Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SRXシリーズファイアウォールのネットワーク設定

以下の手順に従って、SRXシリーズファイアウォール用のネットワークを設定します。

ネットワークは、Juniper WAN Assurance設計におけるリクエストの送信元です。Juniper® SRXシリーズファイアウォールでは、ネットワークがアドレス帳を作成し、セキュリティポリシーと高度なポリシーベースルーティング(APBR)ポリシーのソースとして使用します。

ネットワークでは、ユーザーのグループを定義できます。WAN設計では、LANセグメント経由でアプリケーションにアクセスするソースを特定し、ユーザーを設定する必要があります。ユーザーは送信元アドレスであり、後でアプリケーション ポリシーで使用できます。

Juniper Mist™クラウドポータルでネットワークを作成したら、ポータルで企業全体のネットワークを使用できます。WAN Assurance設計では、アプリケーションポリシーのソースとしてネットワークを使用します。

ネットワークを設定するには:

  1. Juniper Mist Cloud Portalで、[Organization > WAN > Networks]をクリックします。
    既存のネットワークがある場合は、そのリストが表示されます。
  2. 右上隅の [Add Networks ] をクリックします。
    ネットワークの追加 ウィンドウが表示されます。 表 1 に、ネットワークで設定できるオプションをまとめています。
    表1:ネットワークオプション
    フィールドの説明
    名前 ネットワークに固有の名前を入力します。名前には、英数字、アンダースコア、ハイフンを使用でき、32 文字未満にする必要があります。
    サブネット IP アドレス ネットワーク IP アドレスを入力します。絶対値(例:192.0.2.0)または変数(例:{{SPOKE_LAN1_PFX}}.0)を使用できます。
    プレフィックス長(Prefix Length) アドレスプレフィックスの長さを 0 から 32 の範囲で入力します。プレフィックス長に変数を使用することもできます。例: {{PFX1}}
    VLAN ID

    (オプション)ネットワークに関連付けられている VLAN ID を入力します。

    デバイスがタグなしインターフェイスを使用している場合、VLAN ID として 変数ではなく 1 を使用する必要があります。
    送信元NATプールプレフィックス

    (オプション)送信元 NAT の IPv4 プレフィックスを入力します。 送信元NATは、トラフィックの送信元IPアドレス(プライベートIPアドレス)をパブリックIPアドレスに変換します。
    Mist Cloudへのアクセス

    このオプションをオンにすると、定義されたネットワーク内の他のデバイスが、SRXシリーズファイアウォールを介して管理するためにMistクラウドに接続できるようになります。

    WANエッジデバイスには、WANインターフェイスを使用してMistクラウドサービスに接続するためのポリシーが組み込まれています。このオプションを使用してクラウドへのアクセスを許可するMist、ネットワークでMistへの接続に組み込みポリシーを使用できるようになります。

    ユースケース例:Mist管理対象デバイスの管理LANネットワーク
    オーバーレイへのアドバタイズ

    オーバーレイトンネルを介してハブデバイスにネットワークをアドバタイズするオプションをオンにします。このオプションを選択すると、以下の広告追加オプションが表示されます。

    • [他のスポークにアドバタイズ(Advertise to Other Spokes)]:ネットワーク プレフィックスを他のスポークにアドバタイズします(デフォルト オプション)。

      ネットワークでプレフィックスをハブにのみアドバタイズし、他のスポークにはアドバタイズしないようにする場合は、デフォルト オプションを無効にします。

    • [ハブ LAN BGP ネイバーにアドバタイズ(Advertise to Hub LAN BGP Neighbor)]:ネットワーク プレフィックスをハブの任意の LAN BGP ネイバーにアドバタイズします(デフォルト オプション)。アドバタイズしない場合は、デフォルトのオプションを無効にします。
    • ハブLAN OSPFネイバーにアドバタイズ(SRXのみ)—ネットワークは、ハブの任意のLAN OSPFネイバーにネットワークプレフィックスをアドバタイズします(デフォルトオプション)。アドバタイズしない場合は、デフォルトのオプションを無効にします。
    • [Override Prefix to Advertise]:ハブにアドバタイズするプレフィックスが元のネットワークではなく、別のプレフィックスである場合は、このオプションを有効にします。これは通常、NAT オプションを有効にするときに使用されます。このオプションを選択する場合は、[IP アドレス] と [プレフィックス長] を入力します。

    ポータルには、以下のルート集約オプションも表示されます。

    • [ハブオーバーレイ集約(Hub Overlay Summarization)]:オーバーレイにアドバタイズされたネットワークプレフィックスをネットワークが集約できるようにします。例:ポータルJuniper Mist、192.168.1.0/24 を 192.168.0.0/16 に要約できます。この機能は、ハブが各スポークから受信し、ハブが他のすべてのスポークに送り返す BGP アップデートの数を制限します。
    • [ハブLAN BGP集約(Hub LAN BGP Summarization)]:LAN BGPネイバーにアドバタイズされたネットワークプレフィックスをネットワークが集約できるようにします。例:ポータルJuniper Mist、192.168.1.0/24 を 192.168.0.0/16 に要約できます。
    • [Hub LAN OSPF Summarization]:LAN OSPF ネイバーにアドバタイズされたネットワーク プレフィックスをネットワークが集約できるようにします。例:ポータルJuniper Mist、192.168.1.0/24 を 192.168.0.0/16 に要約できます。
    • ルート集約—オーバーレイに向けてローカルルートを要約します。集約されたルートの IP アドレスとプレフィックス長を指定できます。セッションスマートルーターでは、ネットワークがスポークにのみ接続されている場合に集約がサポートされます。

    ネットワークが直接接続されていない(SSRのみ)

    LAN に割り当てられたこのネットワークに到着する、直接接続されていないネットワークを選択します。
    ユーザー

    (オプション)ネットワークまたはユーザーの追加。例:リモートネットワークまたはメインネットワークに接続されているユーザー。

    [ ユーザーの追加 ] オプションをクリックし、追加のユーザーの [名前 ] と [IP プレフィックス ] を入力します。
    静的 NAT

    (オプション)元のプライベート・ホストのソース・アドレスとパブリック・ソース・アドレスの 1 対 1 の静的マッピングを実行します。

    [ スタティック NAT の追加(Add Static NAT )] オプションをクリックし、[ 名前(Name )]、[ 内部 IP(Internal IP)]、[ 外部 IP(External IP )] を入力し、 アンダーレイ または オーバーレイの発信トラフィックに適用するオプションを選択します。SRXシリーズデバイスの WAN名 を入力します。
    ディスティネーション NAT

    (オプション)パケットのIP アドレスを変換します。

    [宛先 NAT の追加(Add Destination NAT)] オプションをクリックし、[名前(Name)]、[内部 IP(Internal IP)]、[外部 IP(External IP)]、[外部ポート(External Port)] を入力し、アンダーレイまたはオーバーレイの発信トラフィックに適用するオプションを選択します。SRXシリーズデバイスのWAN名を入力します。
  3. 表 2 に記載されている詳細に従って、設定を完了します。
    このタスクでは、サブネット IP アドレスとプレフィックス長の両方のフィールドの変数を使用して、SPOKE-LAN1、HUB1-LAN1、HUB2-LAN1 の 3 つのネットワークを設定します。
    表 2:ネットワーク構成の例
    フィールド ネットワーク 1 ネットワーク 2 ネットワーク 3
    名前 スポーク-LAN1 ハブ1-LAN1 ハブ2-LAN1
    サブネット IP アドレス {{SPOKE_LAN1_PFX}}.0 {{HUB1_LAN1_PFX}}.0 {{HUB2_LAN1_PFX}}.0
    プレフィックス長(Prefix Length) 24 24 24
    VLAN ID {{SPOKE_LAN1_VLAN}} {{HUB1_LAN1_VLAN}} {{HUB2_LAN1_VLAN}}
    Mist Cloudへのアクセス チェック チェック チェック
    オーバーレイ経由でアドバタイズ チェック チェック チェック
    ユーザー
    • 名前 = すべて
    • IP プレフィックス=10.0.0.0/8
    		 - -
    手記:

    IPプレフィックスが10.0.0.0/8のユーザー「All」は、範囲内のすべての将来のLANセグメントのワイルドカードとして機能します。ハブ内のSRXシリーズファイアウォールは、同じユーザー名(すべて)とIPプレフィックス(10.0.0.8)を使用し、単一のルールを使用してすべてのスポークLANインターフェイスを識別できます。

    手記:

    変数を使用する場合、システムがハブ サイト上のすべての LAN セグメントを自動的にインポートすると想定しないでください。場合によっては、システムが範囲の広い任意のネットマスクを適用することがあり、セキュリティの問題が発生する可能性があります。
  4. [追加] をクリックします。

    図 1 は、新しく作成されたネットワークの一覧を示しています。

    図1:[Networks Summary](ネットワークの概要) Networks Summary

サイトの変数

サイト変数は、サイトごとに設定できます。サイト変数を使用すると、複数のネットワークを定義することなく、サイトごとに異なる値を持つ同じネットワーク定義を使用できます。変数の形式は{{variable_name}}です。変数を使用してネットワークを定義することは、WAN エッジ テンプレート構成の一般的な方法です。

先端:設定画面で作業するときは、VARインジケーターを探してください。この区分を持つ項目では、サイト変数を使用できます。

このラベルの付いたフィールドには、特定の変数を入力し始めると、一致する変数(設定されている場合)も表示されます。このフィールドには、組織内のすべてのサイトの変数が一覧表示されます。

組織全体の変数リストは、 GET /api/v1/orgs/:org_id/vars/search?var=* を使用して表示できます。このリストは、サイト設定で変数が追加されると入力されます。

図 2 は、絶対値とサイト変数を使用してネットワークを構成する 2 つの例を示しています。

図 2: 絶対値と変数Configuring Networks with Absolute Values and Variablesを使用したネットワークの構成

サイト変数は、 組織 > 管理> サイト構成 ペインで定義できます。

図 3: [Site Variables Settings] ペイン Site Variables Settings Pane

このタスクでは、VLAN ID とサブネット IP アドレスの変数を使用します。最初の 3 つのオクテットを含むサイト変数は、 図 4 に示すようにサブネット IP アドレス変数値に置き換えます。

図4:サイト構成ページに表示されるサイトの変数 Site Variables Displayed on the Site Configuration Page

関連資料