Juniper Secure EdgeでSecure Edge Connectorをセットアップする(手動プロビジョニング) |Mist |ジュニパーネットワークス

構成の概要

このタスクでは、スポークまたはハブデバイスのLAN側からインターネットに向かうトラフィックをSecure Edgeに送信し、トラフィックがインターネットに到達する前に検査を依頼します。

Secure Edgeでトラフィック検査を実施するには:

Juniper Security Director Cloudで、Secure Edgeのサービスの場所、IPsecプロファイル、サイト、ポリシーを作成および構成します。これらは、WANエッジデバイスにセキュリティサービスと接続性を提供するクラウドベースのリソースです。
Mist Cloudで、LANネットワークに接続するWANエッジデバイス(セッションスマートルーターまたはSRXシリーズファイアウォール)を作成して設定します。これらは、支社/拠点やキャンパスにルーティング、スイッチング、SD-WAN機能を提供する物理デバイスです。
Mist WANエッジで、WANエッジデバイスをサービスロケーションに接続するSecure Edgeトンネルを作成および構成します。これらは、Secure Edgeによる検査が必要なトラフィックに安全で信頼性の高いトランスポートを提供するIPsecトンネルです。
Mist Cloudで、WANエッジデバイスに対応するサイトまたはデバイスプロファイルにSecure Edgeトンネルを割り当てます。これにより、定義されたデータポリシーやその他の一致条件に基づいて、LANネットワークからSecure Edge Cloudへのトラフィックステアリングが可能になります。

次の表のトピックでは、Juniper Mist™ クラウドで Secure Edge のクラウドベースのセキュリティを使用するために必要な概要情報を示します。

表 1: Secure Edge コネクター構成ワークフロー
歩	タスク	形容
1	Juniper Security Director Cloudにアクセスし、アクティブなサブスクリプションを確認	Juniper Security Director Cloudにアクセスし、組織のアカウントに移動して、Secure Edgeサブスクリプションを確認します。このサブスクリプションでは、導入環境に合わせてSecure Edgeサービスを設定できます。
2	Juniper Security Director Cloudでサービスのサービスロケーションを構成する	サービスの場所を作成します。ここで、vSRXベースのVPNゲートウェイが、異なるネットワーク間の安全な接続を作成します。
3	Juniper Security Director Cloudでデバイス証明書を生成する	Juniper Secure Edge用のデジタル証明書を生成して、Secure Edgeとユーザーエンドポイント間のセキュアな通信を確立します。
4	Juniper Security Director CloudでIPsecプロファイルを作成する	IPsecプロファイルを作成して、Juniper Mistクラウドネットワーク上のWANエッジデバイスとSecure Edgeインスタンス間の通信用のIPsecトンネルを確立します。
5	Juniper Security Director Cloudでサイトを作成する	WANエッジデバイス(セッションスマートルーターまたはSRXシリーズファイアウォール)をホストするサイトを作成します。デバイスからのトラフィックは、検査のためにセキュアトンネルを介してSecure Edgeインスタンスに転送されます。
6	Juniper Security Director Cloudへのルールを Secure Edgeの導入	サイトから発信またはサイトを宛先とするトラフィックのセキュリティルールとアクションを定義するポリシーを設定します。
7	Juniper Security Director Cloudで適用するIPsecトンネル設定パラメーターの取得	サービスロケーションのIPまたはホスト名、IPsecプロファイル名、事前共有キーなどの詳細を書き留めます。Juniper Mist側からIPsecトンネルを設定するには、これらの詳細が必要です。
8	Juniper Mist CloudポータルでSecure Edgeコネクターを作成する	Juniper MistクラウドポータルでSecure Edgeコネクタを作成します。このタスクでは、Mistによって管理されるWANエッジデバイスとSecure Edgeインスタンス間のIPsec トンネルを確立するための、トンネルのMistクラウド側での設定を完了します。
9	アプリケーションポリシーの変更	新しいアプリケーションポリシーを作成するか、既存のアプリケーションポリシーを変更して、一元的なアクセスのためにハブを経由するのではなく、Juniper Security Director Cloudを介してWANエッジデバイスからインターネットにトラフィックを誘導します。
10	設定の確認	で確立されたIPsecトンネルを確認して、設定が機能しているかどうかを確認します。 MistポータルでのWAN Insights Security Director Cloudダッシュボード WANエッジデバイスCLI上のトンネルトラフィックフロー。

始める前に

Juniper® Secure Edge サブスクリプションの要件をご確認ください。「Juniper Secure Edgeサブスクリプションの概要」を参照してください。
Juniper Security Director Cloudポータルにアクセスするための前提条件を満たしていることを確認します。「前提条件」を参照してください。
Secure Edge テナントを作成します。「Secure Edge テナントの作成」を参照してください。
ここでは、セッションスマートルーターまたはSRXシリーズファイアウォールが、Juniper Mist CloudのWANエッジデバイスとして導入され、設定されていることを前提としています。

Juniper Security Director Cloudにアクセスし、アクティブなサブスクリプションを確認

Juniper Secure Edgeのテナントは、Juniper Security Director Cloudポータルにアクセスし、Secure Edgeサービスを管理するために作成する組織アカウントです。テナントは、一意の電子メールアドレスとサブスクリプションプランに関連付けられます。テナントには複数のサービスロケーションを持つことができます。これは、組織のパブリッククラウドでホストされるvSRXベースのVPNゲートウェイです。

テナントには、エンドユーザーの接続ポイントである 1 つ以上のサービスロケーションを含めることができます。テナントを作成するには、Juniper Security Director Cloudのアカウントが必要です。詳細については、「 Secure Edge テナントの作成」を参照してください。

Juniper Security Director CloudポータルでSecure Edgeテナントを作成した後、ポータルにアクセスしてサブスクリプションを確認します。

Juniper Security Director Cloudにアクセスし、アクティブなサブスクリプションを確認するには、以下を実行してください。

Juniper Security Director CloudのURLを開きます。メールアドレスとパスワードを入力してログインし、Juniper Security Director Cloudポータルの使用を開始します。
ポータルの右上隅にある必要なテナントを選択して続行します。
[管理] > [サブスクリプション] を選択して、[サブスクリプションJuniper Security Director Cloud] ページにアクセスします。
[Secure Edge Subscriptions]セクションまでスクロールして、アクティブなサブスクリプションがあるかどうかを確認します。

手記：ジュニパーネットワーク®スSRXシリーズファイアウォールを使用している場合でも、[ SRX管理サブスクリプション]タブをクリックする必要はありません。このタスクでは、WANエッジデバイスの管理にJuniper Security Director Cloudを使用しません。

詳細については、「 [購読]ページについて」を参照してください。

アクティブなサブスクリプションがあると仮定して、次の手順に進みます。

サービスの場所の構成

Juniper Security Director Cloudの有効なライセンスがあることを確認した後、サービスの場所を設定します。このステップは、セッションスマートルーター用のSecure Edgeコネクターを設定する最初のメインタスクです。

Juniper Security Director Cloud内のサービスロケーションは、POP(Point of Presence)とも呼ばれ、クラウドロケーションにあるJuniper® Secure Edgeインスタンスを表します。サービスの場所は、オンプレミスユーザーとローミングユーザーの両方の接続 (アクセス) ポイントです。

サービスロケーションは、vSRXがパブリッククラウドサービスを使用して異なるネットワーク間にセキュアな接続を作成する場所です。パブリック IP アドレス (テナントおよびサービスの場所ごとに一意) は、次の目的で使用されます。

支社/拠点デバイスとJuniper Security Director Cloudの間にIPsec トンネルを設定します。
宛先がインターネット上にある場合に、トラフィックを一元的に分散します。

Juniper Security Director Cloudでサービスの場所を設定するには、次の手順に従います。

Juniper Security Director Cloudメニューで、[Secure Edge>サービス管理>Service Locations]を選択します。

[Service Locations] ページが表示されます。

「追加」(+)アイコンをクリックして、新しいサービスロケーションを作成します。

次のフィールドの詳細を入力します。

[リージョン(Region)]:Secure Edge インスタンスを作成する地理的リージョンを選択します。
[PoP]:リージョン内の Secure Edge の場所を選択します。
[ユーザ数(Number of Users)]:このサービスロケーションがサービスを提供する必要があるユーザの合計数を入力します。

表 2:サービスロケーションフィールド
フィールド	サービスロケーション	サービスロケーション
地域	北アメリカ	北アメリカ
ポップ	オハイオ	オレゴン州
ユーザー数	50 (出口を均等に分割します)	50

[OK] をクリックします。

Security Director Cloudによってサービスの場所が作成され、[サービスの場所(Service Locations)] ページに一覧表示されます。

サービスロケーションのステータスは、Secure Edgeインスタンスが完全に展開されるまで[ 進行中(In Progress )] と表示されます。

サービスの場所を作成すると、システムはテナントシステムの VPN ゲートウェイとして 2 つの vSRX インスタンスの導入を開始します。この導入では、vSRXインスタンスは他のテナントと共有されません。

Juniper Security Director Cloudでデバイス証明書を生成する

Juniper Security Director Cloudでサービスの場所を設定したので、次はデバイス証明書を生成してネットワークトラフィックを保護します。

トランスポート層セキュリティ/セキュアソケット層(TLS/SSL)証明書を使用して、Secure EdgeとWANエッジデバイス間のセキュアな通信を確立します。ネットワーク上のすべてのクライアントブラウザは、ジュニパーネットワークスとSRXシリーズファイアウォールがSSLプロキシを使用するために署名した証明書を信頼する必要があります。

Juniper Security Director Cloudでは、証明書を生成するために以下の選択肢があります。

新しい証明書署名要求 (CSR) を作成すると、独自の認証局 (CA) が CSR を使用して新しい証明書を生成できます。
ジュニパーネットワークスに証明書を作成させるオプションを選択します。

手記：

このトピックでは、TLS/SSL 証明を生成する方法について説明します。証明書をインポートして使用する方法は、会社のクライアント管理要件によって異なり、このトピックの範囲外です。

Juniper Security Director Cloudでデバイス証明書を生成するには:

[Secure Edge>Service Administration>証明書管理] を選択します。

[証明書管理] ページが表示されます。

[ 生成 ] リストから、新しい証明書署名要求 (CSR)またはジュニパー発行の証明書を生成できます。
該当するオプションを選択します。
1. 会社に独自の CA があり、CSR を生成する場合は、[証明書署名要求] をクリックします。
  
  Juniper Secure EdgeがCSRを生成したら、CSRをダウンロードしてCAに送信し、新しい証明書を生成します。生成されたら、[アップロード] をクリックして [証明書管理] ページに証明書をアップロードします。
2. 会社に独自の CA がない場合は、[ジュニパー発行の証明書] をクリックし、[生成] をクリックして証明書を生成します。ジュニパーネットワークスが証明書を生成し、システム上に保持します。
  このタスクでは、[ Juniper issued certificate ] を選択し、次の手順に進みます。
証明書の詳細を入力します。[共通名] フィールドで、証明書の完全修飾ドメイン名 (FQDN) を使用します。

[証明書管理] ページが開き、証明書が正常に作成されたことを示すメッセージが表示されます。

生成された証明書をダウンロードします。

次の例は、ダウンロードした証明書を示しています。

証明書をシステムにダウンロードしたら、証明書をクライアントブラウザに追加します。

Juniper Security Director CloudでIPsecプロファイルを作成する

証明書を生成して、Secure EdgeとWANエッジデバイス間で安全な通信を確立したら、IPsecプロファイルを作成する準備が整います。

IPsecプロファイルは、Juniper Mist™クラウドネットワーク上のWANエッジデバイスがSecure Edgeインスタンスとの通信を開始したときにIPsec トンネルが確立されるパラメータを定義します。

Juniper Security Director CloudでIPsecプロファイルを作成するには、以下を行います。

Juniper Security Director Cloudポータルで、 [Secure Edge > サービス管理 > IPsec プロファイル] を選択します。
追加(+)アイコンをクリックして、IPsecプロファイルを作成します。
[IPsecプロファイルの作成] ページが表示されます。
プロファイル名には、default-ipsec を使用します。インターネット鍵交換(IKE)と IPsec のすべてのデフォルト値を保持します。現時点では、Juniper Mist Cloud ポータルでは設定できません。

この IPsecプロファイルを使用して、次のタスクでサイトを作成します。[サイト間vpnの作成] ページで、[トラフィック転送] タブのトンネルタイプとして [IPsec] を選択すると、IPsecプロファイルがアタッチされます。

Juniper Secure Edge Cloudでサイトを作成する

これで、IPsecプロファイルが作成されました。これらのプロファイルは、Juniper Mistクラウドネットワーク上のWANエッジデバイスとSecure Edgeインスタンス間のIPsec トンネル™パラメータを定義します。

この時点で、Juniper Security Director Cloudでサイトを作成する必要があります。サイトは、WANエッジデバイスをホストする場所を表します。WANエッジデバイスからのトラフィックは、セキュアトンネルを介してSecure Edgeインスタンスに転送され、Secure Edgeクラウドサービスによって検査および適用されます。

お客様のサイトからのインターネットに向かうトラフィックの一部または全部を、サイトのWANエッジデバイスからのGRE(汎用ルーティングのカプセル化)またはIPsecトンネルを介してJuniper Secure Edgeクラウドに転送するように設定できます。

手記：

支社でステートフルファイアウォールを使用する場合、Secure Edge内の同じPOPで重複する支社/拠点アドレスはサポートされません。これらの重複する IP へのリバースパストラフィックは、すべての接続で等価コストマルチパス (ECMP) を使用してルーティングされます。トラフィックは、トラフィックの送信元のインターフェイスへのセッションごとのルーティングではなく、ECMPを使用してルーティングされます。サイトに対して保護されたネットワークを構成する際には、ECMP を経由するリバースパストラフィックを考慮してください。

Juniper Security Director Cloudでサイトを作成するには:

ポータルJuniper Security Director Cloud、 [Secure Edge>サービス管理 > サイト] を選択します。
プラス(+)アイコンをクリックして、サイトを作成します。

設定を入力します。

一意のサイト名と説明を入力します。
サイトが配置されているリストから、対応する国を選択します。
(オプション)顧客の支店がある郵便番号を入力します。
(オプション)サイトの場所(番地)を入力します。
サイトでネットワークを使用できるユーザー数を選択します。
[保護されたネットワーク(Protected networks)] フィールドで、[追加(Add)](+)アイコンをクリックして、トンネルを通過するトラフィックフローに使用するインターフェイスのプライベート IP アドレス範囲を追加します。

この例では、Juniper Secure Edge Cloud内のサイトを示しています。

次の表に詳細を示します。

表 3: サイト作成の詳細
フィールド	値
プライマリサービスの場所	JSEC-オレゴン
二次的なサービスの場所	JSEC-オハイオ州
ユーザー数	10
名前	スポーク1サイト
国	ドイツ
保護されたネットワーク	10.99.99.0/24(LANネットワーク)

「次へ」をクリックします。

[トラフィック転送] ページで、設定を入力します。

表 4: トラフィック転送ポリシーの詳細
フィールド	値
トンネルタイプ	IPsec
IP アドレスタイプ	動的静的 IP アドレスタイプの場合、[サイト IP アドレス] フィールドにデバイスの IP アドレスを指定する必要があります。
IPsecプロファイル	デフォルト-IPsec 事前設定された IPsecプロファイルがない場合は、[IPsecプロファイルの作成] をクリックして IPsecプロファイルを作成します。
事前共有キー	サイトごとに固有のPSKを定義します。例:Juniper!1
IKE ID	site1@example.com (電子メールアドレスに似ており、サイトごとに一意の値である必要があります)。

「次へ」をクリックします。
[サイト構成] ページの [デバイスの種類] で、[Juniper デバイス以外のデバイス] を選択します。

このオプションを選択する必要があるのは、Juniper Mist クラウド・ポータルが管理するデバイスの構成がJuniper Security Director Cloudを介してプッシュされないためです。
「次へ」をクリックします。
[概要] ページで、構成を確認します。
[戻る] をクリックしてフィールドを編集するか、[完了] をクリックして新しいサイトを作成します。

同じ手順でさらに 2 つのサイトを追加します。次の段落では、各サイトに含める詳細について説明します。

以下に示す詳細を使用して、2 番目のサイトを作成します。

表 5: 2 番目のサイトのサイト作成
フィールド値
プライマリサービスの場所	JSEC-オレゴン
二次的なサービスの場所	JSEC-オレゴン
ユーザー数	10
名前	スポーク 2 サイト
国	ドイツ
保護されたネットワーク	10.88.88.0/24(LANネットワーク)

表 6: 第 2 サイトのトラフィック転送
フィールド	値
トンネルタイプ	IPsec
IP アドレスタイプ	動的
IPsecプロファイル	デフォルト-IPsec
事前共有キー	サイトごとに固有のPSKを定義します。例:Juniper!1
IKE ID	site2@example.com (電子メールアドレスに似ており、サイトごとに一意の値である必要があります)。

[Devices Type] = [Non-Juniper デバイス] を選択します。

以下に示す詳細で 3 番目のサイトを作成します。

表 7: 第 3 サイトの作成: サイトの詳細
フィールド値
プライマリサービスの場所	JSEC-オレゴン
二次的なサービスの場所	JSEC-オハイオ州
ユーザー数	10
名前	スポーク3サイト
国	ドイツ
保護されたネットワーク	10.77.77.0/24(LANネットワーク)

表 8: 第 3 サイトの作成: トラフィック転送の詳細
フィールド	値
トンネルタイプ	IPsec
IP アドレスタイプ	動的
IPsecプロファイル	デフォルト-IPsec
事前共有キー	サイトごとに固有のPSKを定義します。例:Juniper!1
IKE ID	site3@example.com (電子メールアドレスに似ており、サイトごとに一意の値である必要があります)。

[Devices Type] = [Non-Juniper デバイス] を選択します。

[概要] ページを確認します。正しくないエントリを修正します。
図 1 は、作成したサイトの一覧を示しています。
図 1: 作成されたサイトの概要

Juniper Security Director Cloudへのルールを Secure Edgeの導入

Juniper Security Director Cloudでサイトを作成したので、次は1つ以上のJuniper® Secure Edgeポリシーを展開します。

Secure Edgeポリシーは、ネットワークがトラフィックをルーティングする方法を指定します。デフォルトでは、新しいテナントを作成すると、Security Director Cloudは事前定義されたルールを使用してSecure Edgeポリシールールセットを作成します。

手記：

既定のルールセットを変更しない場合でも、[ 展開] オプションを使用して、サービスの場所にルールを読み込む必要があります。

Juniper Security Director CloudにSecure Edgeポリシーを展開するには:

Juniper Security Director Cloudポータルで、[Secure Edge > セキュリティポリシー] をクリックします。

デフォルトルールの [ルールを Secure Edge Policy] ページが表示されます。デバッグを改善するために、既定のセキュリティポリシーセットを変更します。デフォルトのルールセットでは、外部(インターネット)へのICMPpingが許可されていないため、クラウド経由でpingを実行できません。
追加(+)アイコンをクリックしてルールを作成するか、既存のルールを選択して鉛筆アイコンをクリックし、ルールを編集します。
新しいルールにルール名=Allow-ICMP を指定します。
「追加」(+)をクリックしてソースを追加します。
[ソース] で、次の既定値を使用します。
- アドレス=任意
- ユーザーグループ=任意
「追加」(+)をクリックして、宛先を追加します。
[ Destinations] の [Addresses] で、デフォルト値 =Any を使用します。
「アプリケーション/サービス」で、次の値を構成します。
- アプリケーション=任意
- Services=Specific (検索経由)
- 特定のサービス=icmp-all
右矢印(>)を使用して、特定の service=icmp-all を右ペインに移動してアクティブにしてから、[ OK] をクリックします。
Action=Permit を設定し、残りのフィールドはデフォルト値のままにします。

新しいルールはルールリストの一番下に配置され、このルールはルールセットの最後のルールとして扱われます。ルールがグローバルルール(すべてのトラフィックを拒否する)の後に配置された場合、グローバルルールはそれ以降のすべてのトラフィックを停止するため、ルールは適用されません。したがって、この例では、ルールを選択してルールの位置を変更します。次に、「移動」> 「移動」> 「一番上に移動」オプションを使用して、選択したルールをルール・セットの一番上に移動します。ルールをルールセットの一番上に移動すると、システムはこのルールを最初に適用します。

手記：
ルール・セットを変更する場合は必ず、「デプロイ」ボタンを使用してタスクを完了してください。それ以外の場合、サービス拠点では古いルールセットが引き続き使用されます。
[デプロイ] をクリックします。
「デプロイ」ページで、「今すぐ実行」オプションをオンにし、「OK」をクリックします。

サービスの場所は、数分後に更新されたルールセットを取得します。
[管理>ジョブ(Administration Jobs)] を選択して、展開されたジョブのステータスと進行状況を表示します。

Juniper Security Director Cloudで適用するIPsecトンネル設定パラメーターの取得

前のタスクでは、Juniper Secure EdgeでIPsecトンネルを設定するためのいくつかのアクションを完了し、Juniper Security Director CloudにSecure Edgeポリシーを展開しました。Security Director Cloudの最後のステップは、各サイトの構成データを収集することです。Juniper Mist™ クラウドで Secure Edge コネクタの構成 (Juniper Mist ポータルで Secure Edge コネクタの作成) を完了して IPsec トンネルを設定するには、これらの詳細が必要です。この手順では、作成したサイトの詳細を書き留めます。

手記：

Juniper Security Director CloudとJuniper Mistクラウド間で同期するための自動構成プッシュオプションは使用できません。

Juniper Security Director Cloudで適用するIPsec トンネル構成パラメーターを取得するには、次のようにします。

ポータルJuniper Security Director Cloud、 [Secure Edge >サービス管理 > サイト] を選択します。
[サイト] ページが開き、展開されたサイトの詳細が表示されます。

スポークサイトごとに、[展開ステータス(Deployed Status)] の下の [トンネル設定()] オプションをクリックし、[MIST マネージドデバイス(MIST Managed Device)] タブで情報を確認します。

Juniper Mist ポータルでの Secure Edge コネクタの作成で使用する次の詳細を書き留めます。

事前共有キー
ローカル ID
各サービスロケーショントンネルのIPアドレスとリモートID

以下のサンプルは、「 Juniper Secure Edge Cloudでのサイトの作成」で作成した3つのサイトすべての情報を抽出したものです。

次のサンプルは、site2 の抽出された情報です。

次のサンプルは、site3 の抽出された情報です。

これらのサイトの詳細は、Mistクラウドポータルでトンネルを設定する際に必要となります。

Juniper MistポータルでSecure Edgeコネクタを作成するCreate Connectors in the Portal

セッションスマートルーターまたはSRXシリーズファイアウォール用のSecure EdgeコネクターをJuniper Mist™で設定するという最終的な目標の達成は、ほぼ半分達成できました。

Secure Edgeコネクタは、Juniper Mist ポータルで作成します。このタスクでは、MistとSecurity Director Cloudが管理するWANエッジデバイス間にIPsec トンネルを確立するための、トンネルのMistクラウド側での設定を完了します。コネクタを作成する前に、サイトに WAN エッジデバイスがデプロイされていることを確認します。

Juniper Mist ポータルでSecure Edgeコネクタを作成するには、次のようにします。

左側のメニューから、[WAN Edge (WAN Edges)] をクリックします。

[WAN Edge (WAN Edges)] ページには、サイトの詳細が表示されます。
デバイスをクリックし、[Secure Edge Connectors] まで下にスクロールします。
「Secure Edgeコネクタ」ペインで、「プロバイダの追加」をクリックします。

Secure Edgeコネクタの詳細を入力します。

手記：

上記は、 Juniper Security Director Cloudに適用するIPsecトンネル設定パラメータの取得で収集した詳細と同じであることに留意してください。

表9:Secure Edgeコネクターの詳細
フィールド	値
名前	Site1からSDクラウドへ
供給者	Juniper Secure Edge
ローカル ID	site1@example.com
事前共有キー	Juniper!1(例)
原発
IPまたはホスト名	<IPアドレス>(Juniper Security Director Cloudトンネル設定から)
プローブIP	-
リモートID	<UUID>.jsec-gen.juniper.net(Juniper Security Director Cloudトンネル設定から)
WANインターフェイス	WAN0=INET WAN1=MPLS
付帯
IPまたはホスト名	<IPアドレス>from(Juniper Security Director Cloudトンネル設定から)
プローブIP	-
リモートID	<UUID>.jsec-gen.juniper.net(Juniper Security Director Cloudトンネル設定から)
WANインターフェイス	WAN0=INET WAN1=MPLS
モード	アクティブ/スタンバイ

手記：

プローブ IP 値を入力する必要はありません。IPsecトンネルは、GREが必要とするような追加の監視を必要としません。

手記：

セッションスマートルーターベースのSecure Edge設定では、 ICMPプローブIPを有効にしないでください。ICMPプローブは、ルーティング不可能なIPアドレスからSecure Edgeに向けて発信され、ポリシーによりドロップされます。また、すべてのブランチで送信元アドレスが重複している場合、プローブ IP アドレスを使用した複数のブランチへのルーティングはサポートされていません。

手記：

システムは、テキスト、アプリケーション、および電子メールの説明を自動的に生成します。

Mistクラウドポータルに、設定したSecure Edgeコネクタが追加されていることを確認します。

WANエッジテンプレートまたはWANエッジデバイスに新しいトラフィックステアリングパスを追加します。

表 10: トラフィックステアリングパスの構成
フィールド値
名前	雲
戦略	注文
パス	タイプと宛先の選択
種類	Secure Edgeコネクター
供給者	Juniper Secure Edge
名前	Site1からSDクラウドへ

アプリケーションポリシーの変更

Juniper Mist™クラウドポータルでSecure Edgeコネクターを作成したら、次のステップはブランチデバイスのアプリケーションポリシーを変更することです。例えば、スポークデバイスからハブデバイスへのトラフィックを許可できます。また、スポークデバイスから VPN トンネル内の別のスポークデバイスへのトラフィックを許可することもできます。その後は、スポークから中央ブレイクアウト用のハブにトラフィックを送信する代わりに、Juniper Security Director Cloudを介してスポークからインターネットにトラフィックを送信できます。

次の手順を使用して、構成が機能しているかどうかを確認します。

WAN エッジテンプレートまたは WAN エッジデバイスのページでアプリケーションポリシーを追加または編集します。
変更するポリシーを選択し、変更を適用します。

WANエッジデバイスページからポリシーを作成する場合は、要件に応じて[ テンプレート設定の上書き] オプションを選択します。
- アプリケーションポリシーには、前の手順で作成したトラフィックステアリングを含めることができます。この例では、最後のルール(Internet-via-Cloud-CBO)のトラフィック・ステアリングをクラウドに変更します。
変更を保存します。
Juniper Mistクラウドは、Juniper Security Director Cloudするための新しいトンネルを構築します。

設定の確認

アプリケーションポリシーを変更したら、構成が期待どおりに機能していることを確認します。必要な設定を保存すると、クラウドJuniper Mistインターネットに向かうトラフィックを、中央ブレークアウト用のハブにルーティングするのではなく、スポークからJuniper Security Director Cloudにルーティングしているかどうかを確認できます。

設定を検証するには:

(オプション)環境によっては、CLIでJuniper Security Director CloudへのIPsec トンネルの通信を確認できます。

クラウドポータルで、デバイスの確立されたトンネルの詳細WAN Insights Juniper Mist確認します。

確立されたトンネルは、Juniper Security Director Cloudダッシュボードとサービスロケーションで確認することもできます。

ブランチデバイスに接続された仮想マシンデスクトップを使用して、新しいトラフィックフローを確認します。インターネットへの ping を使用してトラフィックフローを確認できます。

手記：

WANエッジデバイスとJuniper Secure Edgeサービスの場所との間の物理的な距離によっては、遅延が発生する場合があります。

仮想マシンデスクトップでブラウザを開き、[https://whatismyipaddress.com/] に移動して、サービスロケーションからインターネットへのJuniper Mistネットワークトラフィックのルーティングに使用される送信元 IP アドレスの詳細を表示します。

この例は、プライマリサービスロケーションからのトラフィックを示しています。
この例は、セカンダリサービスロケーションからのトラフィックを示しています。

サービス場所の 2 つの IP アドレスのうちの 1 つはパブリック IP アドレスであり、次の 2 つの目的を果たします。
- IPsec トンネルを終了します
- Juniper Security Director Cloudを介して、支社/拠点デバイスからインターネットにトラフィックをルーティングします
パケットキャプチャには、Juniper Security Director Cloudを使用して、サービスロケーションへの確立されたトンネルが含まれていることがわかります。「設定の確認」を参照してください。

Juniper Security Director Cloud内のサービスロケーションはPOPとも呼ばれ、クラウドロケーション内のJuniper® Secure Edgeインスタンスを表すことを忘れないでください。サービスの場所は、オンプレミスユーザーとローミングユーザーの両方の接続 (アクセス) ポイントです。

項目一覧

Juniper Secure EdgeでSecure Edge Connectorをセットアップする(手動プロビジョニング)