WANエッジとして導入されたSRXシリーズファイアウォールを監視する
WANエッジデバイスとして導入されたJuniper® SRXシリーズ Firewallの監視では、導入の初期フェーズに続いて、Juniper Mist™ポータルでWANエッジデバイスを監視する最も効率的な方法を探ります。
WANエッジ
Juniper Mist ポータルで、[ WAN Edges] > [WAN Edges] を選択して 、基本的なデバイス監視情報を表示します。GUIの上部にある組織名、ライブデモに注目してください。これは最大のコンテナーであり、組織全体を表します。組織名の下には、リスト形式またはグラフィカルなトポロジー形式でサイトデバイスが表示されます。こちらには、 ライブデモ が貴社のサイトで、 LD_CUP_SRX_1 が貴社のWANエッジデバイスです。
リストビューには、次の情報の概要が表示されます。
- [設定成功(Config Success)]:設定が成功したオンライン WAN Edge の割合。
- [バージョン コンプライアンス(Version Compliance)]:モデルごとに同じソフトウェア バージョンを持つ WAN Edge の割合。
- [WAN Edge 稼働時間(WAN Edge Uptime)]:過去 7 日間に WAN Edge が稼働していた時間の割合(すべての WAN Edge の平均)。
その下に、 表1に示すWANエッジデバイスの詳細が表示されます。
| 田畑 | 形容 |
| 名前 | 名前 |
| 地位 | 接続または切断 |
| Mac | MACアドレス |
| IP アドレス | IP アドレス |
| モデル | ジュニパーネットワーク®スSRXシリーズファイアウォールまたはジュニパー®セッションセッションスマート™ ルーター。 |
| バージョン | SRXソフトウェアバージョン |
| 位相幾何学 | ハブまたはスポーク |
| 洞察 力 | WANエッジインサイトページへの直接リンクを提供します。 |
トポロジ形式は、リストビューと同じ情報を表示します。たとえば、LD_CUP_SRX_1デバイスにカーソルを合わせると、リストビューに表示されるのと同じ情報が表示されます。
[List] ビューと [Topology] ビューの両方で、WAN エッジ デバイス(この例では LD_CUP_SRX_1)を選択すると、その [Device Information] ページが表示されます。[デバイス情報(Device Information)] ページには、WAN エッジ デバイスの監視情報のさまざまなカテゴリが表示されます。
デバイス情報ページで最初に表示されるのは、選択したWANエッジデバイスの詳細です(図のLD_CUP_SRX_1)。この情報には、デバイスポートのグラフィカルな正面ビューと、CPUやメモリ使用率などのベースラインステータス情報が含まれます。
各ギガビットイーサネットインターフェイスには、リンク情報があります。
| 田畑 | 形容 |
| 速度 | 定格速度 |
| PoE | 有効または無効 |
| 消費電力 | 測定されたPoE消費電力 |
| 二連式 | フルまたはハーフ |
| STP | True または false |
| BPSの | ビット/秒 |
| プロフィール | ポートに割り当てられているポートプロファイルの名前 |
| ポートモード | ポートプロファイル設定のモード(トランク、アクセス、ポートネットワーク、またはVoIPネットワーク) |
| VLAN | VLAN タグ |
| 形容 | インターフェイスの説明 |
CPU、メモリ、およびその他のステータスアイコンは、デバイスの動作を示します。各ステータスアイコンにカーソルを合わせると、より詳細なインサイトが表示されます。
高度なセキュリティ 情報は、デバイスポートの下にチェックマークまたはXが付いて表示され、このデバイスでURLフィルタリング、侵入検出および防止(IDP)、またはAppSecure(アプリケーションの可視性用)がアクティブになっているかどうかを示します。ここでは、URLフィルタリング、IDP、AppSecureが緑色のチェックマークでアクティブになっています。
ポート情報とセキュリティセクションの下には、以下を含むWANエッジデバイスの一般化されたデータが表示されます。
プロパティ には、一般化されたプラットフォーム関連の情報が含まれています。
| 畑 | 形容 |
| 洞察 力 | WANエッジインサイトへの直接リンクを提供します。 |
| 場所 | 間取り図情報を提供します。 |
| MAC アドレス | SRX デバイスのMACアドレス。 |
| モデル | モデル タイプが SSR か SRX かを示します。 |
| バージョン | SRXソフトウェアのバージョン。 |
| テンプレート | デバイスに適用されている WAN エッジ テンプレート。 |
| ハブプロファイル | デバイスに適用されたハブ プロファイル。 |
統計には、 プラットフォームに関するアクション情報が表示されます。
| 畑 | 形容 |
| 地位 | 接続済み/切断済み |
| IP アドレス | WANエッジデバイスのIPアドレス |
| アップタイム | 曜日/時間/分の稼働時間情報 |
| 最終確認日 | 最終ログイン |
| 最終設定 | 最後のコミット |
| WANエッジの写真 | WANエッジデバイスの写真 |
WANルーター自体にDHCPサーバーを設定した場合は、リースされたIPに関する情報を含むDHCP統計ペインもあります。
-
DHCP統計は、 動的分散IPアドレスに関連するIP情報を提供します。
| 畑 | 形容 |
| 使い | リース済み IP と利用可能な IP の割合として表示される合計数値。 |
| プール名 | 指定されたアドレス プールの名前。 |
| リースされた IP | 各プールで使用されている IP アドレスの数。 |
| 総IP数 | 各プールで使用可能な IP アドレスの合計数。 |
[デバイス情報] ページを下にスクロールすると、WAN Edge の構成情報が表示されます。通常、WAN Edge はテンプレートまたはプロファイルを継承します。ただし、デバイスにプッシュする設定を個別に変更することはできます。この例では、スタンドアロンのWANエッジテンプレートが使用されました。
| 畑 | 形容 |
| 情報 | SRX デバイスの名前。 |
| IP 設定 | ノード0/スタンドアロンDHCP/静的、VLAN ID、ノード1 DHCP/静的、VLAN ID。 |
| NTP | タイム サーバー IP/ホスト名。 |
| DNS設定 | DNSサーバー、DNSサフィックス(SRXのみのDNSサフィックス情報)。 |
| Secure Edge コネクター(ベータ版) | Secure Edge Connectorのプロバイダー。 |
構成をスクロールすると、接続されているWANとLANの情報が表示されます。
| 畑 | 形容 |
| 名前 | 選択した WAN インターフェイス名 |
| インターフェイス | アグリゲーション用インターフェイスとして、ge-0/0/1、ge-0/0/1-5、または reth0 のいずれかをサポートします。 |
| WANタイプ | イーサネット、DSL(SRXのみ)、またはLTE |
| IP 設定 | DHCP、静的、または PPPoE |
| 有効 | チェックマークは、インターフェイスが有効であることを示します。 |
| 畑 | 形容 |
| IP 構成 | ネットワーク、IP アドレス、プレフィックス長。 |
| DHCP 構成 | サーバーまたはリレー。 |
| カスタムVR | 自動ルート漏洩に使用するように設定できる仮想ルーター。 |
| LAN |
|
下にスクロールすると、トラフィック ステアリング、アプリケーション ポリシー、およびルーティング(OSPF、BGP、ルーティング ポリシー、スタティック ルート)のセクションがあります。
トラフィックステアリングとアプリケーションポリシーのセクションでは、SRXシリーズファイアウォールを使用して、パス優先とルーティング動作のルールを作成する方法を示しています。WANエッジとして導入されたSRXシリーズファイアウォールでは、アプリケーションポリシーとトラフィックステアリングパスによって宛先ゾーンが決定されるため、割り当てる必要があることに注意してください。
トラフィック・ステアリングでは、トラフィックが宛先に到達するまでにたどることができるさまざまなパスを定義できます。トラフィック・ステアリング・ポリシーでは、トラフィックが通過するパスと、それらのパスを利用するための戦略を指定できます。
| 畑 | 形容 |
| 名前 | トラフィック・ステアリング・ポリシーの名前。 |
| 戦略 | 順序付け、加重、ECMP。 |
| パス | LAN、WAN、タグなしVLAN(SRXのみ)。 |
アプリケーションポリシーは、Juniper WAN Assurance設計のセキュリティポリシーであり、どのネットワークとユーザーがどのアプリケーションにアクセスできるかを、どのトラフィックステアリングポリシーに従って定義します。ネットワーク、アプリケーションを作成し、トラフィック・ステアリング・プロファイルを確立して、アプリケーション・ポリシーを定義する必要があります。これらの要素が、アプリケーションまたは宛先へのアクセスを許可したりブロックしたりするためのポリシーの一致基準を定義します。
Juniper Mist™クラウド・ポータルでは、「ネットワーク」または「ユーザー」設定によってソース・ゾーンが決まります。[アプリケーション(Applications)] と [トラフィック ステアリング(Traffic Steering)] の設定によって、宛先ゾーンが決まります。トラフィックステアリングパスは、ジュニパーネットワーク®スSRXシリーズファイアウォールの宛先ゾーンを決定するため、トラフィックステアリングプロファイルをアプリケーションポリシーに割り当ててください。
| 畑 | 形容 |
| 数 | 順序付きポリシー番号 |
| 名前 | アプリケーション ポリシー名 |
| インポートされた組織 | ポリシーが組織レベルからサイトにプッシュされたかどうかを示します。 |
| ネットワーク/ユーザー(いずれかに一致) | トラフィックの「送信元」 |
| アクション | 許可/ブロック |
| アプリケーション/宛先(いずれかに一致) | トラフィックの「宛先」。 |
| IDP | IDP/URLフィルタリングを示します(別途ライセンスが必要) |
| トラフィックステアリング | トラフィックのパスを示します |
Open Shortest Path First(OSPF)を使用して、IPパケットを転送するための最適なパスを決定します。OSPFはネットワークをセグメント化することで、拡張性を向上させ、ルーティング情報のフローを制御します。OSPFの設定を参照してください
| 畑 |
形容 |
|---|---|
| 面積 |
OSPFネットワークまたはSRXシリーズファイアウォールが属する識別エリア。 |
| 種類 |
これはOSPFエリアタイプです。[デフォルト(エリア 0)]、[スタブ]、または [それほどスタビーではない領域(NSSA)]を選択します。 |
| ネットワーク |
OSPF ネットワークの名前。 |
| 有効 | このチェックボックスをオンにすると、[ Enable OSPF Areas ] ボタンが選択可能になります。 |
WANエッジデバイスとして導入されたSRXシリーズファイアウォールに、境界ゲートウェイプロトコル(BGP)を設定できます。ここで BGP グループを手動で追加することもできます。
| 畑 | 形容 |
| 名前 | BGP 名 |
| ピアリングネットワーク | BGP ピアリングに使用されているネットワークのタイプ(WAN または LAN)。 |
| 種類 | BGPルートのタイプ(内部または外部) |
| ローカルAS | 自律システム番号 |
| 輸出 | ルートのエクスポート |
| 輸入 | ルートのインポート |
| 隣人 | ネイバールート |
| ネイバーAS | ネイバー ルートの自律システム番号 |
ルーティングポリシーセクションでは、パス優先度を設定し、トラフィックの動作を決定できます。
| 畑 |
形容 |
|---|---|
| 名前 |
ルーティングポリシーの名前。 |
| 条件 |
これらは、プレフィックス、ルーティングプロトコル、アクションなどのポリシー条件です。 |
静的ルートでは、WANエッジデバイスとして導入したSRXシリーズファイアウォールで使用するルートを手動で定義できます。
| 畑 |
形容 |
|---|---|
| 名前 |
静的ルートの名前。 |
| ゲートウェイ |
静的ルートがトラフィックをルーティングするときに使用するゲートウェイ。 |
監視:デバイス情報とWANエッジのインサイト
WANエッジインサイト
選択した WAN Edge の [プロパティ (Properties)] ペインは 、WAN Edge Insights にリンクしています。[ WAN Edge Insights ]をクリックすると、WANエッジデバイスに関する次のレベルの情報が表示されます。
[インサイト (Insights)] ページで選択した WAN Edge (LD_CUP_SRX_1) の横で、選択した情報の期間を選択できます。既定のビューは [今日] ですが、 カスタマイズした日付または日付の範囲に設定できます。その下には、(サイトの位置情報が構成されている場合)このWANエッジが構成されている場所がストリートマップで表示されます。
時間枠を選択すると、指定した時間帯に WAN Edge を通過したトラフィックのタイムラインと、イベントのリストが表示されます。
リストされた WAN Edge イベントで特定のイベントを選択すると、 Good、 Neutral、 および Bad イベントの詳細が表示されます。
選択内容が展開され、選択した時刻の詳細情報が表示されます。
時間の詳細な部分については、マウスカーソルで時間枠を選択します。これにより、イベントのウィンドウを調整し、ネットワークで発生した特定の Good、 Neutral、 Bad の発生を分離できます。セクションが小さいほど、その期間のより詳細なビューが表示されます。
[WAN Edge Events]ページを下にスクロールすると、選択した期間内のより詳細なインサイトが表示されます。
[WAN Edge イベント (WAN Edge Events)] では、[イベントタイプ ()] ドロップダウン メニューで修飾子を選択して、イベントのタイプを絞り込むことができます。また、イベントタイプを特定のポートに制限して、検索をフィルタリングすることもできます。
[WAN Edge イベント (WAN Edge Events)] ページの [アプリケーション(Applications)] ペインにアプリケーションに関するレポートを表示することもできます。このペインでは、次の操作を行います。
- アプリケーション ペインを使用して、特定のアプリケーションの動作を監視およびトラブルシューティングできます。
- [アプリ名] にカーソルを合わせると、サービスの詳細が表示されます。
- 「クライアント」タブをクリックすると、クライアントによる特定のアプリケーションの使用を表示できます。
初期デプロイ後、これらのメトリックが入力されるまでに数時間かかることを確認します。
[ クライアント数 ]列で数字をクリックすると、クライアント名、MACアドレス、IP アドレス、デバイスタイプ、使用されているバイトなど、アプリケーションを使用しているクライアントに関する詳細情報が表示されます。
を使用するクライアント
DHCPサーバーを実行しているWANエッジとして導入されたSRXシリーズファイアウォールの場合、そのアプリケーションを使用するクライアントの[クライアント]列にホスト名が表示されます(使用可能な場合)。それ以外の場合は、MACアドレスが表示されます。[Device Type] 列と [MAC Address] 列にも入力されます。
[アプリケーション] ペインに戻り、[ クライアント ] タブをクリックすると、特定のクライアントが使用している帯域幅を確認できます。[ アプリケーションの数 ] 列の数字をクリックすると、詳細が表示されます。
のアプリケーション
[アプリケーション パス インサイト (ベータ版)] セクションには、選択したアプリケーション ポリシーとネットワークに従って、帯域幅を最も多く使用しているアプリケーションが表示されます。選択したアプリケーション ポリシーのパス上の有効なアプリケーション フローが表示されます。また、「データ・タイプ」を「セッション」に変更して、アプリケーションごとに発生するセッションの数を確認することもできます。グラフのセクションにカーソルを合わせると、アプリケーションごとの帯域幅またはセッション数、ジッター、ロス、遅延が表示されます。
Application Path Insights 視覚化データは、構成が Juniper Mist によって管理されている場合にのみ使用できます。
Have you ever been on an important Zoom or Teams call and experienced jitter or latency? This is a bad experience for anyone, but if you're the network operator, it's even worse. You don't want the CEO yelling at you because their shareholder meeting went bad. With Juniper's WAN Assurance Application Insights dashboard, you could do something about it.
This dashboard shows you which applications are using bandwidth at any given time. Given those insights, you can easily set policies to remediate issues, such as prioritizing some applications, blocking others, or working with your ISP to gain more bandwidth. Application Insights dashboard also lets you verify that your policies were configured correctly, and you can easily see the top 10 applications by bandwidth utilized, quickly adding and removing applications from this list.
And that's the power of WAN Assurance App Insights in 60 seconds.
パス状態バーには、タイムライン上のパス状態情報が表示され、パス状態イベントは異なる色で強調表示されたセグメントで示されます。たとえば、パス アップ イベントは緑色で表示され、パス ダウン イベントは赤色で表示されます。
パス状態バーの強調表示された部分にカーソルを合わせると、パス状態イベントの概要を表示できます。
[アプリケーション パス インサイト] セクションには、最近のパス状態イベントを表示する概要ビューも左側にあります。
バーをクリックすると、ポップアップウィンドウが表示され、パス状態イベントに関する詳細情報を表示できます。イベントのリストが左側に表示され、イベントを選択すると、イベントの理由が右側に表示されます。
パス状態イベントには、次のものが含まれます。
- パスの更新
- ポートアップ
- ポートダウン
- パスアップ
- パスダウン
パス状態には、次のような理由があります。
- プローブダウン
- ピア パス アップ
- ピア パス ダウン(Peer Path Down)
- コンフィグ変更
- 選択された最適なパス
- SLA メトリック違反
WANエッジデバイスチャートには、コントロールプレーンCPU、データプレーンCPU、メモリ使用率、消費電力が含まれます。
[コントロール プレーン CPU] と [データ プレーン CPU] のグラフには、最大と平均の両方の CPU 使用率が表示されます。
メモリ使用率 と 消費電力 は、最大と平均の両方のパーセンテージを示します。
WANエッジポートのチャートには、帯域幅、最大帯域幅、アプリケーションTX + RXバイト、ポートエラー、およびIPsecトラフィックが含まれます。上部のドロップダウンリストから [すべてのポート] を選択して、すべてのインターフェイスのグラフに使用率メトリックを表示するか、インターフェイスを選択してその特定のインターフェイスの使用率メトリックを表示できます。
帯域幅チャートには、その特定のインターフェイスの帯域幅使用率メトリックがメガビット/秒(Mbps)で表示されます。
[Max Bandwidth]チャートには、日中に各ポートで記録された受信電力信号(RX)パケットと送信電力信号(TX)パケットについて記録されたリンク利用率の最高ポイントに関するインサイトが表示されます。データはMbps単位で表示されます。
最後の 3 つの [WAN Edge Ports] グラフには、[ Applications TX + RX Bytes]、[ Port Errors]、および [IPsec Traffic] があります。チャートにカーソルを合わせると、詳細が表示されます。
[Applications TX + RX Bytes] チャートには送受信データ情報の概要が表示され、チャートの下部にあるアプリケーション名をクリックすると、クライアント、MAC アドレス、IP アドレス、デバイス タイプ、帯域幅使用率のバイト数が表示され、アプリケーション レベルで分離できます。
[Port Errors]チャートには、一日を通しての受信パケットと送信パケットのポートエラーが表示されます。
IPsecトラフィックチャートには、日中の送受信パケットのIPsec トラフィックがキロバイトまたはメガバイト単位で表示されます。
ピア パス統計情報
これは、Juniper Mist™ WAN AssuranceにWANエッジデバイスとして導入されたセッションスマートルーターにのみ適用されます。そのため、WANエッジデバイスとして導入されたSRXシリーズファイアウォールのデータは、このセクションに入力されません。
[WAN Edge Insights] ページの最後のセクションは、[現在の WAN Edge プロパティ (Current WAN Edge Properties)] です。時間範囲の選択は、[現在の値] ペインの情報には影響しません。
インターフェイスのステータスに関するアラート
Juniper Mistでは、アラートは進行中のネットワークとデバイスの問題を示します。Juniper Mist ポータルで [Monitor > Alerts] を選択すると、アラートを表示できます。
WANエッジデバイスの特定のポートがオンラインまたはオフラインになったときのアラートと電子メールの更新を設定できます。特定のポートのアラートを設定するには、WANエッジデバイスのLANまたはWAN設定でこれらのポートにラベルを付ける必要があります。
特定のポートのアラートと通知を構成するには、次の操作を行う必要があります。
- WAN または LAN の設定を変更して、WAN Edge テンプレートまたはデバイスレベルの構成ページで、指定したポートにラベルを付けます。
- Juniper Mist ポータルで、[ 組織> WAN > WAN Edge テンプレート ] を選択し、更新する (または新しい構成を追加する) WAN または LAN 構成を選択します。
これをデバイス レベルで設定するには、左側のナビゲーション バーで [WAN Edges ] を選択し、選択したデバイスの WAN または LAN 設定を選択します。
- [インターフェイス] でポートを入力し、[Enable "Up/Down Port" Alert Type ] チェックボックスをオンにします。
図 38: LAN ポートまたは WAN インターフェイスをクリティカル インターフェイス
としてマークする
すべての重要なポートに対して、これらの手順を繰り返します。
- Juniper Mist ポータルで、[ 組織> WAN > WAN Edge テンプレート ] を選択し、更新する (または新しい構成を追加する) WAN または LAN 構成を選択します。
- [アラート] ページで、指定したポートのアラートと電子メール通知を構成します。
- [ Monitor > Alerts] > [Alerts Configuration ] に移動し、次のチェックボックスを使用して、選択したポートのアラートを有効にします。
重要なWANエッジポートがアップ
重大な WAN エッジ ポートのダウン
図 39: クリティカル ポート
のアラート設定
詳細については、「 アラート設定 」を参照してください。
アラートと通知を有効にすると、次のようになります。
- ポートがある状態から別の状態に遷移するたびに、電子メール通知が届きます。
- ステータスは [Monitor > Alerts] ページで確認できます。 図 40 は、[Juniper Mist Alerts] ダッシュボードのクリティカル ポート ステータスの例を示しています。
図 40: WANエッジポートのクリティカルステータス
- [ Monitor > Alerts] > [Alerts Configuration ] に移動し、次のチェックボックスを使用して、選択したポートのアラートを有効にします。