http://www.infraeye.com/study/studyz1.html
【SSG - ファームウェアのバックアップ方法】
【SSG - ファームウェアのアップデート方法】
【SSG 5 - 初期化方法 ①】
【SSG 5 - 初期化方法 ②】
【SSG 5 - 初期化方法 ③】
【SSG - 基本設定】
【SSG - 管理設定 : SNMP】
【SSG - 管理設定 : SYSLOG】
【SSG - ゾーンの作成と設定】
【SSG - インターフェースの設定】
【SSG - ポリシーの設定 その1】
【SSG - ポリシーの設定 その2 ( サービスの設定 )】
【 SSG - ポリシーによるWebAUTHの設定】
【NAT-src の種類と設定方法】
【NAT-dst の種類と設定方法】
【 VIP の設定方法】
【MIP の設定方法】
【MIPの設定を深く理解するために・・・Globalゾーンとは】
【スタティックルーティングの設定】
【OSPF の設定】
【HAの物理構成】
【NSRPの設定 ( アクティブ/パッシブ構成 )】
【NSRPの設定例 ( アクティブ/パッシブ構成 )
【L2モード ( 透過モード )】
【SSG - VLAN Routing】
【SSG - Track-ip】
【SSG - PPPoE Internet】
【 付録 : DNSプロキシの設定 (オプション設定)】
【参考1812Jとnetscreenでpppoe】
【SSG - PPPoE Internet 2】
【SSG - Policy-Based VPN】
【SSG - Route-Based VPN】
【SSG - Policy-Based Configuration】
【SSG - Route-based Configuration】
【SSG - Route-based Configuration】
【JUNOS】
【JUNOS - shell/operational/config】
【JUNOS - Active Config / Candidate Config】
【JUNOS - set / delete / edit / copy / rename】
【JUNOS - upgrade / license / root】
【SSG - ファームウェアのバックアップ方法】
save software from flash to tftp “TFTPサーバのIPアドレス” “ファーウェアファイル名”
※ ちなみに、get file コマンドによりFLASHメモリの内容を確認することができる。
【SSG - ファームウェアのアップデート方法】
save software from tftp “TFTPサーバのIPアドレス” “ファームウェアファイル名” to flash 」+「reset」
※ ちなみに、
"save config from flash to tftp 192.168.0.1 ファイル名" のコマンドを入力すれば、
設定ファイルをTFTPサーバに送れる。
【SSG 5 - 初期化方法 ①】
「unset all」+「reset」
【SSG 5 - 初期化方法 ②】
ユーザ名とパスワードにその機器のシリアル番号を入力することで初期化することができます。ただし
シリアル番号によるログインはセキュリティ上問題なので、通常は unset admin device-reset コマンド
を機器に設定しておき、このシリアル番号によるログインを不可能にしておきます。
【SSG 5 - 初期化方法 ③】
SSGの工場出荷時の状態に戻したい場合は、以下の手順で筐体背面にあるリセットボタンを押します。
① 背面のリセットボタンをボールペンなどの先で8秒くらい押し続ける
⇒ 前面のPOWER LEDがオレンジ色に点灯、同時にSTATUS LEDがオレンジ色に点滅
⇒ CLIプロンプトで “ Configuration Erasure Process has been initiated ” が出力される。
⇒ CLIプロンプトで “ Waiting for 2nd confirmation ” が出力される。
⇒ STATUS LEDが緑色の点滅に変わる
② 背面のリセットボタンを押すのを止める
⇒ POWER LEDが緑色の点灯に変わるが、STATUS LEDは緑色の点滅が続く。
③ リセットボタンを押すのを止めてから数秒後に、再度リセットボタン8秒くらい押し続ける
⇒ CLIプロンプトで “ 2nd push has been confirmed ” が出力される。
⇒ POWER LEDはオレンジ色に点灯。STATUS LEDは赤色に点滅。
⇒ CLIプロンプトで “ Configuration Erase sequence accepted, unit reset ” が出力される。
⇒ POWER LEDは緑色に点灯。STATUS LEDが緑色に点灯する(=デバイスの再起動が開始される)
⇒ POWER LEDは緑色に点灯。STATUS LEDが緑色に点滅する状態になれば、初期化の完了となる。
初期化によって削除されるのはフラッシュ内の構成ファイルだけであり、ライセンス情報は消去されない。
※ ライセンスを削除するためにはCLIで exec license-key delete key-name コマンドを入力します。
【SSG - 基本設定】
◆ ホスト名の設定
set hostname hostname
◆ 設定例 : ホスト名を “SSG5” とする
SSG5-> set hostname SSG5
◆ ログイン時のユーザとパスワードの設定
set admin name username
set admin password password
◆ 設定例 : ログイン時のユーザ名を “ juniper " パスワードを “ juniper” とする
SSG5-> set admin name juniper
SSG5-> set admin password juniper
◆ ログイン時の管理ユーザの追加 ( ユーザ名とパスワードの設定 )
set admin user username password password all | read-only
◆ 設定例 : ログイン時の管理ユーザ名を “ test1 " パスワードを “ test1” とし、設定変更できないユーザとする
SSG5-> set admin user test1 password test1 privilege read-only
◆ 日本のタイムゾーン設定、NTPサーバ、ソースアドレスの設定
set clock timezone 9
set ntp server ip-address
set ntp server src-interface NTPサーバを参照しにいくソースインターフェース
◆ 設定例 : 日本のタイムゾーン “+9” の指定、NTPサーバを “10.1.1.1”、ソースインターフェースを "bgroup0" とする
SSG5-> set clock timezone 9
SSG5-> set ntp server 10.1.1.1
SSG5-> set ntp server src-interface bgroup0
◆ DNSの設定 ( SSGで設定されているコンフィグでドメイン名がある場合に、その名前解決を行う際に使用 )
set dns host dns1 ipaddress
set dns host dns2 ipaddress
◆ 設定例 : プライマリーのDNSサーバに"1.1.1.1"、セカンダリ―のDNSサーバに"2.2.2.2"と指定
SSG5-> set dns host dns1 1.1.1.1
SSG5-> set dns host dns2 2.2.2.2
◆ SSGを管理アクセスすることができるIPアドレスの設定
set admin manager-ip アクセスを許可するIPアドレス
◆ 設定例 : 172.16.1.0/24 のネットワークからのみSSGへアクセス可能にする
SSG5-> set admin manager-ip 172.16.1.0 255.255.255.0
【SSG - 管理設定 : SNMP】
各プロトコルごとの出力レベル設定
set log module system level level destination protocol
◆ 設定例 : コンソールに対して、emergencyレベルのログを出力をさせる
SSG5-> set log module system level emergency destination console
◆ SNMPコミュニティ、パーミッション、バージョンの設定
set snmp community string [ Read-Only | Read-Write ] [ trap-off | trap-on ] traffic version [ any | v1 | v2c ]
◆ 設定例 : SNMPコミュニティを“public”、コミュニティ権限を“Read-Only”、バージョンを“any”に指定
SSG5-> set snmp community public Read-Only trap-on version any
◆ SNMPのシステム名、コンタクト、ロケーションの設定
set snmp name name
set snmp contact string
set snmp location string
◆ 設定例 : SNMPのシステム名に"SSG5-1"、コンタクトに"cool@infraexpert.com"、ロケーションに"Tokyo"とする
SSG5-> set snmp name SSG5-1
SSG5-> set snmp contact cool@infraexpert.com
SSG5-> set snmp location Tokyo
【SSG - 管理設定 : SYSLOG】
◆ SYSLOGサーバの指定、Security Facility、Facilityの指定
set syslog config ip-address facilities security-facility facility
◆ 設定例 : SYSLOGサーバを“10.1.1.1”に指定し、セキュリティファシリティとファシリティを“local0”に指定
SSG5-> set syslog config 10.1.1.1
SSG5-> set syslog config 10.1.1.1 facilities local0 local0
※ SSGのAttackに関するログは"security-facility"のファシリティ、通常のログは"facility"のファシリティとして送信される。
◆ SYSLOGサーバへのログの送信設定
set syslog config 10.1.1.1 log [ all | event | idp | traffic ]
⇒ 「 all 」 は"eventログ"と"trafficログ"の両方指定を意味する(かなりの負荷)。通信ログをだけ送信したい場合 「traffic」 を指定。
◆ 設定例 : SYSLOGサーバ “10.1.1.1” に "eventログだけ" を送信する ( デフォルトの設定 )
SSG5-> set syslog config 10.1.1.1 log event
SYSLOGの有効化
SSG5-> set syslog enable
SSG - 管理設定 : アラームしきい値の設定
◆ CPU使用率、メモリ使用率、セッションのアラームしきい値の設定
set alarm threshold cpu percent
set alarm threshold memory percent
set alarm threshold session [ percent percent | count number ]
◆ 設定例 : CPU使用率、メモリ使用率、セッション数使用率をそれぞれ70%に設定し、それを超えた場合アラームを出す設定
SSG5-> set alarm threshold cpu 70
SSG5-> set alarm threshold memory 70
SSG5-> set alarm threshold session percent 70
【SSG - ゾーンの作成と設定】
デフォルトで作成されているセキュリティゾーンだけを使用するなら、以下のゾーンの作成は必要はない。
◆ ゾーンの作成
set zone name zone [ L2 | tunnel ]
◆ 設定例 : Layer3セキュリティゾーン “TEST1” を作成
SSG5-> set zone name TEST1
◆ 設定例 : Layer2セキュリティゾーン “L2-TEST1” を作成 (L2セキュリティゾーン作成の場合、名前の先頭に "L2-" をつける )
SSG5-> set zone name L2-TEST1 L2
◆ バーチャルルータへのゾーンの割り当て
ゾーンを作成するとデフォルトで "trust-vr" のバーチャルルータにそのゾーンが自動的に割り当てられる。
従い、"trust-vr"の割り当てのままでOKなら、バーチャルルータへのゾーンの割り当てという設定は不要。
一般的はありませんが、例えば、"trust-vr"ではなく"untrust-vr"に設定したい場合は以下の設定を行う。
◆ 設定例 : “TEST1” のゾーンを"untrust-vr"のバーチャルルータに割り当て ( 通常、このような設定はしない )
SSG5-> set zone TEST1 vrouter untrust-vr
ゾーンが作成されると、デフォルトで以下のL3セキュリティゾーンにおけるトラフィック制御の設定では
"tcp-rst"が適用されることになる。これは"Trust"ゾーンに適用されている設定と同じです。したがって
特に以下の内容の制御を行う必要がない場合は以下の設定を行う必要がありません。しかし、例えば
このゾーンでDHCPリレーを行わないようにしたい場合は、以下のような設定例のコマンドを設定します。
◆ L3セキュリティゾーンにおけるトラフィック制御
set zone zone [ asymmetric-vpn | block | no-dhcp-relay | reassembly-for-alg | tcp-rst ]
CLI WebUIに該当する項目 チェックがある場合の動作
block Block Intra-Zone Traffic 同じセキュリティゾーン内のホスト間のトラフィックをブロック。
no-dhcp-relay No DHCP Relay このゾーンでDHCPリレーを行わないようにする。
reassembly-for-alg TCP/IP Reassembly for ALG 検査される前にフラグメント化されたHTTPとFTPパケットを再組立て
tcp-rst If TCP non SYN, send RESET back SYN以外のTCPフラグのパケット送るホストへ"RESET TCP"を送信
◆ 設定例 : “TEST1” のゾーンでDHCPリレーを行わないようにする設定
SSG5-> set zone TEST1 no-dhcp-relay
【SSG - インターフェースの設定】
◆ ゾーンへのインターフェースの割り当て
set interface interface zone zone
◆ 設定例 : "TEST1"のゾーンに "ethernet0/6" を割り当てる
SSG5-> set interface ethernet0/6 zone TEST1※ SSG5ではデフォルトでe0/6が"bgroup0"に割り当てられており、上記設定前に unset interface bgroup0 port e0/6 と入力
◆ インターフェースへのIPアドレスの設定
set interface interface ip ip-address/netmask
◆ 設定例 : "ethernet0/6"に"172.16.1.1/24"のIPアドレスを割り当てる
SSG5-> set interface ethernet0/6 ip 172.16.1.1/24
◆ インターフェースモードの設定
set interface interface [ route | nat ]
◆ 設定例 : "ethernet0/6"をL3の"Routeモード"にする
SSG5-> set interface ethernet0/6 route
◆ 管理アクセスできるようにするための設定
set interface interface ip manageable
◆ 設定例 : "ethernet0/6"に管理アクセスできるようにするための設定
SSG5-> set interface ethernet0/6 ip manageable
◆ 管理アクセスするIPアドレスをインターフェースのIPアドレスとは別にする設定
set interface interface manage-ip ip-address
◆ 設定例 : "ethernet0/6"に管理アクセスするIPアドレスを"172.16.1.2/24"
SSG5-> set interface ethernet0/6 manage-ip 172.16.1.2
◆ 管理アクセスする際に許可するプロトコル
set interface interface manage [ ping | ssh | telnet | snmp | ssl | web | ident-reset ]
◆ 設定例 : "ethernet0/6"にWebUIによる管理アクセスを許可する設定
SSG5-> set interface ethernet0/6 manage web
◆ speed / duplex の設定 ( デフォルトは auto/auto )
set interface interface phy [ auto | full | half ] [ 10mb | 100mb | 1000mb ]
◆ 設定例 : "ethernet0/0"を speed 100、duplex full とする設定
SSG5-> set interface ethernet0/0 phy full 100mb
SSGへSSHで管理アクセスするためには、set interface interface manage ssh コマンドの設定だけでなく
SSHのバージョン指定、SSHの有効化の設定が必要となる。以下はSSHv2指定、SSH有効化の設定です。
SSG5-> set ssh version v2
SSG5-> set ssh enable
ステータス確認コマンド 説明
get interface インターフェースの情報の概要を確認。[ Ciscoでいう show ip int brief ]
get counter statistics interface "interface" インターフェースカウンタの確認。物理レイヤーの問題を特定できる。
get counter flow interface "interface" トラフィックフローに割り当てられたパケットのカウンタを確認できる。
clear counter all get counter statistics int と get counter flow inter のカウンタをクリア。
get log event システムイベントの日付、時刻、レベル、ログ内容の表示。[ Ciscoでいうsh log ]
【SSG - ポリシーの設定 その1】
SSGは、ゾーンをまたぐトラフィックはポリシーによって制御する。デフォルトでは、"Trust"から"Untrust"
ゾーンへのトラフィックは全て許可するというポリシーが1つ設定されている。その設定が以下の一行です。
なお"Trust"から"Untrust"へ送出されたトラフィックの戻り( "Untrust"から"Trust"へ )のトラフィックは
自動的に許可されます。このファイアウォール機能は、「ステートフルインスペクション」と呼ばれている。
SSG5-> set policy id 1 from Trust to Untrust Any Any ANY permit
ポリシーを設定する前に、IPアドレスまたはネットワークセグメントを示すアドレスブックを作成します。
デフォルトでは、"Any"というアドレスブックが作成されており、"Any"は全てのネットワークを意味する。
アドレスブックはゾーンごとに作成する必要がある。つまり、この"Any"もゾーンごとに作成されている。
◆ ① アドレスブックの作成
set adress zone name ipaddress/mask
◆ 設定例 : “TEST1” ゾーンで使用する、"172.16.1.0/24"を示す"SALESNW"、"172.16.2.0/24"を示す"ENGINW"を作成
SSG5-> set address TEST1 SALESNW 172.16.1.0 255.255.255.0
SSG5-> set address TEST1 ENGINW 172.16.2.0 255.255.255.0
◆ ② アドレスグループの作成
set group address zone addressbook add addressbook
◆ 設定例 : “TEST1” ゾーンで使用する、"SALESNW"と"ENGINW"のアドレスブックを " TOKYONW " に束ねるアドレスグループ
SSG5-> set group address TEST1 TOKYONW add SALESNW
SSG5-> set group address TEST1 TOKYONW add ENGINW
◆ ③ ポリシーの作成
set policy id number from zone to zone source-address dest-address service [ deny | nat | permit | reject | tunnel ]
◆ 例1 : "TEST1"から"Untrust"ゾーンへ、送信元アドレスの"SALESNW (172.16.1.0/24)"の通信を許可
SSG5-> set policy id 2 from TEST1 to Untrust SALESNW Any ANY permit
◆ 例2 : "TEST1"から"Untrust"ゾーンへ、送信元"SALESNW (172.16.1.0/24)"から宛先"SECNW (10.1.1.0/24) の通信を許可
SSG5-> set policy id 3 from TEST1 to Untrust SALESNW SECNW ANY permit
◆ 例3 : "TEST1"から"Untrust"ゾーンへ、送信元の"TOKYONW ( = 172.16.1.0/24 と 172.16.2.0/24 ) からの通信を許可
SSG5-> set policy id 4 from TEST1 to Untrust TOKYONW ANY ANY permit
なお、作成したポリシーの順序を変えたい場合は set policy move コマンドを使用します。例えば、ポリシー
ID "1"のポリシーの順序を、ポリシーID"2"の後にしたい場合は、以下のコマンドを入力します。また例えば
ポリシーID"3"をポリシーID"1"より前の順序にしたい場合は、set policy move 3 before 1 のように入力する。
SSG5-> set policy move 1 after 2
【SSG - ポリシーの設定 その2 ( サービスの設定 )】
"TEST1"ゾーンから"Untrust"ゾーンへ、送信元アドレス"SALESNW (172.16.1.0/24)"からのHTTP通信を許可する設定は以下。
SSG5-> set policy id 1 from TEST1 to Untrust SALESNW Any HTTP permit
◆ カスタムサービスの作成
set service name protocol [tcp | udp | icmp | number] src-port port-range dst-port port-range
◆ 設定例 : “ POP3S ” という名前で、TCP通信の送信元ポート番号 ( 0-65535 )、宛先ポート番号 ( 995 ) を作成
SSG5-> set service POP3S protocol tcp src-port 0-65535 dst-port 995-995
また、1つのサービスに対して、複数のポート番号を束ねたい場合は" + "キーワードを使用します。
以下は、宛先TCPポート80、8080、8888を"MYWEB"という1つのサービス名に束ねている設定です。
SSG5-> set service MYWEB protocol tcp src-port 0-65535 dst-port 80-80
SSG5-> set service MYWEB + tcp src-port 0-65535 dst-port 8080-8080
SSG5-> set service MYWEB + tcp src-port 0-65535 dst-port 8888-8888
SSG - ポリシーの設定 その2 ( サービスグループの設定 )
複数のPre-defined Serviceやカスタムサービスは1つのグループ( カスタムサービスグループ )にできる。
◆ カスタムサービスグループの作成
set group service group-name add member-name
◆ 設定例 : “ HTTP-HTTPS ” という名前で、Pre-defined Serciceである「HTTP」と「HTTPS」を1つにグループ化
SSG5-> set group service HTTP-HTTPS add HTTP
SSG5-> set group service HTTP-HTTPS add HTTPS
カスタムサービスグループの作成でプロトコルを束ねていく方法以外に、マルチセルポリシーという手法で
プロトコルを束ねていく方法もあります。例えば以下の設定は、SALES(192.168.1.0/24)のクライアントPCが
DNS、FTP、HTTP、mail、PINGなどのサービスを利用してインターネットに通信するための設定となります。
SSG5-> set policy id 5 from Trust to Untrust SALES any dns permit
SSG5-> set policy id 5
SSG5(policy:5)-> set service ftp
SSG5(policy:5)-> set service http
SSG5(policy:5)-> set service https
SSG5(policy:5)-> set service mail
SSG5(policy:5)-> set service POP3
SSG5(policy:5)-> set service ping
SSG5(policy:5)-> exit
SSG - トラフィックログとカウンタ
作成されているポリシーに対して、トラフィックログとカウンターを確認できるようにポリシーを設定できます。
先ず、作成したポリシーのIDを確認するため、get policy でIDの情報(例えば3)を得て以下の設定をする。
SSG5-> set policy id 3
SSG5(policy:3)-> set log
SSG5(policy:3)-> set count
SSG5(policy:3)-> exit
確認コマンド 説明
get log traffic 該当ポリシーにヒットしたトラフィックログの確認
get counter policy 3 second 該当ポリシーにヒットしたカウンター表示の確認
【 SSG - ポリシーによるWebAUTHの設定】
一般的に使用されていませんが、SSGではWeb認証を設定することができます。PCが通信を開始する前に
SSGへWebアクセスしてWebブラウザ上でユーザ名とパスワードを入力し、認証に成功すれば通信ができる。
SSG5-> set user TEST1 password TEST1
SSG5-> set webauth banner success "WEBAUTH SUCCESS"
SSG5-> set interface ethernet0/1 webauth
SSG5-> set interface ethernet0/1 webauth-ip 192.168.0.250
SSG5-> set policy from Trust to Untrust SOUMU Any ANY permit webauth
⇒ http://192.168.0.250 にアクセスし、ユーザ名(TEST1)、パスワード(TEST1)を入力した後、TrustからUntrustへ通信できる。
⇒ get user TEST1 や get auth table により、認証情報を確認することができる。
【NAT-src の種類と設定方法】
NAT-src には以下の4種類があるが、一般的に使用されるのは「DIPアドレスなしのNAT-src」となります。
NAT-src は単にDIP( Dynamic IP )とも呼ばれます。WebUIの設定項目ではNAT-srcではなく"DIP"とある。
◆ DIPアドレスなしのNAT-src
set policy from zone to zone source-ip dest-ip service nat src permit
◆ 設定例 : "Trust"から"Untrust"ゾーンへ転送される送信元が"SALESNW = 172.16.1.0/24"は、Egress I/F のIPに変換
SSG5-> set policy from Trust to Untrust SALESNW any any nat src permit
◆ ポート変換のあるDIPアドレスプール
set interface interface dip number start-address end-address
set policy from zone to zone source-ip dest-ip service nat src dip-id number permit
◆ 設定例 : "Trust"から"Untrust"へ転送される送信元が"SALESNW "のトラフィックは、1.1.1.1~1.1.1.10 に変換(ポートも変換)
SSG5-> set interface ethernet0/0 dip 5 1.1.1.1 1.1.1.10
SSG5-> set policy from Trust to Untrust SALESNW any any nat src dip-id 5 permit
◆ ポート変換のないDIPアドレスプール
set interface interface dip number start-address end-address fix-port
set policy from zone to zone source-ip dest-ip service nat src dip-id number permit
◆ 設定例 : "Trust"から"Untrust"へ転送されるが送信元が"SALESNW"のトラフィックは 1.1.1.1~1.1.1.10 に変換(ポートは固定)
SSG5-> set interface ethernet0/0 dip 5 1.1.1.1 1.1.1.10 fix-port
SSG5-> set policy from Trust to Untrust SALESNW any any nat src dip-id 5 permit
◆ DIPアドレスシフティング
set interface interface name dip number shift-from private-address to start-address end-address
set policy from zone to zone source-ip dest-ip service nat src dip-id number permit
◆ 設定例 : "Trust"から"Untrust"へ転送されるトラフィックで、"192.168.1.5 は 1.1.1.5 へ"、"192.168.1.6 は 1.1.1.6 へ" NAT変換
SSG5-> set interface ethernet0/0 dip 5 shift-from 192.168.1.5 to 1.1.1.5 1.1.1.6
SSG5-> set policy from Trust to Untrust Any Any any nat src dip-id 5 permit
【NAT-dst の種類と設定方法】
NAT-dst の種類 説明
1対1 マッピング 1つのグローバルIPアドレスを、1つのプライベートIPアドレスにマッピング。
1対多 マッピング 1つのグローバルIPアドレスを、宛先ポートに基づいて、複数のプライベートIPアドレスにマッピング。
多対多 マッピング アドレスシフティングで、グローバルIPアドレスのグループを連続したプライベートIPアドレスの範囲にマップ。
ポート変換 静的にポートマッピングすることで、ポート変換をNAT-dst構成で適用。
作成手順①:アドレスブック作成。外部からアクセスするグローバルIPアドレスを定義したアドレスブック作成。
作成手順②:到達可能にするためのスタティックルートの作成。SSGパケットフロー図の説明通り、着信した
パケットに対して、アドレス変換する前にルーティングテーブルを参照します。従って、アドレス変換前である
アドレス(ネットワーク)に対するルーティングエントリが存在する必要があります。そこで、ルーティング設定
において、プライベートアドレスが設定されたI/FをアウトバウンドI/Fとしたルーティングを設定する必要がある。
SSG5-> set address Trust PUBHTTP 1.1.1.10/32
SSG5-> set route 1.1.1.10/32 interface ethernet0/2
作成手順③:ポリシーの作成。以下の4種類がある。
◆ 1対1 マッピング
set policy from zone to zone source-ip dest-ip service nat dst ip ip-address permit
SSG5-> set policy from EXTERNAL to Trust any PUBHTTP http nat dst ip 192.168.1.10 permit
◆ 1対多 マッピング ( VIP機能に類似。上記の"1対1マッピング"を複数記述することを意味する )
set policy from zone to zone source-ip dest-ip service nat dst ip ip-address permit
SSG5-> set policy from EXTERNAL to Trust any PUBHTTP http nat dst ip 192.168.1.10 permit
SSG5-> set policy from EXTERNAL to Trust any PUBHTTP ftp nat dst ip 192.168.1.11 permit
◆ 多対多 マッピング
set policy from zone to zone source-ip dest-ip service nat dst ip start-ip end-ip
SSG5-> set policy from EXTERNAL to Trust any RANHTTP http nat dst ip 192.168.1.10 192.168.1.20 permit
◆ ポート変換
set policy from zone to zone source-ip dest-ip service nat dst ip ip-address port number permit
SSG5-> set policy from EXTERNAL to Trust any PUBHTTP http nat dst ip 192.168.1.10 port 8080 permit
【 VIP の設定方法】
◆ ① UntrustゾーンのインターフェースでVIPアドレスの設定
set interface interface vip global-ip port service private-ip
⇒ 設定例の前提は "set admin port number"コマンドで、SSGへのHTTPの管理アクセスのポート番号を変えておくこと。例えば
set admin port 8888 と設定し、SSGへ"http://x.x.x.x:8888/"としてHTTPの管理アクセスできるようになり、一方で、VIP通信のために
ポート"80"を使用できる。この設定がなければ右記が表示 ⇒ Not supported service: (ip:x.x.x.x/port:80) is for management of the box.
また、以下のようにポート53を指定する場合はDNSプロキシを有効にしている場合 ( set dns proxy enable ) は無効化する必要がある。
◆ 設定例
SSG5-> set interface ethernet0/0 vip 1.1.1.10 80 http 192.168.1.11
SSG5-> set interface ethernet0/0 vip 1.1.1.10 53 dns 192.168.1.12
※ VIPのIPアドレスにSSGのインターフェースのIPを指定した場合、set int ethernet0/0 vip interface-ip の構文に自動変換される。
◆ 設定例
SSG5-> set interface ethernet0/0 vip 1.1.1.10 80 http 192.168.1.11
SSG5-> set interface ethernet0/0 vip 1.1.1.10 53 dns 192.168.1.12
※ VIPのIPアドレスにSSGのインターフェースのIPを指定した場合、set int ethernet0/0 vip interface-ip の構文に自動変換される。
◆ ② ポリシーの設定
set policy from zone to zone source-ip VIP(address) service permit
◆ 設定例
SSG5-> set policy from Untrust to Global any VIP(ethernet0/0) HTTP permit
SSG5-> set policy from Untrust to Global any VIP(ethernet0/0) DNS permit
◇ 1.1.1.1/24がTrustゾーンのインターフェースにバインドされているので以下の設定でもOK
SSG5-> set policy from Untrust to Trust any VIP(ethernet0/0) HTTP permit
SSG5-> set policy from Untrust to Trust any VIP(ethernet0/0) DNS permit
※ VIPがSSGのI/FのIPでない場合、上記コマンドの"VIP(ethernet0/0)"のところを、"VIP(1.1.1.10)"という書き方に変えます。
【MIP の設定方法】
◆ ① MIPアドレスの定義 ( 一般的にUntrust(グローバル)ネットワークのインターフェースで設定 )
set interface interface mip global-ip host private-ip netmask netmask vr vr
◆ 設定例
SSG5-> set interface ethernet0/0 mip 1.1.1.2 host 192.168.1.11 netmask 255.255.255.255 vr trust-vr
SSG5-> set interface ethernet0/0 mip 1.1.1.3 host 192.168.1.12 netmask 255.255.255.255 vr trust-vr
◆ ② ポリシーの設定 ( 正確には、どのトラフィックにおいてMIPを有効化し、MIPアドレスへの変換プロセス起動させるか )
set policy from zone to zone source-ip MIP(address) service permit
◆ 上図の設定例 ( Globalゾーンとは仮想IPアドレスで使用するゾーン )
SSG5-> set policy from Untrust to Global any MIP(1.1.1.2) HTTP permit
SSG5-> set policy from Untrust to Global any MIP(1.1.1.3) DNS permit
◇ 1.1.1.0/28がTrustゾーンのインターフェースにバインドされているので以下の設定でもOK
SSG5-> set policy from Untrust to Trust any MIP(1.1.1.2) HTTP permit
SSG5-> set policy from Untrust to Trust any MIP(1.1.1.3) DNS permit
【MIPの設定を深く理解するために・・・Globalゾーンとは】
SSG5-> set interface ethernet0/0 mip 2.2.2.2 host 192.168.1.11
SSG5-> set interface ethernet0/0 mip 2.2.2.3 host 192.168.1.12
SSG5-> set policy from Untrust to Global Any MIP(2.2.2.2) HTTP permit
SSG5-> set policy from Untrust to Global Any MIP(2.2.2.3) DNS permit
SSG5-> set interface ethernet0/0 zone Untrust
SSG5-> set interface ethernet0/0 ip 10.1.1.1/24
SSG5-> set interface ethernet0/0 route
SSG5-> set interface ethernet0/1 zone Trust
SSG5-> set interface ethernet0/1 ip 192.168.1.1/24
SSG5-> set interface ethernet0/1 route
SSG5-> set interface ethernet0/0 mip 10.1.1.5 host 192.168.2.10
SSG5-> set policy from Untrust to Global Any MIP(10.1.1.5) HTTP nat src permit
上記コンフィグの場合、10.1.2.0/24のネットワークから通信のみに上図のトラフィックフローとなります。
いわゆる双方向NAT(Twice NAT)を行いたい場合は、上記設定とシンメトリーになるように設定をする。
以下のコンフィグは、192.168.2.10/24がクライアントPC、10.1.2.10がWebサーバという想定としています。
※ インターフェースの設定は当然ながら同じとなりますので、MIPとポリシー設定の部分だけの抜粋です。
これにより192.168.2.10/24から発信した場合、上図のトラフィックフローが反転します。(アドレスは異なる)
SSG5-> set interface ethernet0/1 mip 192.168.1.5 host 10.1.2.10
SSG5-> set policy from Trust to Global Any MIP(192.168.1.5) HTTP nat src permit
【スタティックルーティングの設定】
下記構文のなかにバーチャルルータを指定するコマンドがあるが、省略した場合、デフォルトで"trust-vr"
のバーチャルルータが選択される。従って、一般的には "vrouter name" 部分の設定は必要ありません。
"interface interface"のinterfaceでは、パケットが送出されるアウトプットインターフェースを指定します。
※ ルーティングを設定した後は、ゾーン間でトラフィックが許可されるポリシーを設定することを忘れずに。
◆ スティックルートの設定
set [ vrouter name ] route dest-network/mask interface interface gateway nexthop-address
◆ スタティックルートの設定例
SSG5-> set route 10.1.2.0/24 interface ethernet0/6 gateway 10.1.1.254
◆ デフォルトルートの設定例
SSG5-> set route 0.0.0.0/0 interface ethernet0/0 gateway 1.1.1.2
ルーティングテーブルにおける優先度は [ Connected = 0 ] [ Static = 20 ] [OSPF = 60 ] [ RIP = 100 ] と
デフォルトで定義されています。つまり、同じ宛先に対してOSPFとRIPとで経路情報を学習している場合は
デフォルトではOSPFで学習した経路情報を有線します。この優先度を変えたい場合は以下の設定をします。
◆ Preference値の設定
set [ vrouter name ] route dest-network/mask interface interface preference number
◆ Preference値の設定例 ( 10.1.2.0/24を宛先としたスタティックルートの優先度を"80"にする例 )
SSG5-> set route 10.1.2.0/24 interface ethernet0/6 preference 80
RIP の設定
(1) RIPインスタンスの作成
先ず、バーチャルルータ上にRIPルーティングインスタンスを作成して、RIPを使用可能な状態にします。この
設定により、RIPが有効になっているVR上の各インターフェースとRIPパケットがやりとりできるようになります。
◆ RIPルーティングインスタンスの設定
set vrouter vrouter protocol rip
set vrouter vrouter protocol rip enable
◆ "trust-vr"のバーチャルルータでRIPインスタンスを作成し有効化する設定
SSG5-> set vrouter trust-vr protocol rip
SSG5-> set vrouter trust-vr protocol rip enable
(2) RIPのインターフェースで有効化
デフォルトでは、全てのインターフェースでRIPは無効化されています。そのため、RIPパケットを送受信したい
インターフェースを明示的に指定して有効化させる必要があります。
◆ RIPルーティングインスタンスの設定
set interface interface protocol rip enable
◆ "ethernet0/6"のインターフェースでRIPを有効化する設定
SSG5-> set interface ethernet0/6 protocol rip enable
(3) RIPのバージョン指定(オプション設定)
デフォルトでは、バーチャルルータにはRIPversion2が有効化されていますが、これを変更することができる。
また、RIPが有効化されたインターフェースごとにバージョンを設定することができる。インターフェースごとに
設定されたデフォルトのバージョンも送信、受信ともに RIPversion2 です。SSG間の接続であればバージョン
を変更する必要はないが、Ciscoと接続する場合、Ciscoは受信バージョンが [v1v2]、送信バージョンが [v1]
なので、SSG側で受信を [ v1] または [ v1v2 ] にし、相互に送信と受信バージョンを一致させる必要がある。
◆ バーチャルルータのRIPバージョンの設定
set vrouter vrouter protocol rip version [ v1 | v2 ]
◆ "trust-vr"でRIP version 2を有効化する設定
SSG5-> set vrouter trust-vr protocol rip version v2
◆ RIPが有効なインターフェースでのRIPバージョンの設定
set interface interface protocol rip send-version [ v1 | v2 | v1v2 ]
set interface interface protocol rip receive-version [ v1 | v2 | v1v2 ]
◆ "ethernet0/6"で送信、受信ともに [ v1v2 ] にする設定
SSG5-> set interface ethernet0/6 protocol rip send-version v1v2
SSG5-> set interface ethernet0/6 protocol rip receive-version v1v2
get vrouter vrouter protocol rip config RIPのコンフィグの抜粋情報の表示
get vrouter vrouter protocol rip database destination/mask RIPデータベースの表示
get vrouter vrouter protocol rip RIPの詳細情報の表示
get vrouter vrouter protocol rip neighbors RIPのネイバールータの表示
get interface interface protocol rip 特定のインターフェースにおけるRIPの詳細表示
【OSPF の設定】
(0) バーチャルルータのルータIDの設定
◆ バーチャルルータのルータIDの設定
set vrouter vrouter router-id ipv4address
◆ "trust-vr"のバーチャルルータのルータIDを "192.168.1.1"とする設定
SSG5-> set vrouter trust-vr router-id 192.168.1.1
(1) OSPFインスタンスの作成
先ず、バーチャルルータ上にOSPFルーティングインスタンスを作成して、OSPFを使用可能な状態にします。
これにより、OSPFが有効になっているVR上の各インターフェースとOSPFパケットがやりとりできるようになる。
◆ OSPFルーティングインスタンスの設定
set vrouter vrouter protocol ospf
set vrouter vrouter protocol ospf enable
◆ "trust-vr"のバーチャルルータでRIPインスタンスを作成し有効化
SSG5-> set vrouter trust-vr protocol ospf
SSG5-> set vrouter trust-vr protocol ospf enable
(2) OSPFエリアの作成
OSPFルーティングインスタンスを作成した時点で、自動的にバックボーンエリア(0.0.0.0)も作成されますが
それ以外のエリアを使用する場合は、手動で作成する必要があります。
◆ OSPFエリアの作成
set vrouter vrouter protocol ospf area number
◆ "trust-vr"のバーチャルルータにOSPFエリア"10"を作成
SSG5-> set vrouter trust-vr protocol ospf area 0.0.0.10
(3) OSPFエリアのインターフェースへの割り当て
作成したOSPFエリアは、インターフェースに割り当てる必要があります。
◆ OSPFエリアのインターフェースへの割り当て
set interface interface protocol ospf area number
◆ " ethernet0/6 "にOSPFエリア "0 "を割り当て、" bgroup0 " にOSPFエリア "10"を割り当て
SSG5-> set interface ethernet0/6 protocol ospf area 0.0.0.0
SSG5-> set interface bgroup0 protocol ospf area 0.0.0.10
(4) インターフェース上でのOSPF有効化
OSPFエリアを適用したインターフェースで、OSPFを有効化することでルーティングテーブルが形成される。
◆ インターフェース上でのOSPFの有効化
set interface interface protocol ospf enable
◆ " ethernet0/6 "と " bgroup0 "のインターフェースでOSPFを有効化する設定
SSG5-> set interface ethernet0/6 protocol ospf enable
SSG5-> set interface bgroup0 protocol ospf enable
OSPFステータス確認コマンド 説明
get vrouter vrouter protocol ospf config OSPFのコンフィグの抜粋情報の表示
get vrouter vrouter protocol ospf OSPFの詳細情報の表示
get vrouter vrouter protocol ospf neighbor OSPFのネイバールータの表示
get vrouter vrouter protocol ospf interface 有効化されたインターフェースの稼働状態の表示
get interface interface protocol ospf 特定のインターフェースにおけるOSPFの詳細表示
【HAの物理構成】
NSRPによりHA構成を組む場合、HA用の専用インターフェースを設けて機器間を直結させるの一般的です。
機種によっては、HA専用インターフェースがありますが、ない場合は、デフォルトで存在する"HA"ゾーンに
インターフェースを割り当て、HA専用インターフェースする。HAは通常2つのリンクで構成する(1リンクも可)。
HAリンクでは、HAを維持するためのコントロールリンクメッセージとデータリンクメッセージがやりとりされる。
◆ HAゾーンへのインターフェースの割り当て
set interface interface zone HA
◆ 設定例 : "ethernet0/5" と"ethernet0/6" の割り当て
SSG5-> set interface ethernet0/5 zone HA
【NSRPの設定 ( アクティブ/パッシブ構成 )】
◆ ① クラスタの作成
set nsrp cluster id number
◆ 設定例 : クラスタ 1 の作成
SSG5-> set nsrp cluster id 1
◆ ② RTO同期の有効化
SSG5-> set nsrp rto-mirror sync
◆ ③ NSRPクラスタにおける認証/暗号化設定 ( オプション : HAリンクが直結する構成では不要 )
set nsrp auth password password
set nsrp encrypt password password
◆ 設定例 : NSRAPクラスタの機器間の認証.、暗号のパスワードに "juniper" とする
SSG5-> set nsrp auth password juniper
SSG5-> set nsrp encrypt password juniper
◆ ④ NSRPクラスタ名の設定 ( オプション : クラスタの全メンバーに1つの名前を定義したい場合に使用)
set nsrp cluster name name
⇒ NSRPクラスタは、各々が異なるホスト名を持てるが、切替り時にSNMP通信やデジタル証明書の有効性を阻害される場合がある
◆ 設定例 : クラスタ名に"SSG5-AAA"とする
SSG5-> set nsrp cluster name SSG5-AAA
◆ ⑤ VSDグループのID、VSDグループの優先順位の設定
set nsrp vsd-group id id prirority prirority
⇒ NSRPの構成では、"0"に近い優先順位番号を持つVSDグループのメンバーがアクティブ機になる。デフォルト値は"100"。
◆ 設定例 : VSDグループを"0"にし、優先順位の値を"1"にする
SSG5-> set nsrp vsd-group 0
SSG5-> set nsrp vsd-group 0 prirority 1
◆ ⑥ プレエンプトの設定
set nsrp vsd-group id id preempt
⇒ アクティブ機に障害発生後、再びアクティブ機が正常になった場合に自動的に切り戻るためにはpreemptの設定が必要。
◆ 設定例 : VSDグループを"0"において、preemptを有効化する
SSG5-> set nsrp vsd-group id 0 preempt
◆ ⑦ フェールオーバーを遅らせる設定
set nsrp vsd-group id id preempt hold-down seconds
⇒ ネットワーク全体の収束に合わせ、切り戻る時間の遅延をhold-downで調整できる。(オプション)
◆ 設定例 : VSDグループを"0"において、preemptを有効化し、hold-downタイムを10秒とする設定
SSG5-> set nsrp vsd-group id 0 preempt hold-down 10
◆ ⑧ 監視インターフェース、ゾーン、Track IPの設定 ( 以下の3つのうち、よく使用されるのはインターフェーストリガーです )
set nsrp vsd-group id id monitor interface interface weight value
⇒ NSRPによるHAでは、インターフェースに障害が発生した場合にフェールオーバーが発生するように設定できる。
◆ 設定例 : VSDグループ"0"で、"ethernet0/0"または"ethernet0/2"のどちらかで障害が発生した場合にフェールオーバー
SSG5-> set nsrp vsd-group id 0 monitor interface ethernet0/0
SSG5-> set nsrp vsd-group id 0 monitor interface ethernet0/2
set nsrp vsd-group id id monitor zone zone weight value
⇒ NSRPによるHAでは、ゾーンそのもにに障害が発生した場合にフェールオーバーが発生するように設定できる。
SSG5-> set nsrp vsd-group id 0 monitor zone TRUST
set nsrp monitor track-ip ip address weight value
⇒ NSRPによるHAでは、PING監視しているIPの応答がなくなった場合にフェールオーバーが発生するように設定できる。
SSG5-> set nsrp monitor track-ip ip 192.168.0.100
◆ ⑨ HAリンクの監視 ( オプション )
set nsrp ha-link probe interval seconds threshold seconds
◆ HAリンクの両方のI/Fに3秒間隔でプロ―プが送信し、4回連続しリクエストの応答がない場合にHAが動作していないと判断。
SSG5-> set nsrp ha-link probe interval 3 threshold 5
【NSRPの設定例 ( アクティブ/パッシブ構成 )
set hostname SSG5-1
set int ethernet0/0 ip 192.168.2.254/24
set int ethernet0/0 route
set int ethernet0/0 manage-ip 192.168.2.1
set int ethernet0/0 ip manageable
set int bgroup0 port ethernet0/2
set int bgroup0 ip 192.168.1.254/24
set int bgroup0 route
set int bgroup0 manage-ip 192.168.1.1
set int bgroup0 ip manageable
set interface ethernet0/5 zone HA
set interface ethernet0/6 zone HA
set nsrp rto-mirror sync
set nsrp cluster id 1
set nsrp vsd-group id 0
set nsrp vsd-group id 0 priority 1
set nsrp vsd-group id 0 preempt
set nsrp vsd-group id 0 preempt hold-down 10
set nsrp vsd-group id 0 monitor int ethernet0/0
set nsrp vsd-group id 0 monitor int ethernet0/2
set hostname SSG5-2
set int ethernet0/0 ip 192.168.2.254/24
set int ethernet0/0 route
set int ethernet0/0 manage-ip 192.168.2.2
set int ethernet0/0 ip manageable
set int bgroup0 port ethernet0/2
set int bgroup0 ip 192.168.1.254/24
set int bgroup0 route
set int bgroup0 manage-ip 192.168.1.2
set int bgroup0 ip manageable
set interface ethernet0/5 zone HA
set interface ethernet0/6 zone HA
set nsrp rto-mirror sync
set nsrp cluster id 1
set nsrp vsd-group id 0
set nsrp vsd-group id 0 priority 100
set nsrp vsd-group id 0 monitor int ethernet0/0
set nsrp vsd-group id 0 monitor int ethernet0/2
監視しているインターフェースのデフォルトの重み(weight)は255。NSRPフェールオーバーのしきい値は
255です。従って以下のように1つのインターフェースのしきい値を128にした場合、1つのインターフェースが
ダウンしてもNSRPのフェールオーバーは発生しません。以下の設定例では、ethernet0/1とethernet0/2の
両方がダウンすることによってフェールオーバーが発生します。1つのインターフェースダウンだけでNSRPの
切替りを発生させたくない場合の設定手法。I/Fを同じbridgeグループにまとめる場合によく使用される手法。
SSG320M-> set nsrp vsd-group id 0 monitor interface ethernet0/1 weight 128
SSG320M-> set nsrp vsd-group id 0 monitor interface ethernet0/2 weight 128
【L2モード ( 透過モード )】
◆ ユーザ定義のL2ゾーンの作成 ( デフォルトのゾーンだけを使用する場合は設定不要 )
set zone name zone L2
◆ 設定例 : Layer2ゾーン “L2-TEST1” を作成 (L2ゾーン作成の場合、名前の先頭に "L2-" をつける )
SSG5-> set zone name L2-TEST1 L2
L2モード(透過モード)の設定
◆ ① IPアドレスの削除
unset interface interface ip
◆ 設定例 : "bgroup0"と"ethernet0/0"のIPアドレスの削除
SSG5-> unset interface bgroup0 ip
SSG5-> unset interface ethernet0/0 ip
◆ ② 透過ゾーンの割り当て
set interface interface zone zone
※ 機種やバージョンにより1つのインターフェースに透過ゾーンを割り当てるだけで "Changed to L2/L3 mix mode" と表示されます。
※ SSGをL2モードとして動作させるためには、全てのインターフェースに透過ゾーンを割り当てる必要があります。全てに割り当て後、
"Changed to pure l2 mode"と表示すればL2モードへ移行完了。get system では "System in transparent mode." と表示される。
◆ 設定例 : "bgroup0"に"V1-Trust"を割り当てる設定、"ethernet0/0"に"V1-Untrust"を割り当てる設定
SSG5-> set interface bgroup0 zone V1-Trust
SSG5-> set interface ethernet0/0 zone V1-Untrust
③ 管理インターフェースの設定
set interface vlan1 ip address/mask
※ 管理インターフェースのIPアドレスとは別に管理用のIPアドレスを設定したい場合は"set interface vlan1 address"で設定
◆ 設定例 : VLAN 1 の管理インターフェースに"192.168.0.100"の割り当て
SSG5-> set interface vlan1 ip 192.168.0.100/24
④ 管理サービスの有効化
◆ 設定例 : 全ての管理サービスを有効化する設定
SSG5-> set interface vlan1 manage
◆ 設定例 : PING、Webアクセス、Telnetアクセスのみ有効化する設定
SSG5-> set interface vlan1 manage ping
SSG5-> set interface vlan1 manage web
SSG5-> set interface vlan1 manage telnet
⑤ ゾーンごとの管理アクセスの有効化
set zone zone manage service
◆ 設定例 : "V1-Trust"ゾーンからSSGのVLAN1インターフェースにping/web/telnetの管理アクセスを有効化
SSG5-> set interface V1-Trust manage ping
SSG5-> set interface V1-Trust manage web
SSG5-> set interface V1-Trust manage telnet
◆ ⑥ ブロードキャストの設定 ( オプション ) ・・・ 基本的にデフォルト値で問題ない
◆ MACテーブルにエントリがない場合、受信I/Fを除き、全ての透過モードI/Fに元のパケットが送出される(デフォルト設定)
SSG5-> set interface vlan1 broadcast flood
◆ MACテーブルにエントリがない場合、受信I/Fを除き、全てのインターフェースにARPリクエストが送出される
SSG5-> set interface vlan1 broadcast arp
◆ ⑦ ポリシーの作成
set policy id number from zone to zone source-address dest-address service [ deny | permit | reject ]
◆ 設定例 : "V1-Trust"ゾーンから、"V1-Untrust"ゾーンへ全ての通信を許可する設定
SSG5-> set policy from "V1-Trust" to "V1-Untrust" "Any" "Any" "ANY" permit
透過モードで確認すべきコマンド 説明
get interface そのインターフェースがL2モード(透過)であることを確認 ⇒ mode xparent
get arp L2モード、L3モードともにARPキャッシュを確認。L2モードの場合ゾーン名で表示。
get mac-learn MACアドレステーブルの確認。
get session セッションテーブルの確認。L2モード、L3モードともに確認できるコマンド。
【SSG - VLAN Routing】
VLANルーティング その2
SSGは、Ciscoルータと同じように1つの物理インターフェースに複数のサブインターフェースを作成できます。
従って、下図のような構成でVLANルーティングを行うこともできます。この構成の場合、サブインターフェース
ごとにゾーンを割り当てることになります。従って、異なるセグメント間ではポリシーによる制御を行える。この
構成の場合、1つの物理インターフェースを共有することになるので、アップリンクの帯域幅があまり使えない。
SSG5-> set zone name TRUNK
SSG5-> set interface ethernet0/4 zone TRUNK
SSG5-> set interface ethernet0/4.1 tag 10 zone TRUNK
SSG5-> set interface ethernet0/4.2 tag 20 zone TRUNK
SSG5-> set interface ethernet0/4.1 ip 10.1.1.1/24
SSG5-> set interface ethernet0/4.1 route
SSG5-> set interface ethernet0/4.2 ip 10.1.2.1/24
SSG5-> set interface ethernet0/4.2 route
異なるセグメント間の通信ですが、異なるセキュリティゾーン間の通信ではないので、ポリシーは不要です。
Catalystスイッチの設定は以下の通り、特別な設定はありません。
Catalyst(config)# vlan 10
Catalyst(config)# vlan 20
Catalyst(config)# interface FastEthernet0/1
Catalyst(config)# switchport mode access
Catalyst(config)# switchport access vlan 10
Catalyst(config)# interface FastEthernet0/2
Catalyst(config)# switchport mode access
Catalyst(config)# switchport access vlan 20
Catalyst(config)# interface GigabitEternet0/1
Catalyst(config)# switchport mode trunk
【SSG - Track-ip】
① スタティックルートの設定
正常時は、0.0.0.0/0 の宛先へのトラフィックは e0/0 から送出されるようにメトリックを低くします。
SSG-> set route 0.0.0.0/0 interface ethernet0/0 gateway 10.1.1.1 metric 10
SSG-> set route 0.0.0.0/0 interface ethernet0/1 gateway 10.1.2.1 metric 11
② 監視IPアドレス、しきい値の設定
SSGから1.1.1.2へ3回(interval値)のPING応答が得られなかった場合、インターフェースのトラッキングの
障害しきい値に10(weight値)が適用されます。この設定ではしきい値が5(threshold)であるため、障害時
この10のウェイト値が適用されると、しきい値を超えるので、SSGはこのI/Fのルートを非アクティブにします。
SSG-> set interface ethernet0/0 monitor track-ip ip
SSG-> set interface ethernet0/0 monitor track-ip ip 1.1.1.2 interval 3
SSG-> set interface ethernet0/0 monitor track-ip ip 1.1.1.2 threshold 1
SSG-> set interface ethernet0/0 monitor track-ip ip 1.1.1.2 weight 2
PPPoE接続の設定
【SSG - PPPoE Internet】
下図のPPPoEによるインターネット接続の設定方法を紹介。以下の(1)~(6)の流れで設定を行います。
(1) インターフェースの設定
SSGを設定する場合、①バーチャルルータの設定 ⇒ ②ゾーンの設定 ⇒ ③インターフェースの設定、という
順で設定していくが、デフォルトのバーチャルルータ ( turst-vr ) を使用して、デフォルトのゾーンを使用する
場合はいきなり③のインターフェース設定を行います。今回はSSG5のデフォルト設定をできる限り利用します。
◆ 今回使用するデフォルトの「ゾーン設定」と「インターフェース設定」
SSG5-> set zone Untrust vrouter trust-vr
SSG5-> set interface ethernet0/0 zone Untrust
SSG5-> set zone Trust vrouter trust-vr
SSG5-> set interface bgroup0 zone Trust
SSG5-> set interface bgroup0 port ethernet0/2
SSG5-> set interface bgroup0 ip 192.168.1.1/24
(2) PPPoEの設定
PPPoEは以下の項目に従い設定して、インターネット接続するWAN側インターフェース(e0/0)にバインドする。
PPPoE設定コマンド 説明
set pppoe name name PPPoE名の設定
set pppoe name name username username password password ISPから付与されたユーザ名とパスワードの設定
set pppoe name name interface interface PPPoE設定を割り当てるインターフェース
set pppoe name name authentication [ CHAP | PAP | any ] PPPoE認証の設定 ( デフォルトは any )
set pppoe name name idle time PPPoE接続の自動接続時間 ( 0 = 自動切断しない )
◆ PPPoEの設定例
SSG5-> set pppoe name MYPPPOE
SSG5-> set pppoe name MYPPPOE username test@plala.or.jp password testpass
SSG5-> set pppoe name MYPPPOE interface ethernet0/0
SSG5-> set pppoe name MYPPPOE authentication chap
SSG5-> set pppoe name MYPPPOE idle 0
(3) ポリシーの設定
ゾーン間のトラフィックはポリシーのチェックが行われます。今回の構成では、TrustゾーンからUntrustゾーンへ
通信が発生するのでポリシーでこの通信を許可する設定を行う必要があります。ただし、デフォルトでは以下の
設定が入っており、TrustゾーンからUntrustゾーンへのトラフィックは全て許可されています。UntrustからTrust
への戻りのトラフィックは、ステートフルインスペクションにより許可されるのでポリシーの設定は必要ありません。
◆ 今回使用するデフォルトの「ゾーン設定」と「インターフェース設定」
SSG5-> set policy id 1 from Trust to Untrust Any Any ANY permit
(4) アドレス変換の設定
今回の構成では、クライアントPCがインターネット通信する時は、送信元アドレスがプライベートアドレスなので
送信元アドレスをグローバルアドレスに変換する必要がある。アドレス変換にはインターフェースベースNATと
ポリシーベースNATがありますが、デフォルトで"bgroup0"は"NATモード"であり、インターフェースベースNAT
ができる状態になっている。一般的ではありませんが、今回は以下のデフォルトの設定を使用することにする。
◆ 今回使用するデフォルトの「 bgroup0 におけるNATモード 」
SSG5-> set interface bgroup0 nat
(5) ルーティングの設定
本来はデフォルトルートを設定する必要がありますが、PPPoE接続が成功した場合、PPPoEサーバをネクスト
ホップとしてデフォルトルートが自動的に取り込まれる。従ってPPPoE接続では設定する必要がないです。
なお、構文のなかにバーチャルルータを指定するコマンドがあるが、省略した場合は、デフォルトで"trust-vr"
のバーチャルルータが選択されます。従って、一般的には "vrouter name" 部分の設定は必要ありません。
◆ スティックルートの設定
set [ vrouter name ] route dest-network/mask interface interface gateway nexthop-address
◆ デフォルトルートの設定例
SSG5-> set route 0.0.0.0/0 interface ethernet0/0 gateway 1.1.1.2
(6) MTUの設定
◆ MTUの設定
set interface interface mtu size
◆ Bフレッツを接続するインターフェース"Untrust"でMTU1454とする設定
SSG5-> set interface ethernet0/0 mtu 1454
(7) MSSの設定
上記の通り、MTUについてはインターフェースごとに設定できるが、SSGの場合、MSS値についてはシステム
全体に対して適用する設定が必要となります。PPPoE環境にてMSSを変更しない場合はデフォルト値として、
"set flow all-tcp-mss 1304"が設定されます。MTU値が1454である場合、MSS値は1414にすることが正解
なのですが、デフォルト値の"1304"でも最適に通信ができる場合は変更する必要はありません。ちなみに、
"set flow tcp-mss"というコマンドはSSGを通過するVPNトラフィックに適用されるMSS値の変更コマンドです。
◆ MSSの設定
set flow all-tcp-mss number
◆ システム全体として、MSSサイズを"1414"にする設定
SSG5-> set flow all-tcp-mss 1414
(8) DHCPサーバの設定 (オプション設定)
SSGをDHCPサーバとして動作させて、クライアントPCにIPアドレスを割り当てる場合は、以下の設定をします。
ただし、以下の設定例はデフォルトでSSGに設定されている内容であり、今回はデフォルト設定を使用します。
※ PPPoE接続が成功すると、クライアントに付与するDNSサーバのIPアドレスが自動的にSSGに設定される。
DHCP設定コマンド 説明
set interface interface dhcp server service DHCPサーバを有効にしたい I/Fの指定
set interface interface dhcp server auto サーバモードを Auto に指定
set interface interface dhcp server option gateway next-hop 付与するデフォルトゲートウェイの設定
set interface interface dhcp server option netmask mask 付与するサブネットマスク
set interface interface dhcp server option dns1 ip-address 付与するプライマリDNSサーバアドレス
set interface interface dhcp server option dns2 ip-address 付与するセカンダリDNSサーバアドレス
set interface interface dhcp server option domainname name 付与するドメインサフィックス
set interface interface dhcp server option wins1 ip-address 付与するプライマリWINSサーバアドレス
set interface interface dhcp server option wins2 ip-address 付与するセカンダリWINSサーバアドレス
set interface interface dhcp server ip start to end 付与するIPアドレスのレンジ
set interface interface dhcp server ip address mac address 付与する固定IPアドレスとMACアドレスの指定
set interface interface dhcp server option lease time 付与するIPアドレスのリース期間
◆ DHCPサーバの設定例
SSG5-> set interface bgroup0 dhcp server service
SSG5-> set interface bgroup0 dhcp server auto
SSG5-> set interface bgroup0 dhcp server option gateway 192.168.1.1
SSG5-> set interface bgroup0 dhcp server option netmask 255.255.255.0
SSG5-> set interface bgroup0 dhcp server option dns1 2.2.2.1
SSG5-> set interface bgroup0 dhcp server option dns2 2.2.2.2
SSG5-> set interface bgroup0 dhcp server ip 192.168.1.33 to 192.168.1.126
つまり、(1)~(8)の流れの設定とはいえ、実質的には(2)の5行を設定するだけで、PPPoEによるインターネット
接続が問題なく行える、ということです。しかし、一般的にはインターフェースベースNATではなく、ポリシーベース
NATが使用される。ポリシーベースNATでは、どの送信元と宛先トラフィックをNAT変換するのか細かく設定可能。
◆ DHCPサーバの設定例
SSG5-> set interface bgroup0 dhcp server service
SSG5-> set interface bgroup0 dhcp server auto
SSG5-> set interface bgroup0 dhcp server option gateway 192.168.1.1
SSG5-> set interface bgroup0 dhcp server option netmask 255.255.255.0
SSG5-> set interface bgroup0 dhcp server option dns1 2.2.2.1
SSG5-> set interface bgroup0 dhcp server option dns2 2.2.2.2
SSG5-> set interface bgroup0 dhcp server ip 192.168.1.33 to 192.168.1.126
つまり、(1)~(8)の流れの設定とはいえ、実質的には(2)の5行を設定するだけで、PPPoEによるインターネット
接続が問題なく行える、ということです。しかし、一般的にはインターフェースベースNATではなく、ポリシーベース
NATが使用される。ポリシーベースNATでは、どの送信元と宛先トラフィックをNAT変換するのか細かく設定可能。
PPPoE接続で確認すべきコマンド 説明
get pppoe all PPPoEの接続ステータスを確認
get arp ARPキャッシュが行われているかを確認。ARPテーブルのクリアは clear arp。
get interface グローバルIPアドレスを取得できているかを確認
get route PPPoEサーバをネクストホップしたデフォルトルートの存在を確認
get policy ゾーン間におけるポリシーが許可されているかどうかを確認
get session NAT変換が行われ、問題なく通信できていることを確認
get config 設定が正しく行われているかどうかを確認
get log event 通信できない場合は、イベントログを確認ましょう。ログは clear event でクリア―できる。
get log system saved SSGがDUMPを吐き出していないかを確認。吐き出している場合は機器に異常の可能性。
get tech-support 通信に不具合が発生し、問題が解決しない場合に取得すべき全情報
ちなみに、SSGではGloblIPのLAN型払い出しの際に、例えばUntrustインターフェースで unnumbered で受けるような構成は取りません。
Untrustインターフェースに /28 のGlobal IPアドレスをそのまま受けることになる。あとは、VIPやMIPを利用してDMZセグメントを設けます。
【 付録 : DNSプロキシの設定 (オプション設定)】
先ほど紹介した通り、DHCPサーバでDNSサーバのIPアドレスをクライアントに配布すれば以下の設定は不要。
しかし例えばクライアントにDNSサーバのグローバルIPアドレスを配布したくない場合、つまりクライアントPCが
SSGをDNSサーバとして指定して名前解決をしたい場合のコマンドは以下となる。以下のコマンドの前提として
クライアントPCはe0/5配下のネットワークにいること、ISPから取得したDNSサーバのIPは「1.1.1.1」であること。
SSG5-> set interface ethernet0/5 proxy dns
SSG5-> set dns proxy
SSG5-> set dns proxy enable
SSG5-> set dns server-select domain * outgoing-interface ethernet0/0 primary-server 1.1.1.1
上記のように設定すれば、クライアントPCにとってはSSGがDNSサーバとして動作しているように見えます。
プライマリDNSサーバを1.1.1.1、セカンダリDNSサーバを2.2.2.2とし、そのFailoverを有効化したい設定は以下。
⇒ SSG5-> set dns server-select domain * outgoing-int ethernet0/0 primary-server 1.1.1.1 secondary-server 2.2.2.2 failover
なお、"set dns server-select domain"というコマンドは、本来は、選択したドメイン名のクエリ―を特定のDNS
サーバに転送する、という使い方として有用です。これにより関連のないサービス要求の処理をDNSサーバが
行わなくて済むという利点、トラフィックの保護という利点がある。SSGにおける"DNSプロキシ"はドメイン名の
一部または全てに従いDNSクエリーを特定のDNSサーバに転送する、ということが本来の活用方法ということ。
例えば、ドメイン名「*.abc.com」が含まれたFQDNに関連づけられたDNSクエリ―は、トンネルI/F (tunnel.1)を
経由して、192.168.0.1 のDNSサーバに問い合わせさせる設定は以下。※ IPsec-VPN接続の構成を想定。
⇒ SSG5-> set dns server-select domain .abc.com outgoing-interface tunnel.1 primary-server 192.168.0.1
そして、その他のDNSクエリ―全て(*)は、e0/0を経由し「8.8.8.8」のDNSサーバに問合わせする設定は以下。
⇒ SSG5-> set dns server-select domain * outgoing-interface ethernet0/0 primary-server 8.8.8.8
【参考1812Jとnetscreenでpppoe】
ということでやってみました。FWウォールは今週末にじっくり取り組みたいのでちょっと他のことをちょろちょろとやろうかと思います。1812JをPPPoEサーバにnetscreen 5GTをPPPoEクライアントにして接続してみました。
1812J設定
cilent/test というアカウントでpppoe接続してきた場合に10.0.0.2をクライアントに割り振る設定になってます。公式のドキュメントがさっと見つからなかったので、なんとなく見てまわったサイトから推測でいれたので細かい設定の意味まで追えてないです。
(config)# username client password test
(config)# bba-group pppoe global
(config-bba-group)# virtual-template 1
(config-bba-group)# ac name client
(config)# interface FastEthernet 0
(config-if)# ip address 10.0.0.1 255.255.255.0
(config-if)# pppoe enable group global
(config)# ip local pool client-pool 10.0.0.2
(config)# interface virtual-template 1
(config-if)# mtu 1454
(config-if)# ip unnumbered FastEthernet 0
(config-if)# peer default ip address pool client-pool
(config-if)# ppp authentication chap
netscreen設定
1812Jと比べてすごくシンプル!これだけで動きました。mypppoeというところはnameなので任意の名前がつけられるみたいです。
mindgw-> set pppoe name mypppoe
mindgw-> set pppoe name mypppoe username client password test
mindgw-> set pppoe name mypppoe interface untrust
mindgw-> set pppoe name mypppoe idle 0
get pppoeすると設定が確認できます。Connectedになってるので繋がってますね。
mindgw-> get pppoe all
Column E: Y - Instance is enabled, N - Instance is disabled
Id PPPoE Instance E Interface User Mac addr State
--------------------------------------------------------------------------
0 mypppoe Y untrust client 0010db70fc61 Connected
untrustのインタフェースの状態を確認。10.0.0.2が割り振られているのがわかります。
mindgw-> get interface untrust
Interface untrust:
description untrust
number 1, if_info 88, if_index 0, mode route
link up, phy-link up/full-duplex
vsys Root, zone Untrust, vr trust-vr
PPPoE instance mypppoe enabled
admin mtu 0, operating mtu 1492, default mtu 1492
*ip 10.0.0.2/32 mac 0010.db70.fc61
gateway 10.0.0.1
*manage ip 10.0.0.2, mac 0010.db70.fc61
route-deny disable
pmtu-v4 disabled
ping disabled, telnet disabled, SSH disabled, SNMP disabled
web disabled, ident-reset disabled, SSL disabled
DNS Proxy disabled, webauth disabled, webauth-ip 0.0.0.0
OSPF disabled BGP disabled RIP disabled RIPng disabled mtrace disabled
PIM: not configured IGMP not configured
bandwidth: physical 100000kbps, configured egress [gbw 0kbps mbw 0kbps]
configured ingress mbw 0kbps, current bw 0kbps
total allocated gbw 0kbps
DHCP-Relay disabled
DHCP-server disabled
Number of SW session: 2063, hw sess err cnt 0
念のためping
mindgw-> ping 10.0.0.1
Type escape sequence to abort
Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 1 seconds
!!!!!
Success Rate is 100 percent (5/5), round-trip time min/avg/max=3/3/4 ms
なんかさほど苦労せずに動いたので物足りない...。そういえば1812Jで初めてPPPoEの設定をした時にリゾルバ(DNSサーバ)のアドレスが自動でつかないから手で設定した記憶がありますが、あれはIPCPの設定をすれば上手く行く様です。ついでに試しておくかな。
PPPoE接続の設定(その2)
前回の"SSG - PPPoEによるインターネット接続"では、デフォルト値を多く使用した内容となっていますが
ここではデフォルト値をあまり使用しない設定を紹介。PPPoEなどの基本設定は前回と同じであるため割愛。
【SSG - PPPoE Internet 2】
構成
PC(192.168.5.0/24)---SALES(0/5.1/24)SSG(0/0)UNTRUST---PPPOE
PC(192.168.6.0/24)---SALES(0/6.1/24)」
① 新たなゾーンの作成、ゾーンのI/Fへの割り当て、I/FへのIPアドレスの割り当て、routeモードの設定
SSG5-> set zone name SALES
SSG5-> set zone SALES vrouter trust-vr
SSG5-> set interface ethernet0/5 zone SALES
SSG5-> set interface ethernet0/5 ip 192.168.5.1/24
SSG5-> set interface ethernet0/5 route
SSG5-> set interface ethernet0/6 zone SALES
SSG5-> set interface ethernet0/5 ip 192.168.5.1/24
SSG5-> set interface ethernet0/5 route
② アドレスブックの作成、マルチセルポリシーによる複数のサービス指定、DIPアドレスなしのNAT-src
SSG5-> set address SALES SALESNW1 192.168.5.0 255.255.255.0
SSG5-> set address SALES SALESNW2 192.168.6.0 255.255.255.0
SSG5-> set group address SALES SALESNW add SALESNW1
SSG5-> set group address SALES SALESNW add SALESNW2
SSG5-> set policy id 2 from SALES to Untrust SALESNW any dns nat src permit
SSG5-> set policy id 2
SSG5(policy:5)-> set service ftp
SSG5(policy:5)-> set service http
SSG5(policy:5)-> set service https
SSG5(policy:5)-> set service mail
SSG5(policy:5)-> set service POP3
SSG5(policy:5)-> set service ping
SSG5(policy:5)-> exit
③ SSGでDHCPサーバ機能、DNSプロキシ機能を有効化
SSG5-> set interface ethernet0/5 dhcp server service
SSG5-> set interface ethernet0/5 dhcp server auto
SSG5-> set interface ethernet0/5 dhcp server option gateway 192.168.5.1
SSG5-> set interface ethernet0/5 dhcp server option netmask 255.255.255.0
SSG5-> set interface ethernet0/5 dhcp server option dns1 192.168.5.1
SSG5-> set interface ethernet0/5 dhcp server ip 192.168.5.10 to 192.168.5.254
SSG5->set interface ethernet0/6 dhcp server service
SSG5->set interface ethernet0/6 dhcp server auto
SSG5->set interface ethernet0/6 dhcp server option gateway 192.168.6.1
SSG5->set interface ethernet0/6 dhcp server option dns1 192.168.6.1
SSG5->set interface ethernet0/6 dhcp server option netmask 255.255.255.0
SSG5->set interface ethernet0/6 dhcp server ip 192.168.6.10 to 192.168.6.254
SSG5-> set interface ethernet0/5 proxy dns
SSG5-> set interface ethernet0/6 proxy dns
SSG5-> set dns proxy
SSG5-> set dns proxy enable
SSG5-> set dns server-select domain * outgoing-interface ethernet0/0 primary-server 8.8.8.8
【SSG - Policy-Based VPN】
SSGにおけるIPsec-VPN
Juniper SSGではIPsec-VPNによるVPN接続可能です。但し、SSL-VPNによるVPNは対応していません。
なお、IPsec-VPNの一般的なネットワーク技術は、「 VPNとは 」をご参照ください。JuniperのVPN方式は、
ポリシーベースVPNとルートベースVPNの2種類があります。この記事ではポリシーベースVPNを紹介する。
ポリシーベースVPNの設定
PC(172.16.1.5)---(Trust_e0/1_172.16.1.1)SSG(UnTrust_e0/0_1.1.1.1)----→
→----(UnTrust_e0/0_2.2.2.2)SSG(Trust_e0/1_172.16.2.1)---PC(172.16.2.5)
ポリシーベースVPNの設定は、以下の①~④の手順通りです。設定例は上図構成のOSAKA側のSSGを前提。
◆ ① IKEフェーズ1 - IKEゲートウェイの作成
set ike gateway name address ip outgoing-interface int preshare key sec-level [ standard | basic | compatible ]
SSG5-> set ike gateway P1TOKYO address 2.2.2.2 outgoing-int e0/0 preshare JUNI sec-level standard
◆ ② IKEフェーズ2 - IKE VPNの作成
set vpn name gateway phase1name sec-level [ standard | basic | compatible ]
SSG5-> set vpn P2TOKYO gateway P1TOKYO sec-level standard※ Configでは右記のように表示 ⇒ set vpn "P2TOKYO" gateway "P1TOKYO" no-replay tunnel idletime 0 sec-level standard
※ proposal をカスタマイズしたい場合は sec-level ではなくて "proposal g2-esp-3des-sha g2-esp-des-md5"のように設定する。
※ g2-esp-3des-sh の "g2"とは、Diffie-Hellman Group2 のことであり、鍵交換用のグループが Group2 であることを意味します。
◆ ③ アドレスブックの作成
set address zone name ipaddress/mask
SSG5-> set address Trust OSAKANW 172.16.1.0/24
SSG5-> set address Untrust TOKYONW 172.16.2.0/24
◆ ④ ポリシーの作成
set policy id number from zone to zone source-address dest-address service tunnel vpn name
SSG5-> set policy from Trust to Untrust OSAKANW TOKYONW ANY tunnel vpn P2TOKYO
SSG5-> set policy from Untrust to Trust TOKYONW OSAKANW ANY tunnel vpn P2TOKYO
IPsec-VPNの確認コマンド 説明
ping 上図では、ping 172.16.2.5 from e0/1 でトラフィックを生成してトンネルを確立。
get ike cookie IKEフェーズ1 の確認。"Active"がカウントされて、各情報が含まれたCookieの生成を確認。
get sa active IKEフェーズ2 の確認。"Sta"が"A(成功)"なのか確認。行き帰りの両トンネルの存在を確認。
get log event IKEフェーズ1、IKEフェーズ2 のログを確認。
IKEフェーズ トラブルシューティングコマンド
IKE Phase 1 get ike cookie / debug flow basic / debug ike / get log event
IKE Phase 2 get sa active / unset ike policy-checking / debug ike / get log event
IPsec-VPN接続が上手く行われない場合は、以下の5点を再度ご確認下さい。それでも動作しない場合はバグを疑いましょう。
IPsec-VPNの確認コマンド 説明
アドレスブックの不一致 network/length 含めて、両拠点のSSGのアドレスブックに対称性があるかを確認しましょう。
プロポーザルの不一致 両拠点のSSGで設定しているプロポーザルが完全一致か確認。Custom時は特に要注意。
Preshared-keyの不一致 両拠点のSSGで設定している事前共有鍵(preshare)が完全一致か確認しましょう。
出力 I/F の不一致 outgoing-interface で指定したインターフェースが外側(インターネット側)であるかを確認
ルーティングのチェック ルーティングテーブルに宛先ネットワークへの経路情報が存在することを確認。
【SSG - Route-Based VPN】
トンネルインターフェースの特徴
トンネルインターフェースは仮想インターフェースであり物理的は存在しませんが、IPインターフェースである
ことから、ゾーン割り当て、I/F番号、IPアドレッシングといった他のインターフェースと同じ構成を必要とする。
トンネルインターフェースは固定IPアドレスを割り当てる構成、Unnumberedを使用する構成の2種類がある。
ルートベースVPNの設定
構成
PC(172.16.1.5)---(Trust_e0/1_172.16.1.1)SSG(UnTrust_e0/0_1.1.1.1)----→
→----(UnTrust_e0/0_2.2.2.2)SSG(Trust_e0/1_172.16.2.1)---PC(172.16.2.5)
ルートベースVPNの設定は、以下の①~④の手順通りです。設定例は上図構成のOSAKA側のSSGを前提。
◆ ① トンネルインターフェースの作成
set interface tunnel.number zone name
set interface tunnel.number ip [ unnumbered interface interface | address/mask ]
SSG5-> set interface tunnel.1 zone Trust
SSG5-> set interface tunnel.1 ip unnumbered interface ethernet0/1
◆ ② IKEフェーズ1 - IKEゲートウェイの作成
set ike gateway name address ip outgoing-interface int preshare key sec-level [ standard | basic | compatible ]
SSG5-> set ike gateway P1TOKYO address 2.2.2.2 outgoing-int e0/0 preshare JUNI sec-level standard
◆ ③ IKEフェーズ2 - AutoKey IKEの作成、バインドインターフェースの指定
set vpn name gateway phase1name sec-level [ standard | basic | compatible ]
set vpn name bind interface tunnel.number
SSG5-> set vpn P2TOKYO gateway P1TOKYO sec-level standard
SSG5-> set vpn P2TOKYO bind interface tunnel.1
※ Configでは右記のように表示 ⇒ set vpn "P2TOKYO" gateway "P1TOKYO" no-replay tunnel idletime 0 sec-level standard。
※ proposal をカスタマイズしたい場合は sec-level ではなくて "proposal g2-esp-3des-sha g2-esp-des-md5"のように設定する。
◆ ④ ルーティングの設定
set route network interface tunnel.number
⇒ トンネルはポイントツーポイントであるため、ゲートウェイアドレスを指定する必要はない。
SSG5-> set route 172.16.2.0/24 interface tunnel.1
ルートベースVPNの設定は以上であるが、トンネルインターフェースの位置によりポリシーを設定する必要です。
トンネルインターフェースがソースI/Fと同じゾーンにある場合、ingressとegress I/Fが同じゾーンにあることから
ポリシーは不要であり、トンネルインターフェースがソースI/Fと異なるゾーンにある場合、ポリシーが必要となる。
つまり上図構成のIPsec-VPNの範囲が示す通り、unnumberedの構成ではポリシーが不要であることが分かる。
IPsec-VPNの確認コマンド 説明
ping 上図では、ping 172.16.2.5 from e0/1 でトラフィックを生成してトンネルを確立。
get route ip 上図では、get route ip 172.16.2.5 により、送出I/FがトンネルI/Fであるkとおを確認。
get ike cookie IKEフェーズ1 の確認。"Active"がカウントされて、各情報が含まれたCookieの生成を確認。
get sa active IKEフェーズ2 の確認。"Sta"が"A(成功)"なのか確認。行き帰りの両トンネルの存在を確認。
get log event IKEフェーズ1、IKEフェーズ2 のログを確認。
IKEフェーズ トラブルシューティングコマンド
IKE Phase 1 get ike cookie / debug flow basic / debug ike / get log event
IKE Phase 2 get sa active / unset ike policy-checking / debug ike / get log event
IPsec-VPN接続が上手く行われない場合は、以下の5点を再度ご確認下さい。それでも動作しない場合はバグを疑いましょう。
注意すべき点 説明
プロキシIDの不一致 プロキシIDの不一致により、IKEフェーズ2でエラーが発生する。
プロポーザルの不一致 両拠点のSSGで設定しているプロポーザルが完全一致か確認。Custom時は特に要注意。
ポリシーベースのNAT トンネルインターフェースにIPアドレスが割り当てられない構成では、NATは正しく動作しない。
イントラゾーンブロッキング ingressとegress I/Fが同じならポリシーは不要だが、イントラゾーンブロッキングがOFFが前提。
出力 I/F の不一致 outgoing-interface で指定したインターフェースが外側(インターネット側)であるかを確認
ルーティングのチェック ルーティングテーブルに宛先ネットワークへの経路情報が存在することを確認。
また、トンネルインターフェースが、データトラフィックのingress I/Fであり、egress I/Fである点を認識しましょう。
【SSG - Policy-Based Configuration】
【SSG - Route-based Configuration】
構成
PC(172.16.1.5)---(Trust_e0/1_172.16.1.1)SSG(UnTrust_e0/0_1.1.1.1)----→
→----(UnTrust_e0/0_2.2.2.2)SSG(Trust_e0/1_172.16.2.1)---PC(172.16.2.5)
ポリシーベースVPN 設定例
set hostname SSG5-1
set int ethernet0/0 zone Untrust
set int ethernet0/0 ip 1.1.1.1/24
set int ethernet0/0 route
set int ethernet0/1 zone Trust
set int ethernet0/1 ip 172.16.1.1/24
set int ethernet0/1 route
set route 0.0.0.0/0 int e0/0 gateway 1.1.1.254
set ike gateway P1TOKYO address 2.2.2.2 outgoing-int e0/0 preshare JUNI sec-level standard
set vpn P2TOKYO gateway P1TOKYO sec-level standard
set address Trust OSAKANW 172.16.1.0/24
set address Untrust TOKYONW 172.16.2.0/24
set policy id 1 from Trust to Untrust OSAKANW TOKYONW ANY tunnel vpn P2TOKYO
set policy id 2 from Untrust to Trust TOKYONW OSAKANW ANY tunnel vpn P2TOKYO
set hostname SSG5-2
set int ethernet0/0 zone Untrust
set int ethernet0/0 ip 2.2.2.2/24
set int ethernet0/0 route
set int ethernet0/1 zone Trust
set int ethernet0/1 ip 172.16.2.1/24
set int ethernet0/1 route
set route 0.0.0.0/0 int e0/0 gateway 2.2.2.254
set ike gateway P1OSAKA address 1.1.1.1 outgoing-int e0/0 preshare JUNI sec-level standard
set vpn P2OSAKA gateway P1OSAKA sec-level standard
set address Trust TOKYONW 172.16.2.0/24
set address Untrust OSAKANW 172.16.1.0/24
set policy id 1 from Trust to Untrust TOKYONW OSAKANW ANY tunnel vpn P2OSAKA
set policy id 2 from Untrust to Trust OSAKANW TOKYONW ANY tunnel vpn P2OSAKA
【SSG - Route-based Configuration】
構成
PC(172.16.1.5)---(Trust_e0/1_172.16.1.1)SSG(UnTrust_e0/0_1.1.1.1)----→
→----(UnTrust_e0/0_2.2.2.2)SSG(Trust_e0/1_172.16.2.1)---PC(172.16.2.5)
ルートベースVPN 設定例
set hostname SSG5-1
set int ethernet0/0 zone Untrust
set int ethernet0/0 ip 1.1.1.1/24
set int ethernet0/0 route
set int ethernet0/1 zone Trust
set int ethernet0/1 ip 172.16.1.1/24
set int ethernet0/1 route
set interface tunnel.1 zone Trust
set interface tunnel.1 ip unnumbered interface ethernet0/1
set ike gateway P1TOKYO address 2.2.2.2 outgoing-int e0/0 preshare JUNI sec-level standard
set vpn P2TOKYO gateway P1TOKYO sec-level standard
set vpn P2TOKYO bind interface tunnel.1
set route 172.16.2.0/24 interface tunnel.1
set route 0.0.0.0/0 interface ethernet0/0 gateway 1.1.1.254
set hostname SSG5-2
set int ethernet0/0 zone Untrust
set int ethernet0/0 ip 2.2.2.2/24
set int ethernet0/0 route
set int ethernet0/1 zone Trust
set int ethernet0/1 ip 172.16.2.1/24
set int ethernet0/1 route
set interface tunnel.1 zone Trust
set interface tunnel.1 ip unnumbered interface ethernet0/1
set ike gateway P1OSAKA address 1.1.1.1 outgoing-int e0/0 preshare JUNI sec-level standard
set vpn P2OSAKA gateway P1OSAKA sec-level standard
set vpn P2OSAKA bind interface tunnel.1
set route 172.16.1.0/24 interface tunnel.1
set route 0.0.0.0/0 interface ethernet0/0 gateway 2.2.2.254
ポリシーベースVPN 設定例 ( CiscoルータとJuniper SSGとの接続 )
SSGとCiscoルータとでIPsec-VPN接続を行う場合のポリシーベースVPNの設定例は以下のとおりです。
構成
PC(172.16.1.5)---(Trust_e0/1_172.16.1.1)SSG(UnTrust_e0/0_1.1.1.1)----→
→----(gi0_2.2.2.2)892J(fa8_172.16.2.1)---PC(172.16.2.5)
set hostname SSG5-1
set int ethernet0/0 zone Untrust
set int ethernet0/0 ip 1.1.1.1/24
set int ethernet0/0 route
set int ethernet0/1 zone Trust
set int ethernet0/1 ip 172.16.1.1/24
set int ethernet0/1 route
set route 0.0.0.0/0 int e0/0 gateway 1.1.1.254
set ike gateway P1TOKYO address 2.2.2.2 outgoing-int e0/0 preshare JUNI sec-level standard
set vpn P2TOKYO gateway P1TOKYO sec-level standard
set address Trust OSAKANW 172.16.1.0/24
set address Untrust TOKYONW 172.16.2.0/24
set policy id 1 from Trust to Untrust OSAKANW TOKYONW ANY tunnel vpn P2TOKYO
set policy id 2 from Untrust to Trust TOKYONW OSAKANW ANY tunnel vpn P2TOKYO
crypto isakmp policy 1
encr 3des
hash sha
authentication pre-share
group 2
crypto isakmp key JUNI address 1.1.1.1
crypto ipsec transform-set IPSEC esp-3des esp-sha-hmac
crypto map M-ipsec 1 ipsec-isakmp
set peer 1.1.1.1
set transform-set IPSEC
match address A-ipsec
interface GigabitEthernet0
ip address 2.2.2.2 255.255.255.0
duplex auto
speed auto
crypto map M-ipsec
interface FastEthernet8
ip address 172.16.2.5 255.255.255.0
duplex auto
speed auto
ip route 0.0.0.0 0.0.0.0 2.2.2.254
ip access-list extended A-ipsec
permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
【JUNOS】
JUNOS - ディレクトリ構造
JUNOSはFreeBSDをベースとしていることからディレクトリ構造になっています。主要なパスは以下の通り。
ディレクトリ 説明
/config
juniper.conf.gz / juniper.conf.1.gz / juniper.conf.2.gz / juniper.conf.3.gz のように
現在使用しているコンフィグ(juniper.confi.gz)と過去3世代のコンフィグの格納場所。
/var/db/config 4世代目(juniper.conf.4.gz)~49世代目(juniper.conf.49.gz)のコンフィグの格納場所。
/var/home 各ユーザのホームディレクトリ。
/var/tmp コアダンプファイルの保存先、JUNOSの変更の際の一時保存先。
/var/log
Syslogでローカルに保存するログを格納する場所 (/var/log/messages)
いわばdebugであるtracingファイルを保存する場所 ( /var/log/filename )
/altroot the root file system (/) is backed up to /altroot
/altconfig /config directory is backed up to /altconfig
【JUNOS - shell/operational/config】
◇ show configratuion | display set
show configurationと入力した場合、コンフィグは階層的に表示されますが、| display set と入力する
ことで、設定コマンドとなるset形式でコンフィグが表示されます。(コンフィグの張り付けが可能な形式。)
◇ show configratuion | display set | no-more
このコマンドでは、show conf | display set の出力結果をさらにパイプで no-more に引き渡している。
これにより、set形式でコンフィグが表示されて、なおかつ ---(more)--- が表示されないようになる。
JUNOS - 複数ユーザのログインを無効
JUNOSではCisco IOSと同様に、同時に複数のユーザがログインし、設定などの操作を行うことが可能。
現在ログインしているユーザについては、show system usersコマンドによって確認することができます
なお、ログインするためのユーザ作成方法は以下。ここでは管理者権限のcoolというユーザを作成。
⇒ set system login user cool class super-user authentication plain-text-password
ちなみに、SRXならtelnetログインするために、以下のコマンドでtelnet通信を許可する必要もあります。
⇒ set system services telnet と set security zones security-zone trust host-inbound-traffic system-services telnet
【JUNOS - Active Config / Candidate Config】
この複数のユーザがログインできる状態である場合、誰かが設定を追加してcommitした場合、その他の
ログインしているユーザのコンフィグ全てに反映されることになる。コンフィグレーションモード移行の際に
configure exclusiveとすることで、自身が設定変更する際に他のユーザが変更をできないようにできます。
JUNOS - コンフィグの世代管理
JUNOSでは、50世代分のコンフィグを保持できます。commitするごとに、それまで有効であったActive
Configurationは、1世代前のコンフィグとして保存される。Candidate Configurationを、例えば3世代前の
Active Configurationにしたい場合は rollback 3 と入力します。つまり、"rollback 世代"という構文です。
commitコマンドで保存されたコンフィグの詳細は、rollback?で確認できます。
JUNOS - ActiveコンフィグとCandidateコンフィグの表示
Activeコンフィグレーションは、オペレーションモードでshow configurationコマンドにより表示できます。
Candiateコンフィグレーションは、グローバルコンフィグレーションモードで"show"により表示できます。
JUNOS - コンフィグの保存(save)、読込(load)
設定したコンフィグレーションは、commitにより有効化されるのと同時に、起動時に読み込まれる設定
ファイルである"juniper.conf.gz"に自動的に保存されます。コンフィグの保存方法については、この
設定ファイルに書き込む以外にも、別途ファイルとしてユーザのホームディレクトリなどに保存できます。
JUNOS - コンフィグの保存(save)、読込(load)
設定したコンフィグレーションは、commitにより有効化されるのと同時に、起動時に読み込まれる設定
ファイルである"juniper.conf.gz"に自動的に保存されます。コンフィグの保存方法については、この
設定ファイルに書き込む以外にも、別途ファイルとしてユーザのホームディレクトリなどに保存できます。
saveコマンドにより保存されたコンフィグを読み込むためには、loadコマンドを使用します。loadされた
コンフィグは、Candidateコンフィグとして読み込まれるため、有効化させたい場合はcommitする必要が
あります。loadする際にoverrideオプションを指定すれば、現在のcandidateコンフィグをすべて消去し
loadしたコンフィグを読み込みます。一方、mergeオプションを指定すれば、現在のcandidateコンフィグ
に、新たにロードしたコンフィグをマージしていきます。
commitコマンドの後には、以下のオプション値を付けられます。当方は"commit and-quit"をよく使用します。
commitコマンド 説明
commit and-quit commit実施後に、オペレーションモードに移行。よく使用されるコマンド。
commit comment commitにコメントを残す。オペレーションモードでshow system commitで確認できる。
commit check commitせずに、コンフィグの整合性のみのをチェックする。
commit at 指定時間 指定した時間にcommitを行う。
commit confirmed 時間(分)
指定時間後にcommit前の状態に戻す。一時的にcommitをし、設定時間内にcommitが
実行されない場合に、自動的にroolbackが行われる。いわばお試し期間のcommitです。
【JUNOS - set / delete / edit / copy / rename】
JUNOS - 便利な差分チェック ( show | compare )
設定追加(set)や設定削除(delete)してから設定有効化(commit)する前に、当方が必ず実行している
コマンドがあります。それが "show | compare" です。Candidateコンフィグで行った変更箇所を示して
くれます。例えば、fe-0/0/0のIPアドレス192.168.1.1/24を削除し、192.168.2.1/24に設定したとします。
⇒ delete interfaces fe-0/0/0 unit 0 family inet address 192.168.1.1/24
⇒ set interfaces fe-0/0/0 unit 0 family inet address 192.168.2.1/24
そこで、show | compare と入力すると階層場所が指定された上で、設定が追加されたコマンドが + と
表示され、設定が削除されたコマンドが - と表示されます。
JUNOS - copyコマンドとrenameコマンド
例えば、fe-0/0/1の設定を、fe-0/0/0の設定と全く同じにしたい場合、copyコマンドを使用します。
これにより、インターフェース関連のパラメータをインターフェースごとに1つずつ設定しなくても済む。
root#copy interfaces fs-0/0/0 to fe 0/0/01
例えば、ポート収容の変更が発生して、fe-0/0/0に接続していた機器を、fe-0/0/2に接続すること
になった場合、fe-0/0/0に設定されていた内容を全て削除して、fe-0/0/2に設定したい場合には
renameコマンドを使用する。以下の設定例の場合は、fe-0/0/0の設定はI/F含めて削除される。
rename interfaces fe-0/0/0 to fe-0/0/2
【JUNOS - upgrade / license / root】
JUNOS - ダウンロードとアップグレード
JUNOSは、こちらのJuniper - Webサイト(http://www.juniper.net/support/downloads/junos.html)からダウンロードします。
JUNOSをダウンロードするためにはJUNOS取扱ベンダーなら、会社で発行してくれる
アカウントでログインすればダウンロードが可能です。
root>show version
root>show chassis hardware
root>show configuration display set | no-more
次に、現在使用中のファイルシステム、JUNOS、コンフィグなどの構成情報をSNAPSHOTとして取得する。
※ SNAPHOSTの取得が必要ない場合は、request system snapshot media usb コマンドは必須ではない。
※ 以下のコマンドでUSBメモリにバックアップを取った場合、そのUSBメモリは例えばPCで認識しなくなる。
root>reauest system snapshot media usb
次に、SRX100でJUNOSをバージョンアップするための設定をする。先ず、全てのコンフィグを削除。
root>configure
root#delete
◇ ライセンスキーバックアップとリストア
ライセンスをインストールしている場合は request system license save SRXLICENSE.txt コマンドによってライセンスキーを
SRX上にバックアップしましょう。インストールされているライセンスキーは、show system license keys コマンドにより確認できる。
適用されているライセンスを全て削除するためには request system license delete "ライセンス名" で1つずつ削除。ライセンス
キーをリストアするためには、request system license add SRXLICENSE.txt で、事前にバックアップしたものをリストアします。
※ SRXLICENSE.txt ファイルは、file show コマンドによって生成されていることが確認できます。/cf/root の配下に生成されます。
つづいて、FTPによるバージョンアップを行うための最小限の設定を行います。下図の構成を前提に設定。
FTP_SV---------------(fe-0/0/0 .1/24)SRX
192.168.1.10
infra
infra123
0 件のコメント:
コメントを投稿