Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SRXシリーズファイアウォールのネットワークを設定する

ネットワークは、Juniper WAN Assurance設計におけるリクエストのソースです。Juniper® SRXシリーズファイアウォールでは、ネットワークは、セキュリティポリシーと高度なポリシーベースルーティング(APBR)ポリシーのソースとして使用するアドレス帳を作成します。

ネットワークでは、ユーザーのグループを定義できます。WAN設計では、LANセグメントを介してアプリケーションにアクセスするソースを特定し、ユーザーを設定する必要があります。ユーザーは送信元アドレスであり、後でアプリケーション ポリシーで使用できます。

Juniper Mist™ Cloudポータルでネットワークを作成すると、そのポータルで組織全体のネットワークを使用できるようになります。WAN Assuranceの設計では、アプリケーションポリシーのソースとしてネットワークを使用します。

ネットワークを設定するには:

  1. Juniper Mist Cloudポータルで、[組織]>[WAN > Networks]をクリックします。
    既存のネットワークがある場合は、そのリストが表示されます。
  2. 右上隅にある [ ネットワークの追加] をクリックします。
    ネットワークの追加 ウィンドウが表示されます。 テーブル 1 は、ネットワークで設定できるオプションをまとめたものです。
    表1:ネットワークオプション
    フィールド の説明
    名前 ネットワークの一意の名前を入力します。名前には、英数字、アンダースコア、ハイフンを使用でき、長さは 32 文字未満にする必要があります。
    サブネット IP アドレス ネットワーク IP アドレスを入力します。絶対値(例:192.0.2.0)または変数(例:{{SPOKE_LAN1_PFX}}.0)を使用できます。
    プレフィックス長 アドレスプレフィックスの長さを 0 〜 32 の範囲で入力します。プレフィックス長に変数を使用することもできます。例: {{PFX1}}
    VLAN ID

    (オプション)ネットワークに関連付けられている VLAN ID を入力します。

    デバイスがタグなしインターフェイスを使用している場合は、VLAN ID として 変数ではなく 1 を使用する必要があります。
    送信元NATプールプレフィックス

    (オプション)送信元NATのIPv4プレフィックスを入力します。ソースNATは、トラフィックの送信元IPアドレス(プライベートIPアドレス)をパブリックIPアドレスに変換します。

    Mist Cloudへのアクセス

    SRXシリーズファイアウォール上のサービスがJuniper Mistクラウドにアクセスできるようにするには、チェックボックスをオンにします。

    オーバーレイへのアドバタイズ

    オーバーレイ トンネルを介してハブ デバイスにネットワークをアドバタイズするオプションにチェックを入れます。このオプションを選択すると、広告の以下の追加オプションが表示されます。

    • 他のスポークにアドバタイズ:ネットワーク プレフィックスを他のスポークにアドバタイズします(デフォルト オプション)。

      ネットワークでハブにのみプレフィックスをアドバタイズし(他のスポークにはアドバタイズしない場合は)、デフォルト オプションを無効にします。

    • ハブ LAN BGP ネイバーにアドバタイズ:ハブの任意の LAN BGP ネイバーにネットワーク プレフィックスをアドバタイズするネットワーク(デフォルト オプション)。アドバタイズしない場合は、デフォルト オプションを無効にします。
    • ハブ LAN OSPF ネイバーにアドバタイズ(SRX のみ)- ハブの任意の LAN OSPF ネイバーにネットワーク プレフィックスをアドバタイズするネットワーク(デフォルト オプション)。アドバタイズしない場合は、デフォルト オプションを無効にします。
    • アドバタイズするプレフィックスの上書き:ハブにアドバタイズするプレフィックスが元のネットワークではなく、別のプレフィックスである場合は、このオプションを有効にします。これは通常、NAT オプションを有効にする場合に使用されます。このオプションを選択する場合は、[IP アドレス] と [プレフィックス長] を入力します。

    ポータルには、次のルート集約オプションも表示されます。

    • ハブオーバーレイ集約 - ネットワークがオーバーレイにアドバタイズされたネットワークプレフィックスを集約できるようにします。例:Juniper Mistポータルでは、192.168.1.0/24から192.168.0.0/16に要約できます。この機能は、ハブが各スポークから受信し、ハブが他のすべてのスポークに送り返す BGP アップデートの数を制限します。
    • ハブLAN BGP集約 - ネットワークがLAN BGPネイバーにアドバタイズされたネットワークプレフィックスを集約できるようにします。例:Juniper Mistポータルでは、192.168.1.0/24から192.168.0.0/16に要約できます。
    • ハブLAN OSPF集約 - ネットワークがLAN OSPFネイバーにアドバタイズされるネットワークプレフィックスを集約できるようにします。例:Juniper Mistポータルでは、192.168.1.0/24から192.168.0.0/16に要約できます。
    • ルート集約 - オーバーレイに向けてローカル ルートを集約します。集約されたルートの IP アドレスとプレフィックス長を指定できます。セッションスマートルーターの場合、ネットワークがスポークのみに接続されている場合の要約をサポートします。

    ネットワークは直接接続されていない(SSRのみ)

    LAN に割り当てられたこのネットワークに到着する直接接続されていないネットワークを選択します。

    ユーザー

    (オプション)追加のネットワークまたはユーザー。例:リモートネットワークまたはメインネットワークに接続しているユーザー。

    [ユーザーの追加] オプションをクリックし、追加ユーザーの名前と IP プレフィックスを入力します。

    静的 NAT

    (オプション)元のプライベート・ホストのソース・アドレスからパブリック・ソース・アドレスへの 1 対 1 の静的マッピングを実行します。

    静的NATの追加 オプションをクリックし、名前 内部 IP外部 IP を入力し、アンダーレイまたはオーバーレイの発信トラフィックに適用するオプションを選択します。SRXシリーズデバイスのWAN名を入力します。
    宛先 NAT

    (オプション)パケットの宛先 IP アドレスを変換します。

    [宛先 NAT の追加] オプションをクリックし、[名前]、[内部 IP 内部ポート]、[外部 IP]、[外部ポート] を入力し、アンダーレイまたはオーバーレイの送信トラフィックに適用するオプションを選択します。SRXシリーズデバイスのWAN名を入力します。
  3. 表 2 に記載されている詳細に従って、設定を完了します。
    このタスクでは、サブネットIPアドレスフィールドとプレフィックス長フィールドの両方の変数を使用して、SPOKE-LAN1、HUB1-LAN1、およびHUB2-LAN1の3つのネットワークを設定します。
    表 2: ネットワーク構成の例
    フィールド ネットワーク 1 ネットワーク 2 ネットワーク 3
    名前 スポークLAN1 HUB1-LAN1 HUB2-LAN1
    サブネット IP アドレス {{SPOKE_LAN1_PFX}}.0 {{HUB1_LAN1_PFX}}.0 {{HUB2_LAN1_PFX}}.0
    プレフィックス長 24 24 24
    VLAN ID {{SPOKE_LAN1_VLAN}} {{HUB1_LAN1_VLAN}} {{HUB2_LAN1_VLAN}}
    Mist Cloudへのアクセス チェック チェック チェック
    オーバーレイを介してアドバタイズされる チェック チェック チェック
    ユーザー
    • 名前 = すべて
    • IP プレフィックス = 10.0.0.0/8
    - -
    手記:

    IP プレフィックス 10.0.0.0/8 を持つユーザー "All" は、範囲内の将来のすべての LAN セグメントのワイルドカードとして機能します。ハブのSRXシリーズファイアウォールは、同じユーザー名(すべて)とIPプレフィックス(10.0.0.8)を使用して、単一のルールを使用してすべてのスポークLANインターフェイスを識別できます。

    手記:

    変数を使用する場合、システムがハブ・サイト上のすべての LAN セグメントを自動的にインポートすると想定しないでください。場合によっては、システムが Any ネットマスクを適用することがありますが、これは範囲が広く、セキュリティの問題が発生する可能性があります。

  4. [追加] をクリックします。

    図 1 に、新しく作成されたネットワークのリストを示します。

    図 1: ネットワークの概要 Networks Summary

サイト変数

サイト変数は、サイトごとに構成できます。サイト変数を使用すると、複数のネットワークを定義しなくても、サイトごとに異なる値で同じネットワーク定義を使用できます。変数の形式は {{variable_name}} です。変数を使用してネットワークを定義することは、WAN エッジテンプレート設定では一般的な方法です。

先端:設定画面で作業するときは、VARインジケーターを探します。この区分を持つ項目は、サイト変数を許可します。

このラベルの付いたフィールドには、特定の変数を入力し始めると、一致する変数(設定されている場合)も表示されます。このフィールドには、組織内のすべてのサイトの変数が一覧表示されます。

組織全体の変数リストは、 GET /api/v1/orgs/:org_id/vars/search?var=* を使用して表示できます。この一覧は、サイトの設定の下に変数が追加されると設定されます。

図 2 に、絶対値とサイト変数を使用してネットワークを構成する 2 つの例を示します。

図 2: 絶対値と変数を使用したネットワークの構成 Configuring Networks with Absolute Values and Variables

サイト変数は、[ 組織 > 管理者] の [サイトの構成 ] ウィンドウで>定義できます。

図 3: サイト変数設定ペイン Site Variables Settings Pane

このタスクでは、VLAN ID とサブネット IP アドレスに変数を使用します。最初の 3 つのオクテットを含むサイト変数は、 図 4 に示すように、サブネットの IP アドレス変数値を置き換えます。

図 4: [サイトの構成] ページに表示されるサイト変数 Site Variables Displayed on the Site Configuration Page