Configuración de plantillas de borde WAN para firewalls de la serie SRX
La plantilla de borde WAN de Juniper Mist™ WAN Assurance le permite definir características comunes de radio, incluidas las interfaces WAN, las reglas de dirección del tráfico y las políticas de acceso. A continuación, aplique estas configuraciones al firewall de la serie SRX de Juniper Networks® desplegado como un dispositivo perimetral WAN. Cuando se asigna un dispositivo perimetral WAN a un sitio, el dispositivo adopta automáticamente la configuración de la plantilla asociada. Este proceso automático le permite administrar y aplicar configuraciones consistentes y estandarizadas en toda su infraestructura de red, agilizando el proceso de configuración.
La configuración realizada en el dispositivo de borde WAN a través del panel de Mist anula cualquier configuración realizada a través de la CLI del dispositivo.
Puede tener una o más plantillas para sus dispositivos radiales.
En esta tarea, creará y configurará una plantilla de borde WAN para un dispositivo radial en el portal de nube de Juniper Mist™.
Configurar una plantilla de borde WAN
Para configurar una plantilla de borde de WAN:
Agregar interfaces WAN a la plantilla
En esta tarea, agregue dos interfaces WAN a la plantilla de borde de WAN.
Para agregar interfaces WAN a la plantilla:
Configurar interfaz LTE
La SD-WAN de Juniper Mist permite a las organizaciones integrar la conectividad LTE sin problemas. La conectividad LTE proporciona una ruta alternativa para el enrutamiento de múltiples rutas; ya sea como ruta principal en ubicaciones que no tienen acceso a circuitos o como ruta de último recurso en caso de que el circuito primario haya fallado.
Por ejemplo: En una tienda con una conexión MPLS principal para aplicaciones críticas para el negocio. Juniper Mist SD-WAN puede agregar un enlace LTE como respaldo. Si el vínculo MPLS experimenta problemas, Juniper Mist cambia dinámicamente el tráfico al vínculo LTE. Esto garantiza una conectividad continua y minimiza las interrupciones.
En los firewalls de la serie SRX, el módulo de interfaz minifísica LTE (Mini-PIM) proporciona compatibilidad con WAN inalámbrica en las puertas de enlace de servicios de memoria alta serie SRX300 y SRX550. El Mini-PIM contiene un módem integrado y funciona a través de redes 3G y 4G. El Mini-PIM se puede instalar en cualquiera de las ranuras Mini-PIM de los dispositivos. Consulte https://www.juniper.net/documentation/us/en/hardware/lte-mpim-install/topics/task/lte-mpim-hardware-intalling.html para instalar LTE Mini-PIM en un firewall de la serie SRX.
Para tener un vínculo LTE para SD-WAN de Juniper Mist, necesita una configuración de interfaz LTE en sus enrutadores de Session Smart y firewalls de la serie SRX e insertar el módulo de identidad del suscriptor (SIM) en la tarjeta LTE.
Para agregar una interfaz LTE como vínculo WAN:
En los firewalls de la serie SRX, cuando se crea una plantilla de borde WAN con la opción de plantillas de borde WAN específicas del dispositivo, la configuración de la interfaz LTE se incluye de forma predeterminada en la plantilla.
La plantilla proporciona interfaces WAN preconfiguradas y específicas para cada dispositivo, interfaces LAN, una política de dirección de tráfico y una política de aplicación. Todo lo que tiene que hacer es nombrar la plantilla y seleccionar el tipo de dispositivo.
La figura 4muestra un ejemplo de plantilla SRX320 que incluye la configuración LTE predeterminada en la sección WAN de la plantilla.
Deshabilitar puertos de borde WAN
Hay muchas razones por las que puede ser necesario deshabilitar un puerto de borde WAN. En escenarios de depuración, por ejemplo, deshabilitar un puerto y luego habilitarlo nuevamente puede desencadenar el restablecimiento de procesos, lo que puede ayudar a resolver problemas.
También es posible que desee deshabilitar un puerto cuando está configurando una conexión, pero no está listo para poner la conexión en servicio, o si ha identificado un dispositivo malicioso o problemático, puede deshabilitar el puerto para deshabilitar rápidamente el dispositivo hasta que el dispositivo se pueda quitar o reparar.
Para deshabilitar los puertos de borde WAN:
Agregar una interfaz LAN
La configuración de la interfaz LAN identifica el origen de la solicitud a partir del nombre de la red que especifique en la configuración de LAN.
Para agregar una interfaz LAN:
Configurar LACP en interfaces Ethernet redundantes (BETA)
El Protocolo de control de agregación de vínculos (LACP) es un protocolo estándar IEEE que define cómo funciona un grupo de interfaces. Con LACP, los dispositivos se envían unidades de datos LACP entre sí para establecer la conexión. Los dispositivos no intentan establecer una conexión si no pueden hacerlo, lo que evita que se produzcan problemas durante el proceso de configuración de agregación de vínculos, como una configuración incorrecta del grupo de agregación de vínculos (LAG). Puede configurar LACP en las interfaces Ethernet redundantes (Reth) de los firewalls de la serie SRX.
Para configurar LACP en interfaces Ethernet redundantes:
Configurar políticas de dirección de tráfico
Al igual que con los perfiles de concentrador, la dirección del tráfico en una red de Juniper Mist es donde se definen las diferentes rutas que el tráfico de aplicaciones puede tomar para atravesar la red. Las rutas que configure dentro de la dirección de tráfico también determinarán la zona de destino.
Para configurar políticas de dirección de tráfico:
Configurar directivas de aplicación
En una red de Mist, las políticas de aplicación son donde se define qué red y usuarios pueden acceder a qué aplicaciones, y según qué política de dirección de tráfico. La configuración de Redes/Usuarios determina la zona de origen. La configuración de Aplicación + Dirección de tráfico determina la zona de destino. Además, puede asignar una acción de Permitir o Denegar. Mist evalúa y aplica las políticas de aplicación en el orden en que usted las enumera.
Tenga en cuenta los requisitos de flujo de tráfico de la figura 8. La imagen muestra un modelo de tráfico inicial básico para una configuración de VPN corporativa (no se muestran el tercer dispositivo radial ni el segundo dispositivo concentrador).
Para cumplir los requisitos anteriores, debe crear las siguientes directivas de aplicación:
-
Política 1: Permite el tráfico desde sitios radiales al concentrador. En este caso, el prefijo de destino utilizado en los grupos de direcciones representa la interfaz LAN de dos concentradores.
-
Política 2: permite el tráfico de radio a radio a través de la LAN corporativa a través de una superposición.
Nota:Esto puede no ser factible en el mundo real, excepto en redes MPLS costosas con IP administradas. Las IP administradas envían tráfico directamente al otro radio. Este tipo de tráfico generalmente fluye a través de un dispositivo concentrador
-
Política 3: Permite el tráfico desde el hub y la DMZ conectada al hub a los dispositivos radiales.
-
Política 4: permite que el tráfico con destino a Internet fluya desde los dispositivos radiales al dispositivo central. A partir de ahí, el tráfico irrumpe en Internet. En este caso, el concentrador aplica la TDR de origen al tráfico y enruta el tráfico a una interfaz WAN, tal como se define en el perfil del concentrador. Esta regla es general, por lo que debe colocarla después de las reglas específicas. Porque Mist evalúa las políticas de aplicación en el orden en que se colocan en la lista de políticas.
Para configurar directivas de aplicación:
Configurar plantillas de borde WAN específicas de cada dispositivo
La configuración de dispositivos se simplifica con las plantillas de borde de WAN que siguen el proceso de incorporación de dispositivos. Estas plantillas de borde de WAN se pueden personalizar para implementaciones únicas en todos los dispositivos de borde. Mist AI de Juniper Networks se encuentra en una posición única en la industria, ya que las plantillas de borde WAN de Mist AI se pueden aplicar a cualquier modelo, independientemente del proveedor. Además, las plantillas de borde de WAN pueden mezclar y combinar diferentes modelos en una sola plantilla, lo que agiliza la fase de configuración e implementación.
Para configurar manualmente las plantillas de borde WAN para los firewalls de la serie SRX, consulte Configurar una plantilla de borde WAN.
Plantillas de borde WAN específicas de dispositivos
El aprovechamiento de hardware selecto de Juniper Networks con la SD-WAN de Mist AI supone una ventaja importante. La configuración se simplifica para muchos firewalls de la serie SRX de Juniper Networks®, que tienen plantillas específicas de dispositivos que asignan automáticamente interfaces WAN y LAN y definen redes LAN para la conectividad.
Estas plantillas son únicas para cada modelo de dispositivo. Sin ninguna entrada manual después de seleccionar el dispositivo y asignar un nombre al borde de WAN, el dispositivo de borde WAN especificado por un usuario se rellena previamente con los valores. La figura 10 muestra que la plantilla de borde WAN serie SRX genera varios valores, incluidas las interfaces Ethernet para LAN y WAN con valores DHCP e IP relevantes.
Además, el portal de Juniper Mist rellena una política de dirección de tráfico. Esto permite a Juniper Mist enviar tráfico a través de nuestra conexión WAN a cualquier aplicación de Mist con un destino general de cuatro ceros.
Al aplicar una plantilla de borde de WAN, puede observar que las directivas de aplicación, las redes y las aplicaciones reciben actualizaciones automáticas. La figura 11 muestra un ejemplo de directivas de aplicación.
La SD-WAN de Juniper Mist AI incluye los siguientes modelos de dispositivos con plantillas de borde WAN preconfiguradas para firewalls de la serie SRX:
- SRX300
- SRX320-POE
- SRX320
- SRX340
- SRX345
- SRX380
- SRX550M
- SRX1500
- SRX1600*
- SRX4100
- SRX4200
- SRX4600
- SRX2300*
- SRX4300*
* Indica la compatibilidad prevista de la WAN de Juniper Mist AI para el nuevo modelo más adelante en 2024.
Las plantillas específicas del dispositivo de borde WAN proporcionan una configuración de red básica en un solo paso y permiten una configuración reutilizable y coherente para cada enrutador con Session Smart y dispositivo de firewall de la serie SRX que implemente. La plantilla proporciona interfaces WAN preconfiguradas y específicas para cada dispositivo, interfaces LAN, una política de dirección de tráfico y una política de aplicación. Todo lo que tiene que hacer es nombrar la plantilla y seleccionar el tipo de dispositivo.
Para seleccionar una plantilla de borde WAN específica para un dispositivo:
- En el portal de Juniper Mist, seleccione Organización > Plantillas de borde WAN > WAN.
- Seleccione Crear plantilla en la esquina superior derecha para abrir una nueva página de plantilla.
- Escriba el nombre de la plantilla.
- Haga clic en la casilla de verificación Crear a partir del modelo de dispositivo .
- Seleccione el modelo de su dispositivo en el cuadro desplegable.
Figura 12: Configuración de la plantilla de borde WAN específica del dispositivo
- Haga clic en Crear.
La interfaz de usuario de Juniper Mist muestra la plantilla de dispositivo completa. Ahora tiene una plantilla de borde de WAN en funcionamiento que puede aplicar a muchos sitios y dispositivos de su organización.
Asignar al sitio
Con la plantilla configurada, debe guardarla y asignarla al sitio donde se implementará el dispositivo de borde WAN.
- Haga clic en el botón Asignar al sitio en la parte superior de la página de la plantilla.
- Seleccione un sitio de la lista donde desea aplicar la plantilla.
- Haga clic en Aplicar.
- Finalmente, todo lo que queda es asociar el dispositivo con su sitio, consulte Incorporar firewalls de la serie SRX para la configuración de WAN.