項目一覧

ハブプロファイルの設定
ハブプロファイルでのLANの設定
トラフィックステアリング・ポリシーの構成
アプリケーションポリシーの設定
既存のハブプロファイルを複製して 2 番目のハブプロファイルを作成する
ハブツーハブオーバーレイ

SRXシリーズファイアウォールのハブプロファイルを設定する

次の手順に従って、ハブプロファイルを設定します。

Juniper Mist™クラウドトポロジーの各ハブデバイスには、独自のプロファイルが必要です。ハブプロファイルは、オーバーレイを作成し、Juniper WAN Assuranceでそのオーバーレイ上の各WANリンクにパスを割り当てる便利な方法です。

ハブプロファイルと WAN エッジテンプレートの違いは、ハブサイトにある個々のデバイスにハブプロファイルを適用することです。また、WAN エッジテンプレートは、複数のデバイスを持つスポークサイトにバインドされ、複数のサイトで同じテンプレートにバインドされます。すべてのハブWANインターフェイスは、スポークのオーバーレイエンドポイントを作成します。スポーク WAN インターフェイスは、適切なハブ WAN インターフェイスをマッピングし、トポロジーを定義します。ハブプロファイルは、オーバーレイ上のパスの追加と削除を駆動します。

ジュニパーネットワーク®スSRXシリーズファイアウォールのハブプロファイルを作成すると、MistクラウドがSSL証明書を自動的に生成してインストールします。また、フェイルオーバー検出用のWANアップリンクプローブもセットアップします。

このタスクでは、ハブ・プロファイルを作成し、同じプロファイルをクローニングして、Juniper Mistクラウド・ポータルに2つ目のハブ・プロファイルを作成します。

ハブプロファイルの設定

ハブプロファイルは、特定のハブデバイスに関連する属性のセットで構成されます。ハブプロファイルには、名前、LAN、WAN、トラフィックステアリング、アプリケーションポリシー、ルーティングオプションが含まれます。ハブプロファイルをハブデバイスに割り当てると、ハブプロファイルがサイトに読み込まれた後、サイトに割り当てられたデバイスがそのハブプロファイルの属性を取得します。

ハブプロファイルを設定するには:

Juniper Mistクラウドポータルで、組織>WAN> ハブプロファイルをクリックします。
既存のプロファイルがある場合は、そのリストが表示されます。
右上の[プロファイルの作成]をクリックします。

手記：
[ プロファイルのインポート ] オプションを使用して JavaScript Object Notation (JSON ファイル) をインポートして、ハブプロファイルを作成することもできます。

プロファイルの名前を入力し、「作成」をクリックします。

表 1 は、ハブプロファイルで設定できるオプションをまとめたものです。

表 1:ハブプロファイルオプション
フィールド	の説明
名前	プロファイル名。プロファイルの一意の名前を入力します。プロファイル名は最大 64 文字です。例:hub1。
NTP	Network Time Protocol(NTP)サーバーのIPアドレスまたはホスト名。NTPを使用すると、ネットワークデバイスは、インターネット上の中央ソースクロックとクロックを同期できます。
対象デバイス	ハブプロファイルを関連付けるサイト。ドロップダウンメニューには、現在のサイトのインベントリで使用可能なWANエッジデバイスのリストが表示されます。
ハブグループ	ハブグループ識別子(番号)を指定して、ハブグループを設定します。ハブグループは、ハブデバイスを論理的にグループ化するために使用されます。ハブグループは、ハブアーキテクチャを水平方向にスケーリングするのに役立ちます。一連のデバイスをハブグループに割り当てることで、スポークはグループ内のハブエンドポイントへのオーバーレイパスを形成できます。各ハブグループは、31 個のハブエンドポイントに制限されます。
DNS設定	ドメイン生成アルゴリズム(DNS)サーバーのIPアドレスまたはホスト名。ネットワークデバイスは、DNS名サーバーを使用してホスト名をIPアドレスに解決します。
Secure Edge コネクタ	Secure Edgeコネクタの詳細。Secure Edgeは、Juniper Mistクラウドポータルが管理するWANエッジデバイスのトラフィック検査を実施します。
WAN	WAN インターフェイスの詳細。ハブプロファイルは、これらの詳細を使用して、スポークのオーバーレイエンドポイントを作成します。各 WAN リンクに対して、物理インターフェイス、WAN のタイプ(イーサネットまたは DSL)、IP 構成、およびインターフェイスのオーバーレイハブエンドポイントを定義できます。ハブプロファイルへのWANインターフェイスの追加を参照してください。
LAN	LAN インターフェイスの詳細。このセクションでは、ハブを LAN セグメントに接続する LAN インターフェイスのハブ側を示します。ネットワークを割り当て、VLANを作成し、IPアドレスとDHCPオプション(なし、リレー、またはサーバー)を設定します。ハブプロファイルでの LAN の設定を参照してください。
トラフィックステアリング	ステアリングパス。トラフィックが宛先に到達するまでに利用できるさまざまなパスを定義します。トラフィック・ステアリング・ポリシーには、トラフィックが通過するパスと、それらのパスを利用するための戦略を含めることができます。トラフィックステアリング・ポリシーの構成を参照してください。
アプリケーションポリシー	トラフィックのルールを適用するためのポリシー。ネットワーク(ソース)、アプリケーション(宛先)、トラフィック・ステアリング・ポリシー、ポリシー・アクションを定義します。「アプリケーションポリシーの設定」を参照してください。
ルーティング	ハブとスポーク間のトラフィックをルーティングするためのルーティングオプション。ルートが動的に学習される BGP(境界ゲートウェイプロトコル)アンダーレイルーティングを有効にしたり、スタティックルーティングを使用して手動でルートを定義することができます。見る
CLI設定	CLI コンフィギュレーションコマンド。テンプレートの GUI にない設定を行いたい場合は、設定した形式の CLI コマンドを使用して設定できます。

「保存」をクリックします。

ハブプロファイルにWANインターフェイスを追加

ハブプロファイルのWANインターフェイスを作成します。WAN インターフェイスは、SD-WAN を介した接続になります。ハブプロファイルは、各WANインターフェイスのオーバーレイエンドポイントを自動的に作成します。オーバーレイハブエンドポイントは、ハブエンドポイントについてスポーク (ブランチ) に通知する場所です。

WANインターフェイスをハブプロファイルに追加するには、次の手順を実行します。

[WAN] セクションまで下にスクロールし、[WAN の追加] をクリックして [WAN 設定の追加] ペインを開きます。

表 2 に記載されている詳細に従って、設定を完了します。

表 2:WAN インターフェイスの設定
フィールド	WAN インターフェイス 1	WAN インターフェイス 2
名前 (テクノロジーではなくラベル)	INET	MPLS
オーバーレイハブエンドポイント (自動生成)	ハブ1-INET	ハブ1-MPLS
WANタイプ	イーサネット	イーサネット
インターフェイス	ge-0/0/0	ge-0/0/1
VLAN ID	-	-
IP アドレス	{{WAN0_PFX}}.254	{{WAN1_PFX}}.254
プレフィックス長(Prefix Length)	24	24
ゲートウェイ	{{WAN0_PFX}}.1	{{WAN1_PFX}}.1
ソースNAT	インターフェイスを確認します。	インターフェイスを確認します。
パブリック IP のオーバーライド	[パブリック IP] の [オーバーライド] をオンにします。 Provide Public IP={{WAN0_PUBIP} }	[パブリック IP] の [オーバーライド] をオンにします。 Provide Public IP={{WAN1_PUBIP} }
パブリックIP	{{WAN0_PUBIP}}	{{WAN1_PUBIP}}

手記：

WAN アドレスがパブリックにルーティング可能なアドレスでない限り、パブリック IP アドレスのアドバタイズと共にネットワークアドレス変換 (NAT) を使用します。

「保存」をクリックします

図 1 は、作成した WAN インターフェイスの一覧を示しています。

図 1:設定されたWANインターフェイス

ハブプロファイルでのLANの設定

LANインターフェイスのハブ側は、ハブデバイスをLANセグメントに接続します。

ハブプロファイルページの [LAN] セクションでは、IP アドレス、DHCP、カスタム VR、LAN インターフェイスなどの設定を構成できます。ハブプロファイルの LAN 構成オプションは、WAN Edge テンプレートの LAN 構成オプションと同じです。「LANの設定」に記載されている手順は、ハブプロファイルでのLANの設定にも適用されます。

LAN インターフェイスの設定値の例については、表 3 を参照してください。

表 3:LANインターフェイス設定
フィールド	LANインターフェイス
ネットワーク	HUB1-LAN1(ドロップダウンリストから選択した既存のネットワーク)
インターフェイス	ge-0/0/4
IP アドレス	{{HUB1_LAN1_PFX}}.1
プレフィックス長(Prefix Length)	24
タグなしVLAN	いいえ
DHCP	いいえ

トラフィックステアリング・ポリシーの構成

トラフィック・ステアリングでは、アプリケーション・トラフィックがネットワークを横断する際に使用できるさまざまなパスを定義します。トラフィック・ステアリング内で構成するパスによって、宛先ゾーンが決まります。トラフィック・ステアリング・ポリシーでは、トラフィックが通過するパスと、それらのパスを利用するための戦略を定義する必要があります。戦略には以下が含まれます。

順序指定:指定されたパスで開始し、必要に応じてバックアップパスにフェイルオーバーします。
[加重(Weighted)]:入力したコストによって決定される加重バイアスに従って、リンク間でトラフィックを分散します
等コストマルチパス—複数のパスでトラフィックを均等に負荷分散します

ハブプロファイルをデバイスに適用すると、トラフィックステアリングポリシーによって、オーバーレイ、WANおよびLANインターフェイス、ポリシーの順序、ECMP(等コストマルチパス)の使用が決定されます。また、このポリシーは、インターフェイスまたはインターフェイスの組み合わせがどのように相互作用してトラフィックを誘導するかも決定します。

トラフィック・ステアリング・ポリシーの構成手順は、次のとおりです。

[Traffic Steering] セクションまで下にスクロールし、[Add Traffic Steering] をクリックして [Traffic Steering] 構成ペインを表示します。

表 4 に示す詳細に従って、オーバーレイ用、アンダーレイ用、中央ブレークアウト用の 3 つのトラフィックステアリングポリシーを設定します。

表 4: トラフィックステアリングポリシーの構成
フィールド	・トラフィック・ステアリング・ポリシー1	トラフィック・ステアリング・ポリシー2	トラフィック・ステアリング・ポリシー3
名前	アンダーレイ(HUB-LAN)	オーバーレイ	中央ブレイクアウト
戦略	注文	ECMP	注文
パスパスタイプでは、既存のLANおよびWANネットワークがエンドポイントとして選択可能になります。	タイプ:LAN ネットワーク —HUB1-LAN1	タイプ - WAN ネットワーク —hub1-INETおよびhub1-MPLS	タイプ - WAN ネットワーク —WAN:INET および WAN:MPLS

図 2 は、作成したトラフィック・ステアリング・ポリシーのリストを示しています。

図2: トラフィックステアリングポリシー

アプリケーションポリシーの設定

アプリケーション・ポリシーでは、どのネットワークとユーザーがどのアプリケーションにアクセスできるかを、どのトラフィック・ステアリング・ポリシーに従って定義します。[Networks/Users] の設定によって、送信元ゾーンが決まります。[アプリケーション(Applications)] および [トラフィックステアリング(Traffic Steering)] パスの設定によって、宛先ゾーンが決定されます。さらに、許可または拒否のポリシーアクションを割り当てて、トラフィックを許可またはブロックできます。Mist は、ポータルに一覧表示された順序でアプリケーションポリシーを評価して適用します。上向き矢印と下向き矢印を使用して、ポリシーの順序を変更できます。

図 3 は、このタスクのさまざまなトラフィック方向の要件を示しています。この図は、企業 VPN 設定の基本的な初期トラフィックモデルを示しています(3 番目のスポークデバイスと 2 番目のハブデバイスは示されていません)。

図 3: トラフィック方向トポロジー Traffic-Direction Topology

このタスクでは、トラフィックを許可する次のアプリケーションルールを作成します。

ルール 1:スポークサイトからのトラフィックがハブ(およびハブデバイスに接続されている DMZ 内のサーバー)に到達することを許可します。
ルール 2:ハブに接続された DMZ 内のサーバからのトラフィックがスポークデバイスに到達することを許可します。
ルール 3:スポークデバイスからのトラフィックが、ハブデバイスを介してスポークデバイスのヘアピニングに到達することを許可します
ルール 4:ハブデバイスからインターネットへのインターネット向けトラフィックを許可します(ローカルブレークアウト)。このルールでは、宛先を IP アドレス 0.0.0.0/0 の「Any」として定義します。トラフィックは、SNAT が適用された WAN アンダーレイインターフェイスを使用して、ローカルブレークアウトとしてインターネット上の IP アドレスに到達します。
手記：
同じ宛先名と IP アドレス 0.0.0.0/0 を持つルールを作成することは避けてください。必要に応じて、IP アドレス 0.0.0.0/0 を使用して、異なる名前で宛先を作成します。
スポークデバイスからインターネットに直接(ハブデバイスを経由しない)。このルールでは、宛先を IP アドレス 0.0.0.0/0 の「Any」として定義します。トラフィックは、SNAT が適用された WAN アンダーレイインターフェイスを使用して、ローカルブレークアウトとしてインターネット上の IP アドレスに到達します。この方法では、すべてのスポークデバイスのハブに中央のブレークアウトを実装します。

アプリケーションポリシーを設定するには、次の手順に従います。

「アプリケーション・ポリシー」セクションまで下にスクロールし、「ポリシーの追加」をクリックして、ポリシー・リストに新しいルールを作成します。
手記：
- SRXシリーズファイアウォールでは、トラフィックステアリングポリシーをアプリケーションポリシーに関連付ける必要があります。
- ポリシーリスト内のアプリケーションポリシーの順序は、SRXシリーズファイアウォールにとって非常に重要です。
[名前] 列をクリックしてポリシーに名前を付け、青いチェックマークをクリックして変更を適用します。

図 4: 新しいアプリケーションポリシーの追加

表 5 に示す詳細に従ってアプリケーション・ルールを作成します。

表 5: アプリケーションポリシールールの設定
いいえ。(政策命令)	ルール名	ネットワーク	・アクション	・デスティネーション	・ステアリング
1	スポークツーハブDMZ	すべての。スポーク-LAN1	通る	ハブ1-LAN1	ハブLAN
2	ハブDMZツースポーク	ハブ1-LAN1	通る	スポーク-LAN1	オーバーレイ
3	スポークツースポークオンハブヘアピン	すべての。スポーク-LAN1	通る	スポーク-LAN1	オーバーレイ
4	ハブDMZからインターネットへ	ハブ1-LAN1	通る	任意	LBO
5	スポークトラフィックCBOオンハブ	すべての。スポーク-LAN1	通る	任意	LBO

図 5 に、作成したアプリケーションポリシーの一覧を示します。

図 5: アプリケーションポリシーの概要 Application Policy Summary

上の図では、緑色のカウンターマークは、図 3 のトラフィック要件に対して作成したポリシーを示しています。

デバッグとデバイス接続の確認のためのICMPPINGを許可します。
SRXシリーズファイアウォールのデフォルトのセキュリティ設定では、LANデバイスからWANエッジルーターのローカルインターフェイスへのICMP pingは許可されません。デバイスが外部ネットワークへの接続を試みる前に、接続のテストが必要な場合があります。デバッグとデバイス接続の確認のためにICMP pingを許可します。

SRXシリーズファイアウォールでは、次のCLI設定ステートメントを使用して、デバッグ用のローカルLANインターフェイスへのpingを許可できます。

既存のハブプロファイルを複製して 2 番目のハブプロファイルを作成する

ハブデバイスは、ネットワーク全体で一意のものです。ハブデバイスごとに個別のプロファイルを作成する必要があります。™ Juniper Mistでは、既存のプロファイルを複製し、必要に応じて変更を適用することで、ハブプロファイルを作成できます。

既存のハブプロファイルを複製して 2 番目のハブプロファイルを作成するには、次の手順を実行します。

Juniper Mistクラウドポータルで、組織>WAN> ハブプロファイルをクリックします。
既存のハブプロファイルがある場合は、そのリストが表示されます。
複製するハブプロファイル (例: hub1) をクリックします。選択したハブプロファイルのプロファイルページが開きます。
画面の右上隅にある [その他] をクリックし、[複製] を選択します。

図 6: [複製] オプションを使用して新しいハブプロファイルを作成する
新しいプロファイルに名前を付け (例: hub2)、[複製] をクリックします。

プロファイルの命名中にエラーが表示された場合は、ブラウザーを更新してください。
プロファイルの構成を開始します。元のハブプロファイルを作成するときに変数を使用したため、最初からすべてのオプションを構成する必要はありません。HUB2の詳細を反映するために、必要な設定のみを変更する必要があります。たとえば、[ネットワーク] を「HUB2-LAN1」に変更し、IP アドレスを「{{HUB2_LAN1_PFX}}.1」に変更します。

図 7: 複製されたプロファイルの編集
LAN インターフェイスを HUB2 を含むように変更します。例: HUB2-LAN1 と {{HUB2_LAN1_PFX}}.1
hub2プロファイルの詳細を反映するように構成内の変数が変更されたことを確認します。例:オーバーレイ定義がhub2-INETおよびhub2-MPLSに変更されました。

図8: 更新されたトラフィックステアリングポリシー
[ TRAFFIC STEERING] ペインまで下にスクロールし、エントリを編集して [ Paths to LAN: HUB2-LAN1] を変更します。

図9: トラフィックステアリングポリシーの更新パス

表 6 に記載されている詳細に従って、アプリケーションルールを更新します。たとえば、該当する場合は、HUB1-LAN を HUB2-LAN に変更します。

表 6: アプリケーションルールの設定
S.No。	ルール名	ネットワーク	・アクション	・デスティネーション	・ステアリング
1	スポークツーハブDMZ	すべての。スポーク-LAN1	通る	ハブ2-LAN1	ハブLAN
2	ハブDMZツースポーク	ハブ2-LAN1	通る	スポーク-LAN1	オーバーレイ
3	スポークツースポークオンハブヘアピン	すべての。スポーク-LAN1	通る	スポーク-LAN1	オーバーレイ
4	ハブDMZからインターネットへ	ハブ2-LAN1	通る	任意	LBO
5	スポークトラフィックCBOオンハブ	すべての。スポーク-LAN1	通る	任意	LBO

図 10 は、変更を保存した後に更新されたアプリケーションポリシーの詳細を示しています。

図 10: 更新されたアプリケーションポリシーの概要 Updated Application Policy Summary

ハブツーハブオーバーレイ

ハブツーハブオーバーレイ機能により、2つのハブデバイス間にピアパスを形成できます。サイトから送信されるデータセンタートラフィックの優先ルートとして、ハブツーハブのオーバーレイパスを利用できます。さらに、これらのハブツーハブオーバーレイは、ハブツースポーク接続を含むシナリオのフェールオーバーパスとして機能する可能性があります。

ハブ間オーバーレイの設定
検証

ハブ間オーバーレイの設定

ハブツーハブオーバーレイを作成するには、あるハブのWANインターフェイスが別のハブのWANインターフェイスにマッピングされ、オーバーレイを形成してトラフィック経路を指定します。

手記：

ハブツーハブオーバーレイは、両方のハブデバイスで異なるWANインターフェイスを利用できます。2つのハブ上の同一のWANインターフェイス間にオーバーレイを形成することは必須ではありません。

ハブデバイス A とハブデバイス B の 2 つのハブがあり、それらの間にオーバーレイを確立するとします。

ハブデバイスAには、WAN-1-AとWAN-2-Aの2つのWANインターフェイスが搭載されています。これらのWANインターフェイスを、ハブデバイスBのWANインターフェイス(WAN-1-BおよびWAN-2-B)とペアにして、ハブエンドポイントとしてマークする必要があります。

同様に、ハブデバイス B の場合:

WAN-1-BとWAN-2-Bの2つのWANインターフェイスを備えています。これらをハブデバイスAのWANインターフェイス(WAN-1-AおよびWAN-2-A)にリンクして、ハブエンドポイントとしての設定を完了する必要があります。

次の手順を使用して、ハブエンドポイントを作成します。

ポータルJuniper Mist [ WAN Edges ] を選択し、ハブデバイスをクリックします。選択するハブデバイスがハブトポロジーの一部であることを確認してください。
図 11:ハブトポロジーのハブデバイス
[WAN Edge > Device-Name] ページで、[プロパティ (Properties)] セクションに移動し、[ハブプロファイル (Hub Profile)] まで下にスクロールします。
ハブプロファイルリンクをクリックして、[ ハブプロファイル ] ページを開きます。
[WAN]セクションまで下にスクロールし、オーバーレイに使用するWANインターフェイスをクリックします。
[ Edit WAN Configuration ] ウィンドウで、[ Hub-to-Hub Endpoints ] まで下にスクロールし、[ Add Hub-to-Hub Endpoints ] オプションをクリックします。
図 12: ハブ間エンドポイントの追加
1. ドロップダウンメニューからハブエンドポイントポイント(WANインターフェイス)を選択します。オーバーレイ接続を確立する他のハブデバイスのWANインターフェイスを選択します。
  図 13:オーバーレイの WAN インターフェイスの選択
2. 「保存」をクリックします。選択したハブエンドポイントが、[WAN] ペインの [ハブ間エンドポイント(Hub to Hub Endpoints)] 列に表示されます。
別のWANインターフェイスを選択し、同じ手順を繰り返して別のエンドポイントを追加します。
これで、両方のエンドポイントが [WAN] ペインの [ハブ間エンドポイント(Hub to Hub Endpoints )] 列に表示されます。
図 14:最初のハブデバイスの設定されたハブ間エンドポイント
「保存」をクリックします。

次に、他のハブデバイスのWANインターフェイスを構成して、ハブエンドポイントとしての設定を完了します。

ポータルJuniper Mist [ WAN Edges ] を選択し、ハブデバイスをクリックします。これは、以前にオーバーレイを確立するための WAN インターフェイスを選択したハブデバイスです。
[WAN Edge > Device-Name] ページで、[プロパティ (Properties)] セクションに移動し、[ハブプロファイル (Hub Profile)] まで下にスクロールします。
ハブプロファイルリンクをクリックして、[ ハブプロファイル ] ページを開きます。
[WAN]セクションまで下にスクロールし、オーバーレイに使用するWANインターフェイスをクリックします。
[ Edit WAN Configuration ] ウィンドウで、[ Hub-to-Hub Endpoints ] まで下にスクロールし、[ Add Hub-to-Hub Endpoints ] オプションをクリックします。
1. ドロップダウンメニューからハブエンドポイントポイントを選択します。前の手順で設定したのと同じハブデバイスのWANインターフェイスを選択します
2. 「保存」をクリックします。選択したハブエンドポイントが、[WAN] ペインの [ハブ間エンドポイント(Hub to Hub Endpoints)] 列に表示されます。
別のWANインターフェイスを選択し、同じ手順を繰り返して別のエンドポイントを追加します。
これで、両方のエンドポイントが [WAN] ペインの [Hub yo Hub Endpoints] 列に表示されます。
図 15: 2 番目のハブデバイスの構成済みハブ間エンドポイント
「保存」をクリックします。

検証

Juniper Mistポータルでは、WANエッジデバイスのトポロジーを確認することで、確立されたハブ間オーバーレイを確認できます。

[WAN Edge (WAN Edge)] ページの [ トポロジ (Topology )] 列には [ハブ/メッシュ (Hub/Mesh)] が表示されます。

図 16:ハブ/メッシュ Topology Displaying as Hub/Mesh

として表示されるトポロジー

デバイスの [WAN Edge] ページに移動し、[ トポロジの詳細 (Topology Details )] セクションを確認します。ポータルには、ピアの詳細と接続ステータスが表示されます。

図 17:ハブ間オーバーレイトポロジーの詳細 Hub-to-Hub Overlay Topology Details