Juniper NCE-511 AI-drifinn SD-WAN tilvísunararkitektúr

Tæknilýsing

• Vara Nafn: Juniper AI-Driven SD-WAN
• Samþætting: SSE lausn Microsoft
• Birt Dagsetning: 2024-12-16

Upplýsingar um vöru
Juniper AI-Driven SD-WAN samþættist SSE lausn Microsoft til að bjóða upp á netstillingar td.amples fyrir dreifingarsviðsmyndir. Lausnin býður upp á kosti eins og betri netafköst og bjartsýni dreifingaráætlunar.

Notkunarleiðbeiningar fyrir vöru

Stillingarverkflæði
Stillingin fyrrvample felur í sér að búa til og setja upp grunnútibúsniðmát fyrir tengingar tækisins. Áður en stillingar eru settar skaltu ganga úr skugga um að þú hafir nauðsynlegar upplýsingar fyrir hverja síðu, þar á meðal WAN tengilsföng, BGP jafningjavistfangasvið, BGP AS númer, aðgangsheimildir, bandbreiddarkröfur og offramboðslíkan.

Grunnatriði stillinga

1. Búðu til grunnútibúsniðmát fyrir tengingu tækisins.
2. Stilltu IPsec göngin.
3. Associate traffic profiles.
4. View net atvinnumaðurinnfile.
5. Búðu til forrit.
6. Uppfærðu WAN Edge sniðmát.
7. Staðfestu aðgerð.

Stillingarvalkostir
Margir stillingarvalkostir eru fáanlegir með mismunandi offramboðsstigum. Það fer eftir uppsetningunni, þú getur stillt staka eða tvöfalda WAN tengla með SSE lausn Microsoft. Gakktu úr skugga um að fylgja tilgreindum leiðbeiningum fyrir WAN Edge og SSE lausnarstillingar Microsoft.

Juniper AI-drifið SD-WAN og Microsoft SSE Solution Integration—Network Configuration Example (NCE)
Juniper Networks Network Configuration Example (NCE) lýsir því hvernig á að stilla og dreifa Juniper vörum í dæmigerðri notkunaratburðarás. Í þessari NCE finnurðu notkunartilvik með staðfræði, stillingarupplýsingum og staðfestingarúttak fyrir uppsetninguna. Lestu frekar til að skipuleggja og hámarka uppsetningu netkerfisins.

Lausn Hagur

• Þessi netstilling tdample (NCE) lýsir samþættingu sem þú getur náð á milli Juniper AI-Driven SD-WAN og SSE lausn Microsoft. NCE lýsir ávinningi þess að samþætta lausnirnar og veitir mörg tdample stillingar þar á meðal sannprófunarskref.
• Skýbundin Secure Service Edge (SSE) lausn Microsoft inniheldur Microsoft Entra Internet Access og Microsoft Private Access, undir vörumerkinu Global Secure Access. Juniper AI-Driven SD-WAN lausnin veitir óaðfinnanlegan aðgang að SSE lausn Microsoft frá útibúum og skrifstofustöðum. Þessi samþætting er sjálfvirk með því að nota stigstærð tækissniðmát til að létta rekstrarbyrðina við að dreifa þjónustunni á mörgum stöðum. Þessi handbók lýsir því hvernig á að stilla bæði SSE lausn Microsoft og Juniper Mist WAN Edge sniðmátið fyrir tengingar.

Þetta skjal gerir ráðstafanir til staðar sem sýndar eru á mynd 1 á síðu 2. IPsec göng eru stillt á milli Juniper AI-Driven SD-WAN tækisins, einnig þekkt sem Juniper Session Smart Router (SSR), og SSE lausn Microsoft sem notar Secure Edge Connector innan WAN Edge sniðmátsins. Að auki er BGP yfir IPsec tenging stillt til að læra á breytilegan hátt á áfangastaði frá SSE lausn Microsoft. Þegar það er notað fyrir Microsoft 365 aðgang, eru SSE lausnauglýst vistföng Microsoft notuð til að ákvarða umferðina sem send er til þjónustunnar frekar en WAN Edge forritaorðabókina.

Stillingarverkflæði
Röð verkefna í þessari uppsetningu tdample:

1. Búðu til og settu upp grunnútibúsniðmát fyrir tengingar tækisins. Gerð grunnsniðmátsins er utan gildissviðs þessarar handbókar, en WAN Edge sniðmátið gæti verið sjálfstætt eða SD-WAN með öryggi virkt.
2. Stilltu fjarnet innan Microsoft Entra gáttarinnar. Þetta skilgreinir IPsec göngareiginleikana og skilgreinir leiðarendapunkta fyrir aðgengi.
3. Stilltu Secure Edge Connector í tækissniðmátinu. Þetta skapar sérsniðin IPsec göng við SSE lausn Microsoft og skilgreinir dulkóðunarfæribreytur.
4. Stilltu BGP jafningja fyrir SSE lausnaþjónustu Microsoft til að læra Microsoft 365 áfangastaði á virkan hátt.
5. Stilltu forrit til að leyfa að umferð sé stýrt í átt að IPsec göngunum. Þetta forrit verður notað í umsóknarstefnu til að leyfa netkerfi viðskiptavina að fá aðgang að BGP lærðum leiðum.
6. Stilltu forritastefnu með neti og forriti, en enga umferðarstýringarstefnu til að gefa WAN Edge til kynna að leiðartöfluna ætti að nota fyrir lærða áfangastaði.

Skipulagsáætlun
Fyrir uppsetningu verða eftirfarandi upplýsingar að vera tiltækar fyrir hverja síðu:

1. Almenn heimilisfang WAN tengla sem eru notaðir til að ná í SSE lausnaþjónustu Microsoft. Í augnablikinu gætu aðeins kyrrstæð WAN vistföng verið notuð til að ná í þjónustuna.
2. Eitt eða tvö /29 vistfangasvið sem eru í boði fyrir BGP-peering á milli WAN Edge loopback og SSE lausn Microsoft. Þegar óskað er eftir offramboði svæðis, þarf tvö vistfangasvið.
3. BGP AS til notkunar fyrir SSE lausn Microsoft. Þetta gæti verið á persónulegu AS-sviði sem er ónotað annars staðar í fyrirtækjanetinu.
4. Netkerfi og notendur sem fá aðgang að SSE lausn Microsoft.
5. Bandbreidd sem óskað er eftir fyrir hverja síðu. Þetta er notað í fjarstillingu netkerfis innan Microsoft Entra gáttarinnar.
6. Æskilegt offramboðslíkan fyrir hverja síðu. Valkostir fela í sér eitt/tvífalt WAN fyrir WAN Edge og eitt/tvífalt svæði fyrir SSE lausn Microsoft. Hægt er að nota staka/tvífalda WAN stillinguna með annað hvort einum SSR eða HA SSR.

Stillingarvalkostir og verkflæði
Nokkrir stillingarvalkostir eru fáanlegir með mismunandi stigum offramboðs. Fyrir Juniper SSR WAN Edge er hægt að stilla einn hnút með annaðhvort einu eða tveimur WAN tengi tengdum SSE lausn Microsoft. Dual node HA SSR bein ætti að vera stilltur með tveimur WAN tengi tengdum SSE lausn Microsoft.

ATH: Þegar offramboð svæðis er stillt á SSE lausn Microsoft, þá eru tveir BGP jafningjar stilltir sem beina nágrannar yfir ein göng.

Farið er yfir þrjá stillingarvalkosti í þessari handbók:

1. Einn WAN hlekkur og jafningi á SSE lausn Microsoft. Þessa stillingu gæti verið notuð fyrir litlar dreifingar og prófanir þegar offramboð er ekki krafist.
2. Einn WAN tengill með offramboði svæðis á SSE lausn Microsoft. Þessi stilling veitir ekki offramboð á SSR WAN Edge en nær yfir bilun á framboðssvæði á SSE lausn Microsoft. Þessi valkostur er innifalinn til að sýna hvernig tveir BGP jafningjar gætu verið stilltir yfir sömu IPsec göngin.
3. Tvöfaldur WAN hlekkur sem notar HA SSR með svæðisofframboði á hverja göng á SSE lausn Microsoft. Þetta veitir hámarks offramboð fyrir bæði WAN Edge og SSE lausn Microsoft. Bilun í SSR hnút, WAN tengil eða Microsoft tiltæka svæði hefur ekki áhrif á umferðarflæði í þessari uppsetningu.

Fleiri offramboð og WAN-tengilafbrigði gætu verið stillt með því að nota grunnuppsetningareiningarnar sem lýst er fyrir hvert þessara afbrigða.

Einn WAN hlekkur og jafningi á SSE lausn Microsoft
Þessi stillingarvalkostur er sýndur á skýringarmyndinni hér að neðan.

Grunnatriði stillinga

Skráðu þig inn á Microsoft Entra gáttina með þessu URL, https://entra.microsoft.com, með því að nota skilríki með stjórnunarheimildum til að stilla SSE lausn Microsoft.

1. Á Microsoft Entra Portal, farðu í Global Secure Access > Tæki > Fjarnet.
2. Veldu Búa til fjarnet og gefðu upp upplýsingar um nafn og svæði. Svæði tilgreinir Azure svæðið þar sem hinn endinn á göngunum þínum verður (annar endinn er WAN Edge SSR beininn við útibúið).
3. Smelltu á Next.

BÚÐU TIL FJARSTARNET

Stilla IPsec göng

1. Veldu hnappinn + Bæta við tengli.
2. Sláðu inn eftirfarandi upplýsingar:
   1. Nafn tengils: Nafn á WAN Edge tækinu þínu.
   2. Gerð tækis: Veldu einn af valkostunum úr fellilistanum (Annað eða Juniper).
   3. IP-tala tækis: Almennt IP-tala WAN-tengilsins sem notaður er til að tengjast Microsoft.
   4. BGP vistfang tækis: Samskiptareglur landamæragáttar WAN Edge. Þetta mun vera staðbundið BGP heimilisfang WAN Edge og mun vera innan /29 sviðsins sem valið er fyrir tengingu. Andstæða jafningjastillingin verður gerð í Entra vefsíðunni.
   5. ASN tækis: Gefðu upp sjálfstætt kerfisnúmer WAN Edge netsins. Sjálfgefið er þetta gildi 65000 en gæti verið breytt með Mist API.
   6. Offramboð: Veldu annað hvort Engin offramboð eða Zone offramboð fyrir IPsec göngin þín. Ef þú velur Zone offramboð, þá er annað einstakt svæði óþarft staðbundið BGP vistfang stillt.
      ATH: Microsoft takmarkar stillingar við lista yfir gild ASN.
   7. Bandbreiddargeta (Mbps): Veldu bandbreidd fyrir IPsec göngin þín.
   8. Staðbundið BGP vistfang: Þetta er einka IP vistfang utan staðarnetsins innan /29 sviðsins sem valið er fyrir tengingu. Til dæmisample, ef BGP vistfang tækisins sem valið er fyrir WAN Edge jafningjann hér að ofan er 10.99.99.1, notaðu þá 10.99.99.2.
3. Smelltu á Next.
4. IPsec/IKE stefnan er stillt á Sjálfgefin en breyttu henni í Custom.
5. Eftir að hafa valið Sérsniðið skaltu velja samsetningu stillinga sem passa við WAN Edge. Í þessu frvample, eftirfarandi stillingar eru valdar:
   • Dulkóðun
   • IKEv2 heilindi
   • DH Group
   • IPSec dulkóðun
   • IPSec heilindi
   • PFS Group
   • SA ævi
     ATH: IPsec/IKE reglan sem tilgreind er verður að passa við stefnuna á WAN Edge.
6. Review gildar stillingar ytra netsins.
7. Smelltu á Next.
8. Sláðu inn forsamnýtta lykilinn (PSK). Sama leynilykill verður að nota á CPE þinn.
9. Veldu Bæta við hlekk.

Associate Traffic Profile

1. Annað hvort smelltu á Next eða veldu Traffic profiles flipi.
2. Veldu Microsoft 365 traffic profile. Þetta tryggir að aðeins Microsoft 365 umferð er send til SSE lausn Microsoft. Afgangurinn af umferðinni mun fylgja stilltri umsóknarstefnu.
3. Veldu Review + Búa til.

ATH: Veldu Búa til fjarnet til að ganga frá stillingu ytra netkerfisins.

View Network Profile
Þegar ytra netið er búið til, farðu í listann yfir ytri netkerfi og veldu View uppsetningu. Þetta sýnir verkefnaglugga með upplýsingum um tengingar fyrir Microsoft gáttina. Upplýsingarnar innihalda opinbera endapunkta SSE gáttar Microsoft sem er bætt við WAN, ásamt BGP og ASN gildum.

Búa til forrit

• Einn af kostunum við SSE lausn Microsoft er að Microsoft 365 forrit eru auglýst á kraftmikinn hátt í WAN Edge. Þetta þýðir að þar sem verndaðir áfangastaðir eru uppfærðir og þjónustuföngum breytt með tímanum, getur SSE lausn Microsoft auglýst þessar leiðir á virkan hátt til WAN Edge til flutnings í átt að þjónustunni.
• Einn af kostunum við AI-drifið SD-WAN frá Juniper er að leiðarstefnan er „Zero Trust“. Þetta þýðir að bara vegna þess að leið var lærð þýðir það ekki að net geti nálgast áfangastaði sem hægt er að ná í gegnum auglýstu leiðina. Umsóknarstefna verður að leyfa netkerfinu að fá aðgang að forritinu.
• Einstakur eiginleiki Session Smart Router (SSR) er að hann gæti verið stilltur til að leiða skilyrðislaust í átt að áfangastað með því að nota Steering Policy, eða fylgja leiðum sem lærðar eru innan RIB (leiðarupplýsingagrunnur eða leiðartöflu). Þegar stýristefna er skilgreind fyrir umferð sem er send á staðnum í átt að WAN eða LAN tengil (tdample, DIA), þessi stefna hnekkir öllum lærðum leiðum. Þess vegna hefur netþjónusta sem stýrt er í átt að staðbundnu viðmóti (ekki breytilega lærðar leiðir í gegnum yfirborðið), forgang yfir lærðar leiðir ef þær eru stilltar í WAN Edge sniðmátinu.
• Þegar SSE lausn Microsoft er notuð fyrir alla netumferð, þá gæti einfalt internetforrit með forskeytinu 0.0.0.0/0 verið notað og notandanum veittur aðgangur án stýristefnu eins og sýnt er hér að neðan:
• Þetta mun segja WAN brúninni að leyfa "Lab" netinu að nota hvaða lærðu leið sem er annað hvort í gegnum yfirlögn eða í gegnum IPsec til SSE lausn Microsoft.
• Hins vegar, ef internetþjónusta er þegar búin til og notar DIA stefnu eins og sýnt er í frvample fyrir neðan, þá verður að búa til sérstakt forrit til að leyfa fyrst að nota lærðar leiðir.
• Leiðin til að gera þetta er að skilgreina sértækara "IPSec" forrit en 0.0.0.0/0 internetforritið. Þegar forskeytin sem á að læra eru ekki þekkt (ekki hægt að stilla), þá tryggir að búa til IPsec forrit með sértækara forskeyti að leiðartaflan sé flutt inn frá IPsec BGP jafningjanum og notuð fyrir leyfileg netkerfi.

1. Í Mist gáttinni, farðu í Skipulag > WAN > Forrit.
2. Smelltu á Bæta við forritum.
3. Skilgreindu nafn forrits (tdample, IPSec). Sjá myndina hér að neðan.
4. Veldu Sérsniðin forrit.
5. Sláðu inn forskeytin 128.0.0.0/1 og 0.0.0.0/1 fyrir IP tölurnar. Þessi forskeyti eru nákvæmari en sjálfgefið 0.0.0.0/0.
6. Smelltu á Vista og farðu í Skipulag > WAN > WAN Edge sniðmát.

Uppfærðu WAN Edge sniðmát

Í Mist gáttinni, flettu að WAN Edge sniðmátinu fyrir Session Smart Router WAN Edge tækið.

1. Veldu Bæta við veitendum undir Secure Edge Connectors til að opna stillingarspjald.
2. Sláðu inn eftirfarandi færslur til að passa við SSE lausn Microsoft:
   • Nafn: (tdample, MicrosoftSSE)
   • Útgefandi: Sérsniðin
   • Bókun: IPSec
   • LocalID:
   • Fordeilt lykill:
   • IP eða hýsingarheiti:
   • Heimild IP:
   • Auðkenni fjarstýringar:
   • WAN tengi:
   • IPSec tillögur:
     • Dulkóðun: aes256
     • Auðkenningarreiknirit: sha2
     • DH hópur: 14
   • IPSec tillögur:
     • Dulkóðunaralgrím: aes_gcm256
     • DH hópur: 14
     • SA Líftími: 1800 sekúndur
3. Smelltu á Vista neðst í glugganum.
4. Búðu til nýjan BGP hóp með því að nota BGP gluggann.
   Notaðu gildin sem valin voru áður:
   • Nafn:
   • Gerð: Ytri
   • Staðbundið AS: <65000 eða ekki sjálfgefið AS fyrir WAN Edge>
5. Veldu Add Neighbor í BGP valmyndinni.
6. 6. Sláðu inn eftirfarandi gildi fyrir BGP jafningja:
   • IP-tala: BGP jafningjavistfang SSE lausnar Microsoft
   • Valfrjálst: Bættu við BGP stefnu fyrir inn-/útflutning á leiðum
7. Farðu í Umsóknarreglur og smelltu á Bæta við umsóknarstefnu.
   • Innflutningsforritsstefna
   • Bæta við umsóknarstefnu
   • Breyta forritum
8. Notaðu nafn forritsins sem búið var til í skrefunum hér að ofan, bættu við stefnu til að leyfa viðkomandi netkerfum að ná til sértækara „IPSec“ forritsins með því að nota leiðartöfluna. Ef stýrisstefnan er skilin eftir auð gefur SSR fyrirmæli um að nota leiðartöfluna fyrir forskeyti innan skilgreinds notkunarsviðs.
9. Farðu efst á sniðmátið og smelltu á Vista.
   Staðfestu rekstur
   • Þegar sniðmátið hefur verið uppfært verður IPsec stillingu ýtt á WAN Edge tækið. Ef þetta er í fyrsta skipti sem IPsec dreifing er, mun það taka nokkurn tíma að hlaða niður hugbúnaðinum/stillingunum.
   • Þegar IPsec stillingin hefur verið sett upp geturðu það view IPsec stöðuna undir WAN Edge > > Upplýsingar um örugga brún tengi.
   • BGP nágrannastaða gæti verið að finna undir Skjár > Innsýn > WAN Edge.
   • Það gæti verið gagnlegt að fletta í Prófunarverkfæri til að fylgjast með lærðum leiðum undir WAN Edge > Utilities > Testing Tools > Leiðir > Sýna leiðir. Á skjánum hér að neðan munu leiðir sem lærðar eru í gegnum IPsec birtast með SSE lausn Microsoft BGP jafningja sem næsta hopp.

Einn WAN hlekkur með svæðisofframboð á Microsoft SSE lausninni

Þessi stillingarvalkostur er sýndur á skýringarmyndinni hér að neðan.

Í þessari uppsetningu er annar BGP jafningi búinn til með því að nota svæðisofframboð innan Microsoft SSE lausnarinnar. Fylgdu skrefunum sem lýst er hér að ofan með eftirfarandi viðbótum:

1. Gakktu úr skugga um að velja Zone offramboð þegar þú býrð til hlekkinn á ytra netið innan Microsoft SSE lausnarinnar eins og sýnt er hér að neðan. Þetta skapar annan BGP jafningja sem gæti náðst í gegnum sömu fjarnettengingu og IPsec göng frá SSR.
2. Búðu til annan BGP jafningja með því að nota sama BGP hóp innan tækjasniðmátsins í Mist. Jafningjavistfangið gæti verið að finna í SSE stillingunum eins og sýnt er.

Tvöfaldur WAN hlekkur sem notar HA SSR með svæðisofframboði á göng á Microsoft SSE lausninni
Þessi stillingarvalkostur er sýndur á skýringarmyndinni hér að neðan.

Í þessari uppsetningu eru bæði annar hlekkur og annar BGP jafningi fyrir hvern tengil búin til með því að nota svæðisofframboð innan Microsoft SSE lausnarinnar. Fylgdu skrefunum sem lýst er hér að ofan með eftirfarandi viðbótum:

1. Gakktu úr skugga um að velja Zone offramboð þegar þú býrð til tengla eins og lýst er hér að ofan.
2. Búðu til annan BGP jafningja innan sömu BGP hópstillingar sem vísar í átt að SEC Tunnel sem jafninganeti.
3. Búðu til annan tengil innan Microsoft SSE lausnarinnar fyrir sama fjarnet. Þessum tengli gæti verið bætt við annað hvort við upphaflega netstillingu eða bætt við með því að nota Remote network valmyndina sem sýndur er hér að neðan. Veldu Fjarnet > Nafn fjarnets > Tenglar > Bæta við hlekk.
4. Endurtaktu skrefin hér að ofan til að bæta við öðru Secure Edge tengi innan sniðmáts tækisins í Mist. Þetta gefur tækifæri til að stýra göngunum út aukaviðmót í uppsetningu með mikilli framboði.
5. Búðu til annan BGP hóp sem er úthlutað öðrum Secure Edge Connector. Þessum hópi er úthlutað öðru tenginu (SEC göng) sem útleið tengi.
6. Búðu til annað par af BGP jafningjum innan BGP Group með því að nota viðbótartengilinn og BGP jafningjastillingu innan Microsoft SSR lausnarinnar.

Juniper Networks, Juniper Networks lógóið, Juniper og Junos eru skráð vörumerki Juniper Networks, Inc. í Bandaríkjunum og öðrum löndum. Öll önnur vörumerki, þjónustumerki, skráð merki eða skráð þjónustumerki eru eign viðkomandi eigenda. Juniper Networks tekur enga ábyrgð á ónákvæmni í þessu skjali. Juniper Networks áskilur sér rétt til að breyta, breyta, flytja eða á annan hátt endurskoða þessa útgáfu án fyrirvara. Höfundarréttur © 2024 Juniper Networks, Inc. Allur réttur áskilinn.

Algengar spurningar

Sp.: Hvaða upplýsingar er krafist áður en netkerfi er stillt?
A: Fyrir uppsetningu þarftu að hafa opinber heimilisföng WAN tengla, BGP jafningjavistfangasvið, BGP AS númer, aðgangsheimildir, bandbreiddarkröfur og upplýsingar um offramboð fyrir hverja síðu.

Sp.: Hversu margir stillingarvalkostir eru í handbókinni? 
A: Leiðbeiningin fjallar um þrjá stillingarvalkosti: Einn WAN hlekk og jafningja á SSE lausn Microsoft, stakur WAN hlekkur með svæðisofframboði á SSE lausn Microsoft, og tvískiptur WAN hlekk sem notar HA SSR með svæðisofframboði í hvert göng á SSE lausn Microsoft.

Skjöl / auðlindir

Juniper NCE-511 AI-drifinn SD-WAN tilvísunararkitektúr [pdfNotendahandbók NCE-511 AI-Driven SD-WAN Reference Architecture, NCE-511, AI-Driven SD-WAN Reference Architecture, Reference Architecture, Architecture

Heimildir

• Notendahandbók