Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

ジュニパーセキュアエッジでセキュアエッジコネクタを設定する(手動プロビジョニング)

このワークフローに従って、ジュニパー®セキュアエッジを手動でプロビジョニングするワークフローのすべてのステップをサポートします。

ジュニパー Mist™ クラウドは、ジュニパー® Secure Edge と連携し、Secure Edge コネクタ機能を使用してエッジデバイスからのトラフィック検査を実行します。この機能により、WANエッジデバイスとして導入されたジュニパー®セッションスマート™ ルーターは、トラフィックの一部をジュニパーセキュアエッジに送信して検査することができます。

Secure Edgeの機能はすべてJuniper Security Director Cloudによって管理されており、ジュニパーのシンプルでシームレスな管理エクスペリエンスがシングルユーザーインターフェイス(UI)で提供されます。

詳細については、「 ジュニパーセキュアエッジ」を参照してください。

構成の概要

このタスクでは、トラフィックがインターネットに到達する前に、スポークまたはハブデバイスのLAN側からSecure Edgeにインターネットバウンドトラフィックを送信して検査します。

Secure Edgeによるトラフィックインスペクションを実行するには:

  • Juniper Security Director Cloudで、Secure Edgeのサービスロケーション、IPsecプロファイル、サイト、ポリシーを作成して設定します。これらは、WANエッジデバイスにセキュリティサービスと接続を提供するクラウドベースのリソースです。

  • Mist Cloudで、LANネットワークに接続するWANエッジデバイス(セッションスマートルーターまたはSRXシリーズファイアウォール)を作成して設定します。これらは、支社/拠点やキャンパスにルーティング、スイッチング、SD-WAN機能を提供する物理デバイスです。

  • Mist WAN-Edgeで、WANエッジデバイスをサービスロケーションに接続するWANエッジトンネルを作成して設定します。これらは、Secure Edgeで検査する必要があるトラフィックに安全で信頼性の高いトランスポートを提供するIPsecトンネルです。

  • Mist Cloudで、WANエッジデバイスに対応するサイトまたはデバイスプロファイルにSecure Edgeトンネルを割り当てます。これにより、定義されたデータポリシーやその他の一致基準に基づいて、LANネットワークからSecure Edgeクラウドへのトラフィックステアリングが可能になります。

次の表のトピックでは、ジュニパー Mist™クラウドでSecure Edgeのクラウドベースのセキュリティを使用するために必要な概要情報を示しています。

表1:Secure Edge Connectorの設定ワークフロー
ステップ タスク 説明
1 Juniper Security Director Cloudにアクセスしてアクティブなサブスクリプションを確認する Juniper Security Director Cloudにアクセスし、組織アカウントに移動し、Secure Edgeサブスクリプションを確認します。サブスクリプションでは、導入向けにSecure Edgeサービスを設定できます。
2 Juniper Security Director Cloudでサービスロケーションを設定する

サービスロケーションを作成します。ここで、vSRXベースのVPNゲートウェイが、異なるネットワーク間のセキュアな接続を作成します。
3 Juniper Security Director Cloudでデバイス証明書を生成する ジュニパー Secure Edge のデジタル証明書を生成して、Secure Edge とユーザー エンドポイント間のセキュアな通信を確立します。
4 Juniper Security Director CloudでIPsecプロファイルを作成する IPsecプロファイルを作成して、ジュニパーネットワーク上のWANエッジデバイス間の通信のためのIPsecトンネルMist Secure Edgeインスタンスクラウド確立します。
5 Juniper Security Director Cloudでサイトを作成する WANエッジデバイス(セッションスマートルーターまたはSRXシリーズファイアウォール)をホストするサイトを作成します。デバイスからのトラフィックは、検査のためにセキュアなトンネルを介してSecure Edgeインスタンスに転送されます。
6 Juniper Security Director CloudにSecure Edgeポリシーを展開する サイトから発信されるトラフィック、またはサイトを宛先とするトラフィックに対するセキュリティルールとアクションを定義するポリシーを設定します。
7 Juniper Security Director Cloudに適用するIPsecトンネル設定パラメータを取得する サービスロケーションのIPまたはホスト名、IPsecプロファイル名、事前共有キーなどの詳細を書き留めます。ジュニパーMist側からIPsecトンネルを設定するには、これらの詳細が必要です。
8 Juniper Mist CloudポータルでSecure Edge Connectorを作成する ジュニパー Mist クラウドポータルで Secure Edge コネクタを作成します。このタスクでは、トンネルのMistクラウド側での設定を完了し、Mistが管理するWANエッジデバイスとSecure Edgeインスタンスの間にIPsecトンネルを確立します。
9 アプリケーションポリシーの変更 新規作成するか、既存のアプリケーションポリシーを変更し、一元的なアクセスのためにハブを経由するのではなく、Juniper Security Director Cloudを介してWANエッジデバイスからインターネットにトラフィックを送信します。
10 設定の確認 次で確立されたIPsecトンネルをチェックインして、設定が機能していることを確認します。
  • MistポータルのWANインサイト
  • Security Director Cloudダッシュボード
  • WANエッジデバイスCLI上のトンネルトラフィックフロー

始める前に

Juniper Security Director Cloudにアクセスしてアクティブなサブスクリプションを確認する

ジュニパー Secure Edgeのテナントは、Juniper Security Director CloudポータルにアクセスしてSecure Edgeサービスを管理するために作成する組織アカウントです。テナントは、一意の電子メールアドレスとサブスクリプションプランに関連付けられています。テナントは複数のサービスロケーションを持つことができます。これらは、組織のパブリッククラウドでホストされているvSRXベースのVPNゲートウェイです。

テナントは、エンドユーザーの接続ポイントとなる1つ以上のサービスロケーションを持つことができます。テナントを作成するには、Juniper Security Director Cloudのアカウントが必要です。詳細については、「 Secure Edgeテナントの作成 」を参照してください。

Juniper Security Director CloudポータルでSecure Edgeテナントを作成したら、ポータルにアクセスしてサブスクリプションを確認します。

Juniper Security Director Cloudにアクセスしてアクティブなサブスクリプションを確認するには:

  1. Juniper Security Director CloudへのURLを開きます。電子メールアドレスとパスワードを入力してログインし、Juniper Security Director Cloudポータルを使用します。
  2. ポータルの右上隅にある必要なテナントを選択して続行します。
  3. 管理>サブスクリプションを選択して、Juniper Security Directorクラウドサブスクリプションページにアクセスします。
  4. Secure Edge Subscriptionsセクションまでスクロールして、アクティブなサブスクリプションがあるかどうかを確認します。
    注:ジュニパーネットワークス®SRXシリーズファイアウォールを使用している場合でも、 SRX管理サブスクリプションタブをクリックする必要はありません。このタスクでは、WANエッジデバイスの管理にJuniper Security Director Cloudを使用しません。

    詳細については、「 サブスクリプションページについて」を参照してください。

    アクティブなサブスクリプションがあると仮定して、次の手順に進みます。

サービスロケーションの設定

Juniper Security Director Cloudのアクティブなライセンスがあることを確認したら、サービスの場所を設定します。このステップは、セッションスマートルーター用のSecure Edgeコネクタを設定する際の最初のメインタスクです。

Juniper Security Director Cloudのサービスロケーションは、POP(ポイントオブプレゼンス)とも呼ばれ、クラウドロケーション内のジュニパーセキュ®アエッジインスタンスを表します。サービスロケーションは、オンプレミスユーザーとローミングユーザー両方の接続(アクセス)ポイントです。

サービスロケーションとは、vSRXがパブリッククラウドサービスを使用して異なるネットワーク間の安全な接続を作成する場所です。パブリックIPアドレス(テナントおよびサービスロケーションごとに一意)は、以下の目的で使用されます。

  • 支社/拠点デバイスとJuniper Security Director Cloudの間にIPsecトンネルを設定します。

  • 宛先がインターネット上にある場合、トラフィックを一元的に分散します。

Juniper Security Director Cloudでサービスロケーションを設定するには:

  1. クラウドメニュー Juniper Security Director Secure Edge >サービスロケーションを選択します。

    サービスロケーションページが表示されます。

  2. 追加(+)アイコンをクリックして、新しいサービスロケーションを作成します。
    以下のフィールドの詳細を入力します。

    • 名前—サービスロケーションにわかりやすい名前を付けます。

    • ロケーション1—Secure Edgeのロケーション(PoP)を選択します。この場所が属する地理的地域は、PoPが属する地域として自動的に選択されます。

    • ロケーション2—Secure Edgeの2番目のロケーション(PoP)を選択します。この場所が属する地理的領域が自動的に選択されます。

    • サブスクリプション+ をクリックして新しいサブスクリプションを追加するか、既存のサブスクリプションから選択します。

    • ユーザー総数—このサービスロケーションでサービスを提供する必要のあるユーザーの合計数は、選択したサブスクリプションに基づいて自動的に設定されます。

  3. OKをクリックします。

    Security Director Cloudはサービスロケーションを作成し、それをサービスロケーションページに表示します。

    Secure Edgeインスタンスが完全に展開されるまで、サービスロケーションのステータスは進行 と表示されます。 この処理が完了するまでに少し時間がかかることがあります

    サービスロケーションを作成すると、テナントシステムのVPNゲートウェイとして2つのvSRXインスタンスの導入が開始されます。この導入では、vSRXインスタンスは他のテナントと共有されません。

Juniper Security Director Cloudでデバイス証明書を生成する

Juniper Security Director Cloudでサービスロケーションを設定したので、デバイス証明書を生成してネットワークトラフィックを保護します。

トランスポート層セキュリティ/セキュアソケット層(TLS/SSL)証明書を使用して、セキュアエッジデバイスとWANエッジデバイス間のセキュアな通信を確立します。SSLプロキシを使用するには、ネットワーク上のすべてのクライアントブラウザが、ジュニパーネットワークスおよびSRXシリーズファイアウォールで署名された証明書を信頼する必要があります。

Juniper Security Director Cloudでは、証明書を生成するために以下の選択肢があります。

  • 新しい証明書署名要求(CSR)を作成すると、独自の認証機関(CA)がCSRを使用して新しい証明書を生成できます。

  • ジュニパーネットワークスに証明書を作成してもらうオプションを選択します。

注:

このトピックでは、TLS/SSL証明書を生成する方法について説明します。証明書をインポートして使用する方法は、会社のクライアント管理要件によって異なり、このトピックの範囲外です。

Juniper Security Director Cloudでデバイス証明書を生成するには:

  1. セキュアエッジ>証明書管理を選択します。

    証明書管理ページが表示されます。

    生成リストから、新しい証明書署名要求(CSR)またはジュニパーが発行した証明書を生成できます。

  2. 関連するオプションを選択します。
    1. 会社に独自の CA があり、CSR を生成する場合は、[証明書署名要求] をクリックします。

      ジュニパーセキュアエッジがCSRを生成した後、CSRをダウンロードし、CAに送信して新しい証明書を生成します。生成されたら、 アップロード をクリックして、証明書管理ページに証明書をアップロードします。

    2. 会社に独自のCAがない場合は、ジュニパー発行証明書をクリックし、生成をクリックして証明書を生成します。ジュニパーネットワークスが証明書を生成し、システム上に保持します。
      このタスクでは、 ジュニパー発行証明書 を選択し、次のステップに進みます。
  3. 証明書の詳細を入力します。[共通名] フィールドで、証明書の完全修飾ドメイン名 (FQDN) を使用します。

    証明書管理ページが開き、証明書が正常に作成されたことを示すメッセージが表示されます。

  4. リストから証明書を選択し、ダウンロードをクリックして生成された証明書をダウンロードします。

    次のサンプルは、ダウンロードした証明書を示しています。

    証明書をシステムにダウンロードした後、クライアントブラウザに証明書を追加します。

Juniper Security Director CloudでIPsecプロファイルを作成する

証明書を生成してSecure EdgeデバイスとWANエッジデバイス間の安全な通信を確立したら、IPsecプロファイルを作成する準備が整います。

IPsecプロファイルは、ジュニパーMist™クラウドネットワーク上のWANエッジデバイスがSecure Edgeインスタンスと通信を開始したときにIPsecトンネルが確立されるパラメーターを定義します。

Juniper Security Director CloudでIPsecプロファイルを作成するには:

  1. Juniper Security Director Cloudポータルで、セキュアエッジ>IPsecプロファイルを選択します。
  2. 追加(+)アイコンをクリックして、IPsecプロファイルを作成します。
    IPsecプロファイルの作成ページが表示されます。
  3. プロファイル名にはdefault-ipsecを使用します。Internet Key Exchange(IKE)とIPsecのすべてのデフォルト値を保持します。現在、ジュニパー Mist クラウドポータルでは設定できません。

    このIPsecプロファイルを使用して、次のタスクでサイトを作成します。 サイトの作成 ページのトラフィックフォワーディングタブでトンネルタイプとしてIPsecを選択すると、IPsecプロファイルがアタッチされます。

ジュニパーセキュアエッジクラウドでサイトを作成する

これでIPsecプロファイルが作成されました。これらのプロファイルは、ジュニパー Mist™ クラウドネットワーク上のWANエッジデバイスとSecure Edgeインスタンス間のIPsecトンネルのパラメーターを定義します。

この時点で、Juniper Security Director Cloudにサイトを作成する必要があります。サイトは、WANエッジデバイスをホストする場所を表します。WANエッジデバイスからのトラフィックは、セキュアなトンネルを介してセキュアエッジインスタンスに転送され、セキュアエッジクラウドサービスによって検査および適用されます。

サイトのWANエッジデバイスから、GRE(汎用ルーティングカプセル化)またはIPsecトンネルを介して、顧客サイトからのインターネットバウンドトラフィックの一部または全部をジュニパーセキュアエッジクラウドに転送するように設定できます。

注:

支社/拠点でステートフルファイアウォールを使用する場合、重複する支社/拠点アドレスは、Secure Edge内の同じPOPにはサポートされません。これらの重複するIPへのリバースパストラフィックは、すべての接続で等価コストマルチパス(ECMP)を使用してルーティングされます。トラフィックは、トラフィック発信元のインターフェイスへのセッション単位のルーティングではなく、ECMPを使用してルーティングされます。サイトに保護されたネットワークを設定するときは、ECMPを介したリバースパストラフィックを検討してください。

Juniper Security Director Cloudでサイトを作成するには:

  1. Juniper Security Directorクラウドポータルで、セキュアエッジ>サービスサイトを選択します。
  2. プラス(+)アイコンをクリックしてサイトを作成します。
  3. 設定を入力します。

    サービスロケーション:

    • サービスロケーションAのロケーションを選択します(これは、オンプレミスサイトの接続先となる主要なロケーションである必要があります。これは、以前に設定した場所の1つです)。

    • サービスロケーションBのロケーションを選択します(これは、オンプレミスサイトの接続先となるセカンダリロケーションである必要があります。これは、以前に設定した場所の1つです)。

    • サイトでネットワークを使用できるユーザー数を選択します。

      サイトの詳細:

    • 一意のサイト名と説明を入力します。

    • サイトがあるリストから対応する国を選択します。

    • (オプション)顧客支店がある郵便番号を入力します。

    • (オプション)サイトの場所(番地)を入力します。

    • 保護されたネットワークフィールドで、追加(+)アイコンをクリックして、トンネルを通過するトラフィックフローに使用するインターフェイスのプライベートIPアドレス範囲を追加します。

    この例では、ジュニパー Secure Edge Cloud内のサイトを示しています。

    この表に詳細情報を示します。

    表2:サイト作成の詳細
    フィールド
    サービスロケーションA 北米(オハイオ州1)
    サービスロケーションB 北米(オハイオ州2)
    ユーザー数 30
    名前 スポーク1サイト
    国名 米国
    保護されたネットワーク 10.99.99.0/24(LANネットワーク)
  4. 次へをクリックします。
  5. トラフィックフ ォワーディングページで、設定を入力します。次に、チェックマークをクリックします。
    表3:トラフィックフォワーディングポリシーのインターフェイスの詳細
    フィールド
    CPE名 CPEデバイスの名前など、わかりやすい名前を入力します。
    インターフェース名 インターフェイスの名前を選択します。
    トンネルタイプ IPsec
    IPアドレスの種類 動的 IP アドレス。

    静的IPアドレスタイプの場合
    IKE ID site1@example.com(メールアドレスに似ており、サイトごとに一意の値である必要があります)。
    外部インターフェース 外部インターフェース名を入力します。外部インターフェイスがデバイスをインターネット/ネットワークに接続します。ge-0/0/0.0 がデフォルト値です。
  6. IPsecプロファイル名を選択し、事前共有キーを入力してリモートアクセスユーザーを認証します。次に、[OK] をクリックします。
    表4:トラフィックフォワーディングポリシーの追加詳細
    フィールド
    IPsecプロファイル名 デフォルト-ipsec

    IPsecプロファイルが事前設定されていない場合は、[新規作成]をクリックしてIPsecプロファイルを作成します。
    事前共有キー

    サイトごとに固有のPSKを定義します。例:ジュニパー!1
  7. 次へをクリックします。
  8. CPE設定ページで、前の手順で作成したCPEを選択し、右上の鉛筆をクリックします。

    表5:トラフィックフォワーディングポリシーのためのCPE設定
    フィールド
    CPE名 これは、以前に設定したものに基づいてデフォルト設定されます。
    インターフェイス これは、以前に設定したものに基づいてデフォルト設定されます。
    IPsecプロファイル名 デフォルトは、以前に設定したものに基づいています。
    事前共有キー

    これは、以前に設定したものに基づいてデフォルト設定されます。
    プライマリサービスロケーション リストから、サイトCPEデバイスからジュニパーセキュアエッジに送信されたトラフィックを主に処理するサービスロケーションを選択します。
    トンネルシード 1〜1000のトンネルシード番号を入力します。この番号が、Junos OS CLI トンネル インターフェイス識別子を決定します。デフォルトは 1 です。
    トンネルセキュリティゾーン 信頼または信頼できないトンネルゾーンのタイプを入力します。信頼がデフォルトです。
    外部インターフェースゾーン 信頼できるまたは信頼できない外部インターフェイスのゾーンタイプを入力します。信頼できないことがデフォルトです。
    トンネルルーティングインスタンス トンネルの宛先アドレスを含むルーティングインスタンスを入力します。設定にルーティングインスタンスがない場合、このフィールドを空白のままにします。
  9. チェックマークをクリックし、[次へ]をクリックします。
  10. 概要ページで、設定を確認します。
  11. るをクリックしてフィールドを編集するか、完了をクリックして新しいサイトを作成します。
  12. 同じ手順で、さらに2つのサイトを追加します。次の段落は、各サイトに含める詳細の例を示しています。
    1. 2 つ目のサイトを作成します。以下に示す詳細の例を参考にしてください。
      表6:2番目のサイトのサイト作成
      フィールド
      サービスロケーションA JSEC-オレゴン
      サービスロケーションB JSEC-オレゴン
      ユーザー数 10
      名前 スポーク2サイト
      国名 ドイツ
      保護されたネットワーク 10.88.88.0/24(LANネットワーク)
      表7:2番目のサイトのトラフィックフォワーディング
      フィールド
      トンネルタイプ IPsec
      IPアドレスの種類 動的
      IKE ID site2@example.com(メールアドレスに似ており、サイトごとに一意の値である必要があります)。
    2. 3 つ目のサイトを作成します。以下に示す詳細の例を参考にしてください。
      表 8: 3 番目のサイトの作成: サイトの詳細
      フィールド
      サービスロケーションA JSEC-オレゴン
      サービスロケーションB JSEC-オハイオ州
      ユーザー数 10
      名前 スポーク3サイト
      国名 ドイツ
      保護されたネットワーク 10.77.77.0/24(LANネットワーク)
      表9:3つ目のサイトを作成する: トラフィックフォワーディングの詳細
      フィールド
      トンネルタイプ IPsec
      IPアドレスの種類 動的IPアドレス
      IKE ID site3@example.com(メールアドレスに似ており、サイトごとに一意の値である必要があります)。
  13. 作成したサイトのリストが表示された概要ページを確認します。誤った入力があれば修正します。

Juniper Security Director CloudにSecure Edgeポリシーを展開する

Juniper Security Director Cloudにサイトを作成したので、次は1つ以上のジュニパー® Secure Edgeポリシーを展開します。

Secure Edgeポリシーは、ネットワークがトラフィックをルーティングする方法を指定します。デフォルトでは、新しいテナントを作成すると、Security Director Cloudは事前定義されたルールを含むSecure Edgeポリシールールセットを作成します。

注:

デフォルトのルールセットを変更しない場合でも、 展開オプションを使用して サービスロケーションでルールを読み込む必要があります。

Juniper Security Director CloudにSecure Edgeポリシーを展開するには:

  1. Juniper Security Director Cloudポータルで、Secure Edge>Secure Edgeポリシーをクリックします。

    デフォルトのルールが記載されたSecure Edgeポリシーページが表示されます。デバッグを改善するために、デフォルトのセキュリティポリシーセットを変更します。デフォルトのルールセットでは、外部(インターネット)へのICMP pingが許可されていないため、クラウドを介して何かにpingすることはできません。

  2. 追加(+)アイコンをクリックしてルールを作成するか、既存のルールを選択して鉛筆アイコンをクリックしてルールを編集します。
  3. 新しいルールにルール=Allow-ICMPを付けます。
  4. 追加 (+)をクリックしてソースを追加します。
    [ソース] で、次のデフォルト値を使用します。

    • アドレス=すべて

    • ユーザーグループ=すべて

  5. 宛先を追加するには、追加(+)をクリックします。
    先でアドレスには、デフォルト値の=Anyを使用します。
  6. アプリケーション/サービスで、以下の値を設定します。

    • アプリケーション=すべて

    • サービス=特定(検索経由)

    • 特定のサービス=icmp-all

    右矢印(>)を使用して、 特定のservice=icmp-all を右側のペインに移動してアクティブにしてから 、OKをクリックします。

  7. アクション=許可を設定し、残りのフィールドはデフォルト値のままにします。
  8. チェックマークをクリックします。

    新しいルールはルールリストの一番下に配置され、このルールはルールセットの最後のルールとして扱われます。ルールがグローバルルール(すべてのトラフィックを拒否する)の後に配置された場合、グローバルルールがそれ以降のトラフィックをすべて停止するため、ルールは適用されません。

    必要に応じて、ルールを選択してルールの位置を変更できます。次に、[ More > Move > Move Top ] オプションを使用して、選択したルールをルール セットの先頭に移動します。ルールをルールセットの先頭に移動すると、システムが最初にこのルールを適用するようになります。

    注:

    ルールセットを変更するときは必ず、 展開 ボタンを使用してタスクを完了してください。それ以外の場合、サービスロケーションは引き続き古いルールセットを使用します。

  9. 展開をクリックします
  10. 表示 される [展開] ウィンドウで、[ 今すぐ実行 ] オプションをオンにし、[ OK] をクリックします。

    サービスロケーションは、数分後に更新されたルールセットを取得します。

  11. 管理>ジョブを選択して、展開されたジョブのステータスと進行状況を表示します。

Juniper Security Director Cloudに適用するIPsecトンネル設定パラメータを取得する

前述のタスクでは、Secure EdgeでIPsecトンネルを設定するためのいくつかのアクションを完了しジュニパー Juniper Security Director CloudにSecure Edgeポリシーを展開しました。Security Director Cloudの最後のステップは、各サイトの構成データを収集することです。これらの詳細は、IPsecトンネルを設定するためのジュニパー MistクラウドでSecure Edgeコネクタの設定(ジュニパー Mist™ポータルでSecure Edgeコネクタを作成)を完了するために必要です。このステップでは、作成したサイトの詳細をメモします。

注:

Juniper Security Director Cloudとジュニパーの間で同期するための自動設定プッシュMistクラウドオプションは使用できません。

Juniper Security Director Cloudに適用するIPsecトンネル設定パラメーターを取得するには:

  1. Juniper Security Director Cloudポータルで、セキュアエッジ>サービスサイトを選択します。
    サイトページが開き、展開されたサイトの詳細が表示されます。
  2. 各スポークサイトを展開し、トンネル設定の下にある表示をクリックします。詳細については、設定概要タブを確認してください。

    ジュニパーMistポータルの「Secure Edgeコネクタの作成」で使用する以下の詳細をメモします。

    • 事前共有キー

    • ローカルID

    • 各サービスロケーショントンネルのIPアドレスとリモートID

    次のサンプルは、「 ジュニパー Secure Edge Cloud でサイトを作成」で作成した 3 つのサイトすべての抽出された情報を示しています。

    以下のサンプルは、サイト 2 の情報を抽出したものです。

    以下のサンプルは、サイト 3 の情報を抽出したものです。

    これらのサイトの詳細は、Mist クラウドポータルでトンネルを設定するときに必要になります。

ジュニパー MistポータルでSecure Edge Connectorを作成する

ジュニパーMist™でセッションスマートルーターまたはSRXシリーズファイアウォール用のSecure Edgeコネクタを設定するという最終目標のほぼ半分まで進みました。

Secure Edgeコネクタは、ジュニパーMistポータルで作成します。このタスクでは、トンネルのMist クラウド側での設定を完了し、Mistが管理するWANエッジデバイスとSecurity Director Cloudの間にIPsecトンネルを確立します。コネクタを作成する前に、サイトに WAN エッジ デバイスが展開されていることを確認します。

ジュニパー MistポータルでSecure Edgeコネクタを作成するには:

  1. 左側のメニューから、[WAN Edges]> [WAN Edges]をクリックします。

    WANエッジページには、サイトの詳細が表示されます。

  2. デバイスをクリックし、Secure Edge Connectorsまで下にスクロールします。
  3. Secure Edge Connectorsペインで、プロバイダーの追加をクリックします。
  4. Secure Edgeコネクタの詳細を入力します。
    注:

    これらは、「 クラウドに適用するIPsecトンネル設定パラメータの取得」で収集した詳細と同じJuniper Security Directorことに注意してください。

    表10:Secure Edge Connectorの詳細
    フィールド
    名前 サイト1からSDクラウドへ
    プロバイダー ジュニパーセキュアエッジ
    ローカルID site1@example.com
    事前共有キー ジュニパー!1(例)
    プライマリ
    IPまたはホスト名 <IPアドレス>(Juniper Security Director Cloud トンネル設定から)
    プローブIP -
    リモートID <UUID>.jsec-gen.juniper.net(Juniper Security Director Cloud トンネル設定から)
    WANインターフェイス

    • WAN0=INET

    • WAN1=MPLS
    セカンダリ
    IPまたはホスト名 <IPアドレス>(Juniper Security Director Cloud トンネル設定から)
    プローブIP -
    リモートID <UUID>.jsec-gen.juniper.net(Juniper Security Director Cloud トンネル設定から)
    WANインターフェイス

    • WAN0=INET

    • WAN1=MPLS
    モード アクティブ/スタンバイ
    注:

    プローブIP値を入力する必要はありません。IPsecトンネルは、GREのような追加の監視を必要としません。
    注:

    セッションスマートルーターベースのSecure Edge設定でICMP プローブIPを有効にし ないでください。ICMPプローブは、ルーティング不可能なIPアドレスからSecure Edgeに送信され、ポリシーにより破棄されます。また、送信元アドレスがすべてのブランチで重複している場合、プローブIPアドレスを持つ複数のブランチへのルーティングはサポートされません。
    注:

    テキスト、アプリケーション、電子メールの説明が自動的に生成されます。
  5. Mistポータルに、設定したばかりのSecure Edgeコネクタが表示されていることを確認します。
  6. WAN エッジ テンプレートまたは WAN エッジ デバイスに新しいトラフィック ステアリング パスを追加します。
    表11:トラフィックステアリングパス設定
    フィールド
    名前 クラウド
    戦略 注文済み
    パス パスを追加
    タイプ セキュアエッジコネクタ
    プロバイダー ジュニパー セキュア エッジ(IPsec のみ)
    名前 サイト1からSDクラウドへ
  7. 青いチェックマークをクリックし、追加をクリックしてトラフィックステアリングを保存します。

アプリケーションポリシーの変更

ジュニパー Mist™ クラウドポータルでSecure Edgeコネクタを作成したら、次のステップはブランチデバイス上のアプリケーションポリシーを変更することです。例えば、スポークデバイスからハブデバイスへのトラフィックを許可できます。VPNトンネル内のスポークデバイスから別のスポークデバイスへのトラフィックを許可することもできます。その後、中央ブレイクアウトのためにスポークからハブにトラフィックを送信する代わりに、スポークからJuniper Security Director Cloudを介してインターネットにトラフィックを送信できます。

以下の手順を使用して、設定が機能していることを確認します。

  1. WANエッジテンプレートまたはWANエッジデバイスページでアプリケーションポリシーを追加または編集します。
  2. 変更するポリシーを選択し、変更を適用します。

    WANエッジデバイスページからポリシーを作成する場合は、要件に応じて テンプレート設定の上書き オプションを選択する必要がある場合があります。

    • アプリケーションポリシーには、前の手順で作成したトラフィックステアリングを含めることができます。この例では、最後のルール(Internet-via-Cloud-CBO)の トラフィックステアリングクラウド に変更します。

  3. 変更を保存します。
    この時点で、ジュニパー Mist クラウドは、Juniper Security Director Cloudへの新しいトンネルを構築します。

設定の確認

アプリケーションポリシーを変更したら、構成が期待どおりに機能していることを確認します。目的の設定を保存すると、ジュニパー Mistクラウドが、インターネットバウンドのトラフィックを中央ブレイクアウト用のハブにルーティングするのではなく、スポークからJuniper Security Director Cloudにルーティングしているかどうかを確認できます。

設定を確認するには:

  1. (オプション)環境によっては、CLIでJuniper Security Director CloudへのIPsecトンネルの通信を確認できます。

    • 左側のメニューから WAN Edge >WAN Edge を選択して、確立されたトンネルの詳細を確認し、WAN Edge デバイスをクリックし、最後に WAN Edge インサイトをクリックします。WANエッジイベントの下にWANエッジトンネルイベントが表示されていることを確認します。

    • トンネル ステータスおよびその他の詳細を表示するには、 WAN Edge > WAN Edge に移動します。WAN Edgeデバイスを選択し、 Secure Edge Connector の詳細セクションまで下にスクロールします。

    • 確立されたトンネルは、Juniper Security Director Cloudダッシュボードとサービスロケーションでも確認できます。

  2. ブランチデバイスに接続されたVMデスクトップを使用して、新しいトラフィックフローを確認します。インターネットへのpingを使用してトラフィックフローを検証できます。
    注:

    WAN EdgeデバイスとジュニパーSecure Edgeサービスロケーションの間の物理的な距離によっては、遅延が発生する場合があります。
  3. VMデスクトップでブラウザを開き、https://whatismyipaddress.com/ に移動すると、サービスロケーションからインターネットに向けてジュニパー Mistネットワークトラフィックをルーティングするために使用される送信元IPアドレスの詳細が表示されます。

    この例では、プライマリサービスロケーションからのトラフィックを示しています。

    この例では、セカンダリサービスロケーションからのトラフィックを示しています。

    サービスロケーションの2つのIPアドレスのうちの1つはパブリックIPアドレスであり、次の2つの目的を果たします。

    • IPsecトンネルを終端します

    • Juniper Security Director Cloudを介して、支社/拠点デバイスからインターネットにトラフィックをルーティング

    これと同じパブリックIPアドレスを、Juniper Security Director Cloudを使用してサービスロケーションへの確立されたトンネルを示すパケットキャプチャで確認できます。 「設定の確認」を参照してください。

    Juniper Security Director CloudのサービスロケーションはPOPとも呼ばれ、クラウドロケーションのジュニパー® Secure Edgeインスタンスを表すことに注意してください。サービスロケーションは、オンプレミスユーザーとローミングユーザー両方の接続(アクセス)ポイントです。