Hiérarchie de configuration de Juniper Mist WAN Assurance

Juniper Mist WAN Assurance Configuration

Pour les administrateurs réseau, il est essentiel de comprendre que chaque pièce du puzzle construit les politiques, la sécurité et la connectivité de votre réseau dans le service cloud Juniper Mist WAN Assurance. Pour un déploiement SD-WAN complet, chaque composant doit compléter la connectivité intersite. Mist traduit automatiquement votre intention de trafic en configurations pour les équipements WAN Edge à l’aide du modèle de mise en réseau basée sur l’intention (IBN) de Mist. Chaque partie fonctionne ensemble pour créer des affectations d’interface, la sécurité, des stratégies de routage et, selon la plate-forme, des zones de destination. Par conséquent, la compréhension du modèle d’intention de Mist est essentielle lorsque nous plongeons dans la hiérarchie de configuration de Juniper Mist WAN Assurance.

Routage basé sur l’intention

Les IBN résolvent plusieurs problèmes. Prenons par exemple le besoin de sécuriser les communications entre deux réseaux. Un modèle d’intention stipule qu’une communication sécurisée nécessite un tunnel sécurisé entre le réseau A et le réseau B. Dans ce scénario, un administrateur réseau identifie le trafic qui utilise le tunnel et décrit d’autres propriétés générales souhaitées. Mais un opérateur ne spécifierait pas ou ne saurait même pas comment construire un tunnel. Pour implémenter un tunnel, vous devez savoir combien d’appareils sécuriser, comment publier des messages BGP, ainsi que les fonctionnalités et paramètres à activer. En revanche, un système IBN génère automatiquement une configuration complète de tous les appareils en fonction de la description du service. Il opère ensuite une validation en boucle fermée pour vérifier en permanence l’adéquation de la configuration entre l’intention d’origine et l’état effectif du réseau. L’IBN est un modèle opérationnel déclaratif de réseau. Contrairement aux modèles traditionnels dits impératifs qui obligent les techniciens à spécifier les séquences d’actions requises sur chaque élément nécessaire du réseau, avec les risques d’erreur importants que cela comprend.

Caractéristiques clés du modèle basé sur l’intention :

• N’exigez pas autant de directives explicites que les modèles de réseau traditionnels.
• Créez des stratégies en fonction du réseau qui accède à telle application.
• Configurez les réseaux et les applications de Juniper Mist WAN Assurance à l’échelle de l’organisation.
• Appliquez uniquement les configurations pertinentes.
• Configurez uniquement les applications utilisées par un appareil. Si un appareil n’utilise pas d’application, le réseau basé sur l’intention ne la configure pas sur cet appareil.

Prenons l’exemple de la configuration de DHCP sur un LAN et supposons que l’interface est déjà configurée et affectée à une zone.

Étapes requises dans la CLI de Junos :

• Accédez au niveau de services système Junos et activez DHCP-local-server pour votre interface.
• Accédez à l’attribution d’adresses système Junos et créez un pool d’adresses spécifiant le réseau cible, la plage d’adresses du pool, la passerelle par défaut et tout autre attribut DHCP.
• Accédez à votre zone de sécurité et activez le trafic entrant de l’hôte pour le service système DHCP afin de permettre à la SRX Series de traiter les requêtes DHCP des clients.

Les étapes ci-dessus nécessitent plusieurs lignes de configuration réparties sur trois hiérarchies de configuration au minimum.

Ce même workflow est considérablement simplifié dans Mist :

• Tout d’abord, accédez à votre configuration LAN et ouvrez-la pour la modifier.
• Ensuite, activez la case d’option Serveur DHCP pour déverrouiller la configuration et renseigner les champs obligatoires (IP Début, IP Fin et passerelle).
• Enregistrez la configuration du LAN, puis enregistrez la configuration de l’appareil.

Éléments de configuration à l’échelle de l’organisation

Le haut de la configuration Mist s’appelle votre organisation Mist. Ces éléments ont un impact sur l’ensemble du déploiement de votre réseau étendu défini par logiciel (SD-WAN). Les différents composants à ce niveau de configuration deviennent des blocs de construction pour les sources et les destinations de votre déploiement. Une fois identifiées, les demandes de trafic associent de manière appropriée un expéditeur et la destination souhaitée. Les éléments permettent de construire différents composants de déploiement de Juniper Mist WAN Assurance en fonction de votre plate-forme. L’identification de la source et de la destination permettra de créer des tunnels IPsec sur le WAN et les zones de sécurité associées sur le pare-feu Juniper® SRX Series. Ces composants du routeur Session Smart™ de Juniper® Networks deviennent la source et la destination correspondantes pour faciliter la création de l’échange de métadonnées Secure Vector Routing (SVR). Les deux plates-formes abordent le défi du SD-WAN de manière unique, c’est pourquoi il est important de connaître votre plate-forme Juniper Mist WAN Assurance.

Réseaux

Le réseau Juniper Mist WAN Assurance représente le « qui » dans le paradigme Mist axé sur l’intention. Les réseaux sont les sources de la requête dans votre réseau. Les réseaux vous permettent de définir des groupes d'« utilisateurs ». Une fois que vous avez créé cet élément dans votre conception Mist, le réseau est défini pour être utilisé dans toute l’organisation.

Caractéristiques des réseaux sur le routeur Session Smart™ de Juniper® Networks :

• Mist Networks crée des locataires en arrière-plan pour SVR.
• Le routeur Session Smart identifie les locataires à l’interface logique (interface réseau).
• Les configurations d’interface LAN et WAN identifient votre locataire (source de la demande).

Caractéristiques des réseaux sur le pare-feu Juniper® SRX Series :

• Les réseaux créent des carnets d’adresses qui servent de source pour les stratégies de Sécurité et les politiques APBR (Advanced Policy Based Routing).
• Les configurations sont appliquées à l’appareil si une stratégie d’application est configurée.
• Pour le LAN, le nom de la zone est dérivé du nom du réseau spécifié.
• Pour le WAN, le nom de la zone est basé sur le nom du WAN.

Publication de route (publicité via superposition)

WAN Assurance consiste à abstractionr le réseau de transport dans le SD-WAN. Vous pouvez annoncer des réseaux via le SD-WAN pour le contrôle et l’accessibilité avec la publication de route. Ensuite, les réseaux établis dans vos segments LAN peuvent être annoncés sur l’overlay. La configuration de ces réseaux génère les adresses sources des stratégies de service. La traduction d’adresses réseau (NAT) pour la source et la destination peut acheminer le trafic vers vos utilisateurs si nécessaire.

L’objectif du SD-WAN est la connectivité intersite. Par conséquent, les réseaux peuvent être annoncés par overlay pour permettre l’accessibilité entre vos appareils SD-WAN. Avec ce paramètre, votre réseau partagera l’adresse sur le WAN afin que les autres appareils sachent comment l’atteindre. Vous pouvez faire de la publicité auprès d’autres rayons ou de voisins LAN de hub. Pour plus d’informations sur cette fonctionnalité, voir Paramètres réseau.

Accès à Mist Cloud

Mist est une solution full-stack. Seuls certains de vos appareils sont des routeurs WAN Edge ou SD-WAN. Certains appareils voudront accéder à Mist Cloud pour exploiter d’autres solutions telles que Wireless et Wired Assurance sur les points d’accès et les commutateurs sans fil. L’accès à Mist Cloud générera automatiquement des règles de pare-feu/de politique spécifiques permettant aux appareils de contacter Mist sans avoir besoin d’une politique d’application explicite. Toutefois, vous ne voulez pas ce niveau d’accès sur tous les appareils derrière le périphérique WAN dans un déploiement SD-WAN, car cela peut poser un problème de stratégie pour les routeurs. En général, sélectionnez Accès à Mist Cloud pour les points d’accès ou les commutateurs, afin de pouvoir surveiller et dépanner ces appareils à partir du portail Mist.

Autoriser l’accès au cloud Mist garantit que tout ce qui se trouve derrière la périphérie WAN peut accéder au cloud Mist sans avoir à exprimer manuellement des politiques de connectivité. Les ports et protocoles pour ce paramètre sont les suivants :

• TCP/443
• DNS/53
• SSH/2200
• NTP/123
• Syslog/6514
• L’ICMP

Utilisateurs

Ne vous laissez pas tromper par l’étiquette. Les utilisateurs ne représentent pas un seul utilisateur sur votre réseau. Les utilisateurs sont des sous-ensembles de sous-réseaux ou des sous-réseaux indirectement connectés. Puisque les réseaux sont « qui », considérez les utilisateurs comme une subdivision de cette identité réseau. Il existe souvent des règles universelles pour traiter les réseaux de la même manière. Par exemple, pour 99 % de votre trafic, vous voulez que les sessions fassent la même chose. Mais qu’en est-il lorsque vous bloquez l’accès à un réseau d’entreprise à partir d’un réseau invité, et qu’une seule adresse IP a besoin d’un accès à l’imprimante ? Dans ce cas, ajoutez un utilisateur. Pour ceux qui connaissent la plate-forme de routage Session Smart, comparez un utilisateur à un locataire. Vous pouvez également créer des utilisateurs pour définir des préfixes indirects sur le réseau.

• Les utilisateurs peuvent définir des autorisations précises. Par exemple, votre segment LAN peut avoir besoin d’un accès Internet, mais vous devez le restreindre à un périphérique réseau particulier. Ici, vous devez donc créer une politique d’accès autour de ce bureau.
• Vous avez parfois besoin d’atteindre des préfixes indirectement connectés derrière un routeur sur le segment LAN. Par exemple, imaginez un routeur derrière un appareil qui connecte plusieurs appareils à une application externe. Dans ce cas, vous pouvez ajouter des utilisateurs à un réseau que vous avez spécifiquement configuré en tant que « réseau non directement connecté ». Pour plus d'informations, consultez Paramètres réseau.

Domaines d’application

Les applications constituent le « quoi » dans le paradigme du modèle basé sur l’intention de Mist. Les applications sont ce que votre réseau fournit. Les applications représentent des destinations de trafic et sont nommées d’après ce à quoi un client accéderait, comme une « base de données » ou « Internet ». Une fois que vous avez créé cet élément dans votre conception Mist, l’application est définie pour être utilisée dans toute l’organisation.

Caractéristiques des applications sur le routeur Session Smart™ de Juniper® Networks

• Les applications Mist créent des services en arrière-plan pour SVR.
• Les applications peuvent être des ports, des protocoles, des préfixes, des domaines personnalisés ou des noms d’applications de la bibliothèque AppID intégrée.

Les ports, les protocoles et les préfixes sont l’endroit où toute la politique tourne.

• Les applications personnalisées sont un ensemble de ports, de protocoles ou de préfixes.
• Les applications correspondent à l’identifiant d’application Internet.
• Les catégories d’URL sont des URL à point forcé.

Caractéristiques des applications sur le pare-feu Juniper® SRX Series

• Les applications déterminent la destination utilisée dans une stratégie de sécurité.
  • Le préfixe 0.0.0.0/0 avec le protocole « any » est remplacé par any dans la politique de Juniper Mist WAN Assurance. Aucun carnet d’adresses ou application n’est nécessaire.
• Les applications personnalisées sur la périphérie WAN utilisent le « type » du moteur intégré de la SRX Series et sont une combinaison d’un carnet d’adresses et d’applications.
• Les applications sont mappées au moteur AppID de couche 7 de la SRX Series.
• Les catégories d’URL sont des URL à point forcé.

Orientation du trafic

L’orientation du trafic est le « comment » dans le modèle basé sur l’intention de Mist. L’orientation du trafic est la façon dont vous définissez les différents chemins que le trafic peut emprunter pour atteindre sa destination. Si le trafic vers une application comporte plusieurs chemins, vous pouvez restreindre les chemins à un sous-ensemble de chemins et configurer un ordre de préférence. Vous pouvez également charger et équilibrer de nombreux flux sur les chemins disponibles.

Caractéristiques de l’orientation du trafic sur le routeur Session Smart™ de Juniper® Networks :

• Le Routeur Session Smart™ Juniper® est basé sur des sessions et utilise des techniques de surveillance continue des chemins sous-jacents et superposés afin de trouver le meilleur chemin disponible pour une application donnée.

• Il existe trois stratégies de pilotage pour la série SSR :

  • Ordonné : Il s’agit de l’ordre par défaut : allez dans l’ordre de la liste. Les chemins actifs en haut sont prioritaires. Si un chemin descend, passez au chemin actif suivant de la liste. Cela crée une liste ordonnée.

  • Pondéré : Vous permet de définir l’ordre souhaité en fonction du poids. Par exemple, deux chemins pondérés, tous deux définis sur 5, génèrent des sessions ECMP sur les deux chemins. D’autre part, deux chemins pondérés, l’un réglé sur 5 et l’autre réglé sur 10, entraînent une direction ordonnée, les sessions prenant d’abord le chemin le moins lourd.

  • ECMP : équilibrez entièrement la charge du trafic grâce à un algorithme de trajets multichemins à coût égal. Les sessions seront réparties équitablement sur tous les chemins disponibles.

• Contrairement aux pare-feu SRX Series, l’orientation du trafic n’est pas requise sur une stratégie d’application pour le SSR s’il existe déjà une route pour le trafic dans son RIB. Dans certaines situations, la configuration de l’orientation du trafic sur une stratégie d’application entraînera un comportement indésirable. Pour plus d’informations, consultez Liaison Internet backhaul via un hub SSR .

• Le SSR prend en charge des stratégies d’orientation du trafic qui peuvent orienter le trafic de deux manières :

  • Vers la superposition avec diverses options pour diriger ce trafic sur différents chemins WAN à l’aide du SVR (Secure Vector Routing). Pour l’orientation du trafic dans la superposition, Mist WAN Assurance s’appuie sur BGP pour acheminer le trafic entre les équipements SSR. Vous pouvez tirer parti de ce comportement pour échanger et propager des routes entre vos réseaux existants et vos équipements SSR.

  • Acheminement local d’une ou plusieurs interfaces spécifiques, ce qui est courant pour le trafic breakout local (underlay). Pour les clients qui ne souhaitent pas effectuer de routage dynamique avec le SSR, ou pour les clients qui n’ont pas de solutions de routage dynamique existantes, consultez la section Liaison Internet via un hub SSR pour plus de détails.

• Pour les stratégies d’application qui ont une action de blocage, n’entrez aucune orientation du trafic

• SSR utilise un comportement de refus par défaut. Vous n’avez pas besoin de créer de stratégies de blocage, sauf si un objet réseau particulier a déjà accès à une application plus large et que vous souhaitez limiter une plage spécifique dans cet espace d’adressage.

Caractéristiques de l’orientation du trafic sur le pare-feu Juniper® SRX Series :

• Le pare-feu Juniper® SRX Series est basé sur des zones, et la zone de destination est déterminée par les chemins configurés dans une stratégie d’orientation du trafic .
• Traffic Steering configure les instances de routage de type transfert et la politique de routage correspondante pour importer des routes. Pour votre SRX Series, cette instance de routage est utilisée dans APBR.
• Il existe plusieurs stratégies de pilotage pour la SRX Series :
  • Ordonné : Par défaut, allez dans l’ordre de la liste. Le supérieur est prioritaire, puis bascule vers le suivant. Crée une liste ordonnée.
  • Pondéré : Vous permet de définir l’ordre souhaité en fonction du poids. Par exemple, deux chemins pondérés, tous deux définis sur 5, donnent ECMP sur les deux chemins. D’autre part, deux chemins pondérés, l’un réglé sur 5 et l’autre sur 10, entraînent une direction ordonnée, le trafic empruntant d’abord le chemin le plus faible.
  • ECMP : équilibrez entièrement la charge du trafic grâce à un algorithme de trajets multichemins à coût égal. Le trafic sera réparti également sur tous les chemins disponibles.

Politique d’application

Le « qui », le « quoi » et le « comment » sont reliés à la stratégie d’application. Le modèle Mist basé sur l’intention simplifie la génération manuelle de routes et de politiques de sécurité via Junos OS sur le SRX Series avec des milliers de lignes de code. Il simplifie également le déploiement d’un routeur Session Smart pour ceux qui passent d’un déploiement Session Smart basé sur un conducteur à WAN Assurance. Vous n’avez plus besoin d’autorisations explicites ni d’affectations d’interface pour être opérationnel. WAN Assurance est Zero Trust. Cette fonctionnalité est à la fois implicite et fait partie du modèle basé sur l’intention. Vous devez explicitement accorder l’autorisation d’autoriser un Réseau à accéder à une Application. Sinon, il ne sera pas routé.

L’ordre n’a d’importance que lors de la sortie de votre réseau local sur le routeur Session Smart™ de Juniper® Networks. Le routeur Session Smart utilise les correspondances les plus spécifiques. Par conséquent, l’orientation du trafic n’est pas nécessaire pour le trafic local. De plus, l’utilisation d’un bloc dans votre orientation du trafic ne fonctionne pas avec SVR, car cela sape le processus propriétaire. Si vous ne voulez pas qu'un appareil, un sous-réseau ou un réseau accède à une application, ne créez pas d'orientation du trafic pour cet appareil.

Caractéristiques de la stratégie applicative sur le pare-feu Juniper® SRX Series :

La trajectoire de braquage détermine la zone de destination dans la gamme SRX Series. Assurez-vous que l’orientation du trafic est affectée aux politiques, car l’ordre des stratégies est important lorsque vous utilisez le SRX Series. Comme un pare-feu traditionnel basé sur des zones, il utilise une liste de règles qui génèrent des filtres et des stratégies. Les règles les plus spécifiques doivent figurer en haut de la liste des stratégies d’application sur la gamme SRX Series.

Modèles de périphérie WAN

Une fois que les éléments de configuration de base du SD-WAN sont en place, Mist vous permet de déployer de nouveaux équipements WAN Edge via des modèles WAN Edge. Toute cette configuration précédente peut être modélisée avec les modèles WAN Edge. Ces modèles fonctionnent aussi bien pour un appareil Edge autonome que pour un déploiement SD-WAN complet comprenant des centaines de sites. Le processus d’automatisation élimine les erreurs et simplifie le déploiement de plusieurs sites satellites et têtes de réseau.

Les modèles réduisent ou éliminent les tâches de configuration courantes et éliminent les erreurs humaines lors de la configuration de plusieurs appareils. Modèles de périphérie WAN :

• Appliquer les normes à l’échelle d’un déploiement.
• Assurez-vous que tous vos périphériques réseau pointent vers le même DNS (8.8.8.8).
• Fournissez un comportement prévisible, car ils utilisent le même protocole NTP (Network Time Protocol) pour la synchronisation et la journalisation. (Cela affecte également des certificats spécifiques.)
• Simplifiez le dépannage et la gestion.
  Figure 1 : modèle de périphérie WAN

Cependant, les modèles de périphérie WAN ne se contentent pas d’automatiser des tâches. Vous pouvez utiliser un modèle pour normaliser une configuration qui peut être appliquée de manière cohérente sur tous les sites, même si vous ne déployez pas réellement toutes les fonctionnalités sur tous les sites. Par exemple, vous n'avez peut-être pas besoin d'un réseau invité sur chaque site, mais en incluant la configuration dans le modèle, vous réservez cette interface. Si vous prévoyez un réseau invité, l’interface est prête à être utilisée.

Ces modèles permettent également :

• Commandes groupées de matériel pour les ports et les groupes de sites via des modèles spécifiques.
• Cas d’usage et flux de trafic spécifiques.
• Différents réseaux LAN d’entreprise.
• Réseaux invités.

Les modèles WAN Edge configurent automatiquement les informations répétitives telles qu’une adresse IP, une passerelle ou un VLAN. En outre, les modèles de périphérie WAN peuvent inclure l'orientation du trafic, les stratégies d'accès, les préférences de routage et toute configuration supplémentaire que vous souhaitez normaliser. N'oubliez pas que vous aurez besoin d'un préfixe, d'un NAT ou d'autres informations locales pour la connectivité WAN et LAN.

Profils de hub

Les profils de hub fonctionnent avec les modèles WAN Edge. Les hubs ne se trouvent pas à la périphérie et sont universels sur l’ensemble de votre réseau. Les hubs affectent la façon dont Mist construit le réseau de superposition. Chaque filiale et bureau distant construit la communication SD-WAN avec le hub. La topologie est déterminée par des points de terminaison de superposition qui constituent une seule superposition. Chaque interface WAN de hub crée un point de terminaison overlay pour les rayons. Les interfaces WAN spoke mappent les interfaces WAN du hub appropriées, définissant la topologie. C’est l’abstraction du réseau de transport. Étant donné que les deux plates-formes de WAN Assurance résolvent l’abstraction différemment, vous devez comprendre leurs nuances lorsque vous construisez ce réseau superposé.

® Pare-feu Juniper SRX Series

Le SD-WAN overlay de la série SRX Series combine un routeur virtuel pour la séparation des routes et des tunnels IPsec pour sécuriser le trafic de transit. Les configurations WAN déterminent la topologie et construisent le réseau de superposition. Une chose à noter est que vous ne pouvez implémenter qu’une seule superposition par organisation. Toutefois, cette superposition peut comporter de nombreux chemins sur plusieurs types de transport, tout en isolant et en transférant le trafic de manière sécurisée. Pour les équipements SRX Series, la superposition combine une zone de sécurité, un routeur virtuel et des tunnels IPsec.

® Routeur Session Smart™ de Juniper Networks

Le SD-WAN superposé Session Smart est votre voisinage, ce qui implique une communication propriétaire via BFD sur le port 1280 pour la vivacité et la gigue, la latence et la perte entre pairs Session Smart. Lorsque vous configurez une interface WAN sur un profil de hub, un point de terminaison de hub overlay est créé. Sur le routeur Session Smart, le point de terminaison est l’extrémité réceptrice du SVR.

Certaines choses se produisent lorsque vous mappez une interface WAN spoke au point de terminaison du hub overlay. Le spoke établira la connectivité des pairs et identifiera les voisinages et les vecteurs de SVR, qui est l’abstraction Session Smart du réseau de transport.

Une dernière remarque sur l’overlay : les routeurs SRX Series et Session Smart ne peuvent pas exister dans un overlay unique. Ces appareils peuvent être couplés via BGP au niveau du hub, mais leurs solutions pour créer une connectivité intersite sont uniques et ne peuvent pas fonctionner ensemble dans la même superposition. Si vous avez des plans de migration, identifiez les routes qui doivent être publiées et faites-les connaître sur le hub.

Gardez à l’esprit les considérations suivantes relatives au profil de hub :

• Les profils de hub doivent d’abord être créés, afin que les modèles Spoke sachent où se connecter.
  • Les hubs doivent avoir des adresses IP statiques pour les points de terminaison de superposition.
  • La configuration du point de terminaison de superposition est exposée dans le modèle de spoke du dispositif Edge WAN.
• Il n’y a pas de limite au nombre de hubs que vous pouvez intégrer dans ces directives :
  • Un hub par datacenter
  • Deux hubs pour la redondance (clusters HA)

Les spokes choisissent le hub principal via l’orientation du trafic et une stratégie applicative. Le Zero-Touch Provisioning (ZTP) nécessite DHCP (pour l’implémentation physique), sauf si le ZTP est exécuté puis migré vers le réseau de destination. Vous pouvez également préparer les appareils manuellement.

Site Variables

Les variables de site sont configurées pour chaque site. Lorsque vous planifiez un réseau de manière globale, vous pouvez créer des modèles standard pour des périphériques WAN et des clusters de périphérie WAN spécifiques. Idéalement, vous n’avez qu’un seul périphérique WAN Edge par site (ou un seul périphérique WAN Edge logique si l’appareil est en cluster). Étant donné que les variables peuvent différer d’un site à l’autre, les administrateurs les utilisent dans les modèles ou sur la page de configuration du dispositif Edge WAN. La transformation se produit lorsque la configuration est rendue et poussée sur l’appareil.

Gardez à l’esprit les considérations relatives aux variables de site suivantes :

• La syntaxe des variables correspond à Jinja2 et est contenue entre doubles accolades, comme ceci : {{variableName}}
• L’interface utilisateur applique les accolades de début et de fin dans le cadre du nom.
• Limites des variables de site :
  • Pas d’espace dans la variable.
  • Aucun caractère spécial (sauf trait de soulignement) dans le champ de variable.
  • Les variables ne peuvent être utilisées que dans un seul champ et ne peuvent pas spécifier un préfixe entier.

  Par exemple, 10.88.88.88/24 aurait besoin d’au moins deux variables, une pour l’adresse IP (10.88.88.88) et une autre pour la longueur du préfixe (24).

  Figure 3 : Variables du site

  La meilleure façon d’utiliser la puissance réelle des modèles est d’utiliser des variables de site. De nombreux éléments de configuration sont nécessaires pour déployer le matériel. Il est judicieux de combiner les modèles WAN Edge et les variables de site. Imaginez la situation suivante où vous pouvez définir des sous-réseaux IP entiers des trois premiers octets, en laissant une configuration minimale pour chaque équipement :

  Créez des modèles standard et placez des variables dans des interfaces standard comme votre WAN de l’une des manières suivantes :

  • Avec une variable WAN1PFX, disons {{192.168.170}}, et dans le champ WAN de la page Configuration, ce serait {{WAN1PFX}}.1 pour l’IP locale et {{WAN1PFX}}.2 pour la passerelle.
  • Vous pouvez définir une paire de variables {{WAN1IP}} et {{WAN1_GW}} ; cependant, il existe des endroits où le sous-réseau peut être réutilisé, mais pas l’adresse IP spécifique.
    Figure 4 : Variables de site dans la configuration d’un WAN

    Un autre cas d’utilisation robuste est l’octet magique, où le troisième octet devient une variable, et cette variable peut également s’appliquer à plusieurs champs. Par exemple, une variable {{SITEID}} peut être utilisée à la fois pour le troisième octet et une balise VLAN. Dans ce cas, le préfixe réseau peut être 192.168. {{SITEID}}.1/24 avec l’ID de VLAN {{SITE_ID}}. N’oubliez pas que même si les modèles Edge WAN s’appliquent uniquement au dispositif Edge WAN, les variables de site s’appliquent également aux commutateurs et aux points d’accès. L’objectif de l’automatisation est de simplifier les déploiements et d’augmenter la réutilisabilité.

Introduction à l’application de modèles

N’oubliez pas qu’un site est un ensemble de toutes vos ressources en un seul endroit. Il est sous-entendu qu’il n’y aura qu’une seule périphérie WAN. L’une des principales fonctionnalités de la gestion de Mist via Juniper Mist AI est la possibilité d’utiliser des modèles de configuration pour regrouper les dispositifs périphériques WAN et effectuer des mises à jour groupées. Les modèles assurent uniformité et commodité, tandis que la hiérarchie offre évolutivité et granularité.

Modèles d’importation et d’exportation

Aucune solution ne couvre toutes les circonstances. Vous pouvez avoir plusieurs modèles. Pour gagner du temps, clonez un modèle. Personnalisez ensuite la copie clonée en la modifiant si nécessaire.

Remplacement du modèle

Les modèles s’appliquent aux sites, qui s’appliquent aux appareils. Des modèles sont utilisés pour normaliser les configurations, mais il existe toujours des exceptions. Plutôt que de créer un modèle légèrement différent pour un site, vous remplacez la configuration du modèle sur l’appareil.

Politique applicative au niveau de l’organisation