Arquitectura de referencia SD-WAN impulsada por IA Juniper NCE-511

Presupuesto

• Producto Nombre: SD-WAN impulsada por IA de Juniper
• Integración:La solución SSE de Microsoft
• Publicado Fecha:2024-12-16

Información del producto
La SD-WAN impulsada por IA de Juniper se integra con la solución SSE de Microsoft para proporcionar una experiencia de configuración de redamples para escenarios de implementación. La solución ofrece beneficios como un mejor rendimiento de la red y una planificación optimizada de la implementación.

Instrucciones de uso del producto

Flujo de trabajo de configuración
La configuración exampEl proceso implica crear e implementar una plantilla de rama básica para la conectividad de dispositivos. Antes de la configuración, asegúrese de tener la información necesaria para cada sitio, incluidas las direcciones de enlace WAN, los rangos de direcciones de interconexión BGP, el número de AS BGP, los permisos de acceso, los requisitos de ancho de banda y el modelo de redundancia.

Conceptos básicos de configuración

1. Cree una plantilla de rama básica para la conectividad del dispositivo.
2. Configurar el túnel IPsec.
3. Profesional asociado en tráficofiles.
4. View el profesional de la redfile.
5. Crear aplicaciones.
6. Actualizar plantillas WAN Edge.
7. Verificar el funcionamiento.

Opciones de configuración
Hay varias opciones de configuración disponibles con distintos niveles de redundancia. Según la configuración, puede configurar enlaces WAN simples o duales con la solución SSE de Microsoft. Asegúrese de seguir las pautas especificadas para las configuraciones de WAN Edge y la solución SSE de Microsoft.

Integración de la solución SD-WAN impulsada por IA de Juniper y SSE de Microsoft: configuración de redampel (NCE)
Ejemplo de configuración de red de Juniper NetworksampEl NCE describe cómo configurar e implementar productos Juniper en un escenario de caso de uso típico. En este NCE, encontrará un escenario de caso de uso con la topología, la información de configuración y el resultado de validación para la configuración. Siga leyendo para planificar y optimizar la implementación de su red.

Beneficios de la solución

• Esta configuración de red exampEl NCE describe la integración que se puede lograr entre Juniper AI-Driven SD-WAN y la solución SSE de Microsoft. El NCE describe los beneficios de integrar las soluciones y proporciona múltiples ejemplos.ampLas configuraciones incluyen pasos de verificación.
• La solución Secure Service Edge (SSE) basada en la nube de Microsoft incluye Microsoft Entra Internet Access y Microsoft Private Access, bajo la marca Global Secure Access. La solución SD-WAN impulsada por IA de Juniper proporciona acceso sin inconvenientes a la solución SSE de Microsoft desde sucursales y oficinas. Esta integración se automatiza mediante plantillas de dispositivos escalables para aliviar la carga operativa de implementar el servicio en muchos sitios. Esta guía describe cómo configurar tanto la solución SSE de Microsoft como la plantilla Juniper Mist WAN Edge para la conectividad.

Este documento habilita la topología que se muestra en la Figura 1 en la página 2. Se configura un túnel IPsec entre el dispositivo Juniper AI-Driven SD-WAN, también conocido como Juniper Session Smart Router (SSR), y la solución SSE de Microsoft mediante el uso del conector de borde seguro dentro de la plantilla de borde WAN. Además, se configura una conexión BGP sobre IPsec para aprender de manera dinámica los destinos de enrutamiento de la solución SSE de Microsoft. Cuando se utiliza para el acceso a Microsoft 365, las direcciones anunciadas de la solución SSE de Microsoft se utilizan para determinar el tráfico enviado al servicio en lugar del diccionario de aplicaciones basado en borde WAN.

Flujo de trabajo de configuración
La secuencia de tareas en esta configuración exampen:

1. Cree e implemente una plantilla de rama básica para la conectividad de dispositivos. La creación de la plantilla básica queda fuera del alcance de esta guía, pero la plantilla WAN Edge puede ser independiente o SD-WAN con seguridad habilitada.
2. Configure una red remota dentro del portal Microsoft Entra. Esto define las características del túnel IPsec y define los puntos finales de enrutamiento para la accesibilidad.
3. Configure un conector de borde seguro en la plantilla del dispositivo. Esto crea un túnel IPsec personalizado a la solución SSE de Microsoft y define los parámetros de cifrado.
4. Configure un par BGP para el servicio de solución SSE de Microsoft para aprender destinos de Microsoft 365 de forma dinámica.
5. Configurar una aplicación para permitir que el tráfico se dirija hacia el túnel IPsec. Esta aplicación se utilizará en la política de aplicaciones para permitir que las redes de clientes accedan a las rutas aprendidas por BGP.
6. Configure una política de aplicación con una red y una aplicación, pero sin una política de direccionamiento de tráfico para indicar al borde WAN que la tabla de enrutamiento debe usarse para los destinos aprendidos.

Planificación de la configuración
Antes de la configuración, la siguiente información debe estar disponible para cada sitio:

1. La dirección pública de los enlaces WAN que se utilizan para acceder al servicio de solución SSE de Microsoft. En este momento, solo se pueden utilizar direcciones WAN estáticas para acceder al servicio.
2. Uno o dos rangos de direcciones /29 que estén disponibles para el intercambio de tráfico BGP entre el bucle de retorno de borde de la WAN y la solución SSE de Microsoft. Cuando se desea redundancia de zona, se requieren dos rangos de direcciones.
3. Un AS BGP para uso de la solución SSE de Microsoft. Puede estar en el rango de AS privado sin usar en ningún otro lugar de la red empresarial.
4. Redes y usuarios a los que se les concede acceso a la solución SSE de Microsoft.
5. Ancho de banda deseado para cada sitio. Se utiliza en la configuración de red remota dentro del portal Microsoft Entra.
6. Modelo de redundancia deseado para cada sitio. Las opciones incluyen WAN simple o dual para el borde de WAN y zona simple o dual para la solución SSE de Microsoft. La configuración de WAN simple o dual se puede utilizar con un SSR simple o un SSR HA.

Opciones de configuración y flujos de trabajo
Hay varias opciones de configuración disponibles con distintos niveles de redundancia. Para Juniper SSR WAN Edge, es posible configurar un solo nodo con una o dos interfaces WAN conectadas a la solución SSE de Microsoft. Un enrutador SSR HA de dos nodos debe configurarse con dos interfaces WAN conectadas a la solución SSE de Microsoft.

NOTA:Cuando se configura la redundancia de zona en la solución SSE de Microsoft, dos pares BGP se configuran como vecinos de enrutamiento a través de un solo túnel.

En esta guía se cubren tres opciones de configuración:

1. Enlace WAN único y punto en la solución SSE de Microsoft. Esta configuración se puede utilizar para implementaciones pequeñas y pruebas cuando no se requiere redundancia.
2. Enlace WAN único con redundancia de zona en la solución SSE de Microsoft. Esta configuración no proporciona redundancia en el borde WAN de SSR, pero cubre la falla de una zona de disponibilidad en la solución SSE de Microsoft. Esta opción se incluye para ilustrar cómo se pueden configurar dos pares BGP en el mismo túnel IPsec.
3. Enlace WAN dual que utiliza un SSR HA con redundancia de zona por túnel en la solución SSE de Microsoft. Esto proporciona el máximo nivel de redundancia tanto para el borde WAN como para la solución SSE de Microsoft. La falla de un nodo SSR, un enlace WAN o una zona de disponibilidad de Microsoft no afecta el flujo de tráfico en esta configuración.

Se pueden configurar variaciones adicionales de redundancia y enlace WAN utilizando los bloques de configuración básica descritos para cada una de estas variaciones.

Enlace WAN único y punto de conexión en la solución SSE de Microsoft
Esta opción de configuración se ilustra en el diagrama siguiente.

Conceptos básicos de configuración

Inicie sesión en el portal Microsoft Entra con esto URL, https://entra.microsoft.com, utilizando credenciales con permisos administrativos para configurar la solución SSE de Microsoft.

1. En el portal de Microsoft Entra, navegue a Acceso seguro global > Dispositivos > Red remota.
2. Seleccione Crear red remota y proporcione los detalles de Nombre y Región. Región especifica la región de Azure donde estará el otro extremo del túnel (un extremo es el enrutador SSR de WAN Edge en la sucursal).
3. Haga clic en Siguiente.

CREAR UNA RED REMOTA

Configurar el túnel IPsec

1. Seleccione el botón + Agregar un enlace.
2. Introduzca los siguientes datos:
   1. Nombre del enlace: nombre de su dispositivo WAN Edge.
   2. Tipo de dispositivo: elija una de las opciones de la lista desplegable (Otro o Juniper).
   3. Dirección IP del dispositivo: dirección IP pública del enlace WAN utilizado para conectarse a Microsoft.
   4. Dirección BGP del dispositivo: la dirección del protocolo de puerta de enlace de borde del borde WAN. Esta será la dirección BGP local del borde WAN y estará dentro del rango /29 seleccionado para la conectividad. La configuración inversa de pares se realizará en el portal Entra.
   5. ASN del dispositivo: proporciona el número de sistema autónomo de la red WAN Edge. De forma predeterminada, este valor es 65000, pero se puede modificar mediante las API de Mist.
   6. Redundancia: seleccione Sin redundancia o Redundancia de zona para su túnel IPsec. Si selecciona Redundancia de zona, se configurará otra dirección BGP local redundante de zona única.
      NOTA: Microsoft limita la configuración a una lista de ASN válidos.
   7. Capacidad de ancho de banda (Mbps): elija el ancho de banda para su túnel IPsec.
   8. Dirección BGP local: esta es una dirección IP privada fuera de la red local dentro del rango /29 seleccionado para la conectividad. Por ejemploampes decir, si la dirección BGP del dispositivo seleccionada para el par WAN Edge anterior es 10.99.99.1, utilice 10.99.99.2.
3. Haga clic en Siguiente.
4. La política IPsec/IKE está establecida como Predeterminada, pero cámbiela a Personalizada.
5. Después de seleccionar Personalizado, seleccione una combinación de configuraciones que coincidan con el borde WAN. En este ejemploampes decir, se seleccionan las siguientes configuraciones:
   • Encriptación
   • Integridad IKEv2
   • Grupo DH
   • Cifrado IPSec
   • Integridad IPSec
   • Grupo PFS
   • Vida útil de SA
     NOTA:La política IPsec/IKE especificada debe coincidir con la política del borde WAN.
6. Review Las configuraciones válidas de la red remota.
7. Haga clic en Siguiente.
8. Introduzca la clave precompartida (PSK). La misma clave secreta debe utilizarse en su CPE.
9. Seleccione Agregar enlace.

Asociado de tráfico profesionalfile

1. Haga clic en Siguiente o seleccione el programa Traffic.filepestaña s.
2. Seleccione el profesional de tráfico de Microsoft 365fileEsto garantiza que solo el tráfico de Microsoft 365 se reenvíe a la solución SSE de Microsoft. El resto del tráfico seguirá la política de aplicación configurada.
3. Seleccione Review + Crear.

NOTA:Seleccione Crear red remota para finalizar la configuración de la red remota.

View La red Profile
Una vez creada la red remota, vaya a la lista de redes remotas y seleccione View Configuración. Esto muestra un panel de tareas con detalles de conectividad para la puerta de enlace de Microsoft. Los detalles incluyen los puntos finales públicos de la puerta de enlace SSE de Microsoft que se agregan a la WAN, junto con los valores de BGP y ASN.

Crear aplicación

• Una de las ventajas de la solución SSE de Microsoft es que las aplicaciones de Microsoft 365 se anuncian de forma dinámica en el borde de la WAN. Esto significa que, a medida que se actualizan los destinos protegidos y se modifican las direcciones de servicio con el tiempo, la solución SSE de Microsoft puede anunciar de forma dinámica estas rutas en el borde de la WAN para su transporte hacia el servicio.
• Una de las ventajas de la SD-WAN impulsada por IA de Juniper es que la política de enrutamiento es de “confianza cero”. Esto significa que el hecho de que se haya aprendido una ruta no significa que una red pueda acceder a los destinos a los que se puede llegar a través de la ruta anunciada. Una política de aplicación debe permitir explícitamente que la red acceda a la aplicación.
• Una característica única del enrutador inteligente de sesión (SSR) es que puede configurarse para enrutar incondicionalmente hacia un destino utilizando una política de dirección o seguir rutas aprendidas dentro de la RIB (base de información de enrutamiento o tabla de rutas). Cuando se define una política de dirección para que el tráfico se reenvíe localmente hacia un enlace WAN o LAN (por ejemplo,ampPor ejemplo, DIA), esta política anula cualquier ruta aprendida. Por lo tanto, un servicio de Internet dirigido hacia una interfaz local (no rutas aprendidas dinámicamente a través de la superposición) tiene prioridad sobre las rutas aprendidas si se configura en la plantilla WAN Edge.
• Cuando se utiliza la solución SSE de Microsoft para todo el tráfico de Internet, se puede utilizar una aplicación de Internet simple con un prefijo 0.0.0.0/0 y se le concede al usuario acceso sin una política de dirección, como se muestra a continuación:
• Esto le indicará al borde WAN que permita que el “laboratorio” de red utilice cualquiera de las rutas aprendidas, ya sea a través de superposición o mediante IPsec a la solución SSE de Microsoft.
• Sin embargo, si ya se ha creado un servicio de Internet y se utilizan políticas DIA como se muestra en el ejemploampA continuación, se debe crear una aplicación separada para permitir que las rutas aprendidas se utilicen primero.
• La forma de hacerlo es definir una aplicación “IPSec” más específica que la aplicación de Internet 0.0.0.0/0. Cuando no se conocen los prefijos que se deben aprender (no se pueden configurar), la creación de una aplicación IPsec con un prefijo más específico garantiza que la tabla de rutas se importe desde el par BGP IPsec y se utilice para las redes permitidas.

1. En el portal Mist, navegue a Organización > WAN > Aplicaciones.
2. Haga clic en Agregar aplicaciones.
3. Defina un nombre de aplicación (por ejemploampes decir, IPSec). Vea la imagen a continuación.
4. Seleccione Aplicaciones personalizadas.
5. Introduzca los prefijos 128.0.0.0/1 y 0.0.0.0/1 para las direcciones IP. Estos prefijos son más específicos que el valor predeterminado 0.0.0.0/0.
6. Haga clic en Guardar y navegue a Organización > WAN > Plantillas WAN Edge.

Actualizar plantilla de WAN Edge

En el portal Mist, navegue hasta la plantilla WAN Edge para el dispositivo WAN Edge del enrutador inteligente de sesión.

1. Seleccione Agregar proveedores en Conectores Secure Edge para abrir un panel de configuración.
2. Introduzca las siguientes entradas para que coincidan con la solución SSE de Microsoft:
   • Nombre: (por ejemploampel, MicrosoftSSE)
   • Proveedor: Custom
   • Protocolo: IPSec
   • Identificación local:
   • Clave precompartida:
   • IP o nombre de host:
   • Fuente IP:
   • Identificación remota:
   • Interfaz WAN:
   • Propuestas IPSec:
     • Cifrado: aes256
     • Algoritmo de autenticación: sha2
     • Grupo DH: 14
   • Propuestas IPSec:
     • Algoritmo de cifrado: aes_gcm256
     • Grupo DH: 14
     • Duración de SA: 1800 segundos
3. Haga clic en Guardar en la parte inferior de la ventana.
4. Cree un nuevo grupo BGP utilizando el cuadro de diálogo BGP.
   Utilice los valores seleccionados anteriormente:
   • Nombre:
   • Tipo: Externo
   • AS local: <65000 o AS no predeterminado para WAN Edge>
5. Seleccione Agregar vecino en el cuadro de diálogo BGP.
6. 6. Ingrese los siguientes valores para el par BGP:
   • Dirección IP: dirección de par BGP de la solución SSE de Microsoft
   • Opcional: Agregar política BGP para la importación/exportación de rutas
7. Vaya a Políticas de aplicación y haga clic en Agregar política de aplicación.
   • Política de solicitud de importación
   • Agregar política de aplicación
   • Editar aplicaciones
8. Con el nombre de la aplicación creada en los pasos anteriores, agregue una política para permitir que las redes deseadas lleguen a la aplicación “IPSec” más específica mediante la tabla de rutas. Si deja la política de dirección en blanco, le indicará al SSR que use la tabla de rutas para los prefijos dentro del rango de aplicaciones definido.
9. Vaya a la parte superior de la plantilla y haga clic en Guardar.
   Verificar operación
   • Una vez que se actualiza la plantilla, se enviará una configuración de IPsec al dispositivo WAN Edge. Si es la primera vez que se implementa IPsec, la descarga del software o la configuración llevará algún tiempo.
   • Una vez implementada la configuración de IPsec, puede view El estado de IPsec en WAN Edge > > Detalles del conector de borde seguro.
   • El estado del vecino BGP se puede encontrar en Monitor > Insights > WAN Edge.
   • Puede resultar útil navegar hasta Herramientas de prueba para observar las rutas aprendidas en WAN Edge > Utilidades > Herramientas de prueba > Rutas > Mostrar rutas. En la siguiente pantalla, las rutas aprendidas a través de IPsec se mostrarán con el par BGP de la solución SSE de Microsoft como próximo salto.

Enlace WAN único con redundancia de zona en la solución Microsoft SSE

Esta opción de configuración se ilustra en el diagrama siguiente.

En esta configuración, se crea un segundo par BGP mediante redundancia de zona dentro de la solución Microsoft SSE. Siga los pasos descritos anteriormente con las siguientes adiciones:

1. Asegúrese de seleccionar Redundancia de zona al crear el enlace a la red remota dentro de la solución Microsoft SSE, como se muestra a continuación. Esto crea un segundo par BGP al que se puede acceder a través del mismo enlace de red remota y el túnel IPsec desde el SSR.
2. Cree un segundo par BGP utilizando el mismo grupo BGP dentro de la plantilla de dispositivo en Mist. La dirección del par se puede encontrar dentro de la configuración de SSE, como se muestra.

Enlace WAN dual que utiliza un SSR HA con redundancia de zona por túnel en la solución Microsoft SSE
Esta opción de configuración se ilustra en el diagrama siguiente.

En esta configuración, se crean tanto un segundo enlace como un segundo par BGP por enlace mediante redundancia de zona dentro de la solución Microsoft SSE. Siga los pasos descritos anteriormente con las siguientes adiciones:

1. Asegúrese de seleccionar Redundancia de zona al crear enlaces como se describe anteriormente.
2. Cree el segundo par BGP dentro de la misma configuración de grupo BGP que apunta hacia el túnel SEC como red de intercambio.
3. Cree un segundo vínculo dentro de la solución Microsoft SSE para la misma red remota. Este vínculo se puede agregar durante la configuración inicial de la red o mediante el cuadro de diálogo Red remota que se muestra a continuación. Seleccione Red remota > Nombre de la red remota > Vínculos > Agregar un vínculo.
4. Repita los pasos anteriores para agregar otro conector de borde seguro dentro de la plantilla de dispositivo en Mist. Esto brinda la oportunidad de dirigir el túnel hacia una interfaz secundaria en una configuración de alta disponibilidad.
5. Cree un segundo grupo BGP que se asigne al segundo conector de borde seguro. Este grupo se asigna al segundo conector (túnel SEC) como interfaz de salida.
6. Cree un segundo par de pares BGP dentro del grupo BGP utilizando el enlace adicional y la configuración de emparejamiento BGP dentro de la solución Microsoft SSR.

Juniper Networks, el logotipo de Juniper Networks, Juniper y Junos son marcas comerciales registradas de Juniper Networks, Inc. en los Estados Unidos y otros países. Todas las demás marcas comerciales, marcas de servicio, marcas registradas o marcas de servicio registradas son propiedad de sus respectivos dueños. Juniper Networks no asume ninguna responsabilidad por las imprecisiones que pueda contener este documento. Juniper Networks se reserva el derecho de cambiar, modificar, transferir o revisar de otro modo esta publicación sin previo aviso. Copyright © 2024 Juniper Networks, Inc. Todos los derechos reservados.

Preguntas frecuentes

P: ¿Qué información se requiere antes de configurar la red?
R: Antes de la configuración, debe tener las direcciones públicas de los enlaces WAN, los rangos de direcciones de emparejamiento BGP, el número de AS BGP, los permisos de acceso, los requisitos de ancho de banda y los detalles del modelo de redundancia para cada sitio.

P: ¿Cuántas opciones de configuración se cubren en la guía? 
R: La guía cubre tres opciones de configuración: enlace WAN único y par en la solución SSE de Microsoft, enlace WAN único con redundancia de zona en la solución SSE de Microsoft y enlace WAN dual usando un SSR HA con redundancia de zona por túnel en la solución SSE de Microsoft.

Documentos / Recursos

Arquitectura de referencia SD-WAN impulsada por IA Juniper NCE-511 [pdf] Guía del usuario Arquitectura de referencia SD-WAN impulsada por IA NCE-511, NCE-511, Arquitectura de referencia SD-WAN impulsada por IA, Arquitectura de referencia, Arquitectura

Referencias

• Manual de usuario