Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SRX シリーズ ファイアウォールのサイトと変数を設定する

サイトは、Juniper Mist™クラウド内の組織のサブセットです。ネットワーク内の物理的(または論理的)な場所ごとに固有のサイトが必要です。必要な権限を持つユーザーは、サイトを構成および変更できます。サイトの設定変更は、サイトに含まれるすべてのデバイスに自動的に適用されます(または少なくともこれに対して有効)。

さらに、ジュニパー® SRX シリーズ ファイアウォールにはアプリケーション セキュリティ ライセンスが必要です(AppSecure はアプリケーション認識型セキュリティ サービス スイートです。ネットワークを通過するアプリケーションのタイプを可視化して制御できるため、Juniper Mist クラウドはデバイスを通過するアプリケーションを追跡して報告できます)。

このタスクでは、サイト変数も作成します。サイトの変数は、大規模な導入のシンプルさと柔軟性を提供します。サイト変数はサイトごとに構成されます。ネットワーク設計を計画する場合、特定のWANエッジデバイスに標準テンプレートを作成し、テンプレートまたはWANエッジ設定ページで変数を使用できます。

サイト変数は、タグ(「WAN1_PUBIP」など)を使用して実際の値(192.168.200.254など)を表す方法を提供し、変数を使用するコンテキストに応じて値を変更できます。たとえば、サイト 1 ではWAN1_PUBIPを 192.168.200.254 と定義し、サイト 2 ではWAN1_PUBIPの値は 192.168.1.10 と定義できます。その後、タグを使用して、WANエッジテンプレート内などのJuniper Mistクラウド設定のIPアドレスを置き換えることができます。つまり、テンプレートを別のサイトにアタッチすると、Juniper Mistクラウドは、設定がレンダリングされてデバイスにプッシュされると、各サイトで適切なIPアドレスを自動的に使用します。

また、最初の 3 オクテットの IP サブネット全体を変数で定義することもでき、各デバイスでの設定は最小限に抑えられます。

二重括弧を使用して変数名をフォーマットすることで、サイト変数を定義することができます。例:{{SPOKE_LAN1_PFX}}

サイトを設定するには:
  1. Juniper Mistクラウドポータルで、[組織>管理者>サイト設定]をクリックします。

    既存のサイト(存在する場合)のリストが表示されます。

  2. 右上隅の [サイトの作成] をクリックします。[新しいサイト] ウィンドウが表示されます。
    1. サイト名を指定します。サイトIDは自動的に生成されます。このタスクでは、5 つのサイト(ハブ1 サイト、ハブ2 サイト、スポーク 1 サイト、スポーク 2 サイト、スポーク 3 サイト)を作成します。

    2. サイトの住所を入力するか、マップを使用してサイトを探します。

  3. ページを下方向にスクロールして[スイッチ管理および WAN エッジ管理]設定ペインに移動し、root パスワードを設定します。
    図 1:root パスワード Setting Root Passwordの設定

    サイトで必ず WAN エッジ デバイスとスイッチの root パスワードを設定してください。それ以外の場合、Juniper Mistクラウドが管理するデバイスをアクティブ化すると、セキュリティ上の理由からランダムなrootパスワードが割り当てられます。

  4. ページを下にスクロールして[WAN Edge Application Visibility](WAN Edge Application Visibility)セクションまでスクロールし、WANエッジデバイスにAPP Trackライセンスオプションが設定されている状態にします。
    図 2:アプリケーションの可視化を Enable Application Visibility有効にする
    メモ:

    すべての Software-Defined WAN(SD-WAN)SRX シリーズ ファイアウォール デバイスには、アプリケーション セキュリティ ライセンスが必須です。デバイスに有効なライセンスがインストールされていることを確認します。

  5. 画面を下にスクロールして[ サイト変数 ]設定ペインに移動します。
    1. [ 変数の追加] ボタンをクリックします。

    2. 表示されるポップアップ画面で、変数の名前を入力し、それが表す値を指定します。

      図 3: 変数 Configuring Variablesの設定
    使用 表 1 をクリックして、追加する必要がある変数のリストを入力します。
    表 1: サイトの変数設定
    サイト名 の変数名
    スポーク1サイト {{SPOKE_LAN1_PFX}} 10.99.99
    {{SPOKE_LAN1_VLAN}} 1099
    {{WAN0_PFX}} 192.168.173
    {{WAN1_PFX}} 192.168.170
    スポーク 2 サイト {{SPOKE_LAN1_PFX}} 10.88.88
    {{SPOKE_LAN1_VLAN}} 1088
    {{WAN0_PFX}} 192.168.133
    {{WAN1_PFX}} 192.168.130
    スポーク3 サイト {{SPOKE_LAN1_PFX}} 10.77.77
    {{SPOKE_LAN1_VLAN}} 1077
    {{WAN0_PFX}} 192.168.153
    {{WAN1_PFX}} 192.168.150
    hub1-site {{HUB1_LAN1_PFX}} 10.66.66
    {{HUB1_LAN1_VLAN}} 1066
    {{WAN0_PFX}} 192.168.191
    {{WAN1_PFX}} 192.168.190
    {{WAN0_PUBIP}} 192.168.129.191
    {{WAN1_PUBIP}} 192.168.190.254
    hub2-site {{HUB2_LAN1_PFX}} 10.55.55
    {{HUB2_LAN1_VLAN}} 1055
    {{WAN0_PFX}} 192.168.201
    {{WAN1_PFX}} 192.168.200
    {{WAN0_PUBIP}} 192.168.129.201
    {{WAN1_PUBIP}} 192.168.200.254
    • {{SPOKE_LAN1_PFX}}、{{HUB1_LAN1_PFX}}、{{HUB2_LAN1_PFX}、{{WAN0_PFX}}、{{WAN1_PFX}などの変数は、IPアドレスまたはプレフィックスの最初の3オクテットを表します。

    • {{SPOKE_LAN1_VLAN}}、{{HUB1_LAN1_VLAN}、{{HUB2_LAN1_VLAN}}などの変数には、個別のVLAN IDが含まれています。この例では、VLANタグを使用してブロードキャストドメインを分割し、トラフィックを分離します。

    • ハブのWANインターフェイスに定義された変数{{WAN0_PUBIP}}と{{WAN1_PUBIP}}は、パブリックIPアドレスを使用します。

      • インターネット パス上のインターフェイスの IP アドレスは 192.168.129.x 形式です。インターフェイスにネットワークアドレス変換(NAT)ルールを設定できます。

      • MPLS パス上のインターフェイスの IP アドレスは 192.168.x.254 にあります。

    • /24 サブネット マスクを使用し、このフィールドに変数を作成しません。
    残りのフィールドでは、サイト変数を定義する場合を除き、デフォルト値を使用します。
  6. [保存] をクリックして、変数をリストに追加します。

    図 4 は、新しく作成された変数のリストを示しています。

    図 4:サイト変数のサンプル Site Variables Sample
  7. [保存] をクリックしてサイトの変更を保存します。
    図 5 は、新しく作成されたサイトの一覧を示しています。
    図 5:新しく作成されたサイト Newly Created Sites