SD-WAN機能でエンタープライズハブを追加
エンタープライズハブサイトは、サイト間のトラフィックをオンプレミスのスポークサイト(支社サイト)間で伝送し、支社サイトからのバックホール(中央ブレークアウト)トラフィックをブレークアウトするために使用されるSD-WANサイトです。 一般的に 、エンタープライズハブの背後にはデータセンター部門があります。ただし、これは Contrail Service Orchestration(CSO)には適用されません。エンタープライズ ハブでは、以下のデバイス テンプレートがサポートされています。
-
SD-WAN CPE としての SRX(vSRX 仮想ファイアウォールのみ)
-
SD-WAN CPE としてのデュアル SRX(vSRX 仮想ファイアウォールのみ)
-
SD-WAN CPE としての SRX-1500
-
SD-WAN CPE としてのデュアル SRX1500
-
SD-WAN CPE としての SRX4x00
-
SD-WAN CPE としてのデュアル SRX4x00
CSOリリース6.0.0以降、SD-WAN導入では、ハブを使用してサイトを接続することはオプションです。
CPE(シングルまたはデュアル加入者宅内機器)で構成される SD-WAN の導入では、テナント管理者は、エンタープライズ ハブ サイトを追加した後に CPE デバイスのシリアル番号を入力するオプションがあります。エンタープライズ ハブはテナント管理者が追加し、別の承認済みユーザーが手動でアクティブ化できます。承認されたユーザーは、後でデバイスを手動でアクティブ化する場合は、シリアル番号とアクティベーションコード、またはシリアル番号のみを入力する必要があります。
デュアル CPE デバイス テンプレートでは、1 つの CPE にシリアル番号を追加して、もう一方の CPE デバイスのシリアル番号をスキップすることはできません。サイトの作成時にプライマリ デバイスとセカンダリ デバイスの両方のシリアル番号を入力するか、サイトのアクティブ化中に両方のシリアル番号を入力できます。
リリース6.0.0以降、CSOはサイトに対して以下のSD-WANサービスをサポートしています。
-
セキュアなSD-WANの基本:小規模企業に最適な基本的なSD-WANサービスを提供します。詳細については、「 SD-WAN 機能を使用した支社/拠点サイトの追加 」を参照してください。
メモ:高度なSD-WANサービスレベルを持つテナントは、高度なSD-WANサービスでのみエンタープライズハブを作成できます。セキュアな SD-WAN の高度な支社/拠点サイトは、セキュアな SD-WAN の高度なエンタープライズ ハブにのみ接続します。
-
セキュアなSD-WAN Advanced—完全なSD-WANサービスを提供します。Secure SD-WAN Advancedサービスを使用するテナントのすべてのサイトは、フルメッシュまたはハブアンドスポーク方式のトポロジーで接続されています。
メモ:CSO リリース 5.4 以前のバージョンの SD-WAN サイトは、SD-WAN アドバンスド サイトとして扱われます。
CSOリリース6.0.0以降、エンタープライズハブサイト作成ワークフローは、オンボーディングプロセス中にサービスのプロビジョニングをオプションにすることで簡素化されます。サイト作成時にサービスを構成することも、後でサービスを追加することもできます。SD-WAN サービスを使用しないエンタープライズ サイトを追加するには、「 サービスを プロビジョニングせずに支社/拠点またはエンタープライズ ハブ サイトを追加する」を参照してください。
エンタープライズ ハブ サイトを追加するには、以下の手順に従います。
リアルタイムに最適化された SD-WAN モードのテナントに対してのみ、エンタープライズ ハブ サイトを追加できます。
フィールド |
説明 |
---|---|
一般 | |
サイト情報 |
|
サイト名 |
サイトの一意の名前を入力します。英数字とハイフン(-)を使用できます。最大長は32文字です。 |
デバイス ホスト名 |
デバイスホスト名は自動生成され、 形式 tenant-name.host-nameを使用します。デバイス ホスト名のパーツを tenant-name 変更することはできません。英数字とハイフン(-)を使用します。最大長は32文字です。 |
サイト グループ |
サイトを割り当てるサイト グループを選択します。 |
サイト機能 |
メモ:
デバイス管理はデフォルトで有効になっており、デバイス管理機能(サービスなし)のみのサイトを作成し、後でサービスを追加できます。 このサイトのSD-WAN機能を追加するには、次のいずれかのSD-WANサービスタイプを選択します。
|
住所と連絡先情報 |
|
番地 |
サイトの番地を入力します。 |
都市 |
サイトが配置されている都市の名前を入力します。 |
都道府県 |
サイトが配置されている州または都道府県を選択します。 |
郵便番号 |
サイトの郵便番号を入力します。 |
国 |
サイトが配置されている国を選択します。 [ 検証 ] ボタンをクリックして、指定したアドレスを確認できます。
|
連絡先名 |
サイトの連絡先の名前を入力します。 |
電子メール |
サイトの連絡先のメールアドレスを入力します。 |
電話 |
サイトの連絡先の電話番号を入力します。 [ 次へ ] をクリックして続行します。 |
高度な設定 |
|
ドメインネームサーバー |
1 つ以上の IPv4 または IPv6、または DNS サーバーの IPv4 アドレスと IPv6 アドレスの両方を指定します。複数の DNS サーバー アドレスを指定するには、アドレスを入力し、Enter キーを押してから、次のアドレスを入力します。 DNSサーバーは、ホスト名をIPアドレスに解決するために使用されます。 |
NTP サーバー |
1 つ以上の NTP サーバーの完全修飾ドメイン名(FQDN)または IP アドレスを指定します。 例:ntp.example.net サイトの構成中に FQDN を解決するには、サイトに DNS 到達可能性が必要です。 |
タイムゾーンを選択 |
サイトの時間帯を選択します。 |
デバイス
メモ:
このセクションの一部のフィールドは、デバイス冗長性オプションを有効にした場合にのみ表示されます。 |
|
デバイスの冗長性 |
デフォルトでは無効になっています。デュアル CPE でこのオプションを有効にします。 デバイスの冗長性を実現するには、以下の前提条件が必要です。
|
デバイスシリーズ |
CPE が属するデバイス シリーズを選択します。 選択したデバイス シリーズに基づいて、サポートされているデバイス テンプレート(デバイスの設定情報を含む)が表示されます。 |
デバイス モデル |
デバイスのモデル番号を選択します。 |
デバイス Root パスワード |
デフォルトのrootパスワードは、デバイステンプレートのENC_ROOT_PASSWORDフィールドから取得されます。パスワードを保持するか、プレーンテキスト形式でパスワードを入力して変更できます。パスワードは暗号化され、デバイスに保存されます。 |
シリアル番号 |
単一の CPE デバイスの場合、CPE デバイスのシリアル番号を入力します。シリアル番号は大文字と小文字を区別します。 シリアル番号を入力しない場合、エンタープライズ ハブは追加されますが、アクティブになりません。シリアル番号を入力し、後でエンタープライズ ハブ サイトをアクティブ化するには、 ステップ 4 を参照してください。 |
ノード0シリアル番号 |
デュアル CPE の場合、プライマリ CPE デバイスのシリアル番号を入力します。シリアル番号では大文字と小文字が区別されます。 シリアル番号を入力しない場合、エンタープライズ ハブ サイトは追加されますが、アクティブ化されません。シリアル番号を入力し、後でエンタープライズ ハブ サイトをアクティブ化するには、 ステップ 4 を参照してください。 |
ノード1シリアル番号 |
デュアル CPE の場合、セカンダリ CPE デバイスのシリアル番号を入力します。シリアル番号では大文字と小文字が区別されます。 シリアル番号を入力しない場合、エンタープライズ ハブ サイトは追加されますが、アクティブ化されません。シリアル番号を入力し、後でエンタープライズ ハブ サイトをアクティブ化するには、 ステップ 4 を参照してください。 |
ゼロタッチプロビジョニング |
ZTP(ゼロ タッチ プロビジョニング)を有効または無効にするには、切り替えボタンをクリックします。このオプションは、デフォルトで有効になっています。
メモ:
デフォルトでは、このボタンはvSRX仮想ファイアウォールでは無効になっています。vSRX 仮想ファイアウォールで実行されている Junos OS バージョンが電話ホーム クライアントをサポートしている場合は、このボタンを有効にできます。 ZTP を使用するには、以下を確認します。
ZTP を有効にした場合、[ブート イメージ] フィールドが表示され、Phone-Home クライアントをサポートするイメージを選択する必要があります。ZTP中に、ファイアウォールデバイス上のイメージが、ブートイメージに選択したイメージにアップグレードされます。 ZTPを無効にする場合、デバイスがCSOに接続されていることを確認してください。デバイスが事前設定または事前設定されていない場合は、CSOがステージ1設定の一部として設定を生成できるように、[Management Connectivity]セクションの詳細を提供する必要があります。デバイスがCSOに接続されている場合は、「管理接続」セクションをスキップできます。 ZTPを無効にした場合、CSOからステージ1設定をコピーしてデバイスにコミットして、オンボーディングプロセスを開始する必要があります。ステージ1の設定をコピーするには、以下のいずれかのオプションを使用します。
|
クラスタは既に形成されているか? |
メモ:
このフィールドは、SRX デュアル CPE デバイスでのみ使用できます。 切り替えボタンをクリックして、SRX クラスタが手動で形成されているか(はい)か否かを指定します(いいえ)。 |
クラスター ID |
メモ:
このフィールドは、SRX デュアル CPE デバイスでのみ使用できます。 SRX クラスタが手動で形成されていない場合は、クラスタの一意の ID を指定します。 範囲:1~15 サイトに対して ZTP を有効にした場合、サイトのアクティブ化時にクラスターが自動的に形成されます。ZTP を無効にした場合、[Site Activation Progress](サイトアクティベーション進捗)ページに以下のプロセスが表示されます(ブランチ サイトを追加した後に表示されます)。
クラスタが検出されると、CSOはブートストラップとプロビジョニングプロセスを実行し、クラスタのプロビジョニングを完了します。 |
自動アクティブ化 |
切り替えボタンをクリックして、CPE デバイスの自動アクティベーションを有効にする(デフォルト)か無効にします。 |
アクティベーションコード |
デバイスの自動アクティベーションが無効になっている場合は、アクティベーションコードを入力してデバイスを手動でアクティブ化します。アクティベーションコードは、サイトを追加する管理者によって提供されます。 |
ノード 0 アクティベーション コード |
デュアル CPE の自動アクティベーションが無効になっている場合は、アクティベーション コードを入力してプライマリ CPE デバイスを手動でアクティブ化します。 |
ノード 1 アクティベーション コード |
デュアル CPE の自動アクティベーションが無効になっている場合は、アクティベーション コードを入力して、セカンダリ CPE デバイスを手動でアクティブ化します。 |
管理インターフェイスファミリー |
管理インターフェイスのIPアドレスタイプ(IPv4またはIPv6)を選択します。このフィールドは、 ゼロタッチプロビジョニングを有効にした場合にのみ表示されます。 |
ブート イメージ |
CPE デバイスのイメージをアップグレードする場合は、ドロップダウン からブート イメージを選択します。 ブート イメージは、イメージ管理システムにアップロードされた最新のビルド イメージです。CSOがZTPプロセスを開始すると、ブートイメージはデバイスのアップグレードに使用されます。 ブート イメージが提供されていない場合、デバイスは手順をスキップしてデバイス イメージをアップグレードします。ブート イメージは、サイトの作成時に選択したデバイス テンプレートに基づいて表示されます。 デバイスイメージのアップロードを参照してください。 |
(デバイス テンプレート) |
デバイスを設定するための情報が含まれるデバイス テンプレートを選択します。 |
管理接続
メモ:
このセクションは、ゼロ タッチ プロビジョニングが無効になっている場合にのみ表示されます。シャーシ クラスタを追加する場合は、両方のノードのインターフェイスの詳細を指定する必要があります。 |
|
アドレスファミリー |
IP アドレス タイプ(IPv4 または IPv6)を選択します。 |
インターフェイス名 |
これは、デバイスがCSOへの接続に使用するWANインターフェイスです。 |
アクセス タイプ |
アンダーレイ リンクのアクセス タイプを選択します。LTE、ADSL、VDSL アクセス タイプは、インターネット リンクでのみサポートされています。LTE、ADSL、VDSL アクセス タイプを同じ WAN リンクに追加することはできません。 |
アドレス割り当て |
DHCP はデフォルトで選択されます。静的 IP アドレスを指定する場合は、STATIC を選択します。 |
管理 VLAN ID |
WANリンクのVLAN IDを入力します。 範囲:0~4094 |
Pppoe |
PPPoE(Point-to-Point Protocol over Ethernet)を使用して、WAN リンクの認証済みアドレス割り当てを有効にするには、切り替えボタンをクリックします。 |
ハブ構成
メモ:
ハブの選択は、SD-WAN Advancedサイトと Essentialsサイトの両方でオプションです。SD-WAN Essentials サイトはマルチホーミングをサポートしていません。ただし、Essentials サイトを編集して (アクティブ化後)、アドバンスド サイトにアップグレードし、必要に応じて後でセカンダリ ハブを追加できます(テナントのサービス レベルが Advanced にアップグレードされている場合)。 |
|
プライマリ・プロバイダ・ハブ |
エンタープライズ ハブ サイトに接続するプロバイダ ハブ サイト(マルチホーミングの場合はプライマリ プロバイダ ハブ サイト)を選択します。 プロバイダ ハブ サイトを指定しない場合、エンタープライズ ハブ サイトはエンタープライズ ハブ サイトに関連付けられているブランチ サイトにのみ接続できます。 プロバイダ ハブ サイトを指定した場合、エンタープライズ ハブ サイトは、そのプロバイダ ハブ サイトが関連付けられている支社サイトに接続することもできます。 |
セカンダリ プロバイダ ハブ |
メモ:
SD-WAN Essentialsサービスを利用しているサイトには適用されません。 エンタープライズ ハブ サイトに接続するセカンダリ プロバイダ ハブ サイト(マルチホーミングの場合)を選択します。 プライマリ プロバイダ ハブがダウンすると、エンタープライズ ハブはセカンダリ プロバイダ ハブと、そのプロバイダ ハブ サイトが関連付けられている支社サイトに接続します。 |
WANリンク
メモ:
リリース 6.1.0 では、少なくとも 1 つの WAN リンクが IP アドレスを取得してアクティブ化されると、CSO はサイトを PROVISIONED 状態に移動します。後で残りの DHCP WAN リンクをアクティブにすることができます。DHCP WAN リンクがアクティブ化される前に、プロビジョニングされたサイトが他のサイトにダイナミック VPN(DVPN)トンネルを確立した場合、これらの DHCP WAN リンクは、トンネルが削除されて再度追加された場合(つまり、2 つのサイト間のトラフィックが削除しきい値を下回り、作成しきい値を再び超える)にのみ DVPN に参加します。 |
|
WAN_0(WAN-Interface-Name) |
このフィールドはデフォルトで有効になっています。 WAN_0(WAN-Interface-Name)リンクに関連するパラメータを入力します。アスタリスク(*)が付いたフィールドは、続行するように設定する必要があります。 |
リンク タイプ |
リンクが MPLS リンクかインターネット リンクかを選択します。
メモ:
デフォルトでは、CSOはMPLS WANゲートウェイを監視しますが、インターネットWANゲートウェイは監視しません。この既定の動作を変更するには、新しいサイトを構成するときに適切なネームサーバーを追加します。既存のサイトの場合、サイトを編集してネームサーバーを追加できます。
|
エグレス帯域幅 |
CPE が WAN リンクに向けて許可する最大帯域幅(Mbps)を入力します。 範囲:1~10,000。 |
パブリック IP アドレス |
リンクのパブリックIPv4アドレスを入力します。
メモ:
この IP アドレスを提供するのは、静的 IP プレフィックスがプライベート IP アドレスで、1:1 NAT が設定されている場合のみです。 |
アンダーレイアドレスファミリー |
|
IPv4 |
デフォルトでは、WANリンクに対してIPv4アドレス割り当てが有効になっています。 WANリンクには、IPv4ネットワークに接続するためにIPv4アドレスが必要です。 |
アドレス割り当て方法 |
IPv4 アドレスを WAN リンク(STATIC)に割り当てる方法を表示します。このフィールドは変更できません。 WANリンクには、IPv4アドレスプレフィックスとゲートウェイIPv4アドレスを指定する必要があります。 |
静的 IP プレフィックス |
WANリンクのIPv4アドレスプレフィックスを入力します。 |
ゲートウェイ IP アドレス |
WANサービスプロバイダのゲートウェイのIPv4アドレスを入力します。 |
Mtu | IPv4 アドレスにのみ適用されます。 メディアまたはプロトコルの最大送信単位(MTU)サイズを入力します。サポートされる MTU 範囲は、デバイス、インターフェイス タイプ、ネットワーク トポロジー、その他の個々の要件によって異なります。参照先: MTU のデフォルト値と最大値 、 LTE Mini-PIM(LTE Mini-PIM)も参照してください。サイトのすべての OAM 対応 WAN リンクの MTU 値を同時に編集すると、トンネル フラッピングが発生する可能性があります。サイトでは、少なくとも 1 つの OAM 対応 WAN リンクが常に中断されないようにする必要があります。例えば、4つのWANリンクを持つサイト(OAMトラフィックをサポートする2つのリンクを含む)がある場合、1つのOAM対応リンクを除くすべてのWANリンクのMTU値を同時に編集できます。編集が完了し、変更が保存された後、サイトをもう一度編集し、残りのWANリンクを更新できます。
メモ:
WANリンクでPPPoE/PPPオプションを有効にした場合、そのリンクのPPPoE/PPP設定セクションにMTUオプションが表示されます。 |
WANリンク(プライマリまたはセカンダリ) |
デュアル CPE デバイス テンプレートでは、WAN リンクがプライマリ リンクかセカンダリ リンクかを表示します。このフィールドは変更できません。 |
詳細設定 |
|
アドレスファミリー(トンネル作成) |
オーバーレイ トンネルの確立に使用されるアンダーレイ アドレス ファミリー(IPv4)を表示します。 |
プロバイダー |
WANサービスを提供するサービスプロバイダの名前を入力します。 |
費用/月 |
1 か月あたりの WAN リンクの使用コストを入力し、隣接するドロップダウン リストからコストを示す通貨を選択します。 範囲:1~10,000。 帯域幅を最適化したSD-WANでは、CSOはこの情報を使用して、複数のWANリンクがSLAプロファイルパラメーターを満たす場合に、トラフィックをルーティングする最も安価なリンクを特定します。 |
リンク優先度 |
1~255の範囲に値を入力します。より低い値は、より優先されるリンクを示します。値が 1 の場合は最も高い優先度を示し、値 255 は優先度が最も低いことを示します。値を入力しない場合、リンク優先度は255と見なされます。 |
ローカル ブレークアウトを有効にする |
切り替えボタンをクリックして、WAN リンクでローカル ブレークアウトを有効にします。デフォルトでは、ローカル ブレークアウトは無効になっています。
メモ:
|
ブレークアウト オプション |
[ローカル ブレークアウトを有効にする] フィールドが有効になっている場合、ブレークアウト トラフィックと WAN トラフィックの両方に WAN リンクを使用するか(デフォルト)、またはブレークアウト トラフィックのみに WAN リンクを使用するかを選択します。 |
ソース NAT ルールの自動作成 |
メモ:
セキュアなSD-WAN Essentialsサービスを搭載したサイトは、インターフェイスベースのソースNATルールのみをサポートしています。SD-WAN Essentials サイトでこのオプションを有効にすると、インターフェイスベースのソース NAT ルールが自動的に適用されます。SD-WAN アドバンスド サイトでこのオプションを有効にする場合、[変換] フィールドからソース NAT ルールを選択する必要があります。 切り替えボタンをクリックして、ソース NAT ルールの自動作成を有効または無効にします。デフォルトでは、WANリンクでローカルブレークアウトが有効になっている場合、このフィールドが有効になります。 表 2 は、WAN リンク上でソース NAT ルールが自動的に作成される方法を説明しています。自動的に作成されたソースNATルールは暗黙的に定義され、サイトに適用され、NATポリシーページには表示されません。
メモ:
自動作成された NAT ルールを手動で上書きするには、特定のルール セット内に NAT ルールを作成します。たとえば、変換用のインターフェイスではなく、ソースNATプールを使用するには、この特定のルールセット内に、関連する部門ゾーンと宛先としてWANインターフェイスを含むNATルールを作成します。例えば: Dept-Zone1 --> W1 : Translation=Pool-2 手動で作成された NAT ルールは、自動的に作成される NAT ルールよりも高い優先度で配置されます。 また、送信元または宛先エンドポイントの一部として、他のフィールド(アドレス、ポート、プロトコルなど)を追加することもできます。例えば: Dept-Zone1, Port 56578 --> W1: Translation=Pool-2 |
翻訳 |
このフィールドは、WANリンクに対してソースNATルールの自動作成が有効になっており、使用されているSD-WANサービスがAdvancedである場合にのみ表示されます。セキュアなSD-WAN Essentialsサービスを搭載したサイトは、インターフェイスベースのソースNATルールのみをサポートしています。 WAN リンクのトラフィックに使用する NAT のタイプを選択します。
|
IP アドレス |
プールベース NAT の場合、1 つ以上の IP アドレス、サブネット、または IP アドレス範囲を入力します。複数の IP アドレスをコンマで区切り、ハイフンを使用して範囲を示します。例えば、192.0.2.1-192.0.2.50 です。 |
優先ブレークアウト リンク |
切り替えボタンをクリックして、WAN リンクを最も望ましいブレークアウト リンクとして有効にします。 このオプションを無効にすると、利用可能なブレークアウト リンクから ECMP を使用してブレークアウト リンクが選択されます。 |
BGP アンダーレイ オプション |
メモ:
SD-WAN Essentialsサービスを利用しているサイトには適用されません。
メモ:
この設定は、アドレス割り当てが静的でローカル ブレークアウトが有効になっている場合にのみ構成できます。 BGP アンダーレイ ルーティングを有効にするには、切り替えボタンをクリックします。 BGP アンダーレイ ルーティングを有効にすると、プライマリ PE ノードへのルート アドバタイズメントと、設定されている場合は、セカンダリ PE ノードが次のように発生します。
メモ:
アンダーレイBGPがWANリンクに対して有効になっている場合、BGPから学習したルートがローカルブレークアウトにインストールされます。CSOは静的デフォルトルートを生成しません。 |
プライマリ ネイバー |
WAN リンクのゲートウェイに入力した IP アドレスを表示します。 |
セカンダリ ネイバー |
PE の耐障害性を提供したい場合は、セカンダリ PE ノードを設定できます。 セカンダリ PE ノードの IP アドレスを入力します。
メモ:
プライマリ PE ノードがダウンした場合、セカンダリ PE がネクスト ホップとして使用されます。プライマリ PE がバックアップされると、ルートのネクスト ホップがプライマリ PE に変更されます。 |
eBGPピア-AS番号 |
外部(EBGP)ピアの自律システム(AS)番号を入力します。
メモ:
ピアAS番号が設定されていない場合、または設定されているピアAS番号がCPEサイトと同じ場合、BGPタイプは内部BGP(IBGP)であると見なされます。 |
ローカルAS番号 |
WANリンクのローカルAS番号を入力します。このパラメータを設定すると、デバイスに設定されたグローバルAS番号ではなく、eBGPピアリングにローカルAS番号が使用されます。
メモ:
ローカルAS番号は、グローバルASおよびeBGPピアAS番号とは異なる必要があります。 |
認証 |
使用する BGP ルート認証方法を選択します。
|
認証キー |
認証に MD5 を使用することを指定した場合は、BGP パケットの真正性を検証するために使用される MD5 認証キー(パスワード)を指定します。 |
パブリックLANプレフィックスのアドバタイズ |
切り替えボタンをクリックして、パブリック LAN プレフィックスのアドバタイズメントを有効にします。このフィールドはデフォルトで無効になっています。 テナントにパブリックIPアドレスプールが設定されており、パブリックLANプレフィックスのアドバタイズを有効にした場合、テナントパブリックIPアドレスプールに該当するサブネットで作成されたLANセグメントの場合、CSOはLANサブネットをBGPアンダーレイにアドバタイズします。
メモ:
WANリンクに対してパブリックLANアドバタイズメントが有効になっている場合、パブリックLANプレフィックスはBGPアンダーレイを介してMPLSまたはインターネットに向けてアドバタイズされます。オーバーレイとアンダーレイに同じLANプレフィックスに2つのバージョンのルートがインストールされている場合、オーバーレイルートは常にアンダーレイよりも優先されます。 |
フルメッシュで使用 |
切り替えボタンをクリックして、WAN リンクをフルメッシュ トポロジーの一部にできるかどうかを指定します。 サイトでは、すべてのWANリンクをメッシュ化に有効にできます。
メモ:
|
メッシュ オーバーレイ リンク タイプ |
[フルメッシュに使用]フィールドが有効になっている場合は、メッシュ オーバーレイ リンクのタイプ(GRE と GRE_IPSEC)を選択します。
|
メッシュ タグ |
[フルメッシュに使用]フィールドが有効になっている場合は、トンネルを作成するためのWANリンクに関連付ける1つ以上のメッシュタグを選択します。 メッシュ タグの一致は、メッシュ作成をサポートするサイト間のトンネルを形成するために使用される基準の 1 つです。 メッシュタグの詳細については、「 メッシュタグの 概要」を参照してください。 |
プロバイダハブに接続 |
メモ:
[ プロバイダ ハブに接続 ] フィールドは、プロバイダー ハブを選択した場合にのみ使用できます。 切り替えボタンをクリックして、サイトの WAN リンクがプロバイダ ハブに接続するように指定します。
メモ:
|
OAM トラフィックに使用 |
WANリンクがハブに接続されていることを指定した場合は、切り替えボタンをクリックして、WANリンクを介してOAMトラフィックを送信できるようにします。 このWANリンクは、次にOAMトンネルの確立に使用されます。 |
オーバーレイ トンネル タイプ |
このフィールドは、[ プロバイダハブに接続 ]フィールドが有効で、1つのプロバイダーハブ(プライマリ)のみが指定されている場合に表示されます。 プライマリ ハブへのトンネルのメッシュ オーバーレイ トンネル タイプ(GRE および GRE_IPSEC)を選択します。 MPLSリンクは、GREとGRE_IPSECの両方をオーバーレイリンクタイプとして持つ場合があり、インターネットリンクとしてオーバーレイリンクタイプとしてGRE_IPSECのみを持つことができます。 |
オーバーレイ ピア デバイス |
このフィールドは、[ プロバイダハブに接続 ]フィールドが有効で、1つのプロバイダーハブ(プライマリ)のみが指定されている場合に表示されます。 サイトが接続されているピア ハブ デバイスを表示します。 |
オーバーレイピアインターフェイス |
このフィールドは、[ プロバイダハブに接続 ]フィールドが有効で、1つのプロバイダーハブ(プライマリ)のみが指定されている場合に表示されます。 サイトのWANリンクが接続されているハブデバイスのインターフェイス名を選択します。 |
オーバーレイ トンネル タイプ 1 |
このフィールドは、[ プロバイダ ハブに接続 ] フィールドが有効で、プライマリ ハブとセカンダリ ハブの両方が指定されている場合に表示されます。 プライマリ ハブへのトンネルのメッシュ オーバーレイ トンネル タイプ(GRE および GRE_IPSEC)を選択します。 MPLSリンクは、GREとGRE_IPSECの両方をオーバーレイリンクタイプとして持つ場合があり、インターネットリンクとしてオーバーレイリンクタイプとしてGRE_IPSECのみを持つことができます。 |
オーバーレイ ピア デバイス 1 |
このフィールドは、[ プロバイダ ハブに接続 ] フィールドが有効で、プライマリ ハブとセカンダリ ハブの両方が指定されている場合に表示されます。 サイトが接続されているプライマリ ピア ハブ デバイスを表示します。 |
オーバーレイ ピア インターフェイス 1 |
このフィールドは、[ プロバイダ ハブに接続 ] フィールドが有効で、プライマリ ハブとセカンダリ ハブの両方が指定されている場合に表示されます。 サイトのWANリンクが接続されているプライマリハブデバイスのインターフェイス名を選択します。 |
オーバーレイ トンネル タイプ 2 |
このフィールドは、[ プロバイダ ハブに接続 ] フィールドが有効で、プライマリ ハブとセカンダリ ハブの両方が指定されている場合に表示されます。 セカンダリ ハブへのトンネルのメッシュ オーバーレイ トンネル タイプ(GRE および GRE_IPSEC)を選択します。 MPLSリンクは、GREとGRE_IPSECの両方をオーバーレイリンクタイプとして持つ場合があり、インターネットリンクとしてオーバーレイリンクタイプとしてGRE_IPSECのみを持つことができます。 |
オーバーレイ ピア デバイス 2 |
このフィールドは、[ プロバイダ ハブに接続 ] フィールドが有効で、プライマリ ハブとセカンダリ ハブの両方が指定されている場合に表示されます。 サイトが接続されているセカンダリ ピア ハブ デバイスを表示します。 |
オーバーレイ ピア インターフェイス 2 |
このフィールドは、[ プロバイダ ハブに接続 ] フィールドが有効で、プライマリ ハブとセカンダリ ハブの両方が指定されている場合に表示されます。 サイトの WAN リンクが接続されているセカンダリ ハブ デバイスのインターフェイス名を選択します。 |
バックアップ リンク |
プライマリ(その他)リンクが利用できない場合にトラフィックをルーティングできるバックアップ リンクを選択します。ローカル ブレークアウト トラフィック専用に設定されたデフォルト リンクまたはリンク以外のリンクを選択できます。 プライマリリンクがオンラインに戻ると、CSOはプライマリリンクのパフォーマンスを監視し、プライマリリンクがSLA要件を満たすと、トラフィックはプライマリリンクに戻されます。ただし、バックアップリンクのSLAデータは監視されません。 |
デフォルトリンク |
SD-WAN ポリシーのインテントに一致しない場合、トラフィックのルーティングに使用する 1 つ以上のリンクを選択します。1 つのサイトに、ハブ サイトへのデフォルト リンクを複数設定できます。 デフォルト リンクは主にオーバーレイ トラフィックに使用されますが、ローカル ブレークアウト トラフィックにも使用できます。ただし、ローカル ブレークアウト トラフィックのみにデフォルト リンクを使用することはできません。デフォルトのリンクを指定しない場合、ECMP(等価コスト マルチパス)を使用して、トラフィックをルーティングするリンクを選択します。 |
VLAN ID |
WANリンクのVLAN IDを入力します。 範囲:0~4049(4050~4094はCSOによって予約されています)。
メモ:
SD-WAN ブランチ サイトの論理インターフェイスとして WAN リンクの設定を有効にするには、SP 管理者ユーザーがデバイス テンプレートを変更し、WAN ポートを論理インターフェイスとして設定する必要があります。 |
WAN_1(WAN-Interface-Name) |
切り替えボタンをクリックして、WANリンクを有効または無効(デフォルト)します。 WANリンクを有効にすると、WANリンクに関連するフィールドが表示されます。アスタリスク(*)が付いたフィールドは、続行するように設定する必要があります。 フィールドの説明については、WAN_0(WAN-Interface-Name)で説明されているフィールドを参照してください。 |
WAN_2(WAN-Interface-Name) |
切り替えボタンをクリックして、WANリンクを有効または無効(デフォルト)します。 WANリンクを有効にすると、WANリンクに関連するフィールドが表示されます。アスタリスク(*)が付いたフィールドは、続行するように設定する必要があります。 フィールドの説明については、WAN_0(WAN-Interface-Name)で説明されているフィールドを参照してください。 |
WAN_3(WAN-Interface-Name) |
切り替えボタンをクリックして、WANリンクを有効または無効(デフォルト)します。 WANリンクを有効にすると、WANリンクに関連するフィールドが表示されます。アスタリスク(*)が付いたフィールドは、続行するように設定する必要があります。 フィールドの説明については、WAN_0(WAN-Interface-Name)で説明されているフィールドを参照してください。 |
高度な設定
メモ:
セキュアSD-WAN Essentialsサービスを搭載したサイトは、ユーザーが定義したしきい値に基づいて、2つの支社サイト間で閉じたセッション数に基づいて、動的メッシュトンネルの作成や削除をサポートしていません。ただし、OpCo管理者またはテナント管理者は、カスタマーポータルのCSO GUIを使用して、ソースサイトと宛先サイトの間に静的トンネルを作成できます。 |
|
OAM IP プレフィックス |
CPEデバイスのループバックインターフェイスのIPv4アドレスプレフィックス(10.100.100.11/32など)を入力します。IP アドレス プレフィックスは /32 IP アドレス プレフィックスで、管理ネットワーク全体で一意にする必要があります。
メモ:
管理接続はCSOによって自動的に処理されるため、この設定は行わない(IPプレフィックスフィールドを空白のままにする)ことをお勧めします。 |
トラフィック量のメトリック |
サイトの WAN リンク上の SD-WAN トラフィック 量を計算する方法を選択します。CSOは、このデータを使用してサイトの詳細ページでWANトラフィックボリュームをグラフィカルに表示します。
|
トンネル作成の DVPN しきい値 |
メモ:
SD-WAN Essentialsサービスを利用しているサイトには適用されません。 エンタープライズ ハブと宛先サイト間のセッション(フロー)の数のしきい値を指定します(2 分間)。閉じたセッション数が指定されたしきい値を超えた場合、エンタープライズハブと宛先サイトの間にトンネルが作成されます。 デフォルト値は5です。 たとえば、[しきい値の作成] を 5 に指定した場合、エンタープライズ ハブと宛先サイト間で閉じたセッション数が 2 分で 5 を超えると、動的メッシュ トンネルが作成されます。 |
トンネル削除のDVPNしきい値 |
メモ:
SD-WAN Essentialsサービスを利用しているサイトには適用されません。 エンタープライズ ハブと宛先サイト間で終了したセッション数(15 分間)のしきい値を指定します。終了したセッション数が指定したしきい値よりも低い場合、エンタープライズ ハブと宛先サイト間のトンネルが削除されます。 デフォルト値は2です。 例えば、閉じたセッションの数を 2 と指定すると、エンタープライズ ハブと宛先サイト間の動的メッシュ トンネルは、閉じたセッションの数が 2 以下の場合に削除されます。 |
LAN セグメントの設定 LAN セグメントの設定については 、表 3 を参照してください。 |
|
構成テンプレート(オプション) |
|
構成テンプレートリスト |
リストから 1 つ以上の構成テンプレートを選択します。このリストは、選択したデバイスに基づいてフィルタリングされます。 構成テンプレートは、OpCo管理者またはSP管理者またはテナント管理者によって追加されるステージ2テンプレートです。
メモ:
[LAN] セクションに移動する前に選択した設定テンプレートのパラメーターを設定する必要があります。 選択した設定テンプレートのパラメータを設定するには、
|
LAN セグメントの設定については 、表 3 を参照してください。 |
ソース NAT ルールの自動作成 |
翻訳 |
NAT ルールの作成 |
---|---|---|
無効 |
該当なし(NAT なし) |
なし。 |
有効 |
インターフェイスベース(デフォルト)—CSOは、インターフェイスベースNATルールを作成します。 |
ソースNATルールは自動的に作成され、部門ゾーンからWANインターフェイスに各ルールが作成され、タイプインターフェイスが変換されます。[ゾーン - インターフェイス] の各ペアはルールセットを表します。 例えば、次の部門ゾーンから(WANリンク)W1インターフェイスルールセットが作成される場合があります。 Dept-Zone1 --> W1: Translation=Interface Dept-Zone2 --> W1: Translation=Interface Dept-Zone3 --> W1: Translation=Interface 支社/拠点サイトからのトラフィックがエンタープライズ ハブで発生すると、部門ルーティング グループ(VRF グループとも呼ばれる)から WAN インターフェイスに、エンタープライズ ハブでソース NAT ルールが自動的に作成されます。 Dept-vrf-group --> W1: Translation=Interface |
有効 |
プールベース—CSOはプールベースのNATルールを自動的に作成します(SD-WAN Essentialsサービスを持つサイトには適用されません)。 |
ソースNATルールは自動的に作成され、部門ゾーンからWAN NATプールに各ルールが作成され、タイププールが変換されます。 例えば、部門ゾーンから NAT プールへのソース NAT ルールが作成される場合があります。 Dept-Zone1 --> W1 : Translation=Pool-1 Dept-Zone2 --> W1 : Translation=Pool-1 支社/拠点サイトからのトラフィックがエンタープライズ ハブで発生すると、部門ルーティング グループから WAN プールまで、ソース NAT ルールがエンタープライズ ハブで自動的に作成されます。 Dept-vrf-group --> W1: Translation=Pool |
フィールド |
説明 |
---|---|
オーバーレイ VPN の使用 |
[ オーバーレイ VPN の使用 ] フィールドを有効にして、LAN セグメントを選択した部門(VRF + ゾーン)に関連付けて、他のサイトへのオーバーレイ トラフィックを行います。 アンダーレイ ブレークアウトのセキュリティ ゾーンに LAN セグメントを関連付けるには、 [オーバーレイ VPN の使用 ] フィールドを無効にします。ゾーンベースのセキュリティ ポリシーを定義する必要があります。
メモ:
新しいサイトを追加する場合、このフィールドはデフォルトで有効になっており、変更できません。ただし、[サイト名] ページの [LAN] タブからプロビジョニングされたサイトに新しい LAN セグメントを追加する場合は、このオプションを有効または無効にできます。 |
名前 |
LAN セグメントの名前を入力します。 LAN セグメントの名前は、英数字と一部の特殊文字(..)の一意の文字列にする必要があります。スペースは使用できません。最大長は 15 文字です。 |
CPE ポート |
メモ:
SRX シリーズ ファイアウォールに適用可能。 LAN セグメントに追加する CPE ポートを選択します。 ページの[LAN]タブ Site-Name からプロビジョニングされたサイトに新しいLANセグメントを追加する場合、LAGインターフェイスまたは冗長イーサネット(reth)インターフェイス(デュアルCPEクラスターの場合)を選択(または作成)して、SRXシリーズCPEデバイスをEXシリーズスイッチに接続できます。 SRX4600デバイスでetインターフェイスを使用するには、LAGインターフェイスを作成し、etインターフェイスをLAG(集合型イーサネットまたはae)インターフェイスのメンバーとして設定する必要があります。 LAGインターフェイスの作成を参照してください。 SRX4600 デュアル CPE クラスターでは、et インターフェイスが冗長イーサネット(reth)インターフェイスのメンバーとして設定されている場合、et インターフェイスを使用できます。 |
LAGインターフェイスの追加 |
メモ:
このオプションは、ページの [LAN] タブからプロビジョニングされたサイトに新しい LAN セグメントを追加する場合に Site-Name 使用できます。 リンクをクリックして、SRX シリーズ CPE を EX シリーズ スイッチに接続するために LAG インターフェイス(ae インターフェイス)を作成します。詳細については、 LAGインターフェイスの作成 を参照してください。 |
RETHインターフェイスの作成 |
メモ:
このオプションは、ページの [LAN] タブからプロビジョニングされたサイトに新しい LAN セグメントを追加する場合に Site-Name 使用できます。 リンクをクリックして、デュアル CPE クラスタを持つ SD-WAN サイトの reth インターフェイスを作成します。詳細については 、 RETHインターフェイスの作成 を参照してください。 |
型
メモ:
このフィールドは、エンタープライズ ハブ サイトに関連付けられた LAN セグメントに対してのみ表示されます。 |
LAN セグメントのタイプを選択します。
|
VLAN ID |
LAN セグメントの VLAN ID を入力します。デフォルトでは、VLAN IDは1に設定され、タグなしトラフィックに対してネイティブVLANが有効になっています。 範囲:SRXシリーズファイアウォール(シングルおよびデュアルCPE)およびvSRX仮想ファイアウォールの場合、1~4094。CSO リリース 6.2.0 以前のリリースでは、範囲は 1 ~ 4049 です。 |
ネイティブ VLAN の使用 |
このオプションを有効にして、タグなしトラフィックに上記で指定したVLAN IDを使用します。CPE インターフェイスは、VLAN ID と同じ値を持つ native-vlan-id で設定されています。 |
部門 |
メモ:
このフィールドは、[ オーバーレイ VPN の使用 ] フィールドが有効になっている場合にのみ使用できます。 LAN セグメントが割り当てられている部門を選択します。 または、[ 部門の作成 ] リンクをクリックして新しい部門を作成し、それに LAN セグメントを割り当てます。詳細については、「 部門の追加 」を参照してください。 管理を容易にし、部門レベルでポリシーを適用するために、LANセグメントを部門としてグループ化できます。動的にルーティングされる LAN セグメントの場合、データ センター部門のみを割り当てることができます。 |
ゲートウェイ アドレス/マスク |
LANセグメントに有効なゲートウェイIPアドレスとマスクを入力します。このアドレスは、この LAN セグメント内のエンドポイントのデフォルト ゲートウェイになります。 例えば、192.0.2.8/24。 |
ゾーン |
メモ:
このフィールドは、[ オーバーレイ VPN の使用 ] フィールドが無効になっている場合にのみ使用できます。 この LAN セグメントに関連付けるセキュリティ ゾーンを選択します。または、[ ゾーンの作成 ] をクリックして新しいセキュリティ ゾーンを作成し、それをこの LAN セグメントに割り当てます。詳細については、「 セキュリティ ゾーンの追加 」を参照してください。 |
Dhcp |
直接接続された LAN セグメントについては、DHCP を有効にするには、切り替えボタンをクリックします。 DHCP サーバーを使用して IP アドレスを割り当てたい場合は DHCP を有効にするか、静的 IP アドレスを LAN セグメントに割り当てる場合は DHCP を無効にできます。
メモ:
DHCP を有効にすると、ページに追加のフィールドが表示されます。 |
DHCP に関連するその他のフィールド |
|
アドレス範囲(低) |
DHCP サーバーによって LAN セグメントに割り当てられる IP アドレスの範囲で、開始 IP アドレスを入力します。 |
アドレス範囲(高) |
DHCP サーバーによって LAN セグメントに割り当て可能な IP アドレスの範囲で、終了 IP アドレスを入力します。 |
最大リース時間 |
クライアントが DHCP サーバーのリースを要求して保持できる最大時間(秒単位)を指定します。 デフォルト:1440 範囲:0~4,294,967,295秒。 |
ネームサーバー |
DNSサーバーの1つ以上のIPv4アドレスを指定します。 複数の DNS サーバー アドレスを入力するには、アドレスを入力し、Enter キーを押してから、次のアドレスを入力します。
メモ:
DNSサーバーは、ホスト名をIPアドレスに解決するために使用されます。 |
CPE ポート |
メモ:
NFX150 および NFX250 デバイスに適用可能。 SD-WAN 機能を搭載したサイトでは、[CPE ポート] フィールドが無効になっており、LAN セグメントに含めることができる CPE ポートが一覧表示されます。 [ 使用可能] 列からポートを選択し、右矢印をクリックしてポートを 選択 した列に移動します。 |
スタティック ルーティング このセクションを使用して、LAN セグメント上の静的ルーティングを設定します。CPEデバイスに接続されたすべてのLANルーターのIPアドレスと、これらのルーターの背後にある静的サブネットを提供します。 |
|
LAN ルーター IP プレフィックスの追加 |
|
LAN ルーター IP |
CPE デバイスに接続された LAN ルーターの IP アドレスを入力します。 |
プレフィックス |
LAN ルーターに接続されたサブネットを入力します。 |
Bfd |
BFD(Bidirectional Forwarding Detection)を有効にして、静的ルート上の障害を検出します。 |
動的ルーティング |
|
ルーティング プロトコル |
BGP または OSPF プロトコルを使用して動的ルーティングを設定するには、この切り替えボタンを有効にします。 |
Bfd |
BFD(Bidirectional Forwarding Detection)を有効にして、LANセグメント内の障害を検出します。 |
プロトコル |
BGP または OSPF のいずれかを選択します。 |
BGP 設定
メモ:
リリース6.1.0以降、CSOは、プロバイダエッジ(PE)およびデータセンターまたはLANルーターとのBGPピアリングセッションに対して、長期にわたるグレースフルリスタート(LLGR)機能を明示的に無効にします。LLGRを無効にすると、ピアリングルーターのLLGR機能に関係なく、CPEがピアリングルーターへのルートアドバタイズメントを区別しません。 CSO リリース 6.1.0 以前は、IP VPN 導入の PE ルーターに向けた BGP ピアリングと、データ センター導入のデータ センターまたは LAN ルーター向けの CPE で、LLGR ヘルパー モードがデフォルトで有効になっています(Junos OS の暗黙的な動作)。 |
|
認証 |
使用する BGP ルート認証方法を選択します。
|
認証キー |
認証に MD5 を使用することを指定した場合は、BGP パケットの真正性を検証するために使用される MD5 認証キー(パスワード)を指定します。 |
BGP オプション |
要件に基づいて以下のオプションを選択できます。
|
ループカウント |
このフィールドは、AS-LOOPを選択した場合にのみ表示されます。 ASパスでローカルASの検出が許可される最大回数を入力します。 |
ピア IP アドレス |
LAN BGP ピアの IP アドレスを入力します。 |
ピアAS番号 |
LAN BGPピアの自律システム(AS)番号を入力します。デフォルトでは、CSOはAS番号64512を使用します。別のAS番号を入力できます。 |
ローカルAS番号 |
ローカルAS番号を入力します。このパラメータを設定すると、CPEに設定されたグローバルAS番号ではなく、BGPピアリングにローカルAS番号が使用されます。 |
OSPF 設定 |
|
OSPF エリア ID |
動的ルートに使用するOSPFエリア識別子を指定します。 |
認証 |
使用する OSPF ルート認証方法を選択します。
|
パスワード |
OSPF パケットの信頼性を検証するために使用するパスワードを入力します。 |
パスワードの確認 |
確認のためにパスワードを再入力します。 |
MD5 認証キー ID |
認証に MD5 を使用することを指定した場合は、OSPF MD5 認証キー ID を入力します。 範囲:1~255。 |
認証キー |
認証に MD5 を使用することを指定した場合、OSPF パケットの真正性を検証するために使用される MD5 認証キーを入力します。 |
ルートアドバタイズ制御 |
|
オーバーレイへの LAN ルート |
このオプションが有効な場合、LANルートはSD-WANオーバーレイにアドバタイズされます。デフォルトでは、このオプションは有効になっています。 |
エクスポート ポリシー オーバーレイネットワークにアドバタイズされるルートをよりきめ細かく制御するために、 LANルートからオーバーレイへの オプションと組み合わせてポリシーを設定できます。例えば、 LANルートからオーバーレイへの オプションが有効になっている場合、特定のルートがアドバタイズされないようにポリシーを設定できます。同様に、 LANからオーバーレイへのオプション が無効になっている場合、特定のルートのみをアドバタイズできるようにポリシーを設定できます。 ポリシーの順序を変更するには、行をドラッグ アンド ドロップして上下に移動します。ポリシーを追加するには、+アイコンをクリックします。 |
|
エクスポート ポリシーの追加 |
|
名前 | ポリシーの名前を入力します。名前には、文字、数字、ハイフン(-)を含め、最大255文字まで使用できます。 |
一致条件 | 一致条件は、ルートが一致する必要がある基準を定義します。以下の一致条件のうち、1 つ以上を定義できます。
|
その後:アクション | 一致条件を満たすルートに対して、以下のいずれかのアクションを選択します。
|
LAN へのオーバーレイ ルート |
このオプションは、[ルーティング プロトコル] 切り替えボタンを有効にした場合にのみ表示されます。デフォルトでは、このオプションは無効になっています。 このオプションを有効にして、LANルーターにSD-WANオーバーレイルートをアドバタイズします。インポートポリシーとエクスポートポリシーを使用して、ルートアドバタイズメントをきめ細かく制御できます。
メモ:
CSOリリース6.0.0以前のリリースでは、このオプションはLANプレフィックスのアドバタイズと呼ばれ、データセンター部門にのみ適用されます。 |
BGP または OSPF インポート ポリシー(このセクションは、動的ルーティングを有効にした場合に表示されます)。 | インポートポリシーを使用して、LANルーターによってアドバタイズされたルートのリストから、CPEデバイスが受け入れるルートをきめ細かく制御できます。 ポリシーの順序を変更するには、行をドラッグ アンド ドロップして上下に移動します。ポリシーを追加するには、+アイコンをクリックします。表 4 を参照 |
BGP または OSPF エクスポート ポリシー(このセクションは、動的ルーティングを有効にした場合に表示されます)。 | エクスポートポリシーを追加して、CPEがLANルーターにアドバタイズするルートをきめ細かく制御できます。 ポリシーの順序を変更するには、行をドラッグ アンド ドロップして上下に移動します。ポリシーを追加するには、+アイコンをクリックします。表 4 を参照 |
オーバーレイへの Aggr/スタティック ルート |
オーバーレイ ネットワークへの静的ルートまたは集約ルートとして集約ルートのアドバタイズを許可するには、このオプションを有効にします。
|
ポリシー タイプ | 一致条件 | アクション |
---|---|---|
BGPインポートポリシー | 以下の一致条件のうち、1 つ以上を定義できます。
|
|
BGP エクスポート ポリシー | 以下の一致条件のうち、1 つ以上を定義できます。
|
|
OSPF インポート ポリシー | 以下の一致条件のうち、1 つ以上を定義できます。
|
次に: アクション — 一致条件を満たすルートに対して、以下のいずれかのアクションを選択します。
|
OSPF エクスポート ポリシー | 以下の一致条件のうち、1 つ以上を定義できます。
|
|