Konfigurationshierarchie für Juniper WAN Assurance

Juniper WAN Assurance – Konfiguration

Für Netzwerkadministratoren ist es wichtig zu verstehen, dass jedes Puzzleteil die Richtlinien, Sicherheit und Konnektivität Ihres Netzwerks in Juniper WAN Assurance Cloud-Service erstellt. Bei einer vollständigen SD-WAN-Bereitstellung muss jedes Teil eine vollständige standortübergreifende Konnektivität herstellen. Mist übersetzt Ihre Datenverkehrsabsicht automatisch in Konfigurationen für WAN-Edge-Geräte, indem das absichtsbasierte Netzwerkmodell von Mist verwendet wird. Die einzelnen Komponenten arbeiten zusammen, um komplexe Schnittstellenzuweisungen, Sicherheit, Routing-Richtlinien und – je nach Plattform – Zielzonen zu erstellen. Daher ist es wichtig, das Mist-Intent-Modell zu verstehen, wenn wir in die Konfigurationshierarchie für Juniper WAN Assurance eintauchen.

Absichtsbasiertes Routing

Absichtsbasierte Netzwerke lösen mehrere Probleme. Denken Sie zum Beispiel an die Notwendigkeit einer sicheren Kommunikation zwischen zwei Netzwerken. Ein Absichtsmodell besagt, dass für sichere Kommunikation ein sicherer Tunnel zwischen Netzwerk A und Netzwerk B erforderlich ist. In diesem Szenario ermittelt ein Netzwerkadministrator, welcher Datenverkehr den Tunnel nutzt, und beschreibt weitere gewünschte allgemeine Eigenschaften. Aber ein Betreiber würde nicht spezifizieren oder auch nur wissen, wie man einen Tunnel baut. Um einen Tunnel implementieren zu können, müssen Sie wissen, wie viele Geräte gesichert werden müssen, wie BGP-Ankündigungen gemacht werden und welche Funktionen und Parameter aktiviert werden müssen. Im Gegensatz dazu generiert ein Intent-based Networking-System automatisch eine vollständige Konfiguration aller Geräte auf Basis der Servicebeschreibung. Dann beginnt es mit dem laufenden Abgleich zwischen dem beabsichtigten und dem tatsächlichen Status des Netzwerks, sodass die Konfiguration in einem geschlossenen Feedback-Kreislauf fortlaufend überprüft wird. Intent-based Networking ist ein deklaratives Netzwerkbetriebsmodell. Es unterscheidet sich grundlegend vom herkömmlichen imperativen Networking, bei dem Netzwerktechniker einzelnen Netzwerkelementen den genauen Ablauf der Schritte vorgeben müssen, was ein erhebliches Fehlerpotenzial birgt.

Hauptmerkmale des absichtsbasierten Modells:

• Erfordert nicht so viele explizite Anweisungen wie bei herkömmlichen Netzwerkmodellen.
• Erstellen Sie Richtlinien basierend darauf, welches Netzwerk welche Anwendung zugreift.
• Konfigurieren Sie Juniper WAN Assurance Netzwerke und Anwendungen unternehmensweit.
• Pushen Sie nur relevante Konfigurationen.
• Konfigurieren Sie nur die Anwendungen , die ein Gerät verwendet. Wenn ein Gerät eine Anwendung nicht verwendet, wird sie vom absichtsbasierten Netzwerk auf diesem Gerät nicht konfiguriert.

Schauen wir uns das Beispiel der Konfiguration von DHCP in einem LAN an und nehmen wir an, dass die Schnittstelle bereits konfiguriert und einer Zone zugewiesen ist.

Erforderliche Schritte in der Junos CLI:

• Navigieren Sie zur Junos-Systemserviceebene und aktivieren Sie den DHCP-local-server für Ihre Schnittstelle.
• Navigieren Sie zur Junos-Systemadresszuweisung, und erstellen Sie einen Adresspool, der das Zielnetzwerk, den Adressbereich für den Pool, das Standard-Gateway und alle anderen DHCP-Attribute angibt.
• Navigieren Sie zu Ihrer Sicherheitszone, und aktivieren Sie den eingehenden Hostdatenverkehr für den DHCP-Systemdienst, damit die SRX-Serie DHCP-Anfragen von Clients verarbeiten kann.

Dies erfordert mehrere Konfigurationszeilen, die auf mindestens drei Konfigurationshierarchien verteilt sind.

Derselbe Workflow wird in Mist erheblich optimiert:

• Navigieren Sie zunächst zu Ihrer LAN-Konfiguration und öffnen Sie diese zur Bearbeitung.
• Aktivieren Sie als Nächstes das Optionsfeld DHCP-Server, um die Konfiguration zu entsperren und die erforderlichen Felder (IP-Start, IP-Ende und Gateway) auszufüllen.
• Speichern Sie die LAN-Konfiguration, und speichern Sie dann die Gerätekonfiguration.

Organisationsweite Konfigurationselemente

Oben in der Mist Konfiguration wird Ihre Mist Organisation genannt. Diese Elemente wirken sich auf Ihre gesamte Bereitstellung eines softwaredefinierten Wide Area Network (SD-WAN) aus. Die verschiedenen Komponenten auf dieser Konfigurationsebene werden zu Bausteinen für Quellen und Ziele in Ihrer Bereitstellung. Nach der Identifizierung ordnen Datenverkehrsanforderungen einen Absender und das gewünschte Ziel entsprechend zu. Die Elemente helfen beim Aufbau unterschiedlicher Juniper WAN Assurance-Bereitstellungskomponenten, abhängig von Ihrer Plattform. Durch die Identifizierung von Quelle und Ziel werden IPsec-Tunnel über das WAN und die zugehörigen Sicherheitszonen auf der Firewall der SRX-Serie von Juniper® erstellt. Diese Komponenten auf dem Session Smart-Router™ von Juniper® Networks werden zur entsprechenden Quelle und zum entsprechenden Ziel für den Aufbau des Sicheres Vektor-Routing (SVR)-Metadatenaustauschs. Die beiden Plattformen gehen die Herausforderung des SD-WAN auf unterschiedliche Weise an, weshalb es wichtig ist, Ihre Juniper WAN Assurance-Plattform zu kennen.

Netzwerke

Das Juniper WAN Assurance Netzwerk ist das "Who" im Mist absichtsorientierten Paradigma. Netzwerke sind Quellen der Anforderung in Ihrem Netzwerk. Mit Netzwerken können Sie Gruppen von "Benutzern" definieren. Sobald Sie dieses Element in Ihrem Mist Design erstellt haben, ist das Netzwerk für die Verwendung in der gesamten Organisation definiert.

Merkmale der Netzwerke auf dem Session Smart-Router™ von Juniper® Networks:

• Mist Netzwerke erstellen Mandanten im Hintergrund für SVR.
• Der Session Smart-Router identifiziert Mandanten an der logischen Schnittstelle (Netzwerkschnittstelle).
• LAN- und WAN-Schnittstellenkonfigurationen identifizieren Ihren Mandanten (Anforderungsquelle).

Merkmale der Netzwerke auf der Juniper® Firewall der SRX-Serie:

• Netzwerke erstellen Adressbücher, die als Quelle für Sicherheitsrichtlinien und APBR-Richtlinien (Advanced Policy Based Routing) verwendet werden.
• Konfigurationen werden auf das Gerät angewendet, wenn eine Anwendungsrichtlinie konfiguriert ist.
• Für das LAN wird der Name der Zone vom Namen des angegebenen Netzwerks abgeleitet.
• Für WAN basiert der Name der Zone auf dem Namen des WAN.

Route Advertisement (Werbung über Overlay)

Bei WAN Assurance geht es um die Abstraktion des Transportnetzwerks in das SD-WAN. Sie können Netzwerke über SD-WAN zur Steuerung und Erreichbarkeit mit Routenwerbung bewerben. So können etablierte Netzwerke in Ihren LAN-Segmenten über das Overlay beworben werden. Beim Einrichten dieser Netzwerke werden die Quelladressen für Dienstrichtlinien generiert. Network Address Translation (NAT) für Quelle und Ziel kann den Datenverkehr bei Bedarf an Ihre Benutzer weiterleiten.

Der Zweck von SD-WAN ist die Konnektivität zwischen Standorten. Daher können Netzwerke über Overlay angekündigt werden, um die Erreichbarkeit zwischen Ihren SD-WAN-Geräten zu ermöglichen. Mit dieser Einstellung teilt Ihr Netzwerk die Adresse im gesamten WAN, sodass andere Geräte wissen, wie sie sie erreichen können.

Zugriff auf Juniper Mist Cloud

Mist ist eine Full-Stack-Lösung. Nur bei einigen Ihrer Geräte handelt es sich um WAN-Edge- oder SD-WAN-Router. Bestimmte Geräte benötigen Zugriff auf die Juniper Mist Cloud, um andere Lösungen wie Wireless und Wired Assurance für drahtlose APs und Switches nutzen zu können. Für den Zugriff auf Juniper Mist Cloud werden automatisch spezifische Firewall-/Richtlinienregeln generiert, die es den Geräten ermöglichen, ohne dass eine explizite Anwendungsrichtlinie mit Mist telefonieren kann. In einer SD-WAN-Bereitstellung sollte dies nicht auf allen Geräten hinter dem WAN-Edge installiert werden, da dies eine Herausforderung für die Richtlinien der Router darstellen kann. Der Zugriff auf Juniper Mist Cloud eignet sich hervorragend für Mist APs oder Switches, da Sie diese über das Mist-Dashboard überwachen und Fehler beheben können. Siehe Juniper Mist WLAN Assurance und Wired Assurance.

Durch die Aktivierung des Zugriffs auf die Mist-Cloud wird sichergestellt, dass alles, was sich hinter dem WAN-Edge befindet, die Mist Cloud erreichen kann, ohne manuell Richtlinien für die Konnektivität ausdrücken zu müssen. Zu den Ports und Protokollen für diese Einstellung gehören die folgenden:

• TCP/443-KARTON
• DNS/53
• SSH/2200
• NTP/123-KARTON
• Syslog/6514
• ICMP

Benutzer

Lassen Sie sich nicht vom Etikett täuschen. Benutzer stellt keinen einzelnen Benutzer in Ihrem Netzwerk dar. Benutzer sind Teilmengen von Subnetzen oder indirekt verbundene Subnetze. Da Netzwerke das "Wer" sind, sollten Sie sich Benutzer als eine Unterabteilung dieser Netzwerkidentität vorstellen. Oft gibt es universelle Regeln, um Netzwerke gleich zu behandeln. Beispiel: Für 99 % Ihres Datenverkehrs möchten Sie, dass Sitzungen das Gleiche tun. Aber was ist, wenn Sie den Zugriff auf ein Unternehmensnetzwerk von einem Gastnetzwerk aus blockieren, aber eine bestimmte IP-Adresse für den Druckerzugriff benötigen? Dies ist Ihr Anwendungsfall für Benutzer. Diejenigen, die mit der Session Smart Routing-Plattform vertraut sind, sollten dies als untergeordnetes Element des "Mandanten" des übergeordneten Netzwerks betrachten. Alternativ dazu haben Benutzer einen zweiten Anwendungsfall, der die Definition von indirekten Präfixen im Netzwerk umfasst.

• Benutzer können granulare Berechtigungen definieren. Beispielsweise benötigt Ihr LAN-Segment möglicherweise einen Internetzugriff, aber Sie müssen ihn auf ein bestimmtes Netzwerkgerät beschränken. Hier würden Sie also eine Zugriffsrichtlinie für diesen Desktop erstellen.
• Manchmal müssen Sie indirekt verbundene Präfixe hinter einem Router auf dem LAN-Segment erreichen. Stellen Sie sich zum Beispiel einen Router hinter einem Gerät vor, das mehrere Geräte mit einer externen Anwendung verbindet.

Anträge

Anwendungen machen das "Was" im Mist absichtsgesteuerten Modellparadigma aus. Anwendungen sind das, was Ihr Netzwerk leistet. Anwendungen stellen Datenverkehrsziele dar und werden nach dem benannt, worauf ein Client zugreifen würde, z. B. eine "Datenbank" oder das "Internet". Nachdem Sie dieses Element in Ihrem Mist Design erstellt haben, ist die Anwendung für die Verwendung in der gesamten Organisation definiert.

Merkmale der Anwendungen auf dem Session Smart-Router™ von Juniper® Networks

• Mist Anwendungen erstellen im Hintergrund Services für SVR.
• Bei Anwendungen kann es sich um Ports, Protokolle, Präfixe, benutzerdefinierte Domänen oder App-Namen aus der integrierten AppID-Bibliothek handeln.

Ports, Protokolle und Präfixe sind der Ort, an dem sich alle Richtlinien drehen.

• Benutzerdefinierte Apps sind eine Reihe von Ports, Protokollen oder Präfixen.
• Apps werden der Internet-App-ID zugeordnet.
• URL-Kategorien sind Force-Point-URLs.

Merkmale der Anwendungen auf der Firewall der SRX-Serie von Juniper®

• Anwendungen bestimmen das Ziel, das in einer Sicherheitsrichtlinie verwendet wird.
  • Ein Präfix von 0.0.0.0/0 mit Protokoll "beliebig" wird in eine beliebige innerhalb der Juniper WAN Assurance-Richtlinie aufgelöst. Es ist kein Adressbuch oder eine Bewerbung notwendig.
• Benutzerdefinierte Apps am WAN-Edge verwenden den integrierten Engine-"Typ" der SRX-Serie und sind eine Kombination aus einem Adressbuch und Anwendungen.
• Apps werden der Layer 7-AppID-Engine der SRX-Serie zugeordnet.
• URL-Kategorien sind Force-Point-URLs.

Verkehrssteuerung

Traffic Steering ist das "Wie" im Mist absichtsgesteuerten Modellparadigma. Mit Traffic Steering definieren Sie die verschiedenen Pfade, die der Verkehr nehmen kann, um sein Ziel zu erreichen. Wenn der Datenverkehr zu einer Anwendung über mehrere Pfade verfügt, können Sie die Pfade auf eine Teilmenge von Pfaden beschränken und eine bevorzugte Reihenfolge konfigurieren. Sie können auch zahlreiche Streams über die verfügbaren Pfade laden und ausgleichen.

Merkmale der Datenverkehrssteuerung auf dem Session Smart-Router™ von Juniper® Networks:

• Der Juniper® Session Smart-Router™ verfügt über eine proprietäre Lösung für die Datenverkehrssteuerung , die den nächsten Hop und den nächsten Vektor zum Ziel unter Nutzung von SVR bestimmt.
• Blocklisteneinträge beeinträchtigen die Einrichtung der nächsten Hops für SVR.

Sie benötigen nur Regeln für die Datenverkehrssteuerung auf einem Session Smart-Router

• Herkömmliche Steuerungsstrategien wie "Geordnet", "Gewichtet" und "ECMP" gelten nicht für den Session Smart-Router.
• Das Blockieren von Anwendungen in der Anwendungsrichtlinie ist unnötig und untergräbt den Auswahlprozess für den nächsten Hop von Session Smart.

Der Session Smart-Router wählt die nächsten Hops über einen proprietären Hallo-Mechanismus aus. Diese bidirektionale Weiterleitungserkennung (BFD) zwischen Peer-Session Smart-Routern prüft den Zustand der Aktualität und des Pfads.

Merkmale der Datenverkehrssteuerung der Firewall der SRX-Serie von Juniper®:

• Die Firewall der SRX-Serie von Juniper® ist zonenbasiert und die Zielzone wird durch die Pfade bestimmt, die innerhalb einer Traffic Steering-Richtlinie konfiguriert sind.
• Traffic Steering konfiguriert Routing-Instanzen vom Typ Weiterleitung und die entsprechende Routing-Richtlinie zum Importieren von Routen. Für Ihre SRX-Serie wird diese Routing-Instanz in APBR verwendet.
• Für die SRX-Serie gibt es mehrere Steuerungsstrategien:
  • Geordnet: Standard, in der Reihenfolge der Liste vorgehen. Die oberste Aufgabe hat Priorität, dann wird ein Failover auf das nächste übertragen. Erstellt eine geordnete Liste.
  • Gewichtet: Hier können Sie die gewünschte Reihenfolge basierend auf dem Gewicht festlegen. Beispielsweise führen zwei gewichtete Pfade, die beide auf 5 festgelegt sind, zu ECMP über die beiden Pfade. Auf der anderen Seite führen zwei gewichtete Pfade, von denen einer auf 5 und der andere auf 10 eingestellt ist, zu einer geordneten Steuerung, wobei der Verkehr zuerst einen Pfad mit geringerer Gewichtung nimmt.
  • ECMP: Vollständiger Lastausgleich des Datenverkehrs mit einem Multipath-Algorithmus zu gleichen Kosten. Der Datenverkehr wird gleichmäßig auf alle verfügbaren Pfade verteilt.

Anwendungsrichtlinie

Das "Wer", "Was" und "Wie" kommen mit Anwendungsrichtlinien zusammen. Das Mist absichtsbasierte Modell vereinfacht die manuelle Generierung von Routen und Sicherheitsrichtlinien durch Junos OS auf der SRX-Serie mit Tausenden von Codezeilen. Es vereinfacht auch die Bereitstellung eines Session Smart-Routers für diejenigen, die von einer Conductor-basierten Session Smart-Bereitstellung zu WAN Assurance wechseln. Sie benötigen keine expliziten Berechtigungen und Schnittstellenzuweisungen mehr, um loszulegen. WAN Assurance ist Zero-Trust. Dies ist sowohl implizit als auch Teil des absichtsgesteuerten Modells. Sie müssen einem Netzwerk explizit die Berechtigung für den Zugriff auf eine Anwendung erteilen, andernfalls wird keine Weiterleitung durchgeführt.

Die Reihenfolge zählt nur, wenn Sie über den Session Smart-Router™ von Juniper® Networks aus Ihrem lokalen Netzwerk ausgehen. Der Session Smart-Router ist ein Router, der die spezifischsten Übereinstimmungen verwendet. Dies bedeutet, dass die Verwendung von Mist Traffic Steering für den lokalen Verkehr nicht erforderlich ist. Wichtig ist, dass die Verwendung eines Blocks in Ihrer Verkehrssteuerung nicht mit SVR funktioniert, da dies den proprietären Prozess untergräbt. Wenn ein Gerät, ein Subnetz oder ein Netzwerk keinen Zugriff auf eine Anwendung haben soll, erstellen Sie keine Datenverkehrssteuerung dafür.

Merkmale der Anwendungsrichtlinie der Firewall der SRX-Serie von Juniper®:

Der Lenkpfad bestimmt die Zielzone in der SRX-Serie. Stellen Sie sicher, dass den Richtlinien Traffic Steering zugewiesen ist, da die Reihenfolge der Richtlinien bei der Arbeit mit der SRX-Serie wichtig ist. Wie eine herkömmliche zonenbasierte Firewall verwendet sie eine Liste von Regeln, die Filter und Richtlinien generieren. Die spezifischsten Regeln sollten ganz oben in der Liste der Anwendungsrichtlinien der SRX-Serie stehen.

WAN-Edge-Vorlagen

Sobald die grundlegenden Konfigurationselemente von SD-WAN eingerichtet sind, können Sie Mist neue WAN-Edge-Geräte über WAN-Edge-Vorlagen bereitstellen. Die gesamte vorherige Konfiguration kann mit WAN-Edge-Vorlagen erstellt werden. Diese Vorlagen eignen sich sowohl für ein eigenständiges Edge-Gerät als auch für eine vollständige SD-WAN-Bereitstellung mit Hunderten von Standorten. Der Automatisierungsprozess beseitigt Fehler und vereinfacht die Bereitstellung mehrerer Spoke-Sites und Headstellen.

Vorlagen reduzieren oder eliminieren gängige Konfigurationsaufgaben und beseitigen menschliche Fehler bei der Konfiguration mehrerer Geräte. WAN-Edge-Vorlagen:

• Durchsetzung von Standards in der gesamten Bereitstellung.
• Stellen Sie sicher, dass alle Ihre Netzwerkgeräte auf dasselbe DNS (8.8.8.8) verweisen.
• Bereitstellung von vorhersehbarem Verhalten, da sie dasselbe NTP (Network Time Protocol) für die Synchronisierung und Protokollierung verwenden. (Dies betrifft auch bestimmte Zertifikate.)
• Vereinfachen Sie die Fehlerbehebung und die Verwaltung.
  Abbildung 1: WAN-Edge-Vorlage

WAN-Edge-Vorlagen dienen jedoch nicht nur der Automatisierung von Aufgaben, sondern enthalten möglicherweise Dinge, die Sie nicht oft verwenden und die Sie auf alle Standorte oder eine Teilmenge von Standorten anwenden. Beispielsweise verfügt nicht jeder Standort über ein Gastnetzwerk, aber Sie können diese Schnittstelle reservieren.

Diese Vorlagen ermöglichen außerdem:

• Großbestellungen von Hardware für Ports und Standortgruppen durch bestimmte Modelle.
• Spezifische Anwendungsszenarien und Datenverkehrsströme.
• Verschiedene Unternehmens-LAN-Netzwerke.
• Gastnetzwerke.

WAN-Edge-Vorlagen konfigurieren sich wiederholende Informationen wie IP, Gateway oder VLAN automatisch. Darüber hinaus können WAN-Edge-Vorlagen Datenverkehrssteuerung, Zugriffsrichtlinien, Routing-Einstellungen und jede weitere Konfiguration enthalten, die Sie standardisiert haben möchten. Denken Sie daran, dass Sie für die WAN- und LAN-Konnektivität ein Präfix, NAT oder andere lokale Informationen benötigen.

Hub-Profile

Hub-Profile arbeiten mit WAN-Edge-Vorlagen. Hubs befinden sich nicht am Edge und sind im gesamten Netzwerk universell einzigartig. Es ist unmöglich, ihre Bereitstellung vollständig in einer Vorlage zu definieren. Hubs beeinflussen, wie Mist das Overlay-Netzwerk aufbaut. Jede Zweigstelle und jedes Remote-Büro baut die SD-WAN-Kommunikation zum Hub auf. Die Topologie wird durch Overlay-Endpunkte bestimmt, die ein einzelnes Overlay bilden. Jede Hub-WAN-Schnittstelle erzeugt einen Overlay-Endpunkt für Spokes. Spoke WAN-Schnittstellen bilden die entsprechenden Hub-WAN-Schnittstellen ab und definieren die Topologie. Das ist die Abstraktion des Transportnetzes. Da die beiden Plattformen für WAN Assurance die Abstraktion unterschiedlich lösen, ist es wichtig, ihre Nuancen beim Aufbau dieses Overlay-Netzwerks zu verstehen.

Firewall der SRX-Serie von Juniper®

Das Overlay-SD-WAN der SRX-Serie kombiniert einen virtuellen Router für die Routentrennung und IPsec-Tunnel für sicheren Transitverkehr. WAN-Konfigurationen bestimmen die Topologie und bauen das Overlay-Netzwerk auf. Beachten Sie, dass Sie nur ein Overlay pro Organisation implementieren können. Sie können jedoch innerhalb dieses Overlays viele Pfade über mehrere Transporttypen haben und Datenverkehr sicher isolieren und weiterleiten. Bei Geräten der SRX-Serie kombiniert das Overlay eine Sicherheitszone, einen virtuellen Router und IPsec-Tunnel.

Juniper® Networks Session Smart-Router™

Das Session Smart Overlay SD-WAN ist Ihre Nachbarschaft, die proprietäre Kommunikation über BFD an Port 1280 für Lebendigkeit und Jitter, Latenz und Verlust zwischen Session Smart Peers beinhaltet. Wenn Sie eine WAN-Schnittstelle für ein Hub-Profil konfigurieren, wird ein Overlay-Hub-Endpunkt erstellt. Beim Session Smart-Router ist der Endpunkt der Empfänger des SVR.

Einige Dinge passieren, wenn Sie eine Spoke-WAN-Schnittstelle dem Overlay-Hub-Endpunkt zuordnen. Der Spoke stellt die Peer-Konnektivität her und identifiziert die Nachbarschaften und Vektoren für SVR, die Session-Smart-Abstraktion des Transportnetzwerks.

Ein letzter Hinweis zum Overlay: Die SRX-Serie und die Session Smart-Router können nicht in einem einzigen Overlay existieren. Sie können über BGP am Hub gekoppelt werden, aber ihre Lösungen zur Herstellung von Konnektivität zwischen Standorten sind einzigartig und können nicht zusammen funktionieren. Das bedeutet, dass diejenigen, die Migrationspläne haben, ermitteln sollten, welche Routen angekündigt werden müssen, und im Hub werben sollten.

Beachten Sie die folgenden Überlegungen zum Hub-Profil:

• Hub-Profile müssen zuerst erstellt werden, damit Spoke-Vorlagen wissen, wo eine Verbindung hergestellt werden muss.
  • Hubs müssen statische IP-Adressen für Overlay-Endgeräte haben.
  • Die Konfiguration des Overlay-Endgeräts wird in der WAN-Edge-Spoke-Vorlage verfügbar gemacht.
• Es gibt keine Begrenzung für die Anzahl der Hubs, die Sie in diese Richtlinien integrieren können:
  • Ein Hub pro Datencenter
  • Zwei Hubs für Redundanz (HA-Cluster)

Spokes wählen den primären Hub über die Datenverkehrssteuerung und eine Anwendungsrichtlinie aus. Zero-Touch-Provisioning (ZTP) erfordert DHCP (für die physische Implementierung), es sei denn, ZTP wird durchgeführt und dann in das Zielnetzwerk migriert. Sie können die Geräte auch manuell vorabprovisionieren.

Website-Variablen

Standortvariablen werden für jeden Standort einzeln konfiguriert. Wenn Sie ein Netzwerk ganzheitlich planen, können Sie Standardvorlagen für bestimmte WAN-Edges und WAN-Edge-Cluster erstellen. Im Idealfall haben Sie nur ein WAN-Edge-Gerät pro Standort (oder einen einzigen logischen WAN-Edge, wenn das Gerät geclustert ist). Da Variablen je nach Standort unterschiedlich sein können, verwenden Administratoren sie in Vorlagen oder auf der WAN-Edge-Konfigurationsseite. Die Transformation erfolgt, wenn die Konfiguration gerendert und per Push an das Gerät übertragen wird.

Beachten Sie die folgenden Überlegungen zu Standortvariablen:

• Die Syntax für Variablen stimmt mit Jinja2 überein und ist in doppelten geschweiften Klammern enthalten, wie folgt: {{variableName}}
• Die Benutzeroberfläche erzwingt die führenden und nachfolgenden geschweiften Klammern als Teil des Namens.
• Einschränkungen von Standortvariablen:
  • Keine Leerzeichen in der Variablen.
  • Keine Sonderzeichen (außer Unterstrich) innerhalb des Variablenfeldes.
  • Variablen können nur in einem Feld verwendet werden und können kein ganzes Präfix angeben.

  Beispielsweise würde 10.88.88.88/24 mindestens zwei Variablen benötigen, eine für die IP-Adresse (10.88.88.88) und eine weitere für die Präfixlänge (24).

  Abbildung 3: Standortvariablen

  Der beste Weg, um die tatsächliche Leistungsfähigkeit von Vorlagen zu nutzen, sind Website-Variablen. Für die Bereitstellung der Hardware sind viele Konfigurationselemente erforderlich. Es ist sinnvoll, die WAN-Edge-Vorlagen und Standortvariablen zu kombinieren. Stellen Sie sich die folgende Situation vor, in der Sie ganze IP-Subnetze der ersten drei Oktette definieren können, wobei auf jedem Gerät eine minimale Konfiguration verbleibt:

  Erstellen Sie Standardvorlagen und platzieren Sie Variablen in Standardschnittstellen wie Ihrem WAN auf eine der folgenden Arten:

  • Mit einer WAN1PFX Variablen, sagen wir {{192.168.170}}, und im Feld WAN auf der Konfigurationsseite wäre es {{WAN1PFX}}.1 für die lokale IP und {{WAN1PFX}}.2 für das Gateway.
  • Sie können ein {{WAN1IP}}- und ein {{WAN1_GW}}-Variablenpaar definieren. Es gibt jedoch Orte, an denen das Subnetz wiederverwendet werden kann, nicht aber die spezifische IP.
    Abbildung 4: Standortvariablen in der WAN-Konfiguration

    Ein weiterer robuster Anwendungsfall ist das magische Oktett, bei dem das dritte Oktett zu einer Variablen wird, und diese Variable kann auch auf mehrere Felder angewendet werden. Beispielsweise kann eine {{SITEID}}-Variable sowohl für das dritte Oktett als auch für ein VLAN-Tag verwendet werden. In diesem Fall kann das Netzwerkpräfix 192.168 lauten. {{SITEID}}.1/24 durch die {{SITE_ID}}-VLAN-ID. Denken Sie daran, dass WAN-Edge-Vorlagen zwar nur für den WAN-Edge gelten, Standortvariablen jedoch auch für Switches und APs gelten. Der Zweck der Automatisierung besteht darin, Bereitstellungen zu vereinfachen und die Wiederverwendbarkeit zu erhöhen.

Einführung in die Anwendung von Vorlagen

Denken Sie daran, dass eine Website eine Sammlung aller Ihrer Assets an einem einzigen Ort ist. Es wird impliziert, dass es nur einen einzigen WAN-Edge geben wird. Ein wesentliches Merkmal des Mist Managements durch die Juniper Mist KI ist die Möglichkeit, Konfigurationsvorlagen zu verwenden, um WAN-Edges zu gruppieren und Massenaktualisierungen durchzuführen. Vorlagen sorgen für Einheitlichkeit und Komfort, während die Hierarchie für Skalierbarkeit und Granularität sorgt.

Importieren und Exportieren von Vorlagen

Es gibt keine Einheitslösung. Sie können mehrere Vorlagen haben. Um Zeit zu sparen, klonen Sie eine Vorlage und ändern Sie sie in der Benutzeroberfläche oder exportieren Sie sie für Offline-/programmatische Änderungen, um sie später zu importieren.

Überschreiben der Vorlage

Vorlagen gelten für Standorte, die wiederum für Geräte gelten. Vorlagen werden verwendet, um Konfigurationen zu standardisieren, aber es gibt immer Ausnahmen. Anstatt eine leicht abweichende Vorlage für einen Standort zu erstellen, überschreiben Sie die Vorlagenkonfiguration auf dem Gerät.

Anwendungsrichtlinie auf Organisationsebene