Ajouter des sites hubs d’entreprise

Informations sur le site

Nom du site

Saisissez un nom unique pour le site. Le nom peut contenir des caractères alphanumériques et des traits d’union (-), et ne peut pas dépasser 32 caractères.

Nom de l’hôte de l’équipement

Le nom d’hôte de l’équipement est généré automatiquement et utilise le format tenant-name.host-name. Vous ne pouvez pas modifier la partie du nom du locataire dans le nom d’hôte de l’équipement. Utilisez des caractères alphanumériques et un trait d’union (-); la longueur maximale autorisée est de 32 caractères.

Groupe de sites

Si vous souhaitez que le site fasse partie d’un groupe de sites, sélectionnez le groupe de sites. Par défaut, aucun n’est sélectionné, ce qui signifie que le site n’appartient à aucun groupe de sites.

Fonctionnalités du site

Pour ajouter une fonctionnalité SD-WAN à ce site, choisissez l’un des types de services SD-WAN suivants :

• SD-WAN sécurisé essentiel — (Disponible pour les locataires avec SD-WAN Essentials ou Niveau de service avancé) Fournit des services SD-WAN de base. Ce service est idéal pour les petites entreprises qui cherchent à gérer une connectivité WAN simple avec des services de sécurité NGFW complets sur les sites distants, à l’aide de l’orientation des applications basées sur des liens. Le service SD-WAN Essentials ne prend pas en charge le multihébergement, les tunnels de maillage dynamique, les profils de breakout cloud, les profils de direction basés sur les SLA, les règles NAT source basées sur un pool, IPv6, MAP-E ou BGP underlay.

  Note:

  Un locataire disposant du niveau de service SD-WAN avancé peut créer des hubs d’entreprise uniquement avec le service SD-WAN avancé. Un SD-WAN sécurisé Site distant avancé se connecte uniquement aux hubs d’entreprise SD-WAN avancés sécurisés.

• SD-WAN sécurisé avancé — (Disponible pour les locataires avec niveau de service SD-WAN avancé) Fournit des services SD-WAN complets. Ce service est idéal pour les entreprises disposant d’un ou plusieurs centres de données, qui ont besoin de topologies flexibles et d’un pilotage dynamique des applications. Vous pouvez établir une connectivité site à site en utilisant un hub dans une topologie en étoile ou via des tunnels VPN statiques ou dynamiques à maillage complet. Les stratégies SD-WAN basées sur l’intention à l’échelle de l’entreprise et les mesures des accords de niveau de service (SLA) permettent de différencier et de router dynamiquement le trafic pour différentes applications. Ce service inclut le service Secure SD-WAN Essentials.

Adresse et coordonnées

Saisissez l’adresse et les coordonnées dans les champs fournis. Bien que ce ne soit pas obligatoire, la fourniture d’une adresse vous permet de visualiser l’emplacement du site sur une carte géographique sur la page Vue d’ensemble du moniteur.

Configuration avancée

Pour les serveurs DNS et NTP, vous pouvez utiliser les valeurs par défaut ou spécifier des serveurs DNS et NTP.

Serveur de nom de domaine

Si nécessaire, spécifiez les adresses IPv4 ou IPv6, ou les deux adresses IPv4 et IPv6 d’un ou plusieurs serveurs DNS.

Serveur NTP

Si nécessaire, spécifiez les adresses IP d’un ou plusieurs serveurs NTP.

Sélectionnez le fuseau horaire

Sélectionnez un fuseau horaire pour le site.

Redondance des équipements

Désactivé par défaut. Activez cette option uniquement pour les CPE doubles.

Série d’équipements

Affiche SRX en tant que série (famille) d’équipements. Vous ne pouvez pas modifier ce champ, car seuls certains équipements SRX Series peuvent être configurés en tant que hubs d’entreprise.

Modèle d’équipement

Sélectionnez le modèle SRX.

[Modèle d’équipement]

Assurez-vous de sélectionner le modèle d’équipement approprié dans le carrousel ; le modèle dépend de l’équipement que vous utilisez comme hub d’entreprise.

Par exemple, pour un équipement SRX4100, sélectionnez SRX4x00 comme CPE SD-WAN (ou une version modifiée de ce modèle) comme modèle d’équipement.

Informations sur l’équipement

Numéro de série

Si vous souhaitez que CSO procède à l’activation du site immédiatement après avoir terminé le workflow d’ajout de site, saisissez le numéro de série. Si le numéro de série que vous avez entré est déjà présent dans le système, CSO affiche un message d’erreur. Si le numéro de série n’est pas présent, CSO affiche une coche verte.

Si vous souhaitez que CSO ne modélise que le site, laissez ce champ vide. Si vous ne saisissez pas de numéro de série, vous devez activer manuellement le site ultérieurement.

Mot de passe racine de l’équipement

Le mot de passe racine par défaut est extrait du champ _ROOT_PASSWORD ENC du modèle d’équipement. Vous pouvez conserver le mot de passe ou le modifier en entrant un mot de passe au format texte brut. Le mot de passe est chiffré et stocké sur l’équipement.

Provisionnement sans intervention

Par défaut, le provisionnement sans intervention est activé. Si vous souhaitez désactiver ZTP, cliquez sur le bouton de bascule.

Pour utiliser ZTP, vérifiez les éléments suivants :

• L’équipement doit être connecté à CSO et au serveur juniper (https://redirect.juniper.net)

  Utilisez telnet pour vérifier la connectivité :

  telnet redirect.juniper.net:443

  telnet CSO Hostname/IP:443

  Si la connexion est établie, l’équipement est connecté au serveur téléphonique et au CSO.

• Les certificats requis pour les serveurs d’accueil et CSO doivent être présents sur l’équipement.

Si ZTP est activé, le champ Image de démarrage s’affiche et vous devez sélectionner une image prenant en charge le client Phone-Home. Pendant le ZTP, l’image sur l’équipement de pare-feu est mise à niveau vers l’image que vous sélectionnez pour l’image de démarrage.

Si vous désactivez ZTP, vous devez copier la configuration de l’étape 1 de CSO et la valider sur l’équipement. Utilisez l’une des options suivantes pour copier la configuration de l’étape 1 :

• Cliquez sur le lien Cliquez pour copier la configuration de l’étape 1 en face de la tâche Prestage Device dans la page Progression de l’activation du site.

  Si vous fermez la page Progression de l’activation du site par inadvertance, vous pouvez y accéder à partir de la page de gestion du site. Cliquez sur le lien Afficher en regard de l’état du site dans la colonne Statut du site.

• Sur la page Équipements (Ressources > Équipements), sélectionnez l’équipement et cliquez sur Configuration de l’étape 1.

Le cluster est-il déjà formé ?

Cliquez sur le bouton bascule pour spécifier si le cluster SRX a été formé manuellement (Oui) ou non (Non).

Cluster ID

Si le cluster SRX n’a pas été formé manuellement, spécifiez un ID unique pour le cluster.

Plage : 1 à 15

Si vous avez activé ZTP pour le site, le cluster est automatiquement formé lorsque le site est activé. Si vous avez désactivé ZTP, les processus suivants s’affichent sur la page De progression de l’activation du site (qui apparaît après l’ajout du site distant) :

1. Une fois que CSO modélise le site (c’est-à-dire une fois que le processus de site de modèle s’est terminé avec succès), cliquez sur le lien Cliquer pour copier le script pré-script, qui apparaît en face du processus de pré-script.

2. Exécutez les commandes comme indiqué.

   Une fois le processus de pré-script terminé, le cluster SRX est formé et le fichier recovery.conf est enregistré sur le cluster. Si vous souhaitez supprimer le site ultérieurement, vous aurez besoin de ce fichier pour supprimer la configuration de l’étape 1 et les autres configurations poussées sur l’équipement par CSO.

3. Copiez manuellement la configuration de l’étape 1 (générée automatiquement par CSO) sur l’équipement principal du cluster, puis validez la configuration sur l’équipement.

Une fois le cluster détecté, CSO exécute les processus d’amorçage et de provisionnement et termine le provisionnement du cluster.

Activation automatique

Cliquez sur le bouton bascule pour spécifier si l’activation du site nécessite ou non un code d’activation :

• Activé : le site est activé automatiquement sans code d’activation. Il s’agit du paramètre par défaut.

• Désactivé : l’activation du site ne s’effectue qu’après avoir entré un code d’activation. Si vous choisissez ce paramètre, saisissez le code d’activation (dans le champ Code d’activation ) qui doit être entré pour activer l’équipement.

Image du démarrage

Si vous souhaitez mettre à niveau l’équipement du hub d’entreprise avec la dernière version de Junos OS prise en charge, sélectionnez l’image de démarrage dans la liste. L’image de démarrage est utilisée pour mettre à niveau l’équipement lorsque CSO lance le processus de provisionnement sans intervention (ZTP).

Si vous ne spécifiez pas d’image de démarrage, qui est l’option par défaut (Utiliser l’image sur l’équipement) dans la liste, le CSO ignore la procédure de mise à niveau de l’équipement pendant ZTP.

Famille d’interfaces de gestion

Sélectionnez le type d’adresse IP (IPv4 ou IPv6) de l’interface de gestion. Ce champ s’affiche uniquement si vous avez activé le provisionnement sans intervention.

Connectivité de gestion

Famille d’adresses

Sélectionnez le type d’adresse IP (IPv4 ou IPv6).

Nom de l’interface

Entrez dans l’interface de gestion.

Type d’accès

Sélectionnez le type d’accès pour le lien underlay. Les types d’accès LTE, ADSL et VDSL ne sont pris en charge que sur les liaisons Internet. Vous ne pouvez pas ajouter de types d’accès LTE, ADSL et VDSL à la même liaison WAN.

Attribution d’adresses

DHCP est sélectionné par défaut. Si vous souhaitez fournir une adresse IP statique, sélectionnez STATIQUE.

ID VLAN de gestion

Saisissez un ID VLAN pour la liaison WAN.

Pppoe

Cliquez sur le bouton bascule pour activer l’attribution d’adresses authentifiées pour la liaison WAN à l’aide de PPPoE (Point-to-Point Protocol over Ethernet).

Hub Configuration

Hub fournisseur principal

Si vous avez précédemment ajouté des sites de hub fournisseur (DATA ou OAM and DATA) pour le locataire et que vous souhaitez disposer d’une sauvegarde pour le hub d’entreprise, sélectionnez un site hub fournisseur comme hub fournisseur principal.

Hub fournisseur secondaire

Si vous avez précédemment ajouté des sites de hub fournisseur (DATA ou OAM and DATA) pour le locataire et que vous souhaitez une redondance du hub fournisseur, sélectionnez un autre hub fournisseur comme hub fournisseur secondaire.

Liaisons WAN

Vous pouvez configurer un maximum de quatre liaisons WAN et devez configurer au moins une liaison WAN.

WAN_0 (WAN-Interface-Name)

La première liaison WAN est activée par défaut.

Les champs marqués d’un astérisque (*) doivent être configurés pour continuer.

Type de liaison

Pour la première liaison WAN, nous utilisons le type de réseau sous-jacent par défaut (Internet) pour garantir l’accessibilité au serveur de redirection.

Bande passante sortante

Saisissez la bande passante sortante maximale (en mégabits par seconde [Mbits/s]) autorisée pour la liaison WAN.

Familles d’adresses underlay

IPv4

Par défaut, l’attribution d’adresses IPv4 est activée pour la liaison WAN.

La liaison WAN nécessite une adresse IPv4 pour se connecter à un réseau IPv4.

Méthode d’attribution d’adresses

Affiche la méthode d’attribution d’une adresse IPv4 à la liaison WAN (STATIQUE). Vous ne pouvez pas modifier ce champ.

Vous devez fournir le préfixe d’adresse IPv4 et l’adresse IPv4 de la passerelle pour la liaison WAN.

Préfixe IP statique

Saisissez le préfixe d’adresse IPv4 de la liaison WAN.

Adresse IP de la passerelle

Saisissez l’adresse IPv4 de la passerelle du fournisseur de services WAN.

Applicable uniquement aux adresses IPv4.

La modification des valeurs MTU de toutes les liaisons WAN compatibles OAM d’un site en même temps peut entraîner un battement de tunnel. Vous devez vous assurer qu’au moins une liaison WAN compatible OAM reste toujours inchangée pour un site. Par exemple, si vous avez un site avec quatre liaisons WAN (dont deux qui prennent en charge le trafic OAM), vous pouvez modifier les valeurs MTU de toutes les liaisons WAN à l’exception d’une liaison compatible OAM en même temps. Une fois la modification terminée et les modifications enregistrées, vous pouvez modifier à nouveau le site et mettre à jour la liaison WAN restante.

Adresse IP publique

Saisissez l’adresse IPv4 publique du lien, si nécessaire.

Paramètres avancés

Paramètres avancés

Famille d’adresses (création de tunnels)

Affiche la famille d’adresses underlay (IPv4) utilisée pour établir le tunnel overlay.

Fournisseur

Saisissez le nom du fournisseur de services de la liaison WAN.

Coût/Mois

Laissez-le comme par défaut, car ce champ n’est actuellement pas utilisé dans CSO.

Activer le breakout local

Cliquez sur le bouton bascule pour activer le lien WAN à utiliser pour le breakout local. Le bouton de bascule est désactivé par défaut, ce qui signifie que la liaison WAN ne peut pas être utilisée pour le breakout local.

Le breakout local est une fonctionnalité SD-WAN qui permet aux liaisons Internet de détacher le trafic directement d’un site. Par exemple, si vous souhaitez fournir un accès Internet aux visiteurs de votre entreprise, vous pouvez utiliser le breakout local pour délocaliser le trafic invité du site directement vers Internet.

Si vous activez le breakout local, d’autres champs apparaissent.

Breakout Options

Ce champ s’affiche uniquement si le breakout local est activé pour la liaison WAN.

Sélectionnez si vous souhaitez utiliser la liaison WAN à la fois pour le breakout et le trafic WAN (par défaut) ou uniquement pour le trafic breakout.

Règle NAT source de création automatique

Ce champ s’affiche uniquement si le breakout local est activé pour la liaison WAN.

Lorsque vous activez le breakout local sur une liaison, ce paramètre est activé par défaut, ce qui déclenche la création automatique de règles NAT source pour le site.

Vous pouvez cliquer sur le bouton d’bascule pour désactiver la création automatique de règles NAT source. Si vous désactivez ce champ, vous devez ajouter manuellement une règle NAT source pour le breakout local et déployer la stratégie NAT sur le site.

Le tableau 5 explique comment les règles NAT source sont automatiquement créées sur la liaison WAN. Les règles NAT source créées automatiquement sont définies et appliquées implicitement au site et ne sont pas visibles sur la page des stratégies NAT.

Translation

Ce champ s’affiche uniquement si la création automatique des règles NAT source est activée pour la liaison WAN et si le service SD-WAN utilisé est Avancé. Les sites dotés du service Secure SD-WAN Essentials prennent uniquement en charge les règles NAT source basées sur l’interface.

Sélectionnez le type de NAT à utiliser pour le trafic sur la liaison WAN :

• Interface : utilisez le NAT basé sur l’interface, qui est le paramètre par défaut.

• Pool : utilisez un NAT basé sur des pools. Si vous sélectionnez cette option, vous devez spécifier les adresses IP à utiliser pour le pool NAT.

Adresses IP

Pour un NAT basé sur des pools, saisissez une ou plusieurs adresses IP, sous-réseaux ou une plage d’adresses IP. Séparez plusieurs adresses IP à l’aide de virgules et d’un trait d’union pour désigner une plage ; par exemple, 192.0.2.1-192.0.2.50.

Lien breakout préféré

si la liaison WAN est activée pour le breakout local, cliquez sur le bouton de bascule pour activer la liaison WAN comme lien breakout préféré.

Si vous désactivez cette option, le lien breakout est choisi à l’aide d’ECMP (multi-chemin à coût égal) parmi les liens breakout disponibles.

Options sous-jacentes BGP

Cliquez sur le bouton bascule pour activer le routage sous-jacent BGP.

Lorsque vous activez le routage sous-jacent BGP, acheminez les publicités vers le nœud principal de périphérie du fournisseur (PE) et, s’il est configuré, le nœud PE secondaire se produit comme suit :

• CSO annonce le sous-réseau d’interface WAN.

• Si vous avez configuré la traduction basée sur des pools, CSO annonce le pool d’adresses NAT.

Voisin principal

Affiche l’adresse IP que vous avez saisie pour la passerelle de la liaison WAN.

Voisin secondaire

Si vous souhaitez fournir une résilience PE, vous pouvez configurer un nœud PE secondaire.

Saisissez l’adresse IP du nœud PE secondaire.

Numéro eBGP Peer-AS

Saisissez le numéro du système autonome (AS) pour l’homologue externe (EBGP).

Numéro AS local

Saisissez le numéro AS local de la liaison WAN. Lorsque vous configurez ce paramètre, le numéro AS local est utilisé pour l’appairage eBGP au lieu du numéro AS global configuré pour l’équipement.

Authentification

Sélectionnez la méthode d’authentification de route BGP à utiliser :

• Aucun : indique qu’aucune authentification ne doit être utilisée. C’est la valeur par défaut.

• Utiliser MD5 : indique que MD5 doit être utilisé pour l’authentification. Si vous choisissez cette option, vous devez spécifier une clé d’authentification.

Clé d’authentification

Si vous avez spécifié que MD5 doit être utilisé pour l’authentification, spécifiez une clé d’authentification MD5 (mot de passe), qui est utilisée pour vérifier l’authenticité des paquets BGP.

Annoncez les préfixes LAN publics

Cliquez sur le bouton bascule pour activer la publicité des préfixes LAN publics. Ce champ est désactivé par défaut.

Si le locataire dispose d’un pool d’adresses IP publique configuré et que vous activez l’annonce de préfixes LAN publics, alors pour les segments LAN créés avec un sous-réseau qui relève du pool d’adresses IP publiques du locataire, CSO annonce le sous-réseau LAN à l’underlay BGP.

Utilisation pour Fullmesh

Cliquez sur le bouton bascule pour permettre à la liaison WAN de faire partie d’une topologie de maillage complet.

Toutes les liaisons WAN peuvent être activées pour le maillage d’un site.

Configurez les deux champs supplémentaires qui apparaissent :

Type de liaison overlay maillage

Si la liaison WAN est activée pour le maillage complet, sélectionnez le type d’encapsulation à utiliser pour les tunnels overlay dans la topologie de maillage complet :

• GRE_IPSEC : utilisez GRE sur IPsec.

• GRE : utilisez GRE. Cette option n’est disponible que pour les liaisons MPLS.

Balise maillée

Sélectionnez une ou plusieurs balises de maillage pour la liaison WAN.

Pour plus d’informations sur les étiquettes de maillage, consultez la présentation des étiquettes de maillage dans le Guide de l’utilisateur du portail client CSO (disponible sur la page de documentation CSO ).

Utilisation pour le trafic OAM

Cliquez sur le bouton bascule pour activer l’utilisation de la liaison WAN pour le trafic OAM (Operation, Administration and Maintenance). La liaison WAN est ensuite utilisée pour établir un tunnel OAM pour la communication entre le site du hub d’entreprise et CSO.

Se connecte aux hubs

Cliquez sur le bouton bascule pour spécifier que la liaison WAN du site se connecte à un hub.

VLAN ID

Saisissez un ID VLAN pour la liaison WAN.

Plage : 0 à 4049 (4 050 à 4 094 est réservé par CSO).

Pour permettre la configuration des liaisons WAN en tant qu’interfaces logiques, vous devez modifier le modèle d’équipement et configurer les ports WAN en tant qu’interfaces logiques.

Lien de sauvegarde

Sélectionnez une liaison de sauvegarde à travers laquelle le trafic peut être acheminé lorsque les liaisons principales (autres) ne sont pas disponibles. Vous pouvez sélectionner n’importe quel lien autre que les liens par défaut ou configurés exclusivement pour le trafic breakout local.

Lorsqu’une liaison principale revient en ligne, CSO surveille les performances sur la liaison principale et lorsque la liaison principale répond aux exigences des SLA, le trafic est revenir à la liaison principale. Toutefois, les données SLA ne sont pas surveillées pour la liaison de sauvegarde.

Liaison par défaut

Sélectionnez une ou plusieurs liaisons qui seront utilisées pour le routage du trafic en l’absence d’intentions de stratégie SD-WAN correspondantes. Un site peut avoir plusieurs liens par défaut vers le site hub.

Les liaisons par défaut sont principalement utilisées pour le trafic overlay, mais peuvent également être utilisées pour le trafic breakout local. Toutefois, une liaison par défaut ne peut pas être utilisée exclusivement pour le trafic breakout local. Si vous ne spécifiez pas de liaison par défaut, vous pouvez choisir le lien sur lequel acheminer le trafic.

WAN_1 (WAN-Interface-Name)

Cliquez sur le bouton d’activation ou de désactivation (par défaut) de la liaison WAN.

Lorsque vous activez la liaison WAN, les champs associés à la liaison WAN apparaissent. Les champs marqués d’un astérisque (*) doivent être configurés pour continuer.

Reportez-vous aux champs décrits pour WAN_0 (WAN-Interface-Name) pour une explication des champs

WAN_2 (WAN-Interface-Name)

Cliquez sur le bouton d’activation ou de désactivation (par défaut) de la liaison WAN.

Lorsque vous activez la liaison WAN, les champs associés à la liaison WAN apparaissent. Les champs marqués d’un astérisque (*) doivent être configurés pour continuer.

Reportez-vous aux champs décrits pour WAN_0 (WAN-Interface-Name) pour une explication des champs

WAN_3 (WAN-Interface-Name)

Cliquez sur le bouton d’activation ou de désactivation (par défaut) de la liaison WAN.

Lorsque vous activez la liaison WAN, les champs associés à la liaison WAN apparaissent. Les champs marqués d’un astérisque (*) doivent être configurés pour continuer.

Reportez-vous aux champs décrits pour WAN_0 (WAN-Interface-Name) pour une explication des champs

Configuration avancée

Préfixe IP OAM

Nous vous recommandons de ne pas configurer ce paramètre (laisser le champ Préfixe IP vide) car la connectivité de gestion est gérée automatiquement par CSO.

Métriques du volume de trafic

Choisissez une méthode pour calculer le volume de trafic SD-WAN sur les liaisons WAN du site. CSO utilise ces données pour fournir une représentation graphique du volume de trafic WAN sur la page Détails du site.

• Basé sur les sessions : calcule et signale le volume de trafic basé sur les sessions sur les liaisons WAN du site, à la fin de chaque session. Il s’agit de la méthode par défaut.
• Basé sur le temps : calcule et signale le volume de trafic à intervalles réguliers au cours d’une session.

Seuil DVPN pour la création de tunnel

Spécifiez le seuil du nombre de sessions (flux) fermées (d’une durée de deux minutes) entre le site hub d’entreprise et un site de destination. Lorsque le nombre de sessions fermées dépasse le seuil spécifié, un tunnel est créé entre le site du hub d’entreprise et le site de destination.

Par exemple, si vous spécifiez un seuil de 7, des tunnels de maillage dynamique sont créés si le nombre de sessions fermées (en deux minutes) entre le site du hub d’entreprise et le site de destination est supérieur à 7.

Seuil DVPN pour la suppression de tunnel

Spécifiez le seuil du nombre de sessions fermées (d’une durée de 15 minutes) entre le site hub de l’entreprise et un site de destination. Lorsque le nombre de sessions fermées est inférieur au seuil spécifié, le tunnel entre le site du hub d’entreprise et le site de destination est supprimé.

Par exemple, si vous spécifiez le nombre de sessions fermées comme 5, les tunnels de maillage dynamique entre le site hub de l’entreprise et le site de destination sont supprimés si le nombre de sessions fermées (dans une durée de 15 minutes) est inférieur ou égal à 5.

Configuration supplémentaire

Si vous souhaitez déployer une configuration supplémentaire pendant le processus ZTP, vous pouvez sélectionner un ou plusieurs modèles de configuration et définir les paramètres de chaque modèle.

Liste des modèles de configuration

Pour chaque modèle de configuration que vous sélectionnez

1. Sélectionnez un ou plusieurs modèles de configuration dans la liste que vous souhaitez déployer sur l’équipement pendant le ZTP.

2. Cliquez sur Définir les paramètres.

   La page Configurations des équipements s’affiche. Les noms et les paramètres de configuration des modèles de configuration que vous avez sélectionnés sont affichés dans l’onglet Configurer.

3. Pour chaque modèle de configuration, saisissez des valeurs pour les paramètres.

4. (Facultatif) Cliquez sur l’onglet Résumé pour afficher les commandes de configuration Junos OS qui seront déployées sur l’équipement pour les différents modèles de configuration.

5. Cliquez sur Enregistrer.

   Vous êtes retourné à l’onglet WAN. Les commandes de configuration Junos OS seront déployées sur l’équipement pendant le processus ZTP.

Utilisation pour le VPN overlay

Activez le champ Utilisation du VPN overlay pour associer le segment LAN au service sélectionné (VRF + ZONE) pour le trafic overlay vers d’autres sites.

Désactivez le champ Utiliser pour le VPN overlay pour associer le segment LAN à une zone de sécurité pour le breakout underlay. Vous devez définir des stratégies de sécurité basées sur des zones.

Nom

Saisissez un nom pour le segment LAN.

Le nom d’un segment LAN doit être une chaîne unique de caractères alphanumériques et des caractères spéciaux (. -). Aucun espace n’est autorisé et la longueur maximale autorisée est de 15 caractères.

CPE Port

Sélectionnez le port CPE à ajouter dans le segment LAN.

Lorsque vous ajoutez un nouveau segment LAN à un site provisionné à partir de l’onglet LAN de la Site-Name page, vous pouvez sélectionner (ou créer) une interface LAG ou une interface Ethernet redondante (reth) (pour le cluster double CPE) pour connecter les équipements CPE SRX Series à un commutateur EX Series.

Pour utiliser l’interface et sur les équipements SRX4600, vous devez créer une interface LAG et configurer l’interface et en tant que membre de l’interface LAG (agrégée Ethernet ou ae). Voir Créer une interface LAG.

Pour un cluster SRX4600 double CPE, vous pouvez utiliser l’interface et s’il est configuré en tant que membre de l’interface Ethernet redondante (reth).

Ajouter une interface LAG

Cliquez sur le lien pour créer une interface LAG (interface ae) si vous souhaitez l’utiliser pour connecter le CPE SRX Series au commutateur EX Series. Voir Créer une interface LAG pour plus de détails.

Créer une interface RETH

Cliquez sur le lien pour créer une interface de reth pour un site SD-WAN avec un cluster CPE double. Voir Créer une interface RETH pour plus de détails.

Type

Sélectionnez le type de segment LAN :

• Connexion directe (par défaut) : indique que le segment LAN est directement connecté au site.

• Routage dynamique : indique que le segment LAN n’est pas directement connecté au site et qu’il est accessible à l’aide d’un routage dynamique. Si vous sélectionnez cette option, vous devez spécifier les informations de routage dynamique.

VLAN ID

Saisissez l’ID VLAN du segment LAN. Par défaut, l’ID VLAN est défini sur 1 et le VLAN natif est activé pour le trafic non identifié.

Portée : 1 à 4049 .

Utilisation pour le VLAN natif

Activez cette option pour utiliser l’ID VLAN spécifié ci-dessus pour le trafic non identifié. L’interface CPE est configurée avec un id natif-vlan, qui a la même valeur que l’ID VLAN.

Département

Sélectionnez un département auquel le segment LAN est assigné.

Vous pouvez également cliquer sur le lien Créer un département pour créer un nouveau service et lui affecter le segment LAN. Voir Ajouter un service pour plus de détails.

Vous pouvez regrouper les segments LAN en tant que services pour faciliter la gestion et appliquer des stratégies au niveau du département. Pour les segments LAN routés dynamiquement, vous ne pouvez affecter qu’un service de centre de données.

Adresse/masque de passerelle

Saisissez une adresse IP de passerelle valide et un masque pour le segment LAN. Cette adresse sera la passerelle par défaut pour les points de terminaison de ce segment LAN.

Par exemple : 192.0.2.8/24.

Zone

Sélectionnez une zone de sécurité à associer à ce segment LAN. Vous pouvez également cliquer sur Créer une zone pour créer une nouvelle zone de sécurité et l’affecter à ce segment LAN. Pour plus de détails, reportez-vous à la section Ajout d’une zone de sécurité.

DHCP

Pour les segments LAN directement connectés, cliquez sur le bouton de bascule pour activer DHCP.

Vous pouvez activer DHCP si vous souhaitez attribuer des adresses IP à l’aide d’un serveur DHCP ou désactiver DHCP si vous souhaitez affecter une adresse IP statique au segment LAN.

Champs supplémentaires liés à DHCP

Plage d’adresses faible

Saisissez l’adresse IP de départ dans la plage d’adresses IP que le serveur DHCP peut allouer au segment LAN.

Plage d’adresses élevée

Saisissez l’adresse IP de fin dans la plage d’adresses IP que le serveur DHCP peut allouer au segment LAN.

Durée maximale du bail

Spécifiez la durée maximale (en secondes) pour laquelle un client peut demander et détenir un bail sur le serveur DHCP.

Par défaut : 1440

Portée : 0 à 4 294 967 295 secondes.

Serveur de noms

Spécifiez une ou plusieurs adresses IPv4 du serveur DNS.

Pour saisir plusieurs adresses de serveur DNS, saisissez l’adresse, appuyez sur Entrée, puis saisissez l’adresse suivante.

CPE Ports

Pour les sites dotés d’une fonctionnalité SD-WAN, le champ Ports CPE est désactivé et les ports CPE que vous pouvez inclure dans le segment LAN sont répertoriés.

Sélectionnez les ports dans la colonne Disponible et cliquez sur la flèche droite pour déplacer les ports vers la colonne Sélectionné .

Routage statique

Utilisez cette section pour configurer le routage statique sur le segment LAN. Fournissez les adresses IP de tous les routeurs LAN connectés à l’équipement CPE et des sous-réseaux statiques derrière ces routeurs.

Ajouter un préfixe IP de routeur LAN

IP du routeur LAN

Saisissez l’adresse IP du routeur LAN connecté à l’équipement CPE.

Préfixe

Entrez les sous-réseaux connectés au routeur LAN.

BFD

Activez la détection de transfert bidirectionnel (BFD) pour détecter toute défaillance sur le routage statique.

Routage dynamique

Protocole de routage

Activez ce bouton de commutation pour configurer le routage dynamique à l’aide du protocole BGP ou OSPF.

BFD

Activez la détection de transfert bidirectionnel (BFD) pour détecter toute défaillance dans le segment LAN.

Protocole

Sélectionnez BGP ou OSPF.

BGP Configuration

Authentification

Sélectionnez la méthode d’authentification de route BGP à utiliser :

• Aucun : indique qu’aucune authentification ne doit être utilisée. C’est la valeur par défaut.

• Utiliser MD5 : indique que MD5 doit être utilisé pour l’authentification. Si vous choisissez cette option, vous devez spécifier une clé d’authentification.

Clé d’authentification

Si vous avez spécifié que MD5 doit être utilisé pour l’authentification, spécifiez une clé d’authentification MD5 (mot de passe), qui est utilisée pour vérifier l’authenticité des paquets BGP.

BGP Options

Vous pouvez sélectionner les options suivantes en fonction de vos besoins :

• AS-OVERRIDE : remplace toutes les occurrences du numéro AS homologue dans le chemin AS par son propre numéro AS avant d’annoncer le routage à l’homologue.

• AS-PATH-PREPEND : réserve un ou plusieurs numéros de système autonome (AS) au début d’un chemin AS. La pré-préparation d’un chemin AS permet d’avoir un chemin AS plus court et devient donc moins préférable à BGP.

• AS-LOOP : permet d’ajouter le numéro AS de l’équipement local aux chemins AS reçus. Vous pouvez spécifier le nombre de fois que la détection de l’AS local est autorisée dans le chemin AS.

Nombre de boucles

Ce champ s’affiche uniquement si vous sélectionnez AS-LOOP.

Saisissez le nombre maximal de fois que la détection de l’AS local est autorisée dans le chemin AS.

Adresse IP homologue

Saisissez l’adresse IP de l’homologue LAN BGP.

Numéro AS peer

Saisissez le numéro de système autonome (AS) de l’homologue LAN BGP. Par défaut, CSO utilise le numéro AS 64512. Vous pouvez saisir un numéro AS différent.

Numéro AS local

Saisissez le numéro d’AS local. Lorsque vous configurez ce paramètre, le numéro AS local est utilisé pour l’appairage BGP au lieu du numéro AS global configuré pour le CPE.

OSPF Configuration

ID de zone OSPF

Spécifiez l’identifiant de zone OSPF à utiliser pour le routage dynamique.

Authentification

Sélectionnez la méthode d’authentification de route OSPF à utiliser :

• Mot de passe : indique que l’authentification basée sur un mot de passe doit être utilisée. Si vous choisissez cette option, vous devez spécifier le mot de passe. (C’est la valeur par défaut).

• Utiliser MD5 : indique que MD5 doit être utilisé pour l’authentification. Si vous choisissez cette option, vous devez spécifier une clé d’authentification.

• Aucun : indique qu’aucune authentification ne doit être utilisée.

Mot de passe

Saisissez le mot de passe à utiliser pour vérifier l’authenticité des paquets OSPF.

Confirmer le mot de passe

Repétez le mot de passe à des fins de confirmation.

ID de clé d’authentification MD5

Si vous avez spécifié que MD5 doit être utilisé pour l’authentification, saisissez l’ID de la clé d’authentification OSPF MD5.

Plage : 1 à 255.

Clé d’authentification

Si vous avez spécifié que MD5 doit être utilisé pour l’authentification, saisissez une clé d’authentification MD5, qui est utilisée pour vérifier l’authenticité des paquets OSPF.

Contrôle des publicités de routage

Route(s) LAN vers overlay

Lorsque cette option est activée, les routes LAN sont annoncées aux CPE distants. Par défaut, cette option est activée.

À partir de la version 6.2.0 de CSO, vous pouvez configurer les stratégies d’exportation en conjonction avec l’option Route(s) LAN vers overlay pour un contrôle plus granulaire sur les routes annoncées sur le réseau overlay. Par exemple, lorsque l’option Route(s) LAN vers overlay est activée, vous pouvez configurer des stratégies pour empêcher la publicité de routes spécifiques. De même, lorsque l’option Route(s) LAN vers overlay est désactivée, vous pouvez configurer des stratégies pour autoriser uniquement la publicité de routes spécifiques.

Route(s) overlay vers LEN

Cette option s’affiche uniquement si vous activez le bouton de commutation du protocole de routage. Par défaut, cette option est désactivée.

Activez cette option pour annoncer les routes CPE distantes reçues dans un département vers le routeur LAN.

• Des stratégies d’importation pour un contrôle granulaire des routes qu’un équipement CPE accepte dans la liste des routes annoncées par le routeur LAN.
• Exportez des stratégies pour un contrôle granulaire des routes qu’un équipement CPE annonce sur le routeur LAN.

Routes statiques/Aggr vers l’overlay

Activez cette option pour autoriser la publicité de routes statiques ou agrégées vers le réseau overlay.

• Si un grand nombre de routes LAN sont présentes, vous pouvez désactiver l’option Route(s) LAN vers overlay et utiliser cette option pour annoncer les routes agrégées.

• Si vous souhaitez annoncer des routes supplémentaires, vous pouvez activer l’option Route(s) LAN vers overlay et utiliser cette option pour annoncer des routes statiques supplémentaires.

Model Site— CSO modélise d’abord le site pour commencer le processus d’activation. Si vous n’avez pas entré de numéro de série ou désactivé l’activation automatique, vous devez activer manuellement le site comme expliqué dans la section Activer manuellement un site.

Prestage Device— Selon le type d’équipement utilisé, vous devrez peut-être copier la configuration générée par CSO et valider la configuration sur l’équipement. Pour ces équipements, CSO peut passer à l’étape suivante (détection de l’équipement) uniquement après que la configuration a été validée avec succès sur l’équipement.

1. Sur la page Équipements (Ressources > Équipements), sélectionnez l’équipement et cliquez sur Configuration de l’étape 1.

   La configuration à copier apparaît sur une page distincte.

2. Cliquez sur Copy (Copy ) pour copier la configuration dans le presse-papiers

3. Connectez-vous à l’équipement à l’aide de SSH et accédez au mode de configuration de Junos OS.

4. Collez la configuration que vous avez copiée et validez la configuration.

Cette étape se déroule généralement sans problème. Toutefois, si vous rencontrez un problème, connectez-vous à l’équipement (à l’aide d’une console ou d’une interface de gestion), accédez à l’interface CLI et vérifiez que la configuration de l’étape 1 a été validée sur l’équipement.

Detect Device— L’équipement contacte CSO et la communication avec CSO est établie.

Cette tâche prend généralement quelques minutes. Si le statut s’affiche en attente après environ 10 minutes, essayez les étapes de dépannage.

Si l’équipement n’est pas détecté :

1. Vérifiez que les interfaces correctes sur l’équipement sont connectées.

2. Connectez-vous à l’équipement et accédez à la CLI.

3. Vérifiez l’heure du système configurée sur l’équipement en exécutant la show system uptime commande et assurez-vous que l’heure système est exacte. Une incompatibilité dans le temps peut signifier que l’équipement ne peut pas se connecter au serveur de redirection.

4. Note:

   Cette étape s’applique uniquement aux sites distants.

   Exécutez la show interfaces terse commande.

   Dans la sortie de commande, vérifiez si l’équipement a reçu une adresse IP DHCP. Si l’équipement n’a pas reçu d’adresse IP, essayez de vous reconnecter.

5. Si l’équipement possède une adresse IP valide, vérifiez qu’il peut atteindre Internet à l’aide de la ping commande. Par exemple, ping www.juniper.net.

   Si la commande s’exécute ping correctement, cela signifie que l’équipement peut atteindre Internet et que la résolution DNS fonctionne.

6. Vérifiez si l’équipement dispose des autorisations requises pour les connexions sortantes sur le port 443 en exécutant la telnet redirect.juniper.net 443 commande.

   Si l’équipement dispose des autorisations requises, vous devriez voir une sortie similaire à la suivante :

   Trying 192.0.2.155...
   Connected to telnet-host.example.com.
   Escape character is '^]'.
   

Bootstrap Device— Cette tâche comprend les sous-tâches suivantes :

1. Un tunnel OAM sécurisé (à l’aide d’IPsec) est établi entre l’équipement et le hub OAM.

2. Une connexion SSH sortante de l’équipement est établie avec CSO.

3. Un appairage interne BGP (iBGP) entre l’équipement et le réflecteur de route virtuel (VRR) est établi.

4. L’équipement envoie un message Bootstrap Complete à CSO, que CSO reçoit et marque le bootstrap comme terminé.

CSO applique la configuration pré-script et étape 1 (inclut la configuration de l’équipement).

Cette tâche prend généralement quelques minutes. Si le statut s’affiche en attente après environ 10 minutes, essayez les étapes de dépannage.

Si la tâche de l’équipement de démarrage ne se termine pas correctement :

1. Vérifiez si la configuration de l’étape 1 a été déployée sur l’équipement en exécutant la show configuration | display set | match outbound-ssh | match 7804 commande.

   Si le résultat est similaire à l’exemple suivant, cela signifie que la configuration de l’étape 1 a été déployée avec succès.

   set system services outbound-ssh client 
   CSO-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 
   192.0.2.100 port 7804

2. Vérifiez si les tunnels OAM sécurisés sont en place en exécutant les commandes suivantes :

   • show security ike sa Commande. Si le champ État de la sortie ne s’affiche UPpas , cela signifie que le port 500 est bloqué. Assurez-vous d’ouvrir 500 et de réessayer le travail d’activation (à partir de la page Jobs).

   • show security ipsec sa Commande. Si le champ État de la sortie ne s’affiche UPpas, cela signifie que le port 4500 est bloqué. Ouvrez le port 4500 et réessayez le travail d’activation (à partir de la page Jobs).

3. Vérifiez si l’équipement a établi l’appairage BGP avec le VRR en exécutant la show bgp summary commande.

   Si le champ État de la sortie s’affiche Establ, cela signifie que l’appairage BGP est bien établi.

4. Vérifiez si la session OAM sécurisée est établie en exécutant la show security flow session destination-port 7804 commande.

   Si le résultat est similaire au résultat suivant, cela signifie que la session OAM sécurisée a été établie avec succès.

   Session ID: 430000098, Policy name: default-policy-00/2, Timeout: 1778, Valid
     In: 192.0.2.10/15190 --> 192.0.2.20/23;tcp, If: ge-7/1/0.0, Pkts: 109, Bytes: 5874, CP Session ID: 430000093
     Out: 192.0.2.20/23 --> 192.0.2.10/15190;tcp, If: ge-7/1/1.0, Pkts: 64, Bytes: 4015, CP Session ID: 430000093
   Total sessions: 1

Manage Device— Une fois que CSO a appliqué la configuration sur l’équipement, l’état de l’équipement passe à Géré.

Si l’état est en attente après environ 10 minutes, essayez les étapes de dépannage.

Accédez à la page Jobs (Monitor > Jobs), recherchez le travail ZTP et vérifiez l’état.

Cliquez sur le job-name lien pour afficher les tâches associées à la tâche et leur statut. Pour en savoir plus, cliquez sur le task-name lien. Si l’état du travail ou de la tâche est en cours, attendez la fin de la tâche ou de la tâche. Si le travail a échoué, vous pouvez réessayer en sélectionnant le travail et en cliquant sur le bouton Réessayer le travail .

Handicapés

Sans objet (Pas de NAT)

Aucun.

Activé

Basé sur les interfaces (par défaut) : CSO crée des règles NAT basées sur l’interface.

Les règles NAT source sont automatiquement créées, avec chaque règle d’une zone du département à l’interface WAN, avec une traduction de l’interface de type. Chaque paire de [zone - interface] représente un ensemble de règles.

Par exemple, l’ensemble de règles d’interface W1 de la zone département vers (liaison WAN) suivante peut être créée :

Dept-Zone1 --> W1: Translation=Interface
Dept-Zone2 --> W1: Translation=Interface
Dept-Zone3 --> W1: Translation=Interface

Lorsque le trafic d’un site distant se détache d’un hub d’entreprise, une règle NAT source est automatiquement créée au niveau du hub d’entreprise depuis le groupe de routage du département (également appelé groupe VRF) vers l’interface WAN.

Dept-vrf-group --> W1: Translation=Interface

Activé

Basé sur des pools : CSO crée automatiquement des règles NAT basées sur des pools (ne s’applique pas aux sites dotés du service SD-WAN Essentials).

Les règles NAT source sont automatiquement créées, avec chaque règle d’une zone de département jusqu’au pool NAT WAN avec une traduction du pool de type.

Par exemple, une règle NAT source entre la zone du département et le pool NAT peut être créée :

Dept-Zone1 --> W1 : Translation=Pool-1
Dept-Zone2 --> W1 : Translation=Pool-1

Lorsque le trafic d’un site distant se détache d’un hub d’entreprise, une règle NAT source est automatiquement créée au niveau du hub d’entreprise, du groupe de routage du département au pool WAN.

Dept-vrf-group --> W1: Translation=Pool