Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

セッションスマートルーターのアプリケーションの設定

以下のステップに従って、ネットワーク宛先へのアクセスを許可または拒否するアプリケーション・ポリシーで使用するアプリケーションを定義します。

構成の概要

Juniper Mistの アプリケーションは 、ネットワークトラフィックの 送信先 と考えることができます。例としては、ネットワークサービス、SaaS、プライベートサブネット、クラウドワークロードなどがあります。

アプリケーションを定義することは、アプリケーション ポリシーを作成するための前提条件です。

独自にカスタマイズした設定を入力するか、ブランド名のアプリケーションを選択するか、URL カテゴリを割り当てることで、アプリケーションを定義できます。

アプリケーションを設定するには、次のようにします。

  1. 左側のメニューから [Organization > WAN> Applications] をクリックします。
  2. アプリケーション」ページの右上隅にある「アプリケーションの追加」をクリックします。
  3. 名前と説明を入力します。

    • [名前(Name)]:アプリケーションの一意の名前を入力します。アプリケーションの名前付けには、英数字、アンダースコア、ダッシュなど、最大 32 文字を使用できます。

    • [説明(Description)]:アプリケーションとコンテキストの説明を入力します。

  4. アプリケーションの種類を選択し、以下の説明に従って関連する設定を入力します。

    • カスタムアプリケーション—独自のアプリケーション。IP アドレス、ドメイン名、プロトコルを入力します。詳細については、「 カスタム アプリケーション」を参照してください。

    • アプリ - Apple iCloud、Facebook、Google マップなどの名前付きアプリケーション。ドロップダウンリストから 1 つ以上のアプリケーションを選択します。アプリケーションをすばやく見つけるには、プラス記号をクリックして [検索] ボックスに入力を開始します。

      定義済みアプリケーションは、一般的に使用される組み込みのサービスであり、Mist はライブラリを使用して識別します。これらのアプリケーションは名前で認識され、一般的なクラウドサービス、コラボレーションツール、生産性プラットフォームが含まれています。Mistは、既知のアプリケーション(Microsoft Teams、Zoom、Dropboxなど)のドロップダウンリストを提供します。これらのアプリケーションは、すでにそれぞれのドメイン、ポート、プロトコルにマッピングされています。これらを選択するときに、IP または URL を定義する必要はありません。次に、これらのアプリに基づいてトラフィックを許可、ブロック、または誘導するポリシーを割り当てます。

    • URL Categories—Categories such as Conferencing, Images, Shopping, and so on. Select one or more categories and sub-categories from the drop-down list. See URL Categories.

    • カスタム URL - URL やワイルドカード。 「カスタム URL」を参照してください

  5. [詳細設定]で、デフォルト設定をそのまま使用するか、他のオプションを選択します。
    これらの設定に関するヘルプについては、「 詳細設定」を参照してください。
  6. 設定パネルの下部にある [追加] をクリックします。

カスタムアプリケーション

アプリケーションの種類として [カスタム アプリ] を選択する場合は、IP アドレス範囲、ドメイン名、およびプロトコルによってトラフィックの宛先を定義します。このアプローチは、内部サービス、特定の IP 範囲、およびネットワークで使用される固有のプロトコルに役立ちます。

表 1: カスタム設定
フィールド の説明
IP アドレス アプリケーションのプレフィックス(存在する場合)を含むネットワークIPアドレスを入力します。複数の宛先 IP アドレスまたはドメイン名をカンマで区切って入力できます。
ドメイン名 アプリケーションのドメイン名 (juniper.example.com など) を入力します。ドメイン名は、クラウド ブレークアウト プロファイルで完全修飾ドメイン名(FQDN)を生成するために使用されます。クラウドセキュリティプロバイダは、FQDNを使用してIPsecトンネルを識別します。
プロトコル、ポート番号、およびポート範囲 プロトコルを選択し、アプリケーションが使用するポート範囲 (開始ポートと終了ポート) を指定します。

プロトコルとして[カスタム(SRXのみ)]を選択した場合は、1〜254のプロトコル番号も入力します。

手記:

このアプリケーションのプロトコルをさらに追加する必要がある場合は、プロトコルセクションの右上隅にある[+]ボタンをクリックします。

変数を使用して値を表すことを検討してください。フィールド見出しの横に VAR ラベルが表示されている場合は、特定の値を入力しなくても、そのフィールドに変数を入力して宛先を照合できます。

あまり具体的でないアドレスでアプリケーションを作成することをお勧めします。たとえば、プレフィックスが 10.0.0.0/8 のデータ センターがあるとします。より具体的なパス選択のために、より具体的なアドレスをこのプレフィックスに含めることができます。

次の表に例を示します。

表2:カスタムアプリケーションの例
カスタムアプリケーション IP アドレス の説明
任意 0.0.0.0/0

このアドレスを使用して、すべてまたはすべての IPv4 アドレスの宛先を照合します。IP アドレス 0.0.0.0 は、プレースホルダー アドレスとしても機能します。
スポーク-LAN1 10.0.0.0/8 企業 VPN 内のすべての IP アドレスの一致条件です。
ハブ1-LAN1 10.66.66.0/24

Hub1 デバイスの LAN インターフェイスで接続されているすべての IP アドレスの一致条件。

ハブ2-LAN1 10.55.55.0/24

Hub2 デバイスの LAN インターフェイスで接続されているすべての IP アドレスの一致条件。

URL カテゴリ

アプリケーションは、ユーザーが到達しようとしているエンドポイント(IP、ドメイン名、URLなど)を表します。URL パターンは、これらの宛先をより柔軟に定義するのに役立ちます。Juniper Mist クラウドは、タイプ(ショッピング、スポーツなど)と重大度(all、standard、strict)別にグループ化された URL カテゴリのリストを提供します。URL カテゴリを使用して、アプリケーションを定義できます。追加のサブカテゴリでは、アプリケーション作成のためのさらに詳細なフィルタリングが提供されます。1 つのアプリケーションの URL カテゴリを 1 つまたは複数選択できます。

たとえば、アプリケーションを作成して「ソーシャル メディア」という名前を付け、URL カテゴリとして [ソーシャル ネットワーキング] または [インスタント メッセージング] を選択できます。その後、勤務時間中にアクセスをブロックまたは制限するポリシーを作成できます。

アプリケーションを追加するときに、URL カテゴリタイプを使用して、エンターテイメント、ショッピング、スポーツなどのカテゴリ別に宛先を定義できます。

手記:このオプションには、IDP/URL フィルタリング ライセンスが必要です。一部のデバイスに同梱されており、セキュリティバンドルとして購入できます。

たとえば、ソーシャル メディアというアプリケーションを作成し、URL カテゴリとして [ソーシャル ネットワーキング] と [インスタント メッセージング] を選択します。後で、[アプリケーション ポリシー] ページで、勤務時間中にこれらの URL へのアクセスをブロックまたは制限するポリシーを作成します。

図 1:URL カテゴリの例 Example showing URL Categories as the type and selected categories of Arts and Entertainment, Games, and Blogs
手記:

セッションスマートルーターの場合、ハブデバイスではなく、スポークデバイスのみでURLカテゴリを使用してアプリケーションを設定することをお勧めします。

カスタム URL

アプリケーションを定義するときに、事前定義されたアプリケーションでカバーされないサービスのカスタム URL を入力できます。

次のように入力できます。

  • 正確なドメイン名。 example.com

  • アスタリスクを使用したワイルドカードドメイン。例: *.example.com

    このアプローチでは、関連するサービスを 1 つのアプリケーションにグループ化できます。たとえば、 *.google.com には、Gmail、ドライブ、Meet、その他の Google サイトが含まれます。

  • 複数の URL を指定するには、コンマ区切り記号を使用します。

  • アプリケーションには最大 15 個の URL パターンを指定できます。

  • * ワイルドカードのみがサポートされています。

  • サポートされているパターンを表示するには、ツールチップアイコンの上にマウスを置きます。 https://abc.com パターンは、SRXシリーズデバイスにのみ使用できることに注意してください。

    図2:カスタムURL Custom URLs

高度な設定

[ Advanced Settings] で [Traffic Type] を指定します。一般トラフィックの場合は デフォルト のままにするか、プリセットのトラフィックタイプを選択するか、[ カスタム]を選択します。

  • 事前設定されたトラフィックの種類を選択すると、フェールオーバー (SSR のみ)、レイテンシー、ジッター、損失などの設定の値が表示されます。

    手記:

    [アプリと URL カテゴリ(Apps and URL Categories)] では、[ 設定の上書き(Override Settings )] チェックボックスをオンにした後にのみ、特定のトラフィック タイプを選択できます。

  • トラフィック タイプとして [カスタム(Custom )] を選択した場合は、[ トラフィック クラス(Traffic Class)] も選択し、次の表の説明に従ってプリセット値を調整します。

表 3:詳細設定
フィールドの説明
フェイルオーバー・ポリシー(SSRのみ) SSR にのみ適用されます。
  • [復帰可能(Revertible)]:プライマリ リンクが回復すると、トラフィックは自動的にプライマリ リンクに切り替わります。
  • [復元不可(Non-Revertible)]:プライマリ リンクに戻すには手動による介入が必要です。プライマリリンクの障害によりトラフィックがセカンダリリンクに切り替わっても、自動的にプライマリリンクに戻ることはありません。
  • [なし(None)]:セッション フェールオーバーを無効にします。デバイスのプライマリリンクがサービスレベルアグリーメント(SLA)を満たさない場合、既存のセッションはプライマリリンクに残り、新しいセッションはセカンダリリンクにリダイレクトされます。プライマリ リンクが回復して SLA を満たすと、セカンダリ リンク上の既存のセッションは続行され、新しいセッションはプライマリ リンクで開始されます。この動作は、リンク全体がダウンした場合でも一貫しています。
トラフィック クラス
  • ベストエフォート - 特別な処理は行わず、重要でないデータに適しています。
  • [中(Medium)]:ベストエフォートよりも優先され、遅延の影響を受けないアプリケーションに使用されます。
  • 高:低遅延の要件を持つ重要なアプリケーション。
  • 低:バックグラウンドまたは緊急ではないトラフィック
DSCPクラス(SSRのみ) SSRを経由するトラフィックにのみ適用されます

トラフィック クラス(ベスト エフォート(Best Effort)、[高(High)]、[中(Medium)]、または [低(Low)])を選択すると、該当するデフォルトの DSCP クラス値がヘルプ テキストとして表示されます。上書きすることを選択できます。DSCP クラスを設定することで、特定のトラフィック タイプを適切な QoS レベルにマッピングできます。範囲: 0-63
最大レイテンシ

最大遅延しきい値を設定することで、SD-WAN は過度の遅延を伴うリンクを回避できます。範囲: 0 から 4294967295 (ミリ秒)
最大ジッター

最大ジッターしきい値を指定することで、SD-WAN は安定したリンクを選択し、予測可能なパフォーマンスを維持します。範囲: 0 から 4294967295 (ミリ秒)
最大損失

このしきい値を設定することで、SD-WAN はパケット損失率の高いリンクを回避できます。範囲:0-100