SD-WAN機能を備えたブランチサイトの追加
オンプレミスのスポーク(支店)は、支店やPOSの場所などの物理的な場所にある顧客構内機器(CPE)の一部であるエンドポイントを表します。通常、これらのポイントは、ハブ サイトへのオーバーレイ接続を使用して接続されます。[ サイトの管理 ] ページからブランチ サイトを追加できます。
ブランチ サイトでは、次のデバイス テンプレートがサポートされています。
-
NFX150 - SD-WAN CPE
-
NFX250 - SD-WAN CPE
-
デュアルNFX250をSD-WAN CPEとして使用
-
SD-WAN CPE としての SRX
-
SD-WAN CPEとしてのデュアルSRX
-
SRX4x00 - SD-WAN CPE
-
デュアル SRX4x00 SD-WAN CPE
CSOリリース5.4.0以降では、ブランチサイトの作成とサイトのアクティベーションワークフローをオプションで分離できるため、顧客構内機器(CPE)のオンサイトインストールの柔軟性が高まります。
単一またはデュアルの顧客構内機器(CPE)で構成されるSD-WAN展開では、テナント管理者はブランチサイトを追加した後にCPEデバイスのシリアル番号を入力するオプションがあります。ブランチ サイトはテナント管理者が追加でき、サイトに関連付けられている CPE デバイスは、別の承認されたユーザーが手動でアクティブ化できます。許可されたユーザーは、シリアル番号とアクティベーションコードのいずれかを入力するか、後でCPEデバイスを手動でアクティベーションするときにシリアル番号のみを入力する必要があります。CPEデバイスのシリアル番号なしでブランチサイトを追加するオプションは、SRXとNFX(NFX150とNFX250)の両方のデバイステンプレートに適用できます。
デュアル CPE デバイス テンプレートでは、1 つの CPE のシリアル番号を追加し、他の CPE デバイスのシリアル番号の入力を避けることはできません。サイトの作成時にプライマリ デバイスとセカンダリ デバイスの両方のシリアル番号を入力するか、サイトのアクティブ化中に両方のシリアル番号を入力できます。
リリース6.0.0以降、CSOはサイトに対して以下のSD-WANサービスをサポートします。
-
セキュアなSD-WANの基本事項:基本的なSD-WANサービスを提供します。このサービスは、リンクベースのアプリケーションステアリングを使用して、支店サイトで包括的なNGFWセキュリティサービスによるシンプルなWAN接続を管理したいと考えている中小企業に最適です。SD-WAN Essentialsサービスでは、インターネットトラフィックをローカルでブレイクアウトできるため、コストのかかるVPNやMPLSリンク経由でWebトラフィックをバックホールする必要がなくなります。サイトは、インテントベースのファイアウォールポリシー、WANリンクの管理と制御、静的VPNを介して接続されたサイト間のCSO制御ルーティング、およびNATの背後にあるMPLSまたはインターネットリンクを介したサイト間通信などの機能をサポートしています。SD-WAN Essentials サービス レベルのテナントは、SD-WAN Essentials サイトのみを作成できます。
メモ:サイト情報を編集することで、セキュアSD-WANエッセンシャルサイトをセキュアSD-WANアドバンスドサイトにアップグレードできます(テナントのSD-WANサービスレベルがアドバンストにアップグレードされている場合に許可されます)。
-
セキュアSD-WANアドバンスド:完全なSD-WANサービスを提供します。このサービスは、柔軟なトポロジーと動的なアプリケーションステアリングを必要とする1つ以上のデータセンターを持つ企業に最適です。サイト間接続は、ハブアンドスポーク トポロジーのハブを使用するか、静的または動的なフルメッシュ VPN トンネルを介して確立できます。企業全体のインテントベースのSD-WANポリシーとSLA(サービスレベル契約)測定により、CSOはさまざまなアプリケーションのトラフィックを区別して動的にルーティングできます。
-
CSOリリース5.4.0以前のバージョンのSD-WANサイトは、SD-WAN Advancedサイトとして扱われます。テナントのSD-WANサービスレベルをSD-WAN AdvancedからSD-WAN Essentialsにダウングレードすることはできません。
-
CSOリリース6.0.0以降、オンボーディングプロセス中のサービスのプロビジョニングをオプションにすることで、ブランチサイトの作成ワークフローが簡素化されました。サイトの作成時にサービスを構成することも、後でサービスを追加することもできます。SD-WAN サービスなしでブランチサイトを追加するには、「サービスをプロビジョニングせずにブランチサイトまたはエンタープライズハブサイトを追加する」を参照してください。
SD-WAN 機能のみを持つブランチサイトを追加するには、以下を行います。
| フィールド |
説明 |
||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 一般 | |||||||||||||||||
| サイト情報 |
|||||||||||||||||
| サイト名 |
サイトの一意の名前を入力します。英数字とハイフン(-)を使用できます。最大長は 32 文字です。 |
||||||||||||||||
| デバイスホスト名 |
デバイスのホスト名は自動生成され、 という形式 tenant-name.host-nameが使用されます。デバイスホスト名の部品は変更 tenant-name できません。英数字とハイフン(-)を使用します。許可される最大長は 32 文字です。 |
||||||||||||||||
| サイトグループ |
サイトを割り当てるサイト グループを選択します。 |
||||||||||||||||
| サイトの機能 |
メモ:
既定で有効になっているデバイス管理を使用すると、デバイス管理機能のみ (サービスなし) を持つサイトを作成し、後でサービスを追加できます。 このサイトに SD-WAN 機能を追加するには、次のいずれかの SD-WAN サービスタイプを選択します。
|
||||||||||||||||
| 住所と連絡先情報 |
|||||||||||||||||
| 番地 |
サイトの番地を入力します。 |
||||||||||||||||
| 都市 |
サイトがある都市を入力します。 |
||||||||||||||||
| 都道府県 |
サイトが配置されている都道府県を選択します。 |
||||||||||||||||
| 郵便番号 |
サイトの郵便番号を入力します。 |
||||||||||||||||
| 国 |
サイトが配置されている国を選択します。 [ 検証] ボタンをクリックして、アドレスを確認します。
|
||||||||||||||||
| 連絡先名 |
サイトの連絡担当者の名前を入力します。 |
||||||||||||||||
| 電子メール |
サイトの担当者の電子メール アドレスを入力します。 |
||||||||||||||||
| 電話 |
サイトの連絡担当者の電話番号を入力します。 |
||||||||||||||||
| 詳細設定 |
|||||||||||||||||
| ドメイン ネーム サーバー |
DNS サーバーの 1 つ以上の IPv4 または IPv6、あるいは IPv4 アドレスと IPv6 アドレスの両方を指定します。複数の DNS サーバー アドレスを指定するには、アドレスを入力し、Enter キーを押して次のアドレスを入力します。 DNSサーバーは、ホスト名をIPアドレスに解決するために使用されます。 |
||||||||||||||||
| NTP サーバー |
1 つ以上の NTP サーバーの完全修飾ドメイン名(FQDN)または IP アドレスを指定します。 例: ntp.example.net サイトの構成中に FQDN を解決するには、サイトに DNS 到達可能性がある必要があります。 |
||||||||||||||||
| タイムゾーンを選択 |
サイトのタイム ゾーンを選択します。 |
||||||||||||||||
| デバイス
メモ:
このセクションの一部のフィールドは、[デバイスの冗長性(Device Redundancy)] オプションを有効にした場合にのみ表示されます。 |
|||||||||||||||||
| デバイスの冗長性 |
デフォルトでは無効になっています。デュアル CPE に対してこのオプションを有効にします。 デバイスの冗長性を有効にするには、次の前提条件が必要です。
|
||||||||||||||||
| デバイスシリーズ |
CPE が属するデバイス シリーズ(SRX、NFX150、または NFX250)を選択します。 選択したデバイス シリーズに基づいて、サポートされているデバイス テンプレート (デバイスの設定に関する情報を含む) が一覧表示されます。 選択したデバイス シリーズのデバイス テンプレートを選択します。 |
||||||||||||||||
| デバイス モデル |
デバイスのモデル番号を選択します。 |
||||||||||||||||
| デバイスのrootパスワード |
デフォルトのrootパスワードは、デバイステンプレートのENC_ROOT_PASSWORDフィールドから取得されます。パスワードを保持することも、プレーンテキスト形式でパスワードを入力して変更することもできます。パスワードは暗号化され、デバイスに保存されます。 |
||||||||||||||||
| ゼロ タッチプロビジョニング |
切り替えボタンをクリックして、ゼロタッチプロビジョニング(ZTP)を有効または無効にします。このオプションはデフォルトで有効になっています。
メモ:
デフォルトでは、このボタンはvSRX仮想ファイアウォールでは無効になっています。vSRX仮想ファイアウォールで実行されているJunos OSバージョンがPhone Homeクライアントをサポートしている場合、このボタンを有効にできます。 ZTPを使用するには、以下のことを確認してください。
ZTP が有効になっている場合は、[ブート イメージ(Boot Image)] フィールドが表示され、Phone-Home クライアントをサポートするイメージを選択する必要があります。ZTP の期間中、ファイアウォール デバイス上のイメージは、ブート イメージ用に選択したイメージにアップグレードされます。 ZTPを無効にする場合は、デバイスがCSOに接続されていることを確認してください。デバイスが事前登録/事前構成されていない場合は、CSO がステージ 1 構成の一部として構成を生成できるように、[管理接続] セクションで詳細を指定する必要があります。デバイスに CSO への接続がある場合は、[管理接続] セクションをスキップできます。 ZTPを無効にした場合、オンボーディングプロセスを開始するには、CSOからステージ1の設定をコピーしてデバイスにコミットする必要があります。以下のいずれかのオプションを使用して、stage-1 設定をコピーします。
|
||||||||||||||||
| シリアル番号 |
単一の CPE デバイスの場合は、CPE デバイスのシリアル番号を入力します。シリアル番号では大文字と小文字が区別されます。 シリアル番号を入力しない場合、ブランチ サイトは作成されますが、サイトに関連付けられている CPE デバイスはアクティブ化されません。詳細については、 ステップ 5 を参照してください。 |
||||||||||||||||
| ノード0のシリアル番号 |
デュアル CPE デバイスの場合は、プライマリ CPE デバイスのシリアル番号を入力します。シリアル番号では大文字と小文字が区別されます。 シリアル番号を入力しない場合、ブランチ サイトは作成されますが、CPE デバイスはアクティブ化されません。詳細については、 ステップ 5 を参照してください。 |
||||||||||||||||
| ノード1のシリアル番号 |
デュアル CPE デバイスの場合は、セカンダリ CPE デバイスのシリアル番号を入力します。シリアル番号では大文字と小文字が区別されます。 シリアル番号を入力しない場合、ブランチ サイトは作成されますが、CPE デバイスはアクティブ化されません。詳細については、 ステップ 5 を参照してください。 |
||||||||||||||||
| クラスターは既に形成されていますか? |
メモ:
このフィールドは、SRXデュアルCPEデバイスでのみ使用できます。 切り替えボタンをクリックして、SRXクラスタを手動で形成するか(Yes)、形成しないか(No)を指定します。 |
||||||||||||||||
| クラスター ID |
メモ:
このフィールドは、SRXデュアルCPEデバイスでのみ使用できます。 SRX クラスターが手動で形成されていない場合は、クラスターの一意の ID を指定します。 範囲: 1 から 15 サイトの ZTP を有効にしている場合、クラスターはサイトのアクティブ化時に自動的に形成されます。ZTP を無効にした場合、[サイトのアクティブ化の進行状況] ページ (ブランチ サイトを追加した後に表示される) に次のプロセスが表示されます。
クラスターが検出されると、CSO はブートストラップとプロビジョニングのプロセスを実行し、クラスターのプロビジョニングを完了します。 |
||||||||||||||||
| 自動アクティブ化 |
トグルボタンをクリックして、CPEデバイスの自動アクティベーションを有効または無効にします。 自動アクティブ化を無効にする場合は、「デバイスのアクティブ化 」 トピックを参照して、CPEを手動でアクティブ化します。 |
||||||||||||||||
| アクティベーションコード |
デバイスの自動アクティベーションが無効になっている場合は、アクティベーションコードを入力してデバイスを手動でアクティベートします。アクティベーションコードは、サイトを追加した管理者から提供されます。 |
||||||||||||||||
| ノード0アクティベーションコード |
デュアルCPEの自動アクティベーションが無効になっている場合は、アクティベーションコードを入力して、プライマリCPEデバイスを手動でアクティベーションします。 |
||||||||||||||||
| ノード1アクティベーションコード |
デュアル CPE の自動アクティベーションが無効になっている場合は、アクティベーション コードを入力してセカンダリ CPE デバイスを手動でアクティベーションします。 |
||||||||||||||||
| ブート イメージ |
CPE デバイスのイメージをアップグレードする場合は、ドロップダウン リストからブート イメージを選択します。 ブート イメージは、イメージ管理システムにアップロードされた最新のビルド イメージです。ブートイメージは、CSOがZTPプロセスを開始する際に、デバイスのアップグレードに使用されます。 ブート イメージが指定されていない場合、デバイスはデバイス イメージをアップグレードする手順をスキップします。ブート イメージ (NFX または SRX) は、サイトの作成時に選択したデバイス テンプレートに基づいて設定されます。 デバイスイメージのアップロードを参照してください。 |
||||||||||||||||
| (デバイス テンプレート) |
デバイスを構成するための情報を含むデバイス テンプレートを選択します。 |
||||||||||||||||
| 管理接続性
メモ:
このセクションは、ゼロタッチプロビジョニングが無効になっている場合にのみ表示されます。シャーシ クラスタを追加する場合は、両方のノードのインターフェイスの詳細を指定する必要があります。 |
|||||||||||||||||
| アドレス ファミリー |
IPv4 または IPv6 を選択します。 |
||||||||||||||||
| インターフェース名 |
これは、デバイスが CSO への接続に使用する WAN インターフェイスです。 |
||||||||||||||||
| アクセス タイプ | アンダーレイ リンクのアクセス タイプを選択します。LTE、ADSL、およびVDSLアクセスタイプは、インターネットリンクでのみサポートされています。 | ||||||||||||||||
| アドレス割り当て |
デフォルトではDHCPが選択されています。静的 IP アドレスを指定する場合は、[静的] を選択します。 |
||||||||||||||||
| 管理VLAN ID |
WAN リンクの VLAN ID を入力します。 範囲: 0 から 4094 |
||||||||||||||||
| Pppoe |
切り替えボタンをクリックして、PPPoE(イーサネット経由のポイントツーポイントプロトコル)を使用したWANリンクの認証済みアドレス割り当てを有効にします。 |
||||||||||||||||
| ADSL/VDSL SFP Annex | ADSLまたはVDSLアクセスタイプのMPLSまたはインターネットリンクにのみ適用されます。 切り替えボタンをクリックして、xDSL SFP モジュールを介した Annex J サポートを有効にします。附属書Jは、ITU-T勧告G.992.3およびG.992.5で指定されています。 このオプションを無効のままにする場合は、接続に Mini-PIM モジュールを使用する必要があります。 |
||||||||||||||||
| ハブ構成
メモ:
ハブの選択は、SD-WAN AdvancedサイトとEssentialsサイトの両方でオプションです。SD-WAN Essentials サイトはマルチホーミングをサポートしていません。ただし、テナントのサービス レベルが [詳細] にアップグレードされていれば、Essentials サイト (アクティブ化後) を編集して高度なサイトにアップグレードし、必要に応じて後でセカンダリ ハブを追加できます。 Secure SD-WAN Advanced ブランチサイトは、Secure SD-WAN Advanced エンタープライズハブにのみ接続できます。 |
|||||||||||||||||
| プライマリ プロバイダー ハブ |
このブランチ サイトの接続先となるプライマリ ハブ サイトを選択します。 |
||||||||||||||||
| セカンダリ プロバイダー ハブ |
メモ:
Secure SD-WAN Essentialsサービスを使用するサイトには適用されません。 このサイトが接続する必要があるセカンダリ ハブ サイトを選択します。 このサイトは、プライマリ データ ハブに到達できない場合、セカンダリ データ ハブ サイトに接続します。 |
||||||||||||||||
| プライマリ エンタープライズ ハブ |
ブランチ サイトを接続するエンタープライズ ハブを選択します。エンタープライズ ハブを指定した場合、最初のサイト間トラフィックと中央ブレイクアウト(バックホール)トラフィック(該当する場合)は、ハブ サイトではなくエンタープライズ ハブを介して送信されます。 |
||||||||||||||||
| セカンダリ エンタープライズ ハブ |
メモ:
Secure SD-WAN Essentialsサービスを使用するサイトには適用されません。 このブランチ サイトのセカンダリ エンタープライズ ハブを選択します。 ブランチ サイトは、プライマリ エンタープライズ ハブに到達できない場合、セカンダリ エンタープライズ ハブに接続します。 |
||||||||||||||||
| メッシュタグを使用してEHubを接続します |
このトグル ボタンは既定で有効になっています。このボタンをオンにすると、CSOはメッシュタグを使用して、サイトとエンタープライズハブの間にオーバーレイトンネルを自動的に形成します。 ブランチ サイトとエンタープライズ ハブの間に静的トンネル (WAN リンクごと) を手動で作成する場合は、この切り替えボタンを無効にします。このオプションを無効にする場合は、WAN リンクの [詳細設定] にある [エンタープライズ ハブへの接続] 切り替えボタンを使用して、少なくとも 1 つの WAN リンクを手動で有効にして、エンタープライズ ハブに接続する必要があります。 |
||||||||||||||||
| WANリンク
メモ:
リリース6.1.0では、少なくとも1つのWANリンクがIPアドレスを取得してアクティブになると、CSOはサイトをプロビジョニング済み状態に移動します。残りの DHCP WAN リンクは後でアクティブ化できます。DHCP WANリンクがアクティブになる前に、プロビジョニングされたサイトが他のサイトへのダイナミックVPN(DVPN)トンネルを確立した場合、これらのDHCP WANリンクは、トンネルが削除されて再度追加された場合にのみ(つまり、サイトのペア間のトラフィックが削除しきい値を下回り、その後再び作成しきい値を超えた場合)にのみDVPNに参加します。 |
|||||||||||||||||
| WAN_0 WAN-Interface-Name |
このフィールドはデフォルトで有効になっています。 WAN_0に関連するパラメータを入力します。続行するには、アスタリスク (*) でマークされたフィールドを設定する必要があります。 |
||||||||||||||||
| リンクの種類 |
リンクがMPLSリンクかインターネットリンクかを選択します。 |
||||||||||||||||
| アクセス タイプ |
アンダーレイ リンクのアクセス タイプを選択します。CSO リリース 6.3.0 以降、SRX300 シリーズ デュアル CPE デバイスで LTE を選択できます。
メモ:
|
||||||||||||||||
| リンク冗長性 | SRX300シリーズのデュアルCPE導入環境では、LTE Mini-PIMを単一ノード(ノード0またはノード1)または両方のノード(CSO上で単一のWANリンクとして表す)のいずれかにインストールできます。 LTE Mini-PIM が 1 つのノードにのみインストールされている場合、このオプションは適用されず、無効にする必要があります。対応するWANリンク(ノード0はWAN_0またはWAN_2、ノード1はWAN_1またはWAN_3)をLTE WANリンクとして設定します。 LTE Mini-PIM が両方のノードにインストールされている場合は、トグル ボタンを有効にします。ただし、デュアルCPE展開ではLTEリンクがアクティブ/バックアップモードで動作するため、一度にアクティブにできるリンクは1つだけです。ノード0にアクティブリンクを配置したい場合は、WAN_0リンクまたはWAN_2リンクのいずれかをLTE WANリンクとして設定します。同様に、ノード1にアクティブリンクを設定したい場合は、WAN_1リンクまたはWAN_3リンクのいずれかを設定します。
メモ:
LTE WAN リンクを設定する前に、LTE Mini-PIM がインストールされているスロットでデバイス テンプレートを更新する必要があります。 次の表は、上記の情報をまとめたものです。
メモ:
既存のLTE WANリンクの[リンク冗長性]オプションは編集できません。リンク冗長設定を変更するには、WAN リンクを削除して再設定する必要があります。 |
||||||||||||||||
| WANリンク(ノード0またはノード1) | WAN リンクが属するノードを表示します。WAN_0 と WAN_2 はノード 0 に属し、WAN_1 と WAN_3 はノード 1 に属します。 |
||||||||||||||||
| PPPoE/PPP |
PPPoE(イーサネット経由のポイントツーポイントプロトコル)またはPPP(ポイントツーポイントプロトコル)を使用してWANリンクの認証済みアドレス割り当てを有効にするには、切り替えボタンをクリックします。既定では、このトグル ボタンは無効になっています。 PPPoE はイーサネット、ADSL、VDSL アクセス タイプで動作し、PPP は LTE アクセス タイプで動作します。
メモ:
このトグルボタンは、アクセスタイプがLTEのインターネットリンクでは使用できません。 PPPoE または WAN リンクごとの PPP を有効にできます。この切り替えボタンを有効にした場合は、PPPoE または PPP サーバーの PPPoE または PPP パラメーター (ユーザー名、パスワード、および認証プロトコル) をそれぞれ指定する必要があります。PPPoE または PPP サーバーは、認証が成功すると IP アドレスを WAN リンクに割り当てます。詳細については、この表の「 PPPoE/PPP 設定 」セクションを参照してください。MPLS ベースまたはインターネットベースの WAN リンクで PPPoE または PPP を有効にすることができます。 このトグル ボタンを無効にした場合は、[アドレスの割り当て] ボックスの一覧から WAN リンクに IP アドレスを割り当てる方法 (DHCP または静的) を選択します。 |
||||||||||||||||
| ADSL/VDSL SFP Annex | ADSLまたはVDSLアクセスタイプのMPLSまたはインターネットリンクにのみ適用されます。 切り替えボタンをクリックして、xDSL SFP モジュールを介した Annex J サポートを有効にします。附属書Jは、ITU-T勧告G.992.3およびG.992.5で指定されています。 このオプションを無効のままにする場合は、接続に Mini-PIM モジュールを使用する必要があります。 このオプションは、サイトに追加される新しい WAN リンクでのみ有効または無効にできます。サイト編集ワークフローを使用して、既存の WAN リンクに対してこのオプションを有効または無効にすることはできません。 このオプションは、PPoE、静的 IP アドレス(IPv4/IPv6)、DHCP、VLAN ID などの他のパラメーターと共に有効にすることができます。 |
||||||||||||||||
| アクセス ポイント名 (APN) |
アクセス ポイント名 (APN) によって、CPE デバイスがインターネットなどのパケット データ ネットワーク (PDN) に接続するために使用する必要があるパケット データ ネットワーク ゲートウェイ (P-GW) が決まります。すべての CPE デバイスは、既定の APN 設定で出荷されます。ただし、現在のLTEサービスプロバイダーでプライベートAPNを使用するか、別のLTEサービスプロバイダーを使用する場合は、このフィールドにCPEデバイスのAPN(サービスプロバイダーによって指定された)を入力します。 このフィールドは、アクセス タイプとして LTE を使用する MPLS リンクで PPPoE/PPP を有効にしている場合にのみ表示されます。これらのリンクの PPPoE/PPP を無効にしている場合、CSO はデフォルトの APN 設定を使用します。 |
||||||||||||||||
| エグレス帯域幅 |
WAN リンクで許容される最大帯域幅を Mbps 単位で入力します。 範囲: 1 から 10,000。
メモ:
このオプションは、LTE アクセス タイプのインターネットおよび MPLS リンクでは使用できません。 |
||||||||||||||||
| アンダーレイ アドレス ファミリー |
|||||||||||||||||
| IPv4 |
切り替えボタンをクリックして、WAN リンクの IPv4 アドレス割り当てを有効または無効にします。デフォルトでは、IPv4アドレスの割り当てはWANリンクに対して有効になっています。 WAN リンクから IPv4 ネットワークに接続するには、IPv4 アドレスが必要です。 |
||||||||||||||||
| アドレスの割り当て方法 |
WAN リンクへの IPv4 アドレスの割り当て方法として、DHC(Dynamic Host Configuration Protocol)または静的)を選択します。 このフィールドは、PPPoE/PPP 切り替えボタンを無効にした場合にのみ表示されます。 [静的] を選択した場合は、WAN リンクの IPv4 アドレス プレフィックスとゲートウェイ IPv4 アドレスを指定する必要があります。
メモ:
LTE アクセス タイプのインターネットおよび MPLS リンクでは、アドレス割り当てに DHCP のみを選択できます。 |
||||||||||||||||
| 静的 IP プレフィックス |
アドレス割り当て方法を [静的] として構成した場合は、WAN リンクの IPv4 アドレス プレフィックスを入力します。 |
||||||||||||||||
| ゲートウェイ IP アドレス |
アドレスの割り当て方法を [静的] として構成した場合は、WAN サービス プロバイダーのゲートウェイの IPv4 アドレスを入力します。 |
||||||||||||||||
| Mtu | IPv4 アドレスにのみ適用されます。 メディアまたはプロトコルの最大送信単位(MTU)サイズを入力します。サポートされるMTUの範囲は、デバイス、インターフェイスタイプ、ネットワークトポロジー、およびその他の個々の要件によって異なります。 MTUのデフォルト値と最大値 および LTEミニ物理インターフェイスモジュール(LTE Mini-PIM)も参照してください。サイトのすべての OAM 対応 WAN リンクの MTU 値を同時に編集すると、トンネル フラッピングが発生する可能性があります。サイトに対して、少なくとも 1 つの OAM 対応 WAN リンクが常に中断されないようにする必要があります。たとえば、サイトに 4 つの WAN リンク(OAM トラフィックをサポートする 2 つのリンクを含む)がある場合、1 つの OAM 対応リンクを除くすべての WAN リンクの MTU 値を同時に編集できます。編集が完了し、変更を保存したら、サイトを再度編集し、残りの WAN リンクを更新できます。
メモ:
|
||||||||||||||||
| IPv6 |
切り替えボタンをクリックして、WAN リンクへの IPv6 アドレス割り当てを有効または無効にします。デフォルトでは、WAN リンクに対する IPv6 アドレスの割り当ては無効になっています。 WAN リンクから IPv6 ネットワークに接続するには、IPv6 アドレスが必要です。
メモ:
|
||||||||||||||||
| アドレスの割り当て方法 |
IPv6アドレスをWANリンクに割り当てる方法として、DHC(動的ホスト構成プロトコル - ルーターアドバタイズメントのみ)、静的、またはSLAAC(ステートレスアドレス自動構成)のいずれかを選択します。 このフィールドは、[PPPoE/PPP] 切り替えボタンを無効にした場合にのみ表示されます。 [静的] を選択した場合は、WAN リンクの IPv6 アドレス プレフィックスとゲートウェイ IPv6 アドレスを指定する必要があります。
メモ:
LTE アクセス タイプのインターネットおよび MPLS リンクでは、アドレス割り当てに DHCP のみを選択できます。 |
||||||||||||||||
| 静的 IP プレフィックス |
アドレスの割り当て方法を STATIC として構成した場合は、WAN リンクの IPv6 アドレス プレフィックスを入力します。 |
||||||||||||||||
| ゲートウェイ IP アドレス |
アドレスの割り当て方法を [静的] として構成した場合は、WAN サービス プロバイダーのゲートウェイの IPv6 アドレスを入力します。 |
||||||||||||||||
| WANリンク(プライマリまたはセカンダリ) |
デュアル CPE デバイス テンプレートの場合、WAN リンクがプライマリ リンクかセカンダリ リンクかが表示されます。このフィールドは変更できません。 |
||||||||||||||||
| 詳細設定 |
|||||||||||||||||
| アドレス ファミリー(トンネル作成) |
オーバーレイ トンネルの確立に使用するアンダーレイ アドレス ファミリー(IPv4 または IPv6)を選択します。リストのオプションは、アンダーレイ用に構成したアドレス ファミリ (IPv4 または IPv6、あるいはその両方) に基づいて入力されます。 |
||||||||||||||||
| プロバイダー |
WAN サービスを提供するサービス プロバイダー(SP)の名前を入力します。 英数字と '_'、'@'、'.'、'/'、'#'、'&'、'+'、および '-' のみを使用できます。15 文字で許可される最大文字数。 |
||||||||||||||||
| 費用/月 |
毎月のWANリンクを使用するためのコストを入力し、横のドロップダウンリストからコストが示されている通貨を選択します。 範囲: 1 から 10,000。 帯域幅が最適化されたSD-WANでは、複数のWANリンクがSLAプロファイルのパラメーターを満たしている場合、CSOはこの情報を使用して、トラフィックをルーティングするための最も安価なリンクを特定します。 |
||||||||||||||||
| リンク優先度 |
1 から 255 の範囲の値を入力します。低い値は、より優先されるリンクを示します。値 1 は最高の優先度を示し、値 255 は最低の優先度を示します。値を入力しない場合、リンク プライオリティは 255 と見なされます。 |
||||||||||||||||
| ローカルブレークアウトを有効にする |
切り替えボタンをクリックして、WAN リンクのローカル ブレークアウトを有効にします。デフォルトでは、ローカル ブレークアウトは無効になっています。
メモ:
|
||||||||||||||||
| ブレイクアウトオプション |
ブレークアウト トラフィックと WAN トラフィックの両方に WAN リンクを使用するか (デフォルト)、ブレークアウト トラフィックのみに使用するかを選択します。 |
||||||||||||||||
| マップ-E |
切り替えボタンをクリックして、IPv6 WAN リンクのカプセル化によるアドレスとポートのマッピング(MAP-E)機能を有効または無効にします。デフォルトでは、MAP-E はディセーブルになっています。 MAP-E は、IPv4-in-IPv6 カプセル化を使用することにより、IPv6 ネットワークを介した IPv4 パケットのトランスポートをサポートします。 MAP-E の詳細については、 NFX シリーズ デバイスでのカプセル化によるアドレスとポートのマッピングを参照してください。
メモ:
|
||||||||||||||||
| 送信元NATルールの自動作成 |
メモ:
セキュアSD-WAN Essentialsサービスがあるサイトは、インターフェイスベースのソースNATルールのみをサポートしています。SD-WAN Essentials サイトでこのオプションを有効にすると、インターフェイスベースのソース NAT ルールが自動的に適用されます。SD-WAN アドバンスドサイトでこのオプションを有効にする場合は、[ 変換 ] フィールドからソース NAT ルールを選択する必要があります。 切り替えボタンをクリックして、送信元NATルールの自動作成を有効または無効にします。デフォルトでは、このフィールドは、WAN リンクに対して IPv4 アドレス割り当てとローカル ブレークアウトが有効になっている場合に有効になります。 表 2 に、WAN リンク上でソース NAT ルールを自動的に作成する方法を示します。自動的に作成された送信元NATルールは暗黙的に定義されてサイトに適用され、NATポリシーページには表示されません。
メモ:
特定のルール セット内で NAT ルールを作成することで、自動的に作成された NAT ルールを手動で上書きできます。たとえば、変換用のインターフェイスではなく送信元NATプールを使用するには、この特定のルールセット内に、関連する部門ゾーンとWANインターフェイスを送信元および宛先として含むNATルールを作成します。例えば: Dept-Zone1 --> W1 : Translation=Pool-2 手動で作成されたNATルールは、対応する自動的に作成されたNATルールよりも高い優先度に配置されます。 また、他のフィールド (アドレス、ポート、プロトコルなど) を送信元エンドポイントまたは送信先エンドポイントの一部として追加することもできます。例えば: Dept-Zone1, Port 56578 --> W1: Translation=Pool-2 |
||||||||||||||||
| 翻訳 |
メモ:
このフィールドは、ソース NAT ルールの自動作成が WAN リンクに対して有効になっており、使用されている SD-WAN サービスが [詳細] の場合にのみ表示されます。セキュアSD-WAN Essentialsサービスがあるサイトは、インターフェイスベースのソースNATルールのみをサポートしています。 WANリンク上のトラフィックに使用するNATのタイプを選択します。
|
||||||||||||||||
| IP アドレス |
プールベースの NAT の場合は、1 つ以上の IP アドレス、サブネット、または IP アドレス範囲を入力します。複数の IP アドレスを指定するには、コンマを使用し、ハイフンを使用して範囲を示します。たとえば、192.0.2.1-192.0.2.50 のようになります。 |
||||||||||||||||
| 優先ブレークアウトリンク |
切り替えボタンをクリックして、WAN リンクを最も優先されるブレークアウト リンクとして有効にします。 このオプションを無効にすると、利用可能なブレークアウト リンクから ECMP を使用してブレークアウト リンクが選択されます。 |
||||||||||||||||
| BGP アンダーレイ オプション |
メモ:
SD-WAN Essentialsサービスがあるサイトには適用されません。
メモ:
この設定は、WAN リンクで IPv4 アドレス割り当て (アドレス割り当て方法として STATIC を使用) とローカル ブレークアウトが有効になっている場合にのみ構成できます。 切り替えボタンをクリックして、BGP アンダーレイ ルーティングを有効にします。 BGP アンダーレイ ルーティングを有効にすると、プライマリ PE ノードとセカンダリ PE ノード(設定されている場合)にアドバタイズメントがルーティングされます。
メモ:
アンダーレイBGPがWANリンクに対して有効になっている場合、BGPから学習したルートはローカルブレイクアウト用にインストールされます。CSOは静的デフォルトルートを生成しません。 |
||||||||||||||||
| プライマリネイバー |
WAN リンクのゲートウェイに入力した IP アドレスが表示されます。 |
||||||||||||||||
| セカンダリネイバー |
PEの回復力を提供する場合は、セカンダリPEノードを設定できます。 セカンダリ PE ノードの IP アドレスを入力します。
メモ:
プライマリ PE ノードがダウンした場合、セカンダリ PE がネクスト ホップとして使用されます。プライマリPEが復旧すると、ルートネクストホップがプライマリPEに変更されます。 |
||||||||||||||||
| eBGPピアAS番号 |
外部(EBGP)ピアの自律システム(AS)番号を入力します。
メモ:
ピアAS番号が設定されていない場合、または設定されているピアAS番号がCPEサイトの番号と同じ場合、BGPタイプは内部BGP(IBGP)と見なされます。 |
||||||||||||||||
| 認証 |
使用する BGP ルート認証方法を選択します。
|
||||||||||||||||
| 認証キー |
MD5 を認証に使用するように指定した場合は、BGP パケットの信頼性を検証するために使用する MD5 認証キー(パスワード)を指定します。 |
||||||||||||||||
| パブリック LAN プレフィックスのアドバタイズ |
切り替えボタンをクリックして、パブリック LAN プレフィックスのアドバタイズを有効にします。このフィールドはデフォルトで無効になっています。 テナントにパブリック IP アドレス プールが構成されていて、パブリック LAN プレフィックスのアドバタイズを有効にした場合、テナントのパブリック IP アドレス プールに該当するサブネットで作成された LAN セグメントの場合、CSO は LAN サブネットを BGP アンダーレイにアドバタイズします。
メモ:
WAN リンクに対してパブリック LAN アドバタイズメントが有効になっている場合、パブリック LAN プレフィックスは BGP アンダーレイを介して MPLS またはインターネットに向けてアドバタイズされます。サイトのオーバーレイとアンダーレイに、同じ LAN プレフィックスに対して 2 つのバージョンのルートがインストールされている場合、オーバーレイ ルートは常にアンダーレイよりも優先されます。 |
||||||||||||||||
| フルメッシュに使用 |
切り替えボタンをクリックして、WANリンクをフルメッシュトポロジの一部にできるかどうかを指定します。 シングル CPE デバイスがあるサイトでは、最大 3 つの WAN リンクをメッシュ有効にすることができ、デュアル CPE デバイスがあるサイトでは、最大 4 つの WAN リンクをメッシュ有効にできます。
メモ:
このフィールドを有効にしても、SD-WAN Essentials サービスを使用するサイトは、2 つのブランチサイト間で閉じられるセッション数のユーザー定義しきい値に基づく動的メッシュトンネルの作成または削除をサポートしません。ただし、OpCo管理者またはテナント管理者は、カスタマーポータルのCSO GUIを使用して、ソースサイトと宛先サイトの間に静的トンネルを作成できます。 |
||||||||||||||||
| メッシュ オーバーレイ リンク タイプ |
[フルメッシュ フィールドに使用]が有効になっている場合、メッシュ オーバーレイ リンクのタイプ(GREとGRE_IPSEC)を選択します。 リンク タイプがインターネットの場合、デフォルトでは、メッシュ オーバーレイ リンク タイプの値は GRE_IPSEC です。 リンク タイプが MPLS の場合、次のいずれかのオプションを選択します。
メモ:
WANリンクのIPv6アドレス割り当てを有効にしている場合は、メッシュオーバーレイリンクのタイプとしてGRE-IPSECのみを選択できます。 |
||||||||||||||||
| メッシュタグ |
フルメッシュに使用 フィールドが有効になっている場合、トンネルを作成するための WAN リンクに関連付けるタグを入力します。リンクに割り当てることができるタグは 1 つだけです。 メッシュタグの一致は、メッシュをサポートするサイト間でトンネルを形成するために使用される基準の1つです。
メッシュ タグの詳細については、「 メッシュ タグの概要」を参照してください。 |
||||||||||||||||
| エンタープライズハブに接続 |
このフィールドは、[ハブ設定]セクションの[メッシュタグを使用してEHubを接続する]フィールドを有効にしている場合は表示されません。 メッシュ タグを使用せずにサイトをエンタープライズ ハブに手動で接続する場合は、この切り替えボタンを有効にします。 |
||||||||||||||||
| プライマリ EHub トンネル タイプ |
このフィールドは、[ エンタープライズ ハブへの接続 ] フィールドを有効にした場合にのみ表示されます。 ブランチ サイトとプライマリ エンタープライズ ハブ間の接続に使用するトンネルの種類を選択します。 |
||||||||||||||||
| プライマリ EHub ピア デバイス |
このフィールドは、[ エンタープライズ ハブへの接続 ] フィールドを有効にした場合にのみ表示されます。 選択したプライマリ エンタープライズ ハブの名前が表示されます。 |
||||||||||||||||
| プライマリ Ehub ピア インターフェイス |
このフィールドは、[ エンタープライズ ハブへの接続 ] フィールドを有効にした場合にのみ表示されます。 トンネルの一部である必要があるプライマリエンタープライズハブWANリンクを選択します。複数の WAN リンクを選択できます。 |
||||||||||||||||
| セカンダリ EHub トンネル タイプ |
このフィールドは、[ エンタープライズ ハブへの接続 ] フィールドを有効にした場合にのみ表示されます。 ブランチ サイトとセカンダリ エンタープライズ ハブ間の接続に使用するトンネルの種類を選択します。 |
||||||||||||||||
| セカンダリ EHub ピア デバイス |
このフィールドは、[ エンタープライズ ハブへの接続 ] フィールドを有効にした場合にのみ表示されます。 選択したセカンダリ エンタープライズ ハブの名前が表示されます。 |
||||||||||||||||
| セカンダリ ehub ピア インターフェイス |
このフィールドは、[ エンタープライズ ハブへの接続 ] フィールドを有効にした場合にのみ表示されます。 トンネルの一部である必要があるセカンダリエンタープライズハブWANリンクを選択します。複数の WAN リンクを選択できます。 |
||||||||||||||||
| プロバイダーハブに接続 |
メモ:
[プロバイダー ハブに接続] フィールドは、プロバイダー ハブを選択した場合にのみ使用できます。 切り替えボタンをクリックして、サイトの WAN リンクがハブに接続することを指定します。
メモ:
|
||||||||||||||||
| OAMトラフィックに使用 |
WAN リンクをハブに接続するように指定した場合は、トグル ボタンをクリックして、WAN リンクを介した OAM トラフィックの送信を有効にします。 次に、このWANリンクを使用してOAMトンネルが確立されます。 |
||||||||||||||||
| オーバーレイ トンネル タイプ |
このフィールドは、「プロバイダー・ハブへの接続」フィールドが有効で、 プロバイダー・ハブ (1 次) が 1 つだけ指定されている場合に表示されます。 ハブへのトンネルのメッシュオーバーレイトンネルタイプ(GREおよびGRE_IPSEC)を選択します。 MPLSリンクはオーバーレイリンクタイプとしてGREとGRE_IPSECの両方を持つことができますが、インターネットリンクはオーバーレイリンクタイプとしてGRE_IPSECのみを持つことができます。 |
||||||||||||||||
| オーバーレイ ピア デバイス |
このフィールドは、「プロバイダー・ハブへの接続」フィールドが有効で、 プロバイダー・ハブ (1 次) が 1 つだけ指定されている場合に表示されます。 サイトが接続されているピア ハブ デバイスを表示します。 |
||||||||||||||||
| オーバーレイ ピア インターフェイス |
このフィールドは、「プロバイダー・ハブへの接続」フィールドが有効で、 プロバイダー・ハブ (1 次) が 1 つだけ指定されている場合に表示されます。 サイトのWANリンクが接続されているハブデバイスのインターフェイス名を選択します。 |
||||||||||||||||
| オーバーレイ トンネル タイプ 1 |
このフィールドは、[ プロバイダー ハブへの接続 ] フィールドが有効で、プライマリ ハブとセカンダリ ハブの両方が指定されている場合に表示されます。 プライマリハブへのトンネルのメッシュオーバーレイトンネルタイプ(GREおよびGRE_IPSEC)を選択します。 MPLSリンクはオーバーレイリンクタイプとしてGREとGRE_IPSECの両方を持つことができますが、インターネットリンクはオーバーレイリンクタイプとしてGRE_IPSECのみを持つことができます。 |
||||||||||||||||
| オーバーレイ ピア デバイス 1 |
このフィールドは、[ プロバイダー ハブへの接続 ] フィールドが有効で、プライマリ ハブとセカンダリ ハブの両方が指定されている場合に表示されます。 サイトが接続されているプライマリ ピア ハブ デバイスを表示します。 |
||||||||||||||||
| オーバーレイ ピア インターフェイス 1 |
このフィールドは、[ プロバイダー ハブへの接続 ] フィールドが有効で、プライマリ ハブとセカンダリ ハブの両方が指定されている場合に表示されます。 サイトのWANリンクが接続されているプライマリハブデバイスのインターフェイス名を選択します。 |
||||||||||||||||
| オーバーレイトンネルタイプ2 |
このフィールドは、[ プロバイダー ハブへの接続 ] フィールドが有効で、プライマリ ハブとセカンダリ ハブの両方が指定されている場合に表示されます。 セカンダリ ハブへのトンネルのメッシュ オーバーレイ トンネル タイプ(GREおよびGRE_IPSEC)を選択します。 MPLSリンクはオーバーレイリンクタイプとしてGREとGRE_IPSECの両方を持つことができますが、インターネットリンクはオーバーレイリンクタイプとしてGRE_IPSECのみを持つことができます。 |
||||||||||||||||
| オーバーレイピアデバイス2 |
このフィールドは、[ プロバイダー ハブへの接続 ] フィールドが有効で、プライマリ ハブとセカンダリ ハブの両方が指定されている場合に表示されます。 サイトが接続されているセカンダリ ピア ハブ デバイスを表示します。 |
||||||||||||||||
| オーバーレイ ピア インターフェイス 2 |
このフィールドは、[ プロバイダー ハブへの接続 ] フィールドが有効で、プライマリ ハブとセカンダリ ハブの両方が指定されている場合に表示されます。 サイトの WAN リンクが接続されているセカンダリ ハブ デバイスのインターフェイス名を選択します。 |
||||||||||||||||
| バックアップリンク |
プライマリ(その他)リンクが利用できない場合にトラフィックがルーティングできるバックアップリンクを選択します。デフォルトリンクまたはローカルブレークアウトトラフィック専用に設定されたリンク以外の任意のリンクを選択できます。 プライマリリンクがオンラインに戻ると、CSOはプライマリリンクのパフォーマンスを監視し、プライマリリンクがSLA要件を満たすと、トラフィックはプライマリリンクに戻されます。ただし、バックアップ リンクの SLA データは監視されません。 |
||||||||||||||||
| デフォルトリンク |
一致する SD-WAN ポリシーインテントがない場合にトラフィックのルーティングに使用するリンクを 1 つ以上選択します。サイトには、ハブ サイトへの複数の既定のリンクを含めることができます。 デフォルト リンクは主にオーバーレイ トラフィックに使用されますが、ローカル ブレークアウト トラフィックにも使用できます。ただし、デフォルト リンクをローカル ブレークアウト トラフィック専用に使用することはできません。デフォルトリンクを指定しない場合は、ECMP(等価コストマルチパス)を使用して、トラフィックをルーティングするリンクが選択されます。 |
||||||||||||||||
| VLAN ID |
WAN リンクの VLAN ID を入力します。 範囲: 0 から 4049 (4050 から 4094 は CSO によって予約されています)。
メモ:
|
||||||||||||||||
| WAN_1 WAN-Interface-Name |
切り替えボタンをクリックして、WAN リンクを有効または無効にします。 WANリンクを有効にすると、WANリンクに関連するフィールドが表示されます。続行するには、アスタリスク (*) でマークされたフィールドを設定する必要があります。フィールドの説明については、WAN_0WAN-Interface-Nameで説明されているフィールドを参照してください |
||||||||||||||||
| WAN_2 WAN-Interface-Name |
切り替えボタンをクリックして、WAN リンクを有効または無効にします。 WANリンクを有効にすると、WANリンクに関連するフィールドが表示されます。続行するには、アスタリスク (*) でマークされたフィールドを設定する必要があります。フィールドの説明については、WAN_0WAN-Interface-Nameで説明されているフィールドを参照してください |
||||||||||||||||
| WAN_3 WAN-Interface-Name |
切り替えボタンをクリックして、WAN リンクを有効または無効にします。 WANリンクを有効にすると、WANリンクに関連するフィールドが表示されます。続行するには、アスタリスク (*) でマークされたフィールドを設定する必要があります。フィールドの説明については、WAN_0WAN-Interface-Nameで説明されているフィールドを参照してください |
||||||||||||||||
| PPPoE/PPP 設定 |
|||||||||||||||||
| 名 |
サービス プロバイダーによって指定された PPPoE サーバーまたは PPP サーバーのユーザー名を入力します。たとえば、ISP-ANetwork などです。 |
||||||||||||||||
| パスワード |
サービスプロバイダが指定した PPPoE サーバまたは PPP サーバのパスワードを入力します。 |
||||||||||||||||
| 認証プロトコル |
サービス プロバイダーによって指定された認証に、[パスワード認証プロトコル (PAP)] または [チャレンジ ハンドシェイク認証プロトコル (CHAP)] を選択します。 |
||||||||||||||||
| 詳細設定
メモ:
SD-WAN Essentialsサービスがあるサイトは、2つの支社/拠点サイト間で閉じられるセッション数のユーザー定義しきい値に基づく動的メッシュトンネルの作成や削除をサポートしていません。ただし、OpCo管理者またはテナント管理者は、カスタマーポータルのCSO GUIを使用して、ソースサイトと宛先サイトの間に静的トンネルを作成できます。 |
|||||||||||||||||
| OAM IP プレフィックス |
CPE デバイスのループバック インターフェイスの IPv4 アドレス プレフィックス(10.100.100.11/32 など)を入力します。IP アドレスプレフィックスは /32 IP アドレスプレフィックスである必要があり、管理ネットワーク全体で一意である必要があります。
メモ:
管理接続は CSO によって自動的に処理されるため、この設定を構成しない ([IP プレフィックス] フィールドを空白のままにする) ことをお勧めします。 |
||||||||||||||||
| トラフィック量メトリック |
サイトの WAN リンク上の SD-WAN トラフィック量を計算する方法を選択します。CSOは、このデータを使用して、「サイトの詳細」ページにWANトラフィック量をグラフィカルに表示します。
|
||||||||||||||||
| トンネル作成時の DVPN しきい値 |
メモ:
SD-WAN Essentialsサービスがあるサイトには適用されません。 2 つのサイト間でフルメッシュが作成される 2 分間に、接続されたサイト間で閉じられたセッションの最大数を入力します。 デフォルト値は5です。 例えば、セッション数を5と指定すると、2分間に2つのブランチサイト間で閉じられたセッションの数が5を超えると、動的メッシュトンネルが作成されます。 |
||||||||||||||||
| トンネル削除の DVPN しきい値 |
メモ:
SD-WAN Essentialsサービスがあるサイトには適用されません。 2 つのサイト間のフルメッシュが削除される 15 分間に、接続されたサイト間で閉じられたセッションの数を入力します。 デフォルト値は 8 です。 例えば、閉じられたセッションの数を8と指定した場合、閉じられたセッションの数が8以下の場合、動的メッシュトンネルは削除されます。 |
||||||||||||||||
| LANセグメント設定 |
|||||||||||||||||
| LANセグメントの追加 |
ブランチ サイトに少なくとも 1 つの LAN セグメントを追加する必要があります。LANセグメントを追加するには
|
||||||||||||||||
| Configuration Templates (Optional) |
|||||||||||||||||
| 構成テンプレートのリスト |
リストから 1 つ以上の構成テンプレートを選択します。このリストは、選択したデバイスに基づいてフィルタリングされます。 構成テンプレートは、OpCo 管理者、SP 管理者、またはテナント管理者によって追加されるステージ 2 テンプレートです。
メモ:
LAN セクションに移動する前に、選択した構成テンプレートのパラメーターを設定する必要があります。 選択した構成テンプレートのパラメーターを設定するには:
|
||||||||||||||||
| 送信元NATルールの自動作成 |
翻訳 |
NATルールの作成 |
|---|---|---|
| 無効 |
適用なし(NATなし) |
なし。 |
| 有効 |
インターフェイスベース(デフォルト):CSOはインターフェイスベースNATルールを作成します。 |
ソースNATルールは、部門ゾーンからWANインターフェイスへの各ルールとともに、インターフェイスタイプの変換とともに自動的に作成されます。[zone - interface] の各ペアは、ルール セットを表します。 たとえば、次の部門ゾーンから(WANリンク)W1インターフェイスルールセットが作成されます。 Dept-Zone1 --> W1: Translation=Interface Dept-Zone2 --> W1: Translation=Interface Dept-Zone3 --> W1: Translation=Interface ブランチ サイトからのトラフィックがエンタープライズ ハブでブレイクアウトすると、エンタープライズ ハブで部門ルーティング グループ(VRF グループとも呼ばれる)から WAN インターフェイスへのソース NAT ルールが自動的に作成されます。 Dept-vrf-group --> W1: Translation=Interface |
| 有効 |
プールベース—CSOはプールベースのNATルールを自動的に作成します(SD-WAN Essentialsサービスを使用するサイトには適用されません)。 |
ソースNATルールが自動的に作成され、部門ゾーンからWAN NATプールへの各ルールが、プールタイプに変換されます。 たとえば、部門ゾーンから NAT プールへのソース NAT ルールを作成できます。 Dept-Zone1 --> W1 : Translation=Pool-1 Dept-Zone2 --> W1 : Translation=Pool-1 ブランチ サイトからのトラフィックがエンタープライズ ハブでブレイクアウトすると、エンタープライズ ハブで部門ルーティング グループから WAN プールへのソース NAT ルールが自動的に作成されます。 Dept-vrf-group --> W1: Translation=Pool |
| フィールド |
説明 |
|---|---|
| オーバーレイVPNに使用 |
他のサイトへのオーバーレイ トラフィック用に LAN セグメントを選択した部門(VRF + ZONE)に関連付けるには、[オーバーレイ VPN の使用(Use for Overlay VPN )] フィールドを有効にします。 アンダーレイブレークアウト用のセキュリティゾーンにLANセグメントを関連付けるために、[ オーバーレイVPNに使用 ]フィールドを無効にします。ゾーンベースのセキュリティポリシーを定義する必要があります。
メモ:
新しいサイトを追加する場合、このフィールドは既定で有効になり、変更できません。ただし、[サイト名] ページの [LAN] タブからプロビジョニングされたサイトに新しい LAN セグメントを追加する場合は、このオプションを有効または無効にできます。 |
| 名前 |
LAN セグメントの名前を入力します。 LAN セグメントの名前は、英数字といくつかの特殊文字 (. -) の固有のストリングでなければなりません。スペースは許可されず、最大長は 15 文字です。 |
| CPE ポート |
メモ:
SRXシリーズファイアウォールに適用されます。 LANセグメントに追加するCPEポートを選択します。 ページの [LAN] タブ Site-Name からプロビジョニング済みサイトに新しい LAN セグメントを追加する場合、SRX シリーズ CPE デバイスを EX シリーズ スイッチに接続するための LAG インターフェイスまたは冗長イーサネット(reth)インターフェイス(デュアル CPE クラスタの場合)を選択(または作成)できます。 SRX4600デバイスでetインターフェイスを使用するには、LAGインターフェイスを作成し、etインターフェイスをLAG(集合型イーサネットまたはae)インターフェイスのメンバーとして設定する必要があります。 LAGインターフェイスの作成を参照してください。 SRX4600 デュアル CPE クラスタの場合、et インターフェイスが冗長イーサネット(reth)インターフェイスのメンバーとして構成されている場合、et インターフェイスを使用できます。 |
| LAGインターフェイスの追加 |
メモ:
このオプションは、ページの [LAN] タブ Site-Name からプロビジョニングされたサイトに新しい LAN セグメントを追加するときに使用できます。 SRXシリーズCPEをEXシリーズスイッチに接続するために使用する場合は、LAGインターフェイス(aeインターフェイス)を作成するためのリンクをクリックします。詳細については、 LAGインターフェイスの作成 を参照してください。 |
| RETHインターフェイスの作成 |
メモ:
このオプションは、ページの [LAN] タブ Site-Name からプロビジョニングされたサイトに新しい LAN セグメントを追加するときに使用できます。 リンクをクリックして、デュアル CPE クラスターを持つ SD-WAN サイトの reth インターフェイスを作成します。詳細については 、「 RETH インターフェイスを作成する 」を参照してください。 |
| 型
メモ:
このフィールドは、エンタープライズ・ハブ・サイトに関連付けられた LAN セグメントの場合にのみ表示されます。 |
LANセグメントのタイプを選択します。
|
| VLAN ID |
LAN セグメントの VLAN ID を入力します。デフォルトでは、VLAN IDは1に設定され、ネイティブVLANはタグなしトラフィックに対して有効になっています。 以下の範囲の VLAN ID を使用して、LAN セグメントを設定できます。
|
| ネイティブ VLAN に使用 |
タグなしトラフィックに上記で指定したVLAN IDを使用するには、このオプションを有効にします。CPE インターフェイスは、VLAN ID と同じ値を持つネイティブ VLAN ID を使用して構成されます。 |
| 担当部署 |
メモ:
このフィールドは、 オーバーレイVPNに使用 フィールドが有効になっている場合にのみ使用できます。 LANセグメントを割り当てる部門を選択します。 または、[ 部門の作成 ] リンクをクリックして新しい部門を作成し、それに LAN セグメントを割り当てます。詳細については 、「部門の追加 」を参照してください。 LANセグメントを部門としてグループ化することで、管理を容易にし、部門レベルでポリシーを適用できます。動的にルーティングされる LAN セグメントの場合、割り当てることができるのはデータ センター部門のみです。 |
| ゲートウェイ アドレス/マスク |
LAN セグメントの有効なゲートウェイ IP アドレスとマスクを入力します。このアドレスは、この LAN セグメント内のエンドポイントのデフォルト ゲートウェイになります。 たとえば、192.0.2.8/24 です。 |
| ゾーン |
メモ:
このフィールドは、[ オーバーレイ VPN に使用 ] フィールドが無効になっている場合にのみ使用できます。 この LAN セグメントに関連付けるセキュリティ ゾーンを選択します。または、[ ゾーンの作成] をクリックして新しいセキュリティ ゾーンを作成し、それをこの LAN セグメントに割り当てます。詳細は、 セキュリティ・ゾーンの追加 を参照してください。 |
| Dhcp |
直接接続された LAN セグメントの場合は、切り替えボタンをクリックして DHCP を有効にします。 DHCP サーバーを使用して IP アドレスを割り当てる場合は DHCP を有効にし、LAN セグメントに静的 IP アドレスを割り当てる場合は DHCP を無効にできます。
メモ:
DHCP を有効にすると、追加のフィールドがページに表示されます。 |
| DHCPに関連する追加フィールド |
|
| アドレス範囲(低) |
DHCP サーバが LAN セグメントに割り当てることができる IP アドレスの範囲で、開始 IP アドレスを入力します。 |
| アドレス範囲: 高 |
DHCP サーバが LAN セグメントに割り当てることができる IP アドレスの範囲で終了 IP アドレスを入力します。 |
| 最大リース時間 |
クライアントが DHCP サーバーでリースを要求して保持できる最大期間 (秒単位) を指定します。 デフォルト: 1440 範囲: 0 から 4,294,967,295 秒。 |
| ネームサーバー |
DNS サーバーの 1 つ以上の IPv4 アドレスを指定します。 複数の DNS サーバー アドレスを入力するには、アドレスを入力し、Enter キーを押して、次のアドレスを入力します。
メモ:
DNSサーバーは、ホスト名をIPアドレスに解決するために使用されます。 |
| CPE ポート |
メモ:
NFX150 および NFX250 デバイスに適用されます。 SD-WAN 機能を持つサイトの場合、「CPE ポート」フィールドは無効になり、LAN セグメントに含めることができる CPE ポートがリストされます。 [使用可能(Available)] 列からポートを選択し、右矢印をクリックしてポートを [選択済み] 列に移動します。 |
| スタティックルーティング このセクションを使用して、LAN セグメントにスタティックルーティングを設定します。CPE デバイスに接続されているすべての LAN ルーターの IP アドレスと、これらのルーターの背後にある静的サブネットを指定します。 |
|
| LANルーターIPプレフィックスの追加 |
|
| LANルーターIP |
CPE デバイスに接続されている LAN ルーターの IP アドレスを入力します。 |
| プレフィックス |
LAN ルーターに接続されているサブネットを入力します。 |
| Bfd |
双方向フォワーディング検出(BFD)を有効にして、スタティック ルート上の障害を検出します。 |
| ダイナミック ルーティング |
|
| ルーティング プロトコル |
BGP または OSPF プロトコルを使用して動的ルーティングを設定するには、この切り替えボタンを有効にします。 |
| Bfd |
BFD(双方向フォワーディング検出)を有効にして、LANセグメントの障害を検出します。 |
| プロトコル |
BGP または OSPF のいずれかを選択します。 |
| BGP コンフィギュレーション
メモ:
リリース6.1.0以降、CSOは、プロバイダーエッジ(PE)およびデータセンターまたはLANルーターとのBGPピアリングセッションの長寿命グレースフルリスタート(LLGR)機能を明示的に無効にします。LLGRを無効にすると、ピアリングルーターのLLGR機能に関係なく、CPEがピアリングルーターへのルートアドバタイズメントを区別しなくなります。 CSOリリース6.1.0より前は、IP VPN導入時のPEルーター、データセンター導入時のデータセンターまたはLANルーターへのBGPピアリングに対して、CPEでLLGRヘルパーモードがデフォルトで有効になっています(Junos OSの暗黙的な動作)。 |
|
| 認証 |
使用する BGP ルート認証方法を選択します。
|
| 認証キー |
MD5 を認証に使用するように指定した場合は、BGP パケットの信頼性を検証するために使用する MD5 認証キー(パスワード)を指定します。 |
| BGP オプション |
要件に基づいて、次のオプションを選択できます。
|
| ループ数 |
このフィールドは、[AS-LOOP]を選択した場合にのみ表示されます。 ASパスでローカルASの検出が許可される最大回数を入力します。 |
| ピア IP アドレス |
LAN BGP ピアの IP アドレスを入力します。 |
| ピアAS番号 |
LAN BGPピアの自律システム(AS)番号を入力します。デフォルトでは、CSOはAS番号64512を使用します。別のAS番号を入力することもできます。 |
| ローカルAS番号 |
ローカルAS番号を入力します。このパラメータを設定すると、CPEに設定されたグローバルAS番号ではなく、BGPピアリングにローカルAS番号が使用されます。 |
| OSPF の設定 |
|
| OSPFエリアID |
動的経路に使用するOSPFエリア識別子を指定します。 |
| 認証 |
使用するOSPFルート認証方式を選択します。
|
| パスワード |
OSPFパケットの信頼性を検証するために使用するパスワードを入力します。 |
| パスワードの確認 |
確認のため、パスワードを再入力します。 |
| MD5認証キーID |
MD5 を認証に使用するように指定した場合は、OSPF MD5 認証キー ID を入力します。 範囲: 1 から 255。 |
| 認証キー |
MD5 を認証に使用するように指定した場合は、OSPF パケットの信頼性を検証するために使用する MD5 認証キーを入力します。 |
| ルートアドバタイズ制御 |
|
| オーバーレイする LAN ルート |
このオプションを有効にすると、LAN ルートが SD-WAN オーバーレイにアドバタイズされます。既定では、このオプションは有効になっています。 |
| エクスポートポリシー オーバーレイ ネットワークにアドバタイズされるルートをより細かく制御するには、 オーバーレイする LAN ルート オプションと組み合わせてポリシーを構成できます。例えば、 オーバーレイへのLAN ルートオプションが有効になっている場合、特定のルートがアドバタイズされないようにポリシーを設定することができます。同様に、 オーバーレイへのLAN ルートオプションが無効になっている場合、特定のルートのみをアドバタイズするようにポリシーを設定できます。 ポリシーの順序を変更するには、行をドラッグ アンド ドロップして上下に移動します。ポリシーを追加するには、[+] アイコンをクリックします。 |
|
| エクスポートポリシーの追加 |
|
| 名前 | ポリシーの名前を入力します。名前には、文字、数字、ハイフン(-)を使用でき、最大 255 文字まで使用可能です。 |
| 一致条件 | 一致条件は、ルートが一致する必要がある基準を定義します。以下の一致条件を 1 つ以上定義できます。
|
| 次: アクション | 一致条件を満たすルートに対して、以下のアクションのいずれかを選択します。
|
| LANへのオーバーレイルート |
このオプションは、[ルーティング プロトコル] 切り替えボタンを有効にした場合にのみ表示されます。既定では、このオプションは無効になっています。 SD-WAN オーバーレイルートを LAN ルーターにアドバタイズするには、このオプションを有効にします。インポートおよびエクスポートポリシーを使用して、ルートアドバタイズメントをきめ細かく制御することができます。
メモ:
CSOリリース6.0.0以前のリリースでは、このオプションはアドバタイズLANプレフィックスと呼ばれ、データセンター部門にのみ適用されます。 |
| BGPまたはOSPFインポートポリシー(このセクションは、ダイナミックルーティングを有効にした場合に表示されます。 | エクスポートポリシーを追加して、CPE が LAN ルーターにアドバタイズするルートをきめ細かく制御できます。 ポリシーの順序を変更するには、行をドラッグ アンド ドロップして上下に移動します。ポリシーを追加するには、[+] アイコンをクリックします。表 4 を参照してください |
| BGPまたはOSPFエクスポートポリシー(このセクションは、ダイナミックルーティングを有効にした場合に表示されます。 | エクスポートポリシーを追加して、CPE が LAN ルーターにアドバタイズするルートをきめ細かく制御できます。 ポリシーの順序を変更するには、行をドラッグ アンド ドロップして上下に移動します。ポリシーを追加するには、[+] アイコンをクリックします。表 4 を参照してください |
| オーバーレイするアグリゲート/スタティックルート |
このオプションを有効にすると、集約されたルートをスタティックルートまたはアグリゲートルートとしてオーバーレイネットワークにアドバタイズできるようになります。
|
| ポリシータイプ | 一致条件 | アクション |
|---|---|---|
| BGPインポートポリシー | 以下の一致条件を 1 つ以上定義できます。
|
|
| BGP エクスポート ポリシー | 以下の一致条件を 1 つ以上定義できます。
|
|
| OSPF インポート ポリシー | 以下の一致条件を 1 つ以上定義できます。
|
その後: [アクション(Action)]:一致条件を満たすルートに対して、次のいずれかのアクションを選択します。
|
| OSPF エクスポート ポリシー | 以下の一致条件を 1 つ以上定義できます。
|
|