Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Composants de Contrail Service Orchestration

Cette section vous présente certains des principaux éléments et concepts que vous devez comprendre avant d’utiliser CSO. Pour une description plus détaillée de ces éléments et concepts, reportez-vous au Guide de l’utilisateur du Portail d’administration Contrail Service Orchestration et au Guide de l’utilisateur du Portail client Contrail Service Orchestration disponibles à l’adresse https://www.juniper.net/documentation/product/en_US/contrail-service-orchestration.

Administrateurs

CSO utilise un cadre d’administration hiérarchique basé sur les domaines. Après l’installation de CSO, le premier administrateur est nommé cspadmin par défaut. Cet administrateur est également appelé administrateur du fournisseur de services global (SP). Cet administrateur SP dispose d’un accès complet en lecture et en écriture à l’ensemble de la plate-forme CSO à partir du domaine global. Dans CSOaaS, le rôle d’administrateur csp est réservé à Juniper Networks. L’administrateur SP peut créer, modifier et supprimer d’autres administrateurs et opérateurs soumis à des contrôles d’accès basés sur les rôles (RBAC) qui leur attribuent des privilèges sur les différents objets dans CSO.

Le niveau d’administrateur suivant est l’administrateur de la société d’exploitation ou de l’OpCo. Dans CSOaaS, l’administrateur OpCo est le niveau d’administrateur le plus élevé disponible pour les abonnés des fournisseurs de services gérés. Le premier administrateur d’une OpCo donnée est créé par l’administrateur du fournisseur de services. Cet utilisateur dispose de tous les privilèges d’administrateur au sein d’un domaine OpCo. Dans le cas d’une installation CSO sur site, une OpCo peut être considérée comme un fournisseur de services régional au sein d’un fournisseur de services global. L’administrateur OpCo peut créer d’autres administrateurs et opérateurs au sein du domaine OpCo et de ses locataires, mais il ne peut pas affecter les éléments du domaine global ou le domaine des autres OpCo. Une connexion réussie par l’administrateur OpCo les place dans le portail d’administration de leur OpCo.

L’autre niveau d’administrateur est l’administrateur du locataire. Cet administrateur dispose d’un accès complet à tous les objets d’un seul locataire et peut créer d’autres administrateurs et opérateurs au sein de ce locataire. La connexion de l’administrateur de locataire les place dans le portail client de ce locataire.

Il y a aussi les utilisateurs OpCo et les opérateurs locataires. Les utilisateurs opérateur sont créés par les administrateurs de leur domaine respectif. Par défaut, les opérateurs disposent d’un accès en lecture seule aux éléments de leur domaine.

Ceci est résumé dans le tableau 1 :

Tableau 1 : mappage des utilisateurs aux portails et aux domaines

Utilisateur

Portail

Accès

Domaine

cspadmin

Administration

Lecture/écriture

global

Administrateur OpCo

Administration

Lecture/écriture

propre domaine OpCo

Opérateur OpCo

Administration

Lecture seule

propre domaine OpCo

Administrateur locataire

Client

Lecture/écriture

propre domaine de locataire

Opérateur locataire

Client

Lecture seule

propre domaine de locataire

Domaines

Chaque installation CSO prend en charge un domaine global unique accessible par l’administrateur du fournisseur de services. Pour les CSOaaS, ce domaine est inaccessible aux abonnés.

Au sein du domaine global, il peut exister plusieurs domaines OpCo. Dans l’installation sur site de CSO, ces domaines correspondent aux fournisseurs de services régionaux ou à tout autre schéma utilisé pour répartir les responsabilités administratives. Une configuration administrative plus simple peut choisir de n’avoir qu’un seul domaine OpCo. Pour les CSOaaS, chaque domaine OpCo correspond à un seul abonné de fournisseur de services gérés.

Dans chaque domaine OpCo se trouvent les domaines locataires. Il s’agit des entreprises individuelles dont la connectivité WAN est gérée. Pour l’installation sur site de CSO, ces locataires sont les clients du fournisseur de services régional ou du fournisseur de services global. Pour CSOaaS, ces locataires peuvent être des clients d’un fournisseur de services gérés abonné à CSOaaS ou des locataires peuvent être eux-mêmes des abonnés directs à CSOaaS.

Portails

CSO fournit un portail d’administration permettant au fournisseur de services et aux OpCos de gérer leurs domaines respectifs, ainsi qu’un portail client permettant aux locataires de gérer leurs domaines respectifs. L’accès à un portail donné dans un domaine donné est contrôlé par les privilèges de connexion d’un utilisateur. Si votre identifiant n’autorise pas l’accès au portail d’administration, vous ne pouvez voir ni accéder à aucun des éléments de ce portail.

Les portails d’administration permettent la création de locataires et la création d’autres objets de haut niveau que les locataires utilisent au sein des portails clients.

Les portails clients permettent aux locataires d’accéder à un sous-ensemble d’objets qui existent dans les portails d’administration. Un administrateur OpCo peut accéder au portail client d’un locataire en cliquant sur le lien locataire sur la page Locataires du portail d’administration.

Locataires

CSO utilise l’élément locataire pour séparer logiquement un client d’un autre. Un administrateur OpCo crée un locataire pour représenter chaque client pour lequel il fournira des services réseau.

En utilisant le RBAC et d’autres moyens tels que les instances VRF (Virtual Routing and Forwarding) au sein du réseau, CSO maintient tous les objets locataires et OpCo dans son propre espace. Cela inclut in fine le trafic qui traverse les réseaux des clients. Aucun locataire individuel, ses administrateurs, opérateurs ou clients ne peuvent voir ou interagir avec les objets d’un autre locataire ou client. Les locataires peuvent être nommés de la manière qui convient le mieux à l’administrateur du fournisseur de services ou de l’OpCo.

Points de présence (POP)

Un POP est un emplacement physique, généralement à la périphérie du réseau du fournisseur, qui sert de démarcation ou de point d’échange entre deux réseaux ou plus. Les POP sont utilisés dans les déploiements SD-WAN pour rapprocher l’accès réseau et les services réseau des utilisateurs qui en ont besoin. Différents services réseau et différents types de connexion peuvent être proposés à chaque point de pop, en fonction des besoins et de la disponibilité.

Dans CSO, un POP est généralement l’endroit où le trafic des locataires s’échappe du réseau superposé du locataire vers le réseau sous-jacent du fournisseur ou Internet. L’administrateur du fournisseur de services ou des opérations est responsable de la création du POP et de l’ajout des routeurs PE et des concentrateurs du fournisseur à ce POP. Une fois qu’un équipement de hub fournisseur est ajouté, l’appareil devient disponible pour être sélectionné pour être utilisé dans un réseau de locataire. Les POP peuvent être nommés de la manière qui convient le mieux à l’administrateur du fournisseur de services ou des OpCo.

Hub de fournisseurs

L’administrateur du fournisseur de services ou OpCo ajoute le hub du fournisseur au POP. Le hub fournisseur peut avoir l’un ou l’autre des rôles suivants, ou les deux :

  • OAM - Un hub OAM est situé logiquement entre les CPE et l’installation CSO. Son rôle est de recevoir le trafic OAM de CSO et de le transmettre aux équipements CPE de destination au sein de tunnels sécurisés. Dans l’autre sens, le hub OAM reçoit le trafic OAM des équipements CPE au sein de tunnels sécurisés et le transmet à CSO. Ce rôle n’existe que dans un déploiement local CSO. Dans CSOaaS, ce rôle fait partie du service fourni.

  • DONNÉES : pour le trafic locataire restant dans le réseau locataire, le hub de données agit comme un hub de transit pour le trafic de site à site. Pour le trafic des locataires à destination du réseau du fournisseur, le hub de données sert de point de démarcation entre le réseau du locataire superposé et le réseau du fournisseur sous-jacent. Le hub de données du fournisseur est facultatif pour les locataires qui disposent de leurs propres centres de données d’entreprise. Si un locataire dispose d’un concentrateur de données d’entreprise et d’un concentrateur de données de fournisseur affecté, le concentrateur de données du fournisseur affecté agit comme une solution de secours.

Une fois le hub fournisseur ajouté au POP, l’administrateur du SP ou OpCo peut associer le site hub fournisseur à un locataire.

Sites

Avant de pouvoir créer le réseau de locataires superposés, CSO doit connaître tous les sites de ce réseau. Il peut s’agir d’un site hub fournisseur, d’un site hub entreprise, d’un site spoke sur site ou d’un site cloud spoke (Tableau 2).

Tableau 2 : types de sites par déploiement

Types de sites disponibles

Ajouté par

Utilise

Notes d’entretien

Sur site en étoile,

L’administrateur du locataire ajoute le site spoke local.

Pare-feu NFX Series ou SRX Series placés sur les sites distants, selon une topologie en étoile ou à maillage complet.

Un spoke local possède les fonctionnalités suivantes :

SRX Series

  • Les passerelles de services de la gamme SRX300 prennent en charge les interfaces ADSL et LTE.

  • Les passerelles de services de la gamme SRX1500 et SRX300 prennent en charge PPPoE sur les interfaces WAN Ethernet.

  • Les pare-feu SRX Series déployés en tant que périphériques spoke sur site ne peuvent pas héberger de services réseau VNF.

NFX Series

  • Les appareils NFX Series utilisés comme appareils spoke sur site prennent en charge les liaisons d’accès ADSL, VDSL et LTE, qui peuvent également être utilisées pour le ZTP. Les liaisons d’accès DSL permettent de configurer le PPPoE. À partir de la version 4.0 de CSO, les liaisons d’accès LTE peuvent être utilisées comme liaisons de données, OAM ou DATA_OAM principales.

  • Les équipements NFX Series prennent en charge PPPoE sur les interfaces Ethernet WAN.

  • Prend en charge le breakout local lors de l’utilisation d’une topologie de maillage dynamique.

Note:

Le ZTP à l’aide d’une interface xDSL ne fonctionnera pas si la liaison est PPPoE. Si la liaison est pontée et utilise DHCP, le ZTP fonctionnera sur les interfaces xDSL.

Spoke en nuage

L’administrateur du locataire ajoute le site cloud spoke.

Pare-feu virtuel vSRX placé dans le cloud privé virtuel (VPC) Amazon Web Services (AWS) d’un locataire

Un spoke cloud possède les fonctionnalités suivantes :

  • Des services de pare-feu et de sécurité du contenu sont disponibles pour protéger les ressources du client dans un VPC AWS.

  • Connectivité entre les ressources VPC et les sites sur site.

  • Les interfaces WAN_0, WAN_1 et LAN doivent être prédéfinies dans le VPC.

  • Deux adresses IP élastiques doivent être réservées dans le VPC pour être connectées ultérieurement aux interfaces WAN.

  • Un VPC doit être créé et connecté à une passerelle Internet.

  • Seule une topologie en étoile est prise en charge.

  • Le hub doit avoir des adresses IP publiques sur ses interfaces WAN.

  • Le type d’interface WAN du hub doit être défini sur Internet lors de l’intégration.

Hub de fournisseurs

L’administrateur du fournisseur de services ou OpCo ajoute des sites hub de fournisseur pour un locataire.

L’ajout d’un site Provider Hub implique l’association d’un appareil Provider Hub existant au locataire. Pour ce faire, l’administrateur du SP ou OpCo bascule vers le portail client du locataire et ajoute le site du hub du fournisseur en sélectionnant le POP et l’équipement du hub du fournisseur dans la liste des POP et des équipements du hub du fournisseur disponibles.

Le nom du site du hub fournisseur est automatiquement défini sur le nom de l’appareil hub fournisseur sélectionné.

Les pare-feu SRX Series jouent un rôle central dans le cloud d’un fournisseur de services. Les concentrateurs établissent des tunnels IPSec avec les sites spoke. Les équipements du hub fournisseur sont mutualisés (partagés entre plusieurs sites) à l’aide d’instances VRF configurées sur ceux-ci.

Les fonctionnalités d’un hub fournisseur sont les suivantes :

  • Avant qu’un site Provider Hub puisse être ajouté, l’appareil Provider Hub doit être créé.

  • Pour les CSOaaS, seul l’administrateur OpCo peut ajouter des sites de hub de données fournisseur.

  • Un équipement de hub est requis pour la topologie de maillage dynamique.

  • Le breakout local n’est pas pris en charge sur les sites hub du fournisseur.

Hub d’entreprise

L’administrateur du locataire ajoute le site hub d’entreprise.

Fournit des capacités supplémentaires de type concentrateur à un site en étoile normal.

Les fonctionnalités d’un hub d’entreprise sont les suivantes :

  • Peut se comporter comme un rayon normal.

  • Agit comme un point d’ancrage pour les rayons pour la création d’un VPN dynamique.

  • Fournit une option de breakout central sur site.

  • Peut héberger un département de centre de données.

  • Peut importer des routes BGP et OSPF à partir d’un équipement L3 côté LAN pour créer un segment LAN dynamique de datacenter.

  • Maillage automatique avec d’autres hubs d’entreprise appartenant au même locataire.

  • Des sites spoke standard peuvent être affectés pour être associés à des hubs d’entreprise.

  • Prend en charge les profils de répartition locaux, centraux et cloud avec des règles basées sur l’intention pour un contrôle plus granulaire des points de rupture.

Topologies

CSO prend en charge les topologies de réseau suivantes :

  • Standalone Topology — Cette topologie est une topologie dans laquelle les clients ou utilisateurs des services réseau restent séparés les uns des autres sans aucun moyen de communication entre eux, comme dans la solution NGFW. La solution NGFW assure la sécurité des sites distants à l’aide de pare-feu de nouvelle génération SRX Series (Figure 1).

    Figure 1 : NGFW Standalone NGFW autonome

  • Hub–and–Spoke Topology — Cette topologie est prise en charge pour les déploiements SD–WAN. Tout le trafic, y compris le trafic en étoile, passe par le site du hub.

    La figure 2 illustre le concept de réseau en étoile.

    Figure 2 : topologie Hub-and-Spoke Topology en étoile

  • Dynamic Mesh Topology — Cette topologie est prise en charge pour les déploiements SD-WAN. La figure 3 montre un exemple de topologie de maillage dynamique dans laquelle le trafic peut circuler directement de n’importe quel site vers n’importe quel site. Les tunnels de site à site sont créés dynamiquement en fonction des seuils de trafic, ce qui permet d’économiser les ressources et d’améliorer les performances globales. Les balises de maillage sont utilisées pour déterminer quels sites peuvent se connecter entre eux.

    Figure 3 : topologie Dynamic Mesh Topology de maillage dynamique

Réflecteur de route virtuel (VRR)

Le VRR fait partie du contrôleur SD-WAN de CSO. Il s’agit de l’une des machines virtuelles qui est provisionnée et installée pendant le processus d’installation. Pour faciliter le routage nécessaire dans le déploiement du SD-WAN, le VRR forme des sessions BGP superposées avec des rayons CPE et des équipements hub sur l’interface sous-jacente désignée pour la capacité OAM. Vous effectuez cette sélection à l’aide du flux de travail Configurer le site pour l’intégration du site. La figure 4 illustre le concept du VRR

Figure 4 : Vue d’ensemble du VRR Overview VRR

Profils et politiques de pilotage basés sur des SLA

CSO permet de créer des profils de direction basés sur des SLA qui peuvent être mappés aux intentions de la politique SD-WAN pour la gestion du trafic dans un déploiement SD-WAN. Les profils sont conçus pour diriger le trafic vers une liaison WAN spécifique en fonction de paramètres SLA tels que la perte de paquets, le temps d’aller-retour (rtt) et les seuils de gigue. Des profils de pilotage SLA sont créés pour les types de trafic applicatif globaux pour tous les locataires. Un profil SLA est constitué d’un ensemble de contraintes configurables qui peuvent être définies dans le portail d’administration.

Vous pouvez définir :

  • Préférence de chemin pour chacun des chemins de connexion d’un site à l’autre

  • Préférence de chemin pour chacun des chemins de connexion du site au hub

  • Paramètres de seuil pour le débit

  • Paramètres de seuil de perte de paquets

  • Paramètres de seuil de latence

  • Paramètres de seuil pour la gigue

  • Classe de service pour différents types de trafic

  • Limiteurs de débit pour contrôler les débits de trafic en amont et en aval, ainsi que la taille des rafales

Une fois le profil de pilotage établi, vous pouvez créer une stratégie SD-WAN basée sur l’intention qui applique ce profil à des sites ou services spécifiques, ainsi qu’à des types de trafic applicatif spécifiques, tels que SSH et HTTP.

Note:

Lors de la création d’un profil SLA, vous devez définir la préférence de chemin ou l’un des paramètres SLA. Les deux champs ne peuvent pas être laissés vides en même temps.

Pour plus d’informations, consultez Présentation des profils SLA et des stratégies SD-WAN .

Profils de direction basés sur les trajectoires

Les profils de direction basés sur les chemins sont un moyen simplifié d’orienter les types de trafic applicatif global vers un chemin WAN spécifique. Avec ces profils, vous n’avez pas besoin de configurer de paramètres SLA. Tout ce que vous avez à faire est de spécifier le chemin disponible que vous souhaitez qu’un type de trafic spécifique emprunte. Tout comme pour les profils de direction SLA, vous pouvez définir des paramètres de limitation de débit pour ces profils. Vous devez également affecter ces profils à une politique SLA avant qu’ils ne prennent effet.

Stratégies de pare-feu basées sur l’intention

Accessible via le portail client, CSO présente les politiques de pare-feu sous forme de politiques basées sur l’intention . Les stratégies de pare-feu fournissent des fonctionnalités de sécurité en appliquant des intentions au trafic qui transite par un appareil. Le trafic est autorisé ou refusé en fonction de l’action définie comme l’intention de la stratégie de pare-feu. Si votre intention est de bloquer le trafic HTTP à partir de sites de réseaux sociaux, mais d’autoriser le trafic HTTP à partir de Microsoft Outlook, vous pouvez créer une stratégie d’intention pour ce faire.

Pour plus d’informations, reportez-vous à la section Présentation de la stratégie de pare-feu .

Gestion d’images logicielles

Le portail d’administration CSO permet aux administrateurs de fournisseurs de services (cspadmin) de télécharger des images logicielles de périphériques et des images VNF sur la page Ressources > images . Dans un déploiement CSO local, l’utilisateur cspadmin peut charger des images de périphérique pour les pare-feu SRX Series (y compris le pare-feu virtuel vSRX), les équipements NFX Series et les équipements EX Series pris en charge.

Pour CSOaaS, un administrateur OpCo peut voir les images qui ont été téléchargées sur CSO par Juniper Networks. Il peut également mettre en place et déployer des images d’appareils téléchargées sur des équipements CPE et des commutateurs d’accès EX Series.