SRXシリーズファイアウォール用のWANエッジテンプレートを設定する
Juniper Mist™ WAN AssuranceのWANエッジテンプレートを使用すると、WANインターフェイス、トラフィックステアリングルール、アクセスポリシーなど、一般的なスポーク特性を定義できます。次に、これらの設定を、WANエッジデバイスとして導入されているジュニパーネットワークスの® SRXシリーズファイアウォールに適用します。WANエッジデバイスをサイトに割り当てると、デバイスは関連付けられたテンプレートの設定を自動的に採用します。この自動プロセスにより、ネットワーク インフラストラクチャ全体で一貫性のある標準化された構成を管理および適用して、構成プロセスを合理化できます。
Mistダッシュボードを通じてWANエッジデバイス上で行われた設定は、デバイスのCLIを介して行われた設定よりも優先されます。
スポーク デバイス用に 1 つ以上のテンプレートを使用できます。
このタスクでは、Juniper Mist™ Cloudポータルでスポークデバイス用のWANエッジテンプレートを作成して設定します。
WANエッジテンプレートの設定
WANエッジテンプレートを設定するには:
WAN インターフェイスをテンプレートに追加する
このタスクでは、2 つの WAN インターフェイスを WAN エッジ テンプレートに追加します。
WAN インターフェイスをテンプレートに追加するには:
LTE インターフェイスの設定
Juniper Mist SD-WANにより、組織はLTE接続をシームレスに統合することができます。LTE 接続は、マルチパス ルーティングの代替パスを提供します。回線にアクセスできないロケーションのプライマリパス、またはプライマリ回線に障害が発生した場合の最後の手段のパスのいずれか。
例:ビジネスクリティカルなアプリケーション用のプライマリMPLS接続がある小売店。Juniper Mist SD-WANでは、LTEリンクをバックアップとして追加できます。MPLSリンクに問題が発生した場合、Juniper MistはトラフィックをLTEリンクに動的に切り替えます。これにより、継続的な接続が保証され、中断が最小限に抑えられます。
SRXシリーズファイアウォールでは、LTEミニ物理インターフェイスモジュール(Mini-PIM)が、SRX300シリーズおよびSRX550ハイメモリサービスゲートウェイ上で無線WANサポートを提供します。Mini-PIM はモデムが内蔵されており、3G および 4G ネットワークで動作します。ミニ PIM は、デバイスのどのミニ PIM スロットにも取り付けることができます。SRXシリーズファイアウォールへのLTE Mini-PIMのインストール https://www.juniper.net/documentation/us/en/hardware/lte-mpim-install/topics/task/lte-mpim-hardware-intalling.html を参照してください。
Juniper Mist SD-WAN向けのLTEリンクを取得するには、セッションスマートルーターとSRXシリーズファイアウォールにLTEインターフェイスを設定し、LTEカードに加入者識別モジュール(SIM)を挿入する必要があります。
LTE インターフェイスを WAN リンクとして追加するには:
SRXシリーズのファイアウォールでは、デバイス固有のWANエッジテンプレートオプションを使用してWANエッジテンプレートを作成すると、LTEインターフェイス設定がデフォルトでテンプレートに含まれます。
このテンプレートは、デバイス固有の事前設定済みWANインターフェイス、LANインターフェイス、トラフィックステアリングポリシー、およびアプリケーションポリシーを提供します。テンプレートに名前を付けて、デバイスタイプを選択するだけです。
図4に、テンプレートのWANセクションのデフォルトのLTE構成を含むSRX320テンプレートのサンプルを示します。
WANエッジポートの無効化
WAN エッジポートを無効にする必要がある理由は多数あります。たとえば、デバッグ シナリオでは、ポートを無効にしてから再度有効にすると、プロセスのリセットがトリガーされ、問題の解決に役立ちます。
また、接続をステージングしているが、接続を稼働させる準備ができていない場合や、悪意のあるデバイスや問題のあるデバイスを特定した場合は、ポートを無効にして、デバイスの取り外しまたは修復が可能になるまでデバイスをすばやく無効にすることができます。
WANエッジポートを無効にするには:
LAN インターフェイスの追加
LAN インターフェイス構成は、LAN 構成で指定したネットワークの名前から要求元を識別します。
LAN インターフェイスを追加するには:
冗長イーサネットインターフェイスでの LACP の設定(ベータ版)
リンク アグリゲーション コントロール プロトコル(LACP)は、インターフェイス グループの動作方法を定義する IEEE 標準プロトコルです。LACPを使用すると、デバイスはLACPデータユニットを相互に送信して接続を確立します。接続できない場合、デバイスは接続を確立しようとしないため、リンク アグリゲーション グループ(LAG)設定の誤りなどのリンク アグリゲーション セットアップ プロセス中に問題が発生するのを防ぎます。SRXシリーズファイアウォールの冗長イーサネット(Reth)インターフェイスでLACPを設定できます。
冗長イーサネットインターフェイスでLACPを設定するには:
トラフィックステアリングポリシーの設定
ハブプロファイルと同様に、Juniper Mistネットワークのトラフィックステアリングでは、アプリケーショントラフィックがネットワークを通過する際に通過できるさまざまなパスを定義します。トラフィックステアリング内で設定したパスによって、宛先ゾーンも決定されます。
トラフィックステアリングポリシーを設定するには:
アプリケーション ポリシーの設定
Mistネットワークでは、アプリケーションポリシーにより、どのネットワークとユーザーがどのアプリケーションにアクセスできるかを、どのトラフィックステアリングポリシーに従って定義するかを定義します。 [ネットワーク/ユーザー] 設定によって、ソース ゾーンが決まります。 アプリケーション + トラフィックステアリング の設定は、宛先ゾーンを決定します。さらに、[許可] または [拒否] のアクションを割り当てることもできます。Mist は、アプリケーション ポリシーを指定した順序で評価して適用します。
図 8 に示すトラフィック フローの要件について考えてみましょう。この図は、企業VPNセットアップの基本的な初期トラフィックモデルを示しています(3番目のスポークデバイスと2番目のハブデバイスは示されていません)。
上記の要件を満たすには、次のアプリケーション ポリシーを作成する必要があります。
-
ポリシー 1 - スポーク サイトからハブへのトラフィックを許可します。この場合、アドレスグループで使用される宛先プレフィックスは、2 つのハブの LAN インターフェイスを表します。
-
ポリシー 2 - オーバーレイを介して企業 LAN を通過するスポークツースポーク トラフィックを許可します。
手記:これは、マネージドIPを持つ高価なMPLSネットワークを除いて、現実の世界では実現できない可能性があります。マネージド IP は、もう一方のスポークにトラフィックを直接送信します。このタイプのトラフィックは通常、ハブ デバイスを経由してフローします
-
ポリシー 3 - ハブと、ハブに接続された DMZ の両方からスポーク デバイスへのトラフィックを許可します。
-
ポリシー 4 - インターネット宛のトラフィックがスポーク デバイスからハブ デバイスに流れることを許可します。そこから、トラフィックはインターネットに飛び出します。この場合、ハブはトラフィックにソース NAT を適用し、ハブ プロファイルで定義されたとおりにトラフィックを WAN インターフェイスにルーティングします。このルールは一般的なものなので、特定のルールの後に配置する必要があります。Mistは、ポリシーリストに配置された順序でアプリケーションポリシーを評価するためです。
アプリケーション ポリシーを構成するには:
デバイス固有の WAN エッジ テンプレートの設定
デバイスのオンボーディングプロセスに従って、WANエッジテンプレートを使用することでデバイス設定が簡素化されます。これらのWANエッジテンプレートは、すべてのエッジデバイスに固有の導入にカスタマイズできます。ジュニパーネットワークス WAN Edge テンプレートは、ベンダーに関係なく、あらゆるモデルに適用できるため、業界で独自の地位を確立しています。さらに、WAN Edge テンプレートでは、1 つのテンプレートで異なるモデルを組み合わせることができるため、構成と導入フェーズが合理化されます。
SRXシリーズファイアウォール用のWANエッジテンプレートを手動で設定するには、 WANエッジテンプレートの設定を参照してください。
デバイス固有のWANエッジテンプレート
一部のジュニパーネットワークスのハードウェアとMist AI SD-WANを活用することには大きなメリットがあります。多くのジュニパーネットワークス® SRXシリーズファイアウォールでは、WANおよびLANインターフェイスを自動的に割り当て、接続用のLANネットワークを定義するデバイス固有のテンプレートを備えており、構成は簡素化されています。
これらのテンプレートは、デバイス モデルごとに一意です。デバイスを選択してWANエッジに名前を付けた後の手動入力なしで、ユーザーが指定したWANエッジデバイスに値が事前に入力されます。図10は、関連するDHCPとIPの値を持つLANおよびWANのイーサネットインターフェイスなど、複数の値を生成するSRXシリーズWANエッジテンプレートを示しています。
さらに、Juniper Mistポータルからトラフィックステアリングポリシーが設定されます。これにより、Juniper Mistは、 WAN 接続を介して、クワッドゼロのキャッチオール宛先を持つ 任意の Mistアプリケーションにトラフィックを送信できます。
WAN エッジテンプレートを適用すると、アプリケーションポリシー、ネットワーク、アプリケーションが自動更新されることがわかります。 図 11 に、アプリケーション ポリシーの例を示します。
Juniper Mist AI SD-WANには、SRXシリーズファイアウォール用のWANエッジテンプレートが事前構成された以下のデバイスモデルが含まれています。
- SRX300
- SRX320-POE
- SRX320
- SRX340
- SRX345:
- SRX380
- SRX550M
- SRX1500
- SRX1600*
- SRX4100
- SRX4200
- SRX4600
- SRX2300*
- SRX4300*
*は、2024年後半に新しいモデルでJuniper Mist AI WANのサポートが計画されていることを示します。
WANエッジデバイス固有のテンプレートでは、基本的なネットワーク構成がワンステップで提供されるため、導入する各セッションスマートルーターとSRXシリーズファイアウォールデバイスで、再利用可能で一貫性のある構成が可能になります。このテンプレートは、デバイス固有の事前設定済みWANインターフェイス、LANインターフェイス、トラフィックステアリングポリシー、およびアプリケーションポリシーを提供します。テンプレートに名前を付けて、デバイスタイプを選択するだけです。
デバイス固有の WAN エッジテンプレートを選択するには:
- Juniper Mistポータルで、[ 組織>WAN>WANエッジテンプレート]を選択します。
- 右上隅にある [ テンプレートの作成 ] を選択して、新しいテンプレート ページを開きます。
- テンプレートの名前を入力します。
- 「 デバイスモデルから作成 」チェックボックスをクリックします。
- ドロップダウンボックスからデバイスモデルを選択します。
図 12: デバイス固有の WAN エッジテンプレートの設定
- [ 作成] をクリックします。
Juniper Mist UIに、完成したデバイステンプレートが表示されます。これで、組織内の多くのサイトやデバイスに適用できる実用的なWANエッジテンプレートが作成されました。
サイトへの割り当て
テンプレートを設定したら、それを保存して、WAN エッジ デバイスを展開するサイトに割り当てる必要があります。
- テンプレート ページの上部にある [ サイトに割り当てる ] ボタンをクリックします。
- テンプレートを適用するサイトをリストから選択します。
- [ 適用] をクリックします。
- 最後に、あとはデバイスをサイトに関連付けるだけです( WAN設定用のオンボードSRXシリーズファイアウォールを参照)。