänen
Benutzer	Portal	Zugang	Domäne
cspadmin	Verwaltung	Lesen/Schreiben	global
OpCo-Administrator	Verwaltung	Lesen/Schreiben	eigene OpCo-Domain
OpCo-Betreiber	Verwaltung	schreibgeschützt	eigene OpCo-Domain
Mandantenadministrator	Kunde	Lesen/Schreiben	eigene Mandanten-Domain
Mandantenbetreiber	Kunde	schreibgeschützt	eigene Mandanten-Domain

Domänen

Jede CSO-Installation unterstützt eine einzelne globale Domäne, auf die der SP-Administrator zugreifen kann. Für CSOaaS ist diese Domäne für Abonnenten nicht zugänglich.

Innerhalb der globalen Domäne kann es mehrere OpCo-Domänen geben. In der lokalen CSO-Installation entsprechen diese Domänen den regionalen Dienstanbietern oder einem beliebigen Schema, das Sie zur Aufteilung der administrativen Zuständigkeiten verwenden. Ein einfacheres administratives Setup kann sich für nur eine einzige OpCo-Domäne entscheiden. Bei CSOaaS entspricht jede OpCo-Domäne einem einzelnen Managed-Service-Provider-Abonnenten.

Innerhalb jeder OpCo-Domäne befinden sich die Mandantendomänen. Dabei handelt es sich um die einzelnen Unternehmen, deren WAN-Konnektivität verwaltet wird. Bei der lokalen CSO-Installation handelt es sich bei diesen Mandanten entweder um die Kunden des regionalen Dienstanbieters oder des globalen Dienstanbieters. Bei CSOaaS kann es sich bei diesen Mandanten um Kunden eines Managed Service Providers handeln, der CSOaaS abonniert hat, oder die Mandanten können selbst direkte CSOaaS-Abonnenten sein.

Portale

CSO stellt ein Verwaltungsportal für den SP und die OpCos bereit, um ihre jeweiligen Domänen zu verwalten, und ein Kundenportal, in dem Mandanten ihre jeweiligen Domänen verwalten können. Der Zugriff auf ein bestimmtes Portal in einer bestimmten Domäne wird durch die Anmeldeberechtigungen eines Benutzers gesteuert. Wenn Sie mit Ihrer Anmeldung keinen Zugriff auf das Verwaltungsportal gewähren, können Sie keines der Elemente dieses Portals sehen oder darauf zugreifen.

Verwaltungsportale ermöglichen die Erstellung von Mandanten und andere übergeordnete Objekte, die Mandanten in den Kundenportalen verwenden.

Kundenportale bieten Mandantenzugriff auf eine Teilmenge der Objekte, die in Verwaltungsportalen vorhanden sind. Ein OpCo-Administrator kann auf das Kundenportal für einen Mandanten zugreifen, indem er im Verwaltungsportal auf der Seite Mandanten auf den Mandantenlink klickt .

Pächter

CSO verwendet das tenant-Element, um einen Kunden logisch von einem anderen zu trennen. Ein OpCo-Administrator erstellt einen Mandanten, der jeden Kunden repräsentiert, für den er Netzwerkservices bereitstellt.

Mithilfe von RBAC und anderen Mitteln, wie z. B. virtuellen Routing- und Weiterleiten-Instanzen (VRF), sorgt CSO dafür, dass alle Mandanten- und OpCo-Objekte in ihrem eigenen Bereich eingemauert sind. Dazu gehört letztlich auch der Datenverkehr, der die Kundennetzwerke durchläuft. Kein einzelner Mandant, seine Administratoren, Betreiber oder Kunden können die Objekte eines anderen Mandanten oder Kunden sehen oder mit ihnen interagieren. Mandanten können so benannt werden, wie es für den SP- oder OpCo-Administrator am sinnvollsten ist.

Points of Presence (POPs)

Ein POP ist ein physischer Standort, in der Regel am Edge des Anbieternetzwerks, der als Abgrenzungs- oder Austauschpunkt zwischen zwei oder mehr Netzwerken dient. POPs werden in SD-WAN-Bereitstellungen verwendet, um Netzwerkzugänge und Netzwerkservices näher an den Benutzern zu platzieren, die sie benötigen. An jedem POP können je nach Bedarf und Verfügbarkeit unterschiedliche Netzwerkservices und unterschiedliche Verbindungsarten angeboten werden.

In CSO liegt ein POP in der Regel vor, wenn der Mandantendatenverkehr aus dem Mandanten-Overlay-Netzwerk in das Provider-Underlay-Netzwerk oder Internet ausbricht. Der SP- oder OpCo-Administrator ist für die Erstellung des POP und das Hinzufügen von PE-Routern und Provider-Hub-Geräten zu diesem POP verantwortlich. Sobald ein Provider-Hub-Gerät hinzugefügt wird, steht das Gerät für die Verwendung in einem Mandantennetzwerk zur Verfügung. POPs können so benannt werden, wie es für den SP- oder OpCo-Administrator am sinnvollsten ist.

Anbieter-Hub

Der SP- oder OpCo-Administrator fügt den Provider-Hub zum POP hinzu. Der Provider-Hub kann eine oder beide der folgenden Rollen haben:

OAM - Ein OAM-Hub befindet sich logisch zwischen den CPEs und der CSO-Installation. Seine Aufgabe besteht darin, OAM-Datenverkehr von CSO zu empfangen und ihn innerhalb sicherer Tunnel an die CPE-Zielgeräte weiterzuleiten. In die andere Richtung empfängt der OAM-Hub OAM-Datenverkehr von CPE-Geräten in sicheren Tunneln und leitet ihn an CSO weiter. Diese Rolle existiert nur in einer lokalen CSO-Bereitstellung. In CSOaaS ist diese Rolle Teil des bereitgestellten Dienstes.
DATEN: Für Mandantendatenverkehr, der innerhalb des Mandantennetzwerks bleibt, fungiert der Datenhub als Transithub für den Datenverkehr von Standort zu Standort. Für Mandantendatenverkehr, der für das Provider-Netzwerk bestimmt ist, fungiert der Daten-Hub als Demarkationspunkt zwischen dem Overlay-Tenant-Netzwerk und dem Underlay-Provider-Netzwerk. Der Anbieterdatenhub ist optional für Mandanten, die über eigene Unternehmensdatenhubs verfügen. Wenn ein Mandant sowohl über einen Enterprise Data Hub als auch über einen Data Hub eines zugewiesenen Anbieters verfügt, fungiert der Data Hub des zugewiesenen Anbieters als Backup.

Nachdem der Provider-Hub zum POP hinzugefügt wurde, kann der SP- oder OpCo-Administrator den Provider-Hub-Standort einem Mandanten zuordnen.

Lagen

Bevor CSO das Overlay-Mandanten-Netzwerk aufbauen kann, muss CSO alle Standorte in diesem Netzwerk kennen. Bei einem Standort kann es sich um einen Provider-Hub-Standort, einen Unternehmenshub-Standort, einen lokalen Spoke-Standort oder einen Cloud-Spoke-Standort handeln (Tabelle 2).

Tabelle 2: Websitetypen nach Bereitstellung
Verfügbare Website-Typen	Hinzugefügt von	Benutzungen	Servicehinweise
Vor-Ort-Spoke	Der Mandantenadministrator fügt den lokalen Spokestandort hinzu.	Firewalls der NFX-Serie oder SRX-Serie, die an Zweigstellen entweder in einer Hub-and-Spoke- oder Full-Mesh-Topologie platziert werden.	Ein lokaler Spoke verfügt über die folgenden Funktionen: SRX-Serie Die Services Gateways der SRX300-Reihe unterstützen ADSL- und LTE-Schnittstellen. Die Services Gateways der SRX1500- und SRX300-Reihe unterstützen PPPoE auf WAN-Ethernet-Schnittstellen. Firewalls der SRX-Serie, die als lokale Spoke-Geräte bereitgestellt werden, können keine VNF-basierten Netzwerkservices hosten. NFX-Serie Geräte der NFX-Serie, die als lokale Spoke-Geräte verwendet werden, unterstützen ADSL-, VDSL- und LTE-Zugriffslinks, die auch für ZTP verwendet werden können. Die DSL-Zugangsverbindungen ermöglichen die Konfiguration von PPPoE. Ab CSO-Release 4.0 können LTE-Zugangsverbindungen als primäre DATA-, OAM- oder DATA_OAM-Links verwendet werden. Geräte der NFX-Serie unterstützen PPPoE auf WAN-Ethernet-Schnittstellen. Unterstützt lokalen Breakout bei Verwendung einer dynamischen Netztopologie. Anmerkung: ZTP über eine xDSL-Schnittstelle funktioniert nicht, wenn die Verbindung PPPoE ist. Wenn die Verbindung überbrückt ist und DHCP verwendet, funktioniert ZTP auf xDSL-Schnittstellen.
Cloud-Speiche	Der Mandantenadministrator fügt die Cloud-Spoke-Site hinzu.	Virtuelle Firewall vSRX in der Amazon Web Services (AWS) Virtual Private Cloud (VPC) eines Mandanten platziert	Ein Cloud-Spoke hat die folgenden Funktionen: Firewall- und Content Security-Services sind verfügbar, um die Ressourcen des Kunden in einer AWS-VPC zu schützen. Konnektivität zwischen VPC-Ressourcen und lokalen Standorten. WAN_0-, WAN_1- und LAN-Schnittstellen müssen in der VPC vordefiniert sein. In der VPC müssen zwei elastische IP-Adressen reserviert werden, die später an WAN-Schnittstellen angehängt werden können. VPC sollte erstellt und an ein Internet-Gateway angehängt werden. Es wird nur eine Hub-and-Spoke-Topologie unterstützt. Die WAN-Schnittstellen des Hubs müssen über öffentliche IP-Adressen verfügen. Der Hub-WAN-Schnittstellentyp sollte während des Onboardings auf Internet festgelegt werden.
Anbieter-Hub	Der SP- oder OpCo-Administrator fügt Provider-Hubsites für einen Mandanten hinzu. Das Hinzufügen eines Provider-Hub-Standorts bedeutet, dass dem Mandanten ein vorhandenes Provider-Hub-Gerät zugeordnet wird. Zu diesem Zweck wechselt der SP- oder OpCo-Administrator zum Kundenportal für den Mandanten und fügt die Provider-Hub-Site hinzu, indem er den POP und das Provider-Hub-Gerät aus der Liste der verfügbaren POPs und Provider-Hub-Geräte auswählt. Der Name der Provider-Hub-Site wird automatisch auf den Namen des ausgewählten Provider-Hub-Geräts festgelegt.	Firewalls der SRX-Serie nehmen eine zentrale Rolle in einer Service Provider-Cloud ein. Die Hub-Geräte richten IPSec-Tunnel mit den Spoke-Sites ein. Provider-Hub-Geräte sind multimandantenfähig (gemeinsam genutzt von mehreren Standorten) durch die Verwendung von VRF-Instanzen, die auf ihnen konfiguriert sind.	Ein Provider-Hub verfügt über die folgenden Funktionen: Bevor ein Provider-Hub-Standort hinzugefügt werden kann, muss das Provider-Hub-Gerät erstellt werden. Bei CSOaaS kann nur der OpCo-Administrator Data Hub-Standorte von Anbietern hinzufügen. Für die dynamische Mesh-Topologie ist ein Hub-Gerät erforderlich. Ein lokaler Breakout wird auf Provider-Hub-Websites nicht unterstützt.
Unternehmens-Hub	Der Mandantenadministrator fügt die Enterprise Hub-Website hinzu.	Bietet zusätzliche Hub-ähnliche Funktionen zu einer normalen Spoke-Site.	Ein Unternehmenshub verfügt über die folgenden Funktionen: Kann sich wie eine normale Speiche verhalten. Fungiert als Ankerpunkt für Spokes für die dynamische VPN-Erstellung. Bietet eine lokale zentrale Breakout-Option. Kann eine Datencenter-Abteilung beherbergen. Kann BGP- und OSPF-Routen vom LAN-seitigen L3-Gerät importieren, um ein dynamisches LAN-Segment für das Datencenter zu erstellen. Automatische Vernetzung mit anderen Unternehmens-Hubs, die zum selben Mandanten gehören. Reguläre Spoke-Sites können Enterprise-Hubs zugeordnet werden. Unterstützt lokale, zentrale und Cloud-Breakout-Profile mit absichtsbasierten Regeln für eine detailliertere Breakout-Steuerung.

Topologien

CSO unterstützt die folgenden Netzwerktopologien:

Standalone Topology — Bei dieser Topologie bleiben die Kunden oder Nutzer von Netzdiensten voneinander getrennt und haben keine Kommunikationsmöglichkeiten untereinander, wie bei der NGFW-Lösung. Die NGFW-Lösung sorgt mit Firewall-Geräten der nächsten Generation der SRX-Serie für Sicherheit an Remote-Standorten (Abbildung 1).

Abbildung 1: Eigenständige NGFW
Hub–and–Spoke Topology — Diese Topologie wird für SD-WAN-Bereitstellungen unterstützt. Der gesamte Datenverkehr, einschließlich Spoke-to-Spoke-Datenverkehr, wird über den Hub-Standort geleitet.

Abbildung 2 zeigt das Hub-and-Spoke-Konzept.

Abbildung 2: Hub-and-Spoke-Topologie
Dynamic Mesh Topology — Diese Topologie wird für SD-WAN-Bereitstellungen unterstützt. Abbildung 3 zeigt ein Beispiel für eine dynamische Mesh-Topologie, bei der der Datenverkehr direkt von einem beliebigen Standort zu einem beliebigen Standort fließen kann. Site-to-Site-Tunnel werden dynamisch auf der Grundlage von Datenverkehrsschwellenwerten erstellt, wodurch Ressourcen geschont und die Gesamtleistung verbessert wird. Mesh-Tags werden verwendet, um zu bestimmen, welche Standorte miteinander verbunden werden können.

Abbildung 3: Dynamische Mesh-Topologie

Virtueller Routenreflektor (VRR)

Der VRR ist Teil des SD-WAN-Controllers von CSO. Es handelt sich um eine der virtuellen Maschinen, die während des Installationsvorgangs bereitgestellt und installiert werden. Um das bei der SD-WAN-Bereitstellung erforderliche Routing zu erleichtern, überlagern die VRR-Formulare BGP-Sitzungen mit CPE-Spokes und Hub-Geräten über die für die OAM-Funktion vorgesehene Underlay-Schnittstelle. Diese Auswahl treffen Sie mit dem Workflow "Website konfigurieren " für das Site-Onboarding. Abbildung 4 veranschaulicht das Konzept des VRR

Abbildung 4: VRR-Übersicht VRR Overview

SLA-basierte Steuerungsprofile und -richtlinien

CSO ermöglicht die Erstellung von SLA-basierten Steuerungsprofilen, die SD-WAN-Richtlinienabsichten für das Datenverkehrsmanagement in einer SD-WAN-Bereitstellung zugeordnet werden können. Die Profile sind so konzipiert, dass sie den Datenverkehr basierend auf SLA-Parametern wie Paketverlust, Round-Trip-Zeit (RTT) und Jitter-Schwellenwerten zu einer bestimmten WAN-Verbindung leiten. SLA-Steuerungsprofile werden für globale Anwendungsdatenverkehrstypen für alle Mandanten erstellt. Ein SLA-Profil besteht aus einer Reihe konfigurierbarer Einschränkungen, die im Verwaltungsportal definiert werden können.

Sie können Folgendes festlegen:

Pfadpräferenz für jeden Verbindungspfad von Standort zu Standort
Pfadeinstellung für jeden Verbindungspfad von Standort zu Hub
Schwellenwertparameter für den Durchsatz
Schwellwertparameter für Paketverluste
Schwellenwertparameter für die Latenz
Schwellwertparameter für Jitter
Class of Service für verschiedene Datenverkehrsarten
Ratenbegrenzer zur Steuerung von Upstream- und Downstream-Datenverkehrsraten und Burst-Größen

Sobald das Steuerungsprofil vorhanden ist, kann eine absichtsbasierte SD-WAN-Richtlinie erstellt werden, die dieses Profil auf bestimmte Standorte oder Abteilungen und auf bestimmte Arten von Anwendungsdatenverkehr wie SSH und HTTP anwendet.

Anmerkung:

Beim Erstellen eines SLA-Profils müssen Sie entweder die Pfadpräferenz oder einen der SLA-Parameter festlegen. Beide Felder können nicht gleichzeitig leer gelassen werden.

Weitere Informationen finden Sie unter Übersicht über SLA-Profile und SD-WAN-Richtlinien .

Pfadbasierte Lenkprofile

Pfadbasierte Steering-Profile sind eine vereinfachte Methode, um globale Anwendungsdatenverkehrstypen auf einen bestimmten WAN-Pfad zu lenken. Bei diesen Profilen müssen Sie keine SLA-Parameter konfigurieren. Alles, was Sie tun müssen, ist anzugeben, welchen verfügbaren Pfad ein bestimmter Datenverkehrstyp nehmen soll. Genau wie bei SLA-Lenkprofilen können Sie für diese Profile Parameter für die Ratenbegrenzung festlegen. Außerdem müssen Sie diese Profile einer SLA-Richtlinie zuweisen, bevor sie wirksam werden.

Absichtsbasierte Firewall-Richtlinien

CSO greift über das Kundenportal auf und stellt Firewall-Richtlinien als absichtsbasierte Richtlinien dar. Firewall-Richtlinien bieten Sicherheitsfunktionen, indem sie Absichten für den Datenverkehr erzwingen, der ein Gerät passiert. Der Datenverkehr wird basierend auf der Aktion zugelassen oder verweigert, die als Firewall-Richtlinienabsicht definiert ist. Wenn Sie beabsichtigen, HTTP-basierten Datenverkehr von Social-Media-Websites zu blockieren, aber HTTP-basierten Datenverkehr von Microsoft Outlook zuzulassen, können Sie dazu eine Absichtsrichtlinie erstellen.

Weitere Informationen finden Sie unter Übersicht über Firewall-Richtlinien .

Software-Image-Management

Das CSO-Verwaltungsportal ermöglicht SP-Administratoren (cspadmin) das Hochladen von Gerätesoftware-Images und VNF-Images auf der Seite Ressourcen > Images . Der cspadmin-Benutzer in einer lokalen CSO-Bereitstellung kann Geräte-Images für unterstützte Firewalls der SRX-Serie (einschließlich der virtuellen Firewall vSRX), Geräte der NFX-Serie und Geräte der EX-Serie hochladen.

Bei CSOaaS kann ein OpCo-Administrator die Bilder sehen, die von Juniper Networks in CSO hochgeladen wurden. Er kann auch hochgeladene Geräte-Images auf CPE-Geräten und Zugriffs-Switches der EX-Serie bereitstellen und bereitstellen.

AUF DIESER SEITE