Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

ジュニパー Mist Secure Edge コネクターの概要

Secure Service Edge(SSE)を統合する前に、主要な概念、導入オプション、大まかなワークフローについてよく理解しておいてください。

ジュニパー Mist には、WAN エッジ デバイスとして導入される SRXシリーズ ファイアウォールおよびセッションスマート ルーター用に特別に設計された構築済みコネクタが用意されています。これらのコネクタにより、セキュアサービスエッジ(SSE)導入環境とのシームレスな統合が容易になります。

このソリューションでは、Mistポータルを使用してSecure Edge Connector(SEC)を設定します。IPsecトンネルは、そのSEC設定を使用してWANエッジデバイスとSSEの間に設定されます。これにより、WANエッジデバイスはIPsecまたはGREプロトコルを使用してSSEへの接続を確立します。

図1:ジュニパー Secure EdgeTraffic Inspection by Juniper Secure Edgeによるトラフィック検査

さらに、Prisma AccessやカスタムなどのSECタイプでは、BGP over IPsec接続を設定して、SSEデバイスからルーティング先を動的に学習できます。

ジュニパー Mistは、以下のSECプロバイダをサポートしています。

  • ジュニパー Secure Edge(手動プロビジョニングと自動プロビジョニング)
  • Palo Alto Prisma Access(自動プロビジョニング)
  • Zscaler(手動プロビジョニングと自動プロビジョニング)
  • カスタム

MistでのSecure Edgeコネクタの設定の概要

以下は、MistがサポートするSecure Edgeコネクタタイプを使用してSecure Edgeコネクタを設定し、WAN Edgeデバイスからトラフィックをオフロードするための大まかなワークフローです。

  1. デバイス接続用の基本的なブランチテンプレートを作成し、展開します。

  2. オプションで、SSEでリモートネットワークを設定します。このステップでは、トンネルを介した着信接続のリモートソースを定義します。

  3. デバイステンプレートでSECおよびSSEプロバイダを設定します。このステップでは、リモートロケーションへのカスタムIPsecトンネルを作成し、暗号化パラメーターを定義します。

  4. オプションで、ルートを動的に学習するように BGPピアを設定します。

  5. IPsecトンネルへのトラフィックステアリングを許可するアプリケーションを設定します。このアプリケーションは、アプリケーションポリシーで使用され、クライアントネットワークがBGPで学習したルートにアクセスできるようにします。

  6. インターネットバウンドのトラフィックをスポークまたはハブデバイスのLAN側からSECに誘導するトラフィックステアリングポリシーを設定します。

  7. アプリケーションポリシーを設定し、適切なアプリケーションとトラフィックステアリングをポリシーに割り当てます。

注意:トラフィックステアリングポリシーをアプリケーションポリシーに割り当てると、設定がデバイスにプッシュされます。

SEC向けアプリケーションポリシー

アプリケーションポリシーは、どのネットワークとユーザー(トラフィックソース)がどのアプリケーション(トラフィックの宛先)にアクセスできるかを定義します。また、トラフィックステアリングを使用して使用するパスを定義し、そのトラフィックステアリングルールをアプリケーションポリシーに割り当てることもできます。

これらのポリシーを設定するには、ネットワーク、アプリケーション、トラフィックステアリングプロファイルを作成する必要があります。

  • アウトバウンドトラフィックの場合—トラフィックステアリングプロファイルにSECを含めます。

  • SECを介したインバウンドトラフィックの場合—SECにリモートネットワークを含め、インバウンドアクセスを許可するアプリケーションポリシーを定義します。この機能を使用すると、サイトへのインバウンドトラフィックを開始するクラウドホストサービスに安全に接続できます。

Secure Edge Connectorのトラフィックステアリングプロファイル

ジュニパー Mistがトンネルを作成する前に、SRXシリーズファイアウォールとセッションスマートルーターの両方でSECにトラフィックステアリングが必要です。

この要件は、以下の場合を除き変わりません。

  • リモートネットワークがSECに割り当てられている
  • BGPピアはSECに割り当てられています

SEC向けダイナミックルーティング

SEC上でBGPピアリングを設定できます。この設定では、動的ルーティングに BGP を利用し、BGP パス選択を使用してルート テーブルにルートをインストールします。

注:BGP over IPsec接続は、以下のSECタイプに対してのみ設定できます。

  • Palo Alto Prisma Access(自動プロビジョニング)

  • カスタム

JSEとZscalerは、動的ルーティング用のBGP over IPsecをサポートし ていません

SECの動的ルーティングを設定するための大まかな手順:

  1. SECが確立され、 カスタム または Prisma Access Secure Edgeプロバイダを使用して設定されていることを確認します。

  2. BGPインポートおよびエクスポートポリシーを設定します。

  3. BGPネイバーオプションを設定します。

  4. このBGPネイバーのSECを選択します。

  5. インポートポリシーとエクスポートポリシーを割り当てます。

  6. BGPピアがトンネルインターフェイス上でルートを交換していることを確認します。