WANエッジとして導入されたSRXシリーズファイアウォールを監視する
WANエッジページ、インサイトページ、アラートページを使用して、SRXシリーズファイアウォールのデバイス情報、イベントの詳細、アラートをすばやく見つけることができます。
WANエッジデバイスとして展開されたジュニパー® SRXシリーズファイアウォールを監視する際には、最初の導入フェーズの後にジュニパー Mist™ポータルでWANエッジデバイスを監視する最も効率的な方法を検討します。
WANエッジの監視
左側のメニューから WAN Edge WAN Edgeを選択して、基本的なデバイス監視情報を表示します。ポータルの上部にある組織名に注目してください。これは最大のコンテナであり、組織全体を表します。組織名の下には、リスト形式またはグラフィカルなトポロジー形式でサイトデバイスを表示できます。
この例では、ライブデモが組織であり、LD_CUP_SRX_1が選択されたWANエッジデバイスです。
上部のタイルには、高レベルの情報が表示されます。
- 設定の成功—設定に成功したオンラインWANエッジの割合。
- バージョンコンプライアンス—モデルごとに同じソフトウェアバージョンを持つWANエッジの割合。
- WANエッジ稼働時間—過去7日間にWANエッジが稼働した時間の割合(すべてのWANエッジの平均値)。
以下に、 表1に示すように、WANエッジデバイスの詳細を示します。
| フィールドの | 説明 |
|---|---|
| 名前 | 名前 |
| 地位 | 接続または切断 |
| MAC | MACアドレス |
| IPアドレス | IPアドレス |
| モデル | ジュニパーネットワークス® SRXシリーズファイアウォールまたはジュニパー®セッションスマート™ ルーター |
| バージョン | SRXソフトウェアバージョン |
| 位相幾何学 | ハブまたはスポーク |
| 洞察 力 | WANエッジインサイトページへの直接リンクを提供します。 |
トポロジー形式は、リストビューと同じ情報を表示します。たとえば、LD_CUP_SRX_1デバイスにカーソルを合わせると、リストビューに表示されているのと同じ情報が表示されます。
リストビューとトポロジービューの両方で、WANエッジデバイス(この例ではLD_CUP_SRX_1)を選択すると、そのデバイス情報ページが表示されます。デバイス情報ページには、WANエッジデバイスの監視情報のさまざまなカテゴリが用意されています。
デバイス情報ページに最初に気付くのは、選択したWANエッジデバイスの詳細です(図のLD_CUP_SRX_1)。この情報には、デバイスポートのグラフィカルな正面ビューと、CPUやメモリの使用率などのベースラインステータス情報が含まれます。
ギガビットイーサネットインターフェイスごとに、リンク情報があります。
| フィールドの | 説明 |
|---|---|
| 速度 | 定格速度 |
| PoE | 有効または無効 |
| 消費電力 | 測定されたPoE消費電力 |
| 二連式 | フルまたはハーフ |
| STP | 正誤 |
| BPS | ビット/秒 |
| プロフィール | ポートに割り当てられているポートプロファイルの名前 |
| ポートモード | ポートプロファイル設定のモード(トランク、アクセス、ポートネットワーク、またはVoIPネットワーク) |
| VLAN | VLANタグ |
| 形容 | インターフェイスの説明 |
CPU、メモリ、およびその他のステータスアイコンは、デバイスがどのように動作するかを示します。各ステータスアイコンにカーソルを合わせると、より詳細なインサイトが表示されます。
高度なセキュリティ 情報は、チェックマークまたはXでデバイスポートの下に表示され、URLフィルタリング、侵入検出および防止(IDP)、またはAppSecure(アプリケーションの可視性用)がアクティブになっているかどうかを示します。ここでは、URLフィルタリング、IDP、AppSecureが緑色のチェックマークでアクティブになっています。
ポート情報とセキュリティセクションの下には、以下を含むWANエッジデバイスの一般化されたデータがあります。
プロパティには、一般化されたプラットフォーム関連情報が含まれています。
| 畑 | 形容 |
| 洞察 力 | WANエッジインサイトへの直接リンクを提供します。 |
| 場所 | フロアプラン情報を提供します。 |
| MACアドレス | SRXデバイスのMACアドレス。 |
| モデル | モデルタイプがSSRまたはSRXのどちらであるかを示します。 |
| バージョン | SRXソフトウェアのバージョン。 |
| テンプレート | デバイスに適用されたWANエッジテンプレート |
| ハブプロファイル | デバイスに適用されたハブプロファイル |
統計情報 には、プラットフォームに関するアクション情報が表示されます。
| 畑 | 形容 |
| 地位 | 接続/切断 |
| IPアドレス | WANエッジデバイスのIPアドレス |
| アップタイム | 日/時間/分の稼働時間情報 |
| 最終表示日 | 最終ログイン |
| 最終構成 | 最後のコミット |
| WANエッジの写真 | WANエッジデバイスの写真 |
WAN ルーター自体に DHCP サーバーを設定した場合は、リースされた IP に関する情報が記載された DHCP 統計ペインもあります。
-
DHCP 統計情報 は、動的に分散された IP アドレスに関連する IP 情報を表示します。
| 畑 | 形容 |
| 使い | リース済みIPと使用可能なIPの割合として表示された合計数値。 |
| プール名 | 指定されたアドレスプールの名前。 |
| リースされたIP | 各プールで使用されているIPアドレスの数。 |
| 合計 IP 数 | 各プールで使用可能なIPアドレスの合計数。 |
デバイス情報ページを下にスクロールすると、WANエッジの設定情報があります。通常、WANエッジはテンプレートまたはプロファイルを継承します。ただし、デバイスにプッシュする設定を個別に変更することはできます。この例では、スタンドアロンのWANエッジテンプレートを使用しました。
| 畑 | 形容 |
| 情報 | SRXデバイスの名前 |
| IP設定 | ノード0/スタンドアロンDHCP/静的、VLAN ID、ノード1 DHCP/静的、VLAN ID |
| NTP | タイムサーバーIP/ホスト名 |
| DNS設定 | DNSサーバー、DNSサフィックス(SRXのみDNSサフィックス情報)。 |
| Secure Edge Connectors(ベータ版) | Secure Edge Connectorのプロバイダ。 |
設定をスクロールすると、接続されたWANとLANの情報が表示されます。
| 畑 | 形容 |
| 名前 | 選択したWANインターフェイス名 |
| インターフェイス | ge-0/0/1、ge-0/0/1-5、reth0のいずれかのインターフェイスをアグリゲーション用にサポートします。 |
| WANタイプ | イーサネット、DSL(SRXのみ)、またはLTE |
| IP設定 | DHCP、静的、またはPPPoE |
| 有効 | チェックマークは、インターフェイスが有効であることを示します。 |
| 畑 | 形容 |
| IP設定 | ネットワーク、IPアドレス、プレフィックス長 |
| DHCP 設定 | サーバーまたはリレー。 |
| カスタムVR | 自動ルート漏洩で使用するように設定できる仮想ルーター。 |
| LAN |
|
下にスクロールすると、トラフィックステアリング、アプリケーションポリシー、ルーティング(OSPF、BGP、ルーティングポリシー、スタティックルート)のセクションがあります。
トラフィックステアリングとアプリケーションポリシーのセクションでは、SRXシリーズファイアウォールを使用して、パスプリファレンスとルーティング動作のルールを作成する方法を示しています。WANエッジとして展開されたSRXシリーズファイアウォールでは、アプリケーションポリシーとトラフィックステアリングパスによって宛先ゾーンが決定され、割り当てる必要があることに注意してください。
トラフィックステアリングを使用すると、トラフィックが宛先に到達するまでにたどることができるさまざまなパスを定義できます。トラフィックステアリングポリシーでは、トラフィックが通過するパスと、そのパスを利用する戦略を指定できます。
| 畑 | 形容 |
| 名前 | トラフィックステアリングポリシーの名前。 |
| 戦略 | 順序付き、重み付け、ECMP |
| パス | LAN、WAN、タグなしVLAN(SRXのみ) |
アプリケーションポリシーは、Juniper WAN Assurance設計のセキュリティポリシーであり、どのネットワークとユーザーがどのアプリケーションにアクセスできるか、どのトラフィックステアリングポリシーに従ってアクセスできるかを定義します。アプリケーションポリシーを定義するには、ネットワーク、アプリケーションを作成し、トラフィックステアリングプロファイルを確立する必要があります。これらの要素が一致基準となり、アプリケーションや宛先へのアクセスを許可したり、アプリケーションや宛先からのアクセスをブロックしたりします。
ジュニパー Mist™ クラウドポータルでは、[ネットワーク] または [ユーザー] 設定によって送信元ゾーンが決まります。アプリケーションとトラフィックステアリング設定により、宛先ゾーンが決まります。トラフィックステアリングパスは、ジュニパーネットワークス® SRXシリーズファイアウォールの宛先ゾーンを決定するため、トラフィックステアリングプロファイルをアプリケーションポリシーに割り当ててください。
| 畑 | 形容 |
| 数 | 注文済みポリシー番号 |
| 名前 | アプリケーションポリシー名 |
| インポートされた組織 | ポリシーが組織レベルからサイトにプッシュダウンされたかどうかを示します。 |
| ネットワーク/ユーザー(いずれかに一致) | トラフィックの「ソース」 |
| アクション | 許可/ブロック |
| アプリケーション/宛先(いずれかと一致) | トラフィックの「宛先」。 |
| IDP | IDP/URLフィルタリングを示します(別途ライセンスが必要) |
| トラフィックステアリング | トラフィックのパスを示します |
Open Shortest Path First(OSPF)を使用して、IP パケットを転送するための最適なパスを決定します。OSPFは、ネットワークをセグメント化して拡張性を向上させ、ルーティング情報のフローを制御します。 OSPF を参照してください。
| 畑 |
形容 |
|---|---|
| 面積 |
OSPFネットワークまたはSRXシリーズファイアウォールが属する識別エリア。 |
| 種類 |
これは OSPF エリア タイプです。デフォルト(エリア0)、スタブ、またはスタブエリア(NSSA)を選択します。 |
| ネットワーク |
OSPFネットワークの名前。 |
| 有効 | このチェックボックスを選択すると、[ OSPFエリアを有効にする ]ボタンが選択可能になります。 |
WANエッジデバイスとして展開されたSRXシリーズファイアウォールに境界ゲートウェイプロトコル(BGP)を設定できます。ここでBGPグループを手動で追加することもできます。
| 畑 | 形容 |
| 名前 | BGP名 |
| ピアリングネットワーク | BGPピアリング(WANまたはLAN)に使用されているネットワークのタイプ。 |
| 種類 | BGPルートのタイプ(内部または外部) |
| ローカルAS | 自律システム番号 |
| 輸出 | エクスポートルート |
| 輸入 | ルートをインポート |
| 隣人 | ネイバールート |
| ネイバーAS | ネイバールートの自律システム番号 |
ルーティングポリシーセクションでは、パスの優先度を設定し、トラフィックの動作を決定できます。
| 畑 |
形容 |
|---|---|
| 名前 |
ルーティングポリシーの名前。 |
| 条件 |
これらは、プレフィックス、ルーティングプロトコル、アクションなどのポリシー条件です。 |
静的ルートでは、WANエッジデバイスとして導入されたSRXシリーズファイアウォールが使用するルートを手動で定義できます。
| 畑 |
形容 |
|---|---|
| 名前 |
静的ルートの名前。 |
| ゲートウェイ |
静的ルートがトラフィックをルーティングする際に使用するゲートウェイ。 |
デバイス情報とWANエッジのインサイトを表示
WANエッジのインサイト
選択したWANエッジのプロパティペインは、 WANエッジインサイトにリンクします。 WANエッジインサイト をクリックすると、WANエッジデバイスに関する次のレベルの情報が表示されます。
インサイトページで選択したWANエッジ(LD_CUP_SRX_1)の横で、選択した情報の時間枠を選択できます。デフォルトのビューは 「今日 」ですが、カスタマイズした日付または日付範囲に設定できます。この下には、(サイトの位置情報が設定されている場合)このWANエッジがストリートマップを介して設定されている場所があります。
時間枠を選択すると、 WANエッジイベント は、指定した時間内にWANエッジを通過するトラフィックのタイムラインを表示し、イベントのリストも表示します。
リストされているWANエッジイベントで特定のイベントを選択すると、良い、中性、悪いイベントの詳細が表示されます。
選択範囲が拡大し、選択した時刻に関する詳細情報が表示されます。
時間の詳細部分については、マウスカーソルで時間枠を選択します。これにより、イベントのウィンドウを調整し、ネットワークで発生した特定の良い、中立、悪い出来事を切り分けることができます。セクションを小さくすると、その期間をより詳細に把握できます。
WANエッジイベントページを下にスクロールすると、選択した期間内の詳細なインサイトが表示されます。
WANエッジイベントでは、イベントタイプドロップダウンメニューで修飾子を選択してイベントのタイプを絞り込むことができます。イベントタイプを特定のポートに制限して、検索をフィルタリングすることもできます。
WANエッジイベントページでは、アプリケーションペインでアプリケーションに関するレポートを表示することもできます。このペイン:
- アプリケーションペインを使用して、特定のアプリケーションの動作を監視およびトラブルシューティングできます。
- アプリ名にカーソルを合わせると、サービスの詳細が表示されます。
- クライアントタブをクリックすると、クライアントによる特定のアプリケーションの使用状況を確認できます。
最初の導入後、これらのメトリックが入力されるまでに数時間があることを確認してください。
WANエッジインサイトページのテーブル容量セクションには、次の指標が表示されます。
-
FIBエントリ:現在のFIBエントリ数と使用率を表示します。基本的に、利用可能な FIB スペースのどれだけが現在使用されているかを示しています。
-
セッションフロー:現在のアクティブなセッション数と、デバイスの容量に基づくセッションフローの使用率を表示します。
高可用性クラスターの場合、各ノードのテーブル容量インジケーターが表示されます。
また、各メトリックの下にある エントリーの検索 ボタンをクリックすると、新しいウィンドウでシェルビューが開き、フィルターを指定した後にエントリーを検索できます。
クライアント 数 列で、番号をクリックすると、クライアント名、MACアドレス、IPアドレス、デバイスタイプ、使用されているバイトなど、アプリケーションを使用しているクライアントに関する詳細情報を確認できます。
を使用するクライアント
DHCPサーバーを実行しているWANエッジとして導入されたSRXシリーズファイアウォールの場合、そのアプリケーションを使用するクライアントは、利用可能な場合、クライアント列にホスト名を表示します。それ以外の場合は、MACアドレスが表示されます。デバイスタイプとMACアドレスの列にも入力されます。
アプリケーションペインに戻り、「 クライアント 」タブをクリックすると、特定のクライアントが使用している帯域幅を確認できます。 アプリケーション数 列の番号をクリックすると、詳細が表示されます。
向けアプリケーション
アプリケーションパスインサイト(ベータ版)セクションには、選択したアプリケーションポリシーとネットワークに従って、最も多くの帯域幅を使用しているアプリケーションが表示されます。選択したアプリケーションポリシーのパスを介した有効なアプリケーションフローを表示します。データタイプをセッションに変更して、アプリケーションごとに発生するセッション数を確認することもできます。グラフのセクションにカーソルを合わせると、アプリケーションごとの帯域幅やセッション、ジッター、損失、遅延が表示されます。
アプリケーションパスインサイトの視覚化データは、構成がMistによって管理されている場合にのみ使用できますジュニパー。
Have you ever been on an important Zoom or Teams call and experienced jitter or latency? This is a bad experience for anyone, but if you're the network operator, it's even worse. You don't want the CEO yelling at you because their shareholder meeting went bad. With Juniper's WAN Assurance Application Insights dashboard, you could do something about it.
This dashboard shows you which applications are using bandwidth at any given time. Given those insights, you can easily set policies to remediate issues, such as prioritizing some applications, blocking others, or working with your ISP to gain more bandwidth. Application Insights dashboard also lets you verify that your policies were configured correctly, and you can easily see the top 10 applications by bandwidth utilized, quickly adding and removing applications from this list.
And that's the power of WAN Assurance App Insights in 60 seconds.
パス状態バーには、タイムライン上のパス状態情報が表示され、パス状態イベントはさまざまな色で強調表示されたセグメントで示されます。例えば、パスアップイベントは緑色で、パスダウンイベントは赤色で表示されます。
パス状態バーの強調表示部分にカーソルを合わせると、パス状態イベントの概要を表示できます。
アプリケーションパスインサイトセクションの左側には、最近のパス状態イベントを表示する概要ビューもあります。
バーをクリックすると、パス状態イベントに関する詳細情報を表示できるポップアップウィンドウが表示されます。左側にイベントのリストが表示され、イベントを選択すると右側にイベントの理由が表示されます。
パス状態イベントには、以下が含まれます。
- パスの更新
- ポートアップ
- ポートダウン
- パスアップ
- パスダウン
パス状態の理由には、次のようなものがあります。
- プローブダウン
- ピアパスアップ
- ピアパスダウン
- 設定変更
- 選択された最適パス
- SLAメトリック違反
WANエッジデバイスチャートには、コントロールプレーンCPU、データプレーンCPU、メモリ使用率、消費電力が含まれます。
コントロールプレーンCPUとデータプレーンCPUのチャートには、最大と平均の両方のCPU使用率の割合が表示されます。
メモリ使用率 と 消費電力 は、最大値と平均値の両方のパーセンテージを示しています。
- 帯域幅チャートには、その特定のインターフェイスの帯域幅使用率メトリックがメガビット/秒(Mbps)で表示されます。
- 最大帯域幅チャートには、日中の各ポートの受信電力信号(RX)パケットと送信電力信号(TX)パケットについて記録されたリンク使用率の最高ポイントに関するインサイトが表示されます。データはMbps単位で表示されます。
過去3つのWANエッジポートのチャートには、 アプリケーションのTX + RXバイト、 ポートエラー、 IPsecトラフィックがあります。チャートにカーソルを合わせると、詳細が表示されます。
- アプリケーションのTX + RXバイトチャートは、送受信データ情報の概要を示しており、チャートの下部にあるアプリケーション名をクリックして、クライアント、MACアドレス、IPアドレス、デバイスタイプ、帯域幅使用のバイトを確認することで、アプリケーションレベルで分離することができます。
- IPsecトラフィックチャートには、日中の送信パケットと受信パケットのIPsecトラフィックがキロバイトまたはメガバイト単位で表示されます。
-
ポートエラーグラフには、一定期間にわたってWANエッジデバイスで検出されたポートエラーが表示されます。ポートエラーとは、ポートデバイスドライバーから報告されたすべてのイーサネットエラーを含む、イーサネットデータリンクエラーカウントです。エラーの正確な種類はデバイスドライバーによって異なり、合計にはCRCエラーやコリジョンなどが含まれますが、これらに限定されません。エラーは、送信(TX)と受信(RX)の両方の方向でカウントされます。グラフには、すべてのポートの合計、またはWANエッジポートの選択に基づいて特定のポートの合計が表示されます。
ピア パス統計情報
これは、ジュニパー Mist™ WAN AssuranceにWANエッジデバイスとして導入されているセッションスマートルーターにのみ適用されます。そのため、WANエッジデバイスとして展開されたSRXシリーズファイアウォールについては、このセクションにはデータは入力されません。
WAN Edge Insights ページの最後のセクションは、現在の WAN Edge プロパティです。時間範囲の選択は、[現在の値] ペインの情報には影響しません。
インターフェイスステータスのアラートを表示
ジュニパー Mistでは、アラートは進行中のネットワークとデバイスの問題を示します。ジュニパー Mistポータルでアラートを表示するには、監視>アラートを選択します。
WANエッジデバイス上の特定のポートがオンラインまたはオフラインになった場合のアラートとメール更新を設定できます。特定のポートに対してアラートを設定するには、WANエッジデバイスのLANまたはWAN設定でこれらのポートにラベルを付ける必要があります。
特定のポートに対してアラートと通知を設定するには、以下のことが必要です。
- WAN または LAN の設定を変更して、WAN エッジテンプレートまたはデバイスレベルの設定ページで指定されたポートにラベルを付けます。
- ジュニパー Mistポータルで、 組織>WAN>WANエッジテンプレート を選択し、更新(または新しい設定を追加する)WANまたはLAN設定を選択します。
これをデバイスレベルで設定するには、左側のナビゲーションバーで WAN エッジを選択し、選択したデバイスのWANまたはLAN設定を選択します。
- インターフェイスでポートを入力し、「 アップ/ダウンポート」アラートタイプを有効にする チェックボックスを選択します。
図38:LANポートまたはインターフェイスWAN重要なインターフェイス
としてマークする
すべての重要なポートについて、これらの手順を繰り返します。
- ジュニパー Mistポータルで、 組織>WAN>WANエッジテンプレート を選択し、更新(または新しい設定を追加する)WANまたはLAN設定を選択します。
- アラートページで指定されたポートのアラートと電子メール通知を設定します。
- >アラートの監視>アラート設定に移動し、以下のチェックボックスを使用して、選択したポートのアラートを有効にします。
重要なWANエッジポートアップ
クリティカルなWANエッジポートダウン
図39:重要なポートのアラート設定
詳細については、「 アラート設定」 を参照してください。
アラートと通知を有効にする場合:
- ポートがある状態から別の状態に移行するたびに電子メール通知が届きます。
- 鉛筆アイコンをクリックして時間しきい値を設定することで、WANエッジゲートウェイがオフラインになったときにアラートを遅らせて、接続がフラップした場合にアラートが繰り返されないようにすることができます。
- ステータスは、監視>アラートページで確認できます。 図40 は、ジュニパーMistアラートダッシュボードのクリティカルポートステータスの例を示しています。
図40:重要なWANエッジポートのステータス
- >アラートの監視>アラート設定に移動し、以下のチェックボックスを使用して、選択したポートのアラートを有効にします。