Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

エンタープライズ ハブ サイトの追加

異なるテナントで共有できるプロバイダー ハブとは異なり、エンタープライズ ハブは 1 つのテナントでのみ使用できます。エンタープライズハブは、ハブアンドスポークトポロジー内のすべてのブランチサイト(スポーク)を接続し、ブランチサイトからのバックホール(セントラルブレイクアウトとも呼ばれる)トラフィックをブレークアウトするために使用されるSD-WANサイトです。エンタープライズハブには通常、その背後にデータセンター部門があります。ただし、これはCSOでは強制されません。

メモ:

CSOリリース6.0.0以降、SD-WAN導入では、ハブを使用したサイト接続は任意となっています。

詳細については、CSO カスタマー ポータル ユーザー ガイド (CSO ドキュメント ページで入手可能) の「エンタープライズ ハブの概要」を参照してください。

メモ:

エンタープライズ ハブ サイトを追加する前に、 SD-WAN でサポートされているデバイスおよび開くポートとプロトコルで説明されているように、ケーブル接続を確認し、NAT とファイアウォールのポートとプロトコルを確認し、エンタープライズ ハブ デバイスの Junos OS バージョンを確認します。

エンタープライズ ハブ サイトを追加するには:

  1. リソース」>カスタマー・ポータルの「サイト管理」をクリックします。

    [サイト] ページが表示されます。

  2. [追加] をクリックし、[エンタープライズ ハブの追加] を選択します。

    エンタープライズハブの追加ウィザードが表示され、構成する一般設定が表示されます。

  3. 表 1 の説明に従って [全般] 設定を構成し、[次へ] をクリックします。

    ワークフローの WAN セクションに移動します。

    メモ:

    アスタリスク (*) の付いたフィールドは必須です。
  4. 表 2 の説明に従って WAN 設定を構成し、[次へ] をクリックします。
    メモ:

    リリース6.1.0では、少なくとも1つのWANリンクがIPアドレスを取得してアクティブになると、CSOはサイトをプロビジョニング済み状態に移動します。

    ワークフローの LAN セクションに移動します。

  5. LANセグメントを追加します。
    1. 追加(+)アイコンをクリックします。

      LAN セグメントの追加 ページが表示されます。

    2. 表 3 の説明に従って LAN セグメント設定を構成します
    3. OK をクリックします。

      ワークフローの LAN セクションに戻り、追加した LAN セグメントが表示されます。

  6. [次へ] をクリックします。

    ワークフローの [概要] セクションに移動します。

  7. (オプション)[Summary](サマリー)セクションで設定を確認し、必要に応じて設定を変更します。
  8. [完了] をクリックします。

    • アクティベーション中にシリアル番号を入力し、自動アクティベーションが有効になっている場合は、[サイトアクティベーションの進行状況]ページが表示されます。サイトのライセンス認証プロセスは、 表 4 で説明されているタスクに従って進行します。

      [ OK] をクリックしてページを閉じます。

      メモ:

      サイトのアクティブ化が完了するのを待たない場合は、ページを閉じて、[ジョブ] ページ ([> ジョブの監視] ) からサイトのアクティブ化の状態を監視できます。

      サイトのライセンス認証にかかる時間は、CSO がライセンス認証するデバイスによって異なります。

    • シリアル番号を入力しなかった場合、または自動アクティベーションが無効になっている場合は、[サイト] ページに戻ります。CSOはジョブをトリガーし、ジョブリンクを含む確認メッセージを表示します。リンクをクリックすると、ジョブのステータスが表示されます。

      ジョブが終了すると、CSOは確認メッセージとジョブリンクを表示します。サイトの状態が [作成済み] に変わり、[サイトのアクティブ化] リンクが表示されます。プロセスを完了するには、サイトを手動でアクティブ化する必要があります。詳細については、「 サイトを手動でアクティブ化する」を参照してください。

サイトがアクティブ化された後、サイトを追加するときにサービスを選択した場合、CSO はサービス プロビジョニング構成を適用します。サービスを選択しなかった場合、サイトの状態は [管理] のままになります。後でサイトを編集してサービスを追加し、デバイスをプロビジョニングできます。

ヒント:

サイトをプロビジョニングした後、(サイトの状態に応じて) サイトの特定のパラメーターを変更できます。詳細については、CSOカスタマーポータルユーザーガイド(CSOドキュメントページから入手可能)のサイト概要の編集を参照してください。
表 1: 一般情報 (エンタープライズ ハブの追加)

フィールド

ガイドライン

サイト情報

  

サイト名

サイトの一意の名前を入力します。名前には英数字とハイフン(-)を使用でき、32文字を超えることはできません。

デバイスホスト名

デバイスのホスト名は自動生成され、 という形式 tenant-name.host-nameが使用されます。デバイスホスト名のテナント名の部分は変更できません。英数字とハイフン(-)を使用します。許可される最大長は 32 文字です。

サイトグループ

サイトをサイト グループの一部にする場合は、サイト グループを選択します。既定では、[ なし] が選択されており、サイトはどのサイト グループにも属していません。

サイトの機能
メモ:

既定で有効になっているデバイス管理を使用すると、デバイス管理機能のみ (サービスなし) を持つサイトを作成し、後でサービスを追加できます。

このサイトに SD-WAN 機能を追加するには、次のいずれかの SD-WAN サービスタイプを選択します。

  • セキュアなSD-WANエッセンシャル—(SD-WANエッセンシャルまたはアドバンスドサービスレベルのテナントで使用可能)基本的なSD-WANサービスを提供します。このサービスは、リンクベースのアプリケーションステアリングを使用して、支店サイトで包括的なNGFWセキュリティサービスによるシンプルなWAN接続を管理したいと考えている中小企業に最適です。SD-WAN Essentialsサービスは、マルチホーミング、動的メッシュトンネル、クラウドブレイクアウトプロファイル、SLAベースのステアリングプロファイル、プールベースのソースNATルール、IPv6、MAP-E、アンダーレイBGPをサポートしていません。

    メモ:

    高度なSD-WANサービスレベルのテナントは、高度なSD-WANサービスでのみエンタープライズハブを作成できます。セキュアなSD-WANアドバンスドブランチサイトは、セキュアなSD-WAN アドバンスドエンタープライズハブにのみ接続します。

  • セキュアSD-WANアドバンスド—(SD-WANアドバンスドサービスレベルのテナントで使用可能)完全なSD-WANサービスを提供します。このサービスは、柔軟なトポロジーと動的なアプリケーションステアリングを必要とする1つ以上のデータセンターを持つ企業に最適です。サイト間接続は、ハブアンドスポーク トポロジーのハブを使用するか、静的または動的なフルメッシュ VPN トンネルを介して確立できます。企業全体のインテントベースのSD-WANポリシーとSLA(サービスレベル契約)測定により、さまざまなアプリケーションのトラフィックを区別して動的にルーティングできます。このサービスには、セキュアなSD-WANエッセンシャルサービスが含まれます。
   

住所と連絡先情報

表示されたフィールドに住所と連絡先情報を入力します。必須ではありませんが、住所を指定すると、[モニターの概要] ページの地理的マップ上のサイトの場所を視覚化できます。

詳細設定

DNS および NTP サーバの場合は、デフォルトを使用するか、DNS および NTP サーバを指定できます。

ドメイン ネーム サーバー

必要に応じて、1 つ以上の DNS サーバーの IPv4 または IPv6、あるいは IPv4 アドレスと IPv6 アドレスの両方を指定します。

NTP サーバー

必要に応じて、1 つ以上の NTP サーバーの IP アドレスを指定します。

タイムゾーンを選択

サイトのタイム ゾーンを選択します。
表 2: デバイス設定 (エンタープライズ ハブの追加)

フィールド

ガイドライン

デバイスの冗長性

デフォルトでは無効になっています。このオプションは、デュアル CPE の場合にのみ有効にします。

デバイスシリーズ

SRXをデバイスシリーズ(ファミリ)として表示します。エンタープライズハブとして設定できるのは特定のSRXシリーズデバイスのみであるため、このフィールドは変更できません。

デバイス モデル

SRX モデルを選択します。

[デバイステンプレート]

カルーセルから正しいデバイス テンプレートを選択していることを確認します。テンプレートは、エンタープライズ ハブとして使用しているデバイスによって異なります。

たとえば、SRX4100デバイスの場合、デバイス テンプレートとして SD-WAN CPE(またはそのテンプレートの修正バージョン) として SRX4x00 を選択します。

デバイス情報
メモ:

デバイスの冗長性を有効にした場合は、追加のフィールドが表示されます。詳細については、CSOカスタマーポータルユーザーガイド(CSOドキュメントページに掲載)のSD-WAN機能を備えたエンタープライズハブの追加を参照してください。

シリアル番号

サイト追加ワークフローを完了した直後に CSO でサイトのアクティベーションを続行する場合は、シリアル番号を入力します。入力したシリアル番号がすでにシステムに存在する場合、CSOはエラー・メッセージを表示します。シリアル番号がない場合、CSOは緑色のチェックマークを表示します。

CSOでサイトのみをモデル化する場合は、このフィールドを空白のままにします。シリアル番号を入力しない場合は、後でサイトを手動でアクティブ化する必要があります。

デバイスのrootパスワード

デフォルトのrootパスワードは、デバイステンプレートのENC _ROOT_PASSWORDフィールドから取得されます。パスワードを保持することも、プレーンテキスト形式でパスワードを入力して変更することもできます。パスワードは暗号化され、デバイスに保存されます。

ゼロ タッチプロビジョニング

既定では、ゼロ タッチ プロビジョニングは有効になっています。ZTPを無効にする場合は、トグルボタンをクリックします。

メモ:

デフォルトでは、このボタンはvSRXでは無効になっています。vSRXで実行されているJunos OSのバージョンがPhone Homeクライアントをサポートしている場合、このボタンを有効にできます。

ZTPを使用するには、以下のことを確認してください。

  • デバイスはCSOおよびジュニパーのオートモー https://redirect.juniper.net サーバー()に接続できる必要があります。

    Telnet を使用して接続を確認します。

    telnet redirect.juniper.net:443

    telnet CSO Hostname/IP:443

    接続が確立されると、デバイスはテレフォンホームサーバーおよび CSO に接続できます。

  • 電話宅サーバーおよび CSO に必要な証明書がデバイスに存在する必要があります。

ZTP が有効になっている場合は、[ブート イメージ(Boot Image)] フィールドが表示され、Phone-Home クライアントをサポートするイメージを選択する必要があります。ZTP の期間中、ファイアウォール デバイス上のイメージは、ブート イメージ用に選択したイメージにアップグレードされます。

ZTP を無効にする場合、CSO からステージ 1 の設定をコピーして、デバイスにコミットする必要があります。以下のいずれかのオプションを使用して、stage-1 設定をコピーします。

  • [サイトのアクティブ化の進行状況] ページの [デバイスの事前設定] タスクの横にある [ クリックしてステージ 1 構成をコピー ] リンクをクリックします。

    誤って [サイトのアクティブ化の進行状況] ページを閉じると、[サイトの管理] ページからページにアクセスできます。[サイトの状態] 列の下にあるサイトの状態の横にある [ 表示 ] リンクをクリックします。

  • 「デバイス」ページ(「リソース」>「デバイス」)で、デバイスを選択し、「 Stage1 Config」をクリックします。

クラスターは既に形成されていますか?
メモ:

このフィールドは、SRXデュアルCPEデバイスでのみ使用できます。

切り替えボタンをクリックして、SRXクラスタを手動で形成するか(Yes)、形成しないか(No)を指定します。

クラスター ID
メモ:

このフィールドは、SRXデュアルCPEデバイスでのみ使用できます。

SRX クラスターが手動で形成されていない場合は、クラスターの一意の ID を指定します。

範囲: 1 から 15

サイトの ZTP を有効にしている場合、クラスターはサイトのアクティブ化時に自動的に形成されます。ZTP を無効にした場合、[サイトのアクティブ化の進行状況] ページ (ブランチ サイトを追加した後に表示される) に次のプロセスが表示されます。

  1. CSO がサイトをモデル化した後 (つまり、モデル サイト プロセスが正常に完了したら)、[事前スクリプト プロセス] の横に表示される [ クリックして事前スクリプトをコピー] リンクをクリックします。

  2. 指示に従ってコマンドを実行します。

    事前スクリプトプロセスが正常に完了すると、SRXクラスタが形成され、 recovery.conf ファイルがクラスタに保存されます。後でサイトを削除する場合は、このファイルを使用して、CSO によってデバイスにプッシュされたステージ 1 構成およびその他の構成を削除する必要があります。

  3. ステージ 1 の設定(CSO によって自動的に生成)をクラスタ内のプライマリデバイスに手動でコピーし、デバイス上の設定をコミットします。

クラスターが検出されると、CSO はブートストラップとプロビジョニングのプロセスを実行し、クラスターのプロビジョニングを完了します。

自動アクティブ化

切り替えボタンをクリックして、サイトのアクティベーションにアクティベーションコードが必要かどうかを指定します。

  • [有効] - サイトはアクティベーション コードなしで自動的にアクティベートされます。これは既定の設定です。

  • 無効 - サイトのアクティベーションは、アクティベーション コードを入力した後にのみ続行されます。この設定を選択した場合は、デバイスをアクティベートするために入力する必要があるアクティベーションコードを( [アクティベーションコード ]フィールドに)入力します。

ブート イメージ

エンタープライズ ハブ デバイスをサポートされている最新の Junos OS バージョンにアップグレードする場合は、一覧からブート イメージを選択します。ブートイメージは、CSOがゼロタッチプロビジョニング(ZTP)プロセスを開始するときに、デバイスをアップグレードするために使用されます。

デフォルトのオプション(デバイス上のイメージを使用)であるブートイメージをリストに指定しない場合、CSOはZTP中にデバイスをアップグレードする手順をスキップします。

管理インターフェイスファミリー

管理インターフェイスの IP アドレス タイプ(IPv4 または IPv6)を選択します。このフィールドは、 ゼロタッチプロビジョニングを有効にしている場合にのみ表示されます。

管理接続性

メモ:

このセクションは、ゼロタッチプロビジョニングを無効にした場合にのみ表示されます。

アドレス ファミリー

IP アドレスの種類 (IPv4 または IPv6) を選択します。

インターフェース名

管理インターフェイスを起動します。

アクセス タイプ

アンダーレイ リンクのアクセス タイプを選択します。LTE、ADSL、およびVDSLアクセスタイプは、インターネットリンクでのみサポートされています。LTE、ADSL、VDSLのアクセスタイプを同じWANリンクに追加することはできません。

アドレス割り当て

デフォルトではDHCPが選択されています。静的 IP アドレスを指定する場合は、[静的] を選択します。

管理VLAN ID

WAN リンクの VLAN ID を入力します。

Pppoe

切り替えボタンをクリックして、PPPoE(イーサネット経由のポイントツーポイントプロトコル)を使用したWANリンクの認証済みアドレス割り当てを有効にします。

ハブ構成

メモ:

ハブの選択は、SD-WAN AdvancedサイトとEssentialsサイトの両方でオプションです。SD-WAN Essentials サイトはマルチホーミングをサポートしていません。

プライマリ プロバイダー ハブ

以前にテナントのプロバイダー ハブ サイト (DATA または OAM および DATA 機能) を追加し、エンタープライズ ハブのバックアップを作成する場合は、プロバイダー ハブ サイトをプライマリ プロバイダー ハブとして選択します。

セカンダリ プロバイダー ハブ
メモ:

SD-WAN Essentialsサービスがあるサイトには適用されません。

以前にテナントにプロバイダー ハブ サイト (DATA または OAM および DATA 機能) を追加し、プロバイダー ハブの冗長性が必要な場合は、セカンダリ プロバイダー ハブとして別のプロバイダー ハブを選択します。

WANリンク

最大 4 つの WAN リンクを設定でき、少なくとも 1 つの WAN リンクを設定する必要があります。

WAN_0 (WAN-Interface-Name)

最初のWANリンクはデフォルトで有効になっています。

続行するには、アスタリスク (*) でマークされたフィールドを設定する必要があります。

リンクの種類

最初のWANリンクでは、アンダーレイネットワークタイプにデフォルト(インターネット)を使用して、リダイレクトサーバーへの到達可能性を確保します。

エグレス帯域幅

WAN リンクに許可される最大エグレス帯域幅 (メガビット/秒 [Mbps]) を入力します。

アンダーレイ アドレス ファミリー

IPv4

デフォルトでは、IPv4アドレスの割り当てはWANリンクに対して有効になっています。

WAN リンクから IPv4 ネットワークに接続するには、IPv4 アドレスが必要です。

アドレスの割り当て方法

IPv4 アドレスを WAN リンク(静的)に割り当てる方法を表示します。このフィールドは変更できません。

WAN リンクの IPv4 アドレスプレフィックスとゲートウェイ IPv4 アドレスを指定する必要があります。

静的 IP プレフィックス

WAN リンクの IPv4 アドレス プレフィックスを入力します。

ゲートウェイ IP アドレス

WAN サービス プロバイダーのゲートウェイの IPv4 アドレスを入力します。
Mtu

IPv4 アドレスにのみ適用されます。

メディアまたはプロトコルの最大送信単位(MTU)サイズを入力します。サポートされるMTUの範囲は、デバイス、インターフェイスタイプ、ネットワークトポロジー、およびその他の個々の要件によって異なります。 MTUのデフォルト値と最大値 および LTEミニ物理インターフェイスモジュール(LTE Mini-PIM)も参照してください。

サイトのすべての OAM 対応 WAN リンクの MTU 値を同時に編集すると、トンネル フラッピングが発生する可能性があります。サイトに対して、少なくとも 1 つの OAM 対応 WAN リンクが常に中断されないようにする必要があります。たとえば、サイトに 4 つの WAN リンク(OAM トラフィックをサポートする 2 つのリンクを含む)がある場合、1 つの OAM 対応リンクを除くすべての WAN リンクの MTU 値を同時に編集できます。編集が完了し、変更を保存したら、サイトを再度編集し、残りの WAN リンクを更新できます。

メモ:

WAN リンクで PPPoE/PPP オプションを有効にすると、そのリンクの PPPoE/PPP 設定 セクションに MTU オプションが表示されます。

ファブリックIPアドレス
メモ:

パブリック IP アドレスを指定する必要があるのは、静的 IP プレフィックスがプライベート IP アドレスで、1:1 NAT が構成されている場合のみです。

必要に応じて、リンクのパブリック IPv4 アドレスを入力します。

詳細設定

  

詳細設定

アドレス ファミリー(トンネル作成)

オーバーレイ トンネルの確立に使用されるアンダーレイ アドレス ファミリー(IPv4)を表示します。

プロバイダー

WAN リンクのサービスプロバイダの名前を入力します。

費用/月

このフィールドは現在 CSO では使用されていないため、既定値のままにします。

ローカルブレークアウトを有効にする

切り替えボタンをクリックして、WAN リンクをローカル ブレークアウトに使用できるようにします。トグル ボタンはデフォルトで無効になっているため、WAN リンクをローカル ブレークアウトに使用することはできません。

ローカルブレークアウトは、インターネットリンクがサイトから直接トラフィックを分割できるようにするSD-WAN機能です。たとえば、企業を訪問するゲストにインターネット アクセスを提供する場合は、ローカル ブレークアウトを使用して、ゲスト トラフィックをサイトからインターネットに直接ローカルに分割できます。

メモ:

ローカルブレークアウトを有効にした場合、これはWAN リンクを ローカルブレークアウトに使用できることを意味するだけです。サイトからトラフィックがブレークアウトできるようにするには、ブレイクアウトプロファイルを構成し、SD-WAN ポリシーインテントでそのプロファイルを参照して、SD-WAN ポリシーを展開する必要もあります。

ローカル ブレークアウトを有効にすると、追加のフィールドが表示されます。

ブレイクアウトオプション

このフィールドは、WANリンクに対してローカルブレークアウトが有効になっている場合にのみ表示されます。

ブレークアウト トラフィックと WAN トラフィックの両方に WAN リンクを使用するか (デフォルト)、ブレークアウト トラフィックのみに使用するかを選択します。

送信元NATルールの自動作成
メモ:

セキュアSD-WAN Essentialsサービスがあるサイトは、インターフェイスベースのソースNATルールのみをサポートしています。SD-WAN Essentials サイトでこのオプションを有効にすると、インターフェイスベースのソース NAT ルールが自動的に適用されます。SD-WAN アドバンスドサイトでこのオプションを有効にする場合は、[変換] フィールドからソース NAT ルールを選択する必要があります。

このフィールドは、WANリンクに対してローカルブレークアウトが有効になっている場合にのみ表示されます。

リンクでローカル ブレークアウトを有効にすると、この設定が既定で有効になり、サイトのソース NAT ルールの自動作成がトリガーされます。

トグルボタンをクリックすると、送信元NATルールの自動作成を無効にすることができます。このフィールドを無効にする場合は、ローカル ブレークアウトのソース NAT ルールを手動で追加し、サイトに NAT ポリシーを展開する必要があります。

メモ:

NAT がネットワーク内の別のデバイス (インターネット ゲートウェイ ファイアウォールなど) によって強制されない場合は、CSO がサイトの NAT ポリシーを自動的に作成できるため、この設定を有効にすることをお勧めします。

表 5 に、WAN リンク上でソース NAT ルールを自動的に作成する方法を示します。自動的に作成された送信元NATルールは暗黙的に定義されてサイトに適用され、NATポリシーページには表示されません。

メモ:

自動的に作成されたNATルールよりも高い優先度で設定されたNATルールを作成することで、自動的に作成されたNATルールを手動で上書きできます

翻訳

このフィールドは、ソース NAT ルールの自動作成が WAN リンクに対して有効になっており、使用されている SD-WAN サービスが [詳細] の場合にのみ表示されます。セキュアSD-WAN Essentialsサービスがあるサイトは、インターフェイスベースのソースNATルールのみをサポートしています。

WANリンク上のトラフィックに使用するNATのタイプを選択します。

  • インターフェイス:デフォルト設定であるインターフェイスベースのNATを使用します。

  • プール:プールベースのNATを使用します。このオプションを選択する場合は、NAT プールに使用する IP アドレスを指定する必要があります。

IP アドレス

プールベースの NAT の場合は、1 つ以上の IP アドレス、サブネット、または IP アドレス範囲を入力します。複数の IP アドレスを指定するには、コンマを使用し、ハイフンを使用して範囲を示します。たとえば、192.0.2.1-192.0.2.50 のようになります。

メモ:

テナント追加ワークフロー中に追加されたテナント所有のパブリック IP アドレスに対して NAT は実行されません。

優先ブレークアウトリンク

WANリンクでローカルブレイクアウトが有効になっている場合は、トグルボタンをクリックして、WANリンクを最も優先的なブレイクアウトリンクとして有効にします。

このオプションを無効にすると、利用可能なブレークアウト リンクから ECMP(等価コスト マルチパス)を使用してブレークアウト リンクが選択されます。

BGP アンダーレイ オプション
メモ:

SD-WAN Essentialsサービスがあるサイトには適用されません。
メモ:

BGPアンダーレイルーティングは、通常、サービスプロバイダによって使用され、ローカルブレークアウトがWANリンクに対して有効になっている場合にのみ設定可能です。

切り替えボタンをクリックして、BGP アンダーレイ ルーティングを有効にします。

BGP アンダーレイ ルーティングを有効にすると、プライマリ プロバイダ エッジ(PE)ノードと、設定されている場合、セカンダリ PE ノードへのアドバタイズメントが次のようにルーティングされます。

  • CSOは、WANインターフェイスサブネットをアドバタイズします。

  • プールベースの変換を設定した場合、CSO は NAT アドレス プールをアドバタイズします。

メモ:

アンダーレイBGPがWANリンクに対して有効になっている場合、BGPから学習したルートはローカルブレイクアウト用にインストールされます。CSOは静的デフォルトルートを生成しません。

プライマリネイバー

WAN リンクのゲートウェイに入力した IP アドレスが表示されます。

セカンダリネイバー

PEの回復力を提供する場合は、セカンダリPEノードを設定できます。

セカンダリ PE ノードの IP アドレスを入力します。

メモ:

プライマリ PE ノードがダウンした場合、セカンダリ PE がネクスト ホップとして使用されます。プライマリPEが復旧すると、ルートネクストホップがプライマリPEに変更されます。

eBGPピアAS番号

外部(EBGP)ピアの自律システム(AS)番号を入力します。

メモ:

ピアAS番号が設定されていない場合、または設定されているピアAS番号がCPEサイトの番号と同じ場合、BGPタイプは内部BGP(IBGP)と見なされます。

ローカルAS番号

WANリンクのローカルAS番号を入力します。このパラメータを設定すると、デバイスに設定されたグローバルAS番号ではなく、ローカルAS番号がeBGPピアリングに使用されます。

認証

使用する BGP ルート認証方法を選択します。

  • [なし(None)]:認証を使用しないことを示します。これがデフォルトです。

  • [MD5 を使用]:MD5 が認証に使用されることを示します。このオプションを選択する場合は、認証キーを指定する必要があります。

認証キー

MD5 を認証に使用するように指定した場合は、BGP パケットの信頼性を検証するために使用する MD5 認証キー(パスワード)を指定します。

パブリック LAN プレフィックスのアドバタイズ

切り替えボタンをクリックして、パブリック LAN プレフィックスのアドバタイズを有効にします。このフィールドはデフォルトで無効になっています。

テナントにパブリック IP アドレス プールが構成されていて、パブリック LAN プレフィックスのアドバタイズを有効にした場合、テナントのパブリック IP アドレス プールに該当するサブネットで作成された LAN セグメントの場合、CSO は LAN サブネットを BGP アンダーレイにアドバタイズします。

メモ:

WAN リンクに対してパブリック LAN アドバタイズメントが有効になっている場合、パブリック LAN プレフィックスは BGP アンダーレイを介して MPLS またはインターネットに向けてアドバタイズされます。

フルメッシュに使用

切り替えボタンをクリックして、WANリンクをフルメッシュトポロジーの一部にできるようにします。

サイトでは、すべてのWANリンクでメッシュを有効にすることができます。

メモ:

  • フルメッシュを使用するには、少なくとも 1 つの WAN リンクを有効にする必要があります。

  • このオプションを有効にした場合でも、SD-WAN Essentials サービスを使用するサイトは、2 つのブランチサイト間で閉じられるセッション数のユーザー定義しきい値に基づく動的メッシュトンネルの作成または削除をサポートしていません。ただし、OpCo管理者またはテナント管理者は、カスタマーポータルのCSO GUIを使用して、ソースサイトと宛先サイトの間に静的トンネルを作成できます。

表示される 2 つの追加フィールドを設定します。

メッシュ オーバーレイ リンク タイプ

WANリンクでフルメッシュが有効になっている場合は、フルメッシュトポロジーのオーバーレイトンネルに使用するカプセル化のタイプを選択します。

メモ:

パブリック IP アドレスを持つリンクの場合、メッシュ オーバーレイ リンク タイプとして GRE over IPsec を使用することを推奨します。

  • GRE_IPSEC - IPsec 上の GRE を使用します。

  • GRE - GRE を使用します。このオプションは、MPLS リンクでのみ使用できます。

メッシュタグ

WANリンクのメッシュタグを1つ以上選択します。

メモ:

エンタープライズ ハブ サイトとブランチ サイト間のトンネルは、一致するメッシュ タグに基づいて追加されます。そのため、エンタープライズハブ上のWANリンクとブランチサイトのWANリンクの間でメッシュを実行する場合は、メッシュタグを両方のサイトで同じにする必要があります。

メッシュタグの詳細については、CSOカスタマーポータルユーザーガイド(CSOドキュメントページに掲載)のメッシュタグの概要を参照してください。

OAM トラフィックに使用

切り替えボタンをクリックして、OAM(運用、管理、保守)トラフィックのWANリンクの使用を有効にします。次に、WANリンクを使用して、エンタープライズハブサイトとCSO間の通信用のOAMトンネルを確立します。

メモ:

冗長性を確保するために、OAM トラフィックに使用できる WAN リンクを少なくとも 2 つ構成することをお勧めします。また、管理の冗長性を高めるため、トランスポートパスの異なる2つのリンクを使用します。

ハブに接続
メモ:

[ハブに接続] フィールドは、プロバイダー ハブを選択した場合にのみ使用できます。

切り替えボタンをクリックして、サイトの WAN リンクがハブに接続することを指定します。

メモ:

  • 単一の CPE を持つサイトの場合、OAM トラフィックを送信できるように、ハブに接続するために少なくとも 1 つの WAN リンクを有効にする必要があります。

  • デュアル CPE を使用するサイトでは、OAM トラフィックを送信できるように、デバイスごとに少なくとも 1 つの WAN リンクを有効にしてハブに接続する必要があります。

VLAN ID

WAN リンクの VLAN ID を入力します。

範囲: 0 から 4049 (4050 から 4094 は CSO によって予約されています)。

メモ:

  • 同じ物理インターフェイスに複数のWANリンクを設定する場合、タグ付けを解除できるWANリンクは1つだけです。残りの WAN リンクについては、VLAN ID を構成する必要があります。

  • 同じ物理インターフェイスでのタグ付きとタグなしの組み合わせは、単一の CPE デバイスでのみサポートされます。

WAN リンクを論理インターフェイスとして設定できるようにするには、デバイス テンプレートを変更し、WAN ポートを論理インターフェイスとして設定する必要があります。

バックアップリンク

プライマリ(その他)リンクが利用できない場合にトラフィックがルーティングできるバックアップリンクを選択します。デフォルトリンクまたはローカルブレークアウトトラフィック専用に設定されたリンク以外の任意のリンクを選択できます。

プライマリリンクがオンラインに戻ると、CSOはプライマリリンクのパフォーマンスを監視し、プライマリリンクがSLA要件を満たすと、トラフィックはプライマリリンクに戻されます。ただし、バックアップ リンクの SLA データは監視されません。

デフォルトリンク

一致する SD-WAN ポリシーインテントがない場合にトラフィックのルーティングに使用するリンクを 1 つ以上選択します。サイトには、ハブ サイトへの複数の既定のリンクを含めることができます。

デフォルト リンクは主にオーバーレイ トラフィックに使用されますが、ローカル ブレークアウト トラフィックにも使用できます。ただし、デフォルト リンクをローカル ブレークアウト トラフィック専用に使用することはできません。デフォルトリンクを指定しない場合は、ECMP(等価コストマルチパス)を使用して、トラフィックをルーティングするリンクが選択されます。

WAN_1 (WAN-Interface-Name)

トグルボタンをクリックして、WANリンクを有効または無効にします(デフォルト)。

WANリンクを有効にすると、WANリンクに関連するフィールドが表示されます。続行するには、アスタリスク (*) でマークされたフィールドを設定する必要があります。

フィールドの説明については、WAN_0(WAN-Interface-Name)で説明されているフィールドを参照してください

WAN_2 (WAN-Interface-Name)

トグルボタンをクリックして、WANリンクを有効または無効にします(デフォルト)。

WANリンクを有効にすると、WANリンクに関連するフィールドが表示されます。続行するには、アスタリスク (*) でマークされたフィールドを設定する必要があります。

フィールドの説明については、WAN_0(WAN-Interface-Name)で説明されているフィールドを参照してください

WAN_3 (WAN-Interface-Name)

トグルボタンをクリックして、WANリンクを有効または無効にします(デフォルト)。

WANリンクを有効にすると、WANリンクに関連するフィールドが表示されます。続行するには、アスタリスク (*) でマークされたフィールドを設定する必要があります。

フィールドの説明については、WAN_0(WAN-Interface-Name)で説明されているフィールドを参照してください

詳細設定

メモ:

SD-WAN Essentialsサービスがあるサイトは、2つの支社/拠点サイト間で閉じられるセッション数のユーザー定義しきい値に基づく動的メッシュトンネルの作成や削除をサポートしていません。ただし、OpCo管理者またはテナント管理者は、カスタマーポータルのCSO GUIを使用して、ソースサイトと宛先サイトの間に静的トンネルを作成できます。

OAM IP プレフィックス

管理接続は CSO によって自動的に処理されるため、この設定を構成し ない ([IP プレフィックス] フィールドを空白のままにする) ことをお勧めします。

トラフィック量メトリック

サイトの WAN リンク上の SD-WAN トラフィック量を計算する方法を選択します。CSOは、このデータを使用して、「サイトの詳細」ページにWANトラフィック量をグラフィカルに表示します。

  • セッションベース:各セッションの終了時に、サイトのWANリンク上のセッションベースのトラフィック量を計算して報告します。これがデフォルトの方法です。
  • 時間ベース:セッション中に定期的にトラフィック量を計算して報告します。

トンネル作成時の DVPN しきい値

エンタープライズ ハブ サイトと宛先サイトの間で閉じられたセッション (フロー) の数のしきい値を指定します (2 分間)。閉じられたセッションの数が指定されたしきい値を超えると、エンタープライズ ハブ サイトと宛先サイトの間にトンネルが作成されます。

たとえば、しきい値を 7 に指定すると、エンタープライズ ハブ サイトと宛先サイト間で閉じられたセッションの数(2 分以内)が 7 を超えると、動的メッシュ トンネルが作成されます。

トンネル削除の DVPN しきい値

エンタープライズ ハブ サイトと宛先サイトの間で閉じられたセッションの数 (15 分間) のしきい値を指定します。閉じられたセッションの数が指定されたしきい値を下回ると、エンタープライズ ハブ サイトと宛先サイトの間のトンネルが削除されます。

例えば、終了したセッションの数を5に指定した場合、閉じられたセッションの数(15 分間)が 5 以下の場合、エンタープライズ ハブ サイトと宛先サイト間の動的メッシュ トンネルは削除されます。

追加構成

ZTP プロセス中に追加の設定を展開する場合は、1 つ以上の設定テンプレートを選択し、各テンプレートのパラメーターを設定できます。

構成テンプレートのリスト

選択した構成テンプレートごとに、

  1. ZTP中にデバイスに展開する設定テンプレートをリストから1つ以上選択します。

  2. [ パラメータの設定] をクリックします。

    [デバイス構成] ページが表示されます。選択した構成テンプレートの名前と構成パラメーターが [構成] タブに表示されます。

  3. 構成テンプレートごとに、パラメーターの値を入力します。

  4. (オプション)[ Summary ]タブをクリックして、さまざまな構成テンプレート用にデバイスに展開されるJunos OS設定コマンドを表示します。

  5. 保存」をクリックします。

    [WAN] タブに戻ります。Junos OS設定コマンドは、ZTPプロセス中にデバイスに展開されます。
表 3: [LAN セグメントの追加] ページのフィールド (エンタープライズ ハブ)

フィールド

説明

オーバーレイVPNに使用

他のサイトへのオーバーレイ トラフィック用に LAN セグメントを選択した部門(VRF + ZONE)に関連付けるには、[オーバーレイ VPN の使用(Use for Overlay VPN )] フィールドを有効にします。

アンダーレイブレークアウト用のセキュリティゾーンにLANセグメントを関連付けるために、[ オーバーレイVPNに使用 ]フィールドを無効にします。ゾーンベースのセキュリティポリシーを定義する必要があります。

メモ:

新しいサイトを追加する場合、このフィールドは既定で有効になり、変更できません。ただし、[サイト名] ページの [LAN] タブからプロビジョニングされたサイトに新しい LAN セグメントを追加する場合は、このオプションを有効または無効にできます。

名前

LAN セグメントの名前を入力します。

LAN セグメントの名前は、英数字といくつかの特殊文字 (. -) の固有のストリングでなければなりません。スペースは許可されず、最大長は 15 文字です。

CPE ポート
メモ:

SRXシリーズデバイスに適用されます。

LANセグメントに追加するCPEポートを選択します。

ページの [LAN] タブ Site-Name からプロビジョニング済みサイトに新しい LAN セグメントを追加する場合、SRX シリーズ CPE デバイスを EX シリーズ スイッチに接続するための LAG インターフェイスまたは冗長イーサネット(reth)インターフェイス(デュアル CPE クラスタの場合)を選択(または作成)できます。

SRX4600デバイスでetインターフェイスを使用するには、LAGインターフェイスを作成し、etインターフェイスをLAG(集合型イーサネットまたはae)インターフェイスのメンバーとして設定する必要があります。 LAGインターフェイスの作成を参照してください。

SRX4600 デュアル CPE クラスタの場合、et インターフェイスが冗長イーサネット(reth)インターフェイスのメンバーとして構成されている場合、et インターフェイスを使用できます。

LAGインターフェイスの追加
メモ:

このオプションは、ページの [LAN] タブ Site-Name からプロビジョニングされたサイトに新しい LAN セグメントを追加するときに使用できます。

SRXシリーズCPEをEXシリーズスイッチに接続するために使用する場合は、LAGインターフェイス(aeインターフェイス)を作成するためのリンクをクリックします。詳細については、 LAGインターフェイスの作成 を参照してください。

RETHインターフェイスの作成
メモ:

このオプションは、ページの [LAN] タブ Site-Name からプロビジョニングされたサイトに新しい LAN セグメントを追加するときに使用できます。

リンクをクリックして、デュアル CPE クラスターを持つ SD-WAN サイトの reth インターフェイスを作成します。詳細については 、「 RETH インターフェイスを作成する 」を参照してください。

メモ:

このフィールドは、エンタープライズ・ハブ・サイトに関連付けられた LAN セグメントの場合にのみ表示されます。

LANセグメントのタイプを選択します。

  • 直接接続(デフォルト)—LAN セグメントがサイトに直接接続されていることを示します。

  • ダイナミック ルーティング:LAN セグメントがサイトに直接接続されておらず、ダイナミック ルートを使用して到達可能であることを示します。このオプションを選択する場合は、動的ルーティング情報を指定する必要があります。

VLAN ID

LAN セグメントの VLAN ID を入力します。デフォルトでは、VLAN IDは1に設定され、ネイティブVLANはタグなしトラフィックに対して有効になっています。

範囲: 1 から 4049 。

ネイティブ VLAN に使用

タグなしトラフィックに上記で指定したVLAN IDを使用するには、このオプションを有効にします。CPE インターフェイスは、VLAN ID と同じ値を持つネイティブ VLAN ID を使用して構成されます。

担当部署
メモ:

このフィールドは、 オーバーレイVPNに使用 フィールドが有効になっている場合にのみ使用できます。

LANセグメントを割り当てる部門を選択します。

または、[ 部門の作成 ] リンクをクリックして新しい部門を作成し、それに LAN セグメントを割り当てます。詳細については 、「部門の追加 」を参照してください。

LANセグメントを部門としてグループ化することで、管理を容易にし、部門レベルでポリシーを適用できます。動的にルーティングされる LAN セグメントの場合、割り当てることができるのはデータ センター部門のみです。

ゲートウェイ アドレス/マスク

LAN セグメントの有効なゲートウェイ IP アドレスとマスクを入力します。このアドレスは、この LAN セグメント内のエンドポイントのデフォルト ゲートウェイになります。

たとえば、192.0.2.8/24 です。

ゾーン
メモ:

このフィールドは、[ オーバーレイ VPN に使用 ] フィールドが無効になっている場合にのみ使用できます。

この LAN セグメントに関連付けるセキュリティ ゾーンを選択します。または、[ ゾーンの作成] をクリックして新しいセキュリティ ゾーンを作成し、それをこの LAN セグメントに割り当てます。詳細は、 セキュリティ・ゾーンの追加 を参照してください。

Dhcp

直接接続された LAN セグメントの場合は、切り替えボタンをクリックして DHCP を有効にします。

DHCP サーバーを使用して IP アドレスを割り当てる場合は DHCP を有効にし、LAN セグメントに静的 IP アドレスを割り当てる場合は DHCP を無効にできます。

メモ:

DHCP を有効にすると、追加のフィールドがページに表示されます。

DHCPに関連する追加フィールド

アドレス範囲(低)

DHCP サーバが LAN セグメントに割り当てることができる IP アドレスの範囲で、開始 IP アドレスを入力します。

アドレス範囲: 高

DHCP サーバが LAN セグメントに割り当てることができる IP アドレスの範囲で終了 IP アドレスを入力します。

最大リース時間

クライアントが DHCP サーバーでリースを要求して保持できる最大期間 (秒単位) を指定します。

デフォルト: 1440

範囲: 0 から 4,294,967,295 秒。

ネームサーバー

DNS サーバーの 1 つ以上の IPv4 アドレスを指定します。

複数の DNS サーバー アドレスを入力するには、アドレスを入力し、Enter キーを押して、次のアドレスを入力します。

メモ:

DNSサーバーは、ホスト名をIPアドレスに解決するために使用されます。

CPE ポート
メモ:

NFX150 および NFX250 デバイスに適用されます。

SD-WAN 機能を持つサイトの場合、「CPE ポート」フィールドは無効になり、LAN セグメントに含めることができる CPE ポートがリストされます。

[使用可能(Available)] 列からポートを選択し、右矢印をクリックしてポートを [選択済み] 列に移動します。

スタティックルーティング

このセクションを使用して、LAN セグメントにスタティックルーティングを設定します。CPE デバイスに接続されているすべての LAN ルーターの IP アドレスと、これらのルーターの背後にある静的サブネットを指定します。

LANルーターIPプレフィックスの追加

LANルーターIP

CPE デバイスに接続されている LAN ルーターの IP アドレスを入力します。

プレフィックス

LAN ルーターに接続されているサブネットを入力します。

Bfd

双方向フォワーディング検出(BFD)を有効にして、スタティック ルート上の障害を検出します。

ダイナミック ルーティング

ルーティング プロトコル

BGP または OSPF プロトコルを使用して動的ルーティングを設定するには、この切り替えボタンを有効にします。

Bfd

BFD(双方向フォワーディング検出)を有効にして、LANセグメントの障害を検出します。

プロトコル

BGP または OSPF のいずれかを選択します。

BGP コンフィギュレーション

メモ:

リリース6.1.0以降、CSOは、プロバイダーエッジ(PE)およびデータセンターまたはLANルーターとのBGPピアリングセッションの長寿命グレースフルリスタート(LLGR)機能を明示的に無効にします。LLGRを無効にすると、ピアリングルーターのLLGR機能に関係なく、CPEがピアリングルーターへのルートアドバタイズメントを区別しなくなります。

CSOリリース6.1.0より前は、IP VPN導入時のPEルーター、データセンター導入時のデータセンターまたはLANルーターへのBGPピアリングに対して、CPEでLLGRヘルパーモードがデフォルトで有効になっています(Junos OSの暗黙的な動作)。

認証

使用する BGP ルート認証方法を選択します。

  • [なし(None)]:認証を使用しないことを示します。これがデフォルトです。

  • [MD5 を使用]:MD5 が認証に使用されることを示します。このオプションを選択する場合は、認証キーを指定する必要があります。

認証キー

MD5 を認証に使用するように指定した場合は、BGP パケットの信頼性を検証するために使用する MD5 認証キー(パスワード)を指定します。

BGP オプション

要件に基づいて、次のオプションを選択できます。

  • AS-OVERRIDE:ピアにルートをアドバタイズする前に、ASパスに出現するピアAS番号をすべて独自のAS番号に置き換えます。

  • AS-PATH-PREPEND:ASパスの先頭に1つ以上の自律システム(AS)番号を付加します。ASパスを先頭に追加すると、短いASパスが長く見えるため、BGPにはあまり適しなくなります。

  • AS-LOOP:受信したASパスにローカルデバイスのAS番号を追加できるようにします。ASパスでローカルASの検出を許可する回数を指定できます。

ループ数

このフィールドは、[AS-LOOP]を選択した場合にのみ表示されます。

ASパスでローカルASの検出が許可される最大回数を入力します。

ピア IP アドレス

LAN BGP ピアの IP アドレスを入力します。

ピアAS番号

LAN BGPピアの自律システム(AS)番号を入力します。デフォルトでは、CSOはAS番号64512を使用します。別のAS番号を入力することもできます。

ローカルAS番号

ローカルAS番号を入力します。このパラメータを設定すると、CPEに設定されたグローバルAS番号ではなく、BGPピアリングにローカルAS番号が使用されます。

OSPF の設定

OSPFエリアID

動的経路に使用するOSPFエリア識別子を指定します。

認証

使用するOSPFルート認証方式を選択します。

  • パスワード—パスワードベースの認証を使用する必要があることを示します。このオプションを選択する場合は、パスワードを指定する必要があります。(これはデフォルトです)。

  • [MD5 を使用]:MD5 が認証に使用されることを示します。このオプションを選択する場合は、認証キーを指定する必要があります。

  • [なし(None)]:認証を使用しないことを示します。

パスワード

OSPFパケットの信頼性を検証するために使用するパスワードを入力します。

パスワードの確認

確認のため、パスワードを再入力します。

MD5認証キーID

MD5 を認証に使用するように指定した場合は、OSPF MD5 認証キー ID を入力します。

範囲: 1 から 255。

認証キー

MD5 を認証に使用するように指定した場合は、OSPF パケットの信頼性を検証するために使用する MD5 認証キーを入力します。

ルートアドバタイズ制御

オーバーレイする LAN ルート

このオプションを有効にすると、LAN ルートがリモート CPE にアドバタイズされます。既定では、このオプションは有効になっています。

CSOリリース6.2.0以降、オーバーレイネットワークにアドバタイズされるルートをよりきめ細かく制御するために、オーバーレイへの LANルート オプションと組み合わせてエクスポートポリシーを設定できます。例えば、 オーバーレイへのLAN ルートオプションが有効になっている場合、特定のルートがアドバタイズされないようにポリシーを設定することができます。同様に、 オーバーレイへのLAN ルートオプションが無効になっている場合、特定のルートのみをアドバタイズするようにポリシーを設定できます。

LANへのオーバーレイルート

このオプションは、[ルーティング プロトコル] 切り替えボタンを有効にした場合にのみ表示されます。既定では、このオプションは無効になっています。

部門で受信したリモート CPE ルートを LAN ルーターにアドバタイズするには、このオプションを有効にします。

メモ:

CSOリリース6.0.0以前のリリースでは、このオプションはアドバタイズLANプレフィックスと呼ばれ、データセンター部門にのみ適用されます。

CSOリリース6.2.0以降、以下のポリシーを使用してルートアドバタイズメントをきめ細かく制御できます。
  • LAN ルーターによってアドバタイズされたルートのリストから CPE デバイスが受け入れるルートをきめ細かく制御するためのポリシーをインポートします。
  • CPEデバイスがLANルーターにアドバタイズするルートをきめ細かく制御するためのポリシーをエクスポートします。

オーバーレイするスタティック/アグルルート

このオプションを有効にすると、オーバーレイネットワークへのスタティックルートまたは集約ルートのアドバタイズが可能になります。

  • 多数のLANルートが存在する場合、オーバーレイ するLAN ルートオプションを無効にし、このオプションを使用して集約ルートをアドバタイズできます。

  • 追加のルートをアドバタイズする場合は、[ オーバーレイへのLANルート] オプションを有効にし、このオプションを使用して追加のスタティックルートをアドバタイズできます。

表 4: サイトのライセンス認証のタスクとトラブルシューティング

アクティベーションタスク

トラブルシューティング

Model Site- CSOはまず、アクティベーションプロセスを開始するサイトをモデル化します。シリアル番号を入力しなかった場合、または自動アクティブ化を無効にした場合は、「サイトを手動でアクティブ化する」の説明に従って、 サイトを手動でアクティブ化する必要があります。

  

Prestage Device- 使用するデバイスのタイプによっては、CSO によって生成された設定をコピーして、デバイスに設定をコミットする必要がある場合があります。このようなデバイスの場合、CSOは、デバイスで設定が正常にコミットされた後にのみ、次のステップ(デバイスの検出)に進むことができます。

  1. 「デバイス」ページ(「リソース」>「デバイス」)で、デバイスを選択し、「 ステージ 1 構成」をクリックします。

    コピーする設定が別のページに表示されます。

  2. [ コピー(Copy )] をクリックして、設定をクリップボードにコピーします。

  3. SSH を使用してデバイスにログインし、Junos OS 設定モードに入ります。

  4. コピーしたコンフィギュレーションを貼り付け、コンフィギュレーションをコミットします。

通常、この手順は問題なく実行されます。ただし、問題が発生した場合は、(コンソールまたは管理インターフェイスを使用して)デバイスにログインし、CLIにアクセスして、ステージ1の設定がデバイスでコミットされたことを確認します。

Detect Device- デバイスがCSOに到達し、CSOとの通信が確立されます。

通常、このタスクには数分かかります。約 10 分後に状態が [保留中] と表示される場合は、トラブルシューティングの手順を試してください。

デバイスが検出されない場合:

  1. デバイスの正しいインターフェイスが接続されていることを確認します。

  2. デバイスにログインし、CLI にアクセスします。

  3. コマンドを実行して show system uptime デバイスに構成されているシステム時刻を確認し、システム時刻が正確であることを確認します。時間の不一致は、デバイスがリダイレクトサーバーに接続できないことを意味する場合があります。

  4. メモ:

    この手順は、ブランチ サイトにのみ適用されます。

    コマンドを実行します show interfaces terse

    コマンド出力で、デバイスがDHCP IPアドレスを受信したかどうかを確認します。デバイスが IP アドレスを受信しなかった場合は、再接続を試みます。

  5. デバイスに有効なIPアドレスがある場合は、コマンドを使用してデバイスがインターネット ping に到達できることを確認します。たとえば、 ping www.juniper.net.

    pingコマンドが正常に実行された場合は、デバイスがインターネットに到達でき、DNS 解決が機能していることを意味します。

  6. コマンドを実行して telnet redirect.juniper.net 443 、デバイスにポート 443 での発信接続に必要なアクセス許可があるかどうかを確認します。

    デバイスに必要なアクセス許可がある場合は、次のような出力が表示されます。

    Trying 192.0.2.155...
Connected to telnet-host.example.com.
Escape character is '^]'.

Bootstrap Device- このタスクは、次のサブタスクで構成されています。

  1. デバイスから OAM ハブへのセキュアな OAM トンネル(IPsec を使用)が確立されます。

  2. デバイスからのアウトバウンドSSH接続がCSOとの間で確立されます。

  3. デバイスと仮想ルートリフレクタ(VRR)の間に内部BGP(iBGP)ピアリングが確立されます。

  4. デバイスがブートストラップ完了メッセージをCSOに送信し、CSOはそれを受信して、ブートストラップを完了としてマークします。

CSOは、事前スクリプトとステージ1(デバイス設定を含む)設定を適用します。

通常、このタスクの完了には数分かかります。約 10 分後に状態が [保留中] と表示される場合は、トラブルシューティングの手順を試してください。

ブートストラップデバイスタスクが正常に終了しない場合:

  1. コマンドを実行して show configuration | display set | match outbound-ssh | match 7804 、stage-1 設定がデバイスに導入されたかどうかを確認します。

    結果の出力が次のサンプル出力のようになる場合は、stage-1 設定が正常にデプロイされたことを意味します。

    set system services outbound-ssh client 
CSO-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 
192.0.2.100 port 7804

  2. 次のコマンドを実行して、セキュア OAM トンネルが稼働しているかどうかを確認します。

    • show security ike sa コマンド。出力の [State] フィールドに が表示されない場合は UP、ポート 500 がブロックされていることを意味します。必ず 500 を開き、アクティブ化ジョブを再試行してください ([ジョブ] ページから)。

    • show security ipsec sa コマンド。出力の [状態] フィールドに が表示され UPない場合は、ポート 4500 がブロックされていることを意味します。ポート 4500 を開き、([ジョブ] ページから) アクティブ化ジョブを再試行します。

  3. コマンドを実行して show bgp summary 、デバイスがVRRとのBGPピアリングを確立しているかどうかを確認します。

    出力の State(状態)フィールドに が表示され Establた場合は、BGPピアリングが正常に確立されていることを意味します。

  4. コマンドを実行して、セキュア OAM セッションが確立されている show security flow session destination-port 7804 かどうかを確認します。

    結果の出力が次の出力のような場合は、セキュア OAM セッションが正常に確立されたことを意味します。

    Session ID: 430000098, Policy name: default-policy-00/2, Timeout: 1778, Valid
  In: 192.0.2.10/15190 --> 192.0.2.20/23;tcp, If: ge-7/1/0.0, Pkts: 109, Bytes: 5874, CP Session ID: 430000093
  Out: 192.0.2.20/23 --> 192.0.2.10/15190;tcp, If: ge-7/1/1.0, Pkts: 64, Bytes: 4015, CP Session ID: 430000093
Total sessions: 1

Manage Device- CSO がデバイスに設定を適用すると、デバイスのステータスが [管理対象(Managed Managed)] に変わります。

約 10 分後に状態が [保留中] と表示される場合は、トラブルシューティングの手順を試してください。

[ジョブ] ページ ([> ジョブの監視]) に移動し、ZTP ジョブを検索して、ステータスを確認します。

job-nameリンクをクリックすると、ジョブに関連付けられているタスクとそのステータスが表示されます。リンクをクリックするとtask-name、さらにドリルダウンできます。ジョブまたはタスクの状態が [進行中] の場合は、ジョブまたはタスクが完了するまで待ちます。ジョブが失敗した場合は、ジョブを選択し、[ジョブの再試行] ボタンをクリックして、ジョブを再試行できます。
表 5: 送信元 NAT ルールの自動作成

送信元NATルールの自動作成

翻訳

NATルールの作成

無効

適用なし(NATなし)

なし。

有効

インターフェイスベース(デフォルト):CSOはインターフェイスベースNATルールを作成します。

ソースNATルールは、部門ゾーンからWANインターフェイスへの各ルールとともに、インターフェイスタイプの変換とともに自動的に作成されます。[zone - interface] の各ペアは、ルール セットを表します。

たとえば、次の部門ゾーンから(WANリンク)W1インターフェイスルールセットが作成されます。

Dept-Zone1 --> W1: Translation=Interface
Dept-Zone2 --> W1: Translation=Interface
Dept-Zone3 --> W1: Translation=Interface

ブランチ サイトからのトラフィックがエンタープライズ ハブでブレイクアウトすると、エンタープライズ ハブで部門ルーティング グループ(VRF グループとも呼ばれる)から WAN インターフェイスへのソース NAT ルールが自動的に作成されます。 

Dept-vrf-group --> W1: Translation=Interface

有効

プールベース—CSOはプールベースのNATルールを自動的に作成します(SD-WAN Essentialsサービスを使用するサイトには適用されません)。

ソースNATルールが自動的に作成され、部門ゾーンからWAN NATプールへの各ルールが、プールタイプに変換されます。

たとえば、部門ゾーンから NAT プールへのソース NAT ルールを作成できます。

Dept-Zone1 --> W1 : Translation=Pool-1
Dept-Zone2 --> W1 : Translation=Pool-1

ブランチ サイトからのトラフィックがエンタープライズ ハブでブレイクアウトすると、エンタープライズ ハブで部門ルーティング グループから WAN プールへのソース NAT ルールが自動的に作成されます。 

Dept-vrf-group --> W1: Translation=Pool

サイトがプロビジョニングされたら、 Enterprise Hub および SD-WAN スポーク サイトのプロビジョニング後タスクを実行する必要があります。