Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

SRXシリーズファイアウォール用のWANエッジテンプレートを設定する

以下の手順に従ってWANエッジテンプレートを設定し、SRXシリーズファイアウォールの設定プロセスを効率化します。

Juniper Mist™ WAN Assuranceの WAN エッジ テンプレートでは、WAN インターフェイス、トラフィック ステアリング ルール、アクセス ポリシーなどの共通のスポーク特性を定義できます。次に、これらの設定をWANエッジデバイスとして導入されたジュニパーネットワーク®スSRXシリーズファイアウォールに適用します。WAN エッジデバイスをサイトに割り当てると、デバイスは関連するテンプレートの設定を自動的に採用します。この自動プロセスにより、ネットワーク インフラストラクチャ全体で一貫性のある標準化された設定を管理および適用して、設定プロセスを合理化できます。

手記:

Mistダッシュボードを使用してMist WANエッジデバイス上で行った設定は、デバイスのCLIを介して行われた設定よりも優先されます。

スポーク デバイス用に 1 つ以上のテンプレートを使用できます。

このタスクでは、Juniper Mist™ Cloud PortalでスポークデバイスのWANエッジテンプレートを作成して設定します。

WANエッジテンプレートの設定

WAN エッジ テンプレートを設定するには:

  1. Juniper Mist™ ポータルで、[WAN >組織> WANエッジテンプレート(Organization WAN Edge Templates)をクリックします。既存のテンプレートがある場合は、そのリストが表示されます。
  2. 右上隅にある [テンプレートの作成] ボタンをクリックします。
    手記:

    [ プロファイルのインポート (Import Profile )] オプションを使用して JavaScript Object Notation (JSON) ファイルをインポートすることで、WAN Edge テンプレートを作成することもできます。
  3. 表示されるボックスにテンプレートの名前を入力し、[種類] をクリックして [スポーク] を選択し、[作成] をクリックします。
    図 1: テンプレートの種類を選択する Select the Template Type

    WANエッジテンプレート設定ページのGUI要素を示す図を次に示します。

    図 2:WAN エッジ テンプレートの設定オプション WAN Edge Template Configuration Options
  4. 表 1 に記載されている詳細に従って構成を完了します。
    表 1:WAN Edge プロファイル オプション
    フィールドの説明
    名前 プロファイル名。一意のプロファイル名を最大 64 文字で入力します。
    種類 WAN Edge プロファイル タイプ。次のいずれかのオプションを選択します。

    • [スタンドアロン(Standalone)]:サイト内のスタンドアロン デバイスを管理します。

    • [スポーク(Spoke)]:設定内のハブデバイスに接続しているスポーク デバイスを管理します。
    対象デバイス WAN Edge テンプレートを関連付けるサイト。ドロップダウンメニューには、現在のサイトのインベントリに追加されたWANエッジデバイスのリストが表示されます。
    IP設定(アウトオブバンド) デバイスを管理するための帯域外管理の詳細。を指定できます
    • 経由のIPアドレス(DHCP)または静的。静的を選択した場合は、IPアドレス、サブネットマスク、およびデフォルトゲートウェイの詳細を入力します。
    • 1〜4094のVLAN ID。
    高可用性クラスタの場合は、両方のノードの詳細を入力する必要があります。各ノードに一意の IP を使用するようにしてください。
    NTP Network Time Protocol(NTP)サーバーのIPアドレスまたはホスト名。NTPは、スイッチとインターネット上の他のハードウェアデバイスのクロックを同期するために使用されます。
    DNS設定 ドメイン生成アルゴリズム(DNS)サーバーのIPアドレスまたはホスト名。ネットワークデバイスは、DNS名サーバーを使用してホスト名をIPアドレスに解決します。
    Secure Edge コネクタ Secure Edgeコネクタの詳細。Juniper Secure Edgeは、Juniper Mist Cloudポータルによって管理されるWANエッジデバイスのトラフィック検査を実行します。
    WAN WAN インターフェイスの詳細。このWANインターフェイスは、ハブ上のWANインターフェイスに対応します。つまり、Mistは、ハブのWANインターフェイスとスポークのWANインターフェイスの間にIPSec VPNトンネルを作成します。各 WAN リンクに対して、物理インターフェイス、WAN のタイプ(イーサネットまたは DSL)、IP 設定、およびインターフェイスのオーバーレイハブエンドポイントを定義できます。 テンプレートへの WAN インターフェイスの追加を参照してください。
    LAN LAN インターフェイス。LANセグメントを接続するLANインターフェイス。ネットワークを割り当て、VLANを作成し、IPアドレスとDHCPオプション(なし、リレー、またはサーバー)を設定します。 「LANの構成」を参照してください。
    トラフィックステアリング ステアリングパス。トラフィックが宛先に到達するまでに利用できるさまざまなパスを定義します。トラフィック・ステアリング・ポリシーには、トラフィックが通過するパスと、それらのパスを利用するための戦略を含めることができます。 トラフィックステアリング・ポリシーの構成を参照してください。
    アプリケーション ポリシー トラフィックのルールを適用するためのポリシー。ネットワーク(ソース)、アプリケーション(宛先)、トラフィック・ステアリング・ポリシー、ポリシー・アクションを定義します。「 アプリケーション ポリシーの構成」を参照してください。
    ルーティング ハブとスポーク間のトラフィックをルーティングするためのルーティングオプション。ルートを動的に学習する BGP(境界ゲートウェイプロトコル)アンダーレイ ルーティングを有効にしたり、スタティック ルーティングを使用して手動でルートを定義したりできます。
    CLI設定 CLI オプション。テンプレートの GUI で使用できない追加設定については、CLI の set コマンドを使用して構成できます。
  5. 保存」をクリックします。

テンプレートにWANインターフェイスを追加する

スポーク上の WAN インターフェイスは、ハブ上の WAN インターフェイスに対応します。つまり、Mistは、ハブのWANインターフェイスとスポークのWANインターフェイスの間にIPSec VPNトンネルを作成します。

このタスクでは、WAN エッジ テンプレートに 2 つの WAN インターフェイスを追加します。デバイスの詳細ページでインターフェイスを追加することもできます(Juniper Mist ポータルで、[ WAN Edges]>[WAN Edges] の順にクリックします)

WAN インターフェイスをテンプレートに追加するには:

  1. [WAN] セクションまで下にスクロールし、[WAN の追加] をクリックして [WAN 設定の追加] ペインを開きます。
  2. 先端:設定画面で作業するときは、VARインジケーターを探してください。この区分を持つ項目では、サイト変数を使用できます。

    このラベルの付いたフィールドには、特定の変数を入力し始めると、一致する変数(設定されている場合)も表示されます。このフィールドには、組織内のすべてのサイトの変数が一覧表示されます。

    組織全体の変数リストは、 GET /api/v1/orgs/:org_id/vars/search?var=* を使用して表示できます。このリストは、サイト設定で変数が追加されると入力されます。

     表 2 に記載されている詳細に従って、設定を完了します。
    表 2:WAN インターフェイス設定オプション
    フィールド 説明 設定例(WAN インターフェイス 1) 設定例(WAN インターフェイス 2)
    名前 (テクノロジーではなくラベル) インターフェイスの名前を入力します。変数を使用することもできます。 INET MPLS
    形容 説明を入力します。また、説明に変数を使用することもできます。 INETインタフェース MPLSインターフェイス
    WANタイプ 次のいずれかのタイプを選択します。
    • イーサネット
    • DSLの
    • LTE
    		 イーサネット イーサネット
    インターフェイス インターフェイスを入力します。ここで変数を使用できます。必要に応じて、次のオプションのいずれかを選択することもできます。 ge-0/0/0 ge-0/0/3
    VLAN ID VLAN ID を入力します。ここで変数を使用できます。 - -
    IP 設定 IP 構成の種類を選択します。
    • DHCP
    • 静的
    • PPPoE(PPPoE)
    		 DHCP 静的

      • IP アドレス={{WAN1_PFX}}.2

      • プレフィックス長 = 24

      • ゲートウェイ={{WAN1_PFX}}.1
    ソースNAT 送信元NATのタイプを選択します。
    • インターフェイス
    • プール
    • 無効 (使用しない場合)
    		 インターフェイス インターフェイス

    自動ネゴシエーション

    有効 」または 「無効」を選択します。

    		 有効 無効

    MTU

    		 256 〜 9192 の MTU 値を入力します。既定値は 1500 です。

    1500

    1500
    オーバーレイ ハブ エンドポイント (自動的に生成)。 該当なし hub1-INET、hub2-INET(BFDプロファイルブロードバンド) hub1-MPLSおよびhub2-MPLS

    図 3 は、作成した WAN インターフェイスの一覧を示しています。

    図 3:WANインターフェイスの概要 WAN Interfaces Summary

追加のインターフェイスオプションを設定する

WAN エッジポートの追加設定を行うには、次の手順を実行します。

  1. [WAN] セクションまで下にスクロールし、適切な WAN Edge をクリックします。
  2. ウィンドウの [インターフェイス] セクションで、次のオプションのいずれかを選択します。

    • [無効(Disabled )]:指定されたインターフェイスの WAN エッジデバイスポートを管理上無効にします。

      WANエッジポートを無効にする必要がある理由は多数あります。たとえば、デバッグ シナリオでは、ポートを無効にしてから再度有効にすると、プロセスのリセットがトリガーされ、問題の解決に役立ちます。

      また、接続をステージングしているが、接続を稼働させる準備が整っていない場合や、悪意のあるデバイスまたは問題のあるデバイスを特定した場合、ポートを無効にして、デバイスを削除または修復するまでデバイスをすばやく無効にすることができます。

      物理インターフェイス(ge-0/0/1など)を無効にすると、関連するすべてのサブインターフェイスまたはVLANインターフェイス(ge-0/0/1.200やge-0/0/1.100など)がダウンします。

      reth(冗長イーサネット)インターフェイスを無効にすると、すべてのメンバーリンクが無効になります。

      SRX デバイス上の集合型イーサネット インターフェイス(ae1 など)を無効にすると、ae インターフェイスと ae バンドル内の基盤となる物理インターフェイスがダウンします。

    • ポートアグリゲーション—イーサネットインターフェイスをグループ化して、単一のリンク層インターフェイスを形成します。LACP(Link Aggregation Control Protocol)の設定に使用できます。

      • Disable LACP—LACP インターフェイスを無効にします。

      • [Enable Force Up]:Link Aggregation Control Protocol(LACP)インターフェイスを介して WAN エッジデバイスをオンボーディングする前に、このオプションを選択します。有効にすると、[ 強制アップを有効にする(Enable Force Up )] は、ピア上のクラスタ内の最初のイーサネットインターフェイスを 強制的にアップ 状態にし、ゼロタッチプロビジョニング(ZTP)プロセスでオンボーディングの完了に必要な設定ファイルを取得できるようにします。

    • [冗長(Redundant)]:冗長性を有効にします。
    • [Enable "Up/Down Port" Alert Type]:ポートがアップからダウンに、またはその逆に移行したときに、ユーザーがアラートを受信できるようにします。
  3. ウィンドウの下部にある [保存] をクリックして、変更を保存します。

LTEインターフェイスの設定

SD-WAN Juniper Mist、LTE接続をシームレスに統合できます。LTE 接続は、マルチパス ルーティングの代替パスを提供します。回線にアクセスできない場所のプライマリパスとして、またはプライマリ回線に障害が発生した場合の最後の手段のパスとして。

例:ビジネスクリティカルなアプリケーション用にプライマリMPLS接続がある小売業などです。SD-WAN Juniper Mist、LTEリンクをバックアップとして追加できます。MPLSリンクに問題が発生した場合、Juniper Mist動的にトラフィックをLTEリンクに切り替えます。これにより、継続的な接続が保証され、中断が最小限に抑えられます。

SRXシリーズファイアウォールでは、LTEミニ物理インターフェイスモジュール(Mini-PIM)がSRX300シリーズとSRX550ハイメモリサービスゲートウェイで無線WANサポートを提供します。Mini-PIM にはモデムが内蔵されており、3G および 4G ネットワーク上で動作します。Mini-PIM は、デバイスの任意の Mini-PIM スロットにインストールできます。SRXシリーズ ファイアウォールへの LTE Mini-PIM のインストール https://www.juniper.net/documentation/us/en/hardware/lte-mpim-install/topics/task/lte-mpim-hardware-intalling.html を参照してください。

Juniper Mist SD-WANにLTEリンクを設定するには、セッションスマートルーターとSRXシリーズファイアウォールにLTEインターフェイスを設定し、LTEカードに加入者識別モジュール(SIM)を挿入する必要があります。

LTE インターフェイスを WAN リンクとして追加するには、次の手順を実行します。

  1. [WAN] セクションまで下にスクロールし、[WAN の追加] をクリックして [WAN 設定の追加] ペインを開きます。
  2. インターフェイス設定の詳細を入力します
    表 3: LTE インターフェイス設定

    田畑

    価値観

    名前

    LTE インターフェイスの名前

    形容

    インターフェイスの説明。

    WANタイプ

    		 LTE
    インターフェイス cl-1/0/0です。LTE Mini-PIM モジュールがスロット 1 に挿入されている場合は、インターフェイス cl-1/0/0 を使用します。

    LTE APNの

    ゲートウェイルーターのアクセスポイント名(APN)を入力します。名前には、英数字と特殊文字を使用できます。(SRXシリーズファイアウォールではオプション、セッションスマートルーターでは必須)

    LTE 認証

    APN設定の認証方法を選択します。

    • [PAP]:パスワード認証プロトコル(PAP)を認証方法として使用するには、このオプションを選択します。[ユーザー名] と [パスワード] を入力します。

    • [CHAP]:認証方式としてチャレンジ ハンドシェイク認証プロトコル(CHAP)認証を使用するには、このオプションを選択します。[ユーザー名] と [パスワード] を入力します。

    • [なし(None)](デフォルト)-どの認証方法も使用しない場合は、このオプションを選択します。

    ソースNAT

    [Source NAT options] を選択します。

    • インターフェイス—送信元インターフェイスを使用したNAT。
    • [プール(Pool)]:定義された IP アドレス プールを使用した NAT。
    • [無効(Disabled)]:送信元 NAT を無効にします
    トラフィックシェーピング

    有効 」または 「無効」を選択します。

    (セッションスマートルーターのみに必要)

    自動ネゴシエーション

    有効 」または 「無効」を選択します。
    MTU 256 〜 9192 の MTU 値を入力します。既定値は 1500 です。
  3. 保存」をクリックします。
手記:

SRXシリーズ ファイアウォールでは、デバイス固有の WAN Edge テンプレート オプションを使用して WAN Edge テンプレートを作成すると、LTE インターフェイス設定がデフォルトでテンプレートに含まれます。

このテンプレートは、デバイス固有の事前設定済みのWANインターフェイス、LANインターフェイス、トラフィックステアリングポリシー、アプリケーションポリシーを提供します。テンプレートに名前を付けて、デバイスの種類を選択するだけです。

図 4は、SRX320 テンプレートのサンプルを示しています。このテンプレートの WAN セクションにデフォルトの LTE 構成が含まれています。
図 4:WAN エッジ テンプレートのサンプル WAN Edge Template Sample

LANの構成

LAN インターフェイス構成は、LAN 構成で指定したネットワークの名前から要求ソースを識別します。

LAN設定セクションには、IP設定、DHCP設定、カスタムVR、およびインターフェイス設定のコンポーネントが含まれています。LAN設定セクションでは、他のコンポーネントに触れることなく、各設定コンポーネント(IP設定など)を個別に上書きできるため、柔軟性が向上します。

[LAN Configuration] セクションには、ポートまたはネットワークごとの設定を簡単に検索できるフィルタもあります。

LANを設定するには:

  1. [ LAN] セクションまで下にスクロールします。
    図 5:テンプレート Add LAN Interfaces to the Templateに LAN インターフェイスを追加する
  2. [LAN] セクションで次の設定を行います。

    • [IP 設定(IP configuration)]:[IP CONFIG] タイルで、[ IP 設定の追加(Add IP Config )] をクリックし、次のパラメータを設定します。

      • [ネットワーク(Network)]:ドロップダウンから使用可能なネットワークを選択します。
      • IP アドレス—インターフェイスの IPv4 アドレスとプレフィックス長。
      • [プレフィックス長(Prefix Length)]:インターフェイスのプレフィックス長。
      • [リダイレクトゲートウェイ(Redirect Gateway)]:セッションスマート ルーターのみのリダイレクトゲートウェイの IP アドレス。

    • DHCP設定:LANインターフェイスへのIPアドレスの割り当てにDHCPサービスを使用するには 、[有効 ]オプションを選択します。DHCP設定を定義するには、[ DHCP設定の追加 ]をクリックし、以下で説明するように詳細を指定します。

      • [ネットワーク(Network)]:使用可能なネットワークのリストからネットワークを選択します。
      • [DHCP タイプ(DHCP Type)]:[DHCP サーバー(DHCP Server)] または [DHCP リレー(DHCP Relay)] を選択します。[DHCP サーバー] を選択した場合は、次のオプションを入力します。
        • [IP 開始(IP Start)]:目的の IP アドレス範囲の開始 IP アドレスを入力します。
        • [IP End]:終了 IP アドレスを入力します。
        • [ゲートウェイ(Gateway)]:ネットワークゲートウェイの IP アドレスを入力します。

        • [最大リース時間(Maximum Lease Time)]:DHCP アドレスの最大リース時間を指定します。サポートされているDHCPリース期間の範囲は、3600秒(1時間)から604800秒(1週間)です。

        • [DNS Servers]:ドメイン生成アルゴリズム(DNS)サーバの IP アドレスを入力します。
        • [サーバー オプション(Server Options)]:次のオプションを追加します。
          • [コード(Code)]:サーバを設定する DHCP オプション コードを入力します。[タイプ] フィールドには、関連付けられた値が入力されます。例:オプション15(ドメイン名)を選択すると、[ タイプ ]フィールドにはFQDNが表示されます。「タイプ」に関連付けられた 「値 」を入力する必要があります。

        • [静的予約(Static Reservations)]:DHCP アドレスを静的に予約する場合は、このオプションを使用します。静的DHCPのIPアドレス予約では、クライアントのMACアドレスをDHCPアドレスプールの静的IPアドレスにバインドします。次のオプションを使用できます。

          • [名前(Name)]:設定を識別する名前。

          • [MAC アドレス(MAC Address)]:予約に使用する MAC アドレス。

          • IP アドレス—予約するIPアドレス。

    • カスタム VR 設定:カスタム VR を設定するには、[ カスタム VR の追加(Add Custom VR )] をクリックし、次のパラメータを設定します。

      • [ネットワーク(Network)]:ドロップダウンから使用可能なネットワークを選択します。
      • [名前(Name)]:ルーティング インスタンスの名前を入力します。

    • [LAN インターフェイスの設定(LAN Interface Configuration)]:[ LANの追加(Add LAN )] をクリックし、以下の説明に従って設定を完了します。

      • [インターフェイス(Interface)]:インターフェイスを入力します。例:ge-0/0/3。追加の LAN インターフェイス オプションを設定するには、「 LAN の追加インターフェイス オプションの設定」を参照してください。

      • [説明(Description)]:説明を入力します。例:LAN ネットワーク

      • [ネットワーク(Network)]:表示されるネットワークのリストから選択します。例:SPOKE-LAN1(これを行うと、残りの設定が自動的に入力されます。

      • タグなしVLANネットワーク(SRXのみ)- なし

    先端:設定画面で作業するときは、VARインジケーターを探してください。この区分を持つ項目では、サイト変数を使用できます。

    このラベルの付いたフィールドには、特定の変数を入力し始めると、一致する変数(設定されている場合)も表示されます。このフィールドには、組織内のすべてのサイトの変数が一覧表示されます。

    組織全体の変数リストは、 GET /api/v1/orgs/:org_id/vars/search?var=* を使用して表示できます。このリストは、サイト設定で変数が追加されると入力されます。

LAN用の追加インターフェイスオプションの設定

追加のインターフェイスオプションを設定するには:

  1. [LAN] セクションまで下にスクロールし、適切な WAN Edge をクリックします。
  2. ウィンドウの [インターフェイス] セクションで、次のオプションのいずれかを選択します。
    • 無効 -

      LANポートを管理上無効にします。

      物理インターフェイス(ge-0/0/1など)を無効にすると、関連するすべてのサブインターフェイスまたはVLANインターフェイス(ge-0/0/1.200やge-0/0/1.100など)がダウンします。

      SRX デバイス上の集合型イーサネット インターフェイス(ae1 など)を無効にすると、ae インターフェイスと ae バンドル内の基盤となる物理インターフェイスがダウンします。

      reth(冗長イーサネット)インターフェイスを無効にすると、すべてのメンバーリンクが無効になります。

    • ポートアグリゲーション—イーサネットインターフェイスをグループ化して、単一のリンク層インターフェイスを形成します。LACP(Link Aggregation Control Protocol)の設定に使用できます。

      • Disable LACP—LACP インターフェイスを無効にします。

      • [Enable Force Up]:Link Aggregation Control Protocol(LACP)を介して LAN ポートに接続されているデバイスをオンボーディングする前に、このオプションを選択します。たとえば、新しいスイッチをMistクラウドにオンボーディングする場合、そのスイッチはまだLACP用にプロビジョニングされていません。[ Enable Force Up ]を設定すると、WANエッジデバイス上のLACPの最初のイーサネットインターフェイスが 強制的にアップ 状態になり、スイッチがゼロタッチプロビジョニング(ZTP)を使用してMistクラウドに接続できるようになり、オンボーディングを完了するために必要な設定ファイルが取得されます。

    • [冗長(Redundant)]:冗長性を有効にします。
    • [Enable "Up/Down Port" Alert Type]:ポートがアップからダウンに、またはその逆に移行したときに、ユーザーがアラートを受信できるようにします。
  3. ウィンドウの下部にある [保存] をクリックして、変更を保存します。

冗長イーサネットインターフェイスでのLACPの設定

Link Aggregation Control Protocol(LACP)は、インターフェイスのグループの動作方法を定義する IEEE 標準プロトコルです。LACPでは、デバイスはLACPデータユニットを相互に送信して接続を確立します。デバイスが確立できない場合、デバイスは接続を確立しようとしません。これにより、リンクアグリゲーショングループ(LAG)設定の誤りなど、リンクアグリゲーションのセットアッププロセス中に問題が発生するのを防ぐことができます。SRXシリーズファイアウォール上のReth(冗長イーサネット)インターフェイスにLACPを設定できます。

冗長イーサネットインターフェイスでLACPを設定するには:

  1. Juniper Mist ポータルの左側のメニューから、[組織 > WAN Edge テンプレート (Organization WAN Edge Templates)] を選択します。
  2. LACPを設定する冗長イーサネットインターフェイスを含むWANエッジテンプレートを選択します。
  3. 「LAN」ペインまで下にスクロールし、「LANの追加」をクリックして「LAN設定の追加」パネルを開くか、既存のLANをクリックして「LAN設定の編集」パネルを開きます。
  4. 次のフィールドを設定します。
    表 4:冗長イーサネット インターフェイス上の LACP の設定例
    フィールド LAN インターフェイス設定
    インターフェイス 冗長インターフェイスをコンマで区切って一覧表示します。
    ポート アグリゲーション このチェックボックスを選択すると、Reth インターフェイスで LACP が有効になります。
    強制アップの有効化(Enable Force Up) このチェックボックスにチェックを入れると、ピアのLACP容量が制限されている場合に、インターフェイスの状態が「アップ」に設定されます。

    ユースケース: このアグリゲートイーサネット(AE)インターフェイスポートに接続されたデバイスが、ゼロタッチプロビジョニング(ZTP)を初めて使用する場合、もう一方の端にLACPは設定されません。

    手記:

    これを選択すると、バンドル内のインターフェイスの 1 つだけで強制的に起動できます。
    冗長(ベータ版) このチェックボックスをオンにすると、冗長性が有効になります。LAN設定で言及された物理インターフェイスは、冗長グループに設定され、rethインターフェイス(冗長親)の下に設定されます。
    SRX(Redundant Index)のみ これは、rethインターフェイスのインデックスです。例えば、インデックスが 4 の場合、冗長インターフェイス reth4 が設定されます。
    プライマリノード これは、冗長性グループ内のプライマリノードを示します。ノードの1つがプライマリで、もう1つがセカンダリであるため、インターフェイスのフェイルオーバーが発生した場合にノードがもう1つのノードを引き継ぐことができます。

    「Up/Down Port」アラートタイプを有効にする

    このアラート タイプを有効にすると、ポートがアップからダウンに、またはその逆に遷移したときにユーザーがアラートを受信できるようになります。

    また、ユーザは [Monitor > Alerts] > [Alerts Configuration] で [Critical WAN Edge Port Up/Down] を有効にする必要があります。
  5. パネルの下部で、「追加」または「保存」をクリックして設定を保存します。

トラフィックステアリング・ポリシーの構成

ハブプロファイルと同様に、Juniper Mistネットワークのトラフィックステアリングでは、アプリケーショントラフィックがネットワークを通過する際に使用できるさまざまなパスを定義します。トラフィック・ステアリング内で構成するパスによって、宛先ゾーンも決まります。

トラフィック・ステアリング・ポリシーの構成手順は、次のとおりです。

  1. Juniper Mist ポータルで、[トラフィック ステアリング(Traffic Steering)] セクションまで下にスクロールし、[トラフィック ステアリングの追加(Add Traffic Steering)] をクリックして [トラフィック ステアリング(Traffic Steering)] 構成ペインを表示します。
  2. 表 5 に記載されている詳細に従って設定を完了します。
    表5: トラフィック・ステアリング・ポリシーの構成
    フィールド トラフィックステアリングポリシー1 トラフィックステアリングポリシー2
    名前 スポーク LAN オーバーレイ
    戦略 注文 ECMP
    パス (パス・タイプの場合、以前に作成した LAN および WAN ネットワークをエンドポイントとして選択できます。

    • タイプ:LAN

    • ネットワーク—SPOKE-LAN1

    • タイプ - WAN

    • ネットワーク

      • ハブ1-INET

      • hub2-INET

      • ハブ1-MPLS

      • ハブ2-MPLS

    図 6 に、作成したトラフィック ステアリング ポリシーの一覧を示します。

    図 6: トラフィック ステアリング ポリシーの概要 Traffic-Steering Policies Summary

アプリケーション ポリシーの構成

Mistネットワークでは、アプリケーション・ポリシーを使用して、どのネットワークとユーザーがどのアプリケーションにアクセスできるかを、どのトラフィック・ステアリング・ポリシーに従って定義します。 [ネットワーク/ユーザー ] 設定によって、ソース ゾーンが決まります。 [Application + Traffic Steering ] 設定によって、宛先ゾーンが決定されます。さらに、許可または拒否のアクションを割り当てることができます。Mist は、アプリケーション ポリシーをリストされた順序で評価および適用します。

図 7 のトラフィック フローの要件を考えてみましょう。この図は、企業 VPN 設定の基本的な初期トラフィック モデルを示しています(3 番目のスポーク デバイスと 2 番目のハブデバイスは示されていません)。

図7:トラフィックフローと分散 Traffic Flow and Distribution

上記の要件を満たすには、次のアプリケーション ポリシーを作成する必要があります。

  • ポリシー 1:スポーク サイトからハブへのトラフィックを許可します。この場合、アドレス グループで使用される宛先プレフィックスは、2 つのハブの LAN インターフェイスを表します。

  • ポリシー 2:オーバーレイを介して企業 LAN を経由するスポーク間トラフィックを許可します。

    手記:

    これは、マネージドIPを持つ高価なMPLSネットワークを除き、現実の世界では実現できないかもしれません。マネージド IP は、他のスポークにトラフィックを直接送信します。通常、このタイプのトラフィックはハブデバイスを経由します

  • ポリシー 3:ハブとハブに接続されている DMZ の両方からスポーク デバイスへのトラフィックを許可します。

  • ポリシー 4:インターネットへのトラフィックがスポーク デバイスからハブデバイスに流れることを許可します。そこから、トラフィックはインターネットにブレークアウトします。この場合、ハブは送信元NATをトラフィックに適用し、ハブプロファイルで定義されたWANインターフェイスにトラフィックをルーティングします。このルールは一般的なものなので、特定のルールの後に配置する必要があります。Mistは、ポリシーリストに配置された順序でアプリケーションポリシーを評価するためです。

アプリケーション ポリシーを構成するには、次の手順に従います。

  1. Juniper Mist ポータルで、[アプリケーション ポリシー] セクションまで下にスクロールし、[ポリシーの追加] をクリックして、ポリシーの一覧に新しいポリシーを追加します。
  2. 表 6 に記載されている詳細に従って設定を完了します。
    表 6: アプリケーション ポリシーの設定
    S.No。 ルール名 ネットワーク ・アクション ・デスティネーション ・ステアリング
    1 スポークツーハブDMZ スポーク-LAN1 通る HUB1-LAN1 + HUB2-LAN1 オーバーレイ
    2 ハブ経由のスポーク間 スポーク-LAN1 通る スポーク-LAN1 オーバーレイ
    3 ハブ DMZ からスポークへ HUB1-LAN1 + HUB2-LAN1 通る スポーク-LAN1 スポーク LAN
    4 Internet-via-Hub-CBO スポーク-LAN1 通る 任意 オーバーレイ
    手記:

    • クラウドJuniper Mist、ポリシーがリストされている順序でアプリケーションポリシーを評価して適用します。省略記号 (...) ボタンをクリックすると、特定のポリシーを順序で上下に移動できます。

    • SRXシリーズ・ファイアウォールで使用するステアリング・ポリシーを作成する必要があります。

    図 8 に、作成したアプリケーション ポリシーの一覧を示します。
    図 8: アプリケーション ポリシーの概要 Application Policy Summary
  3. デバッグとデバイス接続の確認のために、インターネット制御メッセージプロトコル(ICMP)pingを許可します。

    SRXシリーズファイアウォールのデフォルトのセキュリティ設定では、LANデバイスからWANエッジルーターのローカルインターフェイスへのICMP pingリクエストは許可されません。デバイスが外部ネットワークへの接続を試みる前に、接続をテストすることをお勧めします。また、デバッグやデバイスの接続確認のために、ICMP ping 要求を許可することもお勧めします。

    SRXシリーズファイアウォールで、次のCLI設定ステートメントを使用して、デバッグ用のローカルLANインターフェイスへのping要求を許可します。

デバイス固有のWANエッジテンプレートを設定する

デバイスのオンボーディングプロセスに従ったWANエッジテンプレートにより、デバイスの設定が簡素化されます。これらのWANエッジテンプレートは、すべてのエッジデバイスに固有の導入にカスタマイズすることができます。ジュニパーネットワークスのMist AIは、ベンダーに関係なく、あらゆるモデルにMist AI WANエッジテンプレートを適用できるため、業界でも独自の位置づけにあります。さらに、WANエッジテンプレートは、1つのテンプレートで異なるモデルを混在させて一致させることができるため、構成と導入フェーズを効率化できます。

SRXシリーズファイアウォールのWANエッジテンプレートを手動で設定するには、 WANエッジテンプレートの設定を参照してください。

デバイス固有の WAN エッジ テンプレート

Mist AI SD-WANで一部のジュニパーネットワークスのハードウェアを活用することには、大きなメリットがあります。ジュニパーネットワーク®スの多くのSRXシリーズファイアウォールでは、WANおよびLANインターフェイスを自動的に割り当て、接続のためにLANネットワークを定義するデバイス固有のテンプレートが付属しているため、構成が簡素化されています。

これらのテンプレートは、デバイスモデルごとに異なります。デバイスの選択と WAN Edge の命名後に手動入力が不要になると、ユーザーが指定した WAN Edge デバイスに値が事前入力されます。図 9 は、SRXシリーズ WAN エッジ テンプレートが、関連する DHCP および IP 値を持つ LAN および WAN のイーサネット インターフェイスなど、複数の値を生成していることを示しています。

図 9:SRXシリーズ WAN エッジ テンプレート Sample of SRX Series WAN Edge Templateのサンプル

さらに、Juniper Mistポータルはトラフィック・ステアリング・ポリシーを入力します。これによりJuniper Mist WAN 接続を介して、クワッドゼロのキャッチオール宛先を持つ 任意の Mistアプリケーションにトラフィックを送信できます。

WANエッジテンプレートを適用すると、アプリケーション ポリシー、ネットワーク、およびアプリケーションが自動更新を受信することがわかります。 図 10 に、アプリケーション ポリシーの例を示します。

図10:WANエッジテンプレート適用後のアプリケーションポリシー Application Policies After Applying WAN Edge Template

Juniper Mist AI SD-WAN には、以下のデバイスモデルと、SRXシリーズファイアウォール用の WAN Edge テンプレートが事前に設定されています。

  • SRX300
  • SRX320-POE
  • SRX320
  • SRX340
  • SRX345
  • SRX380
  • SRX550M
  • SRX1500
  • SRX1600*
  • SRX4100
  • SRX4200
  • SRX4600
  • SRX2300*
  • SRX4300*

* 2024年後半に新モデルのJuniper Mist AI WANに対応する予定であることを示す。

WANエッジデバイス固有のテンプレートは、基本的なネットワーク設定をワンステップで提供し、導入する各セッションスマートルーターおよびSRXシリーズファイアウォールデバイスに対して、再利用可能で一貫性のある設定を可能にします。このテンプレートは、デバイス固有の事前設定済みのWANインターフェイス、LANインターフェイス、トラフィックステアリングポリシー、アプリケーションポリシーを提供します。テンプレートに名前を付けて、デバイスの種類を選択するだけです。

デバイス固有の WAN Edge テンプレートを選択するには:

  1. Juniper Mist ポータルで、 組織> WAN > WAN Edge テンプレート を選択します。
  2. 右上隅にある [テンプレートの作成 ] を選択して、新しいテンプレート ページを開きます。
  3. テンプレートの名前を入力します。
  4. デバイスモデルから作成 」チェック・ボックスをクリックします。
  5. ドロップダウンボックスからデバイスモデルを選択します。
    図 11:デバイス固有の WAN エッジ テンプレート Configure Device-Specific WAN Edge Templateを構成する
  6. 「作成」をクリックします。

Juniper Mist UI に、完成したデバイス テンプレートが表示されます。これで、組織全体の多くのサイトやデバイスに適用できる実用的なWANエッジテンプレートができました。

サイトへの割り当て

テンプレートを設定したら、それを保存して、WANエッジデバイスを展開するサイトに割り当てる必要があります。

  1. テンプレート ページの上部にある [ サイトに割り当て ] ボタンをクリックします。
  2. テンプレートを適用するサイトを一覧から選択します。
  3. [ 適用] をクリックします。
  4. 最後に、デバイスをサイトに関連付けるだけです。 WAN設定用にSRXシリーズファイアウォールをオンボードするを参照してください。

参照