Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

Juniper Mist Secure Edgeコネクタ

Juniper Mistでは、WANエッジデバイスとして導入されているジュニパーネットワークスSRXシリーズファイアウォールおよびジュニパー®セッションスマート®™ ルーター向けに特別に設計された、構築済みのコネクターを提供しています。これらのコネクタを使用すると、Secure Service Edge(SSE)展開とのシームレスな統合が容易になります。最小限の設定で、SSEをJuniper Mistポータルに統合できます。その結果、WAN エッジデバイスは IPsec または GRE プロトコルを使用して SSE への接続を確立します。

図1:Juniper Secure EdgeTraffic Inspection by Juniper Secure Edgeによるトラフィック検査

このソリューションでは、WAN Edge テンプレート内の Secure Edge Connector を使用して、WAN エッジデバイスと SSE の間に IPsec トンネルを設定します。さらに、BGP over IPsec接続は、SSEデバイスからルーティングの宛先を動的に学習するように設定されています。

次の種類のコネクタは、Juniper Mistポータルで事前に構築されています。

  • Juniper Secure Edge(手動プロビジョニングおよび自動プロビジョニング)
  • Zscaler(手動プロビジョニングと自動プロビジョニング)
  • 習慣

Juniper Secure Edge、カスタム、またはZscalerの導入でセキュアエッジコネクターを設定し、WANエッジデバイス(SSRシリーズルーターまたはSRXシリーズファイアウォール)からトラフィックをオフロードするためのハイレベルなワークフロー:

  1. デバイス接続用の基本的なブランチ テンプレートを作成してデプロイします。

  2. 必要に応じて、SSEでリモートネットワークを設定します。このステップでは、トンネルを経由するインバウンド接続のリモートソースを定義します。

  3. デバイス テンプレートで Secure Edge コネクタとプロバイダーを構成します。このステップでは、リモートロケーションへのカスタムIPsec トンネルを作成し、暗号化パラメーターを定義します。

  4. オプションで、ルートを動的に学習するようにBGPピアを設定します。

  5. トラフィックが IPsec トンネルに向かって誘導されるようにアプリケーションを構成します。このアプリケーションは、アプリケーション ポリシーで使用され、クライアント ネットワークが BGP で学習したルートにアクセスできるようにします。

  6. トラフィックステアリングポリシーを構成して、スポークまたはハブデバイスのLAN側からSecure Edgeにインターネットに向かうトラフィックを誘導します。

Secure Edge Connectorのアプリケーションポリシー

Juniper WAN Assurance設計のアプリケーションポリシーは、ソースとしてのネットワークとユーザーとアプリケーションの組み合わせです。これらのセキュリティ・ルールは、トラフィック・ステアリングを使用してこれらのアプリケーションにアクセスできるネットワーク/ユーザーを定義し、使用するパスを定義します。

これらのポリシーを設定するには、ネットワーク、アプリケーション、トラフィックステアリングプロファイルを作成する必要があります。送信トラフィックの場合、トラフィックステアリングプロファイルにはSecure Edgeコネクタが含まれます。トラフィックがSecure Edge Connectorから開始されるインバウンドユースケースでは、リモートネットワークをSecure Edge Connectorに含め、そのネットワークをアプリケーションポリシーで使用して、Secure Edge Connectorからのインバウンドアクセスを許可します。この機能を使用すると、サイトへのインバウンドトラフィックを開始する必要があるクラウドホストサービスに安全に接続できます。

Secure Edge Connectorのトラフィックステアリングプロファイル

トラフィックステアリングは、Juniper Mistがトンネルを作成する前に、SRXシリーズファイアウォールとセッションスマートルーターの両方でSECに必要です。

この要件は、次の場合を除きます。

  • リモートネットワークがSecure Edge Connectorに割り当てられている
  • BGPピアは Secure Edge コネクタに割り当てられます

Secure Edgeコネクターのダイナミックルーティング

BGP ピアリングは、Secure Edge Connector 上で設定できます。この構成では、動的ルーティングにBGPを活用し、BGPパス選択を使用してルートテーブルにルートをインストールします。大まかな手順は次のとおりです。

  • Secure Edge Connectorが確立され、カスタムのSecure Edgeプロバイダーを使用して構成されていることを確認します。

  • BGP インポートおよびエクスポート ポリシーを設定します。

  • BGP ネイバーオプションを設定します。

  • この BGP ネイバーの Secure Edge コネクターを選択します。

  • インポートポリシーとエクスポートポリシーを割り当てます。

  • BGP ピアがトンネル インターフェイス上でルートを交換していることを確認します。

関連資料