Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Configurer des modèles de périphérie WAN pour les pare-feu SRX Series

Suivez ces étapes pour configurer des modèles WAN Edge afin de simplifier le processus de configuration de vos pare-feu SRX Series.

Le modèle de périphérie WAN de Juniper Mist™ WAN Assurance vous permet de définir des caractéristiques de rayon communes, notamment des interfaces WAN, des règles d’orientation du trafic et des stratégies d’accès. Vous appliquez ensuite ces configurations au pare-feu SRX Series de Juniper Networks® déployé en tant qu’équipement de périphérie WAN. Lorsque vous affectez un équipement de périphérie WAN à un site, celui-ci adopte automatiquement la configuration du modèle associé. Ce processus automatique vous permet de gérer et d’appliquer des configurations cohérentes et standardisées à l’ensemble de votre infrastructure réseau, simplifiant ainsi le processus de configuration.

Note:

La configuration effectuée sur l’équipement de périphérie WAN Mist via le tableau de bord Mist remplace toute configuration effectuée via l’interface de ligne de commande de l’appareil.

Vous pouvez avoir un ou plusieurs modèles pour vos appareils parlés.

Dans cette tâche, vous allez créer et configurer un modèle de périphérie WAN pour un périphérique spoke dans le portail cloud Juniper Mist™.

Configurer un modèle de périphérie WAN

Pour configurer un modèle de périphérie WAN :

  1. Dans le portail Juniper Mist™, cliquez sur Organization > WAN > WAN Edge Templates. Une liste des modèles existants, le cas échéant, s’affiche.
  2. Cliquez sur le bouton Créer un modèle dans le coin supérieur droit.
    Note:

    Vous pouvez également créer un modèle de périphérie WAN en important un fichier JSON (JavaScript Object Notation) à l’aide de l’option Importer un profil .
  3. Dans la zone qui s’affiche, entrez le nom du modèle, cliquez sur Type et sélectionnez Rayon, puis cliquez sur Créer.
    Figure 1 : sélection du type Select the Template Type de modèle

    Voici une illustration qui montre les éléments de l’interface graphique sur la page de configuration du modèle de périphérie WAN.

    Figure 2 : options WAN Edge Template Configuration Options de configuration du modèle WAN Edge
  4. Complétez les configurations en suivant les instructions du Tableau 1.
    Tableau 1 : options de profil de périphérie WAN
    Description des champs
    Nom Nom du profil. Saisissez un nom de profil unique comportant jusqu’à 64 caractères.
    Type Type de profil de périphérie WAN. Sélectionnez l’une des options suivantes :

    • Autonome : pour gérer un appareil autonome sur votre site.

    • Spoke (Spoke) : pour gérer un périphérique spoke qui se connecte à un périphérique central dans votre configuration.
    S’applique à l’appareil Site pour associer le modèle de périphérie WAN. Le menu déroulant affiche la liste des équipements de périphérie WAN qui ont été ajoutés à l’inventaire du site actuel.
    Configuration IP (hors bande) Détails de gestion hors bande pour gérer l’appareil. Vous pouvez spécifier
    • Adresse IP via (DHCP) ou statique. Si vous sélectionnez statique, entrez l’adresse IP, le masque de sous-réseau et les détails de la passerelle par défaut.
    • ID VLAN compris entre 1 et 4094.
    Dans le cas d’un cluster haute disponibilité, vous devez entrer les détails sur les deux nœuds. Assurez-vous d’utiliser des adresses IP uniques pour chaque nœud.
    NTP Adresse IP ou nom d’hôte du serveur NTP (Network Time Protocol). NTP est utilisé pour synchroniser les horloges du commutateur et d’autres périphériques matériels sur Internet.
    Paramètres DNS Adresse IP ou noms d’hôte des serveurs DNS (Domain Name System). Les périphériques réseau utilisent les serveurs de noms DNS pour convertir les noms d’hôte en adresses IP.
    Connecteurs Secure Edge Détails du connecteur Secure Edge. Juniper Secure Edge inspecte le trafic des équipements de périphérie WAN gérés via le portail Juniper Mist Cloud.
    WAN Détails des interfaces WAN. Cette interface WAN correspond à l’interface WAN sur le hub. Autrement dit, Mist crée un tunnel VPN IPsec entre l’interface WAN du hub et l’interface WAN sur le spoke. Pour chaque liaison WAN, vous pouvez définir l’interface physique, le type de WAN (Ethernet ou DSL), la configuration IP et les points de terminaison du concentrateur de superposition pour les interfaces. Reportez-vous à la section Ajouter des interfaces WAN au modèle.
    LAN Interfaces LAN. Interfaces LAN qui relient le segment LAN. Vous attribuez les réseaux, créez des VLAN, définissez les adresses IP et les options DHCP (aucun, ou relais, ou serveur). Reportez-vous à la section Configurer le réseau local.
    Orientation du trafic Trajectoires de direction. Définissez les différents chemins que le trafic peut emprunter pour atteindre sa destination. Pour toute stratégie d’orientation du trafic, vous pouvez inclure les chemins que le trafic doit traverser, ainsi que les stratégies d’utilisation de ces chemins. Reportez-vous à la section Configurer les stratégies d’orientation du trafic.
    Politiques d’application Stratégies d’application des règles de trafic. Définissez les stratégies de réseau (source), d’application (destination), d’orientation du trafic et d’action stratégique. Reportez-vous à la section Configurer des stratégies d’application.
    Routage Options de routage pour le routage du trafic entre le hub et les rayons. Vous pouvez activer le routage sous-jacent BGP (Border Gateway Protocol), où les routes sont apprises de manière dynamique, ou utiliser le routage statique pour définir manuellement les routes.
    Configuration de l’interface de ligne de commande Option CLI. Pour tous les paramètres supplémentaires qui ne sont pas disponibles dans l'interface graphique du modèle, vous pouvez toujours les configurer à l'aide des commandes CLI set .
  5. Cliquez sur Save (Enregistrer).

Ajouter des interfaces WAN au modèle

L’interface WAN sur le spoke correspond à l’interface WAN sur le hub. Autrement dit, Mist crée un tunnel VPN IPsec entre l’interface WAN du hub et l’interface WAN sur le spoke.

Dans cette tâche, ajoutez deux interfaces WAN au modèle de périphérie WAN. Vous pouvez également ajouter des interfaces dans la page des détails de l’appareil (dans le portail Juniper Mist, cliquez sur Périphéries WAN> Périphéries WAN)

Pour ajouter des interfaces WAN au modèle :

  1. Faites défiler vers le bas jusqu’à la section WAN et cliquez sur Ajouter WAN pour ouvrir le volet Ajouter une configuration WAN.
  2. Pourboire: Lorsque vous travaillez sur les écrans de configuration, recherchez les indicateurs VAR. Les champs avec cet indicateur autorisent les variables de site.

    Les champs portant cette étiquette affichent également les variables correspondantes (si elles sont configurées) lorsque vous commencez à y taper une variable spécifique. Ce champ répertorie les variables de tous les sites de l’organisation.

    La liste des variables à l’échelle de l’organisation peut être consultée à l’aide de GET /api/v1/orgs/ :org_id/vars/search ?var=*. Cette liste est renseignée au fur et à mesure que des variables sont ajoutées sous les paramètres du site.

     Terminez la configuration en suivant les instructions du Tableau 2.
    Tableau 2 : options de configuration de l’interface WAN
    Champs Description Exemple de configuration (interface WAN 1) Exemple de configuration (interface WAN 2)
    Nom (une étiquette et non une technologie) Entrez un nom pour l’interface. Vous pouvez également utiliser une variable. INET MPLS (en anglais)
    Description Saisissez la description. Vous pouvez également utiliser des variables pour la description. Interface INET Interface MPLS
    WAN Type Sélectionnez l’une des options suivantes :
    • Ethernet
    • DSL
    • Le LTE
    		 Ethernet Ethernet
    Interface Entrez dans l’interface. Vous pouvez utiliser une variable ici. Vous pouvez également sélectionner l’une des options suivantes, le cas échéant : GE-0/0/0 GE-0/0/3
    VLAN ID Saisissez l’ID de VLAN. Vous pouvez utiliser une variable ici. - -
    IP Configuration Sélectionnez le type de configuration IP :
    • Le protocole DHCP
    • Statique
    • Le PPPoE
    		 Le protocole DHCP Statique

      • Adresse IP={{WAN1_PFX}}.2

      • Longueur du préfixe = 24

      • Passerelle={{WAN1_PFX}}.1
    Source NAT Sélectionnez le type de NAT source :
    • Interface
    • Mare
    • Désactivé (si vous ne l’utilisez pas)
    		 Interface Interface

    Négociation automatique

    Sélectionnez Activé ou Désactivé.

    		 Activé Handicapé

    MTU

    		 Entrez une valeur MTU comprise entre 256 et 9192. La valeur par défaut est 1500.

    1500

    1500
    Point de terminaison du hub de superposition (généré automatiquement). NA hub1-INET, hub2-INET (profil BFD haut débit) hub1-MPLS et hub2-MPLS

    La figure 3 montre la liste des interfaces WAN que vous avez créées.

    Figure 3 : récapitulatif WAN Interfaces Summary des interfaces WAN

Configurer des options d’interface supplémentaires

Pour configurer des paramètres supplémentaires pour les ports WAN Edge :

  1. Faites défiler l’écran vers le bas jusqu’à la section WAN Edge, puis cliquez sur le dispositif WAN Edge approprié.
  2. Dans la section Interface de la fenêtre, sélectionnez l’une des options suivantes :

    • Désactivé : désactivez administrativement le port de périphérique WAN Edge pour l’interface spécifiée.

      Il existe de nombreuses raisons pour lesquelles il peut être nécessaire de désactiver un port WAN Edge. Dans les scénarios de débogage, par exemple, la désactivation d’un port, puis sa réactivation peuvent déclencher la réinitialisation des processus, ce qui peut aider à résoudre les problèmes.

      Vous pouvez également désactiver un port lorsque vous planifiez une connexion, mais que vous n’êtes pas tout à fait prêt à la mettre en service, ou si vous avez identifié un périphérique malveillant ou problématique, vous pouvez désactiver le port pour désactiver rapidement le périphérique jusqu’à ce que le périphérique puisse être retiré ou réparé.

      Si vous désactivez une interface physique (par exemple, ge-0/0/1), toutes les sous-interfaces ou interfaces VLAN associées (par exemple, ge-0/0/1.200 et ge-0/0/1.100) tomberont en panne.

      Si vous désactivez une interface Ethernet redondante (reth), toutes les liaisons membres sont désactivées.

      Si vous désactivez une interface Ethernet agrégée (par exemple, ae1) sur un périphérique SRX, l’interface ae ainsi que les interfaces physiques sous-jacentes du bundle ae seront défaillantes.

    • Port Aggregation (Agrégation de ports) : regrouper les interfaces Ethernet pour former une seule interface de couche de liaison. Vous pouvez l’utiliser pour la configuration du protocole LACP (Link Aggregation Control Protocol).

      • Disable LACP (Désactiver LACP) : désactive l’interface LACP.

      • Enable Force Up (Activer la force vers le haut) : choisissez cette option avant d’intégrer un équipement de périphérie WAN via l’interface LACP (Link Aggregation Control Protocol). Lorsqu’elle est activée, l’option Force Up force la première interface Ethernet du cluster sur l’homologue à passer à l’état actif , permettant ainsi au processus de provisionnement sans intervention (ZTP) de récupérer les fichiers de configuration nécessaires à l’intégration terminée.

    • Redondant : active la redondance.
    • Enable « Up/Down Port » Alert Type (Activer le type d’alerte « port haut/bas ») : permet à l’utilisateur de recevoir des alertes lorsque le port passe de haut en bas ou vice-versa.
  3. Cliquez sur Enregistrer en bas de la fenêtre pour enregistrer les modifications.

Configurer l’interface LTE

Juniper Mist SD-WAN permet aux entreprises d’intégrer la connectivité LTE de manière transparente. La connectivité LTE offre un chemin alternatif pour le routage par trajets multiples ; soit en tant que chemin principal dans les emplacements qui n’ont pas accès aux circuits, soit en tant que chemin de dernier recours en cas de défaillance du circuit principal.

Par exemple : dans un magasin disposant d’une connexion MPLS principale pour les applications stratégiques. Juniper Mist SD-WAN peut ajouter une liaison LTE en secours. Si la liaison MPLS rencontre des problèmes, Juniper Mist bascule dynamiquement le trafic vers la liaison LTE. Cela garantit une connectivité continue et minimise les perturbations.

Sur les pare-feu SRX Series, le mini-module d’interface physique LTE (Mini-PIM) prend en charge le WAN sans fil sur les passerelles de services à mémoire élevée SRX300 Series et SRX550. Le Mini-PIM intègre un modem et fonctionne sur les réseaux 3G et 4G. Le Mini-PIM peut être installé dans n’importe quel emplacement Mini-PIM des appareils. Consultez https://www.juniper.net/documentation/us/en/hardware/lte-mpim-install/topics/task/lte-mpim-hardware-intalling.html pour installer le mini-PIM LTE sur un pare-feu SRX Series.

Pour disposer d’une liaison LTE pour Juniper Mist SD-WAN, vous devez configurer une interface LTE sur vos routeurs Session Smart et vos pare-feu SRX Series et insérer le module d’identification de l’abonné (SIM) dans la carte LTE.

Pour ajouter une interface LTE en tant que liaison WAN :

  1. Faites défiler vers le bas jusqu’à la section WAN et cliquez sur Ajouter WAN pour ouvrir le volet Ajouter une configuration WAN.
  2. Entrez les détails de la configuration de l’interface
    Tableau 3 : configuration de l’interface LTE

    Champs

    Valeurs

    Nom

    Nom de l’interface LTE

    Description

    Description de l’interface.

    WAN Type

    		 Le LTE
    Interface CL-1/0/0. Utilisez l’interface cl-1/0/0 lorsque le module Mini-PIM LTE est inséré dans l’emplacement 1.

    LTE APN

    Entrez le nom du point d’accès (APN) du routeur de passerelle. Le nom peut contenir des caractères alphanumériques et des caractères spéciaux. (En option pour les pare-feu SRX Series et obligatoire pour les routeurs Session Smart)

    Authentification LTE

    Sélectionnez la méthode d’authentification pour la configuration de l’APN :

    • PAP : sélectionnez cette option pour utiliser le protocole PAP (Password Authentication Protocol) comme méthode d’authentification. Indiquez votre nom d’utilisateur et votre mot de passe.

    • CHAP : sélectionnez cette option pour utiliser l’authentification CHAP (Challenge Handshake Authentication Protocol) comme méthode d’authentification. Indiquez votre nom d’utilisateur et votre mot de passe.

    • Aucun (par défaut) : sélectionnez cette option si vous ne souhaitez utiliser aucune méthode d’authentification.

    Source NAT

    Sélectionnez les options NAT source :

    • Interface : NAT à l’aide de l’interface source.
    • Pool : NAT à l’aide d’un pool d’adresses IP défini.
    • Disabled (Désactivé) : désactive le NAT source
    Modélisation du trafic

    Sélectionnez Activé ou Désactivé.

    (Requis uniquement pour les routeurs Session Smart)

    Négociation automatique

    Sélectionnez Activé ou Désactivé.
    MTU Entrez une valeur MTU comprise entre 256 et 9192. La valeur par défaut est 1500.
  3. Cliquez sur Save (Enregistrer).
Note:

Sur les pare-feu SRX Series, lorsque vous créez un modèle WAN Edge à l’aide de l’option Modèles WAN Edge spécifiques à l’appareil, la configuration de l’interface LTE est incluse par défaut dans le modèle.

Le modèle fournit des interfaces WAN préconfigurées, des interfaces LAN, une stratégie d’orientation du trafic et une stratégie d’application spécifiques à l’appareil. Tout ce que vous avez à faire est de nommer le modèle et de sélectionner le type d’appareil.

La figure 4montre un exemple de modèle SRX320 qui inclut la configuration LTE par défaut dans la section WAN du modèle.
Figure 4 : exemple WAN Edge Template Sample de modèle de périphérie WAN

Configurer le LAN

La configuration de l’interface LAN identifie la source de votre requête à partir du nom du réseau que vous spécifiez dans la configuration LAN.

La section Configuration LAN comprend les composants pour la configuration IP, la configuration DHCP, la VR personnalisée et la configuration de l’interface. La section Configuration LAN offre plus de flexibilité en vous permettant de remplacer chaque composant de configuration (comme la configuration IP) séparément sans toucher aux autres composants.

La section LAN Configuration (Configuration du réseau local) propose également un filtre vous permettant de rechercher facilement des configurations par port ou par réseau.

Pour configurer le réseau local :

  1. Faites défiler vers le bas jusqu’à la section LAN.
    Figure 5 : Ajouter des interfaces LAN au modèle Add LAN Interfaces to the Template
  2. Configurez les paramètres suivants dans la section LAN.

    • Configuration IP : sur la vignette CONFIG IP, cliquez sur Add IP Config (Ajouter une configuration IP ) et configurez les paramètres suivants :

      • Network (Réseau) : sélectionnez un réseau disponible dans la liste déroulante.
      • IP Address (Adresse IP) : adresse IPv4 et longueur du préfixe de l’interface.
      • Prefix Length (Longueur du préfixe) : longueur du préfixe de l’interface.
      • Passerelle de redirection : adresse IP de la passerelle de redirection pour les routeurs Session Smart uniquement.

    • Configuration DHCP : sélectionnez l’option Enabled (Activé ) pour utiliser le service DHCP afin d’attribuer des adresses IP à l’interface LAN. Pour définir une configuration DHCP, cliquez sur Ajouter une configuration DHCP et spécifiez les détails comme décrit ci-dessous :

      • Network (Réseau) : sélectionnez le réseau dans la liste des réseaux disponibles.
      • DHCP type : sélectionnez DHCP Server (Serveur DHCP) ou DHCP Relay (Relais DHCP). Si vous avez choisi Serveur DHCP, entrez les options suivantes :
        • IP Start (Début IP) : entrez l’adresse IP de début de la plage d’adresses IP souhaitée.
        • IP End (Fin IP) : entrez l’adresse IP de fin.
        • Gateway (Passerelle) : entrez l’adresse IP de la passerelle réseau.

        • Maximum Lease Time (Durée maximale du bail) : spécifiez une durée de bail maximale pour les adresses DHCP. La durée du bail DHCP pris en charge varie de 3600 secondes (1 heure) à 604800 secondes (1 semaine).

        • Serveurs DNS : saisissez l’adresse IP du serveur DNS (Domain Name System).
        • Options de serveur (Server Options) : ajoutez les options suivantes :
          • Code : entrez le code d’option DHCP pour configurer le serveur. Le champ Type sera renseigné avec la valeur associée. Par exemple : si vous sélectionnez l’option 15 (nom de domaine), le champ Type affiche FQDN. Vous devez saisir la valeur associée au type.

        • Static Reservations (Réservations statiques) : utilisez cette option si vous souhaitez réserver une adresse DHCP de manière statique. La réservation d’adresses IP DHCP statiques consiste à lier une adresse MAC client à une adresse IP statique du pool d’adresses DHCP. Les options suivantes sont disponibles :

          • Name (Nom) : nom qui identifie la configuration.

          • Adresse MAC : adresse MAC à utiliser dans la réservation.

          • IP Address (Adresse IP) : adresse IP à réserver.

    • Configuration VR personnalisée : pour configurer une VR personnalisée, cliquez sur Add Custom VR (Ajouter une réalité virtuelle personnalisée ) et configurez les paramètres suivants :

      • Network (Réseau) : sélectionnez un réseau disponible dans la liste déroulante.
      • Name (Nom) : entrez le nom de l’instance de routage.

    • LAN Interface Configuration (Configuration de l’interface LAN) : cliquez sur Add LAN (Ajouter un réseau local ) et terminez la configuration comme décrit ci-dessous :

      • Interface (Interface) : entrez l’interface. Exemple : ge-0/0/3. Pour configurer d’autres options d’interface LAN, reportez-vous à la section Configurer des options d’interface supplémentaires pour LAN.

      • Description : saisissez la description. Exemple : réseau LAN

      • Network (Réseau) : sélectionnez cette option dans la liste des réseaux qui s’affiche. Exemple : SPOKE-LAN1 (Lorsque vous le faites, la configuration restante sera remplie automatiquement.)

      • Réseau VLAN non étiqueté (SRX uniquement) : aucun

    Pourboire: Lorsque vous travaillez sur les écrans de configuration, recherchez les indicateurs VAR. Les champs avec cet indicateur autorisent les variables de site.

    Les champs portant cette étiquette affichent également les variables correspondantes (si elles sont configurées) lorsque vous commencez à y taper une variable spécifique. Ce champ répertorie les variables de tous les sites de l’organisation.

    La liste des variables à l’échelle de l’organisation peut être consultée à l’aide de GET /api/v1/orgs/ :org_id/vars/search ?var=*. Cette liste est renseignée au fur et à mesure que des variables sont ajoutées sous les paramètres du site.

Configurer des options d’interface supplémentaires pour le LAN

Pour configurer d’autres options d’interface :

  1. Faites défiler l’écran vers le bas jusqu’à la section LAN et cliquez sur le dispositif WAN Edge approprié.
  2. Dans la section Interface de la fenêtre, sélectionnez l’une des options suivantes :
    • Désactivé -

      Désactivez administrativement le port LAN.

      Si vous désactivez une interface physique (par exemple, ge-0/0/1), toutes les sous-interfaces ou interfaces VLAN associées (par exemple, ge-0/0/1.200 et ge-0/0/1.100) tomberont en panne.

      Si vous désactivez une interface Ethernet agrégée (par exemple, ae1) sur un périphérique SRX, l’interface ae ainsi que les interfaces physiques sous-jacentes du bundle ae seront défaillantes.

      Si vous désactivez une interface Ethernet redondante (reth), toutes les liaisons membres sont désactivées.

    • Port Aggregation (Agrégation de ports) : regroupez les interfaces Ethernet pour former une seule interface de couche de liaison. Vous pouvez l’utiliser pour la configuration du protocole LACP (Link Aggregation Control Protocol).

      • Disable LACP (Désactiver LACP) : désactive l’interface LACP.

      • Enable Force Up (Activer la montée en force) : choisissez cette option avant d’intégrer un périphérique connecté au port LAN via le protocole LACP (Link Aggregation Control Protocol). Par exemple, si vous intégrez un nouveau commutateur au cloud Mist, le commutateur ne sera pas déjà provisionné pour LACP. Si vous définissez l’option Activer la force vers le haut , la première interface Ethernet du LACP sur l’équipement de périphérie WAN passe à l’état actif , ce qui permet au commutateur de se connecter au cloud Mist à l’aide du provisionnement sans intervention (ZTP), où il récupère les fichiers de configuration nécessaires pour terminer l’intégration.

    • Redondant : active la redondance.
    • Enable « Up/Down Port » Alert Type (Activer le type d’alerte « port haut/bas ») : permet à l’utilisateur de recevoir des alertes lorsque le port passe de haut en bas ou vice-versa.
  3. Cliquez sur Enregistrer en bas de la fenêtre pour enregistrer les modifications.

Configurer LACP sur des interfaces Ethernet redondantes

Le protocole LACP (Link Aggregation Control Protocol) est un protocole standard IEEE qui définit le fonctionnement d’un groupe d’interfaces. Avec LACP, les appareils s’envoient des unités de données LACP pour établir une connexion. Les périphériques ne tentent pas d’établir une connexion s’ils n’y parviennent pas, ce qui évite que des problèmes ne se produisent pendant le processus de configuration de l’agrégation de liens, tels que des paramètres LAG mal configurés. Vous pouvez configurer LACP sur les interfaces Reth (Redundant Ethernet) de vos pare-feu SRX Series.

Pour configurer LACP sur des interfaces Ethernet redondantes :

  1. Dans le menu de gauche du portail Juniper Mist, sélectionnez Organization > WAN Edge Templates.
  2. Sélectionnez le modèle de dispositif WAN Edge contenant les interfaces Ethernet redondantes pour lesquelles vous souhaitez configurer LACP.
  3. Faites défiler vers le bas jusqu’au volet LAN et cliquez sur Ajouter un LAN pour ouvrir le panneau Ajouter une configuration LAN, ou cliquez sur un LAN existant pour ouvrir le panneau Modifier la configuration LAN.
  4. Configurez les champs suivants :
    Tableau 4 : exemple de configuration LACP sur des interfaces Ethernet redondantes
    Champs Configuration de l’interface LAN
    Interface Répertoriez les interfaces redondantes, séparées par une virgule.
    Agrégation de ports Cochez cette case pour activer LACP sur les interfaces Reth.
    Activer Force Up Si vous cochez cette case, l’état de l’interface est « actif » lorsque l’homologue dispose d’une capacité LACP limitée.

    Cas d’usage : lorsqu’un périphérique connecté à ce port d’interface Ethernet agrégé (AE) utilise le Zero-Touch Provisioning (ZTP) pour la première fois, LACP n’est pas configuré à l’autre extrémité.

    Note:

    Si vous sélectionnez cette option, Forcer le démarrage sur l’une des interfaces du bundle uniquement.
    Redondant (BÊTA) Cochez cette case pour activer la redondance. Les interfaces physiques mentionnées dans la configuration LAN seront configurées en un groupe de redondance et sous une interface reth (parent redondant).
    Index redondant (SRX) uniquement Il s’agit de l’index de l’interface reth. Par exemple, un index de 4 configurerait l’interface redondante reth4.
    noeud principal Indique quel nœud est le nœud principal d’un groupe de redondance, où l’un des nœuds est principal et l’autre secondaire, de sorte qu’un nœud peut prendre la place de l’autre en cas de basculement d’interface.

    Activer le type d’alerte « port haut/bas »

    Activez ce type d’alerte pour permettre à l’utilisateur de recevoir des alertes lorsque le port passe de haut en bas ou vice-versa.

    Pour cela, l’utilisateur doit également activer Critical WAN Edge Port Up/Down sous Monitor > Alerts > Alerts Configuration (Surveiller les alertes Configuration des alertes).
  5. En bas du panneau, cliquez sur Ajouter ou Enregistrer pour enregistrer la configuration.

Configurer les stratégies d’orientation du trafic

Dans un réseau Juniper Mist, le traffic steering définit les différents chemins que le trafic applicatif peut emprunter pour traverser le réseau. Les chemins que vous configurez dans le cadre de l’orientation du trafic déterminent également la zone de destination.

Pour configurer des stratégies d’orientation du trafic :

  1. Dans le portail Juniper Mist, faites défiler vers le bas jusqu’à la section Traffic Steering (Direction du trafic), puis cliquez sur Add Traffic Steering (Ajouter une orientation du trafic) pour afficher la fenêtre de configuration Traffic Steering (Direction du trafic).
  2. Terminez la configuration en suivant les instructions du Tableau 5.
    Tableau 5 : configuration de la stratégie d’orientation du trafic
    Champs Politique de pilotage du trafic 1 Politique de pilotage du trafic 2
    Nom PORTS RAYONS-LAN Superposer
    Stratégie Ordonné ECMP (en anglais seulement)
    CHEMINS (Pour les types de chemins, vous pouvez sélectionner les réseaux LAN et WAN précédemment créés comme points de terminaison.)

    • Type : LAN

    • Réseau : SPOKE-LAN1

    • Type : WAN

    • Réseau

      • hub1-INET

      • hub2-INET

      • hub1-MPLS

      • hub2-MPLS

    La figure 6 montre la liste des stratégies d’orientation du trafic que vous avez créées.

    Figure 6 : Résumé Traffic-Steering Policies Summary des stratégies d’orientation du trafic

Configurer les stratégies d’application

Dans un réseau Mist, les stratégies applicatives permettent de définir quel réseau et quels utilisateurs peuvent accéder à quelles applications, et selon quelle stratégie d’orientation du trafic. Les paramètres Réseaux/Utilisateurs déterminent la zone source. Les paramètres Application + Traffic Steering déterminent la zone de destination. De plus, vous pouvez attribuer une action d’autorisation ou de refus. Mist évalue et applique les stratégies d’application dans l’ordre dans lequel vous les énumérez.

Examinez les exigences en matière de flux de trafic de la Figure 7. L’image illustre un modèle de trafic initial de base pour une configuration VPN d’entreprise (le troisième et le deuxième concentrateur ne sont pas affichés).

Figure 7 : flux et distribution Traffic Flow and Distribution du trafic

Pour répondre aux exigences précédentes, vous devez créer les stratégies d’application suivantes :

  • Stratégie 1 : autorise le trafic des sites en étoile vers le hub. Dans ce cas, le préfixe de destination utilisé dans les groupes d’adresses représente l’interface LAN de deux hubs.

  • Stratégie 2 : autorise le trafic en étoile sur le réseau local de l’entreprise par le biais d’une superposition.

    Note:

    Cela n’est pas toujours faisable dans la réalité, sauf sur les réseaux MPLS coûteux avec des adresses IP gérées. Les adresses IP gérées envoient le trafic directement à l’autre spoke. Ce type de trafic transite généralement par un équipement central

  • Stratégie 3 : autorise le trafic provenant du hub et de la DMZ connectée au hub vers les périphériques spoke.

  • Stratégie 4 : autorise le trafic Internet à circuler des périphériques spoke vers le périphérique hub. De là, le trafic se répartit vers Internet. Dans ce cas, le hub applique le NAT source au trafic et achemine le trafic vers une interface WAN, comme défini dans le profil du hub. Cette règle est générale, vous devez donc la placer après les règles spécifiques. En effet, Mist évalue les stratégies d’application dans l’ordre dans lequel elles sont placées dans la liste des stratégies.

Pour configurer les stratégies d’application :

  1. Dans le portail Juniper Mist, faites défiler vers le bas jusqu’à la section Stratégie d’application, cliquez sur Ajouter une stratégie pour ajouter une nouvelle stratégie dans la liste des stratégies.
  2. Terminez la configuration en suivant les instructions du Tableau 6.
    Tableau 6 : configuration des stratégies d’application
    S.No. Nom de la règle, Action réseau , Direction de la destination
    1 Spoke-to-Hub-DMZ (en anglais) RAYONS-LAN1 Passer HUB1-LAN1 + HUB2-LAN1 Superposer
    2 Spoke-to-Spoke-via-Hub RAYONS-LAN1 Passer RAYONS-LAN1 Superposer
    3 Du hub DMZ à l’étoile HUB1-LAN1 + HUB2-LAN1 Passer RAYONS-LAN1 PORTS RAYONS-LAN
    4 Internet via Hub-CBO RAYONS-LAN1 Passer QUELCONQUE Superposer
    Note:

    • Juniper Mist cloud évalue et applique les stratégies applicatives dans l’ordre dans lequel elles sont répertoriées. Vous pouvez déplacer une stratégie donnée vers le haut ou vers le bas dans l’ordre en cliquant sur le bouton représentant des points de suspension (...).

    • Vous devez créer des stratégies de direction à utiliser avec les pare-feu SRX Series.

    La figure 8 montre la liste des stratégies d’application que vous avez créées.
    Figure 8 : Résumé Application Policy Summary de la stratégie d’application
  3. Autorisez les pings ICMP (Internet Control Message Protocol) pour le débogage et la vérification de la connectivité des périphériques.

    La configuration de sécurité par défaut des pare-feu SRX Series n’autorise pas les requêtes ping ICMP du périphérique LAN vers l’interface locale du routeur de périphérie WAN. Nous vous recommandons de tester la connectivité avant que l’appareil ne tente de se connecter au réseau externe. Nous vous recommandons également d’autoriser les requêtes ping ICMP pour le débogage et la vérification de la connectivité des périphériques.

    Sur le pare-feu SRX Series, utilisez l’instruction de configuration CLI suivante pour autoriser les requêtes ping vers l’interface LAN locale à des fins de débogage :

Configurer des modèles WAN Edge spécifiques aux équipements

La configuration des équipements est simplifiée grâce aux modèles WAN Edge qui suivent le processus d’intégration de vos appareils. Ces modèles de périphérie WAN peuvent être personnalisés pour des déploiements uniques sur tous les appareils de périphérie. Juniper Networks Mist AI occupe une position unique dans le secteur, car les modèles Mist AI WAN Edge peuvent être appliqués à n’importe quel modèle, quel que soit le fournisseur. De plus, les modèles WAN Edge peuvent mélanger différents modèles sous un seul modèle, ce qui simplifie votre phase de configuration et de déploiement.

Pour configurer manuellement vos modèles WAN Edge pour les pare-feu SRX Series, reportez-vous à la section Configurer un modèle WAN Edge.

Modèles WAN Edge spécifiques aux équipements

Il y a un avantage non négligeable à utiliser certains matériels Juniper Networks avec le SD-WAN Mist AI. La configuration est simplifiée pour de nombreux pare-feu SRX Series de Juniper Networks®, qui disposent de modèles spécifiques aux appareils qui attribuent automatiquement des interfaces WAN et LAN et définissent les réseaux LAN pour la connectivité.

Ces modèles sont uniques pour chaque modèle d’appareil. Aucune saisie manuelle après la sélection de l’équipement et l’attribution d’un nom au WAN Edge, l’équipement WAN Edge spécifié par l’utilisateur est prérempli avec les valeurs. La Figure 9 montre que le modèle SRX Series WAN Edge génère plusieurs valeurs, y compris des interfaces Ethernet pour LAN et WAN avec des valeurs DHCP et IP pertinentes.

Figure 9 : exemple de modèle Sample of SRX Series WAN Edge Template de périphérie WAN SRX Series

En outre, le portail Juniper Mist renseigne une stratégie d’orientation du trafic. Cela Juniper Mist permet d’envoyer du trafic via notre connexion WAN vers une application de n’importe quel Mist avec une destination fourre-tout quadruple zéro.

Lorsque vous appliquez un modèle WAN Edge, vous pouvez remarquer que les stratégies d’application, les réseaux et les applications reçoivent des mises à jour automatiques. La figure 10 présente un exemple de stratégies applicatives.

Figure 10 : stratégies d’application après l’application du modèle Application Policies After Applying WAN Edge Template WAN Edge

Juniper Mist AI SD-WAN comprend les modèles d’appareils suivants avec des modèles de WAN Edge préconfigurés pour les pare-feu SRX Series :

  • Le SRX300
  • SRX320-POE
  • Le SRX320
  • Le SRX340
  • Le SRX345
  • Le SRX380
  • SRX550M
  • SRX1500
  • SRX1600*
  • SRX4100
  • SRX4200
  • SRX4600
  • SRX2300*
  • SRX4300*

* Indique la prise en charge prévue du WAN Juniper Mist IA pour le nouveau modèle plus tard en 2024.

Les modèles spécifiques aux périphériques WAN Edge fournissent une configuration réseau de base en une seule étape et permettent une configuration cohérente et réutilisable pour chaque routeur Session Smart et pare-feu SRX Series que vous déployez. Le modèle fournit des interfaces WAN préconfigurées, des interfaces LAN, une stratégie d’orientation du trafic et une stratégie d’application spécifiques à l’appareil. Tout ce que vous avez à faire est de nommer le modèle et de sélectionner le type d’appareil.

Pour sélectionner un modèle WAN Edge spécifique à l’équipement :

  1. Dans le portail Juniper Mist, sélectionnez Organization > WAN > WAN Edge Templates.
  2. Sélectionnez Créer un modèle dans le coin supérieur droit pour ouvrir une nouvelle page de modèle.
  3. Saisissez le nom du modèle.
  4. Cochez la case Créer à partir du modèle d’appareil .
  5. Sélectionnez le modèle de votre appareil dans la liste déroulante.
    Figure 11 : configuration d’un modèle de périphérie WAN spécifique à un équipement Configure Device-Specific WAN Edge Template
  6. Cliquez sur Créer.

Juniper Mist interface utilisateur affiche le modèle d’appareil terminé. Vous disposez désormais d’un modèle WAN Edge fonctionnel que vous pouvez appliquer à de nombreux sites et équipements au sein de votre organisation.

Assigner au site

Une fois votre modèle configuré, vous devez l’enregistrer et l’affecter au site sur lequel votre équipement de périphérie WAN sera déployé.

  1. Cliquez sur le bouton Assign to Site en haut de la page du modèle.
  2. Sélectionnez un site dans la liste où vous souhaitez appliquer le modèle.
  3. Cliquez sur Appliquer.
  4. Enfin, il ne reste plus qu’à associer l’appareil à votre site, voir Pare-feu SRX Series intégrés pour la configuration WAN.

Voir aussi