Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ajouter des sites distants SD-WAN

Un point de terminaison sur site (ou une filiale) représente un point de terminaison, comme l’équipement sur site client (CPE) sur un site physique, tel qu’une filiale. En règle générale, ces sites sont connectés à l’aide de connexions overlay aux sites hub. À partir de la version 6.0.0 de CSO, dans les déploiements SD-WAN, l’utilisation de hubs pour connecter des sites est facultative.

Note:

Avant d’ajouter les sites distants SD-WAN, vérifiez les connexions câblées, examinez les ports et protocoles NAT et de pare-feu, et vérifiez la version Junos OS de l’équipement SD-WAN CPE. Pour plus de détails, voir Équipements pris en charge pour SD-WAN, ports et protocoles à ouvrir.

Pour ajouter des sites distants avec la fonctionnalité SD-WAN :

  1. Cliquez sur Ressources > gestion des sites.

    La page Sites s’affiche.

  2. Cliquez sur Ajouter, puis sélectionnez Site distant (manuel).

    L’assistant Ajouter un site distant s’affiche et affiche les paramètres généraux à configurer.

    Note:

    Les champs marqués d’un astérisque (*) sont obligatoires.
  3. Configurez les paramètres généraux comme expliqué dans le tableau 1, puis cliquez sur Suivant.

    Vous êtes redirigé vers la section WAN du workflow.

  4. Configurez les paramètres WAN comme expliqué dans le tableau 2, puis cliquez sur Suivant.
    Note:

    Dans la version 6.1.0, CSO déplace un site à l’état PROVISIONED lorsque l’une au moins des liaisons WAN obtient l’adresse IP et est activée.

    Vous êtes redirigé vers la section LAN du workflow.

  5. Vous pouvez ajouter des segments LAN lorsque vous ajoutez le site ou après le provisionnement d’un site. Pour ajouter un segment LAN pendant le workflow d’ajout de site :
    1. Cliquez sur l’icône d’ajout (+).

      La page Créer un segment LAN s’affiche.

    2. Configurez les paramètres de segment LAN comme expliqué dans le tableau 4.
    3. Cliquez sur OK.

      Vous êtes retourné à la section LAN du workflow et le segment LAN que vous avez ajouté s’affiche.

  6. Cliquez sur Suivant.

    Vous êtes redirigé vers la section Résumé du workflow.

  7. Examinez la configuration dans la section Résumé et, si nécessaire, modifiez les paramètres.
  8. Cliquez sur Terminer.

    • Si vous avez entré un numéro de série lors de l’activation et que l’activation automatique est activée, la page Progression de l’activation du site s’affiche. Le processus d’activation du site passe par les tâches expliquées dans le tableau 4.

      Cliquez sur OK pour fermer la page De progression de l’activation du site.

      Note:

      Si vous ne souhaitez pas attendre la fin de l’activation du site, vous pouvez fermer la page Progression de l’activation du site et surveiller l’état de l’activation du site à partir de la page Jobs (Surveiller > travaux).

      Le temps d’activation du site varie en fonction de l’équipement activé par CSO.

    • Si vous n’avez pas entré de numéro de série ou si l’activation automatique est désactivée, vous êtes renvoyé à la page sites. CSO déclenche une tâche et affiche un message de confirmation avec un lien de travail. Cliquez sur le lien pour afficher l’état de la tâche.

      Une fois le travail terminé, CSO affiche un message de confirmation avec un lien de travail. L’état du site passe à CREATED et un lien Activer le site s’affiche. Vous devez activer manuellement le site pour terminer le processus. Pour plus d’informations, consultez Activer manuellement un site.

Pointe:

Après avoir ajouté un site, vous pouvez modifier (en fonction du statut du site) certains paramètres du site. Pour plus d’informations, consultez modifier la présentation du site dans le guide de l’utilisateur du portail client CSO (disponible sur la page de documentation CSO ).
Tableau 1 : Informations générales (ajouter [SD-WAN] filiale)

Champ

Ligne directrice

Informations sur le site

  

Nom du site

Saisissez un nom unique pour le site. Le nom peut contenir des caractères alphanumériques, des traits d’union (-) et ne peut pas dépasser 32 caractères.

Groupe de sites

Si vous souhaitez que le site fasse partie d’un groupe de sites, sélectionnez le groupe de sites. Par défaut, aucun n’est sélectionné, ce qui signifie que le site n’appartient à aucun groupe de sites.

Fonctionnalités du site

  

Fonctionnalités WAN
Note:

La gestion des équipements, activée par défaut, vous permet de créer un site avec uniquement une capacité de gestion des équipements (sans aucun service) et d’ajouter des services ultérieurement.

Pour ajouter une fonctionnalité SD-WAN à ce site, choisissez l’un des types de services SD-WAN suivants :

  • SD-WAN sécurisé essentiel — (Disponible pour les locataires avec SD-WAN Essentials ou Niveau de service avancé) Fournit des services SD-WAN de base. Ce service est idéal pour les petites entreprises qui cherchent à gérer une connectivité WAN simple avec des services de sécurité NGFW complets sur les sites distants, à l’aide de l’orientation des applications basées sur des liens. Ce service prend en charge des fonctionnalités telles que les stratégies de pare-feu basées sur l’intention, la gestion et le contrôle des liaisons WAN, ainsi que la communication de site à site via des liaisons MPLS ou Internet. Le service SD-WAN Essentials ne prend pas en charge le multihébergement, les tunnels de maillage dynamique, les profils de breakout cloud, les profils de direction basés sur les SLA, les règles NAT source basées sur un pool, IPv6, MAP-E ou BGP underlay.

  • SD-WAN sécurisé avancé — (Disponible pour les locataires avec niveau de service SD-WAN avancé) Fournit des services SD-WAN complets. Ce service est idéal pour les entreprises disposant d’un ou plusieurs centres de données, qui ont besoin de topologies flexibles et d’un pilotage dynamique des applications. Vous pouvez établir une connectivité site à site en utilisant un hub dans une topologie en étoile ou via des tunnels VPN statiques ou dynamiques à maillage complet. Les stratégies SD-WAN basées sur l’intention à l’échelle de l’entreprise et les mesures des accords de niveau de service (SLA) permettent de différencier et de router dynamiquement le trafic pour différentes applications.

Adresse et coordonnées

Saisissez l’adresse du site et les coordonnées de la filiale dans les champs fournis. Bien que ce ne soit pas obligatoire, la fourniture d’une adresse vous permet de visualiser l’emplacement du site sur la carte géographique sur la page De présentation du moniteur.

Configuration avancée

Pour les serveurs DNS et NTP, vous pouvez utiliser les valeurs par défaut ou spécifier des serveurs DNS et NTP.

Serveur de nom de domaine

Spécifiez une ou plusieurs adresses IPv4 ou IPv6, ou les deux adresses IPv4 et IPv6 du serveur DNS. Pour spécifier plusieurs adresses de serveur DNS, saisissez l’adresse, appuyez sur Entrée, puis saisissez l’adresse suivante, et ainsi de suite.

Serveur NTP

Si nécessaire, spécifiez les adresses IP d’un ou plusieurs serveurs NTP.

Sélectionnez le fuseau horaire

Sélectionnez un fuseau horaire pour le site.
Tableau 2 : Équipement (ajouter un site distant)

Champ

Ligne directrice

Série d’équipements

Sélectionnez la série d’équipements de l’équipement CPE ; par exemple, SRX.

En fonction de la série d’équipements que vous avez sélectionnée, les modèles d’équipements pris en charge s’affichent.

Assurez-vous de sélectionner le modèle d’équipement approprié dans le carrousel.

Par exemple, pour un équipement SRX300, sélectionnez SRX comme CPE SD-WAN (ou une version modifiée de ce modèle) comme modèle d’équipement.

Informations sur l’équipement
Note:

Si vous avez sélectionné un modèle CPE double, des champs supplémentaires s’affichent. Pour plus d’informations, consultez création de sites sur site dans le Guide de l’utilisateur du portail client CSO (disponible sur la page de documentation CSO ).

Numéro de série

Si vous souhaitez que CSO procède à l’activation du site immédiatement après avoir terminé le workflow d’ajout de site, saisissez le numéro de série. Si le numéro de série que vous avez entré est déjà présent dans le système, CSO affiche un message d’erreur. Si le numéro de série n’est pas présent, CSO affiche une coche verte.

Si vous souhaitez que CSO ne modélise que le site, laissez ce champ vide. Si vous ne saisissez pas de numéro de série, vous devez activer manuellement le site ultérieurement.

Mot de passe racine de l’équipement

Le mot de passe racine par défaut est extrait du champ _ROOT_PASSWORD ENC du modèle d’équipement. Vous pouvez conserver le mot de passe ou le modifier en entrant un mot de passe au format texte brut. Le mot de passe est chiffré et stocké sur l’équipement

Provisionnement sans intervention

Cliquez sur le bouton bascule pour activer ou désactiver le provisionnement sans intervention (ZTP). Cette option est activée par défaut.

Note:

Par défaut, ce bouton est désactivé pour vSRX. Vous pouvez activer ce bouton si la version de Junos OS s’exécutant sur vSRX prend en charge le client à domicile.

Si ZTP est désactivé, vous devez copier manuellement la configuration de l’étape 1 (générée automatiquement par CSO) sur l’équipement et valider la configuration sur l’équipement.

Si ZTP est activé, le champ Image de démarrage s’affiche et vous devez sélectionner une image prenant en charge le client Phone-Home. Pendant le ZTP, l’image sur l’équipement est mise à niveau vers l’image que vous sélectionnez pour l’image de démarrage.

Le cluster est-il déjà formé ?
Note:

Ce champ n’est disponible que pour les équipements CPE doubles SRX.

Cliquez sur le bouton bascule pour spécifier si le cluster SRX a été formé manuellement (Oui) ou non (Non).

Cluster ID
Note:

Ce champ n’est disponible que pour les équipements CPE doubles SRX.

Si le cluster SRX n’a pas été formé manuellement, spécifiez un ID unique pour le cluster.

Plage : 1 à 15

Si vous avez activé ZTP pour le site, le cluster est automatiquement formé lorsque le site est activé. Si vous avez désactivé ZTP, les processus suivants s’affichent sur la page De progression de l’activation du site (qui apparaît après l’ajout du site distant) :

  1. Une fois que CSO modélise le site (c’est-à-dire une fois que le processus de site de modèle s’est terminé avec succès), cliquez sur le lien Cliquer pour copier le script pré-script, qui apparaît en face du processus de pré-script.

  2. Exécutez les commandes comme indiqué.

    Une fois le processus de pré-script terminé, le cluster SRX est formé et le fichier recovery.conf est enregistré sur le cluster. Si vous souhaitez supprimer le site ultérieurement, vous aurez besoin de ce fichier pour supprimer la configuration de l’étape 1 et les autres configurations poussées sur l’équipement par CSO.

  3. Configurez manuellement la configuration de l’étape 1 (générée automatiquement par CSO) sur l’équipement principal du cluster et validez la configuration sur l’équipement.

Une fois le cluster détecté, CSO exécute les processus d’amorçage et de provisionnement et termine le provisionnement du cluster.

Activation automatique

Cliquez sur le bouton bascule pour spécifier si l’activation du site nécessite ou non un code d’activation :

  • Activé : le site est activé automatiquement sans code d’activation. Il s’agit du paramètre par défaut.

  • Désactivé : l’activation du site ne s’effectue qu’après avoir entré un code d’activation. Si vous choisissez ce paramètre, saisissez le code d’activation (dans le champ Code d’activation ) qui doit être entré pour activer l’équipement.

Image du démarrage

Si vous souhaitez mettre à niveau l’équipement de filiale avec la dernière version de Junos OS prise en charge, sélectionnez l’image de démarrage dans la liste. L’image de démarrage est utilisée pour mettre à niveau l’équipement lorsque CSO lance le processus ZTP.

Si vous ne spécifiez pas d’image de démarrage, c’est-à-dire la sélection par défaut (Utiliser l’image sur l’équipement) dans la liste, CSO ignore la procédure de mise à niveau de l’équipement pendant ZTP.

Hub Configuration
Note:

La sélection du hub est facultative pour les sites SD-WAN Advanced et Essentials. Les sites SD-WAN Essentials ne prennent pas en charge le multihébergement, c’est-à-dire que vous ne pouvez pas sélectionner un hub secondaire pour les sites de filiales SD-WAN Essentials.

Pour les sites dotés d’un service SD-WAN Avancé, vous devez spécifier au moins un hub auquel le site distant doit se connecter (dans les champs Hub fournisseur principal, Hub fournisseur secondaire, Hub d’entreprise principal et Hub d’entreprise secondaire ). Les combinaisons prises en charge sont répertoriées dans le tableau 3.

Utiliser des étiquettes de maillage pour connecter EHub

Ce bouton de bascule est activé par défaut. Si ce bouton est activé, CSO utilise des balises de maillage pour former automatiquement le tunnel de superposition entre le site et les hubs d’entreprise.

Désactivez ce bouton de bascule si vous souhaitez créer manuellement un tunnel statique (par liaison WAN) entre le site distant et les hubs d’entreprise. Si vous désactivez cette option, vous devez activer manuellement au moins une liaison WAN pour vous connecter au hub d’entreprise à l’aide du bouton de bascule Se connecter aux hubs d’entreprise dans les paramètres avancés de la liaison WAN.

Liaisons WAN

Vous pouvez configurer un maximum de quatre liaisons WAN et devez configurer au moins une liaison WAN.

WAN_0 (WAN-Interface-Name)

La première liaison WAN est activée par défaut.

Note:

Les champs marqués d’un astérisque (*) doivent être configurés pour continuer.

Type de liaison

Sélectionnez le type de lien (MPLS ou Internet) pour la liaison WAN.

Pour la première liaison WAN, nous vous recommandons d’utiliser le type de réseau sous-jacent par défaut (Internet) pour garantir l’accessibilité au serveur de redirection.

Type d’accès

Sélectionnez le type d’accès pour le lien underlay. À partir de la version 6.3.0 de CSO, vous pouvez sélectionner LTE pour les équipements CPE doubles SRX300 Series.

Vous ne pouvez sélectionner le type d’accès LTE que pour une seule liaison WAN.

Vous pouvez sélectionner le type d’accès ADSL ou VDSL uniquement pour deux liaisons WAN.

Note:

  • Vous pouvez sélectionner le type d’accès LTE, ADSL ou VDSL uniquement pour une seule liaison WAN.

  • Vous ne pouvez pas configurer :

    • LTE comme type d’accès si vous utilisez les modèles de double équipement NFX.

    • ADSL ou VDSL comme type d’accès si vous utilisez le double SRX ou les modèles d’équipements NFX simples ou doubles.

    Ethernet est configuré comme type d’accès pour la liaison underlay.

  • Le SRX300 ne prend pas en charge les types d’accès LTE et ADSL.

  • Sur les équipements SRX300 Series (à l’exception des équipements SRX300) et les équipements NFX150, la liaison WAN LTE est prise en charge via une carte SIM insérée dans l’emplacement SIM du mini-module d’interface physique (Mini-PIM).

    Sur les équipements NFX250, la liaison WAN LTE est prise en charge par un dongle USB (dongle Vodafone K5160) qui est connecté au port USB de l’équipement CPE.

  • Le LTE est pris en charge sur les liaisons MPLS uniquement s’il n’y a pas de NAT dans le chemin de bout en bout.

CSO prend en charge la combinaison suivante de tunnels MPLS (avec types d’accès ADSL ou VDSL) pour un équipement distant :

  • Du site distant (avec un type d’accès ADSL ou VDSL) à un hub d’entreprise, à un hub fournisseur ou à un site distant (avec liaison Ethernet).

  • Depuis le site distant (avec un type d’accès ADSL ou VDSL) vers un autre site distant (avec un lien ADSL ou VDSL).

CSO ne prend pas en charge les tunnels DVPN de site à site sur LTE dans les déploiements CPE doubles. Des tunnels sont formés si les sites ont des balises de maillage correspondantes ; cependant, les tunnels pourraient ne pas être mis en place.

CSO ne prend pas en charge ppp sur LTE dans les déploiements CPE doubles.
Redondance des liaisons

Dans les déploiements de double CPE SRX300 Series, le mini-PIM LTE peut être installé sur un seul nœud (nœud 0 ou nœud1) ou les deux nœuds (représenté comme une seule liaison WAN sur CSO).

Si le mini-PIM LTE est installé sur un seul nœud, cette option n’est pas applicable et doit être désactivée. Configurez la liaison WAN correspondante (WAN_0 ou WAN_2 pour le nœud 0 et WAN_1 ou WAN_3 pour le nœud 1) en tant que liaison WAN LTE.

Activez le bouton de bascule si le mini-PIM LTE est installé dans les deux nœuds. Toutefois, comme la liaison LTE fonctionne en mode actif/sauvegarde dans les déploiements CPE doubles, une seule liaison est active à la fois. Si vous préférez avoir la liaison active sur le nœud 0, configurez la liaison WAN_0 ou WAN_2 en tant que liaison WAN LTE. De même, pour avoir la liaison active sur le nœud 1, configurez soit le WAN_1 soit WAN_3 liaison.

Note:

Avant de configurer une liaison WAN LTE, vous devez mettre à jour le modèle d’équipement avec les emplacements dans lesquels le mini-PIM LTE est installé.

Le tableau suivant résume les informations fournies ci-dessus :

Liaison
Nœud 0 Nœud 1WAN de redondance LTE
Mini-PIM LTE installé Mini-PIM LTE installé Activer
  • WAN_0 ou WAN_2 (si vous préférez avoir la liaison LTE active sur le nœud 0)
  • WAN_1 ou WAN_3 (si vous préférez avoir la liaison LTE active sur le nœud 1)
Mini-PIM LTE installé Mini-PIM LTE non installé Désactiver WAN_0 ou WAN_2
Mini-PIM LTE non installé Mini-PIM LTE installé Désactiver WAN_1 ou WAN_3
Note:

Vous ne pouvez pas modifier l’option de redondance de liaison pour une liaison WAN LTE existante. Pour modifier le paramètre de redondance de liaison, vous devez supprimer la liaison WAN et la reconfigurer.

Liaison WAN (nœud 0 ou nœud 1)

Affiche le nœud auquel appartient la liaison WAN. WAN_0 et WAN_2 appartiennent au nœud 0 tandis que WAN_1 et WAN_3 appartiennent au nœud 1.

PPPoE/PPP

Ce champ s’affiche uniquement pour les liaisons Internet avec un type d’accès Ethernet, ADSL ou VDSL, et pour les liaisons MPLS avec des types d’accès Ethernet ou LTE.

Cliquez sur le bouton bascule pour activer l’attribution d’adresses authentifiées pour la liaison WAN à l’aide de PPPoE (Point-to-Point Protocol [PPP] over Ethernet) ou PPP. Par défaut, ce bouton de bascule est désactivé.

PPPoE fonctionne avec les types d’accès Ethernet, ADSL et VDSL, tandis que PPP fonctionne avec le type d’accès LTE.

Si vous avez activé ce bouton de bascule, vous devez spécifier les paramètres d’authentification dans la section PARAMÈTRES PPPoE/PPP de la page. Vous pouvez activer PPPoE ou PPP par liaison WAN.

Annexe SFP ADSL/VDSL

Applicable uniquement aux liaisons MPLS ou Internet avec des types d’accès ADSL ou VDSL.

Cliquez sur le bouton bascule pour activer la prise en charge de l’annexe J via un xmodule SFP DSL. L’annexe J est spécifiée dans les recommandations UIT-T G.992.3 et G.992.5.

Si vous gardez cette option désactivée, vous devez utiliser un module Mini-PIM pour la connectivité.

Vous pouvez activer ou désactiver cette option uniquement sur les nouvelles liaisons WAN ajoutées à un site. Vous ne pouvez pas activer ou désactiver cette option pour les liaisons WAN existantes à l’aide du workflow de modification du site.

Vous pouvez activer cette option ainsi que d’autres paramètres tels que PPoE, adresse IP statique (IPv4/IPv6), DHCP et ID VLAN.

Bande passante sortante

Ce champ n’est pas disponible lorsque vous configurez LTE comme type d’accès.

Saisissez la bande passante sortante maximale (en Mbits/s) autorisée pour la liaison WAN.

Familles d’adresses underlay

IPv4

Cliquez sur le bouton bascule pour activer ou désactiver l’attribution d’adresses IPv4 pour la liaison WAN. Par défaut, l’attribution d’adresses IPv4 est activée pour la liaison WAN.

La liaison WAN nécessite une adresse IPv4 pour se connecter à un réseau IPv4.

Méthode d’attribution d’adresses

Ce champ n’est pas disponible si vous avez activé PPPoE/PPP. Pour le type d’accès LTE, seul DHCP est disponible comme méthode d’attribution d’adresses.

Sélectionnez la méthode d’attribution d’une adresse IPv4 à la liaison WAN : DHCP (Dynamic Host Configuration Protocol) ou STATIQUE.

  • Si vous sélectionnez DHCP, l’adresse IP est fournie à l’aide du serveur DHCP du fournisseur de services de la liaison WAN.

  • Si vous sélectionnez STATIQUE, vous devez fournir le préfixe d’adresse IPv4 et l’adresse IPv4 de la passerelle pour la liaison WAN.

Préfixe IP statique

Si vous avez configuré la méthode d’attribution d’adresses comme statique, saisissez le préfixe d’adresse IPv4 de la liaison WAN.

Adresse IP de la passerelle

Si vous avez configuré la méthode d’attribution d’adresses comme statique, saisissez l’adresse IPv4 de la passerelle du fournisseur de services WAN.
MTU

Applicable uniquement aux adresses IPv4.

Saisissez la taille maximale de l’unité de transmission (MTU) pour le support ou le protocole. La gamme MTU prise en charge peut varier en fonction de l’équipement, du type d’interface, de la topologie du réseau et d’autres exigences individuelles. Voir également : MTU Valeurs par défaut et maximales et mini-modules d’interface physique LTE (mini-PIM LTE).

La modification des valeurs MTU de toutes les liaisons WAN compatibles OAM d’un site en même temps peut entraîner un battement de tunnel. Vous devez vous assurer qu’au moins une liaison WAN compatible OAM reste toujours inchangée pour un site. Par exemple, si vous avez un site avec quatre liaisons WAN (dont deux qui prennent en charge le trafic OAM), vous pouvez modifier les valeurs MTU de toutes les liaisons WAN à l’exception d’une liaison compatible OAM en même temps. Une fois la modification terminée et les modifications enregistrées, vous pouvez modifier à nouveau le site et mettre à jour la liaison WAN restante.

Note:

Si vous activez l’option PPPoE/PPP sous une liaison WAN, l’option MTU s’affiche dans la section Paramètres PPPoE/PPP pour cette liaison.

IPv6

Cliquez sur le bouton bascule pour activer ou désactiver l’attribution d’adresses IPv6 pour la liaison WAN. Par défaut, l’attribution d’adresses IPv6 est désactivée pour la liaison WAN.

La liaison WAN nécessite une adresse IPv6 pour se connecter à un réseau IPv6.

Note:

  • L’attribution d’adresses IPv6 n’est prise en charge que pour les sites dotés du service SD-WAN sécurisé avancé.

  • Vous ne pouvez pas activer l’attribution d’adresses IPv6 pour les équipements NFX250.

Méthode d’attribution d’adresses

Sélectionnez la méthode d’attribution d’une adresse IPv6 à la liaison WAN : DHCP (Dynamic Host Configuration Protocol), STATIC ou SLAAC (Stateless Address Auto Configuration).

Si vous sélectionnez STATIQUE, vous devez fournir le préfixe d’adresse IPv6 et l’adresse IPv6 de la passerelle pour la liaison WAN.

Préfixe IP statique

Si vous avez configuré la méthode d’attribution d’adresses comme statique, saisissez le préfixe d’adresse IPv6 de la liaison WAN.

Adresse IP de la passerelle

Si vous avez configuré la méthode d’attribution d’adresses comme statique, saisissez l’adresse IPv6 de la passerelle du fournisseur de services WAN.

Nom du point d’accès (APN)

Ce champ peut être configuré uniquement pour les liaisons MPLS avec le type d’accès LTE et PPPoE/PPP activé. Pour les liaisons MPLS avec LTE comme type d’accès et PPPoE/PPP désactivées, CSO utilise les paramètres APN par défaut avec 10000 équipements CPE.

Le nom du point d’accès (APN) détermine la passerelle de réseau de données de paquets (P-GW) que l’équipement CPE doit utiliser pour se connecter au réseau de données de paquets (PDN), comme Internet. Tous les équipements CPE sont livrés avec des paramètres APN par défaut. Toutefois, si vous choisissez d’utiliser un APN privé avec le fournisseur de services LTE actuel ou d’utiliser un autre fournisseur de services LTE, saisissez l’APN pour l’équipement CPE (comme spécifié par le fournisseur de services) dans ce champ.

Paramètres avancés

  

Famille d’adresses (création de tunnels)

Sélectionnez la famille d’adresses underlay (IPv4 ou IPv6) utilisée pour établir le tunnel overlay. Les options de la liste sont remplies en fonction de la famille d’adresses que vous avez configurée pour l’underlay (IPv4 ou IPv6, ou les deux).

Fournisseur

Saisissez le nom du fournisseur de services de la liaison WAN.

Coût/Mois

Laissez-le comme par défaut, car ce champ n’est actuellement pas utilisé dans CSO.

Activer le breakout local

Cliquez sur le bouton bascule pour activer le lien WAN à utiliser pour le breakout local. Le bouton de bascule est désactivé par défaut, ce qui signifie que la liaison WAN ne peut pas être utilisée pour le breakout local.

Le breakout local est une fonctionnalité SD-WAN qui permet aux liaisons Internet de détacher le trafic directement d’un site. Par exemple, si vous souhaitez fournir un accès Internet aux visiteurs de votre entreprise, vous pouvez utiliser le breakout local pour délocaliser le trafic invité du site directement vers Internet.

Note:

  • Si vous activez le breakout local, cela signifie seulement que la liaison WAN peut être utilisée pour le breakout local. Pour permettre au trafic de se détacher du site, vous devez également configurer un profil de breakout, référencer ce profil dans une stratégie SD-WAN intention et déployer la stratégie SD-WAN.

  • Si vous n’activez pas le breakout local sur au moins une liaison WAN pour un seul site CPE et au moins deux liaisons WAN pour un site CPE double, alors le breakout local est désactivé pour le site.

Si vous activez le breakout local, d’autres champs apparaissent.

Breakout Options

Ce champ s’affiche uniquement si le breakout local est activé pour la liaison WAN.

Sélectionnez si vous souhaitez utiliser la liaison WAN à la fois pour le breakout et le trafic WAN (par défaut) ou uniquement pour le trafic breakout.

MAP-E

Cliquez sur le bouton bascule pour activer ou désactiver la fonctionnalité Map-E (Map-E) sur la liaison WAN IPv6. Par défaut, MAP-E est désactivé.

MAP-E prend en charge le transport des paquets IPv4 sur un réseau IPv6 à l’aide de l’encapsulation IPv4-in-IPv6.

Pour plus d’informations sur MAP-E, consultez Mappage des adresses et des ports avec encapsulation sur les équipements NFX Series.

Note:

  • MAP-E est uniquement conforme aux normes JPNE (Japan Network Enabler).

  • CSO ne prend en charge MAP-E que sur une seule liaison WAN du site distant (service SD-WAN avancé sécurisé uniquement) avec NFX150 comme CPE. L’attribution des adresses IPV6 et le breakout local doivent être activés pour la liaison WAN.

Règle NAT source de création automatique
Note:

Les sites dotés du service Secure SD-WAN Essentials prennent uniquement en charge les règles NAT source basées sur l’interface. Si vous activez ces options pour un site SD-WAN Essentials, les règles NAT source basées sur l’interface sont automatiquement appliquées. Si vous activez ces options pour un site SD-WAN Advanced, vous devez sélectionner une règle NAT source dans le champ Traduction .

Ce champ s’affiche uniquement si l’attribution d’adresses IPv4 et le breakout local sont activés pour la liaison WAN.

Lorsque vous activez le breakout local sur une liaison, ce paramètre est activé par défaut, ce qui déclenche la création automatique de règles NAT source pour le site.

Vous pouvez cliquer sur le bouton d’bascule pour désactiver la création automatique de règles NAT source. Si vous désactivez ce champ, vous devez ajouter manuellement une règle NAT source pour le breakout local et déployer la stratégie NAT sur le site.

Note:

Si le NAT n’est pas appliqué par un équipement distinct de votre réseau (par exemple, un pare-feu de passerelle Internet), nous vous recommandons d’activer ce paramètre, car il permet à CSO de créer automatiquement une stratégie NAT pour le site.

Translation

Ce champ s’affiche uniquement si la création automatique des règles NAT source est activée pour la liaison WAN et si le service SD-WAN utilisé est Avancé. Les sites dotés du service Secure SD-WAN Essentials prennent uniquement en charge les règles NAT source basées sur l’interface.

Sélectionnez le type de NAT à utiliser pour le trafic sur la liaison WAN :

  • Interface : utilisez le NAT basé sur l’interface, qui est le paramètre par défaut.

  • Pool : utilisez un NAT basé sur des pools. Si vous sélectionnez cette option, vous devez spécifier les adresses IP à utiliser pour le pool NAT.

Adresses IP

Pour un NAT basé sur des pools, saisissez une ou plusieurs adresses IP, sous-réseaux ou une plage d’adresses IP. Séparez plusieurs adresses IP à l’aide de virgules et d’un trait d’union pour désigner une plage ; par exemple, 192.0.2.1-192.0.2.50.

Note:

Aucun NAT n’est effectué pour les adresses IP publiques appartenant à des locataires qui ont été ajoutées pendant le workflow d’ajout de locataire.

Lien breakout préféré

si la liaison WAN est activée pour le breakout local, cliquez sur le bouton de bascule pour activer la liaison WAN comme lien breakout préféré.

Si vous désactivez cette option, le lien breakout est choisi à l’aide d’ECMP (multi-chemin à coût égal) parmi les liens breakout disponibles.

Options sous-jacentes BGP
Note:

Ne s’applique pas aux sites dotés du service SD-WAN Essentials.
Note:

Le routage sous-jacent BGP est généralement utilisé par les fournisseurs de services et peut être configuré uniquement si l’attribution d’adresses IPv4 (avec statique comme méthode d’attribution d’adresses) et le breakout local sont activés pour la liaison WAN.

Cliquez sur le bouton bascule pour activer le routage sous-jacent BGP.

Lorsque vous activez le routage sous-jacent BGP, acheminez les publicités vers le nœud principal de périphérie du fournisseur (PE) et, s’il est configuré, le nœud PE secondaire se produit comme suit :

  • CSO annonce le sous-réseau d’interface WAN.

  • Si vous avez configuré la traduction basée sur des pools, CSO annonce le pool d’adresses NAT.

Note:

Si BGP sous-jacent est activé pour une liaison WAN, les routes apprises par BGP sont installées pour le breakout local ; CSO ne génère pas de route statique par défaut.

Voisin principal

Affiche l’adresse IP que vous avez saisie pour la passerelle de la liaison WAN.

Voisin secondaire

Si vous souhaitez fournir une résilience PE, vous pouvez configurer un nœud PE secondaire.

Saisissez l’adresse IP du nœud PE secondaire.

Note:

Si le nœud PE principal tombe en panne, alors le PE secondaire est utilisé comme saut suivant. Lorsque le PE primaire revient, les sauts suivants sont changés en PE primaire.

Numéro eBGP Peer-AS

Saisissez le numéro du système autonome (AS) pour l’homologue externe (EBGP).

Note:

Si le numéro AS homologue n’est pas configuré ou que le numéro AS homologue configuré est le même que celui du site CPE, alors le type BGP est supposé être BGP interne (IBGP).

Numéro AS local

Saisissez le numéro AS local de la liaison WAN. Lorsque vous configurez ce paramètre, le numéro AS local est utilisé pour l’appairage eBGP au lieu du numéro AS global configuré pour l’équipement.

Authentification

Sélectionnez la méthode d’authentification de route BGP à utiliser :

  • Aucun : indique qu’aucune authentification ne doit être utilisée. C’est la valeur par défaut.

  • Utiliser MD5 : indique que MD5 doit être utilisé pour l’authentification. Si vous choisissez cette option, vous devez spécifier une clé d’authentification.

Clé d’authentification

Si vous avez spécifié que MD5 doit être utilisé pour l’authentification, spécifiez une clé d’authentification MD5 (mot de passe), qui est utilisée pour vérifier l’authenticité des paquets BGP.

Annoncez les préfixes LAN publics

Cliquez sur le bouton bascule pour activer la publicité des préfixes LAN publics. Ce champ est désactivé par défaut.

Si le locataire dispose d’un pool d’adresses IP publique configuré et que vous activez l’annonce de préfixes LAN publics, alors pour les segments LAN créés avec un sous-réseau qui relève du pool d’adresses IP publiques du locataire, CSO annonce le sous-réseau LAN à l’underlay BGP.

Note:

Lorsque la publicité LAN publique est activée pour la liaison WAN, les préfixes LAN publics sont annoncés via l’underlay BGP vers MPLS ou Internet.

Utilisation pour Fullmesh

Cliquez sur le bouton bascule pour permettre à la liaison WAN de faire partie d’une topologie de maillage complet.

Note:

Les sites dotés du service SD-WAN Essentials ne prennent pas en charge la création ou la suppression de tunnels de maillage dynamique en fonction d’un seuil défini par l’utilisateur pour le nombre de sessions fermées entre deux sites distants. Toutefois, un administrateur OpCo ou l’administrateur locataire peut créer un tunnel statique entre un site source et un site de destination à l’aide de l’interface graphique CSO dans le portail client.

Configurez les deux champs supplémentaires qui apparaissent :

Type de liaison overlay maillage

Si la liaison WAN est activée pour le maillage complet, sélectionnez le type d’encapsulation à utiliser pour les tunnels overlay dans la topologie de maillage complet :

Note:

Pour les liaisons avec des adresses IP publiques, nous vous recommandons d’utiliser GRE sur IPsec comme type de liaison overlay maillage.

  • GRE_IPSEC : utilisez GRE sur IPsec.

  • GRE : utilisez GRE. Cette option n’est disponible que pour les liaisons MPLS.

Note:

Si vous avez activé l’attribution d’adresses IPv6 pour les liaisons WAN, vous pouvez sélectionner uniquement GRE-IPSEC comme type de liaison overlay maillage.

Balise maillée

Si la liaison WAN est activée pour le maillage complet, sélectionnez la balise de maillage de la liaison WAN.

Note:

Les tunnels entre deux sites distants ou un site distant et un site hub d’entreprise sont ajoutés en fonction des balises de maillage correspondantes. Ainsi, si vous souhaitez que le maillage ait lieu entre ces sites, les balises de maillage doivent être les mêmes pour les deux sites.

Pour plus d’informations sur les étiquettes de maillage, consultez la présentation des étiquettes de maillage dans le Guide de l’utilisateur du portail client CSO (disponible sur la page de documentation CSO ).

Se connecte aux hubs d’entreprise

Ce champ s’affiche uniquement si vous avez activé le champ Utiliser des balises maillage pour connecter EHub dans la section Configuration du hub .

Activez ce bouton de bascule si vous souhaitez connecter manuellement le site à un hub d’entreprise, sans utiliser de balises de maillage.

Type de tunnel EHub principal

Ce champ s’affiche uniquement si vous avez activé le champ Se connecter aux hubs d’entreprise .

Sélectionnez le type de tunnel à utiliser pour la connexion entre le site distant et le hub d’entreprise principal.

Équipement pair EHub principal

Ce champ s’affiche uniquement si vous avez activé le champ Se connecter aux hubs d’entreprise .

Affiche le nom du hub d’entreprise principal que vous avez sélectionné.

Interface ehub peer principale

Ce champ s’affiche uniquement si vous avez activé le champ Se connecter aux hubs d’entreprise .

Sélectionnez la liaison WAN principale du hub d’entreprise qui doit faire partie du tunnel. Vous pouvez sélectionner plusieurs liaisons WAN.

Type de tunnel EHub secondaire

Ce champ s’affiche uniquement si vous avez activé le champ Se connecter aux hubs d’entreprise .

Sélectionnez le type de tunnel à utiliser pour la connexion entre le site distant et le hub d’entreprise secondaire.

Équipement secondaire EHub Peer

Ce champ s’affiche uniquement si vous avez activé le champ Se connecter aux hubs d’entreprise .

Affiche le nom du hub d’entreprise secondaire que vous avez sélectionné.

Interface secondaire Ehub Peer

Ce champ s’affiche uniquement si vous avez activé le champ Se connecter aux hubs d’entreprise .

Sélectionnez la liaison WAN secondaire du hub d’entreprise qui doit faire partie du tunnel. Vous pouvez sélectionner plusieurs liaisons WAN.

Utilisation pour le trafic OAM
Note:

Le champ Connexion aux hubs n’est disponible que si vous avez sélectionné un hub fournisseur.

Cliquez sur le bouton bascule pour activer l’utilisation de la liaison WAN pour le trafic OAM. La liaison WAN est ensuite utilisée pour établir un tunnel OAM pour la communication entre le site du hub d’entreprise et CSO.

Vous devez configurer au moins une liaison WAN à utiliser pour le trafic OAM. Pour garantir la redondance, nous vous recommandons de configurer au moins deux liaisons WAN pouvant être utilisées pour le trafic OAM. En outre, pour ajouter une redondance de gestion, utilisez deux liaisons avec des chemins de transport différents.

Lien de sauvegarde

Sélectionnez une liaison de sauvegarde à travers laquelle le trafic peut être acheminé lorsque les liaisons principales (autres) ne sont pas disponibles. Vous pouvez sélectionner n’importe quel lien autre que les liens par défaut ou configurés exclusivement pour le trafic breakout local.

Lorsqu’une liaison principale revient en ligne, CSO surveille les performances sur la liaison principale et lorsque la liaison principale répond aux exigences des SLA, le trafic est revenir à la liaison principale. Toutefois, les données SLA ne sont pas surveillées pour la liaison de sauvegarde.

Liaison par défaut

Sélectionnez une ou plusieurs liaisons qui seront utilisées pour le routage du trafic en l’absence d’intentions de stratégie SD-WAN correspondantes. Un site peut avoir plusieurs liens par défaut vers le site hub.

Les liaisons par défaut sont principalement utilisées pour le trafic overlay, mais peuvent également être utilisées pour le trafic breakout local. Toutefois, une liaison par défaut ne peut pas être utilisée exclusivement pour le trafic breakout local. Si vous ne spécifiez pas de lien par défaut, ecMP est utilisé pour choisir le lien sur lequel acheminer le trafic.

ID VLAN de données

Saisissez un ID VLAN pour la liaison WAN.

Plage : 0 à 4049 (4 050 à 4 094 est réservé par CSO).

Note:

  • Si vous configurez plusieurs liaisons WAN sur la même interface physique, une seule liaison WAN peut être détachée ; pour les liaisons WAN restantes, vous devez configurer un ID VLAN.

  • Une combinaison de balises et de non-balisés sur la même interface physique n’est prise en charge que pour les équipements CPE uniques.

WAN_1 (WAN-Interface-Name)

Cliquez sur le bouton d’activation ou de désactivation (par défaut) de la liaison WAN.

Lorsque vous activez la liaison WAN, les champs associés à la liaison WAN apparaissent. Les champs marqués d’un astérisque (*) doivent être configurés pour continuer.

Reportez-vous aux champs décrits pour WAN_0 (WAN-Interface-Name) pour une explication des champs

WAN_2 (WAN-Interface-Name)

Cliquez sur le bouton d’activation ou de désactivation (par défaut) de la liaison WAN.

Lorsque vous activez la liaison WAN, les champs associés à la liaison WAN apparaissent. Les champs marqués d’un astérisque (*) doivent être configurés pour continuer.

Reportez-vous aux champs décrits pour WAN_0 (WAN-Interface-Name) pour une explication des champs

WAN_3 (WAN-Interface-Name)

Cliquez sur le bouton d’activation ou de désactivation (par défaut) de la liaison WAN.

Lorsque vous activez la liaison WAN, les champs associés à la liaison WAN apparaissent. Les champs marqués d’un astérisque (*) doivent être configurés pour continuer.

Reportez-vous aux champs décrits pour WAN_0 (WAN-Interface-Name) pour une explication des champs

Configuration avancée

Note:

Les sites dotés du service SD-WAN Essentials ne prennent pas en charge la création ou la suppression de tunnels de maillage dynamique en fonction d’un seuil défini par l’utilisateur pour le nombre de sessions fermées entre deux sites distants. Toutefois, un administrateur OpCo ou un administrateur locataire peut créer un tunnel statique entre un site source et un site de destination à l’aide de l’interface graphique CSO dans le portail client.

Préfixe IP OAM

Nous vous recommandons de ne pas configurer ce paramètre (laisser le champ Préfixe IP vide) car la connectivité de gestion est gérée automatiquement par CSO.

Métriques du volume de trafic

Choisissez une méthode pour calculer le volume de trafic SD-WAN sur les liaisons WAN du site. CSO utilise ces données pour fournir une représentation graphique du volume de trafic WAN sur la page Détails du site.

  • Basé sur les sessions : calcule et signale le volume de trafic basé sur les sessions sur les liaisons WAN du site, à la fin de chaque session. Il s’agit de la méthode par défaut.
  • Basé sur le temps : calcule et signale le volume de trafic à intervalles réguliers au cours d’une session.

Seuil DVPN pour la création de tunnel

Spécifiez le seuil du nombre de sessions (flux) fermées (d’une durée de deux minutes) entre le site distant et un site de destination. Lorsque le nombre de sessions fermées dépasse le seuil spécifié, un tunnel est créé entre le site distant et le site de destination.

Par exemple, si vous spécifiez un seuil de 7, des tunnels de maillage dynamique sont créés si le nombre de sessions fermées (en deux minutes) entre le site distant et le site de destination dépasse 7.

Seuil DVPN pour la suppression de tunnel

Spécifiez le seuil du nombre de sessions fermées (d’une durée de 15 minutes) entre le site distant et un site de destination. Lorsque le nombre de sessions fermées est inférieur au seuil spécifié, le tunnel entre le site distant et le site de destination est supprimé.

Par exemple, si vous spécifiez le nombre de sessions fermées comme 5, les tunnels de maillage dynamique entre le site distant et le site de destination sont supprimés si le nombre de sessions fermées (d’une durée de 15 minutes) est inférieur ou égal à 5.

Modèles de configuration (facultatif)

Si vous souhaitez déployer une configuration supplémentaire pendant le processus ZTP, vous pouvez sélectionner un ou plusieurs modèles de configuration et définir les paramètres de chaque modèle.

Liste des modèles de configuration

Pour chaque modèle de configuration que vous sélectionnez

  1. Sélectionnez un ou plusieurs modèles de configuration dans la liste que vous souhaitez déployer sur l’équipement pendant le ZTP.

  2. Cliquez sur Définir les paramètres.

    La page Configurations des équipements s’affiche. Les noms et les paramètres de configuration des modèles de configuration que vous avez sélectionnés sont affichés dans l’onglet Configurer.

  3. Pour chaque modèle de configuration, saisissez des valeurs pour les paramètres.

  4. (Facultatif) Cliquez sur l’onglet Résumé pour afficher les commandes de configuration Junos OS qui seront déployées sur l’équipement pour les différents modèles de configuration.

  5. Cliquez sur Enregistrer.

    Vous êtes retourné à l’onglet WAN. Les commandes de configuration Junos OS seront déployées sur l’équipement pendant le processus ZTP.
Tableau 3 : Combinaisons prises en charge des hubs de fournisseurs et d’entreprise

Hubs fournisseurs spécifiés

Hubs d’entreprise spécifiés

Primaire

Aucun

Primaire

Primaire

Primaire

Primaire et secondaire

Primaire et secondaire

Aucun

Primaire et secondaire

Primaire

Primaire et secondaire

Primaire et secondaire

Aucun

Primaire

Aucun

Primaire et secondaire
Tableau 4 : Champs sur la page Ajouter un segment LAN (Ajouter un segment LAN)

Champ

Description

Utilisation pour le VPN overlay

Activez le champ Utilisation du VPN overlay pour associer le segment LAN au service sélectionné (VRF + ZONE) pour le trafic overlay vers d’autres sites.

Désactivez le champ Utiliser pour le VPN overlay pour associer le segment LAN à une zone de sécurité pour le breakout underlay. Vous devez définir des stratégies de sécurité basées sur des zones.

Note:

Lors de l’ajout d’un nouveau site, ce champ est activé par défaut et ne peut pas être modifié. Toutefois, lorsque vous ajoutez un nouveau segment LAN à un site provisionné à partir de l’onglet LAN de la page Nom du site , vous pouvez activer ou désactiver cette option.

Nom

Saisissez un nom pour le segment LAN.

Le nom d’un segment LAN doit être une chaîne unique de caractères alphanumériques et des caractères spéciaux (. -). Aucun espace n’est autorisé et la longueur maximale autorisée est de 15 caractères.

CPE Port
Note:

Applicable aux équipements SRX Series.

Sélectionnez le port CPE à ajouter dans le segment LAN.

Lorsque vous ajoutez un nouveau segment LAN à un site provisionné à partir de l’onglet LAN de la Site-Name page, vous pouvez sélectionner (ou créer) une interface LAG ou une interface Ethernet redondante (reth) (pour le cluster double CPE) pour connecter les équipements CPE SRX Series à un commutateur EX Series.

Pour utiliser l’interface et sur les équipements SRX4600, vous devez créer une interface LAG et configurer l’interface et en tant que membre de l’interface LAG (agrégée Ethernet ou ae). Voir Créer une interface LAG.

Pour un cluster SRX4600 double CPE, vous pouvez utiliser l’interface et s’il est configuré en tant que membre de l’interface Ethernet redondante (reth).

Ajouter une interface LAG
Note:

Cette option est disponible lorsque vous ajoutez un nouveau segment LAN à un site provisionné à partir de l’onglet LAN de la Site-Name page.

Cliquez sur le lien pour créer une interface LAG (interface ae) si vous souhaitez l’utiliser pour connecter le CPE SRX Series au commutateur EX Series. Voir Créer une interface LAG pour plus de détails.

Créer une interface RETH
Note:

Cette option est disponible lorsque vous ajoutez un nouveau segment LAN à un site provisionné à partir de l’onglet LAN de la Site-Name page.

Cliquez sur le lien pour créer une interface de reth pour un site SD-WAN avec un cluster CPE double. Voir Créer une interface RETH pour plus de détails.

Type

Note:

Ce champ s’affiche uniquement pour les segments LAN associés aux hubs d’entreprise.

Sélectionnez le type de segment LAN :

  • Connexion directe (par défaut) : indique que le segment LAN est directement connecté au site.

  • Routage dynamique : indique que le segment LAN n’est pas directement connecté au site et qu’il est accessible à l’aide d’un routage dynamique. Si vous sélectionnez cette option, vous devez spécifier les informations de routage dynamique.

VLAN ID

Saisissez l’ID VLAN du segment LAN. Par défaut, l’ID VLAN est défini sur 1 et le VLAN natif est activé pour le trafic non identifié.

Portée : 1 à 4049 .

Utilisation pour le VLAN natif

Activez cette option pour utiliser l’ID VLAN spécifié ci-dessus pour le trafic non identifié. L’interface CPE est configurée avec un id natif-vlan, qui a la même valeur que l’ID VLAN.

Département
Note:

Ce champ n’est disponible que si le champ Utiliser pour vpn overlay est activé.

Sélectionnez un département auquel le segment LAN est assigné.

Vous pouvez également cliquer sur le lien Créer un département pour créer un nouveau service et lui affecter le segment LAN. Voir Ajouter un service pour plus de détails.

Vous pouvez regrouper les segments LAN en tant que services pour faciliter la gestion et appliquer des stratégies au niveau du département. Pour les segments LAN routés dynamiquement, vous ne pouvez affecter qu’un service de centre de données.

Adresse/masque de passerelle

Saisissez une adresse IP de passerelle valide et un masque pour le segment LAN. Cette adresse sera la passerelle par défaut pour les points de terminaison de ce segment LAN.

Par exemple : 192.0.2.8/24.

Zone
Note:

Ce champ n’est disponible que si le champ Utiliser pour le VPN overlay est désactivé.

Sélectionnez une zone de sécurité à associer à ce segment LAN. Vous pouvez également cliquer sur Créer une zone pour créer une nouvelle zone de sécurité et l’affecter à ce segment LAN. Pour plus de détails, reportez-vous à la section Ajout d’une zone de sécurité.

DHCP

Pour les segments LAN directement connectés, cliquez sur le bouton de bascule pour activer DHCP.

Vous pouvez activer DHCP si vous souhaitez attribuer des adresses IP à l’aide d’un serveur DHCP ou désactiver DHCP si vous souhaitez affecter une adresse IP statique au segment LAN.

Note:

Si vous activez DHCP, d’autres champs apparaissent sur la page.

Champs supplémentaires liés à DHCP

Plage d’adresses faible

Saisissez l’adresse IP de départ dans la plage d’adresses IP que le serveur DHCP peut allouer au segment LAN.

Plage d’adresses élevée

Saisissez l’adresse IP de fin dans la plage d’adresses IP que le serveur DHCP peut allouer au segment LAN.

Durée maximale du bail

Spécifiez la durée maximale (en secondes) pour laquelle un client peut demander et détenir un bail sur le serveur DHCP.

Par défaut : 1440

Portée : 0 à 4 294 967 295 secondes.

Serveur de noms

Spécifiez une ou plusieurs adresses IPv4 du serveur DNS.

Pour saisir plusieurs adresses de serveur DNS, saisissez l’adresse, appuyez sur Entrée, puis saisissez l’adresse suivante.

Note:

Les serveurs DNS sont utilisés pour résoudre les noms d’hôte en adresses IP.

CPE Ports
Note:

Applicable aux équipements NFX150 et NFX250.

Pour les sites dotés d’une fonctionnalité SD-WAN, le champ Ports CPE est désactivé et les ports CPE que vous pouvez inclure dans le segment LAN sont répertoriés.

Sélectionnez les ports dans la colonne Disponible et cliquez sur la flèche droite pour déplacer les ports vers la colonne Sélectionné .

Routage statique

Utilisez cette section pour configurer le routage statique sur le segment LAN. Fournissez les adresses IP de tous les routeurs LAN connectés à l’équipement CPE et des sous-réseaux statiques derrière ces routeurs.

Ajouter un préfixe IP de routeur LAN

IP du routeur LAN

Saisissez l’adresse IP du routeur LAN connecté à l’équipement CPE.

Préfixe

Entrez les sous-réseaux connectés au routeur LAN.

BFD

Activez la détection de transfert bidirectionnel (BFD) pour détecter toute défaillance sur le routage statique.

Routage dynamique

Protocole de routage

Activez ce bouton de commutation pour configurer le routage dynamique à l’aide du protocole BGP ou OSPF.

BFD

Activez la détection de transfert bidirectionnel (BFD) pour détecter toute défaillance dans le segment LAN.

Protocole

Sélectionnez BGP ou OSPF.

BGP Configuration

Note:

À partir de la version 6.1.0, CSO désactive explicitement la fonctionnalité LLGR (Graceful Restart) de longue durée pour les sessions d’appairage BGP avec la périphérie des fournisseurs (PE) et les routeurs de centre de données ou LAN. La désactivation de LLGR garantit que le CPE ne différencie pas les publicités de routage du routeur d’appairage, indépendamment de la capacité LLGR du routeur d’appairage.

Avant la version 6.1.0 de CSO, le mode d’assistance LLGR est activé par défaut (comportement implicite de Junos OS) sur le CPE pour l’appairage BGP vers le routeur PE dans les déploiements VPN IP, et les routeurs de centre de données ou LAN dans les déploiements de centres de données.

Authentification

Sélectionnez la méthode d’authentification de route BGP à utiliser :

  • Aucun : indique qu’aucune authentification ne doit être utilisée. C’est la valeur par défaut.

  • Utiliser MD5 : indique que MD5 doit être utilisé pour l’authentification. Si vous choisissez cette option, vous devez spécifier une clé d’authentification.

Clé d’authentification

Si vous avez spécifié que MD5 doit être utilisé pour l’authentification, spécifiez une clé d’authentification MD5 (mot de passe), qui est utilisée pour vérifier l’authenticité des paquets BGP.

BGP Options

Vous pouvez sélectionner les options suivantes en fonction de vos besoins :

  • AS-OVERRIDE : remplace toutes les occurrences du numéro AS homologue dans le chemin AS par son propre numéro AS avant d’annoncer le routage à l’homologue.

  • AS-PATH-PREPEND : réserve un ou plusieurs numéros de système autonome (AS) au début d’un chemin AS. La pré-préparation d’un chemin AS permet d’avoir un chemin AS plus court et devient donc moins préférable à BGP.

  • AS-LOOP : permet d’ajouter le numéro AS de l’équipement local aux chemins AS reçus. Vous pouvez spécifier le nombre de fois que la détection de l’AS local est autorisée dans le chemin AS.

Nombre de boucles

Ce champ s’affiche uniquement si vous sélectionnez AS-LOOP.

Saisissez le nombre maximal de fois que la détection de l’AS local est autorisée dans le chemin AS.

Adresse IP homologue

Saisissez l’adresse IP de l’homologue LAN BGP.

Numéro AS peer

Saisissez le numéro de système autonome (AS) de l’homologue LAN BGP. Par défaut, CSO utilise le numéro AS 64512. Vous pouvez saisir un numéro AS différent.

Numéro AS local

Saisissez le numéro d’AS local. Lorsque vous configurez ce paramètre, le numéro AS local est utilisé pour l’appairage BGP au lieu du numéro AS global configuré pour le CPE.

OSPF Configuration

ID de zone OSPF

Spécifiez l’identifiant de zone OSPF à utiliser pour le routage dynamique.

Authentification

Sélectionnez la méthode d’authentification de route OSPF à utiliser :

  • Mot de passe : indique que l’authentification basée sur un mot de passe doit être utilisée. Si vous choisissez cette option, vous devez spécifier le mot de passe. (C’est la valeur par défaut).

  • Utiliser MD5 : indique que MD5 doit être utilisé pour l’authentification. Si vous choisissez cette option, vous devez spécifier une clé d’authentification.

  • Aucun : indique qu’aucune authentification ne doit être utilisée.

Mot de passe

Saisissez le mot de passe à utiliser pour vérifier l’authenticité des paquets OSPF.

Confirmer le mot de passe

Repétez le mot de passe à des fins de confirmation.

ID de clé d’authentification MD5

Si vous avez spécifié que MD5 doit être utilisé pour l’authentification, saisissez l’ID de la clé d’authentification OSPF MD5.

Plage : 1 à 255.

Clé d’authentification

Si vous avez spécifié que MD5 doit être utilisé pour l’authentification, saisissez une clé d’authentification MD5, qui est utilisée pour vérifier l’authenticité des paquets OSPF.

Contrôle des publicités de routage

Route(s) LAN vers overlay

Lorsque cette option est activée, les routes LAN sont annoncées aux CPE distants. Par défaut, cette option est activée.

À partir de la version 6.2.0 de CSO, vous pouvez configurer les stratégies d’exportation en conjonction avec l’option Route(s) LAN vers overlay pour un contrôle plus granulaire sur les routes annoncées sur le réseau overlay. Par exemple, lorsque l’option Route(s) LAN vers overlay est activée, vous pouvez configurer des stratégies pour empêcher la publicité de routes spécifiques. De même, lorsque l’option Route(s) LAN vers overlay est désactivée, vous pouvez configurer des stratégies pour autoriser uniquement la publicité de routes spécifiques.

Route(s) overlay vers LEN

Cette option s’affiche uniquement si vous activez le bouton de commutation du protocole de routage. Par défaut, cette option est désactivée.

Activez cette option pour annoncer les routes CPE distantes reçues dans un département vers le routeur LAN.

Note:

Dans les versions 6.0.0 et antérieures de CSO, cette option s’appelle Publicité du préfixe LAN et s’applique uniquement aux services de centre de données.

À partir de la version 6.2.0 de CSO, vous pouvez utiliser les stratégies suivantes pour un contrôle granulaire des publicités de routage :
  • Des stratégies d’importation pour un contrôle granulaire des routes qu’un équipement CPE accepte dans la liste des routes annoncées par le routeur LAN.
  • Exportez des stratégies pour un contrôle granulaire des routes qu’un équipement CPE annonce sur le routeur LAN.

Routes statiques/Aggr vers l’overlay

Activez cette option pour autoriser la publicité de routes statiques ou agrégées vers le réseau overlay.

  • Si un grand nombre de routes LAN sont présentes, vous pouvez désactiver l’option Route(s) LAN vers overlay et utiliser cette option pour annoncer les routes agrégées.

  • Si vous souhaitez annoncer des routes supplémentaires, vous pouvez activer l’option Route(s) LAN vers overlay et utiliser cette option pour annoncer des routes statiques supplémentaires.

Consultez les tâches de post-provisionnement pour les sites en étoile SD-WAN et hub d’entreprise.