Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Konfigurationshierarchie von Juniper WAN Assurance

Einführung in die Konfigurationshierarchie

Juniper WAN Assurance – Konfiguration

Für Netzwerkadministratoren ist es wichtig zu verstehen, dass jedes Puzzleteil die Richtlinien, Sicherheit und Konnektivität Ihres Netzwerks im Cloud-Service von Juniper WAN Assurance ausmacht. Eine vollständige SD-WAN-Bereitstellung erfordert, dass jedes Teil die standortübergreifende Konnektivität herstellt. Mist Systems übersetzt Ihren Datenverkehr automatisch in Konfigurationen für WAN Edge-Geräte, die das Intent-based Networking-Modell (IBN) von Mist Systems verwenden. Jeder Teil arbeitet zusammen, um komplexe Schnittstellenzuweisungen, Sicherheit, Routing-Richtlinien und – je nach Plattform – Zielzonen zu erstellen. Daher ist es wichtig, das Absichtsmodell von Mist Systems zu verstehen, wenn wir uns mit der Konfigurationshierarchie für Juniper WAN Assurance befassen.

Absichtsbasiertes Routing

IBN löst mehrere Probleme. Denken Sie zum Beispiel an die Notwendigkeit einer sicheren Kommunikation zwischen zwei Netzwerken. Ein Absichtsmodell besagt, dass sichere Kommunikation einen sicheren Tunnel zwischen Netzwerk A und Netzwerk B erfordert. In diesem Szenario gibt ein Netzwerkadministrator an, welcher Datenverkehr den Tunnel nutzt, und beschreibt weitere gewünschte allgemeine Eigenschaften. Aber ein Betreiber würde nicht spezifizieren oder auch nur wissen, wie man einen Tunnel baut. Um einen Tunnel zu implementieren, müssen Sie wissen, wie viele Geräte gesichert werden müssen, wie BGP-Ankündigungen gemacht werden müssen und welche Funktionen und Parameter aktiviert werden müssen. Im Gegensatz dazu generiert ein IBN-System automatisch eine vollständige Konfiguration aller Geräte auf Basis der Servicebeschreibung. Anschließend werden laufend Sicherheitsprüfungen zwischen dem beabsichtigten und dem tatsächlichen Status des Netzwerks durchgeführt, wobei die Konfiguration in einem geschlossenen Feedback-Kreislauf kontinuierlich auf ihre Richtigkeit überprüft wird. IBN ist ein deklaratives Netzwerkbetriebsmodell. Im Gegensatz dazu müssen Netzwerkingenieure bei traditionellen imperativen Netzwerken die Abfolge von Aktionen auf einzelnen Netzwerkelementen festlegen, was ein erhebliches Fehlerpotenzial birgt.

Hauptmerkmale des Intent-based-Modells:

  • Benötigen nicht so viele explizite Anweisungen wie herkömmliche Netzwerkmodelle.
  • Erstellen Sie Richtlinien basierend darauf, welches Netzwerk zu welcher Anwendung geht.
  • Konfigurieren Sie Netzwerke und Anwendungen von Juniper WAN Assurance unternehmensweit.
  • Nur relevante Konfigurationen übertragen.
  • Konfigurieren Sie nur die Anwendungen , die ein Gerät verwendet. Wenn ein Gerät eine Anwendung nicht verwendet, wird sie nicht durch das absichtsbasierte Netzwerk auf diesem Gerät konfiguriert.

Sehen wir uns das Beispiel der Konfiguration von DHCP in einem LAN an und gehen wir davon aus, dass die Schnittstelle bereits konfiguriert und einer Zone zugewiesen ist.

Erforderliche Schritte in der Junos CLI:

  • Navigieren Sie zum Junos System Services Level und aktivieren Sie den DHCP-Local-Server für Ihre Schnittstelle.
  • Navigieren Sie zur Junos-Systemadresszuweisung, und erstellen Sie einen Adresspool, in dem Sie das Zielnetzwerk, den Adressbereich für den Pool, das Standard-Gateway und alle anderen DHCP-Attribute angeben.
  • Navigieren Sie zu Ihrer Sicherheitszone und aktivieren Sie eingehenden Host-Datenverkehr für den DHCP-Systemdienst, damit die SRX-Serie DHCP-Anfragen von Clients verarbeiten kann.

Die obigen Schritte erfordern mehrere Konfigurationszeilen, die auf mindestens drei Konfigurationshierarchien verteilt sind.

Derselbe Workflow ist in Mist Systems deutlich optimiert:

  • Navigieren Sie zunächst zu Ihrer LAN-Konfiguration und öffnen Sie sie zur Bearbeitung.
  • Aktivieren Sie als Nächstes das Optionsfeld DHCP-Server, um die Konfiguration zu entsperren und die erforderlichen Felder (IP-Start, IP-Ende und Gateway) auszufüllen.
  • Speichern Sie die LAN-Konfiguration und dann die Gerätekonfiguration.

Elemente der Konfigurationshierarchie

Organisationsweite Konfigurationselemente

Die oberste Ebene der Mist Systems-Konfiguration wird als Ihre Mist Systems-Organisation bezeichnet. Diese Elemente wirken sich auf Ihre gesamte Bereitstellung des softwaredefinierten Weitverkehrsnetzes (SD-WAN) aus. Die verschiedenen Komponenten auf dieser Konfigurationsebene werden zu Bausteinen für Quellen und Ziele in Ihrer gesamten Bereitstellung. Nach der Identifizierung ordnen Datenverkehrsanfragen einen Absender und das gewünschte Ziel entsprechend zu. Die Elemente helfen dabei, je nach Plattform unterschiedliche Juniper WAN Assurance Bereitstellung Komponenten zu erstellen. Durch die Identifizierung von Quelle und Ziel werden IPsec-Tunnel über das WAN und die zugehörigen Sicherheitszonen auf der Firewall der Juniper® SRX-Serie erstellt. Diese Komponenten des Session Smart-Routers™ von Juniper® Networks werden zur entsprechenden Quelle und zum entsprechenden Ziel, um den Metadatenaustausch über Sicheres Vektor-Routing (SVR) zu unterstützen. Die beiden Plattformen gehen die Herausforderungen des SD-WAN auf unterschiedliche Weise an, weshalb es wichtig ist, Ihre Juniper WAN Assurance-Plattform zu kennen.

Netzwerke

Das Juniper WAN Assurance Network ist das "Wer" im Intent-Driven Paradigma von Mist Systems. Netzwerke sind Quellen der Anforderung in Ihrem Netzwerk. Netzwerke ermöglichen es Ihnen, Gruppen von "Benutzern" zu definieren. Sobald Sie dieses Element in Ihrem Mist Systems Design erstellt haben, ist das Netzwerk für die Verwendung im gesamten Unternehmen definiert.

Merkmale der Netzwerke auf dem Session Smart-Router™ von Juniper® Networks:

  • Mist Systems Networks erstellt Mandanten im Hintergrund für SVR.
  • Der Session Smart-Router identifiziert Mandanten an der logischen Schnittstelle (Netzwerkschnittstelle).
  • LAN- und WAN-Schnittstellenkonfigurationen identifizieren Ihren Mandanten (Anfragequelle).

Merkmale der Netzwerke auf der Firewall der Juniper® SRX-Serie:

  • Netzwerke erstellen Adressbücher, die als Quelle für Sicherheitsrichtlinien und Advanced Policy Based Routing (APBR)-Richtlinien verwendet werden.
  • Konfigurationen werden auf das Gerät angewendet, wenn eine Anwendungsrichtlinie konfiguriert ist.
  • Für das LAN wird der Name der Zone vom Namen des angegebenen Netzwerks abgeleitet.
  • Für das WAN basiert der Name der Zone auf dem Namen des WAN.

Routenankündigung (über Overlay ankündigen)

Bei WAN Assurance geht es um die Abstraktion des Transportnetzwerks in das SD-WAN. Sie können Netzwerke über SD-WAN ankündigen, um Kontrolle und Erreichbarkeit mit Routenankündigung zu gewährleisten. Dann können etablierte Netzwerke in Ihren LAN-Segmenten über das Overlay angekündigt werden. Durch die Einrichtung dieser Netzwerke werden die Quelladressen für Servicerichtlinien generiert. Network Address Translation (NAT) für Quelle und Ziel kann den Datenverkehr bei Bedarf an Ihre Benutzer weiterleiten.

Der Zweck von SD-WAN ist die standortübergreifende Konnektivität. Daher können Netzwerke über Overlays angekündigt werden, um die Erreichbarkeit zwischen Ihren SD-WAN-Geräten zu gewährleisten. Mit dieser Einstellung teilt Ihr Netzwerk die Adresse über das gesamte WAN, damit andere Geräte wissen, wie sie sie erreichen können. Sie können anderen Spokes oder Hub-LAN-Nachbarn Ankündigung machen. Weitere Informationen zu diesem Feature finden Sie unter Netzwerkeinstellungen.

Zugriff auf die Juniper Mist Cloud

Mist Systems ist eine Full-Stack-Lösung. Nur einige Ihrer Geräte sind WAN-Edge- oder SD-WAN-Router. Bestimmte Geräte benötigen Zugriff auf die Juniper Mist Cloud, um andere Lösungen wie Wireless und Wired Assurance für Wireless APs und Switches zu nutzen. Beim Zugriff auf die Juniper Mist Cloud werden automatisch spezifische Firewall-/Richtlinienregeln generiert, die es den Geräten ermöglichen, ohne explizite Anwendungsrichtlinie mit Mist Systems zu telefonieren. In einer SD-WAN-Bereitstellung möchten Sie diese Zugriffsebene jedoch nicht auf allen Geräten hinter dem WAN-Edge, da dies eine politische Herausforderung für Router darstellen kann. Wählen Sie generell Zugriff auf Juniper Mist Cloud für APs oder Switches, damit Sie diese Geräte über das Portal von Mist Systems überwachen und Fehler beheben können.

Durch die Aktivierung des Zugriffs auf die Mist Systems Cloud wird sichergestellt, dass alles, was sich hinter dem WAN Edge befindet, die Mist Systems Cloud erreichen kann, ohne dass die Richtlinien für die Konnektivität manuell festgelegt werden müssen. Zu den Ports und Protokollen für diese Einstellung gehören die folgenden:

  • TCP/443
  • DNS/53
  • SSH/2200
  • NTP/123
  • Syslog/6514
  • ICMP

Benutzer

Lassen Sie sich nicht von dem Etikett täuschen. Benutzer repräsentiert keinen einzelnen Benutzer in Ihrem Netzwerk. Benutzer sind Teilmengen von Subnetzen oder indirekt verbundene Subnetze. Da Netzwerke das "Wer" sind, stellen Sie sich Benutzer als eine Unterabteilung dieser Netzwerkidentität vor. Es gibt oft universelle Regeln, um Netzwerke gleich zu behandeln. Zum Beispiel möchten Sie, dass Sitzungen bei 99 % Ihres Datenverkehrs dasselbe tun. Doch was ist, wenn Sie den Zugriff auf ein Unternehmensnetzwerk von einem Gastnetzwerk aus blockieren und nur eine IP auf den Drucker zugreifen kann? Fügen Sie in dieser Situation einen Benutzer hinzu. Diejenigen, die mit der Session Smart Routing-Plattform vertraut sind, vergleichen einen Benutzer mit einem Mandanten. Sie können auch Benutzer erstellen, um indirekte Präfixe im Netzwerk zu definieren.

  • Benutzer können granulare Berechtigungen definieren. Beispielsweise benötigt Ihr LAN-Segment möglicherweise einen Internetzugang, den Sie jedoch auf ein bestimmtes Netzwerkgerät beschränken müssen. Hier würden Sie also eine Zugriffsrichtlinie für diesen Desktop erstellen.
  • Manchmal müssen Sie indirekt verbundene Präfixe hinter einem Router im LAN-Segment erreichen. Stellen Sie sich beispielsweise einen Router hinter einem Gerät vor, der mehrere Geräte mit einer externen Anwendung verbindet. In diesem Fall können Sie Benutzer zu einem Netzwerk hinzufügen, das Sie speziell als "nicht direkt angeschlossenes Netzwerk" konfiguriert haben. Weitere Informationen finden Sie unter Netzwerkeinstellungen.

Anwendungen

Anwendungen machen das "Was" im Intent-Driven-Modell-Paradigma von Mist Systems aus. Anwendungen sind das, was Ihr Netzwerk liefert. Anwendungen stellen Datenverkehrsziele dar und werden nach dem benannt, worauf ein Client zugreifen würde, z. B. eine "Datenbank" oder das "Internet". Sobald Sie dieses Element in Ihrem Mist Systems Design erstellt haben, ist die Anwendung für die Verwendung im gesamten Unternehmen definiert.

Merkmale der Anwendungen auf dem Session Smart-Router™ von Juniper® Networks

  • Mist Systems Anwendungen erstellen Services im Hintergrund für SVR.
  • Anwendungen können Ports, Protokolle, Präfixe, benutzerdefinierte Domänen oder App-Namen aus der integrierten AppID-Bibliothek sein.

Ports, Protokolle und Präfixe sind der Ort, an dem sich die gesamte Politik dreht.

  • Benutzerdefinierte Apps sind eine Reihe von Ports, Protokollen oder Präfixen.
  • Apps werden der Internet-App-ID zugeordnet.
  • URL-Kategorien sind Force-Point-URLs.

Merkmale der Anwendungen auf der Firewall der Juniper® SRX-Serie

  • Anwendungen bestimmen das Ziel, das in einer Sicherheitsrichtlinie verwendet wird.
    • Das Präfix 0.0.0.0/0 mit dem Protokoll "any" wird in der Juniper WAN Assurance-Richtlinie in "any " aufgelöst. Es ist kein Adressbuch oder eine Anmeldung erforderlich.
  • Benutzerdefinierte Apps auf dem WAN Edge verwenden den "Typ" der On-Box-Engine der SRX-Serie und sind eine Kombination aus einem Adressbuch und Anwendungen.
  • Apps werden der Layer 7 AppID-Engine der SRX-Serie zugeordnet.
  • URL-Kategorien sind Force-Point-URLs.

Verkehrssteuerung

Traffic Steering ist das "Wie" im Paradigma des Intent-driven Model von Mist Systems. Mit der Datenverkehrssteuerung definieren Sie die verschiedenen Pfade, die der Datenverkehr nehmen kann, um sein Ziel zu erreichen. Wenn der Datenverkehr zu einer Anwendung mehrere Pfade hat, können Sie die Pfade auf eine Teilmenge von Pfaden beschränken und eine bevorzugte Reihenfolge konfigurieren. Sie können auch zahlreiche Streams über die verfügbaren Pfade laden und ausgleichen.

Merkmale der Datenverkehrssteuerung auf dem Session Smart-Router™ von Juniper® Networks:

  • Der Juniper® Session Smart-Router ist sitzungsbasiert und verwendet kontinuierliche Pfadüberwachungstechniken sowohl für Underlay- als auch für Overlay-Pfade™, um den besten verfügbaren Pfad für jede Anwendung zu finden.

  • Für die SSR-Serie gibt es drei Lenkstrategien:

    • Geordnet: Dies ist die Standardeinstellung – gehen Sie in der Reihenfolge der Liste ein. Aktive Pfade an der Spitze haben Vorrang. Wenn ein Pfad nicht funktioniert, wechseln Sie zum nächsten aktiven Pfad in der Liste. Dadurch wird eine geordnete Liste erstellt.

    • Gewichtet: Ermöglicht es Ihnen, Ihre gewünschte Reihenfolge basierend auf dem Gewicht festzulegen. Beispielsweise führen zwei gewichtete Pfade, die beide auf 5 festgelegt sind, zu ECMP-Sitzungen über die beiden Pfade. Auf der anderen Seite führen zwei gewichtete Pfade, von denen einer auf 5 und der andere auf 10 festgelegt ist, zu einer geordneten Steuerung, wobei die Sitzungen zuerst den Pfad mit geringerer Gewichtung wählen.

    • ECMP: Vollständiger Lastausgleich für den Datenverkehr mit einem Equal-Cost-Multipath-Algorithmus. Die Sitzungen werden gleichmäßig auf alle verfügbaren Pfade aufgeteilt.

  • Im Gegensatz zu den Firewalls der SRX-Serie ist die Datenverkehrssteuerung für eine Anwendungsrichtlinie für den SSR nicht erforderlich, wenn in der RIB bereits eine Route für den Datenverkehr vorhanden ist. Es gibt Situationen, in denen das Konfigurieren der Datenverkehrssteuerung für eine Anwendungsrichtlinie zu unerwünschtem Verhalten führt. Weitere Informationen finden Sie unter Internet-Backhaul über einen SSR-Hub .

  • Der SSR unterstützt Richtlinien zur Datenverkehrssteuerung, die den Datenverkehr auf zwei Arten steuern können:

    • Zum Overlay mit verschiedenen Optionen, diesen Datenverkehr mithilfe von Sicheres Vektor-Routing (SVR) über verschiedene WAN-Pfade zu steuern. Für die Datenverkehrssteuerung im Overlay verlässt sich Mist WAN Assurance auf BGP, um den Datenverkehr zwischen SSR-Geräten zu routen. Sie können dieses Verhalten nutzen, um Routen zwischen Ihren bestehenden Netzwerken und Ihren SSR-Geräten auszutauschen und weiterzugeben.

    • Lokal geroutete über eine oder mehrere spezifische Schnittstellen, was bei lokalem Breakout-Datenverkehr (Underlay-Datenverkehr) üblich ist. Für Kunden, die kein dynamisches Routing mit dem SSR durchführen möchten, oder für Kunden ohne vorhandene dynamische Routinglösungen, finden Sie weitere Informationen unter Internet-Backhaul über einen SSR-Hub .

  • Geben Sie für Anwendungsrichtlinien mit einer Blockierungsaktion keine Datenverkehrssteuerung ein

  • SSR verwendet ein Deny-by-Default-Verhalten. Sie müssen keine Sperrrichtlinien erstellen, es sei denn, ein bestimmtes Netzwerkobjekt hat bereits Zugriff auf eine breitere Anwendung und Sie möchten einen bestimmten Bereich innerhalb dieses Adressraums einschränken.

Merkmale der Datenverkehrssteuerung auf der Firewall der Juniper® SRX-Serie:

  • Die Firewall der Juniper® SRX-Serie ist zonenbasiert, und die Zielzone wird durch die Pfade bestimmt, die in einer Richtlinie zur Datenverkehrssteuerung konfiguriert sind.
  • Traffic Steering konfiguriert Routinginstanzen vom Weiterleitungstyp und die entsprechende Routing-Richtlinie zum Importieren von Routen. Für Ihre SRX-Serie wird diese Routing-Instance in APBR verwendet.
  • Für die SRX-Serie gibt es mehrere Lenkstrategien:
    • Geordnet: Standard, gehen Sie in der Reihenfolge der Liste. Die oberste Priorität hat Priorität, dann das Failover zum nächsten. Erstellt eine geordnete Liste.
    • Gewichtet: Ermöglicht es Ihnen, Ihre gewünschte Reihenfolge basierend auf dem Gewicht festzulegen. Beispiel: Zwei gewichtete Pfade, die beide auf 5 festgelegt sind, ergeben ECMP über die beiden Pfade hinweg. Andererseits führen zwei gewichtete Pfade, von denen einer auf 5 und der andere auf 10 festgelegt ist, zu einer geordneten Steuerung, bei der der Datenverkehr zuerst den Pfad mit geringerem Gewicht nimmt.
    • ECMP: Vollständiger Lastausgleich für den Datenverkehr mit einem Equal-Cost-Multipath-Algorithmus. Der Datenverkehr wird gleichmäßig auf alle verfügbaren Pfade aufgeteilt.

Anwendungs-Richtlinie

Das "Wer", "Was" und "Wie" kommt mit den Anwendungsrichtlinien zusammen. Das absichtsbasierte Modell von Mist Systems vereinfacht die manuelle Generierung von Routen und Sicherheitsrichtlinien über Junos OS auf der SRX-Serie mit Tausenden von Codezeilen. Dies simplifiziert auch die Bereitstellung eines Session Smart-Routers für diejenigen, die von einer Conductor-basierten Session Smart-Bereitstellung zu WAN Assurance wechseln. Sie benötigen keine expliziten Berechtigungen und Schnittstellenzuweisungen mehr, um loszulegen. WAN Assurance ist Zero Trust. Diese Funktion ist sowohl implizit als auch Teil des absichtsgesteuerten Modells. Sie müssen explizit die Berechtigung erteilen, um einem Netzwerk den Zugriff auf eine Anwendung zu ermöglichen. Andernfalls wird nicht geroutet.

Die Reihenfolge ist nur wichtig, wenn Sie Ihr lokales Netzwerk auf dem Session Smart-Router™ von Juniper® Networks verlassen. Der Session Smart-Router verwendet die spezifischsten Übereinstimmungen. Daher ist eine Verkehrssteuerung für den lokalen Verkehr nicht erforderlich. Außerdem funktioniert die Verwendung eines Blocks in Ihrer Datenverkehrssteuerung nicht mit SVR, da dies den proprietären Prozess untergräbt. Wenn Sie nicht möchten, dass ein Gerät, ein Subnetz oder ein Netzwerk auf eine Anwendung zugreift, erstellen Sie keine Datenverkehrssteuerung für dieses Gerät.

Merkmale der Anwendungsrichtlinie auf der Firewall der Juniper® SRX-Serie:

Der Lenkweg bestimmt bei der SRX-Serie die Zielzone. Bitte stellen Sie sicher, dass den Richtlinien Traffic Steering zugewiesen ist, da die Reihenfolge der Richtlinien bei der Arbeit mit der SRX-Serie wichtig ist. Wie eine herkömmliche zonenbasierte Firewall verwendet sie eine Liste von Regeln, die Filter und Richtlinien generieren. Die spezifischsten Regeln sollten in der Liste der Anwendungsrichtlinien der SRX-Serie ganz oben stehen.

Skalierung Ihres Netzwerks: Automatisierung in Mist Systems

WAN Edge Vorlagen

Sobald die grundlegenden Konfigurationselemente von SD-WAN vorhanden sind, ermöglicht Ihnen Mist Systems die Bereitstellung neuer WAN Edge-Geräte über WAN Edge-Vorlagen. Die gesamte vorherige Konfiguration kann mit WAN Edge-Vorlagen erstellt werden. Diese Vorlagen eignen sich für ein eigenständiges Edge-Gerät bis hin zu einer vollständigen SD-WAN-Bereitstellung mit Hunderten von Standorten. Der Automatisierungsprozess beseitigt Fehler und vereinfacht die Bereitstellung mehrerer Spoke-Standorte und Kopfstellen.

Vorlagen reduzieren oder eliminieren gängige Konfigurationsaufgaben und eliminiert menschliche Fehler bei der Konfiguration mehrerer Geräte. WAN Edge-Vorlagen:

  • Durchsetzung von Standards in einer gesamten Bereitstellung.
  • Stellen Sie sicher, dass alle Ihre Netzwerkgeräte auf dasselbe DNS (8.8.8.8) verweisen.
  • Bereitstellung eines vorhersehbaren Verhaltens, da sie dasselbe Network Time Protocol (NTP) für die Synchronisierung und Protokollierung verwenden. (Dies betrifft auch bestimmte Zertifikate.)
  • Vereinfachen Sie die Fehlerbehebung und Verwaltung.
    Abbildung 1: WAN-Edge-Vorlage WAN Edge Template

WAN Edge-Vorlagen können jedoch mehr als nur Aufgaben automatisieren. Sie können eine Vorlage verwenden, um eine Konfiguration zu standardisieren, die konsistent auf alle Standorte angewendet werden kann , auch wenn Sie nicht alle Features an allen Standorten bereitstellen. Beispielsweise benötigen Sie möglicherweise nicht an jedem Standort ein Gastnetzwerk, aber wenn Sie die Konfiguration in die Vorlage aufnehmen, reservieren Sie diese Schnittstelle. Wenn zukünftige Pläne ein Gastnetzwerk erfordern, ist die Schnittstelle einsatzbereit.

Diese Vorlagen ermöglichen außerdem:

  • Großbestellungen von Hardware für Ports und Standortgruppen über bestimmte Modelle.
  • Spezifische Anwendungsfälle und Datenverkehrsströme.
  • Verschiedene LAN-Unternehmensnetzwerke.
  • Gast-Netzwerke.

WAN Edge-Vorlagen konfigurieren automatisch sich wiederholende Informationen wie eine IP, ein Gateway oder ein VLAN. Darüber hinaus können WAN-Edge-Vorlagen Datenverkehrssteuerung, Zugriffsrichtlinien, Routing-Einstellungen und jede weitere Konfiguration enthalten, die Sie standardisieren möchten. Denken Sie daran, dass Sie ein Präfix, eine NAT oder andere lokale Informationen für WAN- und LAN-Konnektivität benötigen.

Hub-Profile

Hub-Profile können mit WAN Edge-Vorlagen verwendet werden. Hubs befinden sich nicht am Edge und sind universell einzigartig in Ihrem Netzwerk. Hubs beeinflussen, wie Mist Systems das Overlay-Netzwerk aufbaut. Jede Zweigstelle und jedes Remote-Büro baut die SD-WAN-Kommunikation zum Hub auf. Die Topologie wird durch Overlay-Endpunkte bestimmt, die ein einzelnes Overlay bilden. Jede Hub-WAN-Schnittstelle schafft ein Overlay-Endgerät für Speichen. Spoke-WAN-Schnittstellen bilden die entsprechenden Hub-WAN-Schnittstellen zu und definieren die Topologie. Dies ist die Abstraktion des Transportnetzwerks. Da die beiden Plattformen für WAN Assurance die Abstraktion unterschiedlich lösen, müssen Sie ihre Nuancen beim Aufbau des Overlay-Netzwerks verstehen.

® Firewall der SRX-Serie von Juniper

Das Overlay-SD-WAN der SRX-Serie kombiniert einen virtuellen Router für die Routentrennung und IPsec-Tunnel für sicheren Transitverkehr. WAN-Konfigurationen legen die Topologie fest und bauen das Overlay-Netzwerk auf. Beachten Sie, dass Sie nur ein Overlay pro Organisation implementieren können. Sie können innerhalb dieses Overlays jedoch viele Pfade über mehrere Transportarten hinweg haben und Datenverkehr sicher isolieren und weiterleiten. Für Geräte der SRX-Serie kombiniert das Overlay eine Sicherheitszone, einen virtuellen Router und IPsec-Tunnel.

® Session Smart-Router™ von Juniper Networks

Das Session Smart-Overlay SD-WAN ist Ihre Nachbarschaft, die eine proprietäre Kommunikation über BFD auf Port 1280 für Erreichbarkeit und Jitter, Latenz und Verlust zwischen Session Smart-Peers beinhaltet. Wenn Sie eine WAN-Schnittstelle in einem Hub-Profil konfigurieren, wird ein Overlay-Hub-Endgerät erstellt. Auf dem Session Smart-Router ist das Endgerät das empfangende Ende des SVR.

Wenn Sie eine Spoke-WAN-Schnittstelle dem Overlay-Hub-Endgerät zuordnen, passieren einige Dinge. Das Spoke stellt eine Peer-Konnektivität her und identifiziert die Nachbarschaften und Vektoren für SVR, die Session-Smart-Abstraktion des Transportnetzwerks.

Ein letzter Hinweis zum Overlay: Die SRX-Serie und die Session Smart Router können nicht in einem einzigen Overlay existieren. Diese Geräte können über BGP am Hub gekoppelt werden, aber ihre Lösungen zur Herstellung von standortübergreifender Konnektivität sind einzigartig und können nicht zusammen im selben Overlay betrieben werden. Wenn Sie Migrationspläne haben, identifizieren Sie, welche Routen angekündigt werden müssen, und machen Sie sie im Hub bekannt.

Beachten Sie die folgenden Überlegungen zum Hub-Profil:

  • Hub-Profile müssen zuerst erstellt werden, damit Spoke-Vorlagen wissen, wo die Verbindung hergestellt werden muss.
    • Hubs müssen über statische IPs für Overlay-Endpunkte verfügen.
    • Die Konfiguration des Overlay-Endgeräts wird in der Spoke-Vorlage für WAN Edge verfügbar gemacht.
  • Die Anzahl der Hubs, die Sie in diese Richtlinien aufnehmen können, ist unbegrenzt:
    • Ein Hub pro Datencenter
    • Zwei Hubs für Redundanz (Cluster mit hoher Verfügbarkeit)

Spokes wählen den primären Hub über Datenverkehrssteuerung und eine Anwendungsrichtlinie aus. Zero-Touch-Provisioning (ZTP) erfordert DHCP (für die physische Implementierung), es sei denn, ZTP wird durchgeführt und dann in das Zielnetzwerk migriert. Sie können die Geräte auch manuell vorbereiten.

Abbildung 2: Hub-Profil Hub Profile

Standort-Variablen

Standortvariablen werden für jeden Standort einzeln konfiguriert. Bei der ganzheitlichen Planung eines Netzwerks können Sie Standardvorlagen für bestimmte WAN Edges und WAN Edge-Cluster erstellen. Idealerweise haben Sie nur ein WAN-Edge-Gerät pro Standort (oder ein einzelnes logisches WAN-Edge, wenn das Gerät geclustert ist). Da sich Variablen je nach Standort unterscheiden können, verwenden Administratoren sie in Vorlagen oder auf der WAN Edge-Konfigurationsseite. Die Transformation erfolgt, wenn die Konfiguration gerendert und an das Gerät übertragen wird.

Beachten Sie die folgenden Überlegungen zu Standortvariablen:

  • Die Syntax für Variablen stimmt mit Jinja2 überein und ist in doppelten geschweiften Klammern enthalten, wie folgt: {{variableName}}
  • Die Benutzeroberfläche erzwingt die führenden und nachfolgenden geschweiften Klammern als Teil des Namens.
  • Einschränkungen bei Standortvariablen:
    • Keine Leerzeichen in der Variablen.
    • Keine Sonderzeichen (außer Unterstrich) innerhalb des Variablenfelds.
    • Variablen können nur in einem Feld verwendet werden und können kein ganzes Präfix angeben.

    Zum Beispiel würde 10.88.88.88/24 mindestens zwei Variablen benötigen, eine für die IP-Adresse (10.88.88.88) und eine andere für die Präfixlänge (24).

    Abbildung 3: Standort-Variablen Site Variables

    Der beste Weg, die wahre Leistungsfähigkeit von Vorlagen zu nutzen, sind Site-Variablen. Für die Bereitstellung der Hardware sind viele Konfigurationselemente erforderlich. Es ist sinnvoll, die WAN-Edge-Vorlagen und Standortvariablen zu kombinieren. Stellen Sie sich die folgende Situation vor, in der Sie ganze IP-Subnetze der ersten drei Oktette definieren können, wobei die Konfiguration auf jedem Gerät minimal bleibt:

    Erstellen Sie Standardvorlagen und platzieren Sie Variablen in Standardschnittstellen wie Ihrem WAN auf eine der folgenden Arten:

    • Mit einer Variablen WAN1PFX, sagen wir {{192.168.170}}, und im Feld WAN auf der Konfigurationsseite wäre es {{WAN1PFX}}.1 für die lokale IP und {{WAN1PFX}}.2 für das Gateway.
    • Sie könnten ein {{WAN1IP}}- und {{WAN1_GW}}-Variablenpaar definieren; Es gibt jedoch Orte, an denen das Subnetz wiederverwendet werden kann, aber nicht die spezifische IP.
      Abbildung 4: Standortvariablen in der WAN-Konfiguration Site Variables in WAN Configuration

      Ein weiterer robuster Anwendungsfall ist das magische Oktett, bei dem das dritte Oktett zu einer Variablen wird und diese Variable auch auf mehrere Felder angewendet werden kann. Beispielsweise kann eine {{SITEID}}-Variable sowohl für das dritte Oktett als auch für ein VLAN-Tag verwendet werden. In diesem Fall könnte das Netzwerkpräfix 192.168 sein. {{SITEID}}.1/24 mit der VLAN-ID {{SITE_ID}}. Denken Sie daran, dass WAN Edge-Vorlagen zwar nur für den WAN Edge gelten, Standortvariablen jedoch auch für Switches und APs. Der Zweck der Automatisierung besteht darin, Bereitstellungen zu vereinfachen und die Wiederverwendbarkeit zu erhöhen.

Einführung in die Anwendung von Vorlagen

Denken Sie daran, dass eine Website eine Sammlung aller Ihrer Assets an einem einzigen Ort ist. Es wird impliziert, dass es nur einen einzigen WAN-Edge geben wird. Eine wichtige Funktion der Verwaltung von Mist Systems über Juniper Mist AI ist die Möglichkeit, Konfigurationsvorlagen zu verwenden, um WAN-Edges zu gruppieren und Massenaktualisierungen vorzunehmen. Vorlagen sorgen für Einheitlichkeit und Benutzerfreundlichkeit, während die Hierarchie für Skalierung und Granularität sorgt.

Importieren und Exportieren von Vorlagen

Keine Lösung deckt alle Umstände ab. Sie können mehrere Vorlagen haben. Um Zeit zu sparen, klonen Sie eine Vorlage. Passen Sie dann die geklonte Kopie an, indem Sie sie nach Bedarf ändern.

Abbildung 5: Vorlage Export or Clone Template exportieren oder klonen

Beispiel für Ändern einer Vorlage

Überschreiben der Vorlage

Vorlagen gelten für Websites, die wiederum für Geräte gelten. Vorlagen werden verwendet, um Konfigurationen zu standardisieren, aber es gibt immer Ausnahmen. Anstatt eine etwas andere Vorlage für einen Standort zu erstellen, überschreiben Sie die Vorlagenkonfiguration auf dem Gerät.

Abbildung 6: Überschreiben von Vorlageneinstellungen Override Template Settings

Wenn Sie die Vorlage überschreiben müssen, können Sie die Option Vorlageneinstellungen überschreiben für die erforderlichen Konfigurationsblöcke pro Gerät aktivieren. Abbildung 7 zeigt, wie Sie das DNS und die Anwendungsrichtlinie außer Kraft setzen können, aber keine der anderen Einstellungen wie WANs, LANs oder NTP-Server.

Abbildung 7: Anwendungsrichtlinie Application Policy

Der Screenshot zeigt eine Alles-oder-Nichts-Aktion. Wenn Sie die Vorlageneinstellungen überschreiben, erbt diese Konfiguration keine Anwendungsrichtlinien mehr von der WAN Edge-Vorlage.

Ihnen muss eine der folgenden Rollen zugewiesen sein, um die Konfiguration zu überschreiben:

  • Superuser
  • Netzwerkadministrator (Zugriff auf alle Standorte)
  • Netzwerkadministrator (Zugriff auf Site-Gruppen oder bestimmte Sites)

Anwendungsrichtlinien auf Unternehmensebene

Abbildung 8: Anwendungsrichtlinien auf Unternehmensebene

Abbildung 8 zeigt die Konfigurationsoption Anwendungsrichtlinie auf Organisationsebene.

Organizational-Level Application Policy

Obwohl Vorlagen Zeit bei der Bereitstellung mehrerer Geräte sparen, verfügen Sie möglicherweise über verschiedene Vorlagen, um unterschiedliche Gerätemodelle oder leicht unterschiedliche Konfigurationen zu berücksichtigen. Sie können für jede Vorlage dieselbe Anwendungsrichtlinie erstellen, aber erwägen Sie die Verwendung einer Anwendungsrichtlinie auf Organisationsebene als Abkürzung. Mit einer Anwendungsrichtlinie auf Organisationsebene können Sie importierbare Anwendungsregeln in WAN Edge-Vorlagen und Hub-Profilen für große Netzwerktopologien erstellen.

Sehen wir uns einige bewährte Methoden und Einschränkungen für die Verwendung einer Anwendungsrichtlinie auf Organisationsebene an. Geben Sie jeder Anwendungsrichtlinie auf Organisationsebene einen global eindeutigen Namen, da sonst beim Speichern der Konfiguration Fehler auftreten. In der importierten Richtlinie sind alle Felder abgeblendet, da sie nicht geändert werden soll. Es gibt keine Datenverkehrssteuerung auf Unternehmensebene, was sinnvoll ist, da die Datenverkehrssteuerung für lokale Verbindungen und Absichten gilt.

Erwägen Sie, eine Anwendungsrichtlinie auf Organisationsebene auf einen LAN-Block oder ein Subnetz anzuwenden. Wenn Sie ein LAN-"Supernetz" mit einem 10/8 erstellen, erlaubt die Richtlinie alles, was von 10/any stammt, das Internet zu erreichen, was bedeutet, dass es für alle Ihre Websites funktionieren würde. Deshalb ist Planung entscheidend. Entwerfen Sie Ihr Netzwerk so, dass die Fehlerbehebung mit ähnlichen Datenverkehrsmustern unabhängig von der Bereitstellung optimiert wird. Beispielsweise verfügen einige Standorte über LTE, und der Datenverkehr muss dort an anderen Standorten ausgehen. Darüber hinaus sind einige Standorte eigenständig, andere sind SD-WAN-Standorte. Für beide könnte eine universelle Richtlinie gelten, die der Datenverkehrssteuerung an eigenständigen Standorten sagt, dass sie aus dem WAN zum Underlay gehen soll, während die Standorte zum Overlay für die SD-WAN-Spokes gehen.

Zusammenfassend lässt sich sagen, dass der Anwendungsfall für eine Richtlinie auf Unternehmensebene darin besteht, netzwerkweite Datenverkehrsmuster unabhängig vom Standort zu beschreiben. Als Richtlinie definieren Sie, was erlaubt ist und was nicht. Wenn Sie dann auf den Standort oder die Vorlage angewendet werden (was für Orte gilt), fügen Sie den Steuerungsteil hinzu und erhalten so das letzte Puzzleteil.

Überlegungen zum WAN-Design

Abbildung 9 zeigt den Workflow für die Bereitstellung von WAN Edge.
Abbildung 9: Workflow WAN Edge Provisioning Workflow für die WAN-Edge-Bereitstellung

Die Überprüfung der Blöcke, aus denen das abgeschlossene Projekt besteht, ist für die Bereitstellung eines SD-WAN wie folgt unerlässlich:

  1. Überlegen Sie, wer (das Netzwerk) die Quelle der Anfragen in Ihrer Organisation ist.
  2. Überlegen Sie, auf welche Ziele (Anwendungen) Benutzer zugreifen.
  3. Wohin gehen diese Elemente in Ihrem Unternehmen? Berücksichtigen Sie die Websitetypen.
  4. Überlegen Sie schließlich, "wie" (Traffic Steering) diese Benutzer Zugriff auf ihre Datenverkehrsziele erhalten und erhalten.
  5. Jetzt können Sie die Leistungsfähigkeit von Mist AI, Vorlagen und Variablen für die Skalierung nutzen.

SD-WAN-Bereitstellung

Die Reihenfolge der Operationen ist wichtig. Führen Sie bei der Vorbereitung der Implementierung der SD-WAN-Bereitstellung die folgenden Aufgaben aus:

  1. Planen Sie zunächst Ihr Netzwerk mit Vorlagen und denken Sie ganzheitlich über die Bereitstellung nach.
  2. Hub-Profile müssen vor den WAN Edge-Spoke-Vorlagen stehen.
  3. Entwerfen Sie zuerst mit Ihren Anwendungen (Datenverkehrsziele) und dann mit Netzwerken (wer).

Sie können Apps analysieren und später detaillierter werden.

  1. Stellen Sie sicher, dass Sie Ihre Netzwerke (Datenverkehrsquellen) kennen.

Netzwerke informieren über Richtlinien und die Steuerung des Datenverkehrs.

  • Wenden Sie die entsprechende Anwendungsrichtlinie auf beide Enden (Speichen und Hubs) an.

Streben Sie bei der Einrichtung von Overlay-Endgeräten eine End-to-End-Erreichbarkeit an. Beachten Sie, dass Sie einen isolierten MPLS-Endgerät nicht mit einem Internet-Endgerät verbinden können.

Zugehörige Dokumentation