ジュニパー Mist Secure Edge コネクターの概要
Secure Service Edge(SSE)を統合する前に、主要な概念、導入オプション、大まかなワークフローについてよく理解しておいてください。
ジュニパーMistは、ジュニパーネットワークス®のSRXシリーズファイアウォールおよびWANエッジデバイスとして導入されるジュニパー®セッションスマート™ ルーター用に特別に設計された構築済みのコネクターを提供します。これらのコネクタにより、セキュアサービスエッジ(SSE)導入環境とのシームレスな統合が容易になります。最小限の構成で、SSEをジュニパーMistポータルに統合できます。その結果、WANエッジデバイスは、IPsecまたはGREプロトコルを使用してSSEへの接続を確立します。
このソリューションでは、WAN Edgeテンプレート内のSecure Edge Connector(SEC)を使用して、WAN EdgeデバイスとSSEの間でIPsecトンネルを設定します。さらに、BGP over IPsec接続は、SSEデバイスからルーティング先を動的に学習するように設定されています。
ジュニパーMistは、以下のSECタイプをサポートしています。
- ジュニパー Secure Edge(手動プロビジョニングと自動プロビジョニング)
- Zscaler(手動プロビジョニングと自動プロビジョニング)
- 習慣
ジュニパー Secure Edge、カスタム、またはZscalerの導入でSecure Edgeコネクタを設定し、WANエッジデバイス(SSRシリーズルーターまたはSRXシリーズファイアウォール)からトラフィックをオフロードするための高レベルのワークフロー:
デバイス接続用の基本的なブランチテンプレートを作成し、展開します。
オプションで、SSEでリモートネットワークを設定します。このステップでは、トンネルを介した着信接続のリモートソースを定義します。
デバイステンプレートでSECおよびSSEプロバイダを設定します。このステップでは、リモートロケーションへのカスタムIPsecトンネルを作成し、暗号化パラメーターを定義します。
オプションで、ルートを動的に学習するように BGPピアを設定します。
トラフィックをIPsecトンネルに誘導できるようにアプリケーションを設定します。このアプリケーションは、アプリケーションポリシーで使用され、クライアントネットワークがBGPで学習したルートにアクセスできるようにします。
インターネットバウンドのトラフィックをスポークまたはハブデバイスのLAN側からSECに誘導するトラフィックステアリングポリシーを設定します。
SEC向けアプリケーションポリシー
アプリケーションポリシーは、どのネットワークとユーザー(トラフィックソース)がどのアプリケーション(トラフィックの宛先)にアクセスできるかを定義します。また、トラフィックステアリングを使用して、使用するパスを定義することもできます。
これらのポリシーを設定するには、ネットワーク、アプリケーション、トラフィックステアリングプロファイルを作成する必要があります。
-
アウトバウンドトラフィックの場合—トラフィックステアリングプロファイルにSECを含めます。
-
SECを介したインバウンドトラフィックの場合—SECにリモートネットワークを含め、インバウンドアクセスを許可するアプリケーションポリシーを定義します。この機能を使用すると、サイトへのインバウンドトラフィックを開始するクラウドホストサービスに安全に接続できます。
Secure Edge Connectorのトラフィックステアリングプロファイル
ジュニパー Mistがトンネルを作成する前に、SRXシリーズファイアウォールとセッションスマートルーターの両方でSECにトラフィックステアリングが必要です。
この要件は、以下の場合を除き変わりません。
- リモートネットワークがSECに割り当てられている
- BGPピアはSECに割り当てられています
SEC向けダイナミックルーティング
SEC上でBGPピアリングを設定できます。この設定では、動的ルーティングに BGP を利用し、BGP パス選択を使用してルート テーブルにルートをインストールします。大まかな手順は次のとおりです。
-
SECが確立され、カスタムSecure Edgeプロバイダを使用して設定されていることを確認します。
-
BGPインポートおよびエクスポートポリシーを設定します。
-
BGPネイバーオプションを設定します。
-
このBGPネイバーのSECを選択します。
-
インポートポリシーとエクスポートポリシーを割り当てます。
-
BGPピアがトンネルインターフェイス上でルートを交換していることを確認します。