EN ESTA PÁGINA

Configurar un perfil de concentrador
Configurar LAN en el perfil de concentrador
Configurar políticas de dirección de tráfico
Configurar una directiva de aplicación
Crear un segundo perfil de concentrador clonando el perfil de concentrador existente
Superposición de concentrador a concentrador

Configurar perfiles de concentrador para firewalls de la serie SRX

Cada dispositivo concentrador en una topología de nube de Juniper Mist™ debe tener su propio perfil. Los perfiles de concentrador son una forma conveniente de crear una superposición y asignar una ruta para cada vínculo WAN en esa superposición en la garantía de WAN de Juniper.

La diferencia entre un perfil de concentrador y una plantilla de borde WAN es que se aplica el perfil de concentrador a un dispositivo individual que se encuentra en un sitio de concentrador. Además, las plantillas de borde WAN están vinculadas a sitios radiales que tienen varios dispositivos y enlazadas con la misma plantilla en varios sitios. Cada interfaz de Hub WAN crea un punto de conexión de superposición para los radios. Las interfaces WAN radiales asignan las interfaces apropiadas de Hub WAN, definiendo la topología. Los perfiles de concentrador impulsan la adición y eliminación de rutas en la superposición.

Cuando crea un perfil de concentrador para el firewall de la serie SRX de Juniper Networks®, la nube de Mist genera e instala los certificados SSL automáticamente. También configura sondas de enlace ascendente WAN para la detección de conmutación por error.

En esta tarea, se crea un perfil de concentrador y, a continuación, se clona el mismo perfil para crear un segundo perfil de concentrador en el portal de la nube de Juniper Mist.

Configurar un perfil de concentrador

Un perfil de concentrador comprende el conjunto de atributos que se asocian con un dispositivo de concentrador determinado. Los perfiles de concentrador incluyen nombre, LAN, WAN, dirección de tráfico, políticas de aplicación y opciones de enrutamiento. Puede asignar el perfil de concentrador a un dispositivo de concentrador y, después de cargar un perfil de concentrador en el sitio, el dispositivo asignado al sitio recoge los atributos de ese perfil de concentrador.

Para configurar un perfil de concentrador:

En el portal de la nube de Juniper Mist, haga clic en Perfiles de la organización > WAN > Hub.
Aparecerá una lista de perfiles existentes, si los hay.
Haga clic en Crear perfil en la esquina superior derecha.

Nota:
También puede crear un perfil de concentrador importando una notación de objetos JavaScript (archivo JSON) mediante la opción Importar perfil .

Introduzca el nombre del perfil y haga clic en Crear.

En la tabla 1 se resumen las opciones que puede establecer en un perfil de concentrador.

Tabla 1: Opciones de perfil de concentrador
Descripción	del campo
Nombre	El nombre del perfil. Introduzca un nombre único para el perfil. El nombre de perfil puede incluir hasta 64 caracteres. Ejemplo: hub1.
NTP	Dirección IP o nombre de host del servidor de protocolo de tiempo de red (NTP). NTP permite que los dispositivos de red sincronicen sus relojes con un reloj de fuente central en Internet.
Se aplica al dispositivo	Sitio para asociar el perfil del concentrador. El menú desplegable muestra una lista de los dispositivos de borde WAN disponibles en el inventario del sitio actual.
Grupo Hub	Configure un grupo de concentradores especificando un identificador (número) de grupo de concentradores. Los grupos de concentradores se usan para agrupar dispositivos de concentradores de forma lógica. Los grupos de concentradores le ayudan a escalar su arquitectura de concentrador horizontalmente. Al asignar un conjunto de dispositivos a un grupo de concentradores, los radios pueden formar rutas de superposición a los puntos de conexión del concentrador dentro del grupo. Cada grupo de concentradores está limitado a 31 puntos de conexión de concentrador.
Configuración de DNS	Dirección IP o nombre de host de los servidores del Sistema de nombres de dominio (DNS). Los dispositivos de red utilizan los servidores de nombres DNS para resolver nombres de host en direcciones IP.
Conectores de borde seguro	Detalles del conector Secure Edge. Secure Edge realiza inspecciones de tráfico para los dispositivos de borde WAN que administra el portal de nube de Juniper Mist.
WAN	Detalles de la interfaz WAN. El perfil de concentrador utiliza estos detalles para crear un extremo de superposición para los radios. Para cada uno de los vínculos WAN, puede definir la interfaz física, el tipo de WAN (Ethernet o DSL), la configuración de IP y los extremos del concentrador de superposición para las interfaces. Consulte Agregar interfaces WAN al perfil de concentrador.
LAN	Detalles de la interfaz LAN. En esta sección se enumera el lado del concentrador de las interfaces LAN que conectan el concentrador al segmento LAN. Puede asignar las redes, crear VLAN y configurar direcciones IP y opciones de DHCP (ninguna, retransmisión o servidor). Consulte Configurar LAN en el perfil de concentrador.
Dirección del tráfico	Rutas de dirección. Define las diferentes rutas que puede tomar el tráfico para llegar a su destino. Para cualquier política de dirección de tráfico, puede incluir rutas para que el tráfico atraviese, así como las estrategias para utilizar esas rutas. Consulte Configurar políticas de dirección de tráfico.
Políticas de aplicación	Políticas para aplicar reglas para el tráfico. Defina las políticas de red (origen), aplicación (destino), dirección de tráfico y acción de política. Consulte Configurar una directiva de aplicación.
Enrutamiento	Opciones de enrutamiento para enrutar el tráfico entre el hub y los radios. Puede habilitar el enrutamiento subyacente del Protocolo de puerta de enlace de borde (BGP), en el que las rutas se aprenden dinámicamente o utilizan el enrutamiento estático para definir rutas manualmente. Ver
Configuración de CLI	Comandos de configuración de CLI. Si desea configurar opciones que no están disponibles en la GUI de la plantilla, puede configurarlas mediante comandos de CLI en el formato set .

Haga clic en Guardar.

Agregar interfaces WAN al perfil de concentrador

Cree interfaces WAN para el perfil del concentrador. Las interfaces WAN se convierten en la conexión a través de SD-WAN. El perfil de concentrador crea automáticamente una superposición de puntos de conexión para cada interfaz WAN. Tenga en cuenta que los puntos de conexión del concentrador de superposición es donde se le informa al radio (rama) sobre los puntos de conexión del concentrador.

Para agregar interfaces WAN al perfil de concentrador:

Desplácese hacia abajo hasta la sección WAN y haga clic en Agregar WAN para abrir el panel Agregar configuración de WAN.

Complete las configuraciones de acuerdo con los detalles proporcionados en la Tabla 2.

Tabla 2: Configuración de la interfaz WAN
Interfaz WAN	de campo	Interfaz WAN 2
Nombre (una etiqueta y no una tecnología)	INET	MPLS
Punto de conexión del concentrador de superposición (generado automáticamente)	hub1-INET	hub1-MPLS
Tipo de WAN	Ethernet	Ethernet
Interfaz	ge-0/0/0	ge-0/0/1
VLAN ID	-	-
Dirección IP	{{WAN0_PFX}}.254	{{WAN1_PFX}}.254
Longitud del prefijo	24	24
Entrada	{{WAN0_PFX}}.1	{{WAN1_PFX}}.1
TDR de origen	Compruebe la interfaz.	Compruebe la interfaz.
Anulación para IP pública	Marque Anular IP pública. Proporcionar IP pública={{WAN0_PUBIP} }	Marque Anular IP pública. Proporcionar IP pública={{WAN1_PUBIP} }
IP pública	{{WAN0_PUBIP}}	{{WAN1_PUBIP}}

Nota:

Utilice la traducción de direcciones de red (NAT) junto con la publicidad de la dirección IP pública, a menos que la dirección WAN sea una dirección enrutable públicamente.

Haga clic en Guardar

La figura 1 muestra la lista de interfaces WAN que creó.

Figura 1: Interfaces WAN configuradas

Configurar LAN en el perfil de concentrador

El lado concentrador de las interfaces LAN conecta un dispositivo concentrador al segmento LAN.

En la sección LAN de la página de perfil del concentrador, puede configurar las opciones, como la dirección IP, DHCP, VR personalizada e interfaz LAN. Las opciones de configuración de LAN en el perfil de concentrador son las mismas que las de la plantilla de borde de WAN. Los pasos enumerados en Configurar LAN también se aplican a la configuración de LAN en el perfil de concentrador.

Para ver los valores de configuración de ejemplo de la interfaz LAN, consulte la Tabla 3.

Tabla 3: Configuración de la interfaz LAN
Interfaz LAN	de campo
Red	HUB1-LAN1 (red existente seleccionada en la lista desplegable)
Interfaz	ge-0/0/4
Dirección IP	{{HUB1_LAN1_PFX}}.1
Longitud del prefijo	24
VLAN sin etiquetar	No
DHCP (en inglés)	No

Configurar políticas de dirección de tráfico

La dirección del tráfico es donde se definen las diferentes rutas que el tráfico de aplicaciones puede tomar para atravesar la red. Las rutas que configure dentro de la dirección de tráfico determinarán la zona de destino. Para cualquier política de dirección de tráfico, debe definir las rutas que atravesará el tráfico y las estrategias para utilizar esas rutas. Las estrategias incluyen:

Ordenado: comienza con una ruta especificada y conmutación por error a la(s) ruta(s) de copia de seguridad cuando sea necesario
Ponderado: distribuye el tráfico entre los enlaces de acuerdo con un sesgo ponderado, determinado por un costo que ingrese.
Múltiples rutas de igual costo: equilibra la carga del tráfico por igual en varias rutas

Cuando se aplica un perfil de concentrador a un dispositivo, la política de dirección del tráfico determina la superposición, las interfaces WAN y LAN, el orden de las políticas y el uso de la ruta múltiple de igual costo (ECMP). La política también determina cómo interactúan las interfaces o una combinación de interfaces para dirigir el tráfico.

Para configurar políticas de dirección de tráfico:

Desplácese hacia abajo hasta la sección Dirección de tráfico y haga clic en Agregar dirección de tráfico para mostrar el panel de configuración de Dirección de tráfico.

Configure tres políticas de dirección de tráfico: una para la superposición, otra para la capa subyacente y otra para la ruptura central, de acuerdo con los detalles proporcionados en la Tabla 4.

Tabla 4: Configuración de la política de dirección del tráfico
Política de dirección del tráfico sobre	el terreno	Política de dirección del tráfico 2	Política de dirección del tráfico 3
Nombre	Base subyacente (HUB-LAN)	Superponer	Ruptura central
Estrategia	Ordenado	ECMP	Ordenado
CAMINOS Para los tipos de ruta, las redes LAN y WAN existentes están disponibles para su selección como puntos de conexión.	Tipo: LAN Red —HUB1-LAN1	Tipo: WAN Red : hub1-INET y hub1-MPLS	Tipo: WAN Red : WAN: INET y WAN: MPLS

En la figura 2 se muestra la lista de las directivas de dirección de tráfico que ha creado.

Figura 2: Políticas

de dirección del tráfico

Configurar una directiva de aplicación

Las políticas de aplicación son donde se define qué red y usuarios pueden acceder a qué aplicaciones, y de acuerdo con qué política de dirección de tráfico. La configuración de Redes/Usuarios determina la zona de origen. La configuración de la ruta de dirección de tráfico y aplicaciones determina la zona de destino. Además, puede asignar una acción de política: permitir o denegar para permitir o bloquear el tráfico. Mist evalúa y aplica las políticas de aplicación en el orden en que se enumeran en el portal. Puede utilizar las flechas arriba y abajo para cambiar el orden de las directivas.

La figura 3 muestra diferentes requisitos de dirección del tráfico en esta tarea. La imagen muestra un modelo de tráfico inicial básico para una configuración de VPN corporativa (no se muestran el tercer dispositivo radial ni el segundo dispositivo concentrador).

Figura 3: Topología Traffic-Direction Topology

de dirección de tráfico

En esta tarea, se crean las siguientes reglas de aplicación para permitir el tráfico:

Regla 1: permite que el tráfico de los sitios radiales llegue al concentrador (y a un servidor de la DMZ conectado al dispositivo del concentrador).
Regla 2: Permite que el tráfico de los servidores de la DMZ conectada al concentrador llegue a los dispositivos radiales.
Regla 3: Permite que el tráfico de los dispositivos radiales llegue a los dispositivos radiales que se fijan a través de un dispositivo concentrador
Regla 4: Permite el tráfico enlazado a Internet desde el dispositivo concentrador a Internet (ruptura local). En esta regla, defina el destino como "Cualquiera" con la dirección IP 0.0.0.0/0. El tráfico utiliza la interfaz subyacente WAN con SNAT aplicado para llegar a las direcciones IP en Internet como una ruptura local.
Nota:
Evite crear reglas con el mismo nombre de destino y dirección IP 0.0.0.0/0. Si es necesario, cree destinos con nombres diferentes utilizando la dirección IP 0.0.0.0/0.
Desde los dispositivos radiales a Internet directamente (sin pasar por el dispositivo hub). En esta regla, defina el destino como "Cualquiera" con la dirección IP 0.0.0.0/0. El tráfico utiliza la interfaz subyacente WAN con SNAT aplicado para llegar a las direcciones IP en Internet como una ruptura local. Este método implementa una ruptura central en el concentrador para todos los dispositivos radiales.

Para configurar una directiva de aplicación:

Desplácese hacia abajo hasta la sección Directiva de aplicación, haga clic en Agregar directiva para crear una nueva regla en la lista de directivas.
Nota:
- Para los firewalls de la serie SRX, debe asociar una política de dirección de tráfico a la directiva de aplicación.
- El orden de las directivas de aplicación en la lista de directivas es muy importante para los firewalls de la serie SRX.
Haga clic en la columna Nombre y asigne un nombre a la directiva y, a continuación, haga clic en la marca de verificación azul para aplicar los cambios.

Figura 4: Agregar una nueva directiva de aplicación

Cree reglas de aplicación de acuerdo con los detalles proporcionados en la Tabla 5.

Acción

Tabla 5: Configuración de reglas de directiva de aplicación
No. (Orden de política)	Nombre de la regla	de red		Dirección de	destino
1	Spoke-to-Hub-DMZ	TODO. LAN1 RADIO-1	Pasar	HUB1-LAN1	HUB-LAN
2	Hub-DMZ a radios	HUB1-LAN1	Pasar	LAN1 RADIO-1	Superponer
3	Spoke-to-Spoke-on-Hub-Hairpin	TODO. LAN1 RADIO-1	Pasar	LAN1 RADIO-1	Superponer
4	Hub-DMZ a Internet	HUB1-LAN1	Pasar	CUALQUIER	LBO
5	Spokes-Traffic-CBO-on-Hub	TODO. LAN1 RADIO-1	Pasar	CUALQUIER	LBO

En la figura 5 se muestra una lista de las directivas de aplicación que ha creado.

Figura 5: Resumen de Application Policy Summary

la política de aplicación

En la ilustración anterior, las marcas de contador verdes indican las directivas que ha creado para los requisitos de tráfico de la figura 3.

Permitir pings ICMP para la depuración y para comprobar la conectividad del dispositivo.
La configuración de seguridad predeterminada para los firewalls de la serie SRX no permite pings ICMP desde el dispositivo LAN a la interfaz local del enrutador perimetral WAN. Es posible que deba probar la conectividad antes de que los dispositivos intenten conectarse a la red externa. Permite pings ICMP para la depuración y para comprobar la conectividad del dispositivo.

En un firewall de la serie SRX, puede usar la siguiente instrucción de configuración de CLI para permitir pings a la interfaz LAN local para la depuración.

Crear un segundo perfil de concentrador clonando el perfil de concentrador existente

Los dispositivos Hub son únicos en toda la red. Debe crear un perfil individual para cada dispositivo concentrador. Juniper Mist™ le permite crear un perfil de concentrador clonando el perfil existente y aplicando modificaciones cuando sea necesario.

Para crear un segundo perfil de concentrador clonando un perfil de concentrador existente:

En el portal de la nube de Juniper Mist, haga clic en Perfiles de la organización > WAN > Hub.
Aparecerá una lista de perfiles de hub existentes, si los hay.
Haga clic en el perfil de concentrador (ejemplo: hub1) que desea clonar. Se abre la página de perfil del perfil de hub seleccionado.
En la esquina superior derecha de la pantalla, haga clic en Más y seleccione Clonar.

Figura 6: Crear un nuevo perfil de concentrador mediante la opción Clonar
Asigne un nombre al nuevo perfil (ejemplo: hub2) y haga clic en Clonar.

Si ve algún error al asignar un nombre al perfil, actualice su navegador.
Comience a configurar el perfil. Dado que ha utilizado variables al crear el perfil de concentrador original, no es necesario configurar todas las opciones desde el principio. Solo debe cambiar las configuraciones necesarias para reflejar los detalles del HUB2. Por ejemplo, cambie Red a HUB2-LAN1 y Dirección IP a {{HUB2_LAN1_PFX}}.1.

Figura 7: Editar un perfil clonado
Cambie la interfaz LAN para incluir HUB2. Ejemplo: HUB2-LAN1 y {{HUB2_LAN1_PFX}}.1
Confirma que las variables de la configuración hayan cambiado para reflejar los detalles del perfil de hub2. Ejemplo: Las definiciones de superposición han cambiado a hub2-INET y hub2-MPLS.

Figura 8: Política actualizada de dirección del tráfico
Desplácese hacia abajo hasta el panel DIRECCIÓN DE TRÁFICO y edite la entrada para cambiar las rutas a LAN: HUB2-LAN1.

Figura 9: Actualizar rutas en una política de dirección de tráfico

Actualice las reglas de aplicación de acuerdo con los detalles proporcionados en la Tabla 6. Por ejemplo, siempre que corresponda, cambie HUB1-LAN a HUB2-LAN.

Acción

Tabla 6: Configuración de reglas de aplicación
S.No.	Nombre de la regla	de red		Dirección de	destino
1	Spoke-to-Hub-DMZ	TODO. LAN1 RADIO-1	Pasar	HUB2-LAN1	HUB-LAN
2	Hub-DMZ a radios	HUB2-LAN1	Pasar	LAN1 RADIO-1	Superponer
3	Spoke-to-Spoke-on-Hub-Hairpin	TODO. LAN1 RADIO-1	Pasar	LAN1 RADIO-1	Superponer
4	Hub-DMZ a Internet	HUB2-LAN1	Pasar	CUALQUIER	LBO
5	Spokes-Traffic-CBO-on-Hub	TODO. LAN1 RADIO-1	Pasar	CUALQUIER	LBO

La figura 10 muestra los detalles de las directivas de aplicación actualizadas después de guardar los cambios.

Figura 10: Resumen Updated Application Policy Summary

actualizado de la política de aplicación

Superposición de concentrador a concentrador

La característica de superposición de concentrador a concentrador le permite formar una ruta de par entre dos dispositivos de concentrador. Puede utilizar la ruta de superposición de concentrador a concentrador como ruta preferida para el tráfico del centro de datos que se origina en sitios. Además, estas superposiciones de concentrador a concentrador pueden servir como rutas de conmutación por error en escenarios que implican conexiones de concentrador a radio.

Configurar la superposición de concentrador a concentrador
Verificación

Configurar la superposición de concentrador a concentrador

Para crear una superposición de concentrador a concentrador, las interfaces WAN de un concentrador se asignan a las interfaces WAN de otro concentrador, formando así una superposición y designando una ruta de tráfico.

Nota:

La superposición de concentrador a concentrador puede utilizar diferentes interfaces WAN en ambos dispositivos concentrador. No es obligatorio que la superposición se forme entre interfaces WAN idénticas en los dos concentradores.

Considere que tiene dos concentradores, el dispositivo concentrador A y el dispositivo concentrador B, y desea establecer una superposición entre ellos.

El dispositivo concentrador A está equipado con dos interfaces WAN: WAN-1-A y WAN-2-A. Debe emparejar estas interfaces WAN con las interfaces WAN del dispositivo Hub B, que son WAN-1-B y WAN-2-B, marcándolas como extremos de concentrador.

Del mismo modo, para el dispositivo concentrador B:

Cuenta con dos interfaces WAN: WAN-1-B y WAN-2-B. Estos deben estar vinculados a las interfaces WAN del dispositivo A del concentrador (WAN-1-A y WAN-2-A) para completar la configuración como puntos de conexión del concentrador.

Siga estos pasos para crear extremos de concentrador:

En el portal de Juniper Mist, seleccione Bordes de WAN y haga clic en el dispositivo concentrador. Asegúrese de que el dispositivo concentrador que seleccione debe formar parte de la topología de concentrador.
Figura 11: Dispositivo de concentrador en topología de concentrador
En la página > Device-NameWAN Edge, vaya a la sección Propiedades y desplácese hacia abajo hasta Perfil de Hub.
Haga clic en el vínculo del perfil de concentrador para abrir la página Perfil de concentrador .
Desplácese hacia abajo hasta la sección WAN y haga clic en una interfaz WAN que desee usar para la superposición.
En la ventana Editar configuración de WAN , desplácese hacia abajo hasta Puntos de conexión de Hub-to-Hub y haga clic en la opción Agregar puntos de conexión de Hub-to-Hub .
Figura 12: Agregar puntos de conexión de hub a hub
1. Seleccione un punto de conexión de concentrador (interfaz WAN) en el menú desplegable. Elija la interfaz WAN del otro dispositivo concentrador para establecer una conexión superpuesta.
  Figura 13: Seleccione la interfaz WAN para superposición
2. Haga clic en Guardar. El punto de conexión del concentrador seleccionado aparece en las columnas Puntos de conexión de concentrador a concentrador en el panel WAN.
Seleccione otra interfaz WAN y repita el mismo procedimiento para agregar otro extremo.
Ahora, ambos puntos de conexión aparecen en las columnas Puntos de conexión de concentrador a concentrador en el panel WAN.
Figura 14: Puntos de conexión de concentrador a concentrador configurados del primer dispositivo de concentrador
Haga clic en Guardar.

Ahora, configuremos las interfaces WAN de otro dispositivo concentrador para completar la configuración como puntos de conexión del concentrador.

En el portal de Juniper Mist, seleccione Bordes de WAN y haga clic en el dispositivo concentrador. Este es el dispositivo concentrador desde el que eligió anteriormente la interfaz WAN para establecer la superposición.
En la página > Device-Nameborde de WAN, vaya a la sección Propiedades y desplácese hacia abajo hasta Perfil de Hub.
Haga clic en el vínculo del perfil de concentrador para abrir la página Perfil de concentrador .
Desplácese hacia abajo hasta la sección WAN y haga clic en una interfaz WAN que desee usar para la superposición.
En la ventana Editar configuración de WAN , desplácese hacia abajo hasta Puntos de conexión de Hub-to-Hub y haga clic en la opción Agregar puntos de conexión de Hub-to-Hub .
1. Seleccione un punto de conexión de concentrador en el menú desplegable. Seleccione la interfaz WAN del mismo dispositivo concentrador que se configuró en el procedimiento anterior
2. Haga clic en Guardar. El punto de conexión del concentrador seleccionado aparece en las columnas Puntos de conexión de concentrador a concentrador en el panel WAN.
Seleccione otra interfaz WAN y repita el mismo procedimiento para agregar otro extremo.
Ahora, ambos puntos de conexión aparecen en las columnas Puntos de conexión de Hub yo Hub en el panel WAN.
Figura 15: Puntos de conexión de concentrador a concentrador configurados del segundo dispositivo de concentrador
Haga clic en Guardar.

Verificación

En el portal de Juniper Mist, puede verificar las superposiciones de concentrador a concentrador establecidas comprobando la topología del dispositivo de borde WAN:

En la página Borde de WAN, la columna Topología muestra Hub/Mesh.

Figura 16: Topología que se muestra como Hub/Mesh Topology Displaying as Hub/Mesh

Vaya a la página WAN Edge del dispositivo y consulte la sección Detalles de la topología . El portal muestra detalles del par y también el estado de la conexión.

Figura 17: Detalles de la topología de superposición de concentrador a concentrador Hub-to-Hub Overlay Topology Details