アプリケーション設定

アプリケーションタイプとしてカスタムアプリを選択する場合、IPアドレス範囲、ドメイン名、プロトコルごとにトラフィックの宛先を定義します。このアプローチは、内部サービス、特定のIP範囲、およびネットワークで使用される固有のプロトコルに役立ちます。

表1:カスタム設定

フィールド	の説明
IPアドレス	アプリケーションのプレフィックス(ある場合)を含むネットワークIPアドレスを入力します。複数の宛先IPアドレスまたはドメイン名をカンマで区切って入力できます。
ドメイン名	アプリケーションのドメイン名(juniper.example.com など)を入力します。ドメイン名は、完全修飾ドメイン名(FQDN)を生成するためにクラウドブレイクアウトプロファイルで使用されます。クラウドセキュリティプロバイダは、FQDNを使用してIPsecトンネルを特定します。
プロトコル、ポート番号、ポート範囲	プロトコルを選択し、アプリケーションが使用しているポート範囲(開始ポートと終了ポート)を指定します。 プロトコルとしてカスタム(SRXのみ)を選択した場合は、1〜254のプロトコル番号も入力します。 注: このアプリケーションにプロトコルをさらに追加する必要がある場合は、プロトコルセクションの右上隅にある+ボタンをクリックします。

変数を使用して値を表すことを検討してください。フィールド見出しの横にVARラベルが表示されている場合は、特定の値を入力しなくても、宛先に一致する変数をそのフィールドに入力できます。

より具体的でないアドレスでアプリケーションを作成することをお勧めします。例えば、プレフィックスが10.0.0.0/8のデータ・センターがあるとします。このプレフィックス内に、より具体的なパスを選択するために、より具体的なアドレスを含めることができます。

以下の表に例を示します。

表2:カスタムアプリケーション例

カスタムアプリケーション	IPアドレス	の説明
任意	0.0.0.0/0	このアドレスを使用して、すべてまたは任意のIPv4アドレスの宛先を照合します。IPアドレス0.0.0.0は、プレースホルダーアドレスとしても機能します。
スポーク-LAN1	10.0.0.0/8	企業VPN内のすべてのIPアドレスの一致基準。
HUB1-LAN1	10.66.66.0/24	Hub1デバイスのLANインターフェイスに接続されたすべてのIPアドレスの一致基準。
HUB2-LAN1	10.55.55.0/24	Hub2デバイスのLANインターフェイスに接続されたすべてのIPアドレスの一致基準。

アプリケーションは、ユーザーが到達しようとしているエンドポイントを表します。IP、ドメイン名、URLなどがあります。URLパターンは、これらの宛先をより柔軟に定義するのに役立ちます。ジュニパー Mist クラウドは、タイプ(ショッピング、スポーツなど)と重大度別(すべて、標準、厳密)別にグループ化されたURLカテゴリのリストを提供します。URLカテゴリを使用してアプリケーションを定義できます。サブカテゴリを追加すると、アプリケーション作成のフィルタリングがさらにきめ細かくなります。アプリケーションに対して単一または複数のURLカテゴリを選択できます。

たとえば、アプリケーションを作成して "ソーシャル メディア" という名前を付け、URL カテゴリをソーシャル ネットワーキングまたはインスタント メッセージングとして選択できます。その後、勤務時間中のアクセスをブロックまたは制限するポリシーを作成できます。

アプリケーションを追加するときに、URLカテゴリタイプを使用して、エンターテイメント、ショッピング、スポーツなどのカテゴリ別に宛先を定義できます。

注:このオプションには、IDP/URLフィルタリングライセンスが必要です。一部のデバイスにパッケージ化されており、セキュリティバンドルで購入できます。

たとえば、ソーシャル メディアというアプリケーションを作成し、URL カテゴリのソーシャル ネットワーキングとインスタント メッセージングを選択します。後で、[アプリケーション ポリシー] ページで、勤務時間中にこれらの URL へのアクセスをブロックまたは制限するポリシーを作成します。

注:

セッションスマートルーターの場合、ハブデバイスではなく、スポークデバイスのみでURLカテゴリを持つアプリケーションを設定することをお勧めします。

アプリケーションを定義するときに、定義済みのアプリケーションでカバーされていないサービスのカスタムURLを入力できます。

以下を入力できます。

• 正確なドメイン名。 example.com

• アスタリスクを使用したワイルドカードドメイン。例: *.example.com

  このアプローチでは、関連するサービスを1つのアプリケーションにグループ化できます。たとえば、 *.google.com には Gmail、ドライブ、Meet、その他の Google サイトが含まれます。

• 複数のURLを指定するには、カンマ区切り記号を使用します。

• アプリケーションには最大15のURLパターンを指定できます。

• *ワイルドカードのみがサポートされます。

• ツールチップアイコンにマウスを合わせると、サポートされているパターンを表示できます。 https://abc.com パターンは、SRXシリーズデバイスにのみ使用できることに注意してください。

  図2:カスタムURL

高度な設定で、トラフィックタイプを指定します。一般的なトラフィックについてはデフォルトを維持するか、事前設定されたトラフィックタイプを選択するか、カスタムを選択します。

• 事前設定されたトラフィックタイプを選択すると、フェイルオーバー(SSRのみ)、遅延、ジッター、ロスなどの設定の値が表示されます。

  注:

  アプリとURLカテゴリでは、設定を 上書き チェックボックスにした後にのみ特定のトラフィックタイプを選択できます。

• トラフィックタイプとして カスタムを選択し た場合は、 トラフィッククラスも選択し、次の表の説明に従ってプリセット値を調整します。

表3:詳細設定

フィールドの	説明
フェイルオーバーポリシー(SSRのみ)	SSRにのみ適用 復元可能—プライマリリンクが回復すると、トラフィックは自動的にプライマリリンクに切り戻されます。 不可—プライマリリンクに戻すには手動介入が必要です。プライマリリンク障害によりトラフィックがセカンダリリンクに切り替わっても、自動的にプライマリリンクに戻ることはありません。 なし—セッションフェイルオーバーを無効にします。デバイス上のプライマリ リンクが SLA(サービス レベル アグリーメント)を満たさない場合、既存のセッションはプライマリ リンクに残り、新しいセッションはセカンダリ リンクにリダイレクトされます。プライマリ リンクが回復して SLA を満たすと、セカンダリ リンク上の既存のセッションが続行され、新しいセッションはプライマリ リンクで開始されます。この動作は、リンク全体がダウンしても一貫しています。
トラフィッククラス	これらのオプションにより、トラフィックの優先度設定を詳細に制御できます。このアプリケーションの優先度を指定します。 ベストエフォート—特別な処理は不要で、重要でないデータに適しています。 中—ベストエフォートよりも優先され、遅延の影響を受けにくいアプリケーションに使用されます。 高—低遅延要件を持つ重要なアプリケーション。 低—バックグラウンドまたは緊急ではないトラフィック
DSCPクラス(SSRのみ)	SSRを介したトラフィックにのみ適用されます。 DSCP(差別化されたサービスコードポイント)値は、ネットワーク全体の特殊な処理のためにパケットにタグを付けます。トラフィッククラス(ベストエフォート、高、中、または低)を選択すると、該当するデフォルトのDSCPクラス値がヘルプテキストとして表示されます。これを上書きして、このアプリケーションを仕様に合わせて微調整することができます。範囲:0-63
最大レイテンシ	最大遅延をミリ秒単位で設定することで、音声やビデオなどの遅延の影響を受けやすいアプリケーションがパフォーマンス要件を確実に満たすことができます。このしきい値に基づいて、SD-WANは過度の遅延のあるリンクを回避します。範囲:0-4294967295(ミリ秒)
最大ジッター	最大値をミリ秒単位で設定することで、ジッター、つまり遅延の変動を制約できます。このしきい値に基づいて、SD-WANは安定したリンクを選択し、予測可能なパフォーマンスを維持します。範囲:0-4294967295(ミリ秒)
最大損失	さらに微調整するために、パケット損失の許容可能な最大割合を指定して、アプリケーションの信頼性を維持できます。このしきい値に基づいて、SD-WANはパケットロス率の高いリンクを回避します。範囲:0-100