Ajout de sites cloud spoke pour le déploiement SD-WAN
Un pare-feu cloud représente un point de terminaison d’automatisation (machine virtuelle (VM) ou une instance EC2) exécutant une image de pare-feu virtuel vSRX de Juniper Networks dans le cloud privé virtuel (VPC) Amazon Web Services (AWS). Les sites cloud spoke sont connectés aux hubs à l’aide des connexions overlay. Vous créez un site cloud spoke à partir de la page Sites . Cette rubrique explique comment ajouter un site cloud spoke pour un locataire.
Vous pouvez ajouter un site en étoile dans le cloud uniquement dans la topologie en étoile.
Pour vous assurer que seule la topologie en étoile est créée, nous vous recommandons de désactiver la configuration DVPN tout en ajoutant le locataire.
Il est impossible d’ajouter un site cloud spoke dans une topologie de maillage complet.
Seuls les locataires disposant d’un niveau de service SD-WAN avancé peuvent créer un site cloud spoke.
Pour ajouter un site cloud spoke :
Champ |
Description |
|---|---|
| Générales
|
|
| Informations sur le site |
|
| Nom du site |
Saisissez un nom unique pour le site. Saisissez une chaîne unique de caractères alphanumériques et de caractères spéciaux (-). La longueur maximale est de 32 caractères. Exemple : aws-cloud-spoke |
| Nom de l’hôte de l’équipement |
Le nom d’hôte de l’équipement est généré automatiquement et utilise le format tenant-name.host-name. Vous ne pouvez pas modifier le tenant-name nom d’hôte de l’équipement. Utilisez des caractères alphanumériques et un trait d’union (-); la longueur maximale autorisée est de 32 caractères. |
| Groupe de sites |
(Facultatif) Sélectionnez un groupe de sites auquel vous souhaitez affecter le site. Exemple : cloud-spoke |
| Fonctionnalités du site |
Note:
Seuls les locataires disposant d’un niveau de service SD-WAN avancé peuvent créer un site cloud spoke. L’option Secure SD-WAN Advanced est sélectionnée automatiquement. |
| Adresse et coordonnées |
|
| Adresse postale |
Saisissez l’adresse postale du site. |
| Ville |
Saisissez le nom de la ville où se trouve le site. |
| État/province |
Sélectionnez l’état ou la province où se trouve le site. |
| Code postal/ZIP |
Saisissez le code postal du site. |
| Pays |
Sélectionnez le pays où se trouve le site. Vous pouvez cliquer sur le bouton Valider pour vérifier l’adresse que vous avez spécifiée :
|
| Nom du contact |
Saisissez le nom de la personne de contact du site. |
| |
Saisissez l’adresse e-mail de la personne de contact du site. |
| Téléphone |
Saisissez le numéro de téléphone de la personne à contacter pour le site. |
| Configuration avancée |
|
| Serveur de noms de domaine (DNS) |
Saisissez une ou plusieurs adresses IPv4 du serveur DNS. Pour saisir plusieurs adresses de serveur DNS, saisissez adresse, appuyez sur Entrée, puis saisissez l’adresse suivante, et ainsi de suite. Les serveurs DNS sont utilisés pour résoudre les noms d’hôte en adresses IP. |
| Serveur NTP |
Saisissez les noms de domaine complets (FQDN) ou les adresses IP d’un ou plusieurs serveurs NTP. Exemple : ntp.example.net Le site doit disposer d’une accessibilité DNS pour résoudre le FQDN pendant la configuration du site. |
| Sélectionnez le fuseau horaire |
Sélectionnez le fuseau horaire du site. Cliquez sur Suivant pour continuer. |
| Appareil | |
| Code d’activation |
Si l’activation automatique de l’équipement est désactivée, saisissez le code d’activation pour l’activer manuellement. Le code d’activation est fourni par l’administrateur qui ajoute le site. |
| Mot de passe racine de l’équipement |
Le mot de passe racine par défaut est extrait du champ ENC_ROOT_PASSWORD du modèle d’équipement. Vous pouvez conserver le mot de passe ou le modifier en entrant un mot de passe au format texte brut. Le mot de passe est chiffré et stocké sur l’équipement. |
| Famille d’interfaces de gestion |
Sélectionnez IPv4 ou IPv6. |
| Modèle d’équipement |
Cliquez sur un modèle d’équipement pour sélectionner le plan de connectivité WAN. Un modèle d’équipement contient des informations telles que la famille d’équipements, une liste des fonctionnalités SD-WAN prises en charge et le nombre de liaisons prises en charge.
Note:
Le pare-feu virtuel vSRX en tant que SD-WAN spoke dans le modèle AWS prend en charge le site cloud spoke pour AWS VPC. |
| Hub Configuration |
|
| Hub fournisseur principal |
Sélectionnez le site hub auquel le site en étoile doit se connecter. |
| Hub fournisseur secondaire |
Sélectionnez un site hub secondaire. |
| Informations sur le cloud |
|
| Région |
Sélectionnez la région à laquelle le site appartient. Les régions de CSO sont mappées aux régions du compte AWS. Exemple : Ohio |
| VPC ID |
Saisissez l’ID VPC du compte AWS. Pour obtenir un ID VPC :
Assurez-vous que le VPC est connecté à une passerelle Internet. Pour vérifier si un VPC est associé :
Exemple : vpc-6d810314 |
| Sous-réseau de gestion |
Spécifiez si CSO doit créer un nouveau sous-réseau ou utiliser un sous-réseau existant à partir du compte AWS. Le sous-réseau de gestion du pare-feu virtuel vSRX est utilisé pour pousser la configuration initiale de l’étape 1. Les options suivantes sont disponibles :
|
| Préfixe IP |
Saisissez le préfixe IP de gestion. Les quatre premières adresses IP du sous-réseau sont réservées par AWS. Par exemple, les adresses IP x.x.x.0/x à x.x.x.3/x sont toujours réservées par AWS. Par conséquent, fournissez un préfixe d’adresse IP autre que le préfixe d’adresse IP réservé. Exemple : 105.0.1.5/24 |
| Liaisons WAN |
|
| WAN_0 (ge-0/0/0) WAN_1 (ge-0/0/1) |
Cochez les cases pour configurer les liaisons WAN. Vous pouvez configurer jusqu’à deux liaisons WAN par site qui prennent en charge le SD-WAN. |
| Type de liaison |
Affiche le type de connexion des underlays WAN. Seule la liaison Internet est prise en charge. |
| Bande passante sortante |
Saisissez la bande passante maximale (en Mbits/s) à autoriser pour une liaison WAN spécifique. |
| Méthode d’attribution d’adresses |
Sélectionnez la méthode d’attribution d’une adresse IP à la liaison WAN (DHCP ou STATIQUE).
|
| Préfixe IP statique |
Si vous configurez la méthode d’attribution d’adresses comme statique, saisissez l’adresse IPv4 privée de la liaison WAN à partir du sous-réseau. Par exemple, si l’adresse CIDR IPv4 est 105.0.2.0/24 pour une interface WAN dans le compte AWS, saisissez n’importe quelle adresse IP dans le sous-réseau. Les quatre premières adresses IP du sous-réseau sont réservées par AWS. Par conséquent, fournissez un préfixe IP autre que le préfixe IP réservé. Exemple : 105.0.2.12/24 |
| Adresse IP de la passerelle |
Si vous avez configuré la méthode d’attribution d’adresses comme statique, saisissez l’adresse IPv4 de la passerelle du fournisseur de services WAN. En règle générale, la première adresse IP du sous-réseau est sélectionnée pour l’adresse IP de la passerelle. Exemple : 105.0.2.1 |
| MTU | Applicable uniquement aux adresses IPv4. Saisissez la taille maximale de l’unité de transmission (MTU) pour le support ou le protocole. La gamme MTU prise en charge peut varier en fonction de l’équipement, du type d’interface, de la topologie du réseau et d’autres exigences individuelles. Voir également : MTU Valeurs par défaut et maximales et mini-modules d’interface physique LTE (mini-PIM LTE).La modification des valeurs MTU de toutes les liaisons WAN compatibles OAM d’un site en même temps peut entraîner un battement de tunnel. Vous devez vous assurer qu’au moins une liaison WAN compatible OAM reste toujours inchangée pour un site. Par exemple, si vous avez un site avec quatre liaisons WAN (dont deux qui prennent en charge le trafic OAM), vous pouvez modifier les valeurs MTU de toutes les liaisons WAN à l’exception d’une liaison compatible OAM en même temps. Une fois la modification terminée et les modifications enregistrées, vous pouvez modifier à nouveau le site et mettre à jour la liaison WAN restante.
Note:
Si vous activez l’option PPPoE/PPP sous une liaison WAN, l’option MTU s’affiche dans la section Paramètres PPPoE/PPP pour cette liaison. |
| IP élastique |
L’adresse IP élastique est une adresse IPv4 statique et publique conçue pour le cloud computing dynamique. L’adresse IP publique est mappée à l’ADRESSE IP du sous-réseau privé à l’aide d’un NAT un à un. Vous devez allouer les adresses IP en fonction du nombre de liaisons WAN activées. Par exemple, si deux liaisons WAN sont activées, vous devez allouer deux adresses IP élastiques. Exemple : 34.213.255.184 |
| Paramètres avancés |
En fonction des exigences de connectivité, les champs suivants sont remplis : |
| Fournisseur |
Saisissez le nom du fournisseur de services (SP). |
| Coût/Mois |
Saisissez le coût mensuel de la bande passante souscrite dans la devise spécifiée. Dans le SD-WAN optimisé en bande passante, ces informations sont utilisées pour identifier la liaison la moins coûteuse pour acheminer le trafic lorsque plusieurs liaisons WAN répondent aux paramètres de profil SLA. |
| Priorité des liaisons |
Saisissez une valeur entre 1 et 255. Une valeur inférieure indique un lien préféré. Une valeur 1 indique la priorité la plus élevée et une valeur de 255 indique la priorité la plus faible. Si vous n’entrez pas de valeur, la priorité de la liaison est considérée comme 255. |
| Activer le breakout local |
Cliquez sur le bouton de bascule pour activer ou désactiver le breakout local (par défaut) sur la liaison WAN.
|
| Breakout Options |
Sélectionnez si vous souhaitez utiliser la liaison WAN à la fois pour le breakout et le trafic WAN (par défaut) ou uniquement pour le trafic breakout. |
| Règle NAT source de création automatique |
Si la liaison WAN est activée pour le breakout local, vous pouvez cliquer sur le bouton de bascule pour créer automatiquement une règle NAT source basée sur l’interface sur la liaison WAN. La règle NAT source créée automatiquement est définie et appliquée implicitement au site et n’est pas visible sur la page des stratégies NAT. Par défaut, ce champ est désactivé.
Note:
Si cette option est activée pour une interface WAN W1 pendant le workflow d’ajout de site, une série de règles source NAT sont automatiquement créées. Chaque règle NAT créée automatiquement est d’une zone à l’interface WAN, avec une traduction de l’interface de type. Chaque paire de [zone - interface] représente un ensemble de règles. Par exemple, la zone vers l’ensemble de règles d’interface W1 suivante peut être créée : Zone1 --> W1: Translation=Interface Zone2 --> W1: Translation=Interface Zone3 --> W1: Translation=Interface Pour remplacer manuellement l’une de ces règles, vous pouvez créer une règle NAT au sein d’un ensemble de règles particulier. Par exemple, pour utiliser un pool NAT source au lieu d’une interface de traduction, créez une règle NAT au sein de cet ensemble de règles particulier, qui inclut la zone concernée et l’interface WAN comme source et destination. Par exemple : Zone1 --> W1 : Translation=Pool-2 La règle NAT créée manuellement est placée en priorité plus élevée que la règle NAT correspondante créée automatiquement. Vous pouvez également ajouter d’autres champs (adresses, ports, protocoles, etc.) dans les points de terminaison source ou de destination. Par exemple : Zone1, Port 56578 --> W1: Translation=Pool-2 |
| Lien breakout préféré |
Cliquez sur le bouton bascule pour activer le lien WAN comme lien breakout préféré. Si vous désactivez cette option, le lien breakout est choisi à l’aide d’ECMP parmi les liens breakout disponibles. |
| Options sous-jacentes BGP |
Note:
Ce paramètre ne peut être configuré que si l’attribution d’adresses IPv4 (avec statique comme méthode d’attribution d’adresses) et le breakout local sont activés pour la liaison WAN. Cliquez sur le bouton bascule pour activer le routage sous-jacent BGP. Lorsque vous activez le routage sous-jacent BGP, acheminez les publicités vers le nœud PE principal et, s’il est configuré, le nœud PE secondaire se produit comme suit :
Note:
Si BGP sous-jacent est activé pour une liaison WAN, les routes apprises par BGP sont installées pour le breakout local ; CSO ne génère pas de route statique par défaut. |
| Voisin principal |
Affiche l’adresse IP que vous avez saisie pour la passerelle de la liaison WAN. |
| Voisin secondaire |
Si vous souhaitez fournir une résilience PE, vous pouvez configurer un nœud PE secondaire. Saisissez l’adresse IP du nœud PE secondaire.
Note:
Si le nœud PE principal tombe en panne, alors le PE secondaire est utilisé comme saut suivant. Lorsque le PE primaire revient, les sauts suivants sont changés en PE primaire. |
| Numéro eBGP Peer-AS |
Saisissez le numéro du système autonome (AS) pour l’homologue externe (EBGP).
Note:
Si le numéro AS homologue n’est pas configuré ou que le numéro AS homologue configuré est le même que celui du site CPE, alors le type BGP est supposé être BGP interne (IBGP). |
| Authentification |
Sélectionnez la méthode d’authentification de route BGP à utiliser :
|
| Clé d’authentification |
Si vous avez spécifié que MD5 doit être utilisé pour l’authentification, spécifiez une clé d’authentification MD5 (mot de passe), qui est utilisée pour vérifier l’authenticité des paquets BGP. |
| Annoncez les préfixes LAN publics |
Cliquez sur le bouton bascule pour activer la publicité des préfixes LAN publics. Ce champ est désactivé par défaut. Si le locataire dispose d’un pool d’adresses IP publique configuré et que vous activez l’annonce de préfixes LAN publics, alors pour les segments LAN créés avec un sous-réseau qui relève du pool d’adresses IP publiques du locataire, CSO annonce le sous-réseau LAN à l’underlay BGP.
Note:
Lorsque la publicité LAN publique est activée pour la liaison WAN, les préfixes LAN publics sont annoncés via l’underlay BGP vers MPLS ou Internet. Si deux versions du routage sont installées pour le même préfixe LAN dans l’overlay et l’underlay, les routes overlay sont toujours préférées par rapport à l’underlay. |
| Utilisation pour le trafic OAM |
Si vous avez spécifié que la liaison WAN est connectée à un hub, cliquez sur le bouton de bascule pour activer l’envoi du trafic OAM sur la liaison WAN. Cette liaison WAN est ensuite utilisée pour établir le tunnel OAM. |
| Overlay Tunnel Type |
Sélectionnez le type de tunnel overlay de maillage : GRE et GRE_IPSEC. Les liaisons MPLS peuvent avoir à la fois GRE et GRE_IPSEC comme type de liaison overlay, alors que les liaisons Internet ne peuvent avoir que GRE_IPSEC que le type de liaison overlay. |
| Équipement peer overlay |
Affiche l’équipement peer hub auquel le site est connecté. |
| Overlay Peer Interface |
Sélectionnez le nom de l’interface de l’équipement hub auquel la liaison WAN du site est connectée. |
| Lien de sauvegarde |
Sélectionnez une liaison de sauvegarde par laquelle le trafic peut être acheminé lorsque les liaisons principales ne sont pas disponibles. Vous ne pouvez pas sélectionner la liaison par défaut comme liaison de sauvegarde. Notez que vous ne pouvez pas affecter la liaison de sauvegarde au trafic breakout exclusif (l’option Utiliser uniquement pour le trafic breakout ). Si le breakout local est activé pour le site, le trafic breakout est également acheminé via la liaison de sauvegarde lorsque la liaison breakout n’est pas disponible. Lorsqu’une liaison principale revient en ligne, CSO surveille les performances sur la liaison principale et lorsque la liaison principale répond aux exigences des SLA, le trafic est revenir à la liaison principale. Toutefois, notez que les données SLA ne sont pas surveillées pour la liaison de sauvegarde. |
| Liens par défaut |
Sélectionnez les liens par défaut à utiliser pour le routage du trafic. Le site peut avoir plusieurs liens par défaut vers le site hub ainsi que vers Internet. Les liaisons par défaut sont principalement utilisées pour le trafic overlay, mais peuvent également être utilisées pour le trafic breakout local. Une liaison par défaut ne peut pas être utilisée exclusivement pour le trafic breakout local. La liaison par défaut est facultative et, si elle n’est pas choisie, toutes les liaisons sont utilisées via un chemin multi-chemin à coût égal (ECMP). |
| Connectivité de gestion |
|
| Préfixe IP OAM |
Saisissez un préfixe d’adresse IPv4 (par exemple 10.100.100.11/32) pour l’interface de bouclage sur l’équipement CPE. Le préfixe d’adresse IP doit être un préfixe d’adresse IP /32 et doit être unique sur l’ensemble du réseau de gestion.
Note:
Nous vous recommandons de ne pas configurer ce paramètre (laisser le champ Préfixe IP vide) car la connectivité de gestion est gérée automatiquement par CSO. |
| Seuil DVPN pour la création de tunnel |
Saisissez le nombre maximal de sessions fermées entre les sites connectés dans une durée de deux minutes au cours de laquelle un maillage complet est créé entre les deux sites. La valeur par défaut est 5. Par exemple, si vous spécifiez le nombre de sessions comme 5, des tunnels de maillage dynamique sont créés si le nombre de sessions fermées entre deux sites distants en 2 minutes dépasse 5. |
| Seuil DVPN pour la suppression de tunnel |
Saisissez le nombre de sessions fermées entre les sites connectés dans une durée de 15 minutes au-dessous de laquelle le maillage complet est supprimé entre les deux sites. La valeur par défaut est 8. Par exemple, si vous spécifiez le nombre de sessions fermées comme 8, les tunnels de maillage dynamique sont supprimés si le nombre de sessions fermées est inférieur ou égal à 8. |
| LAN | Ajoutez au moins un segment LAN. |
| LAN Segment |
Affiche le segment LAN que vous configurez sur le commutateur. Pour ajouter un segment LAN, cliquez sur l’icône + dans le coin supérieur droit de la table LAN. La page Ajouter un segment LAN s’affiche. Voir le tableau 2. |
Champ |
Description |
|---|---|
Ajouter un segment LAN |
|
Nom |
Saisissez un nom pour le segment LAN. Le nom d’un segment LAN doit être une chaîne unique de caractères alphanumériques. Aucun espace n’est autorisé et la longueur maximale est de 15 caractères. |
Département |
Sélectionnez un département auquel le segment LAN doit être assigné. Vous pouvez également cliquer sur le lien Créer un département pour créer un nouveau service et lui affecter le segment LAN. Voir Ajouter un service pour plus de détails. Vous regroupez les segments LAN en tant que services pour faciliter la gestion et appliquer des stratégies au niveau du département. |
Adresse/masque de passerelle |
Saisissez une adresse IP de passerelle valide et un masque pour le segment LAN ; par exemple, 192.0.2.8/24. |
CPE Ports |
Cliquez sur le bouton bascule pour inclure ou exclure le CPE dans le segment LAN. Lorsque vous incluez le CPE dans le segment LAN :
Note:
Vous ne pouvez sélectionner qu’un seul port si le CPE est un pare-feu SRX Series. |