Jerarquía de configuración de Juniper Mist WAN Assurance

Configuración de la garantía de WAN de Juniper Mist

Para los administradores de red, es fundamental entender que cada pieza del rompecabezas construye las políticas, la seguridad y la conectividad de su red en el servicio en la nube de Garantía de WAN de Juniper Mist. Una implementación completa de SD-WAN requiere que cada parte complete la conectividad entre sitios. Mist traduce automáticamente su intención de tráfico en configuraciones para dispositivos de borde WAN mediante el modelo de red basado en la intención de Mist. Cada parte trabaja en conjunto para crear asignaciones de interfaz complejas, seguridad, políticas de enrutamiento y, dependiendo de la plataforma, zonas de destino. Por lo tanto, comprender el modelo de intención de Mist es crucial a medida que profundizamos en la jerarquía de configuración de la garantía de WAN de Juniper Mist.

Enrutamiento basado en la intención

Las redes basadas en la intención resuelven varios problemas. Por ejemplo, considere la necesidad de una comunicación segura entre dos redes. Un modelo de intención establece que la comunicación segura requiere un túnel seguro entre la red A y la red B. En este escenario, un administrador de red identifica qué tráfico utiliza el túnel y describe otras propiedades generales deseadas. Pero un operador no especificaría ni sabría cómo construir un túnel. Para implementar un túnel, debe saber cuántos dispositivos proteger, cómo hacer anuncios BGP y qué características y parámetros activar. Por el contrario, un sistema de red basado en la intención genera automáticamente una configuración completa de todos los dispositivos en función de la descripción del servicio. A continuación, proporciona comprobaciones continuas entre el estado deseado y el estado operativo de la red, utilizando la validación de circuito cerrado para verificar continuamente la corrección de la configuración. Las redes basadas en la intención son un modelo de operación de red declarativo. Contrasta con las redes imperativas tradicionales, que requieren que los ingenieros de red especifiquen la secuencia de acciones necesarias en elementos individuales de la red y crea un potencial significativo de error.

Características clave del modelo basado en la intención:

• No requieren tanta dirección explícita como los modelos de red tradicionales.
• Cree políticas basadas en qué red va a cada aplicación.
• Configure las redes y aplicaciones de garantía de WAN de Juniper Mist en toda la organización.
• Inserte solo las configuraciones relevantes.
• Configure solo las aplicaciones que utiliza un dispositivo. Si un dispositivo no usa una aplicación, la red basada en la intención no la configura en ese dispositivo.

Veamos el ejemplo de la configuración de DHCP en una LAN y supongamos que la interfaz ya está configurada y asignada a una zona.

Pasos necesarios en la CLI de Junos:

• Vaya al nivel de servicios del sistema de Junos y habilite el servidor local DHCP para su interfaz.
• Desplácese hasta la asignación de direcciones del sistema de Junos y cree un grupo de direcciones en el que se especifique la red de destino, el intervalo de direcciones del grupo, la puerta de enlace predeterminada y cualquier otro atributo de DHCP.
• Navegue hasta la zona de seguridad y habilite el tráfico entrante de host para el servicio del sistema DHCP para permitir que la serie SRX procese las solicitudes DHCP de los clientes.

Esto requiere varias líneas de configuración distribuidas en tres jerarquías de configuración como mínimo.

El mismo flujo de trabajo se optimiza significativamente en Mist:

• Primero, navegue hasta su configuración LAN y ábrala para editarla.
• A continuación, habilite el botón de opción Servidor DHCP para desbloquear la configuración y rellenar los campos obligatorios (inicio de IP, fin de IP y puerta de enlace).
• Guarde la configuración de LAN y, a continuación, guarde la configuración del dispositivo.

Elementos de configuración de toda la organización

La parte superior de la configuración de Mist se denomina organización de Mist. Estos elementos afectan a toda la implementación de la red de área extensa definida por software (SD-WAN). Los distintos componentes de este nivel de configuración se convierten en bloques de creación para orígenes y destinos en toda la implementación. Una vez identificadas, las solicitudes de tráfico asocian adecuadamente al remitente y al destino deseado. Los elementos ayudan a construir diferentes componentes de implementación de Juniper Mist WAN Assurance dependiendo de su plataforma. La identificación del origen y el destino creará túneles IPsec a través de la WAN y las zonas de seguridad asociadas en el firewall de la serie SRX de Juniper®. Estos componentes del enrutador Session Smart™ de Juniper® Networks se convierten en el origen y el destino correspondientes para ayudar a construir el intercambio de metadatos del enrutamiento vectorial seguro (SVR). Las dos plataformas abordan el desafío de SD-WAN de manera única, por lo que es importante conocer su plataforma de garantía WAN de Juniper Mist.

Redes

La red de garantía de WAN de Juniper Mist es el "quién" en el paradigma basado en la intención de Mist. Las redes son los orígenes de la solicitud en su red. Las redes le permiten definir grupos de "Usuarios". Una vez creado este elemento en el diseño de Mist, la red se define para su uso en toda la organización.

Características de las redes en el enrutador Session Smart™ de Juniper® Networks:

• Mist Networks crea inquilinos en segundo plano para SVR.
• El enrutador de Session Smart identifica a los inquilinos en la interfaz lógica (interfaz de red).
• Las configuraciones de interfaz LAN y WAN identifican al inquilino (origen de la solicitud).

Características de las redes en el firewall de la serie SRX de Juniper®:

• Las redes crean libretas de direcciones que se usan como origen para las políticas de seguridad y las políticas de enrutamiento avanzado basado en políticas (APBR).
• Las configuraciones se aplican al dispositivo si se configura una directiva de aplicación .
• Para la LAN, el nombre de la zona se deriva del nombre de la red especificada.
• Para la WAN, el nombre de la zona se basa en el nombre de la WAN.

Anuncio de ruta (anúnciese a través de superposición)

La garantía de WAN se trata de la abstracción de la red de transporte en la SD-WAN. Puede anunciar redes a través de SD-WAN para control y accesibilidad con publicidad de ruta. Así es como se pueden anunciar las redes establecidas en sus segmentos LAN en toda la superposición. La configuración de estas redes genera las direcciones de origen para las directivas de servicio. La traducción de direcciones de red (NAT) para el origen y el destino puede enrutar el tráfico a los usuarios si es necesario.

El propósito de SD-WAN es la conectividad entre sitios. Por lo tanto, las redes se pueden anunciar a través de superposición para permitir la accesibilidad entre sus dispositivos SD-WAN. Con esta configuración, su red compartirá la dirección a través de la WAN para que otros dispositivos sepan cómo comunicarse con ella.

Acceso a la nube de Mist

Mist es una solución de pila completa. Solo algunos de sus dispositivos son enrutadores de borde WAN o SD-WAN. Dispositivos específicos querrán tener acceso a la nube de Mist para aprovechar otras soluciones, como Wireless and Wired Assurance en puntos de acceso y conmutadores inalámbricos. El acceso a la nube de Mist generará automáticamente reglas específicas de firewall/políticas que permitirán a los dispositivos llamar a casa a Mist sin necesidad de una política de aplicación explícita. No desea esto en todos los dispositivos detrás del borde WAN en una implementación de SD-WAN, ya que puede suponer un desafío de política para los enrutadores. El acceso a la nube de Mist es excelente para los AP o conmutadores de Mist, ya que puede supervisarlos y solucionar problemas desde el panel de control de Mist. Consulte Garantía inalámbrica y Garantía por cable de Juniper Mist.

Habilitar el acceso a la nube de Mist garantiza que todo lo que se encuentre detrás del borde de la WAN pueda llegar a la nube de Mist sin necesidad de expresar políticas de conectividad manualmente. Entre los puertos y protocolos para esta configuración se incluyen los siguientes:

• TCP/443
• DNS/53
• SSH/2200
• NTP/123
• syslog/6514
• ICMP

Usuarios

No dejes que la etiqueta te engañe. Los usuarios no representan a un solo usuario de la red. Los usuarios son subconjuntos de subredes o subredes conectadas indirectamente. Dado que las redes son "quién", piense en los usuarios como una subdivisión de esa identidad de red. A menudo existen reglas universales para tratar las redes de la misma manera. Por ejemplo, para el 99% de su tráfico, desea que las sesiones hagan lo mismo. Pero, ¿qué pasa cuando bloquea el acceso a una red corporativa desde una red de invitados, pero necesita una IP específica para tener acceso a la impresora? Este es su caso de uso para los usuarios. Para aquellos familiarizados con la plataforma de enrutamiento de Session Smart, considere esto como el hijo del "Inquilino" de la red principal. Alternativamente, los usuarios tienen un segundo caso de uso que define prefijos indirectos en la red.

• Los usuarios pueden definir permisos granulares. Por ejemplo, su segmento LAN puede necesitar acceso a Internet, pero debe restringirlo a un dispositivo de red determinado. Así que aquí, crearías una política de acceso alrededor de ese escritorio.
• A veces necesita llegar a prefijos conectados indirectamente detrás de un enrutador en el segmento LAN. Por ejemplo, imagine un enrutador detrás de un dispositivo que conecta varios dispositivos a una aplicación externa.

Aplicaciones

Las aplicaciones comprenden el "qué" en el paradigma del modelo basado en la intención de Mist. Las aplicaciones son lo que ofrece su red. Las aplicaciones representan destinos de tráfico y se nombran por lo que un cliente accedería, como una "base de datos" o "Internet". Una vez creado este elemento en su diseño de Mist, la Aplicación se define para su uso en toda la organización.

Características de las aplicaciones en el enrutador inteligente de sesión de™ Juniper® Networks

• Las aplicaciones de Mist crean servicios en segundo plano para SVR.
• Las aplicaciones pueden ser puertos, protocolos, prefijos, dominios personalizados o nombres de aplicaciones de la biblioteca AppID integrada.

Los puertos, protocolos y prefijos son donde gira toda la política.

• Las aplicaciones personalizadas son un conjunto de puertos, protocolos o prefijos.
• Las aplicaciones se asignan al app-id de Internet.
• Las categorías de URL son URL de punto forzado.

Características de las aplicaciones en el firewall de la serie SRX de Juniper®

• Las aplicaciones determinan el destino utilizado en una política de seguridad.
  • Un prefijo de 0.0.0.0/0 con el protocolo "any" se resuelve para cualquiera dentro de la política de garantía de WAN de Juniper Mist. No es necesaria ninguna libreta de direcciones ni solicitud.
• Las aplicaciones personalizadas en el borde WAN usan el "tipo" del motor en caja de la serie SRX y son una combinación de una libreta de direcciones y aplicaciones.
• Las aplicaciones se asignan al motor AppID de capa 7 de la serie SRX.
• Las categorías de URL son URL de punto forzado.

Dirección del tráfico

La dirección del tráfico es el "cómo" en el paradigma del modelo basado en la intención de Mist. La dirección del tráfico es la forma de definir las diferentes rutas que el tráfico puede tomar para llegar a su destino. Si el tráfico a una aplicación tiene varias rutas, puede restringir las rutas a un subconjunto de rutas y configurar un orden de preferencia. También puede cargar y equilibrar numerosas transmisiones en las rutas disponibles.

Características de la dirección de tráfico en el enrutador con Session Smart™ de Juniper® Networks:

• El enrutador™ de sesión inteligente de Juniper® tiene una solución patentada para la dirección del tráfico que determina el siguiente salto y vector al destino aprovechando SVR.
• Los elementos de la lista de bloqueo interfieren con el establecimiento de los siguientes saltos para SVR.

Solo querrá reglas de dirección de tráfico en un enrutador con Session Smart

• Las estrategias de dirección tradicionales, como Ordenado, Ponderado y ECMP, no se aplican al enrutador de Session Smart.
• El bloqueo de aplicaciones en la política de aplicaciones no es necesario y socava el proceso de selección del próximo salto de Session Smart.

El enrutador de Session Smart elige los siguientes saltos utilizando un mecanismo de saludo patentado. Este mensaje de detección de reenvío bidireccional (BFD) entre enrutadores de Session Smart pares comprueba la vida útil y el estado de la ruta.

Características de la dirección de tráfico en el firewall de la serie SRX de Juniper®:

• El firewall de la serie SRX de Juniper® se basa en zonas y la zona de destino viene determinada por las rutas configuradas en una política de dirección de tráfico .
• Traffic Steering configura instancias de enrutamiento de tipo reenvío y la política de enrutamiento correspondiente para importar rutas. Para la serie SRX, esta instancia de enrutamiento se utiliza en APBR.
• Existen varias estrategias de dirección para la serie SRX:
  • Ordenado: Por defecto, ir en orden de la lista. La parte superior tiene prioridad y, a continuación, la conmutación por error a la siguiente. Crea una lista ordenada.
  • Ponderado: Le permite establecer su orden deseado en función del peso. Por ejemplo, dos rutas ponderadas, ambas establecidas en 5, dan como resultado ECMP en las dos rutas. Por otro lado, dos trayectorias ponderadas con una establecida en 5 y la otra establecida en 10 da como resultado una dirección ordenada con el tráfico tomando primero la ruta de menor peso.
  • ECMP: Equilibre completamente la carga del tráfico con un algoritmo multiruta de igual costo. El tráfico se dividirá uniformemente en todas las rutas disponibles.

Política de aplicación

El "quién", "qué" y "cómo" se combinan con la política de aplicación. El modelo basado en la intención de Mist simplifica la generación manual de rutas y políticas de seguridad a través de Junos OS en la serie SRX con miles de líneas de código. También simplifica la implementación de un enrutador de Session Smart para aquellos que hacen la transición de una implementación de Session Smart basada en conductores a la garantía de WAN. Ya no necesita permisos explícitos ni asignaciones de interfaz para ponerse en marcha. La garantía de WAN es de confianza cero. Esto está implícito y es parte del modelo basado en la intención. Debe otorgar permiso explícitamente a una Red para acceder a una Aplicación, o no se enrutará.

El orden solo importa cuando sale su red local en el enrutador con Session Smart™ de Juniper® Networks. El enrutador de Session Smart es un enrutador que utiliza las coincidencias más específicas. Esto significa que no es necesario usar la dirección de tráfico de Mist para el tráfico local. Es importante destacar que el uso de un bloque en su dirección de tráfico no funciona con SVR, ya que socava el proceso patentado. Si un dispositivo, subred o red no debe tener acceso a una aplicación, no cree una dirección de tráfico para ella.

Características de la política de aplicaciones en el firewall de la serie SRX de Juniper®:

La trayectoria de dirección determina la zona de destino de la serie SRX. Asegúrese de que las políticas tengan asignada la dirección de tráfico , ya que el orden de las políticas es importante cuando se trabaja con la serie SRX. Como firewall tradicional basado en zonas, utiliza una lista de reglas que generan filtros y políticas. La mayoría de las reglas específicas deben estar en la parte superior de la lista de políticas de aplicación de la serie SRX.

Plantillas de borde de WAN

Una vez implementados los elementos de configuración básicos de SD-WAN, Mist le permite implementar nuevos dispositivos de borde WAN mediante plantillas de borde WAN. Toda esa configuración anterior se puede crear con plantillas de borde WAN. Estas plantillas funcionan desde un dispositivo perimetral independiente hasta una implementación completa de SD-WAN con cientos de sitios. El proceso de automatización elimina errores y simplifica la implementación de múltiples sitios radiales y cabeceras.

Las plantillas reducen o eliminan las tareas de configuración comunes y eliminan el error humano al configurar varios dispositivos. Plantillas de borde WAN:

• Aplique estándares en toda una implementación.
• Asegúrese de que todos los dispositivos de red apunten al mismo DNS (8.8.8.8).
• Proporcionan un comportamiento predecible porque utilizan el mismo protocolo de hora de red (NTP) para la sincronización y el registro. (Esto también afecta a certificados específicos).
• Simplifique la resolución de problemas y la administración.
  Figura 1: Plantilla de borde de WAN

Sin embargo, las plantillas de borde WAN hacen más que automatizar tareas y pueden contener cosas que no se usan con frecuencia y se aplican a todos los sitios o a un subconjunto de sitios. Por ejemplo, es posible que no todos los sitios tengan una red de invitados, pero puede reservar esa interfaz.

Estas plantillas también permiten:

• Pedidos masivos de hardware para puertos y grupos de sitios a través de modelos específicos.
• Casos de uso específicos y flujos de tráfico.
• Diferentes redes LAN corporativas.
• Redes de invitados.

Las plantillas de borde de WAN configuran automáticamente información repetitiva como una IP, puerta de enlace o VLAN. Además, las plantillas de borde WAN pueden incluir dirección de tráfico, políticas de acceso, preferencias de enrutamiento y cualquier configuración adicional que desee estandarizar. Recuerde que necesitará un prefijo, NAT u otra información local para la conectividad WAN y LAN.

Perfiles de Hub

Los perfiles de concentrador funcionan con plantillas de borde WAN. Los concentradores no están en el borde y son universalmente únicos en toda su red. Es imposible definir su implementación completamente dentro de una plantilla. Los concentradores afectan la forma en que Mist crea la red superpuesta. Cada sucursal y oficina remota construye la comunicación SD-WAN con el concentrador. La topología viene determinada por los puntos de conexión de superposición que forman una sola superposición. Cada interfaz WAN de concentrador crea un punto de conexión de superposición para los radios. Las interfaces WAN radiales asignan las interfaces WAN de concentrador adecuadas, definiendo la topología. Esta es la abstracción de la red de transporte. Dado que las dos plataformas de garantía de WAN resuelven la abstracción de manera diferente, es esencial comprender sus matices al crear esa red superpuesta.

Firewall de la serie SRX de Juniper®

La SD-WAN superpuesta de la serie SRX combina un enrutador virtual para la separación de rutas y túneles IPsec para un tráfico de tránsito seguro. Las configuraciones de WAN determinan la topología y construyen la red superpuesta. Una cosa a tener en cuenta es que solo puede implementar una superposición por organización. Sin embargo, puede tener muchas rutas dentro de esta superposición en varios tipos de transporte y aislar y reenviar el tráfico de forma segura. Para los dispositivos de la serie SRX, la superposición combina una zona de seguridad, un enrutador virtual y túneles IPsec.

Enrutador inteligente de sesión de™ Juniper® Networks

La superposición de Session Smart SD-WAN es su vecindario, lo que implica comunicación patentada a través de BFD en el puerto 1280 para la vida y fluctuación, latencia y pérdida entre pares de Session Smart. Cuando se configura una interfaz WAN en un perfil de concentrador, se crea un extremo de concentrador de superposición. En el enrutador de Session Smart, el extremo es el extremo receptor de la SVR.

Algunas cosas suceden cuando asigna una interfaz WAN radial al punto de conexión del concentrador de superposición. El radio establecerá la conectividad entre pares e identificará los vecindarios y vectores para SVR, que es la abstracción de Session Smart de la red de transporte.

Una nota final sobre la superposición: La serie SRX y los enrutadores Session Smart no pueden existir en una sola superposición. Se pueden emparejar a través de BGP en el hub, pero sus soluciones para crear conectividad entre sitios son únicas y no pueden funcionar en concierto. Esto significa que aquellos con planes de migración deben identificar qué rutas necesitan publicidad y anunciarse en el centro.

Tenga en cuenta las siguientes consideraciones de perfil de concentrador:

• Los perfiles de concentrador deben crearse primero, de modo que las plantillas radiales sepan dónde conectarse.
  • Los concentradores deben tener IP estáticas para los puntos de conexión superpuestos.
  • La configuración del punto de conexión de superposición se expone en la plantilla radial de borde WAN.
• No hay límite para el número de concentradores que puede incorporar en estas directrices:
  • Un concentrador por centro de datos
  • Dos centros para redundancia (clústeres de alta disponibilidad)

Los radios eligen el concentrador principal mediante la dirección del tráfico y una política de aplicación. El aprovisionamiento sin intervención (ZTP) requiere DHCP (para la implementación física) a menos que se realice ZTP y luego se migre a la red de destino. También puede preconfigurar los dispositivos manualmente.

Variables del sitio

Las variables de sitio se configuran por sitio. Al planificar una red de forma integral, puede crear plantillas estándar para bordes WAN y clústeres de borde WAN específicos. Lo ideal es que solo tenga un dispositivo de borde WAN por sitio (o un único borde WAN lógico si el dispositivo está agrupado). Dado que las variables pueden diferir según el sitio, los administradores las utilizan en las plantillas o en la página de configuración del borde de WAN. La transformación se produce cuando la configuración se representa y se inserta en el dispositivo.

Tenga en cuenta las siguientes consideraciones sobre las variables de sitio:

• La sintaxis de las variables coincide con Jinja2 y está contenida entre llaves dobles, así: {{variableName}}
• La interfaz de usuario aplica los corchetes iniciales y finales como parte del nombre.
• Limitaciones de las variables del sitio:
  • No hay espacios en la variable.
  • No hay caracteres especiales (excepto el guión bajo) dentro del campo de variable.
  • Las variables solo se pueden usar en un campo y no pueden especificar un prefijo completo.

  Por ejemplo, 10.88.88.88/24 necesitaría al menos dos variables, una para la dirección IP (10.88.88.88) y otra para la longitud del prefijo (24).

  Figura 3: Variables del sitio

  La mejor manera de utilizar el poder real de las plantillas es con variables de sitio. Se requieren muchos elementos de configuración para implementar el hardware. Tiene sentido combinar las plantillas de borde de WAN y las variables de sitio. Considere la siguiente situación en la que puede definir subredes IP completas de los tres primeros octetos, dejando una configuración mínima en cada dispositivo:

  Cree plantillas estándar y coloque variables en interfaces estándar como su WAN de cualquiera de estas maneras:

  • Con una variable WAN1PFX, digamos {{192.168.170}}, y en el campo WAN de la página Configuración, sería {{WAN1PFX}}.1 para la IP local y {{WAN1PFX}}.2 para la puerta de enlace.
  • Puede definir un par de variables {{WAN1IP}} y {{WAN1_GW}}; sin embargo, hay lugares donde la subred se puede reutilizar, pero no la IP específica.
    Figura 4: Variables de sitio en la configuración de WAN

    Otro caso de uso robusto es el octeto mágico, donde el tercer octeto se convierte en una variable, y esa variable también puede aplicarse a múltiples campos. Por ejemplo, se puede usar una variable {{SITEID}} tanto para el tercer octeto como para una etiqueta VLAN. En ese caso, el prefijo de red puede ser 192.168. {{SITEID}}.1/24 con el ID de VLAN {{SITE_ID}}. Recuerde que, aunque las plantillas de borde WAN solo se aplican al borde de WAN, las variables de sitio también se aplican a conmutadores y AP. El propósito de la automatización es simplificar las implementaciones y aumentar la reutilización.

Introducción a la aplicación de plantillas

Recuerde que un sitio es una colección de todos sus activos en una sola ubicación. Está implícito que solo habrá un borde de WAN. Una característica clave de la administración de Mist mediante Juniper Mist AI es su capacidad de usar plantillas de configuración para agrupar los bordes de la WAN y realizar actualizaciones masivas. Las plantillas proporcionan uniformidad y comodidad, mientras que la jerarquía proporciona escala y granularidad.

Importar y exportar plantillas

No existe una solución única para todos. Puede tener varias plantillas. Para ahorrar tiempo, clone una plantilla y modifíquela en la interfaz de usuario o expórtela para que la modificación sin conexión o mediante programación se importe más adelante.

Anulación de la plantilla

Las plantillas se aplican a los sitios, que se aplican a los dispositivos. Las plantillas se utilizan para estandarizar las configuraciones, pero siempre existen excepciones. En lugar de crear una plantilla ligeramente diferente para un sitio, anule la configuración de la plantilla en el dispositivo.

Política de aplicación a nivel organizacional