Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

Juniper Secure EdgeでSecure Edge Connectorをセットアップする(手動プロビジョニング)

このワークフローに従って、Juniper® Secure Edgeを手動でプロビジョニングするワークフローの各ステップをサポートします。

Juniper Mist™クラウドはJuniper® Secure Edgeと連携し、Secure Edgeコネクター機能を使用してエッジデバイスからのトラフィック検査を実行します。この機能により、WANエッジデバイスとして導入されたジュニパー®のセッションセッションスマート™ ルーターが、トラフィックの一部をJuniper Secure Edgeに送信して検査することができます。

Secure Edgeの機能はすべて、シングルユーザーインターフェイス(UI)で提供されるジュニパーのシンプルでシームレスな管理エクスペリエンスであるJuniper Security Director Cloudによって管理されます。

詳細については、 Juniper Secure Edgeをご覧ください。

構成の概要

このタスクでは、スポークまたはハブデバイスのLAN側からインターネットに向かうトラフィックをSecure Edgeに送信し、トラフィックがインターネットに到達する前に検査を依頼します。

Secure Edgeでトラフィック検査を実施するには:

  • Juniper Security Director Cloudで、Secure Edgeのサービスの場所、IPsecプロファイル、サイト、ポリシーを作成および構成します。これらは、WANエッジデバイスにセキュリティサービスと接続性を提供するクラウドベースのリソースです。

  • Mist Cloudで、LANネットワークに接続するWANエッジデバイス(セッションスマートルーターまたはSRXシリーズファイアウォール)を作成して設定します。これらは、支社/拠点やキャンパスにルーティング、スイッチング、SD-WAN機能を提供する物理デバイスです。

  • Mist WANエッジで、WANエッジデバイスをサービスロケーションに接続するSecure Edgeトンネルを作成および構成します。これらは、Secure Edgeによる検査が必要なトラフィックに安全で信頼性の高いトランスポートを提供するIPsecトンネルです。

  • Mist Cloudで、WANエッジデバイスに対応するサイトまたはデバイスプロファイルにSecure Edgeトンネルを割り当てます。これにより、定義されたデータポリシーやその他の一致条件に基づいて、LANネットワークからSecure Edge Cloudへのトラフィックステアリングが可能になります。

次の表のトピックでは、Juniper Mist™ クラウドで Secure Edge のクラウドベースのセキュリティを使用するために必要な概要情報を示します。

表 1: Secure Edge コネクター構成ワークフロー
タスク 形容
1 Juniper Security Director Cloudにアクセスし、アクティブなサブスクリプションを確認 Juniper Security Director Cloudにアクセスし、組織のアカウントに移動して、Secure Edgeサブスクリプションを確認します。このサブスクリプションでは、導入環境に合わせてSecure Edgeサービスを設定できます。
2 Juniper Security Director Cloudでサービスのサービスロケーションを構成する

サービスの場所を作成します。ここで、vSRXベースのVPNゲートウェイが、異なるネットワーク間の安全な接続を作成します。
3 Juniper Security Director Cloudでデバイス証明書を生成する Juniper Secure Edge用のデジタル証明書を生成して、Secure Edgeとユーザーエンドポイント間のセキュアな通信を確立します。
4 Juniper Security Director CloudでIPsecプロファイルを作成する IPsecプロファイルを作成して、Juniper Mistクラウドネットワーク上のWANエッジデバイスとSecure Edgeインスタンス間の通信用のIPsecトンネルを確立します。
5 Juniper Security Director Cloudでサイトを作成する WANエッジデバイス(セッションスマートルーターまたはSRXシリーズファイアウォール)をホストするサイトを作成します。デバイスからのトラフィックは、検査のためにセキュアトンネルを介してSecure Edgeインスタンスに転送されます。
6 Juniper Security Director Cloudへのルールを Secure Edgeの導入 サイトから発信またはサイトを宛先とするトラフィックのセキュリティルールとアクションを定義するポリシーを設定します。
7 Juniper Security Director Cloudで適用するIPsecトンネル設定パラメーターの取得 サービスロケーションのIPまたはホスト名、IPsecプロファイル名、事前共有キーなどの詳細を書き留めます。Juniper Mist側からIPsecトンネルを設定するには、これらの詳細が必要です。
8 Juniper Mist CloudポータルでSecure Edgeコネクターを作成する Juniper MistクラウドポータルでSecure Edgeコネクタを作成します。このタスクでは、Mistによって管理されるWANエッジデバイスとSecure Edgeインスタンス間のIPsec トンネルを確立するための、トンネルのMistクラウド側での設定を完了します。
9 アプリケーション ポリシーの変更 新しいアプリケーションポリシーを作成するか、既存のアプリケーションポリシーを変更して、一元的なアクセスのためにハブを経由するのではなく、Juniper Security Director Cloudを介してWANエッジデバイスからインターネットにトラフィックを誘導します。
10 設定の確認 で確立されたIPsecトンネルを確認して、設定が機能しているかどうかを確認します。
  • MistポータルでのWAN Insights
  • Security Director Cloudダッシュボード
  • WANエッジデバイスCLI上のトンネルトラフィックフロー。

始める前に

  • Juniper® Secure Edge サブスクリプションの要件をご確認ください。 「Juniper Secure Edgeサブスクリプションの概要」を参照してください。

  • Juniper Security Director Cloudポータルにアクセスするための前提条件を満たしていることを確認します。「前提条件」を参照してください。

  • Secure Edge テナントを作成します。 「Secure Edge テナントの作成」を参照してください。
  • ここでは、セッションスマートルーターまたはSRXシリーズファイアウォールが、Juniper Mist CloudのWANエッジデバイスとして導入され、設定されていることを前提としています。

Juniper Security Director Cloudにアクセスし、アクティブなサブスクリプションを確認

Juniper Secure Edgeのテナントは、Juniper Security Director Cloudポータルにアクセスし、Secure Edgeサービスを管理するために作成する組織アカウントです。テナントは、一意の電子メール アドレスとサブスクリプション プランに関連付けられます。テナントには複数のサービスロケーションを持つことができます。これは、組織のパブリッククラウドでホストされるvSRXベースのVPNゲートウェイです。

テナントには、エンド ユーザーの接続ポイントである 1 つ以上のサービス ロケーションを含めることができます。テナントを作成するには、Juniper Security Director Cloudのアカウントが必要です。詳細については、「 Secure Edge テナントの作成 」を参照してください。

Juniper Security Director CloudポータルでSecure Edgeテナントを作成した後、ポータルにアクセスしてサブスクリプションを確認します。

Juniper Security Director Cloudにアクセスし、アクティブなサブスクリプションを確認するには、以下を実行してください。

  1. Juniper Security Director CloudのURLを開きます。メールアドレスとパスワードを入力してログインし、Juniper Security Director Cloudポータルの使用を開始します。
    図1:アクセスJuniper Security Director CloudAccess Juniper Security Director Cloud
  2. ポータルの右上隅にある必要なテナントを選択して続行します。
  3. [管理] > [サブスクリプション] を選択して、[サブスクリプションJuniper Security Director Cloud] ページにアクセスします。
    図2:Secure Edgeサブスクリプション Secure Edge Subscriptions
  4. [Secure Edge Subscriptions]セクションまでスクロールして、アクティブなサブスクリプションがあるかどうかを確認します。
    手記:ジュニパーネットワーク®スSRXシリーズファイアウォールを使用している場合でも、[ SRX管理サブスクリプション]タブをクリックする必要はありません。このタスクでは、WANエッジデバイスの管理にJuniper Security Director Cloudを使用しません。

    詳細については、「 [購読]ページについて」を参照してください。

    アクティブなサブスクリプションがあると仮定して、次の手順に進みます。

サービスの場所の構成

Juniper Security Director Cloudの有効なライセンスがあることを確認した後、サービスの場所を設定します。このステップは、セッションスマートルーター用のSecure Edgeコネクターを設定する最初のメインタスクです。

Juniper Security Director Cloud内のサービスロケーションは、POP(Point of Presence)とも呼ばれ、クラウドロケーションにあるJuniper® Secure Edgeインスタンスを表します。サービスの場所は、オンプレミス ユーザーとローミング ユーザーの両方の接続 (アクセス) ポイントです。

サービスロケーションは、vSRXがパブリッククラウドサービスを使用して異なるネットワーク間にセキュアな接続を作成する場所です。パブリック IP アドレス (テナントおよびサービスの場所ごとに一意) は、次の目的で使用されます。

  • 支社/拠点デバイスとJuniper Security Director Cloudの間にIPsec トンネルを設定します。

  • 宛先がインターネット上にある場合に、トラフィックを一元的に分散します。

Juniper Security Director Cloudでサービスの場所を設定するには、次の手順に従います。

  1. Juniper Security Director Cloudメニューで、[Secure Edge>サービス管理>Service Locations]を選択します。

    [Service Locations] ページが表示されます。

  2. 「追加」(+)アイコンをクリックして、新しいサービスロケーションを作成します。
    次のフィールドの詳細を入力します。

    • [リージョン(Region)]:Secure Edge インスタンスを作成する地理的リージョンを選択します。

    • [PoP]:リージョン内の Secure Edge の場所を選択します。

    • [ユーザ数(Number of Users)]:このサービス ロケーションがサービスを提供する必要があるユーザの合計数を入力します。

    表 2 は、サービスの拠点の例です。

    表 2:サービスロケーション フィールド
    フィールド サービスロケーション サービスロケーション
    地域 北アメリカ 北アメリカ
    ポップ オハイオ オレゴン州
    ユーザー数 50 (出口を均等に分割します) 50
  3. [OK] をクリックします。

    Security Director Cloudによってサービスの場所が作成され、[サービスの場所(Service Locations)] ページに一覧表示されます。

    サービスロケーションのステータスは、Secure Edgeインスタンスが完全に展開されるまで[ In Progress ]と表示されます( 図3参照)。

    図3:サービス拠点のステータス Service Locations Status

    サービスの場所を作成すると、システムはテナント システムの VPN ゲートウェイとして 2 つの vSRX インスタンスの導入を開始します。この導入では、vSRXインスタンスは他のテナントと共有されません。

Juniper Security Director Cloudでデバイス証明書を生成する

Juniper Security Director Cloudでサービスの場所を設定したので、次はデバイス証明書を生成してネットワークトラフィックを保護します。

トランスポート層セキュリティ/セキュアソケット層(TLS/SSL)証明書を使用して、Secure EdgeとWANエッジデバイス間のセキュアな通信を確立します。ネットワーク上のすべてのクライアントブラウザは、ジュニパーネットワークスとSRXシリーズファイアウォールがSSLプロキシを使用するために署名した証明書を信頼する必要があります。

Juniper Security Director Cloudでは、証明書を生成するために以下の選択肢があります。

  • 新しい証明書署名要求 (CSR) を作成すると、独自の認証局 (CA) が CSR を使用して新しい証明書を生成できます。

  • ジュニパーネットワークスに証明書を作成させるオプションを選択します。

手記:

このトピックでは、TLS/SSL 証明を生成する方法について説明します。証明書をインポートして使用する方法は、会社のクライアント管理要件によって異なり、このトピックの範囲外です。

Juniper Security Director Cloudでデバイス証明書を生成するには:

  1. [Secure Edge>Service Administration>証明書管理] を選択します。

    [証明書管理] ページが表示されます。

    [ 生成 ] リストから、新しい 証明書署名要求 (CSR)または ジュニパー発行の証明書を生成できます。

    図4:証明書管理 Certificate Management
  2. 該当するオプションを選択します。
    1. 会社に独自の CA があり、CSR を生成する場合は、[証明書署名要求] をクリックします。

      Juniper Secure EdgeがCSRを生成したら、CSRをダウンロードしてCAに送信し、新しい証明書を生成します。生成されたら、[アップロード] をクリックして [証明書管理] ページに証明書をアップロードします。

    2. 会社に独自の CA がない場合は、[ジュニパー発行の証明書] をクリックし、[生成] をクリックして証明書を生成します。ジュニパーネットワークスが証明書を生成し、システム上に保持します。
      このタスクでは、[ Juniper issued certificate ] を選択し、次の手順に進みます。
  3. 証明書の詳細を入力します。[共通名] フィールドで、証明書の完全修飾ドメイン名 (FQDN) を使用します。
    図5:ジュニパー発行の証明書Generate a Juniper-Issued Certificateを生成する

    [証明書管理] ページが開き、証明書が正常に作成されたことを示すメッセージが表示されます。

  4. 生成された証明書をダウンロードします。
    図6:証明書Download the Certificateのダウンロード

    次の例は、ダウンロードした証明書を示しています。

    証明書をシステムにダウンロードしたら、証明書をクライアントブラウザに追加します。

Juniper Security Director CloudでIPsecプロファイルを作成する

証明書を生成して、Secure EdgeとWANエッジデバイス間で安全な通信を確立したら、IPsecプロファイルを作成する準備が整います。

IPsecプロファイルは、Juniper Mist™クラウドネットワーク上のWANエッジデバイスがSecure Edgeインスタンスとの通信を開始したときにIPsec トンネルが確立されるパラメータを定義します。

Juniper Security Director CloudでIPsecプロファイルを作成するには、以下を行います。

  1. Juniper Security Director Cloudポータルで、 [Secure Edge > サービス管理 > IPsec プロファイル] を選択します。
  2. 追加(+)アイコンをクリックして、IPsecプロファイルを作成します。
    [IPsecプロファイルの作成] ページが表示されます。
  3. プロファイル名には、default-ipsec を使用します。インターネット鍵交換(IKE)と IPsec のすべてのデフォルト値を保持します。現時点では、Juniper Mist Cloud ポータルでは設定できません。
    図 7: IPsec プロファイル Create an IPsec Profileの作成

    この IPsecプロファイルを使用して、次のタスクでサイトを作成します。[サイト間vpnの作成] ページで、[トラフィック転送] タブのトンネル タイプとして [IPsec] を選択すると、IPsecプロファイルがアタッチされます。

Juniper Secure Edge Cloudでサイトを作成する

これで、IPsecプロファイルが作成されました。これらのプロファイルは、Juniper Mistクラウドネットワーク上のWANエッジデバイスとSecure Edgeインスタンス間のIPsec トンネル™パラメータを定義します。

この時点で、Juniper Security Director Cloudでサイトを作成する必要があります。サイトは、WANエッジデバイスをホストする場所を表します。WANエッジデバイスからのトラフィックは、セキュアトンネルを介してSecure Edgeインスタンスに転送され、Secure Edgeクラウドサービスによって検査および適用されます。

お客様のサイトからのインターネットに向かうトラフィックの一部または全部を、サイトのWANエッジデバイスからのGRE(汎用ルーティングのカプセル化)またはIPsecトンネルを介してJuniper Secure Edgeクラウドに転送するように設定できます。

手記:

支社でステートフルファイアウォールを使用する場合、Secure Edge内の同じPOPで重複する支社/拠点アドレスはサポートされません。これらの重複する IP へのリバース パス トラフィックは、すべての接続で等価コスト マルチパス (ECMP) を使用してルーティングされます。トラフィックは、トラフィックの送信元のインターフェイスへのセッションごとのルーティングではなく、ECMPを使用してルーティングされます。サイトに対して保護されたネットワークを構成する際には、ECMP を経由するリバース パス トラフィックを考慮してください。

Juniper Security Director Cloudでサイトを作成するには:

  1. ポータルJuniper Security Director Cloud、 [Secure Edge>サービス管理 > サイト] を選択します。

    [サイト(Sites)] ページが表示されます。

  2. 「追加」(+)アイコンをクリックして、サイトを作成します。
  3. 次のように [サイトの詳細] ページに入力します。

    1. 一意のサイト名と説明を入力します。

    2. サイトが配置されているリストから、対応する国を選択します。

    3. (オプション)顧客の支店がある郵便番号を入力します。

    4. (オプション)サイトの場所(番地)を入力します。

    5. サイトでネットワークを使用できるユーザー数を選択します。

    6. [保護されたネットワーク(Protected networks)] フィールドで、[追加(Add)](+)アイコンをクリックして、トンネルを通過するトラフィック フローに使用するインターフェイスのプライベート IP アドレス範囲を追加します。

    図 8表 3 は、サイトの例を示しています。
    図8:Juniper Secure EdgeクラウドCreate Site in Juniper Secure Edge Cloudのサイト間vpnの作成
    表 3: サイト作成の詳細
    フィールド
    プライマリサービスの場所 JSEC-オレゴン
    二次的なサービスの場所 JSEC-オハイオ州
    ユーザー数 10
    名前 スポーク1サイト
    ドイツ
    保護されたネットワーク 10.99.99.0/24(LANネットワーク)
  4. 次へ」をクリックします。
  5. [Traffic Forwarding] ページで、図 9 の情報に従って詳細を入力します
    図9:サイト間vpnの作成:トラフィック転送の詳細 Create Site: Traffic-Forwarding Details
    表 4: トラフィック転送ポリシーの詳細
    フィールド
    トンネル タイプ IPsec
    IP アドレス タイプ 動的

    静的 IP アドレス タイプの場合、[サイト IP アドレス] フィールドにデバイスの IP アドレスを指定する必要があります。
    IPsecプロファイル デフォルト-IPsec

    事前設定された IPsecプロファイルがない場合は、[IPsecプロファイルの作成] をクリックして IPsecプロファイルを作成します。
    事前共有キー

    サイトごとに固有のPSKを定義します。例:Juniper!1
    IKE ID site1@example.com (電子メール アドレスに似ており、サイトごとに一意の値である必要があります)。
  6. 次へ」をクリックします。
  7. [サイト構成] ページの [デバイスの種類] で、[Juniper デバイス以外のデバイス] を選択します。
    図10:サイト間vpnの作成-サイト構成 Create Site-Site Configuration

    このオプションを選択する必要があるのは、Juniper Mist クラウド・ポータルが管理するデバイスの構成がJuniper Security Director Cloudを介してプッシュされないためです。

  8. 次へ」をクリックします。
  9. [概要] ページで、構成を確認します。
    図 11:サイト間vpnの作成-Summary Create Site-Summary
  10. [戻る] をクリックしてフィールドを編集するか、[完了] をクリックして新しいサイトを作成します。
  11. 同じ手順でさらに 2 つのサイトを追加します。次の段落では、各サイトに含める詳細について説明します。
    1. 表 5表 6 に示した詳細を使用して、2 つ目のサイトを作成します。
      .
      表 5: 2 番目のサイトのサイト作成
      フィールド値
      プライマリサービスの場所 JSEC-オレゴン
      二次的なサービスの場所 JSEC-オレゴン
      ユーザー数 10
      名前 スポーク 2 サイト
      ドイツ
      保護されたネットワーク 10.88.88.0/24(LANネットワーク)
      表 6: 第 2 サイトのトラフィック転送
      フィールド
      トンネル タイプ IPsec
      IP アドレス タイプ 動的
      IPsecプロファイル デフォルト-IPsec
      事前共有キー

      サイトごとに固有のPSKを定義します。例:Juniper!1
      IKE ID site2@example.com (電子メール アドレスに似ており、サイトごとに一意の値である必要があります)。
    2. [Devices Type] = [Non-Juniper デバイス] を選択します。
    3. 表 7表 8 に示されている詳細を使用して、3 番目のサイトを作成します。
      表 7: 第 3 サイトの作成: サイトの詳細
      フィールド値
      プライマリサービスの場所 JSEC-オレゴン
      二次的なサービスの場所 JSEC-オハイオ州
      ユーザー数 10
      名前 スポーク3サイト
      ドイツ
      保護されたネットワーク 10.77.77.0/24(LANネットワーク)
      表 8: 第 3 サイトの作成: トラフィック転送の詳細
      フィールド
      トンネル タイプ IPsec
      IP アドレス タイプ 動的
      IPsecプロファイル デフォルト-IPsec
      事前共有キー

      サイトごとに固有のPSKを定義します。例:Juniper!1
      IKE ID site3@example.com (電子メール アドレスに似ており、サイトごとに一意の値である必要があります)。
    4. [Devices Type] = [Non-Juniper デバイス] を選択します。
  12. [概要] ページを確認します。正しくないエントリを修正します。
    図 12 に、作成したサイトの一覧を示します。
    図 12: 作成されたサイトの概要 Summary of Created Sites

Juniper Security Director Cloudへのルールを Secure Edgeの導入

Juniper Security Director Cloudでサイトを作成したので、次は1つ以上のJuniper® Secure Edgeポリシーを展開します。

Secure Edgeポリシーは、ネットワークがトラフィックをルーティングする方法を指定します。デフォルトでは、新しいテナントを作成すると、Security Director Cloudは事前定義されたルールを使用してSecure Edgeポリシールールセットを作成します。

手記:

既定のルール セットを変更しない場合でも、[ 展開] オプションを使用して、サービスの場所にルールを読み込む必要があります。

Juniper Security Director CloudにSecure Edgeポリシーを展開するには:

  1. Juniper Security Director Cloudポータルで、[Secure Edge > セキュリティ ポリシー] をクリックします。

    デフォルトルールの [ルールを Secure Edge Policy] ページが表示されます。デバッグを改善するために、既定のセキュリティ ポリシー セットを変更します。デフォルトのルールセットでは、外部(インターネット)へのICMPpingが許可されていないため、クラウド経由でpingを実行できません。

    図 13: ルールを Secure Edgeの詳細 Secure Edge Policy Details
  2. 追加(+)アイコンをクリックしてルールを作成するか、既存のルールを選択して鉛筆アイコンをクリックし、ルールを編集します。
  3. 新しいルールに ルール名=Allow-ICMP を指定します。
  4. 「追加」(+)をクリックしてソースを追加します。
    [ソース] で、次の既定値を使用します。

    • アドレス=任意

    • ユーザーグループ=任意

  5. 「追加」(+)をクリックして、宛先を追加します。
    [ Destinations][Addresses] で、デフォルト値 =Any を使用します。
  6. 「アプリケーション/サービス」で、次の値を構成します。

    • アプリケーション=任意

    • Services=Specific (検索経由)

    • 特定のサービス=icmp-all

    右矢印(>)を使用して、 特定のservice=icmp-all を右ペインに移動してアクティブにしてから、[ OK]をクリックします。

  7. Action=Permit を設定し、残りのフィールドはデフォルト値のままにします。

    新しいルールはルール リストの一番下に配置され、このルールはルール セットの最後のルールとして扱われます。ルールがグローバル ルール(すべてのトラフィックを拒否する)の後に配置された場合、グローバル ルールはそれ以降のすべてのトラフィックを停止するため、ルールは適用されません。したがって、この例では、ルールを選択してルールの位置を変更します。次に、「 移動 」> 「移動 」> 「一番上に移動 」オプションを使用して、選択したルールをルール・セットの一番上に移動します。ルールをルールセットの一番上に移動すると、システムはこのルールを最初に適用します。

    手記:

    ルール・セットを変更する場合は必ず、「 デプロイ 」ボタンを使用してタスクを完了してください。それ以外の場合、サービス拠点では古いルールセットが引き続き使用されます。

  8. [デプロイ] をクリックします。
  9. デプロイ」ページで、「今すぐ実行」オプションをオンにし、「OK」をクリックします。

    サービスの場所は、数分後に更新されたルールセットを取得します。

  10. [管理>ジョブ(Administration Jobs)] を選択して、デプロイされたジョブのステータスと進行状況を表示します。

Juniper Security Director Cloudで適用するIPsecトンネル設定パラメーターの取得

前のタスクでは、Juniper Secure EdgeでIPsecトンネルを設定するためのいくつかのアクションを完了し、Juniper Security Director CloudにSecure Edgeポリシーを展開しました。Security Director Cloudの最後のステップは、各サイトの構成データを収集することです。これらの詳細は、Juniper Mist™ クラウドでセキュア エッジ コネクタの構成 (Juniper Mist Cloud ポータルで Secure Edge コネクタの作成) を完了してIPsec トンネルを設定するために必要になります。この手順では、作成したサイトの詳細を書き留めます。

手記:

Juniper Security Director CloudとJuniper Mistクラウド間で同期するための自動構成プッシュオプションは使用できません。

Juniper Security Director Cloudで適用するIPsec トンネル構成パラメーターを取得するには、次のようにします。

  1. ポータルJuniper Security Director Cloud、 [Secure Edge >サービス管理 > サイト] を選択します。
    [サイト] ページが開き、展開されたサイトの詳細が表示されます。
    図 14: トンネル設定の詳細 Tunnel Configuration Details
  2. スポーク サイトごとに、[展開されたステータス(Deployed Status)] の下の [トンネル設定()] オプションをクリックし、[MIST マネージド デバイス(MIST Managed Device)] タブで情報を確認します。

    Juniper Mist Cloudポータルの「Secure Edgeコネクターの作成」で使用する以下の詳細を書き留めておきます。

    • 事前共有キー

    • ローカル ID

    • 各サービスロケーショントンネルのIPアドレスとリモートID

    以下のサンプルは、「 Juniper Secure Edgeクラウドでのサイトの作成」で作成した3つのサイトすべての情報を抽出したものです。

    次のサンプルは、site2 の抽出された情報です。

    次のサンプルは、site3 の抽出された情報です。

    これらのサイトの詳細は、Mistクラウドポータルでトンネルを設定する際に必要となります。

Juniper Mist CloudポータルでSecure Edgeコネクターを作成する

セッションスマートルーターまたはSRXシリーズファイアウォール用のSecure EdgeコネクターをJuniper Mist™で設定するという最終的な目標の達成は、ほぼ半分達成できました。

Secure Edgeコネクタは、Juniper Mistクラウドポータルで作成します。このタスクでは、MistとSecurity Director Cloudが管理するWANエッジデバイス間にIPsec トンネルを確立するための、トンネルのMistクラウド側での設定を完了します。コネクタを作成する前に、サイトに WAN エッジ デバイスがデプロイされていることを確認します。

Secure Edgeコネクタを作成するには:

  1. Juniper Mist クラウド ポータルで、[WAN Edges] をクリックします。

    [WAN Edge (WAN Edges)] ページには、サイトの詳細が表示されます。

    図15:WANエッジConfigure WAN Edgeの設定
  2. デバイスをクリックし、[Secure Edge Connectors] まで下にスクロールします。
  3. Secure Edgeコネクタ」ペインで、「プロバイダの追加」をクリックします。
  4. Secure Edgeコネクタの詳細を入力します。
    手記:

    上記は、 Juniper Security Director Cloudに適用するIPsecトンネル設定パラメータの取得で収集した詳細と同じであることに留意してください。
    図16:Secure Edgeコネクタの設定 Secure Edge Connector Configuration
    図17:Secure Edgeコネクタの設定(続き) Secure Edge Connector Configuration (Continued)
    表9:Secure Edgeコネクターの詳細
    フィールド
    名前 Site1からSDクラウドへ
    供給者 Juniper Secure Edge
    ローカル ID site1@example.com
    事前共有キー Juniper!1(例)
    原発
    IPまたはホスト名 <IPアドレス>(Juniper Security Director Cloudトンネル設定から)
    プローブIP -
    リモートID <UUID>.jsec-gen.juniper.net(Juniper Security Director Cloudトンネル設定から)
    WANインターフェイス

    • WAN0=INET

    • WAN1=MPLS
    付帯
    IPまたはホスト名 <IPアドレス>from(Juniper Security Director Cloudトンネル設定から)
    プローブIP -
    リモートID <UUID>.jsec-gen.juniper.net(Juniper Security Director Cloudトンネル設定から)
    WANインターフェイス

    • WAN0=INET

    • WAN1=MPLS
    モード アクティブ/スタンバイ
    手記:

    プローブ IP 値を入力する必要はありません。IPsecトンネルは、GREが必要とするような追加の監視を必要としません。
    手記:

    セッションスマートルーターベースのSecure Edge設定では、 ICMPプローブIPを有効にし ないでください。ICMPプローブは、ルーティング不可能なIPアドレスからSecure Edgeに向けて発信され、ポリシーによりドロップされます。また、すべてのブランチで送信元アドレスが重複している場合、プローブ IP アドレスを使用した複数のブランチへのルーティングはサポートされていません。
    手記:

    システムは、テキスト、アプリケーション、および電子メールの説明を自動的に生成します。
  5. Mistクラウドポータルに、設定したSecure Edgeコネクタが追加されていることを確認します。
  6. WANエッジテンプレートまたはWANエッジデバイスに新しいトラフィックステアリングパスを追加します。
    図 18: Secure Edge Add Traffic-Steering Options for Secure Edgeのトラフィック ステアリング オプションの追加
    表 10: トラフィック ステアリング パスの構成
    フィールド値
    名前
    戦略 注文
    パス タイプと宛先の選択
    種類 Secure Edgeコネクター
    供給者 Juniper Secure Edge
    名前 Site1からSDクラウドへ

アプリケーション ポリシーの変更

Juniper Mist™クラウドポータルでSecure Edgeコネクターを作成したら、次のステップはブランチデバイスのアプリケーションポリシーを変更することです。例えば、スポーク デバイスからハブデバイスへのトラフィックを許可できます。また、スポーク デバイスから VPN トンネル内の別のスポーク デバイスへのトラフィックを許可することもできます。その後は、スポークから中央ブレイクアウト用のハブにトラフィックを送信する代わりに、Juniper Security Director Cloudを介してスポークからインターネットにトラフィックを送信できます。

次の手順を使用して、構成が機能しているかどうかを確認します。

  1. WAN エッジ テンプレートまたは WAN エッジ デバイスのページでアプリケーション ポリシーを追加または編集します。
  2. 変更するポリシーを選択し、変更を適用します。
    図 19: アプリケーション ポリシーの変更Change Application Policies

    WANエッジデバイスページからポリシーを作成する場合は、要件に応じて[ テンプレート設定の上書き] オプションを選択します。

    • アプリケーション ポリシーには、前の手順で作成したトラフィック ステアリングを含めることができます。この例では、最後のルール(Internet-via-Cloud-CBO)の トラフィック・ステアリングクラウド に変更します。

  3. 変更を保存します。
    Juniper Mistクラウドは、Juniper Security Director Cloudするための新しいトンネルを構築します。

設定の確認

アプリケーション ポリシーを変更したら、構成が期待どおりに機能していることを確認します。必要な設定を保存すると、クラウドJuniper Mistインターネットに向かうトラフィックを、中央ブレークアウト用のハブにルーティングするのではなく、スポークからJuniper Security Director Cloudにルーティングしているかどうかを確認できます。

設定を検証するには:

  1. (オプション)環境によっては、CLIでJuniper Security Director CloudへのIPsec トンネルの通信を確認できます。

    クラウドポータルで、デバイスの確立されたトンネルの詳細WAN Insights Juniper Mist確認します。

    図 20:Secure Edge Connector with Tunnel Details Secure Edge Connector with Tunnel Details
    確立されたトンネルは、Juniper Security Director Cloudダッシュボードとサービスの場所で確認することもできます。
  2. ブランチ デバイスに接続された仮想マシン デスクトップを使用して、新しいトラフィック フローを確認します。インターネットへの ping を使用してトラフィック フローを確認できます。
    手記:

    WANエッジデバイスとJuniper Secure Edgeサービスの場所との間の物理的な距離によっては、遅延が発生する場合があります。
  3. 仮想マシン デスクトップでブラウザーを開き、[https://whatismyipaddress.com/] に移動して、サービス ロケーションからインターネットへのJuniper Mistネットワーク トラフィックのルーティングに使用される送信元 IP アドレスの詳細を表示します。

    図21図22 は、プライマリおよびセカンダリサービスの場所からのトラフィックを示しています。

    図21:プライマリサービスロケーションTraffic from Primary Service Locationからのトラフィック
    図22:セカンダリサービスロケーションTraffic from Secondary Service Locationからのトラフィック

    サービス場所の 2 つの IP アドレスのうちの 1 つはパブリック IP アドレスであり、次の 2 つの目的を果たします。

    • IPsec トンネルを終了します

    • Juniper Security Director Cloudを介して、支社/拠点デバイスからインターネットにトラフィックをルーティングします

    パケットキャプチャには、Juniper Security Director Cloudを使用して、サービスロケーションへの確立されたトンネルが含まれていることがわかります。 「設定の確認」を参照してください。

    Juniper Security Director Cloud内のサービスロケーションはPOPとも呼ばれ、クラウドロケーション内のJuniper® Secure Edgeインスタンスを表すことを忘れないでください。サービスの場所は、オンプレミス ユーザーとローミング ユーザーの両方の接続 (アクセス) ポイントです。