フレッツ・sdx...

フレッツ・SDx ユーザーマニュアル

第 1.1 版

2020年 4 月

西日本電信電話株式会社

目次 1. 更新履歴 ........................................................................................................................... 5 2. 用語の定義 ....................................................................................................................... 6 3. はじめに ........................................................................................................................... 7 4. 設定を行う前に ................................................................................................................ 7

4.1. 事前準備 .................................................................................................................... 7 4.1.1. 必要な契約 ......................................................................................................... 7 4.1.2. 必要な書類 ......................................................................................................... 8 4.1.3. 必要な準備 ......................................................................................................... 9

4.2. 推奨NW 構成 ......................................................................................................... 14 4.2.1. CPE の推奨構成 ............................................................................................... 14 4.2.2. SW の推奨構成 ................................................................................................ 15 4.2.3. AP の推奨構成 ................................................................................................. 16

4.3. 本マニュアルにおけるNW 構成 ............................................................................ 17 4.3.1. LAN 構成 ......................................................................................................... 17 4.3.2. WAN 構成 ........................................................................................................ 18

5. 接続 ................................................................................................................................ 19 5.1. 物理構成について ................................................................................................... 19 5.2. 機器情報について ................................................................................................... 19 5.3. コントローラーへのログインと各タイルの役割 .................................................... 20 5.4. コントローラーと各機器の接続確認 ...................................................................... 22

5.4.1. CPE との接続確認 ........................................................................................... 22 5.4.2. SW との接続確認 ............................................................................................. 22 5.4.3. AP との接続確認 ............................................................................................. 23

6. 設定必要事項と設定章 ................................................................................................... 24 7. LAN 接続 ........................................................................................................................ 26

7.1. AP ........................................................................................................................... 27 7.1.1. SSIDの作成 ..................................................................................................... 27 7.1.2. AP プロファイルの作成 .................................................................................. 31 7.1.3. AP プロファイルの適用 .................................................................................. 35 7.1.4. 設定のインストール ........................................................................................ 38

7.2. CPE ......................................................................................................................... 40 7.2.1. CPE のみ利用する場合 .................................................................................... 40 7.2.2. SW、AP を利用する場合 ................................................................................ 45 7.2.3. 設定のインストール ........................................................................................ 57

7.3. SW ........................................................................................................................... 59 7.3.1. VLAN の作成 ................................................................................................... 59 7.3.2. SW テンプレートの作成 .................................................................................. 61 7.3.3. SW テンプレートの適用 .................................................................................. 66 7.3.4. 設定のインストール ........................................................................................ 69

7.4. インターフェースオブジェクトの設定 .................................................................. 71 8. 拠点間接続 ..................................................................................................................... 74

8.1. センター拠点の作成 ................................................................................................ 75 8.1.1. WAN インターフェースの設定 ....................................................................... 75 8.1.2. Loopback インターフェースの設定 ................................................................ 79 8.1.3. 拠点間（VPN）接続設定 ................................................................................ 82 8.1.4. 拠点間ルーティング設定 ................................................................................. 98 8.1.5. 設定のインストール ...................................................................................... 113

8.2. ブランチ拠点の作成 .............................................................................................. 115 8.2.1. WAN インターフェースの設定 ..................................................................... 115 8.2.2. 拠点間（VPN）接続設定 .............................................................................. 116 8.2.3. 拠点間ルーティング設定 ............................................................................... 119 8.2.4. 設定のインストール ...................................................................................... 123

8.3. クラウド閉域接続拠点の作成 ............................................................................... 125 8.3.1. Loopback インターフェースの設定 .............................................................. 125 8.3.2. クラウド閉域接続インターフェースの設定 .................................................. 125 8.3.3. クラウド閉域接続向けルーティングの設定 .................................................. 126 8.3.4. 拠点間（VPN）接続設定 .............................................................................. 133 8.3.5. 拠点間ルーティング（OSPF）設定 .............................................................. 135 8.3.6. 設定のインストール ...................................................................................... 139

8.4. インターフェースオブジェクトの設定 ................................................................ 141 9. ブレイクアウト ............................................................................................................ 144

9.1. インターフェースメンバー ................................................................................... 145 9.1.1. センター拠点の設定 ...................................................................................... 145 9.1.2. ブランチ拠点の設定 ...................................................................................... 148

9.2. SD-WAN テンプレート ........................................................................................ 151 9.2.1. センター拠点の設定 ...................................................................................... 151 9.2.2. ブランチ拠点の設定 ...................................................................................... 162

10. ポリシー＆オブジェクト .......................................................................................... 182 10.1. ポリシーインポート .......................................................................................... 182 10.2. ファイアウォールアドレス ............................................................................... 185

10.3. IPv4 ポリシー .................................................................................................... 188 10.4. IPv6 ポリシー .................................................................................................... 194 10.5. 設定のインストール .......................................................................................... 194

11. レポートの作成 ........................................................................................................ 196 11.1. アナライザーへのログイン ............................................................................... 196 11.2. レポートの作成 ................................................................................................. 197

12. 拠点や機器の追加 ..................................................................................................... 199 12.1. 新規拠点を追加する場合 ................................................................................... 199

12.1.1. 新規拠点の設定 .............................................................................................. 199 12.1.2. 既存拠点の設定 .............................................................................................. 199

12.2. 既存拠点へ機器追加する場合 ........................................................................... 200 12.2.1. セグメント追加しない場合 ........................................................................... 200 12.2.2. セグメント追加する場合 ............................................................................... 200

13. 高度な設定 ................................................................................................................ 202 14. 困ったときは ............................................................................................................ 203

14.1. 開通時 ................................................................................................................ 203 14.1.1. コントローラーにアクセスできない ............................................................. 203 14.1.2. コントローラーにアクセスできるが、各機器の接続が確認できない .......... 203 14.1.3. コントローラーにアクセスでき、各機器の接続も確認できるが、実現したい機能が使えない ................................................................................................................ 204 14.1.4. CPE へのログイン ......................................................................................... 204

14.2. 開通後の故障時 ................................................................................................. 206 14.2.1. 複数拠点において、NW が利用できない(センター拠点の回線・CPE故障が疑われる場合、複数拠点での回線故障が疑われる場合) ................................................ 206 14.2.2. 特定拠点への通信、特定拠点内の通信において、NW が利用できない(特定拠点の CPE故障が疑われる場合) ................................................................................... 207 14.2.3. 特定拠点内の一部通信において、NW が利用できない ............................... 208

14.3. 設定・接続変更時の不具合 ............................................................................... 214 14.3.1. 設定の見直し ................................................................................................. 214 14.3.2. 接続の見直し ................................................................................................. 214 14.3.3. ロールバックの実施 ...................................................................................... 215 14.3.4. 設定内容について相談する ........................................................................... 221

15. 問い合わせ先 ............................................................................................................ 222

1. 更新履歴

版数変更年月変更内容 1 2020.4 初版作成 1.1． 2020.5.11 改版

2. 用語の定義

(1) コントローラー各拠点のネットワーク構成、各拠点に設置されている CPEや SW、APの設定や通信の利用状況可視化、分析などの集中管理を行います。

(2) CPE(Customer Premises Equipment) 本サービスで利用する専用ルーターです。コントローラーで集中管理・一括で自動設定が可能です。 SD-WAN 機能による通信の経路制御機能や、アンチウイルス／Web フィルタ／侵入防止／ファイアウォールといったセキュリティ機能、無線 LAN コントローラー機能を提供します。

(3) SW オプションでレンタルできる PoE機能付きの L2スイッチです。コントローラーで集中管理・一括で自動設定が可能です。 VLAN 機能を提供します。

(4) AP オプションでレンタルできる無線 AP(アクセスポイント)です。コントローラーで集中管理・一括で自動設定が可能です。無線 LAN 機能を提供します。

(5) センター拠点お客さまの本社拠点を指します。 ※本社でなくとも、インターネット環境、サーバ環境などの集約を行っている拠点を指します。

(6) ブランチ拠点お客さまの支社拠点を指します。

(7) クラウド閉域接続拠点パブリッククラウドサービスと直接接続し、インターネットを介さない、セキュアな環境でのマルチクラウドを実現するクラウド閉域サービスと接続する拠点を指します。

(8) ブレイクアウト

OS のアップデートなど特定のトラヒック量が多い通信を各拠点から直接インターネットに通す機能です。

3. はじめに

本マニュアルは CPE・SW・AP をはじめとする拠点の設定、拠点間の設定及びインターネットへの接続に関する手順を説明しております。これらの装置設定は、全てコントローラーの操作によって行います。 ■参考マニュアル Fortinet テクニカルドキュメント https://docs.fortinet.com/

4. 設定を行う前に

4.1. 事前準備 4.1.1. 必要な契約

以下のサービスについて申し込みが完了していることを確認します。フレッツ光ネクストフレッツ・v6 オプションインターネットプロバイダ契約（インターネット接続を行う拠点のみ）フレッツ・SDx

4.1.1.1. フレッツ SDx の契約にあたって

フレッツ・SDx申込時に、以下赤字部分の情報をお客様より提示いただき、別途郵送する「フレッツ付加サービス等お申し込みご案内」にて確定情報を回答します。

項目お客様提示情報お申し込みご案内(例) ADOM共通情報(全拠点共通) ADOM名 ADOM名希望：NttWest

※最大 24 文字 ※a-z,A-Z,0-9,-

NttWest_2004140900 ※ADOM 名希望から払い出します。

ADOM アカウントID

― 例 ※お客様ごとにランダムな英数字を払い出します。

ADOM アカウントパスワード

― 例 ※お客様ごとにランダムな英数字を払い出します。

項目お客様提示情報お申し込みご案内(例) 拠点情報(拠点の全デバイス共通) 拠点番号 001

※001~200 001

拠点名 osaka ※最大 18 文字 ※a-z,A-Z,0-9

osaka

デバイス情報(必要機器のみ) CPE デバイス名

―

001-osaka_2004140900 ※拠点番号_拠点名から払い出します。

SW(8 ポート) デバイス名

SW の連番：1 ※1~99

001-osaka_sw1a_2004140900 ※拠点番号_拠点名_機種名・連番から払い出します。

SW(24 ポート) デバイス名

SW の連番：2 ※1~99

001-osaka_sw2b_2004140900 ※拠点番号_拠点名_機種名・連番から払い出します。

AP デバイス名

AP 連番：1 ※1~99

001-osaka_ap1_2004140900 ※拠点番号_拠点名_機種名・連番から払い出します。

4.1.2. 必要な書類

以下の書類を準備します。フレッツ・SDx取扱説明書 (フレッツ・SDx 申込完了後、送付されてくる機器に同梱しています。) フレッツ・SDｘ『フレッツ付加サービス等のお申込み内容のご案内』 (フレッツ・SDx 申込完了後、機器とは別途、郵送で届きます。コントローラーにログインする ADOM アカウント ID、ADOM パスワード等が記載されております。) フレッツ光ネクスト『お申込み内容のご案内』 (フレッツ光ネクスト申込受付後、郵送で届きます。サービス申込受付ページにログインするお客様 ID、アクセスキーが記載されております。「4.1.3 必要な準備 ①センター拠点 CPE に割り振られた v6 アドレスのネーム登録」を行う際に利用します。) インターネットプロバイダ PPPoE の ID/パスワード (お客様にてインターネットプロバイダ会社に申込を行うことで、郵送などにより

PPPoE の ID/パスワードが届きます。見当たらない場合は、お申込みのインターネットプロバイダ会社様にお問い合わせください。)

4.1.3. 必要な準備

① センター拠点 CPEに割り振られた v6アドレスのネーム登録 (拠点間接続を実施する際、センター拠点 CPE の v6 アドレスをネーム登録し、ブランチ拠点からは IPSec アグレッシブモードで接続することで、v6 アドレス変更に自動的に追随させることができます。そのため、必須ではありませんが、登録を推奨します。※「8 章拠点間接続」はネーム登録を実施した前提で記載しております。)

1. PC をセンター拠点 CPE 配下に接続し、センター拠点 CPE の v6 アドレスを

確認します。 ※ CPEは、ONU・HGW に接続ください。また PC は、CPEの 1-7ポートに接続ください。 ※ コントローラーへの接続・ログイン方法については、5 章にて詳細記載しております。・コントローラーの「デバイスマネージャー」タイルを選択する・センター拠点 CPE を選択し、IPアドレス(v6)をコピーする

センター拠点 CPEを選択 IP アドレス(v6)をコピー

2. サービス申込受付ページにログインします。・http://www.flets-west.jp/wso/にアクセスする・該当回線の「お客さま ID」「アクセスキー」を入力して、「ログイン」

3. 「フレッツ・v6オプション」の「詳細・申込・変更」をクリック

「お客さま ID」「アクセスキー」を入力し、「ログイン」

「フレッツ・v6オプション」の「詳細・変更・申し込み」をクリック

4. 「ネーム/IPv6 アドレス設定」の「設定変更」をクリック

5. 「設定変更」をクリック

「設定変更」をクリック

「設定変更」をクリック

6. 「ネーム」「IPv6 アドレス(1 にて確認したアドレス)」を入力して、「次へ」クリック ※ネームは、半角小文字英数字とハイフンのみ利用可、3 文字から 40 文字以内となります。

7. 確認画面が出てくるので、内容確認の上「確定」をクリック

※ネーム機能をすでに利用されている場合は、以下参考マニュアルの P.14-16 に沿って、追加ネームの契約申込が可能です。 ■参考マニュアルフレッツ・v6 オプションサービス申込受付ページ操作マニュアル https://flets-w.com/opt/v6option/pdf/v6option_user_manual.pdf

「次へ」をクリック

「確定」をクリック

② NW 構成図の作成「4.3 本マニュアルにおける NW 構成」に記載した NW 構成図をサンプルとし、お客様環境のNW 構成図を作成します。

4.2. 推奨 NW構成フレッツ・SDx における推奨構成は、以下の通りとします。本サービスは、一部の管理機能を除き、基本的に Fortinet が対象デバイスで提供する全機能を設定可能です。そのため推奨外構成の場合は、Fortinet 社公開の資料を参考に、お客様責任にて設定してください。NTT西日本としては動作保証対象外となります。(機器故障時の交換については、対応致します)

4.2.1. CPEの推奨構成

VPN 接続は、Hub＆Spoke 構成とします。Hubとなるセンター拠点は、最大 2拠点までとします。

合わせて、CPE のポート概要は以下の通りです。

CPE

インターフェース用途

WAN1 ONU、HGW 等接続ポート

WAN2 使用しません

DMZ 使用しません

1～6 任意で使用可

7 SW1 台目接続用ポート

4.2.2. SWの推奨構成 SW は、本サービスで提供する CPE、SW との接続に限定します。対象外の機器を挟んだ場合、動作を保証しかねます。また、SW1 台目は、必ず CPE と接続して下さい。SW2 台目以降は、SW1台目配下に接続して下さい。その際、接続構成に制限はありません。

合わせて、SW のポート概要は以下の通りです。

SW（8ポート）


1～7 任意で使用可 ※ダウンリンクは若番からの利用を推奨

8 CPE、上位 SW 接続ポート

SW（24ポート）


1～21 任意で使用可 ※ダウンリンクは若番からの利用を推奨

22 CPE、上位 SW 接続ポート

23～24 使用しません

SW2 台目以降は、SW1 台目配下に接続(接続構成に制限なし)

4.2.3. APの推奨構成 AP は、本サービスで提供する CPE、SW との接続に限定します。対象外の機器を挟んだ場合、動作を保証しかねます。(本マニュアルでは以下の物理構成を例として記載しております。)

AP 接続構成に制限なし(CPE 接続の場合、電源アダプター利用が必須)

4.3. 本マニュアルにおける NW構成 4.3.1. LAN構成

下図のような構成を LAN 接続とします。ただし、IP アドレスは例です。・CPE のみ利用する場合

・SW、APを利用する場合

4.3.2. WAN構成下図のような構成をWAN の拠点間接続とします。ただし、IP アドレスは例です。

5. 接続

5.1. 物理構成について「4.1.3 必要な準備 ②NW 構成図」で作成した構成図をもとに、機器を接続してください。機器の設定情報は、すべてデバイス名に紐づき、コントローラーで管理されております。よって、デバイス名と、設定の紐づけを誤らないようご注意ください。接続が完了しましたら、使用ポートのランプが、グリーン点灯・点滅していることをご確認ください。消灯している場合、電源・接続状況を再度ご確認ください。ランプ詳細については、同梱の取扱説明書に記載しております。物理構成を変更した場合は、IPv6 アドレスの取得に 1 分程度時間がかかる場合があります。

5.2. 機器情報について

機器設置時における機器名は以下の通りです。機器名機種 CPE FortiGate60E SW FortiSwitch108E-FPOE/

FortiSwitch124E-FPOE AP FortiAP221E

5.3. コントローラーへのログインと各タイルの役割 PC を CPE1-6 の空ポートに接続し、開通案内書を参照のうえコントローラーへ接続してください。SW、AP 下部からコントローラへアクセスする場合は、7章の設定が完了していることが必要となります。 ※推奨ブラウザ：Chrome（version 80.0.以降）

1. CPE の 1-6 ポートに端末を接続し、

端末に ipv6 アドレス(fd12:3456:7890::X)が払い出されていることをコマンドプロンプトにて確認する。

2. ブラウザを起動し、「https://m01.sdx.flets-west.jp/」へ接続する。

3. 開通案内書に記載の ADOM アカウント ID、ADOM パスワードを入力し、コントローラーへログインする。

各タイルと用途は以下の通りタイル用途デバイスマネージャー CPE に関する設定/確認をします。ポリシー＆オブジェクト各デバイスに割り当てるポリシーとオブジェク

トに関する設定/確認をします。 AP マネージャー AP に関する設定/確認をします。 VPN マネージャー VPN 状態確認に利用します。(設定には利用しま

せん。) Fabric View 利用しません。 Switch マネージャー SW に関する設定/確認をします。 SOC 利用しません。

5.4. コントローラーと各機器の接続確認設定を行うにあたり、コントローラーと CPE/SW/AP 等の必要機器が接続できていることが前提となります。本章では、コントローラーと各機器との接続確認を行います。

5.4.1. CPEとの接続確認デバイスマネージャーで CPE が認識できていることを確認します。 1. コントローラーの「デバイスマネージャー」タイルを選択する。 2. 下図のように接続した CPE のデバイス名が表示され、デバイス名の左側にあ

るアイコン（矢印）が緑色（接続アップ）になっていることを確認する。

5.4.2. SWとの接続確認

FortiSwitch マネージャーで SW が認識できていることを確認します。 1. コントローラーの「FortiSwitch マネージャー」タイルを選択する。 2. 下図のように、接続した FortiSwitch のデバイス名が表示され、デバイス名の

左側にあるアイコン（スイッチ）が緑色（オンライン）となっていることを確認する。

5.4.3. APとの接続確認 AP を接続しただけでは AP にアドレスが払い出されないため、コントローラーでAP が認識できていることを確認することはできません。

7.LAN 接続を設定後、APマネージャーで AP が認識できていることを確認できます。 1. コントローラーの「AP マネージャー」タイルを選択する。 2. 下図のように、接続した AP 名のデバイス名が表示され、デバイス名の左側に

あるアイコン（電波）が緑色（オンライン）となっていることを確認する。

6. 設定必要事項と設定章

各機能の設定項目及び設定章と分類は以下の通りです。分類について、「必須」項目は、必ず設定して下さい。「オプション」項目は、該当機能を利用される場合は設定してください。 ※ただし SW、APの「必須」項目については、オプションで SW、AP を契約頂いたお客様のみへの「必須」項目となります。 ※クラウド閉域接続は、閉域接続サービス提供会社によって接続仕様が異なることがあります。詳しい接続仕様は、ご契約の閉域接続サービス提供会社に確認願います。機能章分類分類設定項目設定概要

LAN 接続

7.2 CPE

必須 LAN インターフェースの設

定

使用するインターフェース、IP ア

ドレス、セグメントを設定をする。

オプション VLAN の作成 VLAN-IDを持つインターフェース

を作成する。

オプションゲストセグメント用インタ

ーフェース設定

ソフトウェアスイッチを作成し、イ

ンターフェース、IP アドレス、セ

グメントを設定する。

7.3 SW 必須テンプレート設定 VLAN を作成し、SW用テンプレー

トに設定する。

7.1 AP 必須 SSID の作成

SSID を作成し、AP に設定する。オプションゲスト SSID の作成

拠点間接

続

8.1 センター

拠点

オプションインターネット接続

PPPoE インターフェースを作成

し、PPPoE アカウントを設定す

る。

必須拠点間接続 IPsec 及びルーティングを設定す

る。オプションクラウド閉域接続

8.2 ブランチ

拠点

オプションインターネット接続

PPPoE インターフェースを作成

し、PPPoE アカウントを設定す

る。

必須拠点間接続 IPsec 及びルーティングを設定す

る。オプションクラウド閉域接続

8.3

クラウド

閉域接続

拠点

オプションインターフェースの作成クラウドサービス事業者向けのイン

ターフェースを設定する。

オプション拠点間接続 IPsec 及びルーティングを設定す

る。

機能章分類分類設定項目設定概要

ブレイク

アウト

9.1

9.2 ―

オプション特定アプリケーションのブ

レイクアウトインターフェースメンバー及び

SD-WAN ルールを設定する。オプション特定宛先のブレイクアウト

オプションゲストセグメントのブレイ

クアウト

ポリシー

＆オブジ

ェクト

10.1 ― 必須ファイアーウォールアドレ

ス

ポリシーを設定するオブジェクトを

作成する。

10.2 ― 必須 IPv4 ポリシーポリシーを設定する。

10.3 ― オプション IPv6 ポリシー

7. LAN 接続

AP→CPE→SW の順に設定を行います。SW や AP は管理権限を持つ CPE へ設定をインストールすることで、設定が反映されます。ただし、VLAN を作成する場合は、CPE で作成し SW に適用します。本章では下図フローの通り設定を行います。

7.1. AP AP に関する設定を行います。APを接続しない場合は設定不要です。

7.1.1. SSID の作成 SSIDを作成します。SSID を複数作成する場合は、同様の手順を繰り返します。 1. コントローラーの「AP マネージャー」タイルを選択する。 2. 画面上部「WiFi プロファイル」タブを選択する。 3. 左ペイン内「SSID」を選択する。 4. 「＋新規作成」ボタンから「SSID」を選択する。

5. 以下の情報を入力し、ウィンドウ下の「OK」ボタンを押下する。 ※図上に入力必須項目の通し番号を記載

①

②

③

④

凡例赤文字…必須設定項目黒文字…任意設定項目 orデフォルト設定のまま使用グレーアウト…動作保証対象外

入力番号入力項目入力情報備考 ① インターフェース名任意の文字列例：

・社内セグメント wlan1 ・ゲストセグメント wlan2 半角英数字を記載 SSID と同一にすることを推奨

エイリアス空白トラフィックモードトンネル（デフォル

ト）

IP/ネットマスク 0.0.0.0/0.0.0.0（デフォルト）

IPv6 アドレス空白管理アクセス選択なし IPv6 管理者アクセス選択なし DHCP サーバ OFF（デフォルト）デバイスの検知 OFF（デフォルト）動作保証対象外 ② SSID 任意の文字列例：

・社内セグメント wlan1 ・ゲストセグメント wlan2 半角英数字で記載

セキュリティモード WPA2 Personal（デフォルト）

WPA2 Personal 以外は動作保証対象外

③ 事前共有鍵任意の文字列半角英数字で記載クライアント制限 OFF 動作保証対象外

入力番号入力項目入力情報備考複数の事前共有キー OFF 動作保証対象外ブロードキャスト SSID ON（デフォルト） ④ スケジュール alwaysを選択 always 以外は動作保

証対象外 SSID 内トラフィックブ

ロック OFF 動作保証対象外

ブロードキャスト抑制 ON（デフォルト）以下のデフォルトオプションのみ選択可能、その他は動作保証対象外・既知のクライアントようの ARP テーブル・DHCP ユニキャスト・DHCP アップリンク

MAC アドレスでクライアントをフィルタ RADIUSサーバ

OFF 動作保証対象外

VLAN プーリング OFF 動作保証対象外隔離ホスト OFF 動作保証対象外暗号化 AES（デフォルト） AES のみ選択可能、

その他は動作保証対象外

QoS プロファイル選択なし動作保証対象外高度なオプション変更不可動作保証対象外デバイスごとのマッピン

グ OFF（デフォルト）

7.1.2. APプロファイルの作成 7.1.1で作成した SSID を AP プロファイルに設定します。 AP プロファイルでは、無線 1(2.4GHz)及び無線 2(5GHz)それぞれに SSIDを設定します。 1. 画面上部「WiFi プロファイル」タブを選択する。 2. 左ペイン内「APプロファイル」を選択する。 3. 「＋新規作成」ボタンを押下し、プロファイル作成画面へ遷移する。

4. 以下の情報を必要に応じて入力し、ウィンドウ下の「OK」ボタンを押下する。

①

② ③

④

⑥

⑤

⑦


入力番号入力項目入力情報備考 ① 名前 FAP221E-[拠点名] 例：FAP221E-Osaka ② プラットホーム FAP221Eを選択 ③ 国/地域 Japan を選択選択後に下図のような

警告が表示されるが、問題なしのため「OK」ボタンを押下

AP ログインパスワード

変更なし（デフォルト）変更なし以外は動作保証対象外

管理アクセス選択なし AP への管理アクセスは許可しない

Bluetooth Profile 選択なし動作保証対象外無線 1（2.4GHｚ）モードアクセスポイント

（デフォルト）

WIDS プロファイル


無線資源自動配置 OFF 動作保証対象外クライアントロー

ドバランス選択なし動作保証対象外

④ バンド 802.11n/g/bを選択左記以外は動作保証対象外

チャネル幅 20MHz（デフォルト）ショートガード間 OFF 動作保証対象外

入力番号入力項目入力情報備考隔

チャネル全選択（デフォルト） TX パワーコント

ロール手動（デフォルト）

送信出力 100%（デフォルト） ⑤ SSID 手動を選択し、「7.1.1 エ

ラー! 参照元が見つかりません。」にて設定したSSID インターフェースを選択

例：・社内セグメント wlan1 ・ゲストセグメント wlan2

チャネル使用率を監視

ON（デフォルト）

無線 2（5GHz）モードアクセスポイント

（デフォルト）

WIDS プロファイル


無線資源自動配置 OFF 動作保証対象外クライアントロー

ドバランス選択なし動作保証対象外

⑥ バンド 802.11ac/n/a を選択左記以外は動作保証対象外

チャネル幅 20MHz（デフォルト）ショートガード間

隔 OFF 動作保証対象外

チャネル全選択（デフォルト） TX パワーコント

ロール手動（デフォルト）

送信出力 100%（デフォルト） ⑦ SSID 手動を選択し、7.1.1エラ

ー! 参照元が見つかりません。にて設定した SSIDインターフェースを選択

例：・社内セグメント wlan1 ・ゲストセグメント wlan2

入力番号入力項目入力情報備考チャネル使用率を

監視 ON（デフォルト）

位置情報サービス FortiPresence

モード無効動作保証対象外

Ekahau Blink OFF 動作保証対象外 AeroScout OFF 動作保証対象外 Locate WiFi

Clients When Not Connected


高度なオプション変更不可動作保証対象外

7.1.3. APプロファイルの適用作成した AP プロファイルを、AP に適用します。AP が複数台あり、同一のプロファイルを適応する場合は同様の手順を繰り返します。プロファイルは他拠点の AP にも適応可能です。 1. 画面上部「管理 AP」タブを選択する。 2. 左ペイン内の適用する拠点 CPE の「すべての FortiAP」を選択する。 3. 一覧で表示されたアクセスポイントの中から設定する APを選択、上部タブの

「編集」を押下し、編集画面へ遷移する。

4. 以下の情報を入力し、ウィンドウ下の「OK」ボタンを押下する。


入力番号入力項目入力情報備考名前 xxxx_AP_xx_xxxxxx 例：

honsha_AP_01_200413 シリアル XXXXXXXXXXXXXXXX 設定対象機器のシリア

ル番号コメント空白未入力可マネージド AP ステータス WTP モード標準（デフォルト）左記以外は動作保証対

象外 ① FortiAP プロファ

イル 7.1.2 にて作成したプロファイルを選択

例： FAP221E-Osaka

プロファイル選択しない動作保証対象外

①

入力番号入力項目入力情報備考 Radio1 を上書き項目については全て OFFを選択

※上記「FortiAPプロファイル」が適用されるため上書きしない。 Radio2 を上書き項目については全て OFFを選択

※上記「FortiAPプロファイル」が適用されるため上書きしない。 AP ログインパス

ワードを上書き OFF（デフォルト）動作保証対象外

高度なオプション変更不可動作保証対象外

7.1.4. 設定のインストール AP の SSID・プロファイルを設定後、CPE へ設定のインストールを行い反映します。 1. 管理 APのメイン画面上部の「インストールウィザード」を押下し、インスト

ールウィザードウィンドウを表示する。

2. 「Install Device Settings(Only)」を選択し、「次」ボタンを押下する。

3. インストールするデバイス（CPE）を選択し、「次」ボタンを押下する。

（必ず該当拠点の CPEを選択すること)

4. ステータス：接続アップであることを確認し、「インストール」ボタンを押下

する。

5. デバイスの設定が正常にインストールされることを確認する。 ※インストールには数分かかる場合あり

7.2. CPE CPE に関する設定を行います。 CPE の LAN インターフェースは、ソフトウェアスイッチと呼ばれる仮想インターフェースで物理インターフェース「internal1～6」が集約された状態になっています。 LAN の構成によって設定する章が異なります。

パターン SW AP ゲスト用WiFi 設定する章

① 利用しない利用しない ― 7.2.1 7.2.3

② 利用する利用しない ― 7.2.2.1 7.2.2.2 7.2.3 ③ 利用する利用する作成しない

④ 利用する利用する作成する 7.2.2 7.2.3

⑤ 利用しない利用する作成しない 7.2.2.2 7.2.3

⑥ 利用しない利用する作成する 7.2.2.2 7.2.2.3 7.2.3

7.2.1. CPEのみ利用する場合 7.2.1.1. LAN インターフェースの設定

CPE のみ利用する場合は、デフォルトで設定されている swsw_default インターフェースを編集し、IP アドレスや DHCP 等の設定を行います。 1. 画面上部「デバイス&グループ」タブを選択する。 2. 左ペイン内の設定する CPE を選択する。 3. 上部黒いタブの「システム：インターフェース」を選択する。 4. 「swsw_default」を選択し、「編集」ボタンを選択する。 5. 以下の情報を必要に応じて入力し、ウィンドウ下の「OK」ボタンを押下する。

」

②

③

④

①


入力番号入力項目入力情報備考インターフ

ェース名 swsw_default

エイリアス名

空白

形式ソフトウェアスイッチ物理インタ

ーフェースメンバー

変更しない

役割未定義（デフォルト）動作保証対象外アドレス

アドレスモード

手動（デフォルト）

① IP/ネットマスク

任意の IPアドレス例： 192.168.11.1/255.255.255.0

Shaping用のプロファイル

OFF（デフォルト）動作保証対象外

アクセスを制限する

デフォルトMTU 値(1500) を上書き


管理アクセス

以下、4点がチェック済み CAPWAP PING HTTP

左記以外は動作保証対象外

入力番号入力項目入力情報備考 HTTPS

② DHCP サーバ

サーバを選択

IP 範囲「IP/ネットマスク」を設定した場合は、IP 範囲が指定される（デフォルト）

「IP/ネットマスク」で設定した IPを除く範囲から払い出し可能

ネットワークマスク

インターフェース IPと同一（デフォルト）

デフォルトゲートウェイ


次のサーバ 0.0.0.0（デフォルト） DNS サービ

スシステムDNS設定を使用する（デフォルト）

③ NTP サービス

指定を選択（NTP サーバ 1,2,3 全て0.0.0.0）

FortiClient On-Net ステータス

OFF（デフォルト）

タイムゾーンオプション

デフォルト左記以外は動作保証対象外

MAC アドレスアクセスコントロールリスト

設定不可動作保証対象外

詳細...(DNS,WINS,カスタムオプション,除外範囲)は全て動作保証対象外のため設定不可

VRRP は動作保証対象外のため設定不可セキュリテ

ィモード無し動作保証対象外

デバイス管理 ④ デバイスの

検知 ON を選択

入力番号入力項目入力情報備考 Discovery

Message をブロードキャスト


Explicit Webプロキシ


Explicit FTP プロキシ


セカンダリIP アドレス


ポリシーインターフェースにマッピング


概要空白管理ステー

タス ON（デフォルト） ON：UP

OFF：DOWN ボットネッ

トサイトへの発信接続をスキャンする

無効化動作保証対象外

高度なオプション

変更不可動作保証対象外

7.2.2. SW、APを利用する場合 7.2.2.1. VLAN の作成

SW を利用する場合、VLAN を CPE より作成します。VLAN を複数作成する場合は、同様の手順を繰り返します。 1. 画面上部「デバイス&グループ」タブを選択する。 2. 左ペイン内の設定する CPE を選択する。 3. 上部黒いタブの「システム：インターフェース」を選択する。 4. 「＋新規作成」ボタンから「インターフェース」を選択する。 5. 以下の情報を必要に応じて入力し、ウィンドウ下の「OK」ボタンを押下する。

③

①

② ③ ④

⑤


入力番号入力項目入力情報備考 ① インターフェース名 link_vlan[vlan 番号] 例：

・社内セグメント vlan10：link_vlan10 半角英数字記号を推奨

エイリアス名空白 ② 形式 VLAN ③ インターフェース fortilink ④ VLAN ID 任意の ID 役割未定義動作保証対象外アドレスアドレスモード手動（デフォルト） IP/ネットマスク 0.0.0.0/0.0.0.0（デフ

ォルト）

Shaping用プロファイル


アクセスを制限する管理アクセスチェック無（デフォル

ト）

DHCP サーバ OFF（デフォルト） VRRP は動作保証対象外のため設定不可セキュリティモード無しを選択動作保証対象外デバイス管理 ⑤ デバイスの検知 ON を選択 Discovery Messageを

ブロードキャスト OFF 動作保証対象外

Explicit Webプロキシ OFF 動作保証対象外 Explicit FTP プロキ OFF 動作保証対象外

入力番号入力項目入力情報備考シ

セカンダリ IP アドレス




概要空白管理ステータス ON（デフォルト） ON：UP

OFF：DOWN ボットネットサイト

への発信接続をスキャンする


高度なオプション変更不可動作保証対象外 7.2.2.2. LAN インターフェースの設定

拠点内で使用するセグメント毎にソフトウェアスイッチインターフェースを設定します。ソフトウェアスイッチは、CPE において、CPE の物理インターフェースだけでなく、VLAN インターフェース、SSID インターフェースを必要に応じて集約して 1つの仮想インターフェースを作成します。

1. 画面上部「デバイス&グループ」タブを選択する。 2. 左ペイン内の設定する CPE を選択する。 3. 上部黒いタブの「システム：インターフェース」を選択する。 4. 「swsw_default」を選択し、「編集」ボタンを選択する。 5. 以下の情報を必要に応じて入力し、ウィンドウ下の「OK」ボタンを押下する。

※イメージ図

」

①

③

④

⑤

②


入力番号入力項目入力情報備考インターフ

ェース名 swsw_default

エイリアス名

空白

形式ソフトウェアスイッチ ① 物理インタ

ーフェースメンバー

同一セグメントとするインターフェースを選択例：・CPE の物理インターフェース・VLAN インターフェース・SSID インターフェース

サンプル構成(4.3.1 章)のブランチ拠点の例：デフォルトで設定されている internal1～6 へ下記を追加 ②→link_vlan10 ③、④→link_vlan10、wlan1 ⑤、⑥→wlan1




② IP/ネットマスク

任意の IPアドレス例： 192.168.11.1/255.255.255.0




デフォルトMTU 値(1500) を上書き


入力番号入力項目入力情報備考管理アクセ

ス以下、4点がチェック済み CAPWAP PING HTTP HTTPS


③ DHCP サーバ

サーバを選択









④ NTP サービス






MAC アドレスアクセスコントロールリスト



VRRP は動作保証対象外のため設定不可セキュリテ無し動作保証対象外

入力番号入力項目入力情報備考ィモード

デバイス管理 ⑤ デバイスの

検知 ON を選択

Discovery Message をブロードキャスト

















7.2.2.3. ゲストセグメント用インターフェースの設定ゲスト用WiFiを作成する場合は、ソフトウェアスイッチインターフェースを新規に作成し、ゲストセグメント用インターフェースを作成します。ゲストセグメント向けの SSIDの作成は 7.1.AP をご参照ください。 1. 画面上部「デバイス&グループ」タブを選択する。 2. 左ペイン内の設定する CPE を選択する。 3. 上部黒いタブの「システム：インターフェース」を選択する。 4. 「＋新規作成」ボタンから「インターフェース」を選択する。 5. 以下の情報を必要に応じて入力し、ウィンドウ下の「OK」ボタンを押下する。

」

①

② ③

⑤

⑥

⑦

⑧

④


入力番号入力項目入力情報備考

インターフェース名

swsw_vlan[vlan 番号] 例：・ゲストセグメントvlan30：swsw_vlan30 半角英数字記号を推奨

エイリアス名

空白

形式ソフトウェアスイッチを選択

③ 物理インターフェースメンバー

同一セグメントとするインターフェースを選択例：・CPE の物理インターフェース・VLAN インターフェース・SSID インターフェース

サンプル構成(4.3.1 章)のブランチ拠点の例： swsw_vlan30の場合 →wlan2




IP/ネットマスク

任意の IPアドレス例： 10.1.11.1/255.255.255.0




デフォルト OFF（デフォルト）動作保証対象外

入力番号入力項目入力情報備考 MTU 値(1500) を上書き

⑤ 管理アクセス

以下、4点から選択可 CAPWAP PING HTTP HTTPS

例：・AP を接続するセグメントの場合 CAPWAP ・管理アクセスを許可するセグメントの場合 HTTP,HTTPS 左記以外は動作保証対象外

⑥ DHCP サーバ

サーバを選択









⑦ NTP サービス






MAC アドレスアクセス


入力番号入力項目入力情報備考コントロールリスト


VRRP は動作保証対象外のため設定不可セキュリテ

ィモード無し動作保証対象外

デバイス管理 ⑧ デバイスの

検知 ON を選択

Discovery Message をブロードキャスト

















7.2.3. 設定のインストール各インターフェースを設定後、CPE へ設定のインストールを行い反映します。 1. デバイス&グループのメイン画面上部の「インストールウィザード」を押下し、

インストールウィザードウィンドウを表示する。





する。

7.3. SW SW に関する設定を行います。SW を接続しない場合は設定不要です。

7.3.1. VLANの作成 VLAN を作成します。複数作成する場合は、同様の手順を繰り返します。 1. コントローラーの「FortiSwitch マネージャ」タイルを選択する。 2. 画面上部「FortiSwitchテンプレート」タブを選択する。 3. 左ペイン内の「VLANs」を選択する。 4. 「＋新規作成」ボタンから「インターフェース」を選択する。


下へスクロール

① ②

③


入力番号入力項目入力情報備考 ① インターフェース名 link_vlan[vlan 番号] vlan10 の例：

link_vlan10 半角英数字記号を推奨 ※7.2.2 で作成したものと同じ名前にすること

② VLAN ID 任意の ID ※7.2.2 で作成したものと同じ ID にすること

役割 UNDEFINED 動作保証対象外アドレスアドレスモード手動 (デフォルト) IP/ネットマスク 0.0.0.0/0.0.0.0(デフォル

ト)

IP6 アドレッシング手動(デフォルト)

モード IP6 アドレス/プレ

フィクス ::/0(デフォルト)

アクセスを制限する管理アクセスチェック無(デフォルト) IPv6 クセスチェック無(デフォルト) DHCP サーバ OFF(デフォルト) ネットワークデバイス ③ デバイスの検知 ON を選択受付制御セキュリティモード NONE 動作保証対象外その他セカンダリ IP アド

レス OFF 動作保証対象外

ステータスコメント空白インターフェースの

状態有効 (デフォルト) 有効：UP

無効：DOWN 色任意の色を選択 IPv4

Advanced Options 変更不可動作保証対象外

IPv6 Advanced Options


デバイスごとのマッピング


7.3.2. SWテンプレートの作成

SW に VLAN を設定するため、SW テンプレートを作成します。 SW が複数台ある場合は、同様の手順を繰り返し台数分のテンプレートを作成します。(ただし、ポート割り当てが全く同じである場合は、複数作成する必要はありません) 1. 画面上部「FortiSwitchテンプレート」タブを選択する。 2. 左ペイン内「FortiSwitchテンプレート」を選択する。

3. 「インポート」を押下し、テンプレートインポート画面を表示する。



入力番号入力項目入力情報備考 ① Fortigate インポートする拠点のデ

バイスを選択

② FortiSwitch インポート先の SWのシリアル番号を選択

③ 新しい名前 SW_[拠点名] 例：SW_Osaka 半角英数字記号を推奨

5. テンプレートへ VLAN を設定するため、手順 4で作成した SW テンプレート

を選択後、「編集」を押下する。

①

②

③

6. 「VLAN スイッチ割り当て」に表示されたポート一覧から、7.3.1 で設定したVLAN を割り当てるポートを選択し、「編集」を押下する。


入力番号入力項目入力情報備考形式 physical（デフォル

ト）

④ ポート名選択したポート名例：・AP を接続するインターフェース port1

概要空白 ⑤ ネイティブ VLAN 「default.vswport」

を外し、7.3.1で設定した VLAN を選択

例：・社内セグメント vlan10：link_vlan10

許可された VLAN 変更しない

④

⑤

入力番号入力項目入力情報備考セキュリティポリシー未選択動作保証対象外 LLDP プロファイル未選択動作保証対象外 QoS ポリシー未選択動作保証対象外 PoE ステータスチェックする（デフ

ォルト）

DHCP ブロック未選択動作保証対象外 IGMPスヌーピングチェックする（デフ

ォルト）

ループガード未選択動作保証対象外スパニングツリーチェックする（デフ

ォルト）

エッジポートチェックする（デフォルト）

STP BPDU Guard 未選択動作保証対象外 STP ループガード未選択動作保証対象外高度なオプション変更不可動作保証対象外

8. 以降、同様に VLAN を設定するインターフェースにも設定する。

7.3.3. SWテンプレートの適用作成した SW テンプレートを、SW に適用します。テンプレートは他拠点の SW にも適応可能です。(ただし払い出す VLAN_ID や、ポート割り当てが異なる場合は、新たに作成してください) 1. 画面上部「マネージドスイッチ」タブを選択する。 2. 左ペイン内の適用する拠点の CPEを選択する。 3. 一覧で表示された中から設定する SW のシリアル番号を選択、上部タブの「編

集」を押下し、編集画面へ遷移する。



入力番号入力項目入力情報備考名前例：honsha_SW_01_200413 設定対象機器のデバイス

名シリアル例：XXXXXXXXXXXXXXXX 設定対象機器のシリアル

番号

①

入力番号入力項目入力情報備考概要空白 ① テンプレート「7.3.1 SW テンプレートの

作成」にて作成したテンプレートを選択

7.3.4. 設定のインストール SW のテンプレートを設定後、CPE へ設定のインストールを行い反映します。 1. マネージドスイッチのメイン画面上部の「インストールウィザード」を押下し、






する。

7.4. インターフェースオブジェクトの設定前章で設定した SSID インターフェース、VLAN インターフェース、ソフトウェアスイッチインターフェースを以下の手順にて各種設定の際に使用するポリシーインターフェースにマッピングします。1 インターフェースに対し、1 オブジェクトを設定します。サンプル構成(4.3.1章)のブランチ拠点における設定すべきインターフェース一覧インターフェース設定名設定した章 SSIDインターフェース wlan1,wlan2 7.1.1 VLAN インターフェース link_vlan10 7.2.2.2 ソフトウェアスイッチ swsw_vlan30 7.2.2.3

1. コントローラーの「ポリシー&オブジェクト」タイルを選択する。 2. 画面上部「オブジェクト設定」タブを選択する。 3. 左ペイン内「ゾーン/インターフェース」>「インターフェース」を選択する。 4. 「＋新規作成」ボタンから「動的インターフェース」を選択する。 ※7.1.1、7.2.1.1、7.3.1 で設定したインターフェースに関しては、すでに「インターフェース」リスト内にオブジェクトが存在しているため、「＋新規作成」ではなくそれらを「編集」を選択して以下作業を行う。



入力番号入力項目入力情報備考 ① 名前以下のルールで入力

インターフェース名例：・wlan1 ・link_vlan10 ・swsw_vlan30

概要空白色任意の色を選択デフォルトマッピン


デフォルトシェイパープロファイル


② デバイスごとのマッ ON を選択

①

②

ピング ※「デバイスごとのマッピング」で ONを選択後に設定フォームが表

示されるため以下の手順にて設定する。 1. 「+新規作成」を押下後、以下の情報を入力し、ウィンドウ下の

「OK」ボタンを押下する。

入力番号入力項目入力情報備考 ③ マップされたデ

バイス 7.1～7.3 を設定した拠点のデバイスを選択

④ デバイスインターフェース

7.1～7.3 を設定した拠点のインターフェースを選択

複数設定する場合は、インターフェース毎に手順 4～5 を繰り返す

Shaping 用のプロファイル


③

④

8. 拠点間接続

拠点間やクラウド閉域接続拠点との接続について設定を行います。本章では下図フローの通り設定を行います。

8.1. センター拠点の作成 8.1.1. WANインターフェースの設定

インターネット接続用にWANインターフェースを PPPoEインターフェースとして設定します。 1. コントローラーの「デバイスマネージャー」タイルを選択する。 2. 画面上部「デバイス&グループ」タブを選択する。 3. 左ペイン内の設定する CPE を選択する。 4. 上部黒いタブの「システム：インターフェース」を選択する。 5. 「＋新規作成」ボタンから「インターフェース」を選択する。

6. 以下の入力情報を入力し、ウィンドウ下の「OK」ボタンを押下する。 ※図上に入力必須項目の通し番号を記載


入力番号入力項目入力情報備考 ① インターフェース

名以下のように指定の文字列 HUB1_ppp

半角英数字を推奨

①

②

③

④ ⑤

⑧

⑦

⑥

入力番号入力項目入力情報備考エイリアス名任意の文字列未入力可 ② 形式 PPPoE Interface を選択 ③ インターフェース wan1 を選択役割未定義を選択動作保証対象外アドレスアドレスモード PPPoE ④ ユーザ名インターネットサービスプ

ロバイダ提供のPPPoEアカウント ID

⑤ パスワードインターネットサービスプロバイダ提供のPPPoEアカウントパスワード

Unnumbered IP 0.0.0.0（デフォルト）動作保証対象外 Initial Disc タイム

アウト 1（デフォルト）動作保証対象外

Initial PADT タイムアウト

1（デフォルト）動作保証対象外

⑥ 認証 auto を選択ディスタンス 5（デフォルト） ⑦ サーバからデフォ

ルトゲートウェイを取得する

ON を選択

Dial On Demand OFF 動作保証対象外 Shaping 用のプロ

ファイル OFF 動作保証対象外

アクセスを制限する管理アクセス許可するプロトコルを選択インターネットか

らのアクセスを許可するため、注意が必要

DHCP サーバ OFF 動作保証対象外セキュリティモー

ド無し動作保証対象外

デバイスを管理する

入力番号入力項目入力情報備考デバイスの検知 OFFを選択（デフォルト） Discovery Message

をブロードキャスト


Explicit Web プロキシ




セカンダリ IPアドレス




概要任意の文字列未入力可 ⑧ 管理ステータス ON を選択 ON：UP

OFF：DOWN ボットネットサイ

トへの発信接続をスキャンする

無効化を選択動作保証対象外

高度なオプション未入力動作保証対象外

7. WAN インターフェース設定後、8.4 章にてインターフェースオブジェクトを設定する。

8.1.2. Loopback インターフェースの設定ブレイクアウト機能を利用する場合のみ設定します。 Loopback インターフェースは、ブレイクアウト機能の SD-WAN ルールを設定する際に必要になります。設定する IP アドレスは LAN で使用するインターフェースのアドレスや IPsec トンネルインターフェースのアドレスと重複しないようにしてください。 1. 画面上部「デバイス&グループ」タブを選択する。 2. 左ペイン内の設定する CPE を選択する。 3. 上部黒いタブの「システム：インターフェース」を選択する。 4. 「＋新規作成」ボタンから「インターフェース」を選択する。 5. 以下の情報を入力し、ウィンドウ下の「OK」ボタンを押下する。

①

②

③

④


入力番号入力項目入力情報備考 ① インターフェー

ス名以下のように任意の文字列 loopback[番号]

10の例：loopback10 半角英数字記号を推奨

エイリアス名任意の文字列未入力可 ② 形式ループバックを選択役割未定義動作保証対象外アドレス ③ IP/ネットマスク x.x.x.1/32 ネットマスクは/32

グローバル IP アドレスは使用不可例：10.0.2.1/32



アクセスを制限するデフォルトMTU

値 (1500)を上書き


管理アクセス未選択動作保証対象外 DHCP サーバ OFF 動作保証対象外セキュリティモ

ード無し動作保証対象外

デバイス管理デバイスの検知 OFF 動作保証対象外 Discovery

Message をブロードキャスト




Explicit FTP プ OFF 動作保証対象外

入力番号入力項目入力情報備考ロキシ

セカンダリ IP アドレス




概要任意の文字列未入力可 ④ 管理ステータス ON を選択 ON：UP

OFF：DOWN ボットネットサ

イトへの発信接続をスキャンする

無効化を選択動作保証対象外


未入力動作保証対象外

6. Loopback インターフェース設定後、8.4 章にてインターフェースオブジェク

トを設定する。

8.1.3. 拠点間（VPN）接続設定拠点間の VPN 接続は IPsec 機能を使用します。センター拠点はブランチ拠点とクラウド閉域接続拠点向けにリモートゲートウェイタイプが異なります。タイプ毎に IPsecのフェーズ 1、フェーズ 2を設定します。

8.1.3.1. ブランチ拠点向けの設定 1. コントローラーの「デバイスマネージャー」タイルを選択する。 2. 画面上部「デバイス&グループ」タブを選択する。 3. 左ペイン内の設定する CPE を選択する。 4. 上部黒いタブの「VPN：IPsec フェーズ 1」を選択する。 5. 画面上部「＋新規作成」ボタンから設定画面へ遷移する。

黒いタブに設定項目がない場合は、以下の手順にて表示させます。 1.「表示オプション」を押下し、設定画面を表示する。 2.設定画面上部の「カスタマイズ」を選択する。 3.「VPN」項目全てにチェックを入れ、画面下の「OK」を押下し設定完了。



①

② ③ ④ ⑤ ⑥ ⑦

⑧ ⑨

⑩

⑪

⑫


入力番号入力項目入力情報備考 ① 名前以下指定の文字列を入力

HUB1

コメント任意の文字列未入力可 ② リモートゲート

ウェイ Dialup user を選択左記以外は動作保

証対象外 ③ ローカルインタ

ーフェース wan1 を選択

④ モード Aggressive を選択左記以外は動作保証対象外

⑤ 認証メソッド Pre-shared Key を選択 ⑥ 事前共有鍵任意のパスワード半角英数字を推奨

全拠点共通であること

⑦ ピアオプション Any peer id を選択左記以外は動作保証対象外

詳細…(XAUTH,NAT トラバーサル,DPD) ※クリックにより入力項目を表示させる ⑧ IKEバージョン１を選択左記以外は動作保

証対象外 ⑨ ローカルゲート

ウェイ IP Main Interface IP を選択左記以外は動作保

証対象外 IKE コンフィギ

ュレーションメソッドを有効化

チェックしない動作保証対象外

Suite-b Disable 動作保証対象外 ⑩ P1 プロポーザ

ル暗号化認証左記はデフォルト

設定左記以外は動作保証対象外

AES128 SHA1 AES256 SHA1 AES128 SHA256

入力番号入力項目入力情報備考 AES256 SHA256

Diffie-Hellmanグループ

5 と 14 にチェック（デフォルト）


キーライフ 86400(デフォルト) ローカル ID 未入力動作保証対象外 XAUTH Disable 動作保証対象外 NAT トラバー

サル Enable（デフォルト）

キープアライブ頻度

10(デフォルト)

⑪ デッドピア検知(DPD)

On Idle を選択左記以外は動作保証対象外

高度なオプション ※以下の入力項目以外はデフォルト設定とする(設定変更しない) ⑫ ip-version 6 を選択

7. 続いてフェーズ 2を作成。上部黒いタブの「VPN：IPsec フェーズ 2」を選択する。

8. 画面上部「＋新規作成」ボタンから設定画面へ遷移する。 9. 以下の情報を入力し、ウィンドウ下の「OK」ボタンを押下する。

入力番号入力項目入力情報備考 ⑬ トンネル名以下指定の文字列を入力

HUB1 フェーズ 1 と同じ名前を入力

⑭ Phase1 HUB1を選択フェーズ 1 で設定したインターフェースを指定

詳細設定... ※クリックにより入力項目を表示させる

⑬ ⑭

⑮

入力番号入力項目入力情報備考 ⑮ P2 プロポーザ

ル暗号化認証左記以外は動

作保証対象外 AES128 SHA1 AES256 SHA1 AES128 SHA256 AES256 SHA256 AES128GCM - AES256GCM - CHACHA20POLY1305 -

リプレイ検知チェック有(デフォルト) Perfect Forward

Security(PFS) チェック有(デフォルト)

Diffie-Hellmanグループ

5 と 14 にチェック（デフォルト）フェーズ 1 と同じグループ組み合わせにする。左記以外は動作保証対象外

キーライフ Secondsを選択 43200(デフォルト)


自動鍵キープアライブ

未選択動作保証対象外

DHCP-IPsec 未選択動作保証対象外

クイックモードセレクタローカルアドレ

ス Subnet：0.0.0.0/0.0.0.0 （デフォルト）

リモートアドレス

Subnet：0.0.0.0/0.0.0.0 （デフォルト）

ローカルポート 0(デフォルト) 動作保証対象外

リモートポート 0(デフォルト) 動作保証対象外

プロトコル 0(デフォルト) 動作保証対象外

入力番号入力項目入力情報備考高度なオプショ

ン設定しないブランチ拠点

向け設定の場合は設定不要

10. IPsec トンネルインターフェース設定後、8.4 章にてインターフェースオブジ

ェクトを設定する。 11. 以下の情報でセンター拠点を HUB とするブランチ拠点間通信を許可する

IPv4 ポリシーを設定する。ポリシーの設定手順は 10 ポリシー&オブジェクトをご参照ください。ここに記載するポリシー例は必要最低限の内容のため、必要に応じて、より細かく設定してください。 IPsec トンネルを UP させる条件として、IPsec トンネルインターフェースを使用して IPv4ポリシーを設定する必要があります。

入力番号 ※10.3章

入力項目入力情報備考

② 受信インターフェース HUB1を選択 IPsec トンネルインターフェース

③ 発信インターフェース HUB1を選択 IPsec トンネルインターフェース

④ 送信元アドレス all を選択ブランチ拠点の LANアドレスも設定可

⑤ 宛先アドレス all を選択ブランチ拠点の LANアドレスも設定可

サービス ALL を選択(デフォルト)

スケジュール always を選択(デフォルト)

⑥ アクション承認を選択 NAT チェック無（デフォ

ルト）

セキュリティプロファイル

チェックの有/無を選択

詳細は 10 ポリシー＆オブジェクトを参照

8.1.3.2. クラウド閉域接続拠点向けの設定クラウド閉域接続サービスを契約している場合のみ設定します。 1. 画面上部「デバイス&グループ」タブを選択する。 2. 左ペイン内の設定する CPE を選択する。 3. 上部黒いタブの「VPN：IPsec フェーズ 1」を選択する。 4. 画面上部「＋新規作成」ボタンから設定画面へ遷移する。 5. 以下の情報を入力し、ウィンドウ下の「OK」ボタンを押下する。

④

⑥ ⑦ ⑧

⑨ ⑩

③ ②

①

⑤


⑪


入力番号入力項目入力情報備考 ① 名前以下指定の文字列を入力

toHUB2

コメント任意の文字列未入力可 ② リモートゲートウ

ェイ Dynamic DNS を選択左記以外はサービス

提供外機能 ③ ダイナミック DNS クラウド閉域接続拠点の

FQDN

④ ローカルインターフェース

wan1 を選択

⑤ モード Aggressive を選択左記以外はサービス提供外機能

⑥ 認証メソッド Pre-shared Key を選択 ⑦ 事前共有鍵任意のパスワード半角英数字を推奨

全拠点共通であること

⑧ ピアオプション Any peer id を選択左記以外はサービス提供外機能

詳細…(XAUTH,NAT トラバーサル,DPD) ⑨ IKEバージョン１を選択左記以外はサービス

提供外機能 ⑩ ローカルゲートウ Main Interface IP を選択左記以外はサービス

⑫

入力番号入力項目入力情報備考ェイ IP 提供外機能

IKE コンフィギュレーションメソッドを有効化

チェックしないサービス提供外機能

Suite-b Disable サービス提供外機能 ⑪ P1 プロポーザル暗号化認証左記はデフォルト設

定左記以外はサービス提供外機能

AES128 SHA1 AES256 SHA1 AES128 SHA256 AES256 SHA256

Diffie-Hellman グループ

5 と 14 にチェック（デフォルト）

左記以外はサービス提供外機能

キーライフ 86400(デフォルト) ローカル ID 未入力サービス提供外機能 XAUTH Disable サービス提供外機能 NATトラバーサル Enable（デフォルト）キープアライブ頻

度 10(デフォルト)

デッドピア検知(DPD)

On Demand を選択（デフォルト）

左記以外はサービス提供外機能

高度なオプション ※以下の入力項目以外はデフォルト設定とする(設定変更しない) ⑫ ip-version 6 を選択

6. 続いてフェーズ 2を作成。上部黒いタブの「VPN：IPsec フェーズ 2」を選択

する。 7. 画面上部「＋新規作成」ボタンから設定画面へ遷移する。


⑬ ⑭

⑮

⑰

⑯


入力番号入力項目入力情報備考 ⑬ トンネル名 toHUB2 フェーズ1と同じ

名前を入力 ⑭ Phase1 toHUB2を選択フェーズ1で設定

したインターフェースを指定

詳細設定... ⑮ P2 プロポー

ザル暗号化認証左記はデフォル

ト設定左記以外は動作保証対象外

AES128 SHA1 AES256 SHA1 AES128 SHA256 AES256 SHA256 AES128GCM - AES256GCM - CHACHA20POLY1305 -

リプレイ検知チェック有(デフォルト) Perfect

Forward Security(PFS)

チェック有(デフォルト)

Diffie-Hellman グループ

5 と 14 にチェック (デフォルト) フェーズ1と同じグループにする左記以外は動作保証対象外

キーライフ Secondsを選択 43200(デフォルト)

自動鍵キープアライブ

未選択動作保証対象外

DHCP-IPsec 未選択動作保証対象外クイックモードセレクタ ⑯ ローカルアド Subnet：x.x.x.x/x.x.x.x 拠点の LAN アド

入力番号入力項目入力情報備考レス ※拠点間を OSPF で構成する場合

は、Subnet：0.0.0.0/0.0.0.0（デフォルト）

レスを記載例：192.168.10.0/24

リモートアドレス

Subnet：0.0.0.0/0.0.0.0 （デフォルト）

ローカルポート

0(デフォルト値) 動作保証対象外

リモートポート

0(デフォルト値) 動作保証対象外

プロトコル 0(デフォルト値) 動作保証対象外高度なオプション ※以下の入力項目以外はデフォルト設定とする(設定変更しない) ⑰ auto-

negotiate ON を選択 OFF の場合は P2

トンネルが自動で UP しない

9. IPsec トンネルインターフェース設定後、8.4 章にてインターフェースオブジ

ェクトを設定する。 10. 以下の情報でセンター拠点のLANセグメントからクラウド閉域接続サービス

への通信を許可する IPv4 ポリシーを設定する。ポリシーの設定手順は 10 ポリシー&オブジェクトをご参照ください。ここに記載するポリシー例は必要最低限の内容のため、必要に応じて、より細かく設定してください。 IPsec トンネルを UP させる条件として、IPsec トンネルインターフェースを使用して IPv4ポリシーを設定する必要があります。



② 受信インターフェース任意の LAN インターフェースを選択

次項目の「送信元アドレス」を指定することで、本項目を「any」とすることも可

③ 発信インターフェース toHUB2を選択 ④ 送信元アドレス任意の LAN セグメン

トのアドレスを選択

⑤ 宛先アドレスクラウド閉域セグメン



トのアドレスを選択サービス ALL を選択(デフォル

ト)

スケジュール always を選択(デフォルト)

⑥ アクション承認を選択 NAT チェック無し（デフォ

ルト）




※逆方向の通信を許可する場合は、受信と送信を入れ替えて別のポリシーを作成する必要があります。

8.1.3.3. IPsec トンネルインターフェースのアドレス設定拠点間ルーティングをOSPF で構成する場合に設定します。設定する IPアドレスは LANで使用するインターフェースのアドレスや Loopbackアドレスと重複しないようにしてください。 1. 画面上部「デバイス&グループ」タブを選択する。 2. 左ペイン内の設定する CPE を選択する。 3. 上部黒いタブの「システム：インターフェース」を選択する。 4. 表示されたインターフェース一覧から「HUB1」を選択し、上部黒いタブの「編

集」を選択する。 5. 以下の編集情報を入力し、ウィンドウ下の「OK」ボタンを押下する。

① ②


入力番号入力項目入力情報備考アドレス ① IP/ネットマスク x.x.x.x/32 ネットマスクは/32

グローバル IPアドレスは使用不可例：10.0.1.1/32

② リモート IP x.x.x.254/24 ネットマスクは/24 グローバル IPは使用不可例：10.0.1.254/24

6. クラウド閉域接続拠点がある場合は、「toHUB2」も設定する。

入力番号入力項目入力情報備考アドレス ① IP/ネットマスク x.x.x.1/32 ネットマスクは/32


② リモート IP x.x.x.2/24 ネットマスクは/24 グローバル IP アドレスは使用不可クラウド閉域接続拠点の IPsec トンネルインターフェースのアドレスを指定

8.1.4. 拠点間ルーティング設定スタティックルートもしくは OSPF を選択して設定を行いますが、ルーティングプロトコルは全拠点であわせる必要があります。ただし、ブレイクアウト機能を利用する場合はスタティックルートで設定を行います。

パターンブレイクアウトルーティングプロト

コル設定する章

① 利用しないスタティックルート 8.1.4.1.1

8.1.4.1.2 ② 利用しない OSPF 8.1.4.2 ③ 利用するスタティックルート 8.1.4.1.1

8.1.4.1. スタティックルートの設定

センター拠点におけるスタティックルートは、デフォルトルート(インターネット接続向け)やクラウド閉域接続向けの設定を行います。ブランチ拠点向けのスタティックルートは、拠点間（VPN）接続時の IPsec機能を利用してブランチ拠点の LAN セグメント経路を受信するため、設定が不要です。

8.1.4.1.1. デフォルトルートの設定

1. コントローラーの「デバイスマネージャー」タイルを選択する。 2. 画面上部「デバイス&グループ」タブを選択する。 3. 左ペイン内の設定する CPE を選択する。 4. 上部黒いタブの「ルーター：スタティックルート」を選択する。 5. 画面上部「＋新規作成」ボタンから「スタティックルート」を選択する。



入力番号入力項目入力情報備考 ① 宛先 Subnet を選択し、以下指

定のサブネットを入力 0.0.0.0/0.0.0.0

② デバイス HUB1_pppを選択 ※ブレイクアウト機能を利用する場合は「SD-WAN」を選択

「SD-WAN」が選択肢にない場合は、事前にエラー! 参照元が見つかりません。章を設定する必要あり

①

②

③

入力番号入力項目入力情報備考アドミニストレー

ティブディスタンス

10(デフォルト)

③ ステータス ON を選択 ON：UP OFF：DOWN

ゲートウェイ 0.0.0.0(デフォルト) プライオリティ 0 動作保証対象外概要任意の文字列未入力可高度なオプション未入力動作保証対象外

7. SD-WAN 機能を利用しない場合は、以下の情報でセンター拠点もしくはブラ

ンチ拠点の LAN セグメントからインターネット向けの通信を許可する IPv4ポリシーを設定する。ポリシーの設定手順は 10 ポリシー&オブジェクトをご参照ください。ここに記載するポリシー例は必要最低限の内容のため、必要に応じて、より細かく設定してください。



② 受信インターフェース任意のインターフェースを選択

任意の LAN アドレスが属するインターフェースであること

③ 発信インターフェース HUB1_pppを選択 ④ 送信元アドレス任意の LAN アドレスを

選択

宛先アドレス all を選択（デフォルト）サービス ALLを選択（デフォルト）スケジュール always を選択（デフォル

ト）

⑥ アクション承認を選択 ⑦ NAT チェック有とし「宛先イ

ンターフェースアドレスを使う」を選択


チェックの有/無を選択詳細は10ポリシー＆オブジェクトを参照

8.1.4.1.2. クラウド閉域接続拠点向けの設定クラウド閉域接続サービスを契約している場合のみ設定します。設定内容は 8.1.4.1.1と同様のため、そちらをご参照ください。ただし、以下の入力項目は指定の入力情報に読み替えて作成してください。手順 6

入力番号入力項目入力情報備考 ① 宛先 Subnet を選択し、クラ

ウド閉域セグメントのアドレス

クラウドサービス事業者より受領したアドレス

② デバイス toHUB2を選択 ※ブレイクアウト機能を利用しない場合に選択

IPsec トンネルインターフェース

8.1.4.2. OSPFの設定拠点間をOSPFで構成する場合は、各拠点の LAN セグメントを広報するエリアとクラウド閉域セグメントを広報するエリア(※)に分けて設定します。また、8.1.3 で設定した IPsec に個別設定追加が必要になります。 ※クラウド閉域接続サービスを契約している場合のみ

8.1.4.2.1. 拠点 LANセグメント広報エリアの設定

1. コントローラーの「デバイスマネージャー」タイルを選択する。 2. 画面上部「デバイス&グループ」タブを選択する。 3. 左ペイン内の設定する CPE を選択する。 4. 上部黒いタブの「ルーター：OSPF」を選択する。 5. 以下の情報を入力し、ウィンドウ下の「適用」ボタンを押下する。

①

② ③ ④

⑤ ⑥

⑦ ⑧


入力番号入力項目入力情報備考 ① ルーターID HUB1 インターフェー

スの IP アドレス IPsec トンネルインターフェースの IPアドレス

高度なオプション未入力動作保証対象外エリア「新規作成」を押下後、以下の情報を入力し、ウィンドウ下の「OK」ボタンを押下 ② エリア 0.0.0.0 ③ 形式 Regular を選択左記以外は動作保証

対象外 ④ 認証 NONEを選択左記以外は動作保証

対象外高度なオプション未入力動作保証対象外ネットワーク「新規作成」を押下後、以下の情報を入力し、ウィンドウ下の「OK」ボタンを押下 ※広報に必要なセグメント単位(LAN やルーターID を含むセグメント)で設定が必要 ⑤ IP/ネットマスク広報する IP/ネットマ

スクサンプル構成での例： 192.168.10.0/24 10.0.1.0/24

⑥ エリア前項目で作成した0.0.0.0 を選択

高度なオプション未入力動作保証対象外インターフェース「新規作成」を押下後、以下の情報を入力し、ウィンドウ下の「OK」ボタンを押下 ⑦ 名前任意の文字列を入力例：OSPF

全拠点同一名を推奨 ⑧ インターフェース HUB1を選択ブランチ拠点向け


入力番号入力項目入力情報備考 IP 0.0.0.0(デフォルト) 左記以外は動作保証

対象外認証 NONE 動作保証対象外タイマ Hello実行間隔 0(デフォルト) Dead インターバル 0(デフォルト) コスト 0(デフォルト) 高度なオプション ※以下の入力項目以外はデフォルト設定とする(設定変更しない) network-type Point-To-Multipoint を

選択左記以外は動作保証対象外

8.1.4.2.2. クラウド閉域セグメント広報エリアの設定クラウド閉域接続サービスを契約している場合のみ設定します。エリア違いの設定は 8.1.4.2.1 と同一設定画面かつ同様の設定内容のため、そちらをご参照ください。ただし、以下の入力項目は指定の入力情報に読み替えて作成してください。手順 5

入力番号入力項目入力情報備考エリア「新規作成」を押下後、以下の情報を入力し、ウィンドウ下の「OK」ボタンを押下 ② エリア 0.0.0.2 ネットワーク「新規作成」を押下後、以下の情報を入力し、ウィンドウ下の「OK」ボタンを押下 ※広報に必要なセグメント単位(LAN やルーターID を含むセグメント)で設定が必要 ⑤ IP/ネットマスク広報する IP/ネットマ

スクサンプル構成での例：192.168.10.0/24 10.1.1.0/24


インターフェース「新規作成」を押下後、以下の情報を入力し、ウィンドウ下の「OK」ボタンを押下 ⑦ 名前任意の文字列を入力例：DC

全拠点同一名を推奨 ⑧ インターフェース toHUB2を選択クラウド閉域接続拠

点向け IPsec トンネルインターフェース

8.1.4.2.3. デフォルトルート広報の設定センター拠点のみインターネット接続サービスの契約をしている場合に設定します。拠点 LAN セグメント広報エリアにデフォルトルートを広報します。 1. 上部黒いタブの「CLI の設定」を選択する。 2. 中央左設定ツリー内の「router」>「ospf」を選択する。 3. 以下の情報を入力し、ウィンドウ下の「適用」ボタンを押下する。

①


入力番号入力項目入力情報備考 ① default-

information-originate

always always：デフォルトルートの保持有無に関わらずエリア内に広報する disable：広報しない enable：デフォルトルートが存在する場合にエリア内に広報する

4. SD-WAN 機能を利用しない場合は、以下の情報でブランチ拠点からのインターネット向け通信を許可する IPv4ポリシーを設定する。ポリシーの設定手順は 10 ポリシー&オブジェクト IPv4ポリシーをご参照ください。ここに記載するポリシー例は必要最低限の内容のため、必要に応じて、より細かく設定してください。



② 受信インターフェース HUB1を選択ブランチ向け IPsecトンネルインターフェース指定することで、ブランチ拠点からの通信を許可する

③ 発信インターフェース HUB1_pppを選択送信元アドレス all（デフォルト）宛先アドレス all（デフォルト）サービス ALL（デフォルト）スケジュール always （デフォルト） ⑥ アクション承認を選択 ⑦ NAT チェック有とし「宛先

インターフェースアドレスを使う」を選択




8.1.4.2.4. IPsecの個別設定 1. 上部黒いタブの「CLI の設定」を選択する。 2. 中央左設定ツリー内の「vpn」>「ipsec」>「phase1-interface」を選択する。 3. HUB1（IPsecトンネルインターフェース）を選択後、「編集」を選択する。クラウド閉域接続拠点向けの設定がある場合は、toHUB2も編集する。



①

②

③


入力番号入力項目入力情報備考 ① add-route OFFを選択 toHUB2 を編集する場合

は ON(変更しない) ② auto-discovery-

sender ON を選択

③ tunnel-search nexthop を選択

8.1.5. 設定のインストールセンター拠点の設定完了後、CPEへ設定のインストールを行い反映します。 1. デバイス&グループのメイン画面上部の「インストールウィザード」を押下し、





する。

8.2. ブランチ拠点の作成 8.2.1. WANインターフェースの設定

ブランチ拠点でインターネット接続サービスの契約をしている場合に設定します。ブランチ拠点の WAN インターフェース設定については、センター拠点と同様のため、8.1.1 をご参照ください。ただし、以下の入力項目は指定の入力情報に読み替えて作成ください。

入力番号入力項目入力情報備考 ① インターフェース名以下のように指定の文

字列 spoke_ppp

半角英数字を推奨

8.2.2. 拠点間（VPN）接続設定 8.2.2.1. センター拠点向けの設定

ブランチ拠点におけるセンター拠点向けの VPN 設定は 0 と同様のため、そちらをご参照ください。ただし、以下の入力項目は指定の入力情報に読み替えて作成ください。

入力番号入力項目入力情報備考フェーズ 1 作成時（手順 5） ① 名前 toHUB1 IPsec トンネルイン

ターフェース ② リモートゲートウェ

イ Dynamic DNS を選択左記以外は動作保証

対象外 ③ ダイナミック DNS センター拠点の FQDN フェーズ 2 作成時（手順 8） ⑯ トンネル名 toHUB1 フェーズ 1 と同じ名

前を入力 ⑰ Phase1 toHUB1を選択フェーズ 1 で設定し

たインターフェースを指定

手順 9（IPv4ポリシー設定）



② 受信インターフェース

任意の LAN インターフェースを選択

次項目の「送信元アドレス」を指定することで、本項目を「any」とすることも可

③ 発信インターフェース

toHUB1を選択 IPsec トンネルインターフェース

④ 送信元アドレス任意の自拠点 LAN セグメントのアドレスを選択

⑤ 宛先アドレス任意の他拠点 LAN セグメントのアドレスを選択

サービス ALL(デフォルト) スケジュール always(デフォルト)



⑥ アクション承認を選択 NAT チェック無（デフォル

ト）




※逆方向の通信を許可する場合は、受信と送信を入れ替えて別のポリシーを作成する必要があります。

8.2.2.2. クラウド閉域接続拠点向けの設定

クラウド閉域接続サービスを契約している場合のみ設定します。ブランチ拠点におけるクラウド閉域接続拠点向けの VPN 設定は 0 と同様のため、そちらをご参照ください。

8.2.2.3. IPsec トンネルインターフェースのアドレス設定拠点間ルーティングをOSPF で構成する場合に設定します。設定方法は 0と同様のため、そちらをご参照ください。ただし、以下の入力項目は指定の入力情報に読み替えて編集ください。手順５（センター拠点向け）



② リモート IP x.x.x.1/24 ネットマスクは/24 センター拠点の IPsecトンネルインターフェースのアドレスを指定

手順６（クラウド閉域接続拠点向け）入力番号入力項目入力情報備考アドレス ① IP/ネットマスク x.x.x.3/32 ネットマスクは/32


② リモート IP x.x.x.2/24 ネットマスクは/24 クラウド閉域接続拠点の IPsec トンネルインターフェースのアドレスを指定

8.2.3. 拠点間ルーティング設定スタティックルートもしくは OSPF を選択して設定を行いますが、ルーティングプロトコルは全拠点であわせる必要があります。ただし、ブレイクアウト機能を利用する場合はスタティックルートで設定を行います。パターンブレイクアウトルーティングプロトコル設定する章

① 利用しないスタティックルート 0

8.2.3.1.2 ② 利用しない OSPF 8.2.3.2 ③ 利用するスタティックルート 0


ブランチ拠点におけるスタティックルートは、デフォルトルートやクラウド閉域接続向けの設定を行います。

8.2.3.1.1. デフォルトルートの設定

設定方法は 8.1.4.1.1と同様のため、そちらをご参照ください。ただし、以下の入力項目は指定の入力情報に読み替えて作成ください。手順 6

入力番号入力項目入力情報備考 ② デバイス toHUB1

※ブレイクアウト機能を利用する場合は「SD-WAN」を選択 ※ブレイクアウト機能を利用せず、ブランチ拠点のインターネット接続を利用する場合は「spoke_ppp」を選択

「SD-WAN」が選択肢にない場合は、事前にエラー! 参照元が見つかりません。章を設定する必要あり

手順 7（IPv4ポリシー設定）入力番号 ※10.3章



任意のインターフェースを選択



toHUB1を選択 ※ブランチ拠点のインターネット接続を利用する場合は「spoke_ppp」を選択

④ 送信元アドレス任意の LAN アドレスを選択宛先アドレス all（デフォルト）サービス ALL（デフォルト）スケジュール always （デフォルト） ⑥ アクション承認を選択 NAT チェック無し（デフォルト）

※ブランチ拠点のインターネット接続を利用する場合はチェック有とする



8.2.3.1.2. クラウド閉域接続拠点向けの設定

クラウド閉接続サービスを契約している場合のみ設定します。設定内容は 8.1.4.1.1と同様のため、そちらをご参照ください。ただし、以下の入力項目は指定の入力情報に読み替えて作成ください。手順 6

入力番号入力項目入力情報備考 ① 宛先 Subnetを選択し、クラウド閉域

セグメントのサブネットを入力

クラウドサービス事業者より受領したアドレス

② デバイス toHUB2を選択 ※ブレイクアウト機能を利用しない場合に選択


8.2.3.2. OSPFの設定センター拠点同様に拠点間をOSPFで構成する場合は、各拠点の LAN セグメントを広報するエリアとクラウド閉域セグメントを広報するエリア(※)に分けて設定します。また、8.2.2 で設定した IPsec に個別設定追加が必要になります。 ※クラウド閉域接続サービスを契約している場合のみ

8.2.3.2.1. 拠点 LANセグメント広報エリアの設定

ブランチ拠点における拠点 LAN セグメント広報エリアの設定は 8.1.4.2.1 と同様のため、そちらをご参照ください。ただし、以下の入力項目は指定の入力情報に読み替えて作成ください。手順 5

入力番号入力項目入力情報備考 ① ルーターID toHUB1 インターフェース

の IPアドレス

ネットワーク「新規作成」を押下後、以下の情報を入力し、ウィンドウ下の「OK」ボタンを押下 ※広報に必要なセグメント単位(LAN やルーターID を含むセグメント)で設定が必要 ⑤ IP/ネットマス

ク広報する IP/ネットマスクサンプル構成での例：

192.168.11.0/24 10.0.1.0/24

インターフェース「新規作成」を押下後、以下の情報を入力し、ウィンドウ下の「OK」ボタンを押下 ⑧ インターフェー

ス toHUB1 センター拠点向け


8.2.3.2.2. クラウド閉域セグメント広報エリアの設定クラウド閉域接続サービスを契約している場合のみ設定します。エリア違いの設定は 8.1.4.2.1と同様のため、そちらをご参照ください。ただし、以下の入力項目は指定の入力情報に読み替えて作成ください。手順 5

入力番号入力項目入力情報備考エリア「新規作成」を押下後、以下の情報を入力し、ウィンドウ下の「OK」ボタンを押下 ② エリア 0.0.0.2 ネットワーク「新規作成」を押下後、以下の情報を入力し、ウィンドウ下の「OK」ボタンを押下 ※広報に必要なセグメント単位(LAN やルーターID を含むセグメント)で設定が必要 ⑤ IP/ネットマス

ク広報する IP/ネットマスクサンプル構成での例：

192.168.11.0/24 10.1.1.0/24

⑥ エリア前項目で作成した 0.0.0.2を選択

インターフェース「新規作成」を押下後、以下の情報を入力し、ウィンドウ下の「OK」ボタンを押下 ⑧ インターフェー

ス toHUB2 クラウド閉域接続拠

点向け IPsecトンネルインターフェース

8.2.3.2.3. IPsecの個別設定

ブランチ拠点における IPsec の個別設定は 0 と同様のため、そちらをご参照ください。ただし、以下の入力項目は指定の入力情報に読み替えて作成ください。

入力番号入力項目入力情報備考 ① add-route ON（デフォルト） ② auto-discovery-sender ON を選択 ③ tunnel-search nexthop を選択

8.2.4. 設定のインストールブランチ拠点の設定完了後、CPEへ設定のインストールを行い反映します。 1. デバイス&グループのメイン画面上部の「インストールウィザード」を押下し、





する。

8.3. クラウド閉域接続拠点の作成クラウド閉域接続サービスを契約している場合のみ設定します。

8.3.1. Loopback インターフェースの設定

ブレイクアウト機能を利用する場合のみ設定します。設定内容は 0と同様のため、そちらをご参照ください。ただし、以下の入力項目は指定の入力情報に読み替えて作成ください。

入力番号入力項目入力情報備考 ③ IP/ネットマスク x.x.x.2/32 ネットマスクは/32


8.3.2. クラウド閉域接続インターフェースの設定

クラウドサービス提供事業者設備と接続するインターフェースを設定します。詳細手順は以下の通りです。 1. 接続する LAN インターフェースの設定(7.2.1.1 章参照) 2. 設定したインターフェースのマッピング設定(7.4 章参照)

8.3.3. クラウド閉域接続向けルーティングの設定クラウドサービス提供事業者設備と接続する設定します。接続方式はスタティックルートと BGPがありますが、拠点間ルーティングのパターンによって接続方式が決まりますので、ご注意ください。

パターン拠点間ルーティング接続方式設定する章

① スタティックルートスタティックルート 8.3.3.1

② OSPF BGP 0


1. コントローラーの「デバイスマネージャー」タイルを選択する。 2. 画面上部「デバイス&グループ」タブを選択する。 3. 左ペイン内の設定する CPE を選択する。 4. 上部黒いタブの「ルーター：スタティックルート」を選択する。 5. 画面上部「＋新規作成」ボタンから「スタティックルート」を選択する。 6. 以下の情報を入力し、ウィンドウ下の「OK」ボタンを押下する。

①

②

③ ④


入力番号入力項目入力情報備考 ① 宛先 Subnet を選択し、クラ

ウド閉域セグメントのサブネットを入力

② デバイスクラウドサービス提供事業者設備と接続するインターフェースを選択

アドミニストレーティブディスタンス

10(デフォルト)

③ ステータス ON を選択 ON：UP OFF：DOWN

④ ゲートウェイクラウドサービス提供事業者設備の IPアドレスを入力

プライオリティ 0 動作保証対象外概要任意の文字列未入力可高度なオプション未入力動作保証対象外

8.3.3.2. BGPの設定 1. コントローラーの「デバイスマネージャー」タイルを選択する。 2. 画面上部「デバイス&グループ」タブを選択する。 3. 左ペイン内の設定する CPE を選択する。 4. 上部黒いタブの「ルーター：BGP」を選択する。 5. 以下の情報を入力し、ウィンドウ下の「適用」ボタンを押下する。


入力番号入力項目入力情報備考 ① ローカル AS 自拠点の AS番号を入力 ② ルーターID 8.3.2 で設定したクラウド閉

域接続インターフェースのIP アドレスを入力

ネイバー

① ②

③ ④

入力番号入力項目入力情報備考「新規作成」を押下後、以下の情報を入力し、ウィンドウ下の「OK」ボタンを押下 ③ IP クラウドサービス提供事業

者設備の IPアドレスを入力

④ リモート AS クラウドサービス提供事業者設備の AS番号を入力

ネットワーク ※クラウドサービス提供事業者設備へのネットワーク広報はしない。高度なオプション ※次の手順 6以降にて BGP ネイバー向けの個別設定を実施する。

6. 上部黒いタブの「CLI の設定」を選択する。 7. 中央左設定ツリー内の「router」>「bgp」を選択する。 8. 「neighbor」に表示されたネイバーを選択し、「編集」を押下する。

9. 以下の情報を入力し、ウィンドウ下の「OK」ボタンを押下する。 ※以下の入力項目以外は動作保証対象外


入力番号入力項目入力情報備考 ⑤ holdtime-timer クラウドサービス提供事業

者より指定されたタイマ

keep-alive-timer 4294967295(デフォルト) ⑥ password クラウドサービス提供事業

者より指定されたパスワード

⑤

⑥

10. 「redistribute」に表示された「ospf」を選択し、「編集」を押下する。

11. 以下の情報を入力し、ウィンドウ下の「OK」ボタンを押下する。 ※以下の入力項目以外は動作保証対象外


入力番号入力項目入力情報備考 ⑦ status ON を選択 ON：OSPF 経路を

BGPへ再配送

12. 設定画面下の「適用」ボタン押下で設定を反映する。

⑦

8.3.4. 拠点間（VPN）接続設定 8.3.4.1. 拠点向けの設定

センター拠点やブランチ拠点向けに VPN設定します。クラウド閉域接続拠点における各拠点向けの設定は 8.1.3.1 と同様のため、そちらをご参照ください。ただし、以下の入力項目は指定の入力情報に読み替えて作成ください。

入力番号入力項目入力情報備考フェーズ 1 作成時（手順 6）

① 名前 HUB2 フェーズ 2 作成時（手順 9） ⑮ トンネル名 HUB2 フェーズ 1 と同じ名

前を入力 ⑯ Phase1 HUB2を選択フェーズ 1 で設定し

たインターフェースを指定

手順 10（IPv4 ポリシー設定）




HUB2を選択 IPsec トンネルインターフェース


クラウドサービス提供事業者設備と接続するインターフェースを選択

送信元アドレス all(デフォルト) ⑤ 宛先アドレスクラウド閉域セグメント

のアドレス

サービス ALL(デフォルト) スケジュール always(デフォルト) ⑥ アクション承認を選択 ⑦ NAT チェック無（デフォルト）


チェックの有/無を選択詳細は 10 ポリシー＆オブジェクトを参照

8.3.4.2. IPsec トンネルインターフェースのアドレス設定拠点間ルーティングをOSPF で構成する場合に設定します。設定方法は 0と同様のため、そちらをご参照ください。ただし、以下の入力項目は指定の入力情報に読み替えて編集ください。



② リモート IP x.x.x.254/24 ネットマスクは/24 グローバル IPアドレスは使用不可例：10.1.1.254/24

8.3.5. 拠点間ルーティング（OSPF）設定センター拠点やブランチ拠点とは違い、OSPF の場合のみ設定が必要です。（※）ルーティングプロトコルは、全拠点であわせる必要があります。 ※スタティックルートの場合は、センターやブランチとの拠点間（VPN）接続時のIPsec 機能を利用して各拠点の LAN セグメント経路を受信するため、設定が不要です。

パターンルーティングプロトコル設定する章 ① スタティックルート設定不要 ② OSPF 0

0 8.3.5.3

8.3.5.1. クラウド閉域セグメント広報エリアの設定

設定は 8.1.4.2.1と同様のため、そちらをご参照ください。ただし、以下の入力項目は指定の入力情報に読み替えて作成ください。手順 5

入力番号入力項目入力情報備考エリア「新規作成」を押下後、以下の情報を入力し、ウィンドウ下の「OK」ボタンを押下 ② エリア 0.0.0.2 ネットワーク「新規作成」を押下後、以下の情報を入力し、ウィンドウ下の「OK」ボタンを押下 ※広報に必要なセグメント単位(LAN やルーターID を含むセグメント)で設定が必要 ⑤ IP/ネットマスク広報する IP/ネットマ

スクサンプル構成での例：172.16.100.0/24 10.1.1.0/24


インターフェース「新規作成」を押下後、以下の情報を入力し、ウィンドウ下の「OK」ボタンを押下 ⑧ インターフェース HUB2 センター・ブランチ拠

点向け IPsecトンネルインターフェース

8.3.5.2. BGP経路の再配送クラウドサービス提供事業者設備から受信した BGP 経路を拠点間ルーティング（OSPF）へ再配送します。 1. コントローラーの「デバイスマネージャー」タイルを選択する。 2. 画面上部「デバイス&グループ」タブを選択する。 3. 左ペイン内の設定する CPE を選択する。 4. 上部黒いタブの「CLI の設定」を選択する。 5. 中央左ペイン設定ツリー内の「router」>「ospf」を選択する。

6. ページ下の「redistribute」項目の「bgp」を選択後、「編集」を選択する。



入力番号入力項目入力情報備考 ① status ON を選択 ON：BGP 経路を OSPF

へ再配送する OFF：再配送しない

8. 設定画面下の「適用」ボタン押下で設定を反映する。

8.3.5.3. IPsec の個別設定

クラウド閉域接続拠点における IPsec の個別設定は 0 と同様のため、そちらをご参照ください。

①

8.3.6. 設定のインストールクラウド閉域接続拠点の設定完了後、CPE へ設定のインストールを行い反映します。 1. デバイス&グループのメイン画面上部の「インストールウィザード」を押下し、





する。

8.4. インターフェースオブジェクトの設定前章で設定した WAN インターフェース、Loopback インターフェース、IPsec トンネルインターフェースを全て、以下の手順にて各種設定の際に使用するポリシーインターフェースにマッピングします。1 インターフェースに対し、1オブジェクトを設定します。サンプル構成(4.3.2章)の各拠点における設定すべきインターフェース一覧インターフェース拠点設定名設定した章

PPPoE インターフェース

センター HUB_ppp 8.1.1

ブランチ spoke_ppp 8.2.1

Loopback インターフェース

センター Loopback[番号]

8.1.2

クラウド閉域接続 8.3.1


センター HUB1、toHUB2 8.1.3.1、8.1.3.2 ブランチ toHUB1、toHUB2 8.2.2.1、8.2.2.2 クラウド閉域接続 HUB2 8.3.4.1

1. コントローラーの「ポリシー&オブジェクト」タイルを選択する。 2. 画面上部「オブジェクト設定」タブを選択する。 3. 左ペイン内「ゾーン/インターフェース」>「インターフェース」を選択する。 4. 「＋新規作成」ボタンから「動的インターフェース」を選択する。



入力番号入力項目入力情報備考 ① 名前以下のルールで入力

インターフェース名例：・HUB1_ppp ・loopback10 ・HUB1 ・HUB2 ・spoke_ppp ・toHUB1 ・toHUB2

概要空白色任意の色を選択

①

②

入力番号入力項目入力情報備考デフォルトマッピン


デフォルトシェイパープロファイル


② デバイスごとのマッピング

ON を選択

※「デバイスごとのマッピング」で ONを選択後に設定フォームが表示されるため以下の手順にて設定する。 2. 「+新規作成」を押下後、以下の情報を入力し、ウィンドウ下の

「OK」ボタンを押下

入力番号入力項目入力情報備考 ③ マップされたデ

バイス 8.1～8.3 で設定した拠点のデバイスを選択

複数設定する場合は、デバイス毎に手順 4～5を繰り返す

④ デバイスインターフェース

8.1～8.3 で設定した拠点のインターフェースを選択

複数設定する場合は、インターフェース毎に手順 4～5 を繰り返す

Shaping 用のプロファイル


③

④

9. ブレイクアウト

特定アプリケーションや特定セグメント宛の通信、特定セグメント発の通信をブレイクアウトさせる設定を行います。本章では下図フローの通り設定を行います。

9.1. インターフェースメンバー 9.1.1. センター拠点の設定

センター拠点 CPEに対し、設定を行います。 9.1.1.1. インターネット接続向けインターフェースメンバーの作成

インターネット接続時に使用するインターフェース（8 章で作成）をインターフェースメンバーとして登録します。 1. コントローラーの「デバイスマネージャー」タイルを選択する。 2. 画面上部「SD-WAN」タブを選択する。 3. 左ペイン内「インターフェースメンバー」を選択する。 4. 「＋新規作成」ボタンを押下する。 5. 以下の情報を入力し、ウィンドウ下の「OK」ボタンを押下する。


入力番号入力項目入力情報備考 ① 名前 HUB1_ppp 半角英数字を推奨概要空白 -

①

②

③

入力番号入力項目入力情報備考 ② デフォルトインターフ

ェース HUB1_ppp 手動入力のため、誤

記入に注意ゲートウェイ 0.0.0.0（デフォルト）ウェイト 1（デフォルト）動作保証対象外コスト 0（デフォルト）動作保証対象外ボリューム比率 1（デフォルト）動作保証対象外 ③ デバイスごとのマッピ

ング ON を選択 ※デバイス登録手

順については後述高度な設定動作保証対象外

6. デバイスごとのマッピング、の下にある「＋新規作成」ボタンを選択する。

7. 新規のインターフェースメンバーウィンドウに対し、以下の情報を入力後ウ

ィンドウ下の「OK」ボタンを押下する。

入力番号入力項目入力情報備考 ④ マップされたデバイスセンター拠点CPEを選

択半角英数字を推奨

⑤ インターフェース HUB1_pppを選択 - ⑥ ゲートウェイ 0.0.0.0（デフォルト）ウェイト 1（デフォルト）動作保証対象外コスト 0（デフォルト）動作保証対象外

⑤ ④

⑥

入力番号入力項目入力情報備考ボリューム比率 1（デフォルト）動作保証対象外高度なオプション動作保証対象外

9.1.1.2. クラウド閉域接続拠点向けインターフェースメンバーの作成

クラウド閉域接続サービスを契約している場合のみ設定します。設定手順に関しては 9.1.1.1 の手順と同様のため、そちらをご参照ください。ただし、以下の入力項目は指定の入力情報に読み替えて作成ください。手順 5

入力番号入力項目入力情報備考 ① 名前 toHUB2 半角英数字を推奨 ② デフォルトインターフ

ェース toHUB2を選択手動入力のため、誤

記入に注意

手順 7 入力番号入力項目入力情報備考 ⑤ インターフェース toHUB2 を選択 - ⑥ ゲートウェイクラウド閉域接続拠点

のループバックインターフェースアドレス

9.1.2. ブランチ拠点の設定ブランチ拠点 CPEに対し、設定を行います。

9.1.2.1. インターネット接続向けインターフェースメンバーの作成自拠点内にインターネット回線がある場合のみ、この設定を行います自拠点内にインターネット回線がない場合は設定不要です。 1. コントローラーの「デバイスマネージャー」タイルを選択する。 2. 画面上部「SD-WAN」タブを選択する。 3. 左ペイン内「インターフェースメンバー」を選択する。 4. 「＋新規作成」ボタンを押下する。 5. 以下の情報を入力し、ウィンドウ下の「OK」ボタンを押下する。


入力番号入力項目入力情報備考 ① 名前 spoke_ppp 半角英数字を推奨概要空白 - ② デフォルトインターフ

ェース spoke_ppp 手動入力のため、誤

記入に注意

①

②

③

入力番号入力項目入力情報備考ゲートウェイ 0.0.0.0（デフォルト）ウェイト 1（デフォルト）動作保証対象外コスト 0（デフォルト）動作保証対象外ボリューム比率 1（デフォルト）動作保証対象外 ③ デバイスごとのマッピ

ング ON を選択 ※デバイス登録手順

については後述高度な設定動作保証対象外

6. デバイスごとのマッピング、の下にある「＋新規作成」ボタンを選択する。

7. 新規のインターフェースメンバーウィンドウに対し、以下の情報を入力後、

ウィンドウ下の「OK」ボタンを押下する。

入力番号入力項目入力情報備考 ④ マップされたデバイスブランチ拠点の CPE

を選択半角英数字を推奨

⑤ インターフェース spoke_ppp を選択 - ⑥ ゲートウェイ 0.0.0.0（デフォルト）ウェイト 1（デフォルト）動作保証対象外コスト 0（デフォルト）動作保証対象外ボリューム比率 1（デフォルト）動作保証対象外高度なオプション動作保証対象外

⑤ ④

⑥

9.1.2.2. センター拠点向けインターフェースメンバーの作成センター拠点へ接続時に使用するインターフェース（8章で作成）を、インターフェースメンバーとして登録します。設定手順に関しては 9.1.2.1 の手順と同様のため、そちらをご参照ください。ただし、以下の入力項目は指定の入力情報に読み替えて作成ください。手順 5

入力番号入力項目入力情報備考 ① 名前 toHUB1 半角英数字を推奨 ② デフォルトインター

フェース toHUB1 手動入力のため、誤

記入に注意手順 7

入力番号入力項目入力情報備考 ⑤ インターフェース toHUB1を選択 - ⑥ ゲートウェイセンター拠点のループバ

ックインターフェースアドレス

9.1.2.3. クラウド閉域接続拠点向けインターフェースメンバーの作成

クラウド閉域接続サービスを契約している場合のみ設定します。設定手順に関しては 9.1.2.1 の手順と同様のため、そちらをご参照ください。ただし、以下の入力項目は指定の入力情報に読み替えて作成ください。手順 5

入力番号入力項目入力情報備考 ① 名前 toHUB2 半角英数字を推奨 ② デフォルトインターフ

ェース toHUB2 手動入力のため、誤

記入に注意手順 7

入力番号入力項目入力情報備考 ⑤ インターフェース toHUB2を選択 - ⑥ ゲートウェイクラウド閉域接続拠

点のループバックインターフェースアドレス

9.2. SD-WANテンプレート 9.2.1. センター拠点の設定 9.2.1.1. インターフェースメンバーの適用

9.1.1 で作成したインターフェースメンバーを、SD-WAN テンプレートへ適用させます。 1. 左ペイン内「SD-WAN テンプレート」を選択する。 2. 「＋新規作成」ボタンを押下し、設定を開始する。


入力番号入力項目入力情報備考 ① 名前拠点名半角英数字を

推奨概要空白 - WAN LLB ステータス ON （デフォルト）

①

3. インターフェースメンバー項目の下にある「＋新規作成」を選択する。

4. 「新規インターフェースメンバーの作成」ウィンドウに対し、以下の情報を入

力後、ウィンドウ下の「OK」ボタンを押下する。


シーケンス番号 1（デフォルト）特に指定がなければデフォルトの数値を使用

② メンバー HUB_ppp を選択

5. 9.1.1.2 でクラウド閉域接続拠点向けのインターフェースメンバーを作成した

場合は、3～4 の手順を再度行い、以下の情報を入力後、「OK」ボタンを押下する。入力番号入力項目入力情報備考シーケンス番号 2（デフォルト）特に指定がなければ

デフォルトの数値を使用

② メンバー toHUB2を選択

②

9.2.1.2. SD-WAN ルールの作成 9.2.1.2.1. インターネットへの接続ルール設定

1. SD-WAN ルール表記の下にある「＋新規作成」を選択する。

2. 「新規 SD－WAN ルールの作成」ウィンドウに対し、以下の情報を入力後、ウィンドウ下の「OK」ボタンを押下する。


入力番号入力項目入力情報備考 ① 名前任意の文字列例：Internet

半角英数字を推奨 IP バージョン IPv4(デフォルト) 送信元 ② アドレス任意の LAN アドレス

を選択アドレス作成方法については 10.1 ファイアーウォールアド

①

②

③

④

入力番号入力項目入力情報備考レスを参照 ※ブランチ拠点がセンター拠点を介してInternet 接続する場合は、allを推奨

ユーザ動作保証対象外

ユーザグループ任意のユーザグループ指定がなければ未選択可

宛先アドレス（デフォルト） ③ アドレス all を選択プロトコル ANY（デフォルト）サービスタイプ動作保証対象外入力デバイス動作保証対象外発信インターフェース手動（デフォルト） ④ インターフェースメン

バー HUB_ppp を選択

3. 以下の情報でセンターもしくはブランチ拠点のLANセグメントからインター

ネット向けの通信を許可する IPv4ポリシーを設定する。ポリシーの設定手順は 10 ポリシー&オブジェクトをご参照ください。ここに記載するポリシー例は必要最低限の内容のため、必要に応じて、より細かく設定してください。





③ 発信インターフェース HUB1_pppを選択 ④ 送信元アドレス任意の LAN アドレスを

選択

※ブランチ拠点がセンター拠点を介して Internet 接続する場合は、all を推奨

宛先アドレス all（デフォルト）



サービス ALL（デフォルト）スケジュール always （デフォルト） ⑥ アクション承認を選択 ⑦ NAT チェック有とし「宛先イ

ンターフェースを使う」を選択



9.2.1.2.2. クラウド閉域接続拠点への接続クラウド閉域接続サービスを契約している場合のみ設定します。 1. SD-WAN ルール表記の下にある「＋新規作成」を選択する。

2. 「新規 SD－WAN ルールの作成」ウィンドウに対し、以下の情報を入力後、下部の「OK」ボタンを押下する。


入力番号入力項目入力情報備考 ① 名前任意の文字列例：Cloud

半角英数字を推奨 IP バージョン IPv4(デフォルト) 送信元 ② アドレス任意の LAN アドレスを

選択アドレス作成方法については 10.1 ファイアーウォールアド

①

②

③

④

入力番号入力項目入力情報備考レスを参照

ユーザ動作保証対象外ユーザグループ任意のユーザグループ

を選択指定がなければ未選択可

宛先アドレス（デフォルト） ③ アドレスクラウド閉域セグメン

トのアドレスを選択アドレス作成方法については 10.1 ファイアーウォールアドレスを参照

プロトコル ANY（デフォルト）サービスタイプ動作保証対象外入力デバイス動作保証対象外発信インターフェース手動（デフォルト） ④ インターフェースメン

バー toHUB2を選択

3. 以下の情報でセンター拠点のLANセグメントからクラウド閉域セグメント向

けの通信を許可する IPv4 ポリシーを設定する。ポリシーの設定手順は 10 ポリシー&オブジェクトをご参照ください。ここに記載するポリシー例は必要最低限の内容のため、必要に応じて、より細かく設定してください。




任意の LAN アドレスが属したインターフェースであること

③ 発信インターフェース toHUB2を選択 ④ 送信元アドレス任意の LAN アドレスを選

択

⑤ 宛先アドレスクラウド閉域セグメントのアドレスを選択

サービス ALL（デフォルト）スケジュール always （デフォルト） ⑥ アクション承認を選択



NAT チェック無し（デフォルト）



9.2.1.3. デバイスの割り当て 1. SD-WAN テンプレート新規作成画面を、下部の「OK」ボタンを押下する。

2. 9.2.1.2 で作成したテンプレート名の横にチェックを入れ、上部にある「デバ

イスに割り当て」ボタンを押下する。

3. 表示された「デバイス割り当て」ウィンドウにて、センター拠点の CPE を選

択し、下部の「OK」ボタンを押下する。

9.2.1.4. 設定インストール画面上部の「インストールウィザード」を選択し、9.2.1.4 で SD-WAN設定を割り当てたセンター拠点 CPEに、設定をインストールする。 1. デバイス&グループのメイン画面上部の「インストールウィザード」を押下し、





する。

9.2.2. ブランチ拠点の設定 9.2.2.1. インターフェースメンバーの適用

9.1.2 で作成したインターフェースメンバーを、SD-WAN テンプレートへ適用させます。 1. 左ペイン内「SD-WAN テンプレート」を選択する。 2. 「＋新規作成」ボタンを押下し、赤枠部分に以下の情報を入力する。


入力番号入力項目入力情報備考 ① 名前拠点名半角英数字を推奨概要空白 - WAN LLB ステータス ON（デフォルト）

①

3. インターフェースメンバー項目の下にある「＋新規作成」を選択する。

4. 「新規インターフェースメンバーの作成」ウィンドウに対し、以下の情報を入

力後、ウィンドウ下の「OK」ボタンを押下する。

入力番号入力項目入力情報備考シーケンス番号 1（デフォルト）特に指定がなければデフ

ォルトの数値を使用 ② メンバー spoke_ppp を選択 9.1 で作成したインター

フェースメンバーを選択

5. センター拠点向けのインターフェースメンバーを設定するため、3～4 の手順を再度行い、以下の情報を入力後、「OK」ボタンを押下する。

入力番号入力項目入力情報備考シーケンス番号 2（デフォルト）特に指定がなければデフ

ォルトの数値を使用 ② メンバー toHUB1を選択

6. 9.1.2.3 でクラウド閉域接続拠点向けのインターフェースメンバーを作成した

場合は、3～4 の手順を再度行い、以下の情報を入力後、「OK」ボタンを押下する。

入力番号入力項目入力情報備考シーケンス番号 3（デフォルト）特に指定がなければデ

フォルトの数値を使用 ② メンバー toHUB2を選択

②

9.2.2.2. SD-WAN ルールの作成 SD-WAN ルールは上から順番に適用されていく仕様です。設定の際は、マニュアルに則り順序に注意して設定を行ってください。なお、ルール順序は設定後でも変更できます。

9.2.2.2.1. クラウド閉域接続拠点への接続設定クラウド閉域接続サービスを契約している場合のみ設定します。 1. SD-WAN ルール表記の下にある「＋新規作成」を選択する。




① 名前任意の文字列例：Cloud 半角英数字を推奨

IP バージョン IPv4(デフォルト)

①

②

③

④


送信元

② アドレス任意の LAN アドレスを選択

アドレス作成方法については 10.1 ファイアーウォールアドレスを参照



宛先アドレス（デフォルト）

③ アドレスクラウド閉域セグメントのアドレスを選択

プロトコル ANY（デフォルト）

サービスタイプ動作保証対象外

入力デバイス動作保証対象外

発信インターフェース手動（デフォルト）

④ インターフェースメンバー

toHUB2を選択

3. 以下の情報でブランチ拠点のLANセグメントからクラウド閉域セグメント向

けの通信を許可する IPv4 ポリシーを設定する。ポリシーの設定手順は 10 ポリシー&オブジェクトをご参照ください。ここに記載するポリシー例は必要最低限の内容のため、必要に応じて、より細かく設定してください。





③ 発信インターフェース toHUB2 を選択 ④ 送信元アドレス LAN アドレスを選択 ⑤ 宛先アドレスクラウド閉域セグメント

のアドレスを選択

サービス ALL（デフォルト）スケジュール always （デフォルト）



⑥ アクション承認を選択 NAT チェック無し（デフォル

ト）



9.2.2.2.2. ゲストセグメントのブレイクアウト設定

自拠点内にインターネット回線があり、ゲストセグメントのインターネット接続を全てブレイクアウトさせる場合、この設定を行います。 1. SD-WAN ルール表記の下にある「＋新規作成」ボタンを選択する。


①

②

③

④


入力番号入力項目入力情報備考 ① 名前任意の文字列例：Guest

半角英数字を推奨 IP バージョン IPv4（デフォルト）送信元 ② アドレスゲストセグメントのアド

レスを選択アドレス作成方法については 10.1 ファイアーウォールアドレスを参照

ユーザ動作保証対象外ユーザグループ任意のユーザグループを

選択指定がなければ未選択可

宛先アドレス（デフォルト） ③ アドレス all を選択プロトコル ANY（デフォルト）サービスタイプ動作保証対象外入力デバイス動作保証対象外発信インターフェー

ス手動（デフォルト）

④ インターフェースメンバー

spoke_ppp を選択

3. 以下の情報でブランチ拠点のゲストセグメントからインターネット向けの通信を許可する IPv4 ポリシーを設定する。ポリシーの設定手順は 10 ポリシー&オブジェクトをご参照ください。ここに記載するポリシー例は必要最低限の内容のため、必要に応じて、より細かく設定してください。




ゲストセグメントが属したインターフェースであること

③ 発信インターフェース spoke_ppp を選択 ④ 送信元アドレス任意の LAN アドレス

を選択

⑤ 宛先アドレスゲストセグメントのアドレスを選択

サービス ALL（デフォルト）スケジュール always（デフォルト） ⑥ アクション承認を選択 ⑦ NAT チェック有とし「宛先

インターフェースを使う」を選択


有効/無効詳細は 10 ポリシー＆オブジェクトを参照

9.2.2.2.3. 特定アプリケーションのブレイクアウト自拠点内にインターネット回線があり、特定のアプリケーションを指定してブレイクアウトさせる場合、この設定を行います。 1. SD-WAN ルール表記の下にある「＋新規作成」を選択する。



入力番号入力項目入力情報備考 ① 名前任意の文字列例：Application

半角英数字を推奨 IP バージョン IPv4（デフォルト）

①

②

③ ④

⑤

⑥

入力番号入力項目入力情報備考送信元 ② アドレス任意の LAN アドレスを選

択アドレス作成方法については 10.1 ファイアーウォールアドレスを参照

ユーザ動作保証対象外ユーザグループ任意のユーザグループ指定がなければ未選

択可 ③ 宛先インターネットサービス

を選択

④ インターネットサービス

以下 5 点より選択可 MicrosoftOffice365 Amazon-AWS Microsoft-Azure Google-Google.Cloud Box-Web

その他のインターネットサービスについては動作保証対象外

インターネットサービスグループ

動作保証対象外

カスタムインターネットサービスグループ


⑤ アプリケーション以下 8 点より選択可 Google_Login.G.Suite Gmail_G.Suite Google.Drive_G.Suite Google.Docs_G.Suite Google.Hangouts_G.Suite Google.Plus_G.Suite Google.Calendar_G.Suite Google.Groups_G.Suite

その他のアプリケーションについては動作保証対象外

アプリケーショングループ


サービスタイプ動作保証対象外入力デバイス動作保証対象外発信インターフェー手動（デフォルト）

入力番号入力項目入力情報備考ス

⑥ インターフェースメンバー

spoke_ppp を選択

3. 以下の情報でブランチ拠点のLANセグメントから特定アプリケーションのみ

インターネットへ向ける通信を許可する IPv4ポリシーを設定する。ポリシーの設定手順は 10 ポリシー&オブジェクトをご参照ください。ここに記載するポリシー例は必要最低限の内容のため、必要に応じて、より細かく設定してください。




任意のインターフェースを選択



spoke_ppp を選択

④ 送信元アドレス任意の LAN アドレスを選択

宛先アドレス all（デフォルト）サービス ALL（デフォルト）スケジュール always （デフォルト） ⑥ アクション承認を選択 ⑦ NAT チェック有とし「宛先イン

ターフェースを使う」を選択



9.2.2.2.4. センター拠点経由でのインターネット接続センター拠点経由でインターネット接続をする場合に、この設定を行います。 1. SD-WAN ルール表記の下にある「＋新規作成」を選択する。



入力番号入力項目入力情報備考 ① 名前任意の文字列例：HUB1

半角英数字を推奨 IP バージョン IPv4（デフォルト）送信元 ② アドレス任意の LAN アドレス

を選択アドレス作成方法については 10.1 ファイアーウォールアドレ

①

②

③

④

入力番号入力項目入力情報備考スを参照


択可宛先アドレス（デフォルト） ③ アドレス all を選択プロトコル ANY（デフォルト）サービスタイプ動作保証対象外入力デバイス動作保証対象外発信インターフェース手動（デフォルト） ④ インターフェースメン

バー toHUB1 を選択

3. 以下の情報でブランチ拠点のLANセグメントからセンター拠点経由のインタ

ーネット向けの通信を許可する IPv4 ポリシーを設定する。ポリシーの設定手順は 10 ポリシー&オブジェクトをご参照ください。ここに記載するポリシー例は必要最低限の内容のため、必要に応じて、より細かく設定してください。





③ 発信インターフェース toHUB1を選択 ④ 送信元アドレス任意のLANアドレスを

選択

宛先アドレス all（デフォルト）サービス ALL（デフォルト）スケジュール always （デフォルト） ⑥ アクション承認を選択 NAT チェック無し（デフォ

ルト）




9.2.2.2.5. センター拠点への接続センター拠点への接続設定を行います。 9.2.2.2.4の設定を行った場合は、この設定は不要です。 1. SD-WAN ルール表記の下にある「＋新規作成」を選択する。



入力番号入力項目入力情報備考 ① 名前任意の文字列例：toHUB1

半角英数字を推奨 IP バージョン IPv4 送信元 ② アドレス任意の LAN アドレス

を選択アドレス作成方法については 10.1 ファイ

③

④

①

②

入力番号入力項目入力情報備考アーウォールアドレスを参照


択可宛先アドレス（デフォルト） ③ アドレスセンター拠点のアドレ

スを選択

プロトコル ANY（デフォルト）サービスタイプ動作保証対象外入力デバイス動作保証対象外発信インターフェース手動（デフォルト） ④ インターフェースメン

バー toHUB1 を選択

3. 以下の情報でブランチ拠点の LAN セグメントからセンター拠点の LAN セグメント向けの通信を許可する IPv4ポリシーを設定する。ポリシーの設定手順は 10 ポリシー&オブジェクトをご参照ください。ここに記載するポリシー例は必要最低限の内容のため、必要に応じて、より細かく設定してください。





③ 発信インターフェース toHUB1を選択 ④ 送信元アドレス任意の LAN アドレス

を選択

⑤ 宛先アドレスセンター拠点のアドレスを選択

サービス ALL（デフォルト）スケジュール always （デフォルト） ⑥ アクション承認を選択 NAT チェック無し（デフォ

ルト）




9.2.2.2.6. インターネット接続をブレイクアウトする設定ブランチ拠点でインターネット接続サービスを契約している場合に設定します。 LAN からのすべての通信をブレイクアウトさせる場合、この設定を行います。 1. SD-WAN ルール表記の下にある「＋新規作成」を選択する。

2. 新規 SD－WAN ルールの作成」ウィンドウに対し、以下の情報を入力後、ウィンドウ下の「OK」ボタンを押下する。


入力番号入力項目入力情報備考 ① 名前任意の文字列例：spoke_ppp

半角英数字を推奨 IP バージョン IPv4（デフォルト）送信元 ② アドレス任意の LANアドレスを

選択アドレス作成方法については 10.2ファイアーウォールアドレ

③

④

①

②

入力番号入力項目入力情報備考スを参照



宛先アドレス（デフォルト） ③ アドレス all を選択プロトコル ANY（デフォルト）サービスタイプ動作保証対象外入力デバイス動作保証対象外発信インターフェース手動（デフォルト） ④ インターフェースメン

バー spoke_ppp を選択

3. 以下の情報でブランチ拠点のLANセグメントからの通信を全てインターネットへ向ける通信を許可する IPv4 ポリシーを設定する。ポリシーの設定手順は10 ポリシー&オブジェクトをご参照ください。ここに記載するポリシー例は必要最低限の内容のため、必要に応じて、より細かく設定してください。



② 受信インターフェース任意のインターフェース


③ 発信インターフェース spoke_ppp を選択 ④ 送信元アドレス任意のLANアドレスを

選択

宛先アドレス all（デフォルト）サービス ALL（デフォルト）スケジュール always （デフォルト） ⑥ アクション承認を選択 ⑦ NAT チェック有とし「宛先

インターフェースを使う」を選択




9.2.2.3. デバイスの割り当て設定 1. SD-WAN テンプレート新規作成画面を、下部の「OK」ボタンを押下する。

2. 9.2.2.2 で作成したテンプレート名の横にチェックを入れ、上部にある「デバイスに割り当て」ボタンを選択する。

3. 表示された「デバイス割り当て」ウィンドウにて、該当のブランチ拠点 CPEを選択し、下部の「OK」ボタンを押下する。

9.2.2.4. 設定インストール画面上部の「インストールウィザード」を選択し、9.3.6 で SD-WAN 設定を割り当てたブランチ拠点 CPEに、設定をインストールする。 1. デバイス&グループのメイン画面上部の「インストールウィザード」を押下し、





する。

10. ポリシー＆オブジェクト

本章ではファイアーウォールの設定を行います。通過させたいアドレスやプロトコルを指定したり、アンチウィルスや IPS 等のセキュリティ機能を利用することで、不正な通信を防ぐことができます。 ※ファイアウォールイメージ図

10.1. ポリシーインポート

CPE には初期状態でキッティング用のポリシーが設定されているため、コントローラへインポートし、設定内容を同期させる必要があります。 1. コントローラの「デバイス＆マネージャー」タイルを選択する。 2. 「管理対象デバイス」を選択する。 3. インポート対象のデバイスにチェックを入れ、画面上部の「ポリシーのインポ

ート」を押下する。

4. 「すべてインポート」「オブジェクトに関連するポリシーをインポート」を選択し、「すべての未使用のデバイスインターフェースにマッピングを追加」にチェックを入れたまま、「次」を押下する。

5. Fortigate を選択し、「次」を押下する。

6. 内容を確認し、「次」を押下する。

7. ポリシーが正常にインポートできることを確認する。

10.2. ファイアウォールアドレス IPv4 ポリシーにて制御する送信元・宛先を指定するために、以下の手順を用いてアドレスオブジェクトを作成します。デフォルトの事前定義設定を利用する場合は、作成の必要はありません。

主なデフォルトの事前定義設定一覧アドレスオブジェクト設定内容備考 all IP/ネットマスク：0.0.0.0/0.0.0.0 全ての IPアドレス gmail.com FQDN：gmail.com login.microsoft.com FQDN：login.microsoft.com login.windows.net FQDN：login.windows.net wildcard.dropbox.com FQDN：*.dropbox.com ワイルドカード wildcard.google.com FQDN：*.google.com ワイルドカード

1. コントローラーの「ポリシー＆オブジェクト」タイルを選択する。 2. 画面上部「オブジェクト設定」タブを選択する。 3. 左ペイン内「ファイアウォールオブジェクト」>「アドレス」を選択する。 4. 「＋新規作成」ボタンから「アドレス」を選択する。 5. 以下の情報を必要に応じて入力し、ペイン下の「OK」ボタンを押下する。


入力番号入力項目入力情報備考 ① アドレス名任意の文字列_拠点名例：vlan10_osaka

半角英数字を推奨色任意の色を選択 - ② 形式タイプのいずれかを選択 ③ インターフェー

ス所属させたいインターフェースを選択

指定がなければ「any」を選択

スタティックルート設定

OFF（デフォルト） ON の場合、ルーティング設定(8.2.3)にて選択可

①

②

③

コメント空白半角英数字を推奨指定がなければ未選択可

グループに追加所属させたいアドレスグループ

指定がなければ未選択可



デバイスごとのマッピング


10.3. IPv4ポリシー LAN、インターネット接続、他拠点やクラウド閉域接続拠点間の IPv4トラフィックを、オブジェクトやセキュリティ機能を用いてファイアウォールとして設定します。ポリシーを設定しない場合、全ての通信が通りませんので、ご注意ください。 1. コントローラーの「ポリシー＆オブジェクト」タイルを選択する。 2. 画面上部「ポリシーパッケージ」タブを選択する。 3. 左ペイン内の設定したい拠点名のパッケージを選択 >「IPv4 ポリシー」を選

択する。 4. 「＋新規作成」ボタンを押下し、ポリシー作成画面へ遷移する。

5. 以下の情報を必要に応じて入力し、ペイン下の「OK」ボタンを押下する。

① ②

④

⑤

⑥

③

⑨

⑪ ⑩

⑫

⑬

⑧

⑦



① 名前任意の文字列例：Vlan10toVlan20_in 半角英数字を推奨

② 受信インターフェーストラフィックを受信するインターフェースを選択

指定がなければ「any」を選択 ※any の場合、全インターフェースとなることに注意

③ 発信インターフェーストラフィックを送信するインターフェースを選択

指定がなければ「any」を選択 ※any の場合、全インターフェースとなることに注意

送信元インターネットサービス

OFF（デフォルト） ON の場合、事前定義されたインターネットサービスが選択可

FSSO グループ選択無し動作保証対象外

④ 送信元アドレス事前定義もしくは 10.1ファイアーウォールアドレスで設定した指定アドレス

指定がなければ「any」を選択 ※any の場合、全アドレスとなることに注意

送信元ユーザ認証ユーザを選択指定がなければ未選択可

送信元のユーザグループ

認証ユーザグループを選択

指定がなければ未選択可

宛先のインターネットサービス

OFF（デフォルト） ON の場合、事前定義されたインターネットサービスが選択可


⑤ 宛先アドレス事前定義もしくは 10.1ファイアーウォールアドレスで設定した指定アドレス

指定がなければ「any」を選択 ※any の場合、全アドレスとなることに注意

サービス ALL（デフォルト）指定がなければ「any」を選択 ※any の場合、全サービスとなることに注意

スケジュール always （デフォルト）ポリシーは常時有効とする

⑥ アクション拒否/承認を選択 ※IPSECは使用不可

拒否の場合、上記指定オブジェクトにマッチするトラフィックは全てブロック。承認の場合、上記指定オブジェクトにマッチするトラフィックは全て許可。

違反トラフィックをログ ※アクション：「拒否」の場合

チェック有（デフォルト）

拒否されたトラフィックログを出力する場合に選択

セッション開始時にログを生成：チェックの有/無を選択

CPE が管理対象とするトラフィックのセッションが開始されたタイミングで出力

トラフィックをログ ※アクション：「承認」の場合

ログなし/セキュリティイベントをログ/すべてのセッションをログから選択

許可されたトラフィックログを出力する場合に選択

セッション開始時にログを生成：チェックの有/無を選択

CPE が管理対象とするトラフィックのセッションが開始され


たタイミングで出力

パケットをキャプチャ：チェックの有/無を選択

トラフィックのパケットキャプチャ

NAT ※アクション：「承認」の場合

チェック無（デフォルト）

宛先が Internet（PPPoE インターフェース）の場合は、チェック有とすること

※NAT チェック有の場合

「宛先インターフェースアドレスを使う」を選択

左記以外動作保証対象外



⑧ 次の「インスペクションモード」から「プロトコルオプション」設定は「セキュリティプロファイル」を「有効」にした場合に設定可

インスペクションモード

フローベース（デフォルト）

Proxy-based は動作保証対象外

Profile Type 標準セキュリティプロファイルを使う（デフォルト）


⑨ アンチウイルスプロファイル

default を選択

⑩ Web フィルタプロファイル

default を選択

⑪ アプリケーションコントロール

default を選択

⑫ IPS プロファイル default を選択

Web アプリケーションファイアウォール


DNSフィルタ動作保証対象外

⑬ プロトコルオプション default を選択

共有シェイパー動作保証対象外

リバースシェイパー動作保証対象外

IP ごとのシェイパー動作保証対象外


コメント空白半角英数字を推奨指定がなければ可

高度なオプション動作保証対象外

【参考】ポリシー設定の考え方ブランチ拠点とセンター拠点の拠点間接続を行う場合の IPv4 ポリシー設定例です。ここに記載するポリシー例は必要最低限の内容のため、必要に応じて、より細かく設定してください。

10.4. IPv6ポリシー 10.3 IPv4 ポリシーと同様に IPv6 トラフィックを通過させる場合に関してもファイアウォール設定を行います。設定手順及び設定内容に関しては、10.3 IPv4ポリシーをご参照ください。また、初期設定として入っている「to sdx」ポリシーは削除しないでください。この設定を削除すると、LAN から WAN 向けの通信が全て拒否されてしまい、コントローラーへのアクセスが不可となります。

10.5. 設定のインストールポリシーやオブジェクトの設定完了後、CPE へ設定のインストールを行い反映します。 1. ポリシーパッケージのメイン画面上部の「インストール」>「インストールウ

ィザード」を押下し、インストールウィザードウィンドウを表示する。

2. 「Install Policy Package & Device Settings」を選択し、ポリシーパッケージに

インストール対象 CPEのパッケージを選択後、「次」ボタンを押下する。

3. インストールするデバイス（CPE）を選択し、「次」ボタンを押下する。 4. Installation Preparation にて全てのステータスが成功していることを確認し、

「インストール」ボタンを押下する。

5. ポリシーパッケージが正常にインストールされることを確認する。

11. レポートの作成

コントローラーには、アナライザー機能を設けております。ログ容量によりますが、概ね 30 日程度の期間におけるトラフィックやセキュリティ検知数、傾向等をレポートとして抽出することが可能です。

11.1. アナライザーへのログイン開通案内書を参照し、アナライザーへ接続してください。 ※推奨ブラウザ：Chrome（version 80.0.以降） 1. ブラウザを起動し、「https://a01.sdx.flets-west.jp」へ接続する。

2. 開通案内書に記載の ADOM アカウント ID、ADOM パスワードを入力し、ア

ナライザーへログインする。

各タイルと用途は以下の通りタイル用途デバイスマネージャー利用しません SOC 利用しません

タイル用途ログビュートラフィックログ、イベントログ、またはセキュ

リティログを表示します(読み取り) Fabric View リアルタイムデータと履歴データを一つのビュ

ーに統合し、サマリーを表示します(読み取り専用)

インシデント＆イベントイベントハンドラが生成したイベントを表示します(読み取り専用)

レポートレポートを作成しますシステム設定利用しません

11.2. レポートの作成

1. アナライザーの「レポート」タイルを選択する。

2. 上記のようなレポート作成画面が表示されます。

例として「Top20 Categories(Session)」レポートを作成する手順を記載します。

レポート一覧

レポートに

利用する DB

レポート出力に

利用する定義

レポートを作成、

実行するタブ

3. 先ほどのレポート作成画面において、Application＞Top 20 Categories and Applications(Session)をダブルクリックします。

4. レポート実行をクリックします。作成途中はステータス項目に推移を％で表

示され、100％になることでレポート作成が完了します。

5. レポート作成が完了すると、作成するにあたって使用したデータの期間、作

成されたレポートファイルの種類が確認できます。

6. フォーマット形式をクリックすることで、フォーマット毎に内容を確認する

ことができます。

12. 拠点や機器の追加

拠点や機器を追加する場合に必要な設定章を記載します。

12.1. 新規拠点を追加する場合 12.1.1. 新規拠点の設定

接続するパターン毎に設定します。設定機器配下接続機器設定章 CPE SW(配下 AP有) 7 章全て、8.2、9.1.2、9.2.2、10

SW(配下 AP無) 7.2.2、7.3、7.4、8.2、9.1.2、9.2.2、10 AP 7.1、7.2.2、7.4、8.2、9.1.2、9.2.2、10 無し(端末接続) 7.2.1、7.4、8.2、9.1.2、9.2.2、10

※ブレイクアウト機能を利用しない場合は、9章の設定は不要

12.1.2. 既存拠点の設定拠点の役割や拠点間ルーティング構成に関係なく既存拠点の CPEには一律設定します。ただし、下記の通りポリシーの設定内容次第となります。

設定機器拠点設定章 CPE センター、ブラ

ンチ、クラウド閉域接続

・10 ※送信元アドレスや宛先アドレスにブランチ拠点のLAN セグメントを設定している場合に設定が必要

12.2. 既存拠点へ機器追加する場合既存の拠点へ機器を追加する場合は、セグメント(LAN アドレス)追加の有無により設定内容が異なります。

12.2.1. セグメント追加しない場合 AP の SSID、SW の VLAN、CPE のソフトウェアスイッチインターフェースを追加せず、既存構成のまま機器のみ追加する場合に設定します。

追加機器上位接続機器設定章 AP SW ・7.1.3：既存の AP プロファイルを適用

・7.3.2：既存の SW テンプレートに AP を接続するVLAN インターフェースを追加(手順 4 の入力番号③④)

CPE ・7.1.3：既存の AP プロファイルを適用・7.2.2：既存のソフトウェアスイッチインターフェースメンバーに APを接続するインターフェースを追加

SW SW 上位 SW ・7.3.2：既存の SW テンプレートに SW を接続するVLAN インターフェースを追加(手順 4 の入力番号③④) 新規接続 SW ・7.3.2：SW テンプレートを作成・7.3.3.：SW テンプレートを適用

12.2.2. セグメント追加する場合

AP の SSID、SW の VLAN、CPE のソフトウェアスイッチインターフェースを追加する場合に設定します。また、セグメント追加に伴い他拠点へ設定追加が必要になる場合があります。設定方法は 12.1.2と同様のため、そちらをご参照ください。

追加機器上位接続機器設定章 AP SW ・7章全て

・8.2.2.1：IPsec のフェーズ 2 をセグメント毎に作成(手順 9の入力番号⑳) ・8.2.3.2.1(OSPF の場合)：拠点 LANセグメント広報の追加(手順 5 の入力番号⑤) ・8.2.3.2.2(OSPFの場合)：同上・9.2.2.2：追加するセグメントを送信元アドレスとす

る SD-WAN ルールを追加・10.1：追加するセグメントのアドレスオブジェクト設定・10.2：追加するセグメントを送信元アドレスとする場合は IPv4 ポリシーを追加

CPE ・7.1 ・7.2 ・8.2.2.1：IPsec のフェーズ 2 をセグメント毎に作成(手順 9の入力番号⑳) ・8.2.3.2.1(OSPF の場合)：拠点 LANセグメント広報の追加(手順 5 の入力番号⑤) ・8.2.3.2.2(OSPFの場合)：同上・9.2.2.2：追加するセグメントを送信元アドレスとする SD-WAN ルールを追加・10.1：追加するセグメントのアドレスオブジェクト設定・10.2：追加するセグメントを送信元アドレスとする場合は IPv4 ポリシーを追加

SW SW ・7.2 ・7.3 ・7.4 ・8.2.2.1：IPsec のフェーズ 2 をセグメント毎に作成(手順 9の入力番号⑳) ・8.2.3.2.1(OSPF の場合)：拠点 LANセグメント広報の追加(手順 5 の入力番号⑤) ・8.2.3.2.2(OSPFの場合)：同上・9.2.2.2：追加するセグメントを送信元アドレスとする SD-WAN ルールを追加・10.1：追加するセグメントのアドレスオブジェクト設定・10.2：追加するセグメントを送信元アドレスとする場合は IPv4 ポリシーを追加

※ブレイクアウト機能を利用しない場合は、9章の設定は不要。

13. 高度な設定

今後掲載予定(2020/7 改版予定)

14. 困ったときは

14.1. 開通時 14.1.1. コントローラーにアクセスできない

① 開通拠点における、機器物理接続ミス機器の電源、ケーブルは抜けていないか？ NW 構成図の通りに接続されているか？(ポート単位で確認)

② コントローラーの計画工事/故障 NTT 西日本工事情報サイト (http://www.info-construction.ntt-

west.co.jp/info-report/ku010/kU010010/)に、フレッツ・SDx の情報が提示されていないか？

③ コントローラーへアクセスを行っている拠点(開通拠点含む)回線の計画工事/故障 NTT 西日本工事情報サイト (http://www.info-construction.ntt-

west.co.jp/info-report/ku010/kU010010/)に、フレッツ光ネクスト情報が提示されていないか？

④ 上記に該当しない場合は、いずれかの故障の可能性ありフレッツ SDｘ故障受付センターへ連絡くださいコントローラーへアクセスを行っている拠点の回線/機器開通拠点の回線/機器コントローラー

14.1.2. コントローラーにアクセスできるが、各機器の接続が確認できない

※「5.４コントローラーと各機器の接続確認」において、デバイス名の左側にあるアイコンがオレンジ色の状態 ① 対象機器の物理接続ミス

機器の電源、ケーブルは抜けていないか？ NW 構成図の通りに接続されているか？(ポート単位で確認)

② （AP の場合）対象機器の電源供給はできているか？電源アダプターを利用しているか？もしくは PoE 給電機能のある SW に

接続しているか？ ③ 上記に該当しない場合は、いずれかの故障の可能性あり

フレッツ SDｘ故障受付センターへ連絡ください開通拠点の機器

14.1.3. コントローラーにアクセスでき、各機器の接続も確認できるが、実現したい機能が使えない ※「5.４コントローラーと各機器の接続確認」において、デバイス名の左側にあるアイコンが緑色の状態 ① 設定ミス

本マニュアルに沿って、必要な機能を設定できているか？ ② 上記について、設定見直し等の相談を行いたい場合

フレッツ SDx お客様サポートセンターへ連絡ください 14.1.4. CPEへのログイン

コントローラーによる確認ではなく、CPE へ直接アクセスし機器の状態を確認する方法があります。CPEのコマンドや出力内容に関する情報は、メーカ公式マニュアル(https://docs.fortinet.com/)をご参照ください。 ① コントローラより直接 CPE へアクセスし、コマンドラインにて状態を確認

1. コントローラーの「デバイスマネージャー」タイルを選択する。 2. 画面上部「デバイス&グループ」タブを選択する。 3. 左ペイン内の設定する CPE を選択する。 4. 上部黒いタブの「システム：ダッシュボード」を選択する。 5. 「コネクションサマリ」の「SSH 経由で CLI に接続する」を押下し、SSH

接続用のブラウザを起動する。

6. 右上の「Connect」を押下する。（もしくは「ここをクリックして接続」と記載された画面上をクリックする）

7. コントローラーログインと同様の ADOM アカウント情報を入力し、SSH

接続する。

② 操作端末より直接 CPEへアクセスし、コマンドラインにて状態を確認 1. シリアルコンソールケーブルを使用し、操作端末と CPE のコンソールポ

ートを接続する。 2. 操作端末にて teraterm等のエミュレータを起動し、コンソール接続する。 ※ログインアカウントは、コントローラーの ADOM アカウントと同様。

14.2. 開通後の故障時 14.2.1. 複数拠点において、NWが利用できない(センター拠点の回線・CPE故障が疑われる

場合、複数拠点での回線故障が疑われる場合) ① コントローラーから機器接続状況の確認、不具合個所の特定

「5.４コントローラーと各機器の接続確認」のデバイスマネージャーにおいて、デバイス名の左側にあるアイコンがオレンジ色の状態になっている機器はないか？

14.2.1.1. 上記機器がセンター拠点 CPE である

① 該当拠点回線の計画工事/故障 NTT 西日本工事情報サイト (http://www.info-construction.ntt-


② 該当機器の接続不良確認機器の電源、ケーブルは抜けていないか？ NW 構成図の通りに接続されているか？(ポート単位で確認)

③ 該当機器の再起動コントローラーから遠隔で再起動する場合

CPE：「デバイスマネージャ」タイルデバイス種別により上記タイルからデバイスを選択、「リスタート」実施

現地で再起動する場合

該当機器の電源コンセントを抜いてください ④ 上記で回復しない場合は、いずれかの故障の可能性あり

フレッツ SDｘ故障受付センターへ連絡くださいセンター拠点の回線/機器故障

再起動するデバイスを選択

「詳細」から「リスタート」をクリック

14.2.1.2. 上記機器が、複数のブランチ拠点 CPEである ① 該当拠点回線の計画工事/故障

NTT 西日本工事情報サイト (http://www.info-construction.ntt-west.co.jp/info-report/ku010/kU010010/)に、フレッツ光ネクスト情報が提示されていないか？

② 該当機器の接続不良確認機器の電源、ケーブルは抜けていないか？ NW 構成図の通りに接続されているか？(ポート単位で確認)

③ 該当機器の再起動コントローラーから遠隔で再起動する場合


現地で再起動する場合該当機器の電源コンセントを抜いてください

④ 上記に該当しない場合は、いずれかの故障の可能性ありフレッツ SDｘ故障受付センターへ連絡ください該当拠点の回線/機器

14.2.2. 特定拠点への通信、特定拠点内の通信において、NWが利用できない(特定拠点のCPE

故障が疑われる場合) ① コントローラーから機器接続状況の確認、不具合個所の特定

「5.４コントローラーと各機器の接続確認」のデバイスマネージャーにおいて、特定拠点の CPE デバイス名の左側にあるアイコンがオレンジ色になっていないか？

② 該当拠点回線の計画工事/故障 NTT 西日本工事情報サイト (http://www.info-construction.ntt-




③ 確認機器の電源、ケーブルは抜けていないか？ NW 構成図の通りに接続されているか？(ポート単位で確認)

④ 該当機器の再起動コントローラーから遠隔で再起動する場合


現地で再起動する場合該当機器の電源コンセントを抜いてください

⑤ 上記で回復しない場合は、いずれかの故障の可能性ありフレッツ SDｘ故障受付センターへ連絡ください該当拠点の回線/機器故障

14.2.3. 特定拠点内の一部通信において、NWが利用できない

14.2.3.1-3 のどの通信ができないか特定の上、対応を行うこと

14.2.3.1. 無線、もしくは一部有線だけが利用できない場合（SW、AP の故障が疑われる場合） ① コントローラーから機器接続状況の確認、不具合個所の特定

「5.４コントローラーと各機器の接続確認」において、AP マネージャー、SW マネージャーを確認し、デバイス名の左側にあるアイコンがオレンジ色の状態になっている機器はないか？

NW 構成図において、どの機器配下が利用できないか？ ② ①該当機器の接続不良確認

機器の電源、ケーブルは抜けていないか？ NW 構成図の通りに接続されているか？(ポート単位で確認)

③ ①該当機器の再起動



コントローラーから遠隔で再起動する場合 CPE：「デバイスマネージャ」タイル SW：「FortiSwitchマネージャ」タイル AP：「APマネージャ」タイル

デバイス種別により上記タイルからデバイスを選択、「リスタート」実施

現地で再起動する場合該当機器の電源コンセントを抜いてください AP で、PoE電源供給利用の場合は LAN ケーブルを抜いてください

④ 上記で回復しない場合は、いずれかの故障の可能性ありフレッツ SDｘ故障受付センターへ連絡ください

14.2.3.2. インターネットのみが利用できない場合

① ご契約のインターネットプロバイダにお問い合わせください



14.2.3.3. インターネットの特定サイトのみが利用できない場合 ① URL フィルタリングでエラーとなっている場合がございます。

その場合、Web ブラウザで下記のような画面が表示されます。

以下の手順にて、特定サイトの URL をホワイトリスト設定します。 1. コントローラーの「ポリシー＆オブジェクト」タイルを選択する。 2. 画面上部「オブジェクト設定」タブを選択する。 3. 左ペイン内「セキュリティプロファイル」>「Web フィルタ」を選択する。 4. 表示されたプロファイル一覧から、ホワイトリスト設定を行うプロファイ

ルを選択し、「編集」ボタン押下する。

5. 「URL フィルタ」にチェックを入れ、「URLフィルタを選択」に「default」を選択する。


6. 「追加」ボタンを押下し、以下の情報を入力後、ウィンドウ下の「OK」ボタンを押下する。


入力番号入力項目入力情報備考 ① URL 特定サイトの URL を

正規表現で入力 http(s)://以降を記載例： https://www.google.comの場合 .*google

② 形式 regex（正規表現） regex： http:(s)//以降の文字列を正規表現で一致 simple： http:(s)//以降の文字列で完全一致 wildcard： http:(s)//以降の文字列をワイルドカードで一致

③ アクション allow

①

②

③

入力番号入力項目入力情報備考リファラ―ホスト空白（デフォルト）有効化チェックを入れる（デ

フォルト）

7. プロファイル設定画面下の「OK」を押下する。

14.3. 設定・接続変更時の不具合 14.3.1. 設定の見直し

① NW 構成図の見直しやりたいことに沿って、「4.1 事前準備」で作成した NW 構成図を更新し

ているか？ ② 設定の見直し

NW 構成図に沿って、本マニュアルに準じた設定を行っているか？「6 設定必要事項と設定章」において、利用したい項目の必須事項はす

べて設定できているか？ 14.3.2. 接続の見直し

① NW 構成図の見直しやりたいことに沿って、「4.1 事前準備」で作成した NW 構成図を更新し

ているか？ ② 接続の見直し

NW 構成図に沿って、本マニュアルに準じた接続を行っているか？(ポート単位で確認)

機器の電源、ケーブルは抜けていないか？

14.3.3. ロールバックの実施 ① 元の設定に戻したい

1. CPE の場合、コントローラーの「デバイスマネージャー」タイルを選択 ※SW,AP をロールバックしたい場合も、上位 CPE にてロールバックを行います。

2. 対象の CPE をダブルクリックする。

3. システム：ダッシュボード画面にて、対象のデバイス名・シリアル番号が表示されているかを確認する。

4. ダッシュボード画面から、「改訂履歴」ボタンを押下する。

5. 「設定の改訂履歴」画面が表示されるため、設定変更のログを確認する。「作成者」、「日時」から設定変更対象の履歴を確認する。

名称概要 ID 設定履歴の管理番号で 100 件まで保存可能日時設定のバージョンが変更された日付と時間名前変更されたデバイス名を表示

※「AutoUpdate」は CPEで設定変更があった場合に、コンフィグ管理サーバで自動アップデートが実行された状態

作成者設定変更を実行したユーザ ID ※「AutoUpdate」の表記は、CPE 側での設定変更がコンフィグ管理サーバに同期された場合に表記される

インストレーション設定変更時のステータスコメント設定履歴のコメント

各履歴のコメント欄をクリックすることで変更可能

改訂履歴

6. 「ロールバックさせる設定履歴」を「右クリック」で選択し、「戻す」を選択する。

7. 復元元 ID 番号のインストレーション「リビジョン復元」になっているこ

とを確認する。確認後に「閉じる」ボタンを押下する。 ※コメントには以下の文章が追加され、どの ID からのロールバックかが表示される（この例では、ID38）「Reverted from ID XX by admin. A new revision ID will be generated on an install.」

①対象の設定履歴を右クリック

②「戻す」を選択

確認後に「閉じる」を押す

8. 「管理対象デバイス」をクリックし、ロールバック対象 CPE のステータスが「変更あり」になっていることを確認後に、「インストールウィザード」を選択する。

9. 下記の画面が表示され、以下のとおりに画面遷移でインストールを実行

する。

①「次」を押す

②「次」を押す

③「インストール」を押す

10. 下記の画面が表示され、インストールが完了したことを確認する。確認後に「完了」ボタンを押下する。 ※８～10 のインストール手順を実施することで、CPE にロールバックさせる設定がインストールされる。

11. ロールバック対象 CPEのステータスが「同期」になっていることを確認

する。

12. ロールバック対象 CPEの「設定の改訂履歴」画面に遷移し、インストー

ル後の ID が作成されていることを確認し、コメント欄に以下の文を記載し、「閉じる」ボタンを押下する。記載文：IDXXの設定に復元 ※”XX”の部分に復元元の ID を記載する（この例では、ID37）

（次ページの図参照）

確認後に「完了」を押す

空欄部分をクリックして、コメントを記載する

14.3.4. 設定内容について相談する ① 設定見直し等の相談を行いたい場合

フレッツ SDx お客様サポートセンターへ連絡ください

15. 問い合わせ先

お問い合わせ先を下記に記載します。電話受付に関しては、お問い合わせの内容・発信者番号は対応状況の確認と対応品質の向上のため、録音・記録をさせていただいておりますことをご了承ください。

故障に関するお問い合わせ

NTT 西日本フレッツ SDｘ故障受付センター電話：0120-456-147 受付時間：24 時間 365 日

開通に関するお問い合わせ、使い方や設定に関するお問い合わせ

NTT 西日本フレッツ SDｘお客様サポートセンター電話：0800-200-9991 MAIL：[email protected] 受付時間：平日（月～金）9 時～12 時、13 時～17時（土日、祝祭日及び弊社休業日を除く）

フレッツ・sdx...

Documents