Verwenden von benutzerdefinierten Optionen zum Konfigurieren von Secure Edge Connector

Verwenden Sie benutzerdefinierte Optionen zum Konfigurieren der Tunnel-Bereitstellung oder zur Unterstützung von Site-to-Site-VPN.

Juniper Mist Systems™ bietet benutzerdefinierte Optionen für die Tunnel-Bereitstellung. Mit minimaler Konfiguration kann Ihr WAN Edge-Gerät Verbindungen zur SSE über IPsec- oder GRE-Protokolle herstellen.

Konfigurieren der Tunnelbereitstellung

Bevor Sie beginnen: Stellen Sie sicher, dass Sie die Kontodaten für das lokale und Remote-Netzwerk zur Hand haben.

So konfigurieren Sie einen Tunnel:

Navigieren Sie im linken Menü zu einer WAN Edge-Vorlage, einem Hub-Profil oder einem Gerät.

Scrollen Sie zum Abschnitt Secure Edge Connector, klicken Sie auf Anbieter hinzufügen, und geben Sie die Bereiche ein:

Name: Geben Sie den Namen des Services ein.
Anbieter: Wählen Sie Benutzerdefiniert aus.
Remote-Netzwerk: Wählen Sie ein vorhandenes Netzwerk aus, oder erstellen Sie ein Netzwerk.
Protokoll: Wählen Sie IPsec oder GRE aus. Geben Sie dann die Einstellungen für das ausgewählte Protokoll ein.

Tabelle 1: Einstellungen
Beschreibung des Feldes
Lokale ID (nur IPsec)	Geben Sie die Anmelde-ID für das lokale Konto ein.
Pre-Shared Key (Klartext) (nur IPsec)	Geben Sie den vorab freigegebenen Schlüssel (PSK) für das lokale Konto ein. Die Länge des PSK muss zwischen 6 und 255 Zeichen betragen.
IP oder Hostname	Geben Sie die IP-Adresse oder den Hostnamen ein.
Quell-IP	Geben Sie die Quell-IP-Adresse des Tunnels ein.
Sondieren von IPs	Geben Sie die IP-Adresse der Sonde ein. Sie können jede bekannte IP verwenden (Beispiel: 8.8.8.8).
Remote-ID (nur IPsec)	Geben Sie die Anmelde-ID des Remote-Kontos an.
WAN-Schnittstelle	Fügen Sie eine oder mehrere WAN-Schnittstellen zur Bereitstellung von primären und sekundären Tunneln hinzu. Wenn Sie mehrere WAN-Schnittstellen hinzufügen, hat die erste Schnittstelle die Priorität. Wenn die erste Schnittstelle ausgefallen ist, verwendet das System die zweite Schnittstelle, um den Tunnel einzurichten. Wenn Sie auf Schnittstelle hinzufügen klicken, wählen Sie aus der Liste der WANs aus, die für die ausgewählte Vorlage, das Hub-Profil oder das Gerät konfiguriert wurden.
IKEv2-Vorschlag (nur IPsec)	Behalten Sie die Standardwerte bei, oder klicken Sie auf Vorschlag hinzufügen. Wählen Sie dann die Einstellungen eingeben.
Lebensdauer	Geben Sie einen Wert zwischen 180 und 86400 Sekunden ein.

Klicken Sie unten im Anbieterbereich auf Hinzufügen.
Scrollen Sie nach unten zum Abschnitt Routing, klicken Sie auf BGP-Gruppe hinzufügen, und geben Sie die Einstellungen ein.
Tipps:
- Wählen Sie für das Peering-Netzwerk denselben SEC-Anbieter aus, den Sie in den vorherigen Schritten erstellt haben.
- Geben Sie für Lokale AS die AS-Nummer oder die nicht standardmäßige AS für WAN Edge ein.
- Wenn Sie das GRE-Protokoll ausgewählt haben, konfigurieren Sie die BGP-Gruppe wie folgt:
- - Name: Geben Sie der BGP-Gruppe einen Namen, z. B. BGP-over-GRE
  - Peering-Netzwerk: Wählen Sie SEC Tunnel und dann den Tunnel aus, den Sie in Schritt iv oben konfiguriert haben.
  - Wählen Sie Für das Overlay ankündigen aus.
  - BDF: Wählen Sie Deaktiviert.
  - Typ: Wählen Sie Extern aus.
  - Lokaler AS: Geben Sie die Nummer des verwendeten AS ein, z. B. 65000.
  - Haltezeit: Geben Sie eine Zeit in Sekunden an, z. B. 90.
  - Graceful-Restart-Zeit: Geben Sie eine Zeit in Sekunden an, z. B. 120.
- Klicken Sie im Abschnitt Nachbarn auf Nachbarn hinzufügen. Fügen Sie die BGP-Peer-IP-Adresse mit SSE und AS-Wert hinzu.
- Optional können Sie eine BGP-Richtlinie für den Import oder Export von Routen hinzufügen.
Hilfe zu anderen BGP-Einstellungen finden Sie unter BGP.
Speichern Sie die BGP-Gruppe.
Scrollen Sie zum Abschnitt Traffic Steering, klicken Sie auf Traffic Steering hinzufügen, und geben Sie die Einstellungen ein.
- Name: Geben Sie einen Namen für das Traffic Steering-Profil ein.
- Strategie: Wählen Sie eine Strategie aus. Sie können das Datenverkehrssteuerungsprofil mit einer beliebigen Strategie (geordnet oder gewichtet oder ECMP) basierend auf Ihrer Topologie und Konfiguration konfigurieren.
- Pfad (Path) – Klicken Sie auf Pfade hinzufügen , und geben Sie die folgenden Details ein.
  - Typ: Wählen Sie Secure Edge Connector aus.
  - Anbieter: Wählen Sie Benutzerdefiniert aus.
  - Name: Wählen Sie den Namen des benutzerdefinierten Konnektors aus, den Sie im vorherigen Schritt erstellt haben.
Speichern Sie die Richtlinie zur Datenverkehrssteuerung.
Klicken Sie oben rechts auf der Seite auf Speichern, um die gesamte Konfiguration zu speichern.
Fügen Sie eine Anwendungsrichtlinie hinzu.

Die Anwendungsrichtlinie ermöglicht es dem gewünschten Netzwerk, die spezifischere Anwendung über die Routing-Tabelle zu erreichen. In der Anwendungsrichtlinie können Sie das Remotenetzwerk einbeziehen, das Sie im vorherigen Schritt erstellt haben. Verwenden Sie dieses Netzwerk in einer Anwendungsrichtlinie, um eingehenden Zugriff über den Secure Edge Connector zuzulassen. Um die Anwendungsrichtlinie zu erstellen, wechseln Sie im Juniper Mist Systems Cloud-Portal zu Organisation > WAN > Anwendungsrichtlinie. Weitere Informationen finden Sie unter Anwendungsrichtlinien.

Konfigurieren eines Site-to-Site-VPN

Unterstützung für Site-to-Site-VPN

Sie können Site-to-Site-VPN mit einer benutzerdefinierten Option für die Tunnel-Bereitstellung einrichten.

Ein Site-to-Site-VPN ist eine sichere, softwaredefinierte Netzwerkverbindung, die zwei oder mehr Remote-Standorte über das Internet verbindet. Diese Art von VPN ist entscheidend für Unternehmen, die Zweigstellen, Datencenter oder andere Remote-Standorte sicher und effizient verbinden möchten.

Rufen Sie das Portal von Juniper Mist Systems auf und navigieren Sie zum Abschnitt Secure Edge Connector auf der Ebene der WAN-Edge-Vorlagen, des Hub-Profils oder des Standorts.
Klicken Sie auf Anbieter hinzufügen und wählen Sie die Option Benutzerdefiniert .
Geben Sie die erforderlichen Details für die Tunnel-Bereitstellung ein, z. B. lokale und Remote-Netzwerkkontodaten, IP-Adressen und vorinstallierte Schlüssel
Definieren Sie die IKEv2- und IPsec-Vorschläge, einschließlich Verschlüsselungs- und Authentifizierungs-Algorithmen, Diffie-Hellman-Gruppen und Lebensdauern. Sie müssen IKE- und IPsec-Werte auswählen, die mit dem Gerät an einem anderen Ende des Tunnels übereinstimmen.
Weisen Sie WAN-Schnittstellen für primäre und sekundäre Tunnel zu.
Erstellen Sie ein Traffic Steering-Profil. Dieses Profil definiert, wie der Datenverkehr durch den VPN-Tunnel geleitet wird. Dieses Profil wird dann in einer Anwendungsrichtlinie verwendet, um diese Einstellungen auf bestimmte Datenverkehrstypen anzuwenden.
Erstellen Sie Richtlinien für eingehende oder ausgehende Anwendungen. Wenn Sie zulassen möchten, dass Datenverkehr aus dem Remote-Netzwerk in Ihr lokales Netzwerk gelangt, müssen Sie ein Netzwerk erstellen, das das Remote-Netzwerk darstellt. Fügen Sie dieses Netzwerk an den benutzerdefinierten Secure Edge Connector (SEC)-Anbieter an, und verwenden Sie es als Quelle in einer Anwendungsrichtlinie.

Verifizierung

Im Juniper Mist Systems Portal können Sie die Details zu den eingerichteten Tunneln in WAN Insights des Geräts überprüfen, sobald das Ereignis "Automatische Bereitstellung des WAN-Edge-Tunnels " unter "WAN Edge-Ereignisse" angezeigt wird.

Sobald Sie die Vorlage aktualisieren, wird die IPsec-Konfiguration an das WAN Edge-Gerät übertragen. Bei der erstmaligen IPSec-Bereitstellung benötigt das System Zeit, um die Software und Konfiguration herunterzuladen.

Nachdem die IPSec-Konfiguration bereitgestellt wurde, können Sie den IPsec-Status anzeigen, indem Sie zu WAN Edge > WAN Edge Name > Secure Edge Connector Details navigieren.

Sie können BGP Nachbarstatus anzeigen, indem Sie zu Überwachen > Insights > WAN Edge navigieren.

Um die von Ihnen erstellte BGP-over-GRE-Sitzung zu überprüfen, können Sie die WAN Edge-Testtools verwenden:

WAN Edge > Versorgungsunternehmen > Testtools.

Öffnen Sie die Registerkarte BGP > Zusammenfassung oder Routen > Routen anzeigen.