Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SRXシリーズファイアウォール用のWANエッジテンプレートを設定する

Juniper Mist™ WAN AssuranceのWANエッジテンプレートを使用すると、WANインターフェイス、トラフィックステアリングルール、アクセスポリシーなど、一般的なスポーク特性を定義できます。次に、これらの設定を、WANエッジデバイスとして導入されているジュニパーネットワークスの® SRXシリーズファイアウォールに適用します。WANエッジデバイスをサイトに割り当てると、デバイスは関連付けられたテンプレートの設定を自動的に採用します。この自動プロセスにより、ネットワーク インフラストラクチャ全体で一貫性のある標準化された構成を管理および適用して、構成プロセスを合理化できます。

手記:

Mistダッシュボードを通じてWANエッジデバイス上で行われた設定は、デバイスのCLIを介して行われた設定よりも優先されます。

スポーク デバイス用に 1 つ以上のテンプレートを使用できます。

このタスクでは、Juniper Mist™ Cloudポータルでスポークデバイス用のWANエッジテンプレートを作成して設定します。

WANエッジテンプレートの設定

WANエッジテンプレートを設定するには:

  1. Juniper Mist™ポータルで、[組織]>[WAN>WAN エッジテンプレート]をクリックします。既存のテンプレートがある場合は、そのリストが表示されます。
  2. 右上隅にある [テンプレートの作成] ボタンをクリックします。
    手記:

    [ Import Proprofile ](プロファイルのインポート)オプションを使用して JavaScript Object Notation(JSON)ファイルをインポートして、WAN Edge テンプレートを作成することもできます。

  3. 表示されるボックスにテンプレートの名前を入力し、[種類] をクリックして [スポーク] を選択し、[作成] をクリックします。
    図1:テンプレートタイプの選択 Select the Template Type

    WANエッジテンプレート設定ページのGUI要素を示す図を次に示します。

    図2: WANエッジテンプレートの設定オプション WAN Edge Template Configuration Options
  4. 表 1 に示す詳細に従って、構成を完了します。
    表 1: WAN エッジ プロファイル オプション
    フィールド の説明
    名前 プロファイル名。一意のプロファイル名を最大 64 文字で入力します。
    種類 WANエッジプロファイルタイプ。次のいずれかのオプションを選択します。
    • スタンドアロン - サイト内のスタンドアロン デバイスを管理します。

    • スポーク—設定内のハブ デバイスに接続されているスポーク デバイスを管理します。

    ティッカー ネットワーク タイム プロトコル(NTP)サーバーの IP アドレスまたはホスト名。NTPは、スイッチとインターネット上の他のハードウェアデバイスのクロックを同期するために使用されます。
    デバイスに適用 WANエッジテンプレートを関連付けるサイト。ドロップダウンメニューには、現在のサイトのインベントリに追加されたWANエッジデバイスのリストが表示されます。
    DNS 設定 ドメイン ネーム システム (DNS) サーバーの IP アドレスまたはホスト名。ネットワークデバイスは、DNSネームサーバーを使用してホスト名をIPアドレスに解決します。
    セキュアエッジコネクタ セキュアエッジコネクタの詳細。Juniper Secure Edgeは、Juniper Mist Cloudポータルによって管理されるWANエッジデバイスのトラフィック検査を実行します。
    WAN WANインターフェイスの詳細。このWANインターフェイスは、ハブ上のWANインターフェイスに対応しています。つまり、Mist はハブ上の WAN インターフェイスとスポーク上の WAN インターフェイスの間に IPsec VPN トンネルを作成します。WAN リンクごとに、物理インターフェイス、WAN のタイプ(イーサネットまたは DSL)、IP 設定、インターフェイスのオーバーレイハブエンドポイントを定義できます。 テンプレートへのWANインターフェイスの追加を参照してください。
    ティッカー LAN インターフェイス。LAN セグメントを接続する LAN インターフェイス。ネットワークの割り当て、VLANの作成、IPアドレスとDHCPオプション(なし、リレー、またはサーバー)の設定を行います。 LAN インターフェイスの追加を参照してください。
    トラフィックステアリング ステアリングパス。トラフィックが宛先に到達するまでに通過できるさまざまなパスを定義します。トラフィックステアリングポリシーには、通過するトラフィックのパスと、それらのパスを利用するための戦略を含めることができます。 トラフィックステアリングポリシーの設定を参照してください。
    アプリケーション ポリシー トラフィックにルールを適用するポリシー。ネットワーク(送信元)、アプリケーション(宛先)、トラフィックステアリングポリシー、ポリシーアクションを定義します。 「アプリケーション ポリシーの構成」を参照してください。
    ルーティング ハブとスポーク間でトラフィックをルーティングするためのルーティング オプション。ボーダーゲートウェイプロトコル(BGP)アンダーレイルーティングを有効にして、ルートを動的に学習するか、スタティックルーティングを使用してルートを手動で定義することができます。
    CLI設定 CLI オプション。テンプレートの GUI で使用できない追加設定でも、CLI set コマンドを使用して設定できます。
  5. 保存」をクリックします。

WAN インターフェイスをテンプレートに追加する

スポークの WAN インターフェイスは、ハブの WAN インターフェイスに対応します。つまり、Mist はハブ上の WAN インターフェイスとスポーク上の WAN インターフェイスの間に IPsec VPN トンネルを作成します。

このタスクでは、2 つの WAN インターフェイスを WAN エッジ テンプレートに追加します。

WAN インターフェイスをテンプレートに追加するには:

  1. [ WAN] セクションまで下にスクロールし、[ WAN の追加 ] をクリックして [WAN 構成の追加] ウィンドウを開きます。
  2. 先端:設定画面で作業するときは、VARインジケーターを探します。この区分を持つ項目は、サイト変数を許可します。

    このラベルの付いたフィールドには、特定の変数を入力し始めると、一致する変数(設定されている場合)も表示されます。このフィールドには、組織内のすべてのサイトの変数が一覧表示されます。

    組織全体の変数リストは、 GET /api/v1/orgs/:org_id/vars/search?var=* を使用して表示できます。この一覧は、サイトの設定の下に変数が追加されると設定されます。

    表 2 に示す詳細に従って、設定を完了します。
    表 2: WAN インターフェイス設定オプション
    フィールド WAN インターフェイス 1WAN インターフェイス 2
    名前 (ラベルであり、テクノロジーではない) INET ティッカー
    WANタイプ イーサネット イーサネット
    インターフェイス ge-0/0/0 ge-0/0/3
    VLAN ID - -
    IP 設定 DHCP 静的
      • IP アドレス={{WAN1_PFX}}.2

      • プレフィックス長 = 24

      • ゲートウェイ={{WAN1_PFX}}.1

    ソースNAT インターフェイス インターフェイス
    オーバーレイ ハブ エンドポイント (自動的に生成)。 hub1-INET、hub2-INET(BFDプロファイルブロードバンド) ハブ1-MPLSおよびハブ2-MPLS

    MTU

    MTU 値を 256 から 9192 の範囲で入力します。デフォルトは 1500 です。

    MTU 値を 256 から 9192 の範囲で入力します。デフォルトは 1500 です。

    図 3 に、作成した WAN インターフェイスの一覧を示します。

    図3: WANインターフェイスの概要 WAN Interfaces Summary

LTE インターフェイスの設定

Juniper Mist SD-WANにより、組織はLTE接続をシームレスに統合することができます。LTE 接続は、マルチパス ルーティングの代替パスを提供します。回線にアクセスできないロケーションのプライマリパス、またはプライマリ回線に障害が発生した場合の最後の手段のパスのいずれか。

例:ビジネスクリティカルなアプリケーション用のプライマリMPLS接続がある小売店。Juniper Mist SD-WANでは、LTEリンクをバックアップとして追加できます。MPLSリンクに問題が発生した場合、Juniper MistはトラフィックをLTEリンクに動的に切り替えます。これにより、継続的な接続が保証され、中断が最小限に抑えられます。

SRXシリーズファイアウォールでは、LTEミニ物理インターフェイスモジュール(Mini-PIM)が、SRX300シリーズおよびSRX550ハイメモリサービスゲートウェイ上で無線WANサポートを提供します。Mini-PIM はモデムが内蔵されており、3G および 4G ネットワークで動作します。ミニ PIM は、デバイスのどのミニ PIM スロットにも取り付けることができます。SRXシリーズファイアウォールへのLTE Mini-PIMのインストール https://www.juniper.net/documentation/us/en/hardware/lte-mpim-install/topics/task/lte-mpim-hardware-intalling.html を参照してください。

Juniper Mist SD-WAN向けのLTEリンクを取得するには、セッションスマートルーターとSRXシリーズファイアウォールにLTEインターフェイスを設定し、LTEカードに加入者識別モジュール(SIM)を挿入する必要があります。

LTE インターフェイスを WAN リンクとして追加するには:

  1. [ WAN] セクションまで下にスクロールし、[ WAN の追加 ] をクリックして [WAN 構成の追加] ウィンドウを開きます。
  2. インターフェイス設定の詳細を入力します
    表 3: LTE インターフェイスの設定

    田畑

    価値観

    名前

    LTE インターフェイスの名前

    形容

    インターフェイスの説明。

    WANタイプ ティッカー
    インターフェイス CL-1/0/0LTE Mini-PIM モジュールをスロット 1 に挿入する場合は、インターフェイス cl-1/0/0 を使用します。

    LTE APN

    ゲートウェイ ルーターのアクセス ポイント名 (APN) を入力します。名前には、英数字と特殊文字を含めることができます。(SRXシリーズファイアウォールではオプション、セッションスマートルーターでは必須)

    LTE認証

    APN 構成の認証方法を選択します。

    • [PAP]:認証方式としてパスワード認証プロトコル(PAP)を使用するには、このオプションを選択します。[ユーザー名] と [パスワード] を指定します。

    • CHAP:認証方法としてチャレンジ ハンドシェイク認証プロトコル(CHAP)認証を使用するには、このオプションを選択します。[ユーザー名] と [パスワード] を指定します。

    • なし(デフォルト):認証方法を使用しない場合は、このオプションを選択します。

    ソースNAT

    [ソース NAT オプション] を選択します。

    • インターフェイス - 送信元インターフェイスを使用したNAT。
    • プール - 定義された IP アドレス プールを使用する NAT。
    • 無効:送信元 NAT を無効にします。
    トラフィックシェーピング

    [ 有効 ] または [無効] を選択します。

    (セッションスマートルーターのみに必要)

    自動ネゴシエーション

    [ 有効 ] または [無効] を選択します。

    MTU MTU 値を 256 から 9192 の範囲で入力します。デフォルトは 1500 です。
  3. 保存」をクリックします。
手記:

SRXシリーズのファイアウォールでは、デバイス固有のWANエッジテンプレートオプションを使用してWANエッジテンプレートを作成すると、LTEインターフェイス設定がデフォルトでテンプレートに含まれます。

このテンプレートは、デバイス固有の事前設定済みWANインターフェイス、LANインターフェイス、トラフィックステアリングポリシー、およびアプリケーションポリシーを提供します。テンプレートに名前を付けて、デバイスタイプを選択するだけです。

図4に、テンプレートのWANセクションのデフォルトのLTE構成を含むSRX320テンプレートのサンプルを示します。

図 4: WANエッジテンプレートのサンプル WAN Edge Template Sample

WANエッジポートの無効化

WAN エッジポートを無効にする必要がある理由は多数あります。たとえば、デバッグ シナリオでは、ポートを無効にしてから再度有効にすると、プロセスのリセットがトリガーされ、問題の解決に役立ちます。

また、接続をステージングしているが、接続を稼働させる準備ができていない場合や、悪意のあるデバイスや問題のあるデバイスを特定した場合は、ポートを無効にして、デバイスの取り外しまたは修復が可能になるまでデバイスをすばやく無効にすることができます。

WANエッジポートを無効にするには:

  1. 組織> WANエッジテンプレート に移動します。
  2. 適切な WAN エッジ テンプレートをクリックします。
  3. [WAN または LAN] セクションまで下にスクロールし、適切な WAN エッジをクリックします。
  4. ウィンドウの[インターフェイス]セクションで、[無効]チェックボックスを選択します。これにより、指定されたインターフェイスのWANエッジデバイスポートが管理上無効になります。

  5. ウィンドウの下部にある [保存] をクリックして、変更を保存します。
  6. テンプレート ページの右上隅にある [保存] をクリックします。

    このオプションは、インターフェイス設定の一部です。このオプションを使用して集合型イーサネット(AE)インターフェイスまたは冗長イーサネット(reth)インターフェイスを無効にすると、すべてのメンバーリンクが無効になります

LAN インターフェイスの追加

LAN インターフェイス構成は、LAN 構成で指定したネットワークの名前から要求元を識別します。

LAN インターフェイスを追加するには:

  1. 「LAN」ペインまで下にスクロールし、「LAN の追加」をクリックして「LAN 構成の追加」パネルを開きます。
    図 5: テンプレート Add LAN Interfaces to the Templateへの LAN インターフェイスの追加
  2. LAN インターフェイスを設定します。

    LAN 構成セクションには、IP 構成、DHCP 構成、およびカスタム VR のコンポーネントが含まれています。LAN 構成セクションでは、他のコンポーネントに触れることなく、各構成コンポーネント (IP 構成など) を個別にオーバーライドできるため、柔軟性が向上します。

    [LAN 構成] セクションには、ポートまたはネットワークごとに構成を簡単に検索するためのフィルターもあります。

    • IP 構成

      • [ネットワーク(Network)]:ドロップダウンから使用可能なネットワークを選択します。
      • IPアドレス—インターフェイスのIPv4アドレスとプレフィックス長。
      • プレフィックス長—インターフェイスのプレフィックス長。
      • リダイレクトゲートウェイ—セッションスマートルーター専用のリダイレクトゲートウェイのIPアドレス。
    • DHCP 構成:LAN インターフェイスへの IP アドレスの割り当てに DHCP サービスを使用するには、 有効な オプションを選択します。

      • [ネットワーク(Network)]:使用可能なネットワークのリストからネットワークを選択します。
      • DHCP タイプ:DHCP サーバーまたは DHCP リレーを選択します。[DHCP サーバー] を選択した場合は、次のオプションを入力します。
        • [IP 開始] - 目的の IP アドレス範囲の開始 IP アドレスを入力します。
        • IP End:終了IPアドレスを入力します。
        • [ゲートウェイ] - ネットワーク ゲートウェイの IP アドレスを入力します。
        • DNS サーバ:ドメイン ネーム システム(DNS)サーバの IP アドレスを入力します。
        • [サーバー オプション] - 次のオプションを追加します。
          • コード:サーバを設定する DHCP オプション コードを入力します。[タイプ] フィールドには、関連付けられた値が入力されます。たとえば、オプション 15(ドメイン名)を選択すると、[ タイプ(Type )] フィールドに FQDN が表示されます。タイプに関連付けられている を入力する必要があります。
    • カスタム VR 構成。

      • [ネットワーク(Network)]:ドロップダウンから使用可能なネットワークを選択します。
      • 名前—ルーティングインスタンスの名前を入力します。
  3. 表 4 の詳細に従って設定を完了します。
    先端:設定画面で作業するときは、VARインジケーターを探します。この区分を持つ項目は、サイト変数を許可します。

    このラベルの付いたフィールドには、特定の変数を入力し始めると、一致する変数(設定されている場合)も表示されます。このフィールドには、組織内のすべてのサイトの変数が一覧表示されます。

    組織全体の変数リストは、 GET /api/v1/orgs/:org_id/vars/search?var=* を使用して表示できます。この一覧は、サイトの設定の下に変数が追加されると設定されます。

    表 4: LAN インターフェイス設定の例
    フィールド LAN インターフェイス
    ネットワーク SPOKE-LAN1(表示されるネットワークのリストから選択します。これを行うと、残りの構成が自動的に入力されます)。
    インターフェイス ge-0/0/3
    IPアドレス {{SPOKE_LAN1_PFX}}.1
    プレフィックス長 24
    タグなしVLAN いいえ
    DHCP いいえ

    図 6 に、作成した LAN インターフェースのリストを示します。

    図 6: LAN インターフェイス Summary of LAN Interfaceの概要

冗長イーサネットインターフェイスでの LACP の設定(ベータ版)

リンク アグリゲーション コントロール プロトコル(LACP)は、インターフェイス グループの動作方法を定義する IEEE 標準プロトコルです。LACPを使用すると、デバイスはLACPデータユニットを相互に送信して接続を確立します。接続できない場合、デバイスは接続を確立しようとしないため、リンク アグリゲーション グループ(LAG)設定の誤りなどのリンク アグリゲーション セットアップ プロセス中に問題が発生するのを防ぎます。SRXシリーズファイアウォールの冗長イーサネット(Reth)インターフェイスでLACPを設定できます。

冗長イーサネットインターフェイスでLACPを設定するには:

  1. Juniper Mistポータルの左側のメニューから、[組織]>[WANエッジテンプレート]を選択します。
  2. LACPを設定する冗長イーサネットインターフェイスを含むWANエッジテンプレートを選択します。
  3. 「LAN」ペインまで下にスクロールし、「LAN の追加」をクリックして「LAN 構成の追加」パネルを開くか、既存の LAN をクリックして「LAN 構成の編集」パネルを開きます。
  4. 次のフィールドを設定します。
    表 5: 冗長イーサネット インターフェイスでの LACP の設定例
    フィールド LAN インターフェイス設定
    インターフェイス 冗長インターフェイスをカンマで区切ってリストします。
    ポートアグリゲーション RethインターフェイスでLACPを有効にするには、このチェックボックスを選択します。
    フォースアップを有効にする このチェックボックスを選択すると、ピアの LACP 容量が制限されている場合に、インターフェイスの状態が「up」に設定されます。

    導入事例:このアグリゲートイーサネット(AE)インターフェイスポートに接続されたデバイスが初めてゼロタッチプロビジョニング(ZTP)を使用する場合、もう一方の端にはLACPが設定されていません。

    手記:

    これを選択すると、バンドル内のインターフェイスの1つだけで強制アップが有効になります。

    冗長(ベータ) 冗長性を有効にするには、このチェックボックスを選択します。LAN構成に記載されている物理インターフェイスは、冗長性グループとrethインターフェイス(冗長親)の下に設定されます。
    冗長インデックス(SRX)のみ これは、reth インターフェイスのインデックスです。例えば、インデックスが4の場合、冗長インターフェイスreth4が設定されます。
    プライマリノード これは、冗長性グループのプライマリノードであるノードを示しており、インターフェイスのフェイルオーバーが発生した場合にノードが他方を引き継ぐことができるように、ノードの1つがプライマリで、もう1つがセカンダリです。

    「アップ/ダウンポート」アラートタイプを有効にする

    このアラート タイプを有効にすると、ポートがアップからダウンに、またはその逆に遷移したときにアラートを受信できます。

    このため、ユーザは [アラートの監視] > [アラートの設定] で [重要な WAN エッジ ポートのアップ/ダウン] を有効にする>も必要です。

  5. パネルの下部にある [追加] または [保存] をクリックして、構成を保存します。

トラフィックステアリングポリシーの設定

ハブプロファイルと同様に、Juniper Mistネットワークのトラフィックステアリングでは、アプリケーショントラフィックがネットワークを通過する際に通過できるさまざまなパスを定義します。トラフィックステアリング内で設定したパスによって、宛先ゾーンも決定されます。

トラフィックステアリングポリシーを設定するには:

  1. Juniper Mistポータルで、[トラフィックステアリング]セクションまで下にスクロールし、[トラフィックステアリングの追加]をクリックして[トラフィックステアリング]設定ペインを表示します。
  2. 表 6 に示す詳細に従って、設定を完了します。
    表 6: トラフィック ステアリング ポリシーの設定
    フィールド トラフィックステアリングポリシー1 トラフィックステアリングポリシー2
    名前 スポークラン オーバーレイ
    戦略 注文 ティッカー
    パス (パスの種類については、以前に作成した LAN および WAN ネットワークをエンドポイントとして選択できます)。
    • タイプ - LAN

    • ネットワーク - SPOKE-LAN1

    • タイプ - WAN

    • ネットワーク
      • hub1-INET

      • hub2-INET

      • ハブ1-MPLS

      • ハブ2-MPLS

    図 7 に、作成したトラフィック ステアリング ポリシーのリストを示します。

    図7:トラフィックステアリングポリシーの概要 Traffic-Steering Policies Summary

アプリケーション ポリシーの設定

Mistネットワークでは、アプリケーションポリシーにより、どのネットワークとユーザーがどのアプリケーションにアクセスできるかを、どのトラフィックステアリングポリシーに従って定義するかを定義します。 [ネットワーク/ユーザー] 設定によって、ソース ゾーンが決まります。 アプリケーション + トラフィックステアリング の設定は、宛先ゾーンを決定します。さらに、[許可] または [拒否] のアクションを割り当てることもできます。Mist は、アプリケーション ポリシーを指定した順序で評価して適用します。

図 8 に示すトラフィック フローの要件について考えてみましょう。この図は、企業VPNセットアップの基本的な初期トラフィックモデルを示しています(3番目のスポークデバイスと2番目のハブデバイスは示されていません)。

図 8: トラフィックフローと分散 Traffic Flow and Distribution

上記の要件を満たすには、次のアプリケーション ポリシーを作成する必要があります。

  • ポリシー 1 - スポーク サイトからハブへのトラフィックを許可します。この場合、アドレスグループで使用される宛先プレフィックスは、2 つのハブの LAN インターフェイスを表します。

  • ポリシー 2 - オーバーレイを介して企業 LAN を通過するスポークツースポーク トラフィックを許可します。

    手記:

    これは、マネージドIPを持つ高価なMPLSネットワークを除いて、現実の世界では実現できない可能性があります。マネージド IP は、もう一方のスポークにトラフィックを直接送信します。このタイプのトラフィックは通常、ハブ デバイスを経由してフローします

  • ポリシー 3 - ハブと、ハブに接続された DMZ の両方からスポーク デバイスへのトラフィックを許可します。

  • ポリシー 4 - インターネット宛のトラフィックがスポーク デバイスからハブ デバイスに流れることを許可します。そこから、トラフィックはインターネットに飛び出します。この場合、ハブはトラフィックにソース NAT を適用し、ハブ プロファイルで定義されたとおりにトラフィックを WAN インターフェイスにルーティングします。このルールは一般的なものなので、特定のルールの後に配置する必要があります。Mistは、ポリシーリストに配置された順序でアプリケーションポリシーを評価するためです。

アプリケーション ポリシーを構成するには:

  1. Juniper Mistポータルで、[アプリケーションポリシー]セクションまで下にスクロールし、[ポリシーの追加]をクリックして、ポリシーリストに新しいポリシーを追加します。
  2. 表 7 に示す詳細に従って、設定を完了します。
    表 7: アプリケーション ポリシーの設定
    S.No。 ルール名 ネットワーク アクション 宛先 ステアリング
    1 スポークツーハブDMZ スポークLAN1 通る HUB1-LAN1 + HUB2-LAN1 オーバーレイ
    2 ハブ経由のスポークツースポーク スポークLAN1 通る スポークLAN1 オーバーレイ
    3 ハブDMZからスポークへ HUB1-LAN1 + HUB2-LAN1 通る スポークLAN1 スポークラン
    4 Internet-via Hub-CBO スポークLAN1 通る 任意 オーバーレイ
    手記:
    • Juniper Mist Cloudは、ポリシーが記載されている順序でアプリケーションポリシーを評価して適用します。特定のポリシーを順序で上下に移動するには、省略記号ボタン ([...]) をクリックします。

    • SRXシリーズファイアウォールで使用するステアリングポリシーを作成する必要があります。

    図 9 に、作成したアプリケーション ポリシーの一覧を示します。
    図 9: アプリケーション ポリシーの概要 Application Policy Summary
  3. デバッグとデバイス接続の確認のために、インターネット制御メッセージ プロトコル(ICMP)ping を許可します。

    SRXシリーズファイアウォールのデフォルトのセキュリティ設定では、LANデバイスからWANエッジルーターのローカルインターフェイスへのICMP pingリクエストは許可されません。デバイスが外部ネットワークへの接続を試みる前に、接続をテストすることを推奨します。また、デバッグとデバイスの接続の確認のために ICMP ping 要求を許可することもお勧めします。

    SRXシリーズファイアウォールでは、次のCLI設定ステートメントを使用して、デバッグ用のローカルLANインターフェイスへのpingリクエストを許可します。

デバイス固有の WAN エッジ テンプレートの設定

デバイスのオンボーディングプロセスに従って、WANエッジテンプレートを使用することでデバイス設定が簡素化されます。これらのWANエッジテンプレートは、すべてのエッジデバイスに固有の導入にカスタマイズできます。ジュニパーネットワークス WAN Edge テンプレートは、ベンダーに関係なく、あらゆるモデルに適用できるため、業界で独自の地位を確立しています。さらに、WAN Edge テンプレートでは、1 つのテンプレートで異なるモデルを組み合わせることができるため、構成と導入フェーズが合理化されます。

SRXシリーズファイアウォール用のWANエッジテンプレートを手動で設定するには、 WANエッジテンプレートの設定を参照してください。

デバイス固有のWANエッジテンプレート

一部のジュニパーネットワークスのハードウェアとMist AI SD-WANを活用することには大きなメリットがあります。多くのジュニパーネットワークス® SRXシリーズファイアウォールでは、WANおよびLANインターフェイスを自動的に割り当て、接続用のLANネットワークを定義するデバイス固有のテンプレートを備えており、構成は簡素化されています。

これらのテンプレートは、デバイス モデルごとに一意です。デバイスを選択してWANエッジに名前を付けた後の手動入力なしで、ユーザーが指定したWANエッジデバイスに値が事前に入力されます。図10は、関連するDHCPIPの値を持つLANおよびWANのイーサネットインターフェイスなど、複数の値を生成するSRXシリーズWANエッジテンプレートを示しています。

図 10: SRXシリーズWANエッジテンプレートSample of SRX Series WAN Edge Templateのサンプル

さらに、Juniper Mistポータルからトラフィックステアリングポリシーが設定されます。これにより、Juniper Mistは、 WAN 接続を介して、クワッドゼロのキャッチオール宛先を持つ 任意の Mistアプリケーションにトラフィックを送信できます。

WAN エッジテンプレートを適用すると、アプリケーションポリシー、ネットワーク、アプリケーションが自動更新されることがわかります。 図 11 に、アプリケーション ポリシーの例を示します。

図 11: WAN エッジ テンプレート Application Policies After Applying WAN Edge Template適用後のアプリケーション ポリシー

Juniper Mist AI SD-WANには、SRXシリーズファイアウォール用のWANエッジテンプレートが事前構成された以下のデバイスモデルが含まれています。

  • SRX300
  • SRX320-POE
  • SRX320
  • SRX340
  • SRX345:
  • SRX380
  • SRX550M
  • SRX1500
  • SRX1600*
  • SRX4100
  • SRX4200
  • SRX4600
  • SRX2300*
  • SRX4300*

*は、2024年後半に新しいモデルでJuniper Mist AI WANのサポートが計画されていることを示します。

WANエッジデバイス固有のテンプレートでは、基本的なネットワーク構成がワンステップで提供されるため、導入する各セッションスマートルーターとSRXシリーズファイアウォールデバイスで、再利用可能で一貫性のある構成が可能になります。このテンプレートは、デバイス固有の事前設定済みWANインターフェイス、LANインターフェイス、トラフィックステアリングポリシー、およびアプリケーションポリシーを提供します。テンプレートに名前を付けて、デバイスタイプを選択するだけです。

デバイス固有の WAN エッジテンプレートを選択するには:

  1. Juniper Mistポータルで、[ 組織>WAN>WANエッジテンプレート]を選択します。
  2. 右上隅にある [ テンプレートの作成 ] を選択して、新しいテンプレート ページを開きます。
  3. テンプレートの名前を入力します。
  4. デバイスモデルから作成 」チェックボックスをクリックします。
  5. ドロップダウンボックスからデバイスモデルを選択します。
    図 12: デバイス固有の WAN エッジテンプレートの設定 Configure Device-Specific WAN Edge Template
  6. [ 作成] をクリックします。

Juniper Mist UIに、完成したデバイステンプレートが表示されます。これで、組織内の多くのサイトやデバイスに適用できる実用的なWANエッジテンプレートが作成されました。

サイトへの割り当て

テンプレートを設定したら、それを保存して、WAN エッジ デバイスを展開するサイトに割り当てる必要があります。

  1. テンプレート ページの上部にある [ サイトに割り当てる ] ボタンをクリックします。
  2. テンプレートを適用するサイトをリストから選択します。
  3. [ 適用] をクリックします。
  4. 最後に、あとはデバイスをサイトに関連付けるだけです( WAN設定用のオンボードSRXシリーズファイアウォールを参照)。