瞻博網路 NCE-511 AI 驅動的 SD-WAN 參考架構

規格

• 產品 姓名：瞻博網路 AI 驅動的 SD-WAN
• 一體化：微軟的SSE解決方案
• 已發表 日期：2024-12-16

產品資訊
瞻博網路 AI 驅動的 SD-WAN 與 Microsoft 的 SSE 解決方案集成，提供網路配置amp用於部署場景的檔案。該解決方案具有改進的網路效能和最佳化的部署規劃等優勢。

產品使用說明

配置工作流程
配置前amp該文件涉及創建和部署用於設備連接的基本分支模板。在配置之前，請確保您擁有每個站點的必要信息，包括 WAN 連結位址、BGP 對等位址範圍、BGP AS 編號、存取權限、頻寬要求和冗餘模型。

配置基礎知識

1. 建立用於裝置連接的基本分支範本。
2. 配置IPsec隧道。
3. 關聯交通專業人士files.
4. View 網路專業人士file.
5. 創建應用程式。
6. 更新 WAN 邊緣範本。
7. 驗證操作。

配置選項
多種配置選項可供選擇，具有不同的冗餘等級。根據設置，您可以使用 Microsoft 的 SSE 解決方案設定單或雙 WAN 連結。確保遵循 WAN Edge 和 Microsoft 的 SSE 解決方案配置的指定準則。

瞻博網路 AI 驅動的 SD-WAN 與 Microsoft SSE 解決方案整合 - 網路配置 Examp樂 (NCE)
瞻博網路網路設定 Examp文件 (NCE) 描述如何在典型使用案例場景中配置和部署瞻博網路產品。在此 NCE 中，您將找到包含拓撲、設定資訊和配置驗證輸出的用例場景。進一步閱讀以規劃和優化您的網路部署。

解決方案優勢

• 此網路配置前amp文件 (NCE) 描述了您可以在瞻博網路 AI 驅動的 SD-WAN 和 Microsoft SSE 解決方案之間實現的整合。 NCE 描述了整合解決方案的好處並提供了多種擴展amp文件配置，包括驗證步驟。
• Microsoft 以雲端為基礎的 Secure Service Edge (SSE) 解決方案包含 Global Secure Access 品牌下的 Microsoft Entra Internet Access 和 Microsoft Private Access。瞻博網路 AI 驅動的 SD-WAN 解決方案可讓分公司和辦公地點無縫存取 Microsoft 的 SSE 解決方案。這種整合是使用可擴展的設備模板自動進行的，以減輕將服務部署到許多站點的操作負擔。本指南說明如何設定 Microsoft 的 SSE 解決方案和 Juniper Mist WAN Edge 範本以進行連線。

本文檔支援第1 頁圖2 所示的拓樸。之間配置IPsec 隧道在 WAN 邊緣範本內。此外，BGP over IPsec 連線被設定為從 Microsoft 的 SSE 解決方案動態學習路由目的地。當用於 Microsoft 365 存取權時，Microsoft 的 SSE 解決方案通告的位址用於確定傳送至服務的流量，而不是基於 WAN Edge 的應用程式字典。

配置工作流程
此配置中的任務順序例如amp樂：

1. 建立並部署用於裝置連接的基本分支範本。建立基本範本超出了本指南的範圍，但 WAN Edge 範本可能是獨立的或啟用了安全性的 SD-WAN。
2. 在 Microsoft Entra 入口網站中設定遠端網路。這定義了 IPsec 隧道特徵並定義了可達性的路由端點。
3. 在設備模板中配置安全邊緣連接器。這將建立通往 Microsoft SSE 解決方案的自訂 IPsec 隧道並定義加密參數。
4. 為 Microsoft 的 SSE 解決方案服務設定 BGP 對等方，以動態了解 Microsoft 365 目標。
5. 配置應用程式以允許將流量引導至 IPsec 隧道。此應用程式將在應用程式策略中使用，以允許客戶端網路存取 BGP 獲悉的路由。
6. 使用網路和應用程式設定應用程式策略，但沒有流量引導策略來向 WAN Edge 指示路由表應用於學習的目的地。

配置規劃
在配置之前，必須為每個站點提供以下資訊：

1. 用於存取 Microsoft 的 SSE 解決方案服務的 WAN 連結的公共位址。此時，只能使用靜態 WAN 位址來存取服務。
2. 一或兩個 /29 位址範圍可用於 WAN Edge 環回和 Microsoft SSE 解決方案之間的 BGP 對等互連。當需要區域冗餘時，需要兩個位址範圍。
3. 供 Microsoft 的 SSE 解決方案使用的 BGP AS。這可能位於企業網路其他地方未使用的專用 AS 範圍內。
4. 被授予存取 Microsoft SSE 解決方案的網路和使用者。
5. 每個站點所需的頻寬。這用於 Microsoft Entra 入口網站內的遠端網路配置。
6. 每個站點所需的冗餘模型。選項包括用於 WAN Edge 的單/雙 WAN 和用於 Microsoft SSE 解決方案的單/雙區域。單/雙 WAN 配置可與單 SSR 或 HA SSR 一起使用。

配置選項和工作流程
有多種配置選項可供選擇，具有不同的冗餘等級。對於瞻博網路 SSR WAN Edge，可以設定具有一個或兩個連接到 Microsoft SSE 解決方案的 WAN 介面的單一節點。雙節點 HA SSR 路由器應設定兩個連接到 Microsoft SSE 解決方案的 WAN 介面。

筆記：當在 Microsoft 的 SSE 解決方案上配置區域冗餘時，兩個 BGP 對等體將被配置為跨單一隧道的路由鄰居。

本指南涵蓋三個配置選項：

1. Microsoft SSE 解決方案上的單一 WAN 連結和對等點。此配置可用於不需要冗餘時的小型部署和測試。
2. Microsoft SSE 解決方案上具有區域冗餘的單一 WAN 連結。此配置不會在 SSR WAN Edge 上提供冗餘，但會覆蓋 Microsoft SSE 解決方案上的可用區域故障。包含此選項是為了說明如何在相同 IPsec 隧道上設定兩個 BGP 對等。
3. 在 Microsoft SSE 解決方案上使用 HA SSR 的雙 WAN 鏈路，每個隧道具有區域冗餘。這為 WAN Edge 和 Microsoft 的 SSE 解決方案提供了最大程度的冗餘。 SSR 節點、WAN 連結或 Microsoft 可用性區域的故障不會影響此配置中的流量。

可以使用為每個變體描述的基本配置構建塊來配置附加冗餘和 WAN 鏈路變體。

Microsoft SSE 解決方案上的單一 WAN 連結和對等點
此配置選項如下圖所示。

配置基礎知識

使用此登入 Microsoft Entra 門戶 URL, https://entra.microsoft.com，使用具有管理權限的憑證來設定 Microsoft 的 SSE 解決方案。

1. 在 Microsoft Entra 入口網站上，導覽至全域安全存取 > 裝置 > 遠端網路。
2. 選擇建立遠端網路並提供名稱和區域詳細資訊。區域指定隧道另一端所在的 Azure 區域（一端是分公司的 WAN Edge SSR 路由器）。
3. 按一下“下一步”。

建立遠端網路

設定 IPsec 隧道

1. 選擇 + 新增連結按鈕。
2. 輸入以下詳細資訊：
   1. 連結名稱：您的 WAN Edge 設備的名稱。
   2. 設備類型：從下拉清單中選擇選項之一（其他或 Juniper）。
   3. 設備 IP 位址：用於連接到 Microsoft 的 WAN 連結的公共 IP 位址。
   4. 設備 BGP 位址：WAN Edge 的邊界閘道協定位址。這將是 WAN 邊緣的本機 BGP 位址，並且位於選擇用於連線的 /29 範圍內。反向對等配置將在 Entra 入口網站中完成。
   5. 設備 ASN：提供 WAN 邊緣網路的自治系統編號。預設情況下，該值是 65000，但可以使用 Mist API 進行修改。
   6. 冗餘：為您的 IPsec 隧道選擇「無冗餘」或「區域冗餘」。如果選擇區域冗餘，則會設定另一個唯一的區域冗餘本機 BGP 位址。
      筆記： Microsoft 將設定限制為有效 ASN 清單。
   7. 頻寬容量 (Mbps)：選擇 IPsec 隧道的頻寬。
   8. 本機 BGP 位址：這是本機網路外部的私人 IP 位址，位於選擇用於連線的 /29 範圍內。對於前amp文件中，如果為上述 WAN Edge 對等方選擇的設備 BGP 位址是 10.99.99.1，則使用 10.99.99.2。
3. 按一下“下一步”。
4. IPsec/IKE 策略設定為“預設”，但將其變更為“自訂”。
5. 選擇自訂後，選擇與 WAN Edge 相符的設定組合。在這個前amp文件中，選擇以下設定：
   • 加密
   • IKEv2 完整性
   • DH集團
   • IPSec加密
   • IPSec完整性
   • 普菲斯集團
   • SA壽命
     筆記：指定的 IPsec/IKE 策略必須與 WAN Edge 上的策略相符。
6. Review 遠端網路有效配置。
7. 按一下“下一步”。
8. 輸入預共用金鑰 (PSK)。您的 CPE 上必須使用相同的金鑰。
9. 選擇新增連結。

助理交通專業人士file

1. 按一下下一步或選擇 Traffic profiles 選項卡。
2. 選擇 Microsoft 365 流量專業版file。這可確保僅 Microsoft 365 流量轉送至 Microsoft 的 SSE 解決方案。其餘流量將遵循配置的應用程式策略。
3. 選擇重新view + 創建。

筆記：選擇建立遠端網路以完成遠端網路配置。

View 網路專業版file
建立遠端網路後，請前往遠端網路清單並選擇 View 配置。這將顯示一個任務窗格，其中包含 Microsoft 網關的連接詳細資訊。詳細資訊包括新增至 WAN 的 Microsoft SSE 閘道的公共端點以及 BGP 和 ASN 值。

創建應用程式

• Microsoft SSE 解決方案的優點之一是 Microsoft 365 應用程式動態發佈到 WAN Edge。這意味著，隨著受保護目標的更新和服務位址的修改，Microsoft 的 SSE 解決方案可以動態地將這些路由通告到 WAN Edge，以便傳輸到服務。
• 瞻博網路 AI 驅動的 SD-WAN 的優勢之一是路由策略是「零信任」。這意味著僅僅因為學習了路由，並不意味著網路可以訪問通過通告的路由可達的目的地。應用程式策略必須明確允許網路存取應用程式。
• 會話智慧路由器 (SSR) 的一個獨特特徵是，它可以配置為使用轉向策略無條件路由到目的地，或遵循 RIB（路由資訊庫或路由表）中獲悉的路由。當為要本地轉送至 WAN 或 LAN 連結（例如amp文件、DIA），此策略會覆寫任何學習到的路由。因此，如果在 WAN 邊緣範本中配置，則轉向本地介面的 Internet 服務（不是透過覆蓋動態學習的路由）優先於學習的路由。
• 當 Microsoft 的 SSE 解決方案用於所有 Internet 流量時，可能會使用前綴為 0.0.0.0/0 的簡單 Internet 應用程序，並且無需引導策略即可授予用戶訪問權限，如下所示：
• 這將告訴 WAN 邊緣允許網路「實驗室」使用任何透過覆蓋或透過 IPsec 學習到的路由到 Microsoft 的 SSE 解決方案。
• 但是，如果已建立 Internet 服務並使用 DIA 策略（如前所示）amp如果使用下面的文件，則必須建立一個單獨的應用程式以允許首先使用學習到的路由。
• 實現此目的的方法是定義比 0.0.0.0/0 Internet 應用程式更具體的「IPSec」應用程式。當要學習的前綴未知（無法設定）時，建立具有更具體前綴的 IPsec 應用程式可確保路由表從 IPsec BGP 對等體匯入並用於允許的網路。

1. 在 Mist 入口網站中，導覽至組織 > WAN > 應用程式。
2. 點擊新增應用程式。
3. 定義應用程式名稱（例如amp文件、IPSec）。請參考下圖。
4. 選擇自訂應用程式。
5. 輸入 IP 位址前綴 128.0.0.0/1 和 0.0.0.0/1。這些前綴比預設的 0.0.0.0/0 更具體。
6. 按一下儲存並導覽至組織 > WAN > WAN 邊緣範本。

更新 WAN 邊緣模板

在 Mist 入口網站中，導覽至會話智慧路由器 WAN 邊緣設備的 WAN 邊緣範本。

1. 選擇 Secure Edge Connectors 下的新增提供者以開啟配置面板。
2. 輸入以下項目以符合 Microsoft 的 SSE 解決方案：
   • 姓名：（例如amp文件，微軟SSE）
   • 提供者：客製化
   • 協定：IPSec
   • 本地ID：
   • 預共享金鑰：
   • IP 或主機名稱：
   • 來源IP：
   • 遠端ID：
   • 廣域網路介面：
   • IPSec 提案：
     • 加密：aes256
     • 認證演算法：sha2
     • DH組：14
   • IPSec 提案：
     • 加密演算法：aes_gcm256
     • DH組：14
     • SA 壽命：1800 秒
3. 點擊視窗底部的“儲存”。
4. 使用 BGP 對話方塊建立新的 BGP 群組。
   使用之前選擇的值：
   • 姓名：
   • 類型： 外部
   • 本機 AS：<65000 或 WAN 邊緣的非預設 AS>
5. 在 BGP 對話方塊中選擇新增鄰居。
6. 6. 為 BGP 對等方輸入下列數值：
   • IP位址：微軟SSE解決方案的BGP對等位址
   • 可選：新增路由匯入/匯出的 BGP 策略
7. 導航到應用程式策略並點擊新增應用程式策略。
   • 進口申請政策
   • 添加應用策略
   • 編輯應用程式
8. 使用在上述步驟中建立的應用程式名稱，新增策略以允許所需網路使用路由表到達更具體的「IPSec」應用程式。將轉向策略留空會指示 SSR 使用定義的應用範圍內的前綴的路由表。
9. 導航至模板頂部並點擊“儲存”。
   驗證操作
   • 更新範本後，IPsec 設定將被推送到 WAN 邊緣設備。如果這是第一次部署 IPsec，則下載軟體/設定將需要一些時間。
   • 部署 IPsec 配置後，您可以 view WAN Edge 下的 IPsec 狀態 > > 安全邊緣連接器詳細資訊。
   • BGP 鄰居狀態可以在監控 > 見解 > WAN 邊緣下找到。
   • 導覽至測試工具以觀察 WAN Edge > 實用程式 > 測試工具 > 路由 > 顯示路由下了解的路由可能會很有用。在下面的顯示中，透過 IPsec 獲知的路由將顯示為下一跳為 Microsoft 的 SSE 解決方案 BGP 對等體。

Microsoft SSE 解決方案上具有區域冗餘的單一 WAN 連結

此配置選項如下圖所示。

在此組態中，使用 Microsoft SSE 解決方案中的區域冗餘建立第二個 BGP 對等體。請按照上述步驟進行操作並新增以下內容：

1. 在 Microsoft SSE 解決方案中建立到遠端網路的連結時，請確保選擇區域冗餘，如下所示。這將建立第二個 BGP 對等體，可以透過相同的遠端網路連結和 IPsec 隧道從 SSR 到達該對等體。
2. 使用 Mist 中的裝置範本內的相同 BGP 群組建立第二個 BGP 對等。對等位址可能會在 SSE 配置中找到，如圖所示。

在 Microsoft SSE 解決方案上使用每隧道具有區域冗餘的 HA SSR 的雙 WAN 連結
此配置選項如下圖所示。

在此配置中，第二條連結和每個連結的第二個 BGP 對等點都是使用 Microsoft SSE 解決方案中的區域冗餘建立的。請按照上述步驟進行操作並新增以下內容：

1. 如上所述建立連結時，請確保選擇區域冗餘。
2. 在指向 SEC 隧道的相同 BGP 群組配置中建立第二個 BGP 對等體作為對等網路。
3. 在 Microsoft SSE 解決方案中為相同遠端網路建立第二個連結。此連結可以在初始網路配置期間添加，也可以使用如下所示的遠端網路對話方塊添加。選擇遠端網路 > 遠端網路名稱 > 連結 > 新增連結。
4. 重複上述步驟，在 Mist 的裝置範本中新增另一個安全邊緣連接器。這提供了在高可用性配置中引導隧道離開輔助介面的機會。
5. 建立指派給第二個安全邊緣連接器的第二個 BGP 群組。此群組指派給第二個連接器（SEC 隧道）作為出站介面。
6. 使用 Microsoft SSR 解決方案中的附加連結和 BGP 對等配置在 BGP 群組中建立第二對 BGP 對等。

Juniper Networks、Juniper Networks 標誌、Juniper 和 Junos 是 Juniper Networks, Inc. 在美國和其他國家的註冊商標。所有其他商標、服務標記、註冊標記或註冊服務標記均為其各自所有者的財產。瞻博網路對本文檔中的任何不準確之處不承擔任何責任。瞻博網路保留更改、修改、轉讓或以其他方式修訂本出版物的權利，恕不另行通知。版權所有 © 2024 瞻博網路公司。

常問問題

Q：在配置網路之前需要哪些資訊？
答：在設定之前，您需要了解每個網站的 WAN 連結的公共位址、BGP 對等位址範圍、BGP AS 編號、存取權限、頻寬需求和冗餘模型詳細資訊。

Q：指南中涵蓋了多少個配置選項？ 
答：本指南涵蓋三個設定選項：Microsoft SSE 解決方案上的單WAN 連結和對等、Microsoft SSE 解決方案上具有區域冗餘的單WAN 連結以及使用HA SSR 且Microsoft SSE 解決方案上每個隧道具有區域冗餘的雙WAN 連結。

文件/資源

瞻博網路 NCE-511 AI 驅動的 SD-WAN 參考架構 [pdf] 使用者指南 NCE-511 AI 驅動的 SD-WAN 參考架構、NCE-511、AI 驅動的 SD-WAN 參考架構、參考架構、架構

參考

• 使用者手冊