Juniper Mist WAN Assuranceの設定階層

Juniper Mist WAN Assuranceの構成

ネットワーク管理者は、パズルの各ピースが、Juniper Mist WAN Assuranceクラウドサービスのネットワークのポリシー、セキュリティ、接続性を構築することを理解しておくことが不可欠です。完全なSD-WAN導入では、各部分がサイト間接続を完了する必要があります。Mistは、Mistのインテントベースのネットワーク構築モデルを使用して、トラフィックのインテントをWANエッジデバイスの設定に自動的に変換します。各部分が連携して、複雑なインターフェイス割り当て、セキュリティ、ルーティングポリシー、そしてプラットフォームによっては宛先ゾーンを構築します。したがって、Juniper Mist WAN Assuranceの構成階層を詳しく見ていく際には、Mistインテントモデルを理解することが非常に重要です。

インテントベースのルーティング

インテントベースのネットワーク構築は、いくつかの問題を解決します。たとえば、2 つのネットワーク間にセキュアな通信が必要だと仮定します。インテントモデルでは、セキュアな通信にはネットワークAとネットワークBの間のセキュアなトンネルが必要であると示されています。このシナリオでは、ネットワーク管理者がトンネルを使用するトラフィックを識別し、その他の必要な一般的なプロパティを記述します。しかし、オペレーターはトンネルの構築方法を指定せず、その方法すら知りません。トンネルを実装するには、セキュリティ保護するデバイスの数、BGPアドバタイズメントの作成方法、有効にする機能とパラメーターを把握しておく必要があります。これとは対照的に、インテントベースのネットワーク構築システムは、サービス記述に基づいて、すべてのデバイスの構成全体を自動的に生成します。その後で、システムはクローズドループ検証により設定が正しいことを継続的に検証しながら、意図したネットワークの状態と運用の状態を比較して保証チェックを継続的に実行します。インテントベースのネットワーク構築は、宣言型ネットワーク運用モデルです。従来の命令型ネットワーク構築とは対照的です。命令型ネットワーク構築では、ネットワークエンジニアが個々のネットワーク要素に必要な一連のアクションを指定しなければならず、エラーが発生する可能性が高くなります。

インテントベースモデルの主な特徴:

• 従来のネットワーク モデルほど明示的な指示は必要ありません。
• どのネットワークがどのアプリケーションに接続するかに基づいてポリシーを構築します。
• 組織全体でJuniper Mist WAN Assurance のネットワーク と アプリケーション を設定します。
• 関連する設定のみをプッシュします。
• デバイスが使用する アプリケーション のみを設定します。デバイスで アプリケーションが使用されていない場合、インテントベースのネットワークはそのデバイスでそのアプリケーションを設定しません。

LANでDHCPを設定する例を見て、インターフェイスがすでに設定され、ゾーンに割り当てられていると仮定しましょう。

Junos CLI で必要な手順:

• Junosシステムサービスレベルに移動し、インターフェイスのDHCP-local-serverを有効にします。
• Junosシステムアドレス割り当てに移動し、ターゲットネットワーク、プールのアドレス範囲、デフォルトゲートウェイ、およびその他のDHCP属性を指定して、アドレスプールを作成します。
• セキュリティゾーンに移動し、DHCPシステムサービスのホストインバウンドトラフィックを有効にして、SRXシリーズがクライアントからのDHCPリクエストを処理できるようにします。

これには、少なくとも 3 つの設定階層に複数の設定ラインを分散させる必要があります。

同じワークフローが、Mistで大幅に合理化されています。

• まず、LAN構成に移動し、編集用に開きます。
• 次に、[DHCP Server]オプションボタンを有効にして設定のロックを解除し、必要なフィールド([IP Start]、[IP End]、および[Gateway])を入力します。
• LAN設定を保存し、デバイス設定を保存します。

企業全体の構成要素

Mist構成の最上位は、Mist組織と呼ばれます。これらの要素は、Software-Defined Wide Area Network(SD-WAN)の導入全体に影響します。この構成レベルのさまざまなコンポーネントは、デプロイメント全体のソースと宛先の構成要素になります。いったん識別されると、トラフィック要求は送信者と目的の宛先を適切に関連付けます。これらの要素は、プラットフォームに応じて異なるJuniper Mist WAN Assurance導入コンポーネントを構築するのに役立ちます。送信元と宛先を特定することで、WANとジュニパーSRX®シリーズファイアウォール上の関連するセキュリティゾーンにまたがるIPsecトンネルが構築されます。ジュニパー®ネットワークスセッションスマート™ ルーター上のこれらのコンポーネントは、対応する送信元および宛先となり、セキュアベクトルルーティング(SVR)メタデータ交換の構築に役立ちます。この2つのプラットフォームは、SD-WANの課題に独自にアプローチするため、お使いのJuniper Mist WAN Assuranceプラットフォームについて知ることが重要です。

ネットワーク

Juniper Mist WAN Assurance ネットワーク は、Mistインテント駆動型パラダイムにおける「誰」です。 ネットワーク は、ネットワーク内の要求の送信元です。ネットワークでは、「ユーザー」のグループを定義できます。Mist設計でこの要素を作成すると、ネットワークは企業全体で使用できるように定義されます。

ジュニパー®ネットワークスセッションセッションスマート™ ルーター上のネットワークの特性:

• Mist Networks は、SVR用にバックグラウンドでテナントを作成します。
• セッションスマートルーターは、論理インターフェイス(ネットワークインターフェイス)でテナントを識別します。
• LAN と WAN インターフェイスの構成は、テナント (要求ソース) を識別します。

ジュニパーSRX®シリーズファイアウォール上のネットワークの特性:

• ネットワークは 、 セキュリティポリシー と高度なポリシーベースルーティング(APBR)ポリシーのソースとして使用するアドレス帳を作成します。
• アプリケーション ポリシーが設定されている場合は、設定がデバイスに適用されます。
• LAN の場合、ゾーンの名前は指定されたネットワークの名前から派生します。
• WAN の場合、ゾーンの名前は WAN の名前に基づきます。

ルートアドバタイズメント(オーバーレイ経由のアドバタイズ)

WAN Assuranceとは、トランスポートネットワークをSD-WANに抽象化することです。SD-WAN経由でネットワークをアドバタイズし、ルートアドバタイズメントで制御と到達性を高めることができます。このようにして、LANセグメント内の確立されたネットワークをオーバーレイ上でアドバタイズすることができます。これらのネットワークを設定すると、サービスポリシーの送信元アドレスが生成されます。送信元と宛先のネットワークアドレス変換(NAT)は、必要に応じてトラフィックをユーザーにルーティングできます。

SD-WAN の目的はサイト間接続です。したがって、ネットワークをオーバーレイを介してアドバタイズし、SD-WANデバイス間の到達性を有効にすることができます。この設定により、ネットワークはWANを介してアドレスを共有するため、他のデバイスはそのアドレスに到達する方法を知ることができます。

Mist Cloudへのアクセス

Mistはフルスタックソリューションです一部のデバイスがWANエッジまたはSD-WANルーターです。特定のデバイスは、Mist Cloudにアクセスして、Wireless APやスイッチ上のWireless AssuranceやWired Assuranceなどの他のソリューションを活用します。 Mist Cloudにアクセスする と、特定のファイアウォール/ポリシールールが自動的に生成され、明示的な アプリケーションポリシーを必要とせずに、デバイスがオートコールしてMistできるようになります。SD-WANの導入において、WANエッジの背後にあるすべてのデバイスにこれを設定することは望ましくありません。ルーターにポリシー上の課題をもたらす可能性があるためです。 Mist Cloudへのアクセス は、Mistダッシュボードから監視やトラブルシューティングができるため、Mist APやスイッチに最適です。Juniper Mist Wireless AssuranceとWired Assuranceをご覧ください。

Mistクラウドへのアクセスを可能にすることで、WANエッジの背後にあるものはすべて、接続に関するポリシーを手動で表現しなくても、Mistクラウドに到達することができます。この設定のポートとプロトコルには、次のものが含まれます。

• TCP/443
• DNS/53
• SSH/2200
• NTP/123
• syslog/6514
• ICMP

ユーザー

ラベルに騙されないでください。 Users は、ネットワーク上の 1 人のユーザーを表すものではありません。 ユーザーは 、サブネットのサブセットまたは間接的に接続されたサブネットです。 ネットワーク は「誰が」なので、 ユーザー をそのネットワークIDの下位区分と考えてください。ネットワークを同じように扱うための普遍的なルールがしばしばあります。例えば、トラフィックの99%について、セッションで同じことをさせたいとします。しかし、ゲスト ネットワークから企業ネットワークへのアクセスをブロックしているときに、プリンタにアクセスできるように特定の IP が 1 つ必要な場合はどうでしょうか。これは 、ユーザーに対するユースケースです。セッションスマートルーティングプラットフォームを使い慣れている方は、これを親ネットワーク「テナント」の子ネットワークと考えてください。あるいは、 ユーザーに は、ネットワーク上の間接プレフィックスを定義する2つ目のユースケースがあります。

• ユーザーは 、きめ細かい権限を定義できます。たとえば、LANセグメントにインターネットアクセスが必要な場合がありますが、それを特定のネットワークデバイスに制限する必要があります。したがって、ここでは、そのデスクトップに関するアクセス ポリシーを作成します。
• 場合によっては、LAN セグメント上のルーターの背後にある間接的に接続されたプレフィックスに到達する必要があります。たとえば、デバイスの背後にルーターがあり、複数のデバイスを外部アプリケーションに接続しているとします。

アプリケーション

アプリケーションは 、Mistインテント駆動型モデルパラダイムにおける「何を」で構成されます。 アプリケーションは 、ネットワークが提供するものです。 アプリケーションは トラフィックの宛先を表し、「データベース」や「インターネット」など、クライアントがアクセスするものにちなんだ名前が付けられます。Mist設計でこの要素を作成すると、 アプリケーションは 組織全体で使用するように定義されます。

ジュニパー®ネットワークスセッションセッションスマート™ ルーター上の アプリケーションの 特性

• Mistアプリケーションは、SVRのサービスをバックグラウンドで作成します。
• アプリケーション には、ポート、プロトコル、プレフィックス、カスタム ドメイン、または組み込みの AppID ライブラリのアプリ名を使用できます。

ポート、プロトコル、プレフィックスは、すべてのポリシーが展開される場所です。

• カスタムアプリは 、ポート、プロトコル、またはプレフィックスのセットです。
• アプリは インターネットの app-id にマップされます。
• URL カテゴリ はフォースポイント URL です。

ジュニパーSRX®シリーズファイアウォール上のアプリケーションの特性

• アプリケーションは 、セキュリティ ポリシーで使用される宛先を決定します。
  • プロトコルが「any」のプレフィックス0.0.0.0/0は、Juniper Mist WAN Assuranceポリシー内で any に解決されます。アドレス帳やアプリケーションは必要ありません。
• WANエッジ上のカスタムアプリは、SRXシリーズオンボックスエンジン「タイプ」を使用し、アドレス帳とアプリケーションを組み合わせたものです。
• アプリは 、SRXシリーズレイヤー7 AppIDエンジンにマッピングされます。
• URL カテゴリ はフォースポイント URL です。

トラフィックステアリング

トラフィックステアリング は、Mistインテント駆動型モデルパラダイムにおける「方法」です。 トラフィック・ステアリング は、トラフィックが宛先に到達するまでに利用できるさまざまなパスを定義する方法です。アプリケーションへのトラフィックに複数のパスがある場合、パスをパスのサブセットに制限し、優先順位を設定することができます。また、利用可能なパス全体で多数のストリームをロードしてバランスを取ることもできます。

ジュニパー®ネットワークスセッションスマート™ ルーターの トラフィックステアリング の特性:

• ジュニパー®のセッションスマートルーター™は、 SVR を活用して宛先へのネクストホップとベクトルを決定するトラフィックステアリング用の独自のソリューションを備えています。
• ブロックリスト項目は、SVRのネクストホップの確立を妨げます。

トラフィック・ステアリング・ルールは、セッションスマートルーターでのみ必要です

• Ordered、Weighted、ECMPなどの従来のステアリング戦略は、セッションスマートルーターには適用されません。
• アプリケーション ポリシーでアプリケーションをブロックすることは不要であり、セッションスマートのネクストホップ選択プロセスを弱体化させます。

セッションスマートルーターは、独自のhelloメカニズムを使用してネクストホップを選択します。ピアのセッションセッションスマートルーター間のこの双方向転送検出(BFD)メッセージは、活性とパスの健全性をチェックします。

ジュニパーSRX®シリーズファイアウォールの トラフィックステアリング の特性:

• ジュニパーSRX®シリーズファイアウォールはゾーンベースであり、宛先ゾーンは トラフィックステアリング ポリシー内で設定されたパスによって決定されます。
• トラフィック・ステアリング は、転送タイプのルーティング・インスタンスと、ルートをインポートするための関連するルーティングポリシーを構成します。お使いのSRXシリーズでは、このルーティング インスタンスがAPBRで使用されます。
• SRXシリーズには、いくつかのステアリング戦略があります。
  • 順序付き: デフォルト、リストの順に移動します。最上位が優先され、次にフェールオーバーします。順序付きリストを作成します。
  • 加重: 加重に基づいて希望の順序を設定できます。例えば、2 つの重み付けパスを両方とも 5 に設定した場合、2 つのパスの ECMP が発生します。一方、1 つが 5 に設定され、もう 1 つが 10 に設定された 2 つの重み付きパスでは、トラフィックが重みの小さいパスを最初に通過する順序付けされたステアリングになります。
  • ECMP: 等コスト マルチパス アルゴリズムを使用して、トラフィックを完全に負荷分散します。トラフィックは、利用可能なすべてのパスに均等に分割されます。

アプリケーション ポリシー

「誰が」、「何を」、「どのように」が アプリケーション ポリシーにまとめられます。Mistインテント駆動型モデルでは、数千行のコードを使用してSRXシリーズをJunos OSすることで、ルートとセキュリティポリシーの手動生成が簡素化されます。また、コンダクターベースのセッションスマート導入からWAN Assuranceに移行するお客様のために、セッションスマートセッションスマートルーターの導入も簡素化されます。起動して実行するために、明示的な権限やインターフェイスの割り当ては不要になりました。WAN Assuranceはゼロトラストです。これはインテント駆動型モデルの一部として黙示的に行われます。アプリケーションへのアクセス権限を ネットワーク に明示的に付与する必要があります。そうでなければ、 ネットワークはルーティングされません。

注文が重要なのは、ジュニパー®ネットワークスのセッションセッションスマート™ ルーターでローカルネットワークから出る場合のみです。セッションスマートルーターは、最も具体的な一致を使用するルーターです。つまり、ローカル トラフィックに Mist トラフィック ステアリングを使用する必要はありません。重要なのは、 トラフィックステアリング でブロックを使用すると、独自のプロセスが損なわれるため、SVRでは機能しないということです。デバイス、サブネットまたはネットワークが アプリケーションにアクセスできない場合は、そのトラフィック・ステアリングを作成しないでください。

ジュニパーSRX®シリーズファイアウォールの アプリケーションポリシー の特徴:

ステアリング パスは、SRX シリーズ内の宛先ゾーンを決定します。SRXシリーズを使用する場合は、ポリシーの順序が重要になるため、ポリシーに トラフィックステアリング が割り当てられていることを確認してください。従来のゾーンベースのファイアウォールとして、フィルターとポリシーを生成するルールのリストを使用します。最も具体的なルールは、SRXシリーズのアプリケーション ポリシー リストの一番上に配置する必要があります。

WANエッジテンプレート

SD-WANの基本的な構成要素が整ったら、MistはWANエッジテンプレートを使用して新しいWANエッジデバイスを導入できるようにします。以前の設定はすべて、WANエッジテンプレートでテンプレート化できます。これらのテンプレートは、スタンドアロンのエッジデバイスから、数百ものサイトを持つ完全なSD-WAN展開まで有効です。自動化プロセスによりエラーが削除され、複数のスポークサイトとヘッドエンドの導入が簡素化されます。

テンプレートは、一般的な設定タスクを削減または排除し、複数のデバイスを設定する際の人為的エラーを排除します。WAN エッジ テンプレート:

• 導入環境全体に標準を適用します。
• すべてのネットワークデバイスが同じDNS(8.8.8.8)を指していることを確認します。
• 同期とログ記録に同じNetwork Time Protocol(NTP)を使用するため、予測可能な動作を提供します。(これは、特定の証明書にも影響します。
• トラブルシューティングと管理を簡素化します。
  図 1:WAN エッジ テンプレート

しかし、WANエッジテンプレートは、タスクを自動化する以上の機能を持ち、使用頻度が低いものを含め、すべてのサイトまたはサイトのサブセットに適用することがあります。たとえば、すべてのサイトにゲスト ネットワークがあるわけではありませんが、そのインターフェイスを予約できます。

これらのテンプレートでは、次のこともできます。

• 特定のモデルによるポートおよびサイトグループのハードウェアの一括注文。
• 特定のユースケースとトラフィックフロー。
• さまざまな企業LANネットワーク。
• ゲスト ネットワーク。

WANエッジテンプレートは、IP、ゲートウェイ、VLANなどの反復情報を自動的に構成します。さらに、WANエッジテンプレートには、トラフィックステアリング、アクセスポリシー、ルーティング設定、および標準化したい追加の構成を含めることができます。WAN および LAN 接続には、プレフィックス、NAT、またはその他のローカル情報が必要であることに注意してください。

ハブプロファイル

ハブプロファイルは、WANエッジテンプレートと連携します。ハブはエッジに設置されておらず、ネットワーク全体で普遍的に固有です。テンプレート内でデプロイを完全に定義することは不可能です。ハブは、Mistオーバーレイネットワークの構築方法に影響を与えます。各支社/拠点やリモート オフィスは、ハブへの SD-WAN 通信を構築します。トポロジは、1 つのオーバーレイを構成するオーバーレイ エンドポイントによって決定されます。すべてのハブWANインターフェイスは、スポークのオーバーレイエンドポイントを作成します。スポーク WAN インターフェイスは、適切なハブ WAN インターフェイスをマッピングし、トポロジーを定義します。これがトランスポートネットワークの抽象化です。WAN Assuranceの2つのプラットフォームは、抽象化を解決する方法が異なるため、オーバーレイネットワークを構築する際には、その微妙な違いを理解することが不可欠です。

Juniper® SRXシリーズファイアウォール

SRXシリーズオーバーレイSD-WANでは、ルート分離用の仮想ルーターと、セキュアなトランジットトラフィック用のIPsecトンネルが組み合わせられています。WAN構成によってトポロジーが決定され、オーバーレイネットワークが構築されます。注意すべき点の 1 つは、組織ごとに実装できるオーバーレイが 1 つしかないことです。ただし、このオーバーレイ内に複数のトランスポートタイプのパスを設定し、トラフィックを安全に分離して転送することができます。SRXシリーズデバイスでは、セキュリティゾーン、仮想ルーター、IPsecトンネルがオーバーレイされます。

ジュニパー®ネットワークスセッションセッションスマート™ ルーター

セッションスマートオーバーレイSD-WANは、ポート1280のBFDを介した独自の通信により、セッションスマートピア間のライブネスとジッター、遅延、ロスに対応します。ハブプロファイルでWANインターフェイスを設定すると、オーバーレイハブエンドポイントが作成されます。セッションスマートルーターでは、エンドポイントはSVRの受信側です。

スポークWANインターフェイスをオーバーレイハブエンドポイントにマッピングすると、いくつかのことが発生します。スポークはピア接続を確立し、トランスポートネットワークのセッションスマート抽象化であるSVRの近傍とベクトルを識別します。

オーバーレイに関する最後の注意点:SRXシリーズとセッションスマートルーターは、単一のオーバーレイ内に存在できません。ハブでBGPを介してペアリングできますが、サイト間接続を作成するためのソリューションはユニークであり、連携して機能することはできません。つまり、移行計画を立てている場合は、アドバタイズが必要なルートを特定し、ハブでアドバタイズする必要があります。

次のハブプロファイルに関する考慮事項に留意してください。

• ハブ プロファイルを最初に作成して、スポーク テンプレートが接続先を把握できるようにする必要があります。
  • ハブには、オーバーレイ エンドポイントの静的 IP が必要です。
  • オーバーレイ エンドポイントの構成は、WAN エッジ スポーク テンプレートで公開されます。
• これらのガイドラインに組み込むことができるハブの数に制限はありません。
  • データセンターごとに 1 つのハブ
  • 冗長性を実現する2つのハブ(HAクラスタ)

スポークは、トラフィック ステアリングと アプリケーション ポリシーによってプライマリ ハブを選択します。ゼロタッチプロビジョニング(ZTP)は、ZTPが完了してから宛先ネットワークに移行しない限り、(物理的な実装のために)DHCPを必要とします。手動でデバイスを事前準備することもできます。

サイトの変数

サイト変数は、サイトごとに設定されます。ネットワークを総合的に計画する場合、特定の WAN Edge や WAN Edge クラスター向けの標準テンプレートを作成できます。サイトごとにWANエッジデバイスが1つだけ(デバイスがクラスタ化されている場合は、論理WANエッジが1つだけ)が理想です。変数はサイトごとに異なる可能性があるため、管理者はテンプレートまたは WAN エッジ設定ページで使用します。変換は、構成がレンダリングされ、デバイスにプッシュされたときに発生します。

サイト変数に関する次の考慮事項に留意してください。

• 変数の構文は Jinja2 と一致し、{{variableName}} のように二重中括弧で囲まれています。
• UI では、名前の一部として先頭と末尾の中括弧が適用されます。
• サイト変数の制限:
  • 変数にスペースが含まれていません。
  • 変数フィールド内に特殊文字 (アンダースコアを除く) を使用しないでください。
  • 変数は 1 つのフィールドでのみ使用でき、プレフィックス全体を指定することはできません。

  たとえば、10.88.88.88/24 には少なくとも 2 つの変数が必要で、1 つは IP アドレス(10.88.88.88)用、もう 1 つはプレフィックス長(24)用です。

  図3:サイトの変数

  テンプレートの真の力を活用する最良の方法は、サイト変数を使用することです。ハードウェアを展開するには、多くの構成項目が必要です。WANエッジテンプレートとサイト変数を組み合わせることは理にかなっています。最初の 3 つのオクテットの IP サブネット全体を定義し、各デバイスで最小限の設定を残すことができる次の状況を考えてみましょう。

  標準テンプレートを作成し、次のいずれかの方法で WAN などの標準インターフェイスに変数を配置します。

  • WAN1PFX変数の場合、{{192.168.170}} で、[設定] ページの [WAN] フィールドでは、ローカル IP の場合は {{WAN1PFX}}.1、ゲートウェイの場合は {{WAN1PFX}}.2 になります。
  • {{WAN1IP}}と{{WAN1_GW}}の変数のペアを定義できます。ただし、サブネットが再利用される可能性があるが、特定のIPではない場所があります。
    図4:WAN構成のサイト変数

    もう1つの堅牢なユースケースはマジックオクテットで、3番目のオクテットが変数になり、その変数は複数のフィールドにも適用できます。たとえば、{{SITEID}}変数は、3番目のオクテットとVLANタグの両方に使用することができます。その場合、ネットワーク プレフィックスは 192.168 になります。{{SITEID}}.1/24 を {{SITE_ID}} VLAN ID に置き換えます。 WANエッジテンプレートはWANエッジにのみ適用されますが、サイト変数はスイッチとAPにも適用されることを忘れないでください。自動化の目的は、導入を簡素化し、再利用性を高めることです。

テンプレートの適用の概要

サイトは、すべてのアセットを 1 か所に集めたものであることを忘れないでください。これは、WAN エッジが 1 つだけであることを意味します。Juniper Mist AIによるMist管理の重要な機能は、構成テンプレートを使用してWANエッジをグループ化し、一括更新できることです。テンプレートは統一性と利便性を提供し、階層は拡張性と粒度を提供します。

テンプレートのインポートとエクスポート

万能のソリューションはありません。テンプレートは複数用意できます。時間を節約するには、テンプレートを複製してUIで変更するか、オフライン/プログラムによる変更用にエクスポートして後でインポートします。

テンプレートの上書き

テンプレートはサイトに適用され、サイトはデバイスに適用されます。テンプレートは構成を標準化するために使用されますが、例外は常に存在します。1 つのサイトに若干異なるテンプレートを作成するのではなく、デバイス上のテンプレート設定を上書きします。

組織レベルのアプリケーションポリシー