Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SD-WAN機能でエンタープライズハブを追加

エンタープライズハブサイトは、サイト間のトラフィックをオンプレミスのスポークサイト(支社サイト)間で伝送し、支社サイトからのバックホール(中央ブレークアウト)トラフィックをブレークアウトするために使用されるSD-WANサイトです。 一般的に 、エンタープライズハブの背後にはデータセンター部門があります。ただし、これは Contrail Service Orchestration(CSO)には適用されません。エンタープライズ ハブでは、以下のデバイス テンプレートがサポートされています。

  • SD-WAN CPE としての SRX(vSRX 仮想ファイアウォールのみ)

  • SD-WAN CPE としてのデュアル SRX(vSRX 仮想ファイアウォールのみ)

  • SD-WAN CPE としての SRX-1500

  • SD-WAN CPE としてのデュアル SRX1500

  • SD-WAN CPE としての SRX4x00

  • SD-WAN CPE としてのデュアル SRX4x00

メモ:

CSOリリース6.0.0以降、SD-WAN導入では、ハブを使用してサイトを接続することはオプションです。

CPE(シングルまたはデュアル加入者宅内機器)で構成される SD-WAN の導入では、テナント管理者は、エンタープライズ ハブ サイトを追加した後に CPE デバイスのシリアル番号を入力するオプションがあります。エンタープライズ ハブはテナント管理者が追加し、別の承認済みユーザーが手動でアクティブ化できます。承認されたユーザーは、後でデバイスを手動でアクティブ化する場合は、シリアル番号とアクティベーションコード、またはシリアル番号のみを入力する必要があります。

メモ:

デュアル CPE デバイス テンプレートでは、1 つの CPE にシリアル番号を追加して、もう一方の CPE デバイスのシリアル番号をスキップすることはできません。サイトの作成時にプライマリ デバイスとセカンダリ デバイスの両方のシリアル番号を入力するか、サイトのアクティブ化中に両方のシリアル番号を入力できます。

リリース6.0.0以降、CSOはサイトに対して以下のSD-WANサービスをサポートしています。

  • セキュアなSD-WANの基本:小規模企業に最適な基本的なSD-WANサービスを提供します。詳細については、「 SD-WAN 機能を使用した支社/拠点サイトの追加 」を参照してください。

    メモ:

    高度なSD-WANサービスレベルを持つテナントは、高度なSD-WANサービスでのみエンタープライズハブを作成できます。セキュアな SD-WAN の高度な支社/拠点サイトは、セキュアな SD-WAN の高度なエンタープライズ ハブにのみ接続します。

  • セキュアなSD-WAN Advanced—完全なSD-WANサービスを提供します。Secure SD-WAN Advancedサービスを使用するテナントのすべてのサイトは、フルメッシュまたはハブアンドスポーク方式のトポロジーで接続されています。

    メモ:

    CSO リリース 5.4 以前のバージョンの SD-WAN サイトは、SD-WAN アドバンスド サイトとして扱われます。

CSOリリース6.0.0以降、エンタープライズハブサイト作成ワークフローは、オンボーディングプロセス中にサービスのプロビジョニングをオプションにすることで簡素化されます。サイト作成時にサービスを構成することも、後でサービスを追加することもできます。SD-WAN サービスを使用しないエンタープライズ サイトを追加するには、「 サービスを プロビジョニングせずに支社/拠点またはエンタープライズ ハブ サイトを追加する」を参照してください。

エンタープライズ ハブ サイトを追加するには、以下の手順に従います。

メモ:

リアルタイムに最適化された SD-WAN モードのテナントに対してのみ、エンタープライズ ハブ サイトを追加できます。

  1. [サイト管理>リソース] をクリックします。

    [Sites]ページが表示されます。

  2. [追加] をクリックし、[Enterprise Hub] を選択します。

    [ エンタープライズ ハブの追加] ページが表示されます。

  3. 表 1 に示すガイドラインに従って、完全な構成設定を行います。
    メモ:

    アスタリスク(*)が付いたフィールドは必須です。

  4. (オプション)[概要]タブで設定を確認し、必要に応じて設定を変更できます。
  5. [OK] をクリックします
    • アクティベーション中にシリアル番号を入力し、自動アクティベーションが有効になっている場合は、サイトアクティベーション進捗ページが表示されます。サイトのアクティブ化プロセスは、「 サイトのアクティブ化に関する問題のトラブルシューティング」で説明されているタスクを実行します。

      [OK] をクリックして [サイトのアクティブ化の進捗] ページを閉じます。

    • シリアル番号を入力していないのに自動アクティベーションが無効になっている場合、サイト管理ページに戻ります。CSOはジョブをトリガーし、ジョブリンクを含む確認メッセージを表示します。リンクをクリックすると、ジョブのステータスが表示されます。ジョブが完了すると、CSOはジョブリンクを含む確認メッセージを表示します。サイトのステータスが CREATED に変わります。

      アクティベーションプロセスを完了するには、デバイスを手動でアクティブ化する必要があります。

    メモ:

    デバイス テンプレートでゼロ タッチ プロビジョニング(ZTP)が true に設定されている場合、次の手順が適用されます。デバイステンプレートでZTPが無効になっている場合は、ステージ1設定をコピーしてデバイスにコミットして、CSOがアクティベーションを開始する必要があります。

    CPE(エンタープライズ ハブ)デバイスを手動でアクティブ化するには、次の手順に従います。

    1. アクティブ化する必要があるエンタープライズ ハブを選択します。
    2. [サイト管理] ページの [サイトのアクティブ化] リンクをクリックします。

      [ サイトのアクティブ化] ページが表示されます。

    3. デバイスのシリアル番号とアクティベーションコードを入力します。[OK] をクリックします

      [サイトのアクティブ化の進行状況] ページが表示され、エンタープライズ ハブをアクティブ化するために実行された手順の進行状況が表示されます。デバイスのアクティブ化に成功すると、サイトのステータスが [作成済み] から [プロビジョニング済み] に変わります。

表 1:<Tenant-Name> 設定用 Enterprise Hub の追加(WAN 機能)

フィールド

説明

一般

サイト情報

サイト名

サイトの一意の名前を入力します。英数字とハイフン(-)を使用できます。最大長は32文字です。

デバイス ホスト名

デバイスホスト名は自動生成され、 形式 tenant-name.host-nameを使用します。デバイス ホスト名のパーツを tenant-name 変更することはできません。英数字とハイフン(-)を使用します。最大長は32文字です。

サイト グループ

サイトを割り当てるサイト グループを選択します。

サイト機能

メモ:

デバイス管理はデフォルトで有効になっており、デバイス管理機能(サービスなし)のみのサイトを作成し、後でサービスを追加できます。

このサイトのSD-WAN機能を追加するには、次のいずれかのSD-WANサービスタイプを選択します。

  • セキュアなSD-WAN Essentials—(SD-WAN Essentialsサービスレベルのテナントで利用可能)基本的なSD-WANサービスを提供します。このサービスは、リンクベースのアプリケーション ステアリングを使用して、支社サイトの包括的な NGFW セキュリティ サービスによるシンプルな WAN 接続の管理を求める小規模企業に最適です。SD-WAN Essentialsサービスは、マルチホーミング、ダイナミックメッシュトンネル、クラウドブレイクアウトプロファイル、SLAベースのステアリングプロファイル、プールベースのソースNATルール、IPv6、MAP-E、またはアンダーレイBGPをサポートしていません。

  • セキュアなSD-WAN Advanced—(SD-WAN Advancedサービスレベルのテナントで利用可能)完全なSD-WANサービスを提供します。このサービスは、柔軟なトポロジーと動的なアプリケーション ステアリングを必要とする 1 つ以上のデータ センターを持つ企業に最適です。ハブアンドスポーク方式トポロジーのハブを使用するか、静的または動的なフルメッシュVPNトンネルを使用して、サイトツーサイト接続を確立できます。エンタープライズ全体のインテントベースのSD-WANポリシーとSLA(サービスレベル合意)測定により、さまざまなアプリケーションのトラフィックを差別化し、動的にルーティングできます。

    メモ:

    セキュアな SD-WAN の高度な支社/拠点サイトは、セキュアな SD-WAN の高度なエンタープライズ ハブにのみ接続します。

住所と連絡先情報

番地

サイトの番地を入力します。

都市

サイトが配置されている都市の名前を入力します。

都道府県

サイトが配置されている州または都道府県を選択します。

郵便番号

サイトの郵便番号を入力します。

サイトが配置されている国を選択します。

[ 検証 ] ボタンをクリックして、指定したアドレスを確認できます。

  • アドレスを確認できる場合は、 サイトアドレス検証に成功 したメッセージが表示されます。 [マップ上の位置の表示 ] リンクをクリックして、住所の場所を確認できます。

  • アドレスを検証できない場合は、 サイト アドレスを検証できなかった というメッセージが表示されます。

連絡先名

サイトの連絡先の名前を入力します。

電子メール

サイトの連絡先のメールアドレスを入力します。

電話

サイトの連絡先の電話番号を入力します。

[ 次へ ] をクリックして続行します。

高度な設定

ドメインネームサーバー

1 つ以上の IPv4 または IPv6、または DNS サーバーの IPv4 アドレスと IPv6 アドレスの両方を指定します。複数の DNS サーバー アドレスを指定するには、アドレスを入力し、Enter キーを押してから、次のアドレスを入力します。

DNSサーバーは、ホスト名をIPアドレスに解決するために使用されます。

NTP サーバー

1 つ以上の NTP サーバーの完全修飾ドメイン名(FQDN)または IP アドレスを指定します。

例:ntp.example.net

サイトの構成中に FQDN を解決するには、サイトに DNS 到達可能性が必要です。

タイムゾーンを選択

サイトの時間帯を選択します。

デバイス
メモ:

このセクションの一部のフィールドは、デバイス冗長性オプションを有効にした場合にのみ表示されます。

デバイスの冗長性

デフォルトでは無効になっています。デュアル CPE でこのオプションを有効にします。

デバイスの冗長性を実現するには、以下の前提条件が必要です。

  • 両方のノード間の制御ポートとファブリックポートが接続されていることを確認します。

  • 管理接続用にデバイスが事前設定されていることを確認します(工場出荷時のデフォルトまたは事前設定済み)。これらのポートは再構成されますので、制御、ファブリック、データ(reth)ポートは設定しないでください。

    各 SRX モデルの制御、ファブリック、管理、データ ポートを識別するには、 SRX 高可用性コンフィグレーター ツールを参照してください。

    メモ:

    CSOが生成する設定はツールで生成せず、クラスタ設定を自動的に適用します。

  • SRX300 および SRX320 デバイスで ZTP を使用している場合は、ge-0/0/0 ではなく、ge-0/0/7 を事前定義済みの DHCP ポートとして使用します。

  • デバイステンプレートのファブリックとデータ(reth)ポート情報を提供します。制御ポートと fxp0 ポートは事前定義されています。制御ポートを変更するには、プラットフォームデバイステンプレートで変更します。データ(reth)ポートを変更するには、SDWAN デバイス テンプレートで変更します。

デバイスシリーズ

CPE が属するデバイス シリーズを選択します。

選択したデバイス シリーズに基づいて、サポートされているデバイス テンプレート(デバイスの設定情報を含む)が表示されます。

デバイス モデル

デバイスのモデル番号を選択します。

デバイス Root パスワード

デフォルトのrootパスワードは、デバイステンプレートのENC_ROOT_PASSWORDフィールドから取得されます。パスワードを保持するか、プレーンテキスト形式でパスワードを入力して変更できます。パスワードは暗号化され、デバイスに保存されます。

シリアル番号

単一の CPE デバイスの場合、CPE デバイスのシリアル番号を入力します。シリアル番号は大文字と小文字を区別します。

シリアル番号を入力しない場合、エンタープライズ ハブは追加されますが、アクティブになりません。シリアル番号を入力し、後でエンタープライズ ハブ サイトをアクティブ化するには、 ステップ 4 を参照してください。

   

ノード0シリアル番号

デュアル CPE の場合、プライマリ CPE デバイスのシリアル番号を入力します。シリアル番号では大文字と小文字が区別されます。

シリアル番号を入力しない場合、エンタープライズ ハブ サイトは追加されますが、アクティブ化されません。シリアル番号を入力し、後でエンタープライズ ハブ サイトをアクティブ化するには、 ステップ 4 を参照してください。

ノード1シリアル番号

デュアル CPE の場合、セカンダリ CPE デバイスのシリアル番号を入力します。シリアル番号では大文字と小文字が区別されます。

シリアル番号を入力しない場合、エンタープライズ ハブ サイトは追加されますが、アクティブ化されません。シリアル番号を入力し、後でエンタープライズ ハブ サイトをアクティブ化するには、 ステップ 4 を参照してください。

ゼロタッチプロビジョニング

ZTP(ゼロ タッチ プロビジョニング)を有効または無効にするには、切り替えボタンをクリックします。このオプションは、デフォルトで有効になっています。

メモ:

デフォルトでは、このボタンはvSRX仮想ファイアウォールでは無効になっています。vSRX 仮想ファイアウォールで実行されている Junos OS バージョンが電話ホーム クライアントをサポートしている場合は、このボタンを有効にできます。

ZTP を使用するには、以下を確認します。

  • デバイスには、CSOおよびジュニパーの phone-homeサーバー(https://redirect.juniper.net)への接続が必要です。

    telnet を使用して接続性を確認します。

    telnet redirect.juniper.net:443

    telnet CSO Hostname/IP:443

    接続が確立されると、デバイスは phone-home サーバーと CSO に接続します。

  • 電話ホーム サーバーと CSO に必要な証明書がデバイスに存在している必要があります。

ZTP を有効にした場合、[ブート イメージ] フィールドが表示され、Phone-Home クライアントをサポートするイメージを選択する必要があります。ZTP中に、ファイアウォールデバイス上のイメージが、ブートイメージに選択したイメージにアップグレードされます。

ZTPを無効にする場合、デバイスがCSOに接続されていることを確認してください。デバイスが事前設定または事前設定されていない場合は、CSOがステージ1設定の一部として設定を生成できるように、[Management Connectivity]セクションの詳細を提供する必要があります。デバイスがCSOに接続されている場合は、「管理接続」セクションをスキップできます。

ZTPを無効にした場合、CSOからステージ1設定をコピーしてデバイスにコミットして、オンボーディングプロセスを開始する必要があります。ステージ1の設定をコピーするには、以下のいずれかのオプションを使用します。

  • [サイトのアクティブ化の進捗] ページの [事前ステージ デバイス] タスクの横にある [クリック してステージ 1 構成 ] リンクをコピーします。

    [サイトのアクティブ化の進行状況] ページを誤って閉じた場合は、[サイトの管理] ページからページにアクセスできます。[サイトのステータス] 列の下にあるサイトのステータスの横にある [ 表示 ] リンクをクリックします。

  • [デバイス] ページ (リソース > デバイス) でデバイスを選択し、 [Stage1 Config] をクリックします。

クラスタは既に形成されているか?

メモ:

このフィールドは、SRX デュアル CPE デバイスでのみ使用できます。

切り替えボタンをクリックして、SRX クラスタが手動で形成されているか(はい)か否かを指定します(いいえ)。

クラスター ID

メモ:

このフィールドは、SRX デュアル CPE デバイスでのみ使用できます。

SRX クラスタが手動で形成されていない場合は、クラスタの一意の ID を指定します。

範囲:1~15

サイトに対して ZTP を有効にした場合、サイトのアクティブ化時にクラスターが自動的に形成されます。ZTP を無効にした場合、[Site Activation Progress](サイトアクティベーション進捗)ページに以下のプロセスが表示されます(ブランチ サイトを追加した後に表示されます)。

  1. CSO がサイトをモデル化した後(つまり、モデル サイト プロセスが正常に完了した後)、 クリックして事前スクリプト のリンクをコピーします。リンクは事前スクリプト プロセスの横に表示されます。

  2. 指示に応じてコマンドを実行します。

    事前スクリプトプロセスが正常に完了すると、SRXクラスタが形成され、 recovery.conf ファイルがクラスタに保存されます。後でサイトを削除する場合は、このファイルをステージ1の設定とCSOによってデバイスにプッシュするその他の設定を削除する必要があります。

  3. ステージ1の設定(CSOによって自動的に生成)をクラスター内のプライマリデバイスに手動でコピーし、デバイス上で設定をコミットします。

クラスタが検出されると、CSOはブートストラップとプロビジョニングプロセスを実行し、クラスタのプロビジョニングを完了します。

自動アクティブ化

切り替えボタンをクリックして、CPE デバイスの自動アクティベーションを有効にする(デフォルト)か無効にします。

アクティベーションコード

デバイスの自動アクティベーションが無効になっている場合は、アクティベーションコードを入力してデバイスを手動でアクティブ化します。アクティベーションコードは、サイトを追加する管理者によって提供されます。

ノード 0 アクティベーション コード

デュアル CPE の自動アクティベーションが無効になっている場合は、アクティベーション コードを入力してプライマリ CPE デバイスを手動でアクティブ化します。

ノード 1 アクティベーション コード

デュアル CPE の自動アクティベーションが無効になっている場合は、アクティベーション コードを入力して、セカンダリ CPE デバイスを手動でアクティブ化します。

管理インターフェイスファミリー

管理インターフェイスのIPアドレスタイプ(IPv4またはIPv6)を選択します。このフィールドは、 ゼロタッチプロビジョニングを有効にした場合にのみ表示されます。

ブート イメージ

CPE デバイスのイメージをアップグレードする場合は、ドロップダウン からブート イメージを選択します。

ブート イメージは、イメージ管理システムにアップロードされた最新のビルド イメージです。CSOがZTPプロセスを開始すると、ブートイメージはデバイスのアップグレードに使用されます。

ブート イメージが提供されていない場合、デバイスは手順をスキップしてデバイス イメージをアップグレードします。ブート イメージは、サイトの作成時に選択したデバイス テンプレートに基づいて表示されます。 デバイスイメージのアップロードを参照してください。

(デバイス テンプレート)

デバイスを設定するための情報が含まれるデバイス テンプレートを選択します。

管理接続

メモ:

このセクションは、ゼロ タッチ プロビジョニングが無効になっている場合にのみ表示されます。シャーシ クラスタを追加する場合は、両方のノードのインターフェイスの詳細を指定する必要があります。

アドレスファミリー

IP アドレス タイプ(IPv4 または IPv6)を選択します。

インターフェイス名

これは、デバイスがCSOへの接続に使用するWANインターフェイスです。

アクセス タイプ

アンダーレイ リンクのアクセス タイプを選択します。LTE、ADSL、VDSL アクセス タイプは、インターネット リンクでのみサポートされています。LTE、ADSL、VDSL アクセス タイプを同じ WAN リンクに追加することはできません。

アドレス割り当て

DHCP はデフォルトで選択されます。静的 IP アドレスを指定する場合は、STATIC を選択します。

管理 VLAN ID

WANリンクのVLAN IDを入力します。

範囲:0~4094

Pppoe

PPPoE(Point-to-Point Protocol over Ethernet)を使用して、WAN リンクの認証済みアドレス割り当てを有効にするには、切り替えボタンをクリックします。

ハブ構成

メモ:

ハブの選択は、SD-WAN Advancedサイトと Essentialsサイトの両方でオプションです。SD-WAN Essentials サイトはマルチホーミングをサポートしていません。ただし、Essentials サイトを編集して (アクティブ化後)、アドバンスド サイトにアップグレードし、必要に応じて後でセカンダリ ハブを追加できます(テナントのサービス レベルが Advanced にアップグレードされている場合)。

プライマリ・プロバイダ・ハブ

エンタープライズ ハブ サイトに接続するプロバイダ ハブ サイト(マルチホーミングの場合はプライマリ プロバイダ ハブ サイト)を選択します。

プロバイダ ハブ サイトを指定しない場合、エンタープライズ ハブ サイトはエンタープライズ ハブ サイトに関連付けられているブランチ サイトにのみ接続できます。

プロバイダ ハブ サイトを指定した場合、エンタープライズ ハブ サイトは、そのプロバイダ ハブ サイトが関連付けられている支社サイトに接続することもできます。

セカンダリ プロバイダ ハブ

メモ:

SD-WAN Essentialsサービスを利用しているサイトには適用されません。

エンタープライズ ハブ サイトに接続するセカンダリ プロバイダ ハブ サイト(マルチホーミングの場合)を選択します。

プライマリ プロバイダ ハブがダウンすると、エンタープライズ ハブはセカンダリ プロバイダ ハブと、そのプロバイダ ハブ サイトが関連付けられている支社サイトに接続します。

WANリンク

メモ:

リリース 6.1.0 では、少なくとも 1 つの WAN リンクが IP アドレスを取得してアクティブ化されると、CSO はサイトを PROVISIONED 状態に移動します。後で残りの DHCP WAN リンクをアクティブにすることができます。DHCP WAN リンクがアクティブ化される前に、プロビジョニングされたサイトが他のサイトにダイナミック VPN(DVPN)トンネルを確立した場合、これらの DHCP WAN リンクは、トンネルが削除されて再度追加された場合(つまり、2 つのサイト間のトラフィックが削除しきい値を下回り、作成しきい値を再び超える)にのみ DVPN に参加します。

WAN_0(WAN-Interface-Name)

このフィールドはデフォルトで有効になっています。

WAN_0(WAN-Interface-Name)リンクに関連するパラメータを入力します。アスタリスク(*)が付いたフィールドは、続行するように設定する必要があります。

リンク タイプ

リンクが MPLS リンクかインターネット リンクかを選択します。

メモ:

デフォルトでは、CSOはMPLS WANゲートウェイを監視しますが、インターネットWANゲートウェイは監視しません。この既定の動作を変更するには、新しいサイトを構成するときに適切なネームサーバーを追加します。既存のサイトの場合、サイトを編集してネームサーバーを追加できます。

  • WAN ゲートウェイのインターネット WAN リンクの監視を有効にするには、ネームサーバー 0.0.0.0 を追加します。

  • WAN ゲートウェイの MPLS WAN リンクの監視を無効にするには、ネームサーバー 255.255.255.255 を追加します。

エグレス帯域幅

CPE が WAN リンクに向けて許可する最大帯域幅(Mbps)を入力します。

範囲:1~10,000。

パブリック IP アドレス

リンクのパブリックIPv4アドレスを入力します。

メモ:

この IP アドレスを提供するのは、静的 IP プレフィックスがプライベート IP アドレスで、1:1 NAT が設定されている場合のみです。

アンダーレイアドレスファミリー

IPv4

デフォルトでは、WANリンクに対してIPv4アドレス割り当てが有効になっています。

WANリンクには、IPv4ネットワークに接続するためにIPv4アドレスが必要です。

アドレス割り当て方法

IPv4 アドレスを WAN リンク(STATIC)に割り当てる方法を表示します。このフィールドは変更できません。

WANリンクには、IPv4アドレスプレフィックスとゲートウェイIPv4アドレスを指定する必要があります。

静的 IP プレフィックス

WANリンクのIPv4アドレスプレフィックスを入力します。

ゲートウェイ IP アドレス

WANサービスプロバイダのゲートウェイのIPv4アドレスを入力します。

Mtu

IPv4 アドレスにのみ適用されます。

メディアまたはプロトコルの最大送信単位(MTU)サイズを入力します。サポートされる MTU 範囲は、デバイス、インターフェイス タイプ、ネットワーク トポロジー、その他の個々の要件によって異なります。参照先: MTU のデフォルト値と最大値LTE Mini-PIM(LTE Mini-PIM)も参照してください。

サイトのすべての OAM 対応 WAN リンクの MTU 値を同時に編集すると、トンネル フラッピングが発生する可能性があります。サイトでは、少なくとも 1 つの OAM 対応 WAN リンクが常に中断されないようにする必要があります。例えば、4つのWANリンクを持つサイト(OAMトラフィックをサポートする2つのリンクを含む)がある場合、1つのOAM対応リンクを除くすべてのWANリンクのMTU値を同時に編集できます。編集が完了し、変更が保存された後、サイトをもう一度編集し、残りのWANリンクを更新できます。

メモ:

WANリンクでPPPoE/PPPオプションを有効にした場合、そのリンクのPPPoE/PPP設定セクションにMTUオプションが表示されます。

WANリンク(プライマリまたはセカンダリ)

デュアル CPE デバイス テンプレートでは、WAN リンクがプライマリ リンクかセカンダリ リンクかを表示します。このフィールドは変更できません。

詳細設定

アドレスファミリー(トンネル作成)

オーバーレイ トンネルの確立に使用されるアンダーレイ アドレス ファミリー(IPv4)を表示します。

プロバイダー

WANサービスを提供するサービスプロバイダの名前を入力します。

費用/月

1 か月あたりの WAN リンクの使用コストを入力し、隣接するドロップダウン リストからコストを示す通貨を選択します。

範囲:1~10,000。

帯域幅を最適化したSD-WANでは、CSOはこの情報を使用して、複数のWANリンクがSLAプロファイルパラメーターを満たす場合に、トラフィックをルーティングする最も安価なリンクを特定します。

リンク優先度

1~255の範囲に値を入力します。より低い値は、より優先されるリンクを示します。値が 1 の場合は最も高い優先度を示し、値 255 は優先度が最も低いことを示します。値を入力しない場合、リンク優先度は255と見なされます。

ローカル ブレークアウトを有効にする

切り替えボタンをクリックして、WAN リンクでローカル ブレークアウトを有効にします。デフォルトでは、ローカル ブレークアウトは無効になっています。

メモ:
  • このオプションを有効にすると、WANリンクをローカルブレークアウトに使用できます。トラフィックがサイトからローカルにブレークアウトするかどうかは、SD-WAN ポリシーインテントで参照されているブレークアウトプロファイルによって決まります。

  • 1 つの CPE 接続プランで少なくとも 1 つの WAN リンクでローカル ブレークアウトを有効にし、デュアル CPE 接続プランに対して少なくとも 2 つの WAN リンクを有効にしない場合、サイトのローカル ブレークアウトは無効になります。

ブレークアウト オプション

[ローカル ブレークアウトを有効にする] フィールドが有効になっている場合、ブレークアウト トラフィックと WAN トラフィックの両方に WAN リンクを使用するか(デフォルト)、またはブレークアウト トラフィックのみに WAN リンクを使用するかを選択します。

ソース NAT ルールの自動作成

メモ:

セキュアなSD-WAN Essentialsサービスを搭載したサイトは、インターフェイスベースのソースNATルールのみをサポートしています。SD-WAN Essentials サイトでこのオプションを有効にすると、インターフェイスベースのソース NAT ルールが自動的に適用されます。SD-WAN アドバンスド サイトでこのオプションを有効にする場合、[変換] フィールドからソース NAT ルールを選択する必要があります。

切り替えボタンをクリックして、ソース NAT ルールの自動作成を有効または無効にします。デフォルトでは、WANリンクでローカルブレークアウトが有効になっている場合、このフィールドが有効になります。

表 2 は、WAN リンク上でソース NAT ルールが自動的に作成される方法を説明しています。自動的に作成されたソースNATルールは暗黙的に定義され、サイトに適用され、NATポリシーページには表示されません。

メモ:

自動作成された NAT ルールを手動で上書きするには、特定のルール セット内に NAT ルールを作成します。たとえば、変換用のインターフェイスではなく、ソースNATプールを使用するには、この特定のルールセット内に、関連する部門ゾーンと宛先としてWANインターフェイスを含むNATルールを作成します。例えば:

Dept-Zone1 --> W1 : Translation=Pool-2

手動で作成された NAT ルールは、自動的に作成される NAT ルールよりも高い優先度で配置されます。

また、送信元または宛先エンドポイントの一部として、他のフィールド(アドレス、ポート、プロトコルなど)を追加することもできます。例えば:

Dept-Zone1, Port 56578 --> W1: Translation=Pool-2

翻訳

このフィールドは、WANリンクに対してソースNATルールの自動作成が有効になっており、使用されているSD-WANサービスがAdvancedである場合にのみ表示されます。セキュアなSD-WAN Essentialsサービスを搭載したサイトは、インターフェイスベースのソースNATルールのみをサポートしています。

WAN リンクのトラフィックに使用する NAT のタイプを選択します。

  • インターフェイス—デフォルトであるインターフェイスベースNATを使用します。

  • プール — プールベース NAT を使用します。このオプションを選択した場合、NATプールに使用するIPアドレスを指定する必要があります。

    メモ:

    テナント追加ワークフロー中に追加されたテナント所有のパブリックIPアドレスに対してNATは実行されません。

IP アドレス

プールベース NAT の場合、1 つ以上の IP アドレス、サブネット、または IP アドレス範囲を入力します。複数の IP アドレスをコンマで区切り、ハイフンを使用して範囲を示します。例えば、192.0.2.1-192.0.2.50 です。

優先ブレークアウト リンク

切り替えボタンをクリックして、WAN リンクを最も望ましいブレークアウト リンクとして有効にします。

このオプションを無効にすると、利用可能なブレークアウト リンクから ECMP を使用してブレークアウト リンクが選択されます。

BGP アンダーレイ オプション

メモ:

SD-WAN Essentialsサービスを利用しているサイトには適用されません。

メモ:

この設定は、アドレス割り当てが静的でローカル ブレークアウトが有効になっている場合にのみ構成できます。

BGP アンダーレイ ルーティングを有効にするには、切り替えボタンをクリックします。

BGP アンダーレイ ルーティングを有効にすると、プライマリ PE ノードへのルート アドバタイズメントと、設定されている場合は、セカンダリ PE ノードが次のように発生します。

  • CSOは、WANインターフェイスサブネットをアドバタイズします。

  • プールベース変換を設定した場合、CSOはNATアドレスプールをアドバタイズします。

メモ:

アンダーレイBGPがWANリンクに対して有効になっている場合、BGPから学習したルートがローカルブレークアウトにインストールされます。CSOは静的デフォルトルートを生成しません。

プライマリ ネイバー

WAN リンクのゲートウェイに入力した IP アドレスを表示します。

セカンダリ ネイバー

PE の耐障害性を提供したい場合は、セカンダリ PE ノードを設定できます。

セカンダリ PE ノードの IP アドレスを入力します。

メモ:

プライマリ PE ノードがダウンした場合、セカンダリ PE がネクスト ホップとして使用されます。プライマリ PE がバックアップされると、ルートのネクスト ホップがプライマリ PE に変更されます。

eBGPピア-AS番号

外部(EBGP)ピアの自律システム(AS)番号を入力します。

メモ:

ピアAS番号が設定されていない場合、または設定されているピアAS番号がCPEサイトと同じ場合、BGPタイプは内部BGP(IBGP)であると見なされます。

ローカルAS番号

WANリンクのローカルAS番号を入力します。このパラメータを設定すると、デバイスに設定されたグローバルAS番号ではなく、eBGPピアリングにローカルAS番号が使用されます。

メモ:

ローカルAS番号は、グローバルASおよびeBGPピアAS番号とは異なる必要があります。

認証

使用する BGP ルート認証方法を選択します。

  • なし — 認証を使用してはならないことを示します。これはデフォルトです。

  • MD5 を使用 — MD5 が認証に使用されることを示します。このオプションを選択した場合、認証キーを指定する必要があります。

認証キー

認証に MD5 を使用することを指定した場合は、BGP パケットの真正性を検証するために使用される MD5 認証キー(パスワード)を指定します。

パブリックLANプレフィックスのアドバタイズ

切り替えボタンをクリックして、パブリック LAN プレフィックスのアドバタイズメントを有効にします。このフィールドはデフォルトで無効になっています。

テナントにパブリックIPアドレスプールが設定されており、パブリックLANプレフィックスのアドバタイズを有効にした場合、テナントパブリックIPアドレスプールに該当するサブネットで作成されたLANセグメントの場合、CSOはLANサブネットをBGPアンダーレイにアドバタイズします。

メモ:

WANリンクに対してパブリックLANアドバタイズメントが有効になっている場合、パブリックLANプレフィックスはBGPアンダーレイを介してMPLSまたはインターネットに向けてアドバタイズされます。オーバーレイとアンダーレイに同じLANプレフィックスに2つのバージョンのルートがインストールされている場合、オーバーレイルートは常にアンダーレイよりも優先されます。

フルメッシュで使用

切り替えボタンをクリックして、WAN リンクをフルメッシュ トポロジーの一部にできるかどうかを指定します。

サイトでは、すべてのWANリンクをメッシュ化に有効にできます。

メモ:
  • リンクの冗長性を確保するには、フルメッシュ用に少なくとも 2 つの WAN リンクを有効にする必要があります。

  • このオプションを有効にしても、SD-WAN Essentialsサービスを使用するサイトは、2つの支社サイト間で閉じたセッション数に対してユーザーが定義したしきい値に基づいて、動的メッシュトンネルの作成や削除をサポートしません。ただし、OpCo管理者またはテナント管理者は、カスタマーポータルのCSO GUIを使用して、ソースサイトと宛先サイトの間に静的トンネルを作成できます。

メッシュ オーバーレイ リンク タイプ

[フルメッシュに使用]フィールドが有効になっている場合は、メッシュ オーバーレイ リンクのタイプ(GRE と GRE_IPSEC)を選択します。

  • リンク タイプがインターネットの場合、メッシュ オーバーレイ リンク タイプの値はGRE_IPSEC。

  • リンク タイプが MPLS の場合、以下のいずれかのオプションを選択します。

    • GRE-IPSEC

    • Gre

メッシュ タグ

[フルメッシュに使用]フィールドが有効になっている場合は、トンネルを作成するためのWANリンクに関連付ける1つ以上のメッシュタグを選択します。

メッシュ タグの一致は、メッシュ作成をサポートするサイト間のトンネルを形成するために使用される基準の 1 つです。

メッシュタグの詳細については、「 メッシュタグの 概要」を参照してください。

プロバイダハブに接続

メモ:

[ プロバイダ ハブに接続 ] フィールドは、プロバイダー ハブを選択した場合にのみ使用できます。

切り替えボタンをクリックして、サイトの WAN リンクがプロバイダ ハブに接続するように指定します。

メモ:
  • 1つのCPEを持つサイトでは、OAMトラフィックを送信できるように、少なくとも1つのWANリンクを有効にしてハブに接続する必要があります。

  • デュアル CPE を使用するサイトでは、OAM トラフィックを送信できるように、デバイスごとに少なくとも 1 つの WAN リンクを有効にしてハブに接続する必要があります。

OAM トラフィックに使用

WANリンクがハブに接続されていることを指定した場合は、切り替えボタンをクリックして、WANリンクを介してOAMトラフィックを送信できるようにします。

このWANリンクは、次にOAMトンネルの確立に使用されます。

オーバーレイ トンネル タイプ

このフィールドは、[ プロバイダハブに接続 ]フィールドが有効で、1つのプロバイダーハブ(プライマリ)のみが指定されている場合に表示されます。

プライマリ ハブへのトンネルのメッシュ オーバーレイ トンネル タイプ(GRE および GRE_IPSEC)を選択します。

MPLSリンクは、GREとGRE_IPSECの両方をオーバーレイリンクタイプとして持つ場合があり、インターネットリンクとしてオーバーレイリンクタイプとしてGRE_IPSECのみを持つことができます。

オーバーレイ ピア デバイス

このフィールドは、[ プロバイダハブに接続 ]フィールドが有効で、1つのプロバイダーハブ(プライマリ)のみが指定されている場合に表示されます。

サイトが接続されているピア ハブ デバイスを表示します。

オーバーレイピアインターフェイス

このフィールドは、[ プロバイダハブに接続 ]フィールドが有効で、1つのプロバイダーハブ(プライマリ)のみが指定されている場合に表示されます。

サイトのWANリンクが接続されているハブデバイスのインターフェイス名を選択します。

オーバーレイ トンネル タイプ 1

このフィールドは、[ プロバイダ ハブに接続 ] フィールドが有効で、プライマリ ハブとセカンダリ ハブの両方が指定されている場合に表示されます。

プライマリ ハブへのトンネルのメッシュ オーバーレイ トンネル タイプ(GRE および GRE_IPSEC)を選択します。

MPLSリンクは、GREとGRE_IPSECの両方をオーバーレイリンクタイプとして持つ場合があり、インターネットリンクとしてオーバーレイリンクタイプとしてGRE_IPSECのみを持つことができます。

オーバーレイ ピア デバイス 1

このフィールドは、[ プロバイダ ハブに接続 ] フィールドが有効で、プライマリ ハブとセカンダリ ハブの両方が指定されている場合に表示されます。

サイトが接続されているプライマリ ピア ハブ デバイスを表示します。

オーバーレイ ピア インターフェイス 1

このフィールドは、[ プロバイダ ハブに接続 ] フィールドが有効で、プライマリ ハブとセカンダリ ハブの両方が指定されている場合に表示されます。

サイトのWANリンクが接続されているプライマリハブデバイスのインターフェイス名を選択します。

オーバーレイ トンネル タイプ 2

このフィールドは、[ プロバイダ ハブに接続 ] フィールドが有効で、プライマリ ハブとセカンダリ ハブの両方が指定されている場合に表示されます。

セカンダリ ハブへのトンネルのメッシュ オーバーレイ トンネル タイプ(GRE および GRE_IPSEC)を選択します。

MPLSリンクは、GREとGRE_IPSECの両方をオーバーレイリンクタイプとして持つ場合があり、インターネットリンクとしてオーバーレイリンクタイプとしてGRE_IPSECのみを持つことができます。

オーバーレイ ピア デバイス 2

このフィールドは、[ プロバイダ ハブに接続 ] フィールドが有効で、プライマリ ハブとセカンダリ ハブの両方が指定されている場合に表示されます。

サイトが接続されているセカンダリ ピア ハブ デバイスを表示します。

オーバーレイ ピア インターフェイス 2

このフィールドは、[ プロバイダ ハブに接続 ] フィールドが有効で、プライマリ ハブとセカンダリ ハブの両方が指定されている場合に表示されます。

サイトの WAN リンクが接続されているセカンダリ ハブ デバイスのインターフェイス名を選択します。

バックアップ リンク

プライマリ(その他)リンクが利用できない場合にトラフィックをルーティングできるバックアップ リンクを選択します。ローカル ブレークアウト トラフィック専用に設定されたデフォルト リンクまたはリンク以外のリンクを選択できます。

プライマリリンクがオンラインに戻ると、CSOはプライマリリンクのパフォーマンスを監視し、プライマリリンクがSLA要件を満たすと、トラフィックはプライマリリンクに戻されます。ただし、バックアップリンクのSLAデータは監視されません。

デフォルトリンク

SD-WAN ポリシーのインテントに一致しない場合、トラフィックのルーティングに使用する 1 つ以上のリンクを選択します。1 つのサイトに、ハブ サイトへのデフォルト リンクを複数設定できます。

デフォルト リンクは主にオーバーレイ トラフィックに使用されますが、ローカル ブレークアウト トラフィックにも使用できます。ただし、ローカル ブレークアウト トラフィックのみにデフォルト リンクを使用することはできません。デフォルトのリンクを指定しない場合、ECMP(等価コスト マルチパス)を使用して、トラフィックをルーティングするリンクを選択します。

VLAN ID

WANリンクのVLAN IDを入力します。

範囲:0~4049(4050~4094はCSOによって予約されています)。

メモ:
  • 同じ物理インターフェイス上に複数のWANリンクを設定する場合、1つのWANリンクのみにタグを付けずることができます。VLAN ID を設定する必要があります。

  • 同じ物理インターフェイスでタグ付きとタグなしの組み合わせは、単一の CPE デバイスでのみサポートされています。

  • 同じ et インターフェイスでタグ付き WAN リンクとタグなし WAN リンクを組み合わせることはできません。同じ et インターフェイスで複数の WAN リンクを設定する場合、すべてのリンクに VLAN ID を指定する必要があります。

SD-WAN ブランチ サイトの論理インターフェイスとして WAN リンクの設定を有効にするには、SP 管理者ユーザーがデバイス テンプレートを変更し、WAN ポートを論理インターフェイスとして設定する必要があります。

WAN_1(WAN-Interface-Name)

切り替えボタンをクリックして、WANリンクを有効または無効(デフォルト)します。

WANリンクを有効にすると、WANリンクに関連するフィールドが表示されます。アスタリスク(*)が付いたフィールドは、続行するように設定する必要があります。

フィールドの説明については、WAN_0(WAN-Interface-Name)で説明されているフィールドを参照してください。

WAN_2(WAN-Interface-Name)

切り替えボタンをクリックして、WANリンクを有効または無効(デフォルト)します。

WANリンクを有効にすると、WANリンクに関連するフィールドが表示されます。アスタリスク(*)が付いたフィールドは、続行するように設定する必要があります。

フィールドの説明については、WAN_0(WAN-Interface-Name)で説明されているフィールドを参照してください。

WAN_3(WAN-Interface-Name)

切り替えボタンをクリックして、WANリンクを有効または無効(デフォルト)します。

WANリンクを有効にすると、WANリンクに関連するフィールドが表示されます。アスタリスク(*)が付いたフィールドは、続行するように設定する必要があります。

フィールドの説明については、WAN_0(WAN-Interface-Name)で説明されているフィールドを参照してください。

高度な設定

メモ:

セキュアSD-WAN Essentialsサービスを搭載したサイトは、ユーザーが定義したしきい値に基づいて、2つの支社サイト間で閉じたセッション数に基づいて、動的メッシュトンネルの作成や削除をサポートしていません。ただし、OpCo管理者またはテナント管理者は、カスタマーポータルのCSO GUIを使用して、ソースサイトと宛先サイトの間に静的トンネルを作成できます。

OAM IP プレフィックス

CPEデバイスのループバックインターフェイスのIPv4アドレスプレフィックス(10.100.100.11/32など)を入力します。IP アドレス プレフィックスは /32 IP アドレス プレフィックスで、管理ネットワーク全体で一意にする必要があります。

メモ:

管理接続はCSOによって自動的に処理されるため、この設定は行わない(IPプレフィックスフィールドを空白のままにする)ことをお勧めします。

トラフィック量のメトリック

サイトの WAN リンク上の SD-WAN トラフィック 量を計算する方法を選択します。CSOは、このデータを使用してサイトの詳細ページでWANトラフィックボリュームをグラフィカルに表示します。

  • セッションベース—各セッションが終了した時点で、サイトのWANリンク上のセッションベースのトラフィック量を計算し、レポートします。これはデフォルトの方法です。
  • 時間ベース — セッション中に定期的にトラフィック ボリュームを計算し、レポートします。

トンネル作成の DVPN しきい値

メモ:

SD-WAN Essentialsサービスを利用しているサイトには適用されません。

エンタープライズ ハブと宛先サイト間のセッション(フロー)の数のしきい値を指定します(2 分間)。閉じたセッション数が指定されたしきい値を超えた場合、エンタープライズハブと宛先サイトの間にトンネルが作成されます。

デフォルト値は5です。

たとえば、[しきい値の作成] を 5 に指定した場合、エンタープライズ ハブと宛先サイト間で閉じたセッション数が 2 分で 5 を超えると、動的メッシュ トンネルが作成されます。

トンネル削除のDVPNしきい値

メモ:

SD-WAN Essentialsサービスを利用しているサイトには適用されません。

エンタープライズ ハブと宛先サイト間で終了したセッション数(15 分間)のしきい値を指定します。終了したセッション数が指定したしきい値よりも低い場合、エンタープライズ ハブと宛先サイト間のトンネルが削除されます。

デフォルト値は2です。

例えば、閉じたセッションの数を 2 と指定すると、エンタープライズ ハブと宛先サイト間の動的メッシュ トンネルは、閉じたセッションの数が 2 以下の場合に削除されます。

LAN セグメントの設定

LAN セグメントの設定については 、表 3 を参照してください。

構成テンプレート(オプション)

構成テンプレートリスト

リストから 1 つ以上の構成テンプレートを選択します。このリストは、選択したデバイスに基づいてフィルタリングされます。

構成テンプレートは、OpCo管理者またはSP管理者またはテナント管理者によって追加されるステージ2テンプレートです。

メモ:

[LAN] セクションに移動する前に選択した設定テンプレートのパラメーターを設定する必要があります。

選択した設定テンプレートのパラメータを設定するには、

  1. 1 つ以上の構成テンプレートを選択した後、[ パラメータの設定] をクリックします。

    [Device Configurations](デバイス設定)ページが表示されます。このページは、構成と概要という 2 つのタブで構成されています。

  2. [構成] タブで、各構成テンプレートの属性を入力します。

    (オプション)[Summary]タブでCLIコマンドを表示します。

  3. [ 保存] をクリックします。

    作成するサイト テンプレートの一部である構成テンプレートのパラメーターを追加および設定しました。

LAN セグメントの設定については 、表 3 を参照してください。

表 2:ソース NAT ルールの自動作成

ソース NAT ルールの自動作成

翻訳

NAT ルールの作成

無効

該当なし(NAT なし)

なし。

有効

インターフェイスベース(デフォルト)—CSOは、インターフェイスベースNATルールを作成します。

ソースNATルールは自動的に作成され、部門ゾーンからWANインターフェイスに各ルールが作成され、タイプインターフェイスが変換されます。[ゾーン - インターフェイス] の各ペアはルールセットを表します。

例えば、次の部門ゾーンから(WANリンク)W1インターフェイスルールセットが作成される場合があります。

Dept-Zone1 --> W1: Translation=Interface
Dept-Zone2 --> W1: Translation=Interface
Dept-Zone3 --> W1: Translation=Interface

支社/拠点サイトからのトラフィックがエンタープライズ ハブで発生すると、部門ルーティング グループ(VRF グループとも呼ばれる)から WAN インターフェイスに、エンタープライズ ハブでソース NAT ルールが自動的に作成されます。

Dept-vrf-group --> W1: Translation=Interface

有効

プールベース—CSOはプールベースのNATルールを自動的に作成します(SD-WAN Essentialsサービスを持つサイトには適用されません)。

ソースNATルールは自動的に作成され、部門ゾーンからWAN NATプールに各ルールが作成され、タイププールが変換されます。

例えば、部門ゾーンから NAT プールへのソース NAT ルールが作成される場合があります。

Dept-Zone1 --> W1 : Translation=Pool-1
Dept-Zone2 --> W1 : Translation=Pool-1

支社/拠点サイトからのトラフィックがエンタープライズ ハブで発生すると、部門ルーティング グループから WAN プールまで、ソース NAT ルールがエンタープライズ ハブで自動的に作成されます。

Dept-vrf-group --> W1: Translation=Pool
表 3:LAN セグメント設定の追加

フィールド

説明

オーバーレイ VPN の使用

[ オーバーレイ VPN の使用 ] フィールドを有効にして、LAN セグメントを選択した部門(VRF + ゾーン)に関連付けて、他のサイトへのオーバーレイ トラフィックを行います。

アンダーレイ ブレークアウトのセキュリティ ゾーンに LAN セグメントを関連付けるには、 [オーバーレイ VPN の使用 ] フィールドを無効にします。ゾーンベースのセキュリティ ポリシーを定義する必要があります。

メモ:

新しいサイトを追加する場合、このフィールドはデフォルトで有効になっており、変更できません。ただし、[サイト] ページの [LAN] タブからプロビジョニングされたサイトに新しい LAN セグメントを追加する場合は、このオプションを有効または無効にできます。

名前

LAN セグメントの名前を入力します。

LAN セグメントの名前は、英数字と一部の特殊文字(..)の一意の文字列にする必要があります。スペースは使用できません。最大長は 15 文字です。

CPE ポート

メモ:

SRX シリーズ ファイアウォールに適用可能。

LAN セグメントに追加する CPE ポートを選択します。

ページの[LAN]タブ Site-Name からプロビジョニングされたサイトに新しいLANセグメントを追加する場合、LAGインターフェイスまたは冗長イーサネット(reth)インターフェイス(デュアルCPEクラスターの場合)を選択(または作成)して、SRXシリーズCPEデバイスをEXシリーズスイッチに接続できます。

SRX4600デバイスでetインターフェイスを使用するには、LAGインターフェイスを作成し、etインターフェイスをLAG(集合型イーサネットまたはae)インターフェイスのメンバーとして設定する必要があります。 LAGインターフェイスの作成を参照してください。

SRX4600 デュアル CPE クラスターでは、et インターフェイスが冗長イーサネット(reth)インターフェイスのメンバーとして設定されている場合、et インターフェイスを使用できます。

LAGインターフェイスの追加

メモ:

このオプションは、ページの [LAN] タブからプロビジョニングされたサイトに新しい LAN セグメントを追加する場合に Site-Name 使用できます。

リンクをクリックして、SRX シリーズ CPE を EX シリーズ スイッチに接続するために LAG インターフェイス(ae インターフェイス)を作成します。詳細については、 LAGインターフェイスの作成 を参照してください。

RETHインターフェイスの作成

メモ:

このオプションは、ページの [LAN] タブからプロビジョニングされたサイトに新しい LAN セグメントを追加する場合に Site-Name 使用できます。

リンクをクリックして、デュアル CPE クラスタを持つ SD-WAN サイトの reth インターフェイスを作成します。詳細については 、 RETHインターフェイスの作成 を参照してください。

メモ:

このフィールドは、エンタープライズ ハブ サイトに関連付けられた LAN セグメントに対してのみ表示されます。

LAN セグメントのタイプを選択します。

  • 直接接続(デフォルト)—LANセグメントがサイトに直接接続されていることを示します。

  • 動的ルーテッド—LANセグメントがサイトに直接接続されず、動的ルートを使用して到達可能であることを示します。このオプションを選択した場合、動的ルーティング情報を指定する必要があります。

VLAN ID

LAN セグメントの VLAN ID を入力します。デフォルトでは、VLAN IDは1に設定され、タグなしトラフィックに対してネイティブVLANが有効になっています。

範囲:SRXシリーズファイアウォール(シングルおよびデュアルCPE)およびvSRX仮想ファイアウォールの場合、1~4094。CSO リリース 6.2.0 以前のリリースでは、範囲は 1 ~ 4049 です。

ネイティブ VLAN の使用

このオプションを有効にして、タグなしトラフィックに上記で指定したVLAN IDを使用します。CPE インターフェイスは、VLAN ID と同じ値を持つ native-vlan-id で設定されています。

部門

メモ:

このフィールドは、[ オーバーレイ VPN の使用 ] フィールドが有効になっている場合にのみ使用できます。

LAN セグメントが割り当てられている部門を選択します。

または、[ 部門の作成 ] リンクをクリックして新しい部門を作成し、それに LAN セグメントを割り当てます。詳細については、「 部門の追加 」を参照してください。

管理を容易にし、部門レベルでポリシーを適用するために、LANセグメントを部門としてグループ化できます。動的にルーティングされる LAN セグメントの場合、データ センター部門のみを割り当てることができます。

ゲートウェイ アドレス/マスク

LANセグメントに有効なゲートウェイIPアドレスとマスクを入力します。このアドレスは、この LAN セグメント内のエンドポイントのデフォルト ゲートウェイになります。

例えば、192.0.2.8/24。

ゾーン

メモ:

このフィールドは、[ オーバーレイ VPN の使用 ] フィールドが無効になっている場合にのみ使用できます。

この LAN セグメントに関連付けるセキュリティ ゾーンを選択します。または、[ ゾーンの作成 ] をクリックして新しいセキュリティ ゾーンを作成し、それをこの LAN セグメントに割り当てます。詳細については、「 セキュリティ ゾーンの追加 」を参照してください。

Dhcp

直接接続された LAN セグメントについては、DHCP を有効にするには、切り替えボタンをクリックします。

DHCP サーバーを使用して IP アドレスを割り当てたい場合は DHCP を有効にするか、静的 IP アドレスを LAN セグメントに割り当てる場合は DHCP を無効にできます。

メモ:

DHCP を有効にすると、ページに追加のフィールドが表示されます。

DHCP に関連するその他のフィールド

アドレス範囲(低)

DHCP サーバーによって LAN セグメントに割り当てられる IP アドレスの範囲で、開始 IP アドレスを入力します。

アドレス範囲(高)

DHCP サーバーによって LAN セグメントに割り当て可能な IP アドレスの範囲で、終了 IP アドレスを入力します。

最大リース時間

クライアントが DHCP サーバーのリースを要求して保持できる最大時間(秒単位)を指定します。

デフォルト:1440

範囲:0~4,294,967,295秒。

ネームサーバー

DNSサーバーの1つ以上のIPv4アドレスを指定します。

複数の DNS サーバー アドレスを入力するには、アドレスを入力し、Enter キーを押してから、次のアドレスを入力します。

メモ:

DNSサーバーは、ホスト名をIPアドレスに解決するために使用されます。

CPE ポート

メモ:

NFX150 および NFX250 デバイスに適用可能。

SD-WAN 機能を搭載したサイトでは、[CPE ポート] フィールドが無効になっており、LAN セグメントに含めることができる CPE ポートが一覧表示されます。

[ 使用可能] 列からポートを選択し、右矢印をクリックしてポートを 選択 した列に移動します。

スタティック ルーティング

このセクションを使用して、LAN セグメント上の静的ルーティングを設定します。CPEデバイスに接続されたすべてのLANルーターのIPアドレスと、これらのルーターの背後にある静的サブネットを提供します。

LAN ルーター IP プレフィックスの追加

LAN ルーター IP

CPE デバイスに接続された LAN ルーターの IP アドレスを入力します。

プレフィックス

LAN ルーターに接続されたサブネットを入力します。

Bfd

BFD(Bidirectional Forwarding Detection)を有効にして、静的ルート上の障害を検出します。

動的ルーティング

ルーティング プロトコル

BGP または OSPF プロトコルを使用して動的ルーティングを設定するには、この切り替えボタンを有効にします。

Bfd

BFD(Bidirectional Forwarding Detection)を有効にして、LANセグメント内の障害を検出します。

プロトコル

BGP または OSPF のいずれかを選択します。

BGP 設定

メモ:

リリース6.1.0以降、CSOは、プロバイダエッジ(PE)およびデータセンターまたはLANルーターとのBGPピアリングセッションに対して、長期にわたるグレースフルリスタート(LLGR)機能を明示的に無効にします。LLGRを無効にすると、ピアリングルーターのLLGR機能に関係なく、CPEがピアリングルーターへのルートアドバタイズメントを区別しません。

CSO リリース 6.1.0 以前は、IP VPN 導入の PE ルーターに向けた BGP ピアリングと、データ センター導入のデータ センターまたは LAN ルーター向けの CPE で、LLGR ヘルパー モードがデフォルトで有効になっています(Junos OS の暗黙的な動作)。

認証

使用する BGP ルート認証方法を選択します。

  • なし — 認証を使用してはならないことを示します。これはデフォルトです。

  • MD5 を使用 — MD5 が認証に使用されることを示します。このオプションを選択した場合、認証キーを指定する必要があります。

認証キー

認証に MD5 を使用することを指定した場合は、BGP パケットの真正性を検証するために使用される MD5 認証キー(パスワード)を指定します。

BGP オプション

要件に基づいて以下のオプションを選択できます。

  • AS-OVERRIDE:ピアへのルートをアドバタイズする前に、ASパス内のピアAS番号のすべての出現回数を独自のAS番号に置き換えます。

  • AS-PATH-PREPEND:ASパスの先頭に1つ以上の自律システム(AS)番号を先頭に付加します。ASパスを前に追加すると、短いASパスが長く見えるため、BGPの方が望ましくなくなります。

  • AS-LOOP:受信したASパスにローカルデバイスのAS番号を追加できます。ローカルASの検出がASパスで許可される回数を指定できます。

ループカウント

このフィールドは、AS-LOOPを選択した場合にのみ表示されます。

ASパスでローカルASの検出が許可される最大回数を入力します。

ピア IP アドレス

LAN BGP ピアの IP アドレスを入力します。

ピアAS番号

LAN BGPピアの自律システム(AS)番号を入力します。デフォルトでは、CSOはAS番号64512を使用します。別のAS番号を入力できます。

ローカルAS番号

ローカルAS番号を入力します。このパラメータを設定すると、CPEに設定されたグローバルAS番号ではなく、BGPピアリングにローカルAS番号が使用されます。

OSPF 設定

OSPF エリア ID

動的ルートに使用するOSPFエリア識別子を指定します。

認証

使用する OSPF ルート認証方法を選択します。

  • パスワード — パスワードベースの認証を使用することを示します。このオプションを選択した場合、パスワードを指定する必要があります。(これはデフォルトです)。

  • MD5 を使用 — MD5 が認証に使用されることを示します。このオプションを選択した場合、認証キーを指定する必要があります。

  • なし — 認証を使用してはならないことを示します。

パスワード

OSPF パケットの信頼性を検証するために使用するパスワードを入力します。

パスワードの確認

確認のためにパスワードを再入力します。

MD5 認証キー ID

認証に MD5 を使用することを指定した場合は、OSPF MD5 認証キー ID を入力します。

範囲:1~255。

認証キー

認証に MD5 を使用することを指定した場合、OSPF パケットの真正性を検証するために使用される MD5 認証キーを入力します。

ルートアドバタイズ制御

オーバーレイへの LAN ルート

このオプションが有効な場合、LANルートはSD-WANオーバーレイにアドバタイズされます。デフォルトでは、このオプションは有効になっています。

エクスポート ポリシー

オーバーレイネットワークにアドバタイズされるルートをよりきめ細かく制御するために、 LANルートからオーバーレイへの オプションと組み合わせてポリシーを設定できます。例えば、 LANルートからオーバーレイへの オプションが有効になっている場合、特定のルートがアドバタイズされないようにポリシーを設定できます。同様に、 LANからオーバーレイへのオプション が無効になっている場合、特定のルートのみをアドバタイズできるようにポリシーを設定できます。

ポリシーの順序を変更するには、行をドラッグ アンド ドロップして上下に移動します。ポリシーを追加するには、+アイコンをクリックします。

エクスポート ポリシーの追加

名前 ポリシーの名前を入力します。名前には、文字、数字、ハイフン(-)を含め、最大255文字まで使用できます。
一致条件 一致条件は、ルートが一致する必要がある基準を定義します。以下の一致条件のうち、1 つ以上を定義できます。
  • から: プロトコル — 一致させる 1 つ以上のプロトコルを選択します。
  • から: プレフィックス—一致するルートプレフィックスを入力します。
  • プレフィックス一致 — プレフィックスの一致タイプを選択します。
    • 完全一致: ルートは、プレフィックスの 1 つに完全に一致する必要があります。
    • 長さ:ルートは指定されたプレフィックス内にあり、ルートのプレフィックス長は指定されたプレフィックス長よりも大きくなければなりません。
    • orlonger: ルートは指定されたプレフィックス内にあり、ルートのプレフィックス長は指定されたプレフィックス長以上でなければなりません。
  • 開始: タグ — ルートに関連付ける番号を入力します。

    範囲:0~4,294,967,295

その後:アクション

一致条件を満たすルートに対して、以下のいずれかのアクションを選択します。

  • 受け入れる—一致したルートをSD-WANオーバーレイにアドバタイズします。
  • リジェクト — 一致したルートを拒否します。
  • 次の期間 — ポリシー内の次の条件を評価します。

LAN へのオーバーレイ ルート

このオプションは、[ルーティング プロトコル] 切り替えボタンを有効にした場合にのみ表示されます。デフォルトでは、このオプションは無効になっています。

このオプションを有効にして、LANルーターにSD-WANオーバーレイルートをアドバタイズします。インポートポリシーとエクスポートポリシーを使用して、ルートアドバタイズメントをきめ細かく制御できます。

メモ:

CSOリリース6.0.0以前のリリースでは、このオプションはLANプレフィックスのアドバタイズと呼ばれ、データセンター部門にのみ適用されます。

BGP または OSPF インポート ポリシー(このセクションは、動的ルーティングを有効にした場合に表示されます)。

インポートポリシーを使用して、LANルーターによってアドバタイズされたルートのリストから、CPEデバイスが受け入れるルートをきめ細かく制御できます。

ポリシーの順序を変更するには、行をドラッグ アンド ドロップして上下に移動します。ポリシーを追加するには、+アイコンをクリックします。表 4 を参照

BGP または OSPF エクスポート ポリシー(このセクションは、動的ルーティングを有効にした場合に表示されます)。

エクスポートポリシーを追加して、CPEがLANルーターにアドバタイズするルートをきめ細かく制御できます。

ポリシーの順序を変更するには、行をドラッグ アンド ドロップして上下に移動します。ポリシーを追加するには、+アイコンをクリックします。表 4 を参照

オーバーレイへの Aggr/スタティック ルート

オーバーレイ ネットワークへの静的ルートまたは集約ルートとして集約ルートのアドバタイズを許可するには、このオプションを有効にします。

  • 多数のLANルートが存在する場合、 オーバーレイへのLANルートオプションを無効に し、このオプションを使用して集約ルートをアドバタイズできます。

  • 追加のルートをアドバタイズしたい場合は、 LANルートからオーバーレイオプションを有効に し、このオプションを使用して追加の静的ルートをアドバタイズできます。

表 4:BGP および OSPF ポリシー
ポリシー タイプ 一致条件 アクション
BGPインポートポリシー 以下の一致条件のうち、1 つ以上を定義できます。
  • から: プレフィックス—一致するルートプレフィックスを入力します。
  • プレフィックス一致 — プレフィックスの一致タイプを選択します。
    • 完全一致: ルートは、プレフィックスの 1 つに完全に一致する必要があります。
    • 長さ:ルートは指定されたプレフィックス内にあり、ルートのプレフィックス長は指定されたプレフィックス長よりも大きくなければなりません。
    • orlonger: ルートは指定されたプレフィックス内にあり、ルートのプレフィックス長は指定されたプレフィックス長以上でなければなりません。
  • から: ネイバー—LAN BGP ピアの IP アドレスを入力します。
  • から: コミュニティ — 1 つ以上のコミュニティの名前を入力します。一致は、1 つの名前が受信したプレフィックスのコミュニティ属性に一致する場合に発生します。
  • から: ASパス—一致させる必要がある事前設定された自律システム(AS)パス正規表現を入力します。
  • 次に:ASパス先頭付加—ルートのASパスの先頭に付加する必要があるAS番号を入力します。数字を区切るためにスペースを使用します。
  • 次に:ASパス拡張カウント—既存のASパスの最後のAS番号をASパスの先頭に追加する必要がある回数を入力します。AS番号は、ローカルAS番号がパスに追加される前に追加されます。

    範囲:1~32

  • その後: [コミュニティの追加] — 新しいコミュニティを追加します。
  • 次に: ローカルプリファレンス—ルートのローカルプリファレンス値を入力します。

    範囲:0~4,294,967,295

  • 次に: アクション — 一致条件を満たすルートに対して、以下のいずれかのアクションを選択します。
    • 受け入れる—一致したルートを受け入れます。
    • リジェクト — 一致したルートを拒否します。
    • 次の期間 — ポリシー内の次の条件を評価します。
BGP エクスポート ポリシー 以下の一致条件のうち、1 つ以上を定義できます。
  • から: プロトコル—一致させるプロトコルを入力します。
  • から: プレフィックス—一致するルートプレフィックスを入力します。IPv4アドレスのみを入力できます。
  • プレフィックス一致 — プレフィックスの一致タイプを選択します。
    • 完全一致: ルートは、プレフィックスの 1 つに完全に一致する必要があります。
    • 長さ:ルートは指定されたプレフィックス内にあり、ルートのプレフィックス長は指定されたプレフィックス長よりも大きくなければなりません。
    • orlonger: ルートは指定されたプレフィックス内にあり、ルートのプレフィックス長は指定されたプレフィックス長以上でなければなりません。
  • から: プレフィックス長の範囲 — 一致させるプレフィックス長の範囲を入力します。
  • から: ネイバー—LAN BGP ピアの IP アドレスを入力します。
  • から: コミュニティ — 1 つ以上のコミュニティの名前を入力します。一致は、1 つの名前が受信したプレフィックスのコミュニティ属性に一致する場合に発生します。
  • 開始: タグ — ルートに関連付ける番号を入力します。

    範囲:0~4,294,967,295

  • ASパス—一致させる必要がある事前設定された自律システム(AS)パス正規表現を入力します。
  • 次に:ASパス先頭付加—ルートのASパスの先頭に付加する必要があるAS番号を入力します。数字を区切るためにスペースを使用します。
  • 次に:ASパス拡張カウント—既存のASパスの最後のAS番号をASパスの先頭に追加する必要がある回数を入力します。AS番号は、ローカルAS番号がパスに追加される前に追加されます。

    範囲:1~32

  • その後: [コミュニティの追加] — 新しいコミュニティを追加します。
  • 次に: Nexthop Self—このオプションを有効にして、CPE のループバック アドレスをネクスト ホップとして設定します。
  • 次に: ローカルプリファレンス—ルートのローカルプリファレンス値を入力します。

    範囲:0~4,294,967,295

  • 次に: アクション — 一致条件を満たすルートに対して、以下のいずれかのアクションを選択します。

    • 受け入れる—一致したルートをLANルーターにアドバタイズします。
    • リジェクト — 一致したルートを拒否します。
    • 次の期間 — ポリシー内の次の条件を評価します。
OSPF インポート ポリシー 以下の一致条件のうち、1 つ以上を定義できます。
  • から: プレフィックス—一致するルートプレフィックスを入力します。
  • プレフィックス一致 — プレフィックスの一致タイプを選択します。
    • 完全一致: ルートは、プレフィックスの 1 つに完全に一致する必要があります。
    • 長さ:ルートは指定されたプレフィックス内にあり、ルートのプレフィックス長は指定されたプレフィックス長よりも大きくなければなりません。
    • orlonger: ルートは指定されたプレフィックス内にあり、ルートのプレフィックス長は指定されたプレフィックス長以上でなければなりません。
  • 開始: タグ — ルートに関連付ける番号を入力します。

    範囲:0~4,294,967,295

次に: アクション — 一致条件を満たすルートに対して、以下のいずれかのアクションを選択します。

  • 受け入れる—一致したルートを受け入れます。
  • リジェクト — 一致したルートを拒否します。
  • 次の期間 — ポリシー内の次の条件を評価します。
OSPF エクスポート ポリシー 以下の一致条件のうち、1 つ以上を定義できます。
  • から: プロトコル—一致させるプロトコルを入力します。
  • から: プレフィックス—一致するルートプレフィックスを入力します。IPv4アドレスのみを入力できます。
  • プレフィックス一致 — プレフィックスの一致タイプを選択します。
    • 完全一致: ルートは、プレフィックスの 1 つに完全に一致する必要があります。
    • 長さ:ルートは指定されたプレフィックス内にあり、ルートのプレフィックス長は指定されたプレフィックス長よりも大きくなければなりません。
    • orlonger: ルートは指定されたプレフィックス内にあり、ルートのプレフィックス長は指定されたプレフィックス長以上でなければなりません。
  • From: ネイバー — 1 つ以上の OSPF ネイバーの IP アドレスを入力します。
  • から: コミュニティ — 1 つ以上のコミュニティの名前を入力します。一致は、1 つの名前が受信したプレフィックスのコミュニティ属性に一致する場合に発生します。
  • ASパス—一致させる必要がある事前設定された自律システム(AS)パス正規表現を入力します。
  • 次に: タグ— ルートに関連付ける文字列または数値を入力します。

    範囲:0~4,294,967,295

  • 次に: アクション — 一致条件を満たすルートに対して、以下のいずれかのアクションを選択します。
    • 受け入れる—一致したルートをLANルーターにアドバタイズします。
    • リジェクト — 一致したルートを拒否します。
    • 次の期間 — ポリシー内の次の条件を評価します。