Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de plantillas de borde WAN para firewalls de la serie SRX

La plantilla de borde WAN de Juniper Mist™ WAN Assurance le permite definir características comunes de radio, incluidas las interfaces WAN, las reglas de dirección del tráfico y las políticas de acceso. A continuación, aplique estas configuraciones al firewall de la serie SRX de Juniper Networks® desplegado como un dispositivo perimetral WAN. Cuando se asigna un dispositivo perimetral WAN a un sitio, el dispositivo adopta automáticamente la configuración de la plantilla asociada. Este proceso automático le permite administrar y aplicar configuraciones consistentes y estandarizadas en toda su infraestructura de red, agilizando el proceso de configuración.

Nota:

La configuración realizada en el dispositivo de borde WAN a través del panel de Mist anula cualquier configuración realizada a través de la CLI del dispositivo.

Puede tener una o más plantillas para sus dispositivos radiales.

En esta tarea, creará y configurará una plantilla de borde WAN para un dispositivo radial en el portal de nube de Juniper Mist™.

Configurar una plantilla de borde WAN

Para configurar una plantilla de borde de WAN:

  1. En el portal de Juniper Mist™, haga clic en Organización > Plantillas de borde WAN > WAN. Aparecerá una lista de plantillas existentes, si las hay.
  2. Haga clic en el botón Crear plantilla en la esquina superior derecha.
    Nota:

    También puede crear una plantilla de borde WAN importando un archivo de notación de objetos JavaScript (JSON) mediante la opción Importar perfil .

  3. En el cuadro que aparece, escriba el nombre de la plantilla, haga clic en Tipo y seleccione Radios y, a continuación, haga clic en Crear.
    Figura 1: Seleccione el tipo Select the Template Type de plantilla

    Esta es una ilustración que muestra los elementos de la GUI en la página de configuración de la plantilla de borde de WAN.

    Figura 2: Opciones de configuración de la plantilla de borde de WAN WAN Edge Template Configuration Options
  4. Complete las configuraciones de acuerdo con los detalles proporcionados en la Tabla 1.
    Tabla 1: Opciones de perfil de borde de WAN
    Descripción de los campos
    Nombre Nombre del perfil. Introduzca un nombre de perfil único con hasta 64 caracteres.
    Tipo Tipo de perfil de borde WAN. Seleccione una de las siguientes opciones:
    • Independiente: para administrar un dispositivo independiente en su sitio.

    • Radio: para administrar un dispositivo radial que se conecta a un dispositivo concentrador en su configuración.

    NTP La dirección IP o el nombre de host del servidor del protocolo de tiempo de red (NTP). NTP se utiliza para sincronizar los relojes del conmutador y otros dispositivos de hardware en Internet.
    Se aplica al dispositivo Sitio para asociar la plantilla de borde de WAN. El menú desplegable muestra una lista de los dispositivos de borde WAN que se agregaron al inventario del sitio actual.
    Configuración de DNS Dirección IP o nombres de host de servidores del Sistema de nombres de dominio (DNS). Los dispositivos de red utilizan los servidores de nombres DNS para resolver nombres de host en direcciones IP.
    Conectores de borde seguro Detalles del conector Secure Edge. Juniper Secure Edge realiza inspecciones de tráfico para los dispositivos de borde WAN administrados por el portal Juniper Mist Cloud.
    WAN Detalles de las interfaces WAN. Esta interfaz WAN corresponde a la interfaz WAN en el concentrador. Es decir, Mist crea un túnel VPN IPsec entre la interfaz WAN del concentrador y la interfaz WAN en el radio. Para cada uno de los vínculos WAN, puede definir la interfaz física, el tipo de WAN (Ethernet o DSL), la configuración IP y los puntos de conexión del concentrador de superposición para las interfaces. Consulte Agregar interfaces WAN a la plantilla.
    LAN Interfaces LAN. Interfaces LAN que conectan el segmento LAN. Puede asignar las redes, crear VLAN y configurar direcciones IP y opciones de DHCP (ninguna, retransmisión o servidor). Consulte Agregar una interfaz LAN.
    Dirección del tráfico Rutas de dirección. Defina diferentes rutas que el tráfico puede tomar para llegar a su destino. Para cualquier política de dirección de tráfico, puede incluir rutas para que el tráfico atraviese, así como las estrategias para utilizar esas rutas. Consulte Configurar políticas de dirección de tráfico.
    Políticas de aplicación Políticas para aplicar reglas para el tráfico. Defina las políticas de red (origen), aplicación (destino), dirección de tráfico y acción de política. Consulte Configurar directivas de aplicación.
    Enrutamiento Opciones de enrutamiento para enrutar el tráfico entre el hub y los radios. Puede habilitar el enrutamiento subyacente del Protocolo de puerta de enlace de borde (BGP), donde las rutas se aprenden dinámicamente o utilizan el enrutamiento estático para definir rutas manualmente.
    Configuración de CLI Opción de CLI. Para cualquier configuración adicional que no esté disponible en la GUI de la plantilla, aún puede configurarla mediante los comandos set de CLI.
  5. Haga clic en Guardar.

Agregar interfaces WAN a la plantilla

La interfaz WAN en el radio corresponde a la interfaz WAN en el concentrador. Es decir, Mist crea un túnel VPN IPsec entre la interfaz WAN del concentrador y la interfaz WAN en el radio.

En esta tarea, agregue dos interfaces WAN a la plantilla de borde de WAN.

Para agregar interfaces WAN a la plantilla:

  1. Desplácese hacia abajo hasta la sección WAN y haga clic en Agregar WAN para abrir el panel Agregar configuración de WAN.
  2. Propina: Cuando trabaje en pantallas de configuración, busque los indicadores VAR. Los campos con este indicador permiten variables de sitio.

    Los campos con esta etiqueta también muestran las variables coincidentes (si están configuradas) a medida que comienza a escribir una variable específica en ella. Este campo enumera las variables de todos los sitios de la organización.

    La lista de variables de toda la organización se puede ver usando GET /api/v1/orgs/:org_id/vars/search?var=*. Esta lista se rellena a medida que se agregan variables en la configuración del sitio.

    Complete la configuración de acuerdo con los detalles proporcionados en la Tabla 2.
    Tabla 2: Opciones de configuración de la interfaz WAN
    Campos Interfaz WAN 1 Interfaz WAN 2
    Nombre (una etiqueta y no una tecnología) INET MPLS
    Tipo de WAN Ethernet Ethernet
    Interfaz ge-0/0/0 ge-0/0/3
    VLAN ID - -
    Configuración IP DHCP Estática
      • Dirección IP={{WAN1_PFX}}.2

      • longitud del prefijo = 24

      • Puerta de enlace={{WAN1_PFX}}.1

    TDR de origen Interfaz Interfaz
    Punto de conexión del concentrador de superposición (generado automáticamente). hub1-INET, hub2-INET (perfil BFD de banda ancha) hub1-MPLS y hub2-MPLS

    La figura 3 muestra una lista de interfaces WAN que ha creado.

    Figura 3: Resumen de WAN Interfaces Summary interfaces WAN

Agregar una interfaz LAN

La configuración de la interfaz LAN identifica el origen de la solicitud a partir del nombre de la red que especifique en la configuración de LAN.

Para agregar una interfaz LAN:

  1. Desplácese hacia abajo hasta el panel LAN y haga clic en Agregar LAN para abrir el panel Agregar configuración de LAN.
  2. Complete la configuración de acuerdo con los detalles proporcionados en la Tabla 3.
    Propina: Cuando trabaje en pantallas de configuración, busque los indicadores VAR. Los campos con este indicador permiten variables de sitio.

    Los campos con esta etiqueta también muestran las variables coincidentes (si están configuradas) a medida que comienza a escribir una variable específica en ella. Este campo enumera las variables de todos los sitios de la organización.

    La lista de variables de toda la organización se puede ver usando GET /api/v1/orgs/:org_id/vars/search?var=*. Esta lista se rellena a medida que se agregan variables en la configuración del sitio.

    Tabla 3: Detalles de la interfaz LAN
    Campos Interfaz LAN
    Red SPOKE-LAN1 (Seleccione de la lista de redes que aparece. Cuando lo haga, la configuración restante se completará automáticamente).
    Interfaz ge-0/0/3
    Dirección IP {{SPOKE_LAN1_PFX}}.1
    Longitud del prefijo 24
    VLAN sin etiquetar No
    DHCP No

    La figura 4 muestra la lista de interfaces LAN que creó.

    Figura 4: Resumen de la interfaz Summary of LAN Interface LAN

Deshabilitar puertos de borde WAN

Hay muchas razones por las que puede ser necesario deshabilitar un puerto de borde WAN. En escenarios de depuración, por ejemplo, deshabilitar un puerto y luego habilitarlo nuevamente puede desencadenar el restablecimiento de procesos, lo que puede ayudar a resolver problemas.

También es posible que desee deshabilitar un puerto cuando está configurando una conexión, pero no está listo para poner la conexión en servicio, o si ha identificado un dispositivo malicioso o problemático, puede deshabilitar el puerto para deshabilitar rápidamente el dispositivo hasta que el dispositivo se pueda quitar o reparar.

Para deshabilitar los puertos de borde WAN:

  1. Vaya a Plantillas de borde de WAN > de organización.
  2. Haga clic en la plantilla de borde WAN adecuada.
  3. Desplácese hacia abajo hasta la sección WAN o LAN y haga clic en el borde WAN adecuado.
  4. En la sección Interfaz de la ventana, seleccione la casilla de verificación Deshabilitado. Esto deshabilitará administrativamente el puerto del dispositivo WAN Edge para la interfaz especificada.

  5. Haga clic en Guardar en la parte inferior de la ventana para guardar los cambios.
  6. Haga clic en Guardar en la esquina superior derecha de la página de la plantilla.

Configurar políticas de dirección de tráfico

Al igual que con los perfiles de concentrador, la dirección del tráfico en una red de Juniper Mist es donde se definen las diferentes rutas que el tráfico de aplicaciones puede tomar para atravesar la red. Las rutas que configure dentro de la dirección de tráfico también determinarán la zona de destino.

Para configurar políticas de dirección de tráfico:

  1. En el portal de Juniper Mist, desplácese hacia abajo hasta la sección Dirección de tráfico y haga clic en Agregar dirección de tráfico para mostrar el panel de configuración de Dirección de tráfico.
  2. Complete la configuración de acuerdo con los detalles proporcionados en la Tabla 4.
    Tabla 4: Configuración de la política de dirección de tráfico
    Campos Política de dirección de tráfico 1 Política de dirección de tráfico 2
    Nombre SPOKE-LANS Superposición
    Estrategia Ordenó ECMP
    PATHS (Para los tipos de ruta, puede seleccionar las redes LAN y WAN creadas anteriormente como puntos de conexión).
    • Tipo: LAN

    • Red: LAN1

    • Tipo: WAN

    • Red
      • hub1-INET

      • hub2-INET

      • hub1-MPLS

      • hub2-MPLS

    La figura 5 muestra la lista de directivas de dirección de tráfico que ha creado.

    Figura 5: Resumen Traffic-Steering Policies Summary de las políticas de dirección del tráfico

Configurar directivas de aplicación

En una red de Mist, las políticas de aplicación son donde se define qué red y usuarios pueden acceder a qué aplicaciones, y según qué política de dirección de tráfico. La configuración de Redes/Usuarios determina la zona de origen. La configuración de Aplicación + Dirección de tráfico determina la zona de destino. Además, puede asignar una acción de Permitir o Denegar. Mist evalúa y aplica las políticas de aplicación en el orden en que usted las enumera.

Tenga en cuenta los requisitos de flujo de tráfico de la figura 6. La imagen muestra un modelo de tráfico inicial básico para una configuración de VPN corporativa (no se muestran el tercer dispositivo radial ni el segundo dispositivo concentrador).

Figura 6: Flujo y distribución Traffic Flow and Distribution del tráfico

Para cumplir los requisitos anteriores, debe crear las siguientes directivas de aplicación:

  • Política 1: Permite el tráfico desde sitios radiales al concentrador. En este caso, el prefijo de destino utilizado en los grupos de direcciones representa la interfaz LAN de dos concentradores.

  • Política 2: permite el tráfico de radio a radio a través de la LAN corporativa a través de una superposición.

    Nota:

    Esto puede no ser factible en el mundo real, excepto en redes MPLS costosas con IP administradas. Las IP administradas envían tráfico directamente al otro radio. Este tipo de tráfico generalmente fluye a través de un dispositivo concentrador

  • Política 3: Permite el tráfico desde el hub y la DMZ conectada al hub a los dispositivos radiales.

  • Política 4: permite que el tráfico con destino a Internet fluya desde los dispositivos radiales al dispositivo central. A partir de ahí, el tráfico irrumpe en Internet. En este caso, el concentrador aplica la TDR de origen al tráfico y enruta el tráfico a una interfaz WAN, tal como se define en el perfil del concentrador. Esta regla es general, por lo que debe colocarla después de las reglas específicas. Porque Mist evalúa las políticas de aplicación en el orden en que se colocan en la lista de políticas.

Para configurar directivas de aplicación:

  1. En el portal de Juniper Mist, desplácese hacia abajo hasta la sección Directiva de aplicación, haga clic en Agregar directiva para agregar una nueva directiva a la lista de directivas.
  2. Complete la configuración de acuerdo con los detalles proporcionados en la Tabla 5.
    Acción
    Tabla 5: Configuración de directivas de aplicación
    S.No. Nombre de la regla de red Dirección de destino
    1 Spoke-to-Hub-DMZ LAN1 RADIO-1 Pasar HUB1-LAN1 + HUB2-LAN1 Superposición
    2 Spoke-to-Spoke-via-Hub LAN1 RADIO-1 Pasar LAN1 RADIO-1 Superposición
    3 Hub-DMZ a radial HUB1-LAN1 + HUB2-LAN1 Pasar LAN1 RADIO-1 SPOKE-LANS
    4 Internet-via-Hub-CBO LAN1 RADIO-1 Pasar CUALQUIER Superposición
    Nota:
    • La nube de Juniper Mist evalúa y aplica las políticas de las aplicaciones en el orden en que se enumeran dichas políticas. Puede mover una política determinada hacia arriba o hacia abajo en el orden haciendo clic en el botón de puntos suspensivos (...).

    • Debe crear políticas de dirección para usarlas con los firewalls de la serie SRX.

    La figura 7 muestra la lista de directivas de aplicación que ha creado.
    Figura 7: Resumen Application Policy Summary de políticas de aplicación
  3. Permitir pings del Protocolo de mensajes de control de Internet (ICMP) para la depuración y para comprobar la conectividad del dispositivo.

    La configuración de seguridad predeterminada para los firewalls de la serie SRX no permite solicitudes de ping ICMP desde el dispositivo LAN a la interfaz local del enrutador perimetral WAN. Le recomendamos que pruebe la conectividad antes de que el dispositivo intente conectarse a la red externa. También recomendamos que permita las solicitudes de ping ICMP para la depuración y para comprobar la conectividad del dispositivo.

    En el firewall de la serie SRX, utilice la siguiente instrucción de configuración de CLI para permitir las solicitudes de ping a la interfaz LAN local para la depuración:

Configurar plantillas de borde WAN específicas de cada dispositivo

La configuración de dispositivos se simplifica con las plantillas de borde de WAN que siguen el proceso de incorporación de dispositivos. Estas plantillas de borde de WAN se pueden personalizar para implementaciones únicas en todos los dispositivos de borde. Mist AI de Juniper Networks se encuentra en una posición única en la industria, ya que las plantillas de borde WAN de Mist AI se pueden aplicar a cualquier modelo, independientemente del proveedor. Además, las plantillas de borde de WAN pueden mezclar y combinar diferentes modelos en una sola plantilla, lo que agiliza la fase de configuración e implementación.

Para configurar manualmente las plantillas de borde WAN para los firewalls de la serie SRX, consulte Configurar una plantilla de borde WAN.

Plantillas de borde WAN específicas de dispositivos

El aprovechamiento de hardware selecto de Juniper Networks con la SD-WAN de Mist AI supone una ventaja importante. La configuración se simplifica para muchos firewalls de la serie SRX de Juniper Networks®, que tienen plantillas específicas de dispositivos que asignan automáticamente interfaces WAN y LAN y definen redes LAN para la conectividad.

Estas plantillas son únicas para cada modelo de dispositivo. Sin ninguna entrada manual después de seleccionar el dispositivo y asignar un nombre al borde de WAN, el dispositivo de borde WAN especificado por un usuario se rellena previamente con los valores. La figura 8 muestra que la plantilla de borde WAN serie SRX genera varios valores, incluidas interfaces Ethernet para LAN y WAN con valores DHCP e IP relevantes.

Figura 8: Ejemplo de plantilla Sample of SRX Series WAN Edge Template de borde WAN serie SRX

Además, el portal de Juniper Mist rellena una política de dirección de tráfico. Esto permite a Juniper Mist enviar tráfico a través de nuestra conexión WAN a cualquier aplicación de Mist con un destino general de cuatro ceros.

Al aplicar una plantilla de borde de WAN, puede observar que las directivas de aplicación, las redes y las aplicaciones reciben actualizaciones automáticas. La figura 9 muestra un ejemplo de directivas de aplicación.

Figura 9: Políticas de aplicación después de aplicar la plantilla Application Policies After Applying WAN Edge Template de borde de WAN

La SD-WAN de Juniper Mist AI incluye los siguientes modelos de dispositivos con plantillas de borde WAN preconfiguradas para firewalls de la serie SRX:

  • SRX300
  • SRX320-POE
  • SRX320
  • SRX340
  • SRX345
  • SRX380
  • SRX550M
  • SRX1500
  • SRX1600*
  • SRX4100
  • SRX4200
  • SRX4600
  • SRX2300*
  • SRX4300*

* Indica la compatibilidad prevista de la WAN de Juniper Mist AI para el nuevo modelo más adelante en 2024.

Las plantillas específicas del dispositivo de borde WAN proporcionan una configuración de red básica en un solo paso y permiten una configuración reutilizable y coherente para cada enrutador con Session Smart y dispositivo de firewall de la serie SRX que implemente. La plantilla proporciona interfaces WAN preconfiguradas y específicas para cada dispositivo, interfaces LAN, una política de dirección de tráfico y una política de aplicación. Todo lo que tiene que hacer es nombrar la plantilla y seleccionar el tipo de dispositivo.

Para seleccionar una plantilla de borde WAN específica para un dispositivo:

  1. En el portal de Juniper Mist, seleccione Organización > Plantillas de borde WAN > WAN.
  2. Seleccione Crear plantilla en la esquina superior derecha para abrir una nueva página de plantilla.
  3. Escriba el nombre de la plantilla.
  4. Haga clic en la casilla de verificación Crear a partir del modelo de dispositivo .
  5. Seleccione el modelo de su dispositivo en el cuadro desplegable.
    Figura 10: Configuración de la plantilla Configure Device-Specific WAN Edge Template de borde WAN específica del dispositivo
  6. Haga clic en Crear.

La interfaz de usuario de Juniper Mist muestra la plantilla de dispositivo completa. Ahora tiene una plantilla de borde de WAN en funcionamiento que puede aplicar a muchos sitios y dispositivos de su organización.

Asignar al sitio

Con la plantilla configurada, debe guardarla y asignarla al sitio donde se implementará el dispositivo de borde WAN.

  1. Haga clic en el botón Asignar al sitio en la parte superior de la página de la plantilla.
  2. Seleccione un sitio de la lista donde desea aplicar la plantilla.
  3. Haga clic en Aplicar.
  4. Finalmente, todo lo que queda es asociar el dispositivo con su sitio, consulte Incorporar firewalls de la serie SRX para la configuración de WAN.