Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Juniper Mist WAN Assuranceの構成階層

設定階層の概要

Juniper Mist WAN Assuranceの設定

ネットワーク管理者は、パズルの各ピースが、Juniper Mist WAN Assuranceクラウドサービスにおけるネットワークのポリシー、セキュリティ、接続性を構築することを理解することが不可欠です。SD-WANを完全に導入するには、各パートでサイト間の接続を完了させる必要があります。Mistは、Mistのインテントベースネットワーク構築モデルを使用して、トラフィックインテントをWANエッジデバイスの設定に自動的に変換します。各部分が連携して、複雑なインターフェイス割り当て、セキュリティ、ルーティングポリシー、そして(プラットフォームによっては)宛先ゾーンを構築します。したがって、Juniper Mist WAN Assuranceの構成階層を掘り下げる際には、Mistインテントモデルを理解することが重要です。

インテントベースルーティング

インテントベースネットワーク構築は、いくつかの問題を解決します。たとえば、2 つのネットワーク間にセキュリティで保護された通信が必要な場合を考えます。インテントモデルでは、安全な通信にはネットワークAとネットワークB間のセキュアなトンネルが必要であることが示されています。このシナリオでは、ネットワーク管理者がトンネルを使用するトラフィックを特定し、その他の必要な一般的なプロパティについて説明します。しかし、オペレーターはトンネルの構築方法を指定したり、知らなかったりします。トンネルを実装するには、セキュリティで保護するデバイスの数、BGP 広告を作成する方法、有効にする機能とパラメーターを知っている必要があります。対照的に、インテントベースのネットワークシステムでは、サービスの記述に基づいて全デバイスの設定全体を自動的に生成します。その後で、システムはクローズドループ検証により設定が正しいことを継続的に検証しながら、インテント対象のネットワークの状態と運用の状態を比較して保証チェックを継続的に実行します。インテントベースのネットワークは、宣言型ネットワーク運用モデルです。ネットワークエンジニアが個々のネットワーク要素で必要な一連のアクションを指定する必要があり、エラーが発生する可能性が大きい従来の命令型ネットワークとは対照的でず。

インテントベースモデルの主な特徴:

  • 従来のネットワークモデルが必要とするほどの明示的な方向を必要としません。
  • どのネットワークがどのアプリケーションに移動するかに基づいてポリシーを構築します。
  • 組織全体でJuniper Mist WAN Assurance ネットワーク および アプリケーション を設定します。
  • 関連する構成のみをプッシュします。
  • デバイスが使用する アプリケーション のみを設定します。デバイスが アプリケーションを使用しない場合、インテントベースのネットワークはそのデバイスでアプリケーションを構成しません。

LANでDHCPを設定する例を見て、インターフェイスがすでに設定され、ゾーンが割り当てられていると仮定します。

Junos CLI で必要な手順:

  • Junosシステムサービスレベルに移動し、インターフェイスのDHCPローカルサーバーを有効にします。
  • Junosシステムのアドレス割り当てに移動し、ターゲットネットワーク、プールのアドレス範囲、デフォルトゲートウェイ、およびその他のDHCP属性を指定して、アドレスプールを作成します。
  • セキュリティゾーンに移動し、DHCPシステムサービスのホストインバウンドトラフィックを有効にして、SRXシリーズがクライアントからのDHCPリクエストを処理できるようにします。

これには、少なくとも 3 つの構成階層に分散した複数の構成行が必要です。

Mistでも同じワークフローが大幅に合理化されています。

  • まず、LAN 構成に移動し、編集用に開きます。
  • 次に、[DHCP サーバ(DHCP Server)] オプション ボタンを有効にして設定のロックを解除し、必須フィールド(IP Start、IP End、およびゲートウェイ)を入力します。
  • LAN 構成を保存し、デバイス構成を保存します。

構成階層要素

組織全体の構成要素

Mist設定の最上位は、Mist組織と呼ばれます。これらの要素は、Software-Defined Wide Area Network(SD-WAN)の展開全体に影響します。この構成レベルのさまざまなコンポーネントは、展開全体のソースと宛先の構成要素になります。識別されると、トラフィック要求は送信者と目的の宛先を適切に関連付けます。これらの要素は、使用しているプラットフォームに応じて、さまざまなJuniper Mist WAN Assurance導入コンポーネントを構築するのに役立ちます。送信元と宛先を特定することで、Juniper® SRXシリーズファイアウォール上のWANおよび関連するセキュリティゾーン全体にIPsecトンネルが構築されます。ジュニパー®ネットワークスのセッションスマート™ ルーター上のこれらのコンポーネントは、対応する送信元および送信先となり、SVR(セキュアベクトルルーティング)メタデータ交換の構築を支援します。2つのプラットフォームは、SD-WANの課題に独自のアプローチをしているため、Juniper Mist WAN Assuranceプラットフォームについて知っておくことは重要です。

ネットワーク

Juniper Mist WAN Assurance ネットワーク は、Mistのインテント駆動型パラダイムにおける「誰」です。 ネットワークは 、ネットワーク内の要求のソースです。ネットワークでは、「ユーザー」のグループを定義できます。Mistの設計でこの要素を作成すると、ネットワークが組織全体で使用できるように定義されます。

ジュニパー®ネットワークスのセッションスマート™ ルーター上のネットワークの特性:

  • Mist Networks はSVR用にバックグラウンドでテナントを作成します。
  • セッションスマートルーターは、論理インターフェイス(ネットワークインターフェイス)でテナントを識別します。
  • LAN および WAN インターフェイス構成によって、テナント (要求ソース) が識別されます。

Juniper® SRXシリーズファイアウォール上のネットワークの特性:

  • ネットワークはセキュリティポリシー と高度なポリシーベースルーティング(APBR)ポリシーのソースとして使用されるアドレス帳を作成します。
  • アプリケーション ポリシーが設定されている場合、設定はデバイスに適用されます。
  • LAN の場合、ゾーンの名前は指定されたネットワークの名前から派生します。
  • WANの場合、ゾーン名はWANの名前に基づきます。

ルートアドバタイズメント(オーバーレイを介してアドバタイズ)

WAN Assuranceとは、トランスポートネットワークをSD-WANに抽象化することです。ルートアドバタイズメントを使用すると、SD-WAN経由でネットワークをアドバタイズして、制御と到達可能性を確保できます。このようにして、LANセグメント内の確立されたネットワークをオーバーレイ全体にアドバタイズできます。これらのネットワークを設定すると、サービス・ポリシーのソース・アドレスが生成されます。送信元と宛先のネットワークアドレス変換(NAT)は、必要に応じてユーザーにトラフィックをルーティングできます。

SD-WAN の目的は、サイト間の接続です。したがって、ネットワークはオーバーレイを介してアドバタイズされ、SD-WANデバイス間の到達可能性を実現できます。この設定では、ネットワークがWAN全体でアドレスを共有するため、他のデバイスはそのアドレスに到達する方法を認識できます。

Mist Cloudへのアクセス

Mistはフルスタックソリューションです一部のデバイスのみがWANエッジまたはSD-WANルーターです。特定のデバイスでは、Mist Cloudにアクセスして、無線APやスイッチのWireless and Wired Assuranceなどの他のソリューションを活用したいと考えています。 Mist Cloudにアクセスすると 、特定のファイアウォール/ポリシールールが自動的に生成され、明示的な アプリケーションポリシーを必要とせずにデバイスがMistに電話をかけることができます。SD-WAN導入のWANエッジの背後にあるすべてのデバイスでこのような状態に置くことは、ルーターにとってポリシー上の課題となる可能性があるため、望ましくありません。 Mist Cloudへのアクセス は、Mist APやスイッチにとって優れたものであり、Mistダッシュボードから監視やトラブルシューティングを行うことができます。Juniper MistのWireless AssuranceとWired Assuranceについてはこちらをご覧ください。

Mistクラウドへのアクセスを有効にすると、WANエッジの背後にあるあらゆるものが、接続に関するポリシーを手動で表明しなくても、Mistクラウドに到達できるようになります。この設定のポートとプロトコルは次のとおりです。

  • TCP/443
  • DNS/53
  • SSH/2200
  • NTP/123
  • Syslog/6514
  • Icmp

ユーザー

ラベルにだまされてはいけません。 Users は、ネットワーク上の 1 人のユーザーを表すものではありません。 ユーザーは 、サブネットまたは間接的に接続されたサブネットのサブセットです。 ネットワーク は「誰」であるため、 ユーザーは そのネットワークIDの下位区分と考えてください。多くの場合、ネットワークを同じように扱うための普遍的なルールがあります。たとえば、トラフィックの99%について、セッションで同じことを行います。しかし、ゲストネットワークから企業ネットワークへのアクセスをブロックしているが、プリンターにアクセスするために1つの特定のIPが必要な場合はどうでしょうか。これは 、ユーザーのユースケースです。セッションスマートルーティングプラットフォームに精通している場合は、これを親ネットワーク「テナント」の子と考えてください。または、 ユーザーに は、ネットワーク上の間接プレフィックスを定義する2番目のユースケースがあります。

  • ユーザーは 詳細な権限を定義できます。たとえば、LAN セグメントにインターネット アクセスが必要な場合がありますが、特定のネットワーク デバイスに制限する必要があります。ここでは、そのデスクトップに関するアクセスポリシーを作成します。
  • LAN セグメント上のルーターの背後に間接的に接続されたプレフィックスに到達しなければならない場合があります。たとえば、複数のデバイスを外部アプリケーションに接続するデバイスの背後にルーターがあるとします。

アプリケーション

アプリケーションは 、Mistのインテント駆動型モデルパラダイムにおける「何」を構成します。 アプリケーションは 、ネットワークが提供するものです。 アプリケーションは トラフィックの宛先を表し、「データベース」や「インターネット」など、クライアントがアクセスするものにちなんで名付けられます。Mist デザインでこの要素を作成すると、 組織 全体で使用するアプリケーションが定義されます。

ジュニパー®ネットワークスのセッションスマート™ ルーター上の アプリケーション の特徴

  • Mistアプリケーションは、SVR用のサービスをバックグラウンドで作成します。
  • アプリケーション には、ポート、プロトコル、プレフィックス、カスタム ドメイン、または組み込みの AppID ライブラリのアプリ名を指定できます。

ポート、プロトコル、プレフィックスは、すべてのポリシーが展開する場所です。

  • カスタムアプリは 、ポート、プロトコル、またはプレフィックスのセットです。
  • アプリは インターネット アプリ ID にマップされます。
  • URL カテゴリ は強制ポイント URL です。

Juniper® SRXシリーズファイアウォール上のアプリケーションの特徴

  • アプリケーションは 、セキュリティ ポリシーで使用する宛先を決定します。
    • プレフィックス 0.0.0.0/0 とプロトコル「any」は、Juniper Mist WAN Assuranceポリシー内で any に解決されます。アドレス帳や申し込みは必要ありません。
  • WANエッジ上のカスタムアプリは、SRXシリーズのオンボックスエンジン「タイプ」を使用し、アドレス帳とアプリケーションを組み合わせたものです。
  • アプリは 、SRXシリーズレイヤー7のAppIDエンジンにマッピングされます。
  • URL カテゴリ は強制ポイント URL です。

トラフィックステアリング

トラフィックステアリング は、Mistのインテント駆動型モデルパラダイムにおける「方法」です。 トラフィックステアリング は、トラフィックが宛先に到達するまでに通過できるさまざまなパスを定義する方法です。アプリケーションへのトラフィックに複数のパスがある場合、パスをパスのサブセットに制限し、優先順位を設定できます。また、使用可能なパス間で多数のストリームを読み込んでバランスを取ることもできます。

ジュニパー®ネットワークスのセッションスマート™ ルーターにおける トラフィックステアリング の特性:

  • ジュニパー®セッションスマートルーター™には、SVRを活用して宛先へのネクストホップとベクトルを決定するトラフィック ステアリング 独自のソリューションがあります。
  • ブロックリスト項目は、SVR のネクスト ホップの確立を妨げます。

トラフィックステアリングルールはセッションスマートルーターでのみ必要になります

  • 順序付け、加重、ECMPなどの従来のステアリング戦略は、セッションスマートルーターには適用されません。
  • アプリケーションポリシーアプリケーションをブロックすることは不要であり、Session Smartネクストホップ選択プロセスを弱体化させます。

セッションスマートルーターは、独自のhelloメカニズムを使用してネクストホップを選択します。ピアのセッションスマートルーター間のこの双方向転送検出(BFD)メッセージは、活性とパスの正常性をチェックします。

Juniper® SRXシリーズファイアウォールの トラフィックステアリング の特性:

  • Juniper® SRXシリーズファイアウォールはゾーンベースであり、宛先ゾーンは トラフィックステアリング ポリシー内で設定されたパスによって決定されます。
  • トラフィックステアリング は、ルートをインポートするために、転送タイプのルーティングインスタンスと関連するルーティングポリシーを設定します。SRXシリーズでは、このルーティングインスタンスがAPBRで使用されます。
  • SRXシリーズにはいくつかのステアリング戦略があります。
    • 順序付き: デフォルト、リストの順に移動します。最上位のものが優先され、次にフェイルオーバーします。順序付きリストを作成します。
    • 加重: 重量に基づいて希望の順序を設定できます。例えば、2 つの重み付けパスが両方とも 5 に設定されている場合、2 つのパスで ECMP が発生します。一方、1 つを 5 に設定し、もう 1 つを 10 に設定する 2 つの重み付きパスでは、トラフィックが最初に重みの低いパスを通る順序付きステアリングになります。
    • ECMP:等コストマルチパスアルゴリズムにより、トラフィックを完全に負荷分散します。トラフィックは、使用可能なすべてのパスに均等に分割されます。

アプリケーション ポリシー

"誰が"、"何を"、"どのように" は、アプリケーション ポリシーによってまとめられます。Mistのインテント駆動型モデルにより、数千行のコードで、SRXシリーズ上でJunos OSを介してルートやセキュリティポリシーを手動で生成することが簡素化されます。また、コンダクターベースのセッションスマート導入からWAN Assuranceに移行するお客様のセッションスマートルーターの導入も簡素化されます。起動して実行するために、明示的な権限とインターフェイスの割り当てはもう必要ありません。WAN Assuranceはゼロトラストです。これは暗黙的であり、インテント駆動型モデルの一部です。アプリケーションにアクセスするためのアクセス許可をネットワークに明示的に付与する必要があります。

順序が重要となるのは、ジュニパー®ネットワークスのセッションスマート™ ルーターでローカルネットワークを出力する場合のみです。セッションスマートルーターは、最も具体的な一致を使用するルーターです。つまり、ローカルトラフィックにMistトラフィックステアリングを使用する必要はありません。重要なのは、 トラフィックステアリング でブロックを使用しても、独自のプロセスを損なうため、SVRで機能しないことです。デバイス、サブネット、またはネットワークが アプリケーションにアクセスできない場合は、トラフィックステアリングを作成しないでください。

Juniper® SRXシリーズファイアウォール上の アプリケーションポリシー の特徴:

ステアリングパスは、SRXシリーズの宛先ゾーンを決定します。SRXシリーズを使用する場合、ポリシーの順序が重要になるため、ポリシーに トラフィックステアリング が割り当てられていることを確認してください。従来のゾーンベースのファイアウォールとして、フィルターとポリシーを生成するルールのリストを使用します。ほとんどの特定ルールは、SRXシリーズのアプリケーションポリシーリストの一番上にあります。

ネットワークのスケーリング:Mist の自動化

WANエッジテンプレート

SD-WANの基本的な構成要素が整うと、Mistを使用してWANエッジテンプレートを使用して新しいWANエッジデバイスを導入できるようになります。これまでの構成はすべて、WANエッジテンプレートでテンプレート化できます。これらのテンプレートは、スタンドアロンのエッジデバイスから、数百ものサイトを持つ完全なSD-WAN導入まで有効です。自動化プロセスによりエラーがなくなり、複数のスポークサイトとヘッドエンドの導入が簡素化されます。

テンプレートは、一般的な設定タスクを削減または排除し、複数のデバイスを設定する際のヒューマンエラーを排除します。WANエッジテンプレート:

  • 導入環境全体に標準を適用します。
  • すべてのネットワークデバイスが同じDNS(8.8.8.8)を指していることを確認します。
  • 同期とログ記録に同じネットワーク タイム プロトコル (NTP) を使用するため、予測可能な動作を提供します。(これは特定の証明書にも影響します)。
  • トラブルシューティングと管理を簡素化します。
    図 1: WANエッジテンプレート WAN Edge Template

ただし、WANエッジテンプレートは、タスクを自動化するだけではありません。あまり使用しないものが含まれている可能性があり、すべてのサイトまたはサイトのサブセットに適用できます。たとえば、すべてのサイトにゲスト ネットワークがあるわけではありませんが、そのインターフェイスを予約できます。

これらのテンプレートでは、次のこともできます。

  • 特定のモデルを介したポートおよびサイトグループのハードウェアの一括注文。
  • 特定のユースケースとトラフィックフロー。
  • 異なる企業LANネットワーク。
  • ゲスト ネットワーク。

WANエッジテンプレートは、IP、ゲートウェイ、VLANなどの反復的な情報を自動的に設定します。さらに、WANエッジテンプレートには、トラフィックステアリング、アクセスポリシー、ルーティング設定、および標準化したい追加構成を含めることができます。WAN および LAN 接続には、プレフィックス、NAT、またはその他のローカル情報が必要になることに注意してください。

ハブプロファイル

ハブプロファイルは、WANエッジテンプレートと連携します。ハブはエッジではなく、ネットワーク全体で普遍的に一意です。テンプレート内でデプロイを完全に定義することは不可能です。ハブは、Mistがオーバーレイネットワークを構築する方法に影響します。各支社/拠点とリモートオフィスは、ハブへのSD-WAN通信を構築します。トポロジは、1 つのオーバーレイを構成するオーバーレイ エンドポイントによって決定されます。すべてのハブWANインターフェイスは、スポークのオーバーレイエンドポイントを作成します。スポークWANインターフェイスは、適切なハブWANインターフェイスをマッピングし、トポロジーを定義します。これがトランスポートネットワークの抽象化です。WAN Assuranceの2つのプラットフォームでは抽象化の解決方法が異なるため、オーバーレイネットワークを構築する際には、それぞれの微妙な違いを理解することが不可欠です。

Juniper® SRXシリーズファイアウォール

SRXシリーズのオーバーレイSD-WANは、ルート分離用の仮想ルーターと、セキュアなトランジットトラフィック用のIPsecトンネルを組み合わせています。WAN構成によってトポロジーを決定し、オーバーレイネットワークを構築します。注意すべき点の 1 つは、組織ごとに実装できるオーバーレイは 1 つだけであるということです。ただし、このオーバーレイ内に複数のトランスポート タイプにまたがる多数のパスを設定し、トラフィックを安全に分離して転送することはできます。SRX シリーズ デバイスでは、オーバーレイによってセキュリティ ゾーン、仮想ルーター、IPsec トンネルが組み合わされます。

ジュニパー®ネットワークスのセッションスマート™ ルーター

Session SmartオーバーレイSD-WANは、近隣のWANであり、ポート1280のBFDを介して、セッションスマートピア間の活性とジッター、レイテンシー、損失に関する独自の通信を使用します。ハブプロファイルでWANインターフェイスを設定すると、オーバーレイハブエンドポイントが作成されます。セッションスマートルーターでは、エンドポイントはSVRの受信側です。

スポークWANインターフェイスをオーバーレイハブエンドポイントにマッピングすると、いくつかのことが起こります。スポークはピア接続を確立し、トランスポートネットワークのセッションスマート抽象化であるSVRの近隣とベクトルを識別します。

オーバーレイに関する最後の注意事項:SRXシリーズとセッションスマートルーターは、単一のオーバーレイ内に存在することはできません。ハブでBGPを介してペアリングすることはできますが、サイト間接続を作成するソリューションは独自のものであり、連携して機能することはできません。つまり、移行計画のある人は、アドバタイズが必要なルートを特定し、ハブでアドバタイズする必要があります。

次のハブ プロファイルに関する考慮事項に注意してください。

  • ハブプロファイルを最初に構築して、スポークテンプレートが接続先を把握できるようにする必要があります。
    • ハブには、オーバーレイ エンドポイント用の静的 IP が必要です。
    • オーバーレイエンドポイントの設定は、WANエッジのスポークテンプレートで公開されます。
  • これらのガイドライン内に組み込むことができるハブの数に制限はありません。
    • データセンターごとに 1 つのハブ
    • 冗長性のための 2 つのハブ(HA クラスター)

スポークは、トラフィック ステアリングと アプリケーション ポリシーによってプライマリ ハブを選択します。ZTP(ゼロタッチプロビジョニング)では、ZTPを完了してから移行先のネットワークに移行しない限り、(物理的な実装のため)DHCP(物理的実装用)が必要になります。デバイスを手動で事前設定することもできます。

図2:ハブプロファイル Hub Profile

サイト変数

サイト変数は、サイトごとに構成されます。ネットワークを総合的に計画する場合、特定のWANエッジおよびWANエッジクラスター用の標準テンプレートを作成できます。理想的には、サイトごとに1つのWANエッジデバイスのみ(デバイスがクラスター化されている場合は1つの論理WANエッジ)があります。変数はサイトごとに異なる場合があるため、管理者はテンプレートまたは WAN エッジ設定ページで変数を使用します。変換は、コンフィギュレーションがレンダリングされてデバイスにプッシュされるときに行われます。

次のサイト変数に関する考慮事項に留意してください。

  • 変数の構文は Jinja2 と一致し、次のように二重中括弧で囲まれています: {{variableName}}
  • UI では、名前の一部として先頭と末尾の中かっこが適用されます。
  • サイト変数の制限:
    • 変数にスペースがありません。
    • 変数フィールド内に特殊文字 (アンダースコアを除く) はありません。
    • 変数は 1 つのフィールドでのみ使用でき、プレフィックス全体を指定することはできません。

    たとえば、10.88.88.88/24 には、IP アドレス (10.88.88.88) 用とプレフィックス長 (24) 用の少なくとも 2 つの変数が必要です。

    図3:サイト変数 Site Variables

    テンプレートの真の力を使用する最良の方法は、サイト変数を使用することです。ハードウェアを展開するには、多くの構成項目が必要です。WANエッジテンプレートとサイト変数を組み合わせるのが理にかなっています。最初の 3 つのオクテットの IP サブネット全体を定義して、各デバイスで最小限の構成を残すことができる次の状況を考えてみましょう。

    次のいずれかの方法で、標準テンプレートを作成し、WAN などの標準インターフェイスに変数を配置します。

    • WAN1PFX変数を使用すると、たとえば {{192.168.170}} になり、[構成] ページの WAN フィールドでは、ローカル IP の場合は {{WAN1PFX}}.1、ゲートウェイの場合は {{WAN1PFX}}.2 になります。
    • 変数の {{WAN1IP}} と {{WAN1_GW}} のペアを定義できます。ただし、サブネットは再利用できますが、特定のIPは再利用できない場所があります。
      図 4: WAN 構成 Site Variables in WAN Configurationのサイト変数

      別の堅牢な使用例は、3番目のオクテットが変数になり、その変数が複数のフィールドに適用される可能性があるマジックオクテットです。たとえば、{{SITEID}} 変数は、3 番目のオクテットと VLAN タグの両方に使用できます。その場合、ネットワーク プレフィックスは 192.168 になります。{{SITEID}}.1/24 を {{SITE_ID}} VLAN ID に置き換えます。WAN エッジ テンプレートは WAN エッジにのみ適用されますが、サイト変数はスイッチと AP にも適用されることに注意してください。この自動化の目的は、導入を簡素化し、再利用性を高めることです。

テンプレートの適用の概要

サイトは、1 つの場所にあるすべてのアセットのコレクションであることに注意してください。WANエッジは1つしかないことを意味します。Juniper Mist AIによるMist管理の重要な機能は、構成テンプレートを使用してWANエッジをグループ化し、一括更新を実行できることです。テンプレートは統一性と利便性を提供し、階層はスケールと粒度を提供します。

テンプレートのインポートとエクスポート

万能のソリューションはありません。複数のテンプレートを持つことができます。時間を節約するには、テンプレートを複製してUIで変更するか、オフライン/プログラムによる変更のためにエクスポートして後でインポートします。

図 5: テンプレートの Export or Clone Templateエクスポートまたは複製

テンプレート サンプルの変更

テンプレートの上書き

テンプレートはサイトに適用され、サイトはデバイスに適用されます。テンプレートは構成を標準化するために使用されますが、例外は常に存在します。1 つのサイト用に少し異なるテンプレートを作成するのではなく、デバイス上のテンプレート設定を上書きします。

図 6: テンプレート設定 Override Template Settingsの上書き

テンプレートを上書きする必要がある場合は、デバイスごとに必要な構成ブロックの [テンプレート設定の上書き] オプションを有効にすることができます。 図 7 は、DNS と アプリケーション ポリシー をオーバーライドするが、WAN、LAN、NTP サーバーなどの他の設定はオーバーライドしない方法を示しています。

図 7: アプリケーション ポリシー Application Policy

スクリーンショットは、オールオアナッシングアクションを示しています。上書きテンプレート設定を有効にすると、構成ブロックは WAN エッジテンプレートから設定を継承しなくなります。テンプレートの構成ブロックに対する変更は、このデバイスに適用されなくなります。将来の変更は、両方の場所で手動で行う必要があります(構成ブロックごと、混合およびマッチングなし)。

設定を上書きするには、以下のいずれかのロールが割り当てられている必要があります。

  • スーパーユーザー
  • ネットワーク管理者 (すべてのサイト アクセス)
  • ネットワーク管理者 (サイト グループまたは特定のサイト アクセス)

組織レベルのアプリケーション ポリシー

図 8: 組織レベルのアプリケーション ポリシー

図 8 は、組織レベルでの アプリケーション ポリシー 構成オプションを示しています。

Organizational-Level Application Policy

テンプレートは複数のデバイスを展開する時間を節約しますが、異なるデバイス モデルやわずかに異なる構成に対応するために、さまざまなテンプレートがある場合があります。各テンプレートに同じ アプリケーション ポリシー を作成できますが、組織レベルの アプリケーション ポリシーを使用するための近道があります。組織レベルの アプリケーション ポリシーを使用すると、大規模なネットワーク トポロジーの WAN エッジ テンプレートやハブ プロファイルにインポート可能なアプリケーション ルールを作成できます。

組織レベルの アプリケーション ポリシーを使用するためのベスト プラクティスと制限事項を見てみましょう。各組織レベルの アプリケーション ポリシー には、グローバルに一意の名前が必要です。そうしないと、構成の保存時にエラーが発生します。インポートされたポリシーは、変更を目的としていないため、すべてのフィールドが淡色表示になっています。組織レベルの トラフィックステアリングは存在しませんが、トラフィックステアリングはローカルの接続とインテントに適用されるため、これは理にかなっています。

組織レベルの アプリケーション ポリシー を LAN ブロックまたは 1 つのサブネットに適用することを検討してください。10/8のLAN「スーパーネット」を作成した場合、ポリシーは10/anyから発信されたものすべてにインターネットへの到達を許可し、すべてのサイトで機能します。これが計画が重要である理由です。導入環境に関係なく、同様のトラフィックパターンでトラブルシューティングを効率化するようにネットワークを設計します。たとえば、一部のサイトにはLTEがあり、トラフィックは他のサイトではなくそのサイトから送信する必要があります。また、スタンドアロンのサイトやSD-WANのサイトもあります。ユニバーサルポリシーは、スタンドアロンサイトのトラフィックステアリングに、WANをアンダーレイに送るように指示し、サイトはSD-WANスポークのオーバーレイに移動することで、両方に適用できます。

要約すると、組織レベルのポリシーのユースケースは、サイトに関係なくネットワーク全体のトラフィックパターンを記述することです。ポリシーとして、許可するものと許可しないものを定義します。次に、サイトまたはテンプレート(場所に適用されます)に適用すると、パズルの最後のピースとなるステアリング部分が追加されます。

WAN設計時の考慮事項

図 9 は、WAN エッジ プロビジョニングのワークフローを示しています。
図 9: WANエッジプロビジョニングのワークフロー WAN Edge Provisioning Workflow

SD-WANを展開するには、完成したプロジェクトを構成するブロックを確認することが、以下のように不可欠です。

  1. 組織内の要求のソースを構成する "誰" (ネットワーク) について考えてください。
  2. ユーザーが「どの」宛先(アプリケーション)にアクセスするかを検討します。
  3. これらの要素は組織のどこに行きますか?サイトの種類を検討します。
  4. 最後に、これらのユーザーがトラフィックの宛先にアクセスしてアクセスできる「方法」(トラフィックステアリング)を検討します。
  5. Mist AI、テンプレート、変数を活用して拡張できるようになりました。

SD-WAN プロビジョニング

操作の順序は重要です。SD-WAN プロビジョニングの実装を準備するときは、次の順序でタスクを実行します。

  1. まず、テンプレートを使用してネットワークを計画し、導入を全体的に検討します。
  2. ハブプロファイルは、WANエッジのスポークテンプレートよりも先に取得する必要があります。
  3. 最初に アプリケーション (トラフィックの宛先)を使用して設計し、次に ネットワーク (誰)を使用して設計します。

アプリを分析して、後でより細かくすることができます。

  1. ネットワーク(トラフィックのソース)を把握していることを確認します。

ネットワークは、ポリシーとトラフィックのステアリングを通知します。

  • 適切な アプリケーション ポリシー を両端(スポークとハブ)に適用します。

オーバーレイエンドポイントを確立する際は、エンドツーエンドの到達可能性に努めます。分離された MPLS エンドポイントをインターネットエンドポイントに接続することはできません。