SSG to SRX Migration - Juniper Networks

© 2018 Juniper Networks

SSG to SRX MigrationScreenOS から Junos OS へのマイグレーションガイド

2018年6月

ジュニパーネットワークス株式会社


本資料は、SSG（ScreenOS）と SRXシリーズ（Junos OS）の設

定の違いおよび、基本的な Junos OS CLI の操作を説明してい

ますので、 SRX マイグレーションガイドとしてご利用ください。

各機能の詳細は、ユーザガイドなどをご参照ください。

* SRX300、Junos 15.1X49-D130をベースに作成しております

はじめに

2


第1章：設定の基礎

第2章：基本オペレーション

第3章：管理設定

第4章：ゾーン / ルーティング

第5章：オブジェクト

第6章：セキュリティポリシー

第7章： NAT

第8章： IPsec

第9章： HA（High Availability）

目次

P. 4

P. 15

P. 31

P. 45

P. 62

P. 71

P. 92

P. 121

P. 138

3


第1章：設定の基礎

Junos OSの操作

4


1-1．Junos OSのモード

1-2．SSG と SRX 基本的なコマンドの違い

1-3．設定ファイルの仕組み

1-4．設定操作の基本コマンド

アジェンダ

5

© 2018 Juniper Networks 6

1-1．Junos OSのモード（1/2）

SRX（Junos OS）の CLI モードについて

行う操作や設定によってモードを切り替えて利用

• シェルモード（※通常は使用しない）

基盤システムの操作を行うモード（Unix コマンド）

• Junos OS のオペレーショナルモード

機器動作のステータス確認や操作を

行うモード

• Junos OS のコンフィグレーションモード

機器の設定を行うモード

FreeBSD基盤オペレーティング

システム

Configuration mode #

Operational mode >

Shell mode %

・各ステータスの表示・ ping、traceroute、telnet・デバッグ・ OS アップグレード・リブート、シャットダウン・時計の操作

・システム設定・インタフェース設定・ルーティング設定・ポリシー設定・セキュリティ設定など

＞ configure

% cli

Junos OSの CLIモードの遷移

exit

exit

6


1-1．Junos OSのモード（2/2）

root ユーザでログインした場合はシェルモードから開始

root ユーザ以外でログインした場合はオペレーショナルモードから開始

SRX300 (ttyu0)

login: root

Password: password

--- JUNOS 15.1X49-D130.6 built 2018-03-04 17:25:09 UTC

root@SRX300%

root@SRX300% cli

root@SRX300>

root@SRX300> configure

Entering configuration mode

root@SRX300#

root@SRX300# exit

Exiting configuration mode

root@SRX300>

root@SRX300> exit

root@SRX300%

root@SRX300% exit

logout

シェルモード（root ユーザはこのモードにログイン）

オペレーショナルモード（root ユーザ以外はこのモードにログイン）

コンフィグレーションモード


1-2．SSG と SRX 基本的なコマンドの違い

SSG と SRX の基本的なコマンドの違い

操作 SSG（ScreenOS） SRX（Junos OS）

設定 set set

削除 unset delete

設定の確定即反映 * commit

保存 save commit

確認コマンド get show

* commit 相当のコマンド無し


1-3．設定ファイルの仕組み（1/4）

SSG は設定後すぐコマンドが反映

SRX は設定後 commit を使用してコマンドを反映

• SSG

config の確認

- 設定コマンドによって設定を config に反映

- 稼働中の設定ファイル

- 機器の電源断時に消去

saved config の確認

- save コマンドによって稼働中の設定ファイルをフラッシュ領域に保存

- 機器の電源断時においても保持

SSG5-> get config

SSG5-> get config saved



SRX 設定の反映動作

• SRX

- コンフィグレーションモードにて任意の設定を実行（Candidate Configの編集）

- commit で設定を反映（Active Config の確定）

root@SRX300# set configuration-command

root@SRX300# commit

commit complete

設定コマンドCandidate

Config

Active

Config

# commit

# show > show configuration

反映処理後に出力



• SRX

Candidate Config （候補設定）の確認

- 編集中の設定ファイル

- 設定コマンドによって設定を Candidate Config に反映

Active Config （稼働設定）の確認

- commit で確定された稼働中の設定

root@SRX300# show

root@SRX300> show configuration

root@SRX300# run show configuration



SRX は変更前のコンフィグが自動でバックアップ

設定を機器の再起動をせずにバックアップから復元することが可能

• SRX

- 設定の復元（rollback）

root@SRX300# rollback rollback-number

root@SRX300# commit

> show system rollback rollback-number

Candidate

Config

Active

Config

# commit

rollback 1

rollback 2

# rollback rollback-number

※合計 50世代


1-4．設定操作の基本コマンド（1/2）

SRX 設定の操作オプション

• SRX

- Active Config と Candidate Configの差分の確認（compare）

- Candidate Configの構文エラーの確認（check）

- 設定ファイルを set 形式で表示（display set）

- 設定ファイルの連続表示（no-more）

root@SRX300# show | compare

root@SRX300# commit check

root@SRX300# show | display set

root@SRX300# show | no-more

root@SRX300> show configuration | display set


1-4．設定操作の基本コマンド（2/2）

SRX 設定その他のコマンド

• SRX

- コンフィグレーションモードにおけるオペレーショナルモードのコマンドの実行（run）

- 特定の設定の無効化（deactivate）

- 無効化された設定の有効化（activate）

root@SRX300# activate configuration-command

root@SRX300# run operational-mode-command

root@SRX300# deactivate configuration-command


第2章：基本オペレーション

デバイスのオペレーション操作

15


2-1．初期化・シャットダウン手順

2-2．設定のバックアップ・リストア

2-3．レスキュー設定

2-4．OS アップグレード

2-5．パスワードリカバリー手順

アジェンダ

16


2-1．初期化・シャットダウン手順（1/3）

SSG はコンフィグを削除し再起動することで初期化

SRX はデフォルトのコンフィグを読み込むことで初期化

• SSG

SSG5-> unset all

Erase all system config, are you sure? y/[n] y

SSG5-> reset

Configuration modified, save? [y]/n n

System reset, are you sure? y/[n] y

In reset ...

17



• SRX

初期化は削除したいデータに応じて選択可能（3通り）

- 工場集荷時の設定をロード

- ユーザ作成データを削除

- USB メモリやコンパクトフラッシュからフォーマット（全データ削除）

root@SRX300# load factory-default

warning: activating factory configuration

[edit]

root@SRX300# set system root-authentication plain-text-password

New password: password

Retype new password: password

root@SRX300> request system zeroize

warning: System will be rebooted and may not boot without configuration

Erase all data, including configuration and log files? [yes,no] (no) yes

※コマンドを入力すると再起動が自動開始



SSG は電源オフで直接システムを停止（コマンドなし）

SRX はコマンドでシステムを停止

• SSG

- （SSG5 の場合）

電源ボタンがないため電源ケーブルを抜線することでシステムを停止

• SRX

- システム停止および電源オフ

- システム停止

root@SRX300> request system power-off

Power Off the system ? [yes,no] (no) yes

Shutdown NOW!

root@SRX300> request system halt

Halt the system ? [yes,no] (no) yes

--- snip ---

The operating system has halted.

Please press any key to reboot.


2-2．設定のバックアップ・リストア（1/6）

SSG はターミナルにコンフィグを直接コピー & ペーストすることでロード

SRX は load コマンド実行後に直接コピー & ペーストすることでロード

ロードするコンフィグの形式によって選択が可能（ツリー形式、set 形式）

• SRX

ツリー形式

- ロード開始の準備

- コンフィグのロード（Ctrl + D で確定、 Ctrl + C でキャンセル）

- 設定を commit

root@SRX300# load override terminal

[Type ^D at a new line to end input]

root@SRX300# commit

commit complete



• SRX

set 形式

- コンフィグの削除

- ロード開始の準備

- コンフィグのロード（Ctrl + D で確定、 Ctrl + C でキャンセル）

- 設定を commit

root@SRX300# load set terminal

[Type ^D at a new line to end input]

root@SRX300# commit

commit complete

root@SRX300# delete

This will delete the entire configuration

Delete everything under this level? [yes,no] (no) yes



SRX は設定ファイルのローカル保存およびロードが可能

• SRX

- 設定ファイルの保存

- 設定ファイルの確認

- 設定ファイルのロード

root@SRX300# save filename

root@SRX300# load override filename

root@SRX300# commit

root@SRX300# run file list detail

/cf/root/:

total blocks: 36

-rw-r--r-- 1 root wheel 361 Mar 4 17:58 .cshrc

-rw-r--r-- 1 root wheel 1090 Mar 4 17:58 .login

-rw-r--r-- 1 root wheel 215 Mar 4 17:58 .profile

-rw-r--r-- 1 root wheel 6962 May 22 16:01 SRX300.cfg

total files: 4



SSG は TFTP サーバへコンフィグをバックアップ

SRX は FTP サーバ等へコンフィグをバックアップ

• SSG

• SRX

- ツリー形式のコンフィグバックアップ

- set 形式のコンフィグバックアップ

root@SRX300# save ftp://user-name:password@ip-address/filename

root@SRX300# show | display set | save ftp://user-name:password@ip-address/filename

SSG5-> save config to tftp ip-address filename


SSG は TFTP サーバからコンフィグを一旦コンパクトフラッシュに読み込み

再起動することでリストア

SRX は FTP サーバ等から再起動せずリストア可能

• SSG

- TFTP サーバからのコピー

- 再起動

24


SSG5-> save config from tftp ip-address filename to flash

SSG5-> reset

System reset, are you sure? y/[n] y

In reset ...



• SRX

- FTP サーバからのコピー

- コンフィグのリストア

- ツリー形式のコンフィグのリストア

- set 形式のコンフィグのリストアroot@SRX300# load set filename

root@SRX300# commit

root@SRX300# load override filename

root@SRX300# commit

root@SRX300> ftp ip-address

220 3Com 3CDaemon FTP Server Version 2.0

Name (10.1.1.1:root): user-name

331 User name ok, need password

Password: password

230 User logged in

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> get filename


2-3．レスキュー設定

SSG はレスキューコンフィグのリストア時に再起動が必要

SRX は再起動なしでリストア可能

• SSG

- レスキューコンフィグの作成

- レスキューコンフィグの状態へリストア

• SRX

- レスキューコンフィグの作成

- レスキューコンフィグの状態へリストア

root@SRX300> request system configuration rescue save

root@SRX300# rollback rescue

root@SRX300# commit

SSG5-> save config to last-known-good

SSG5-> exec config rollback


2-4．OS アップグレード

SSG は TFTPサーバ経由で OS をアップグレード

SRX はローカルファイルや FTP サーバ経由で OS をアップグレード

• SSG

• SRX

- ローカルファイルでの OS アップグレード

- FTPサーバより直接 OS アップグレード

root@SRX300> request system software add directory/filename

root@SRX300> request system software add ftp://user-name:password@ip-address/filename

SSG5-> save software from tftp ip-address filename to flash


2-5．パスワードリカバリー手順（1/3）

SSG はパスワードのみのリカバリーが不可のためコンフィグ初期化が必要

SRX は root ユーザのパスワード初期化が可能

• SSG

- 以下いずれかの方法でコンフィグ初期化

- リカバリーピンホールを押しながら電源を入れる

-ユーザ名、パスワード共にシリアル番号を入力



• SRX

- 機器起動中に以下を実行--- snip ---

/kernel data=0xba0974+0x152ba4 syms=[0x4+0xa0810+0x4+0xf0441]

Hit [Enter] to boot immediately, or space bar for command prompt.

Booting [/kernel] in 1 second...

Type '?' for a list of commands, 'help' for more detailed help.

loader> boot -s

Kernel entry at 0x801000c0 ...

--- snip ---

System watchdog timer disabled

Enter full pathname of shell or ‘recovery’ for root password recovery or RETURN for /bin/sh:

recovery

Performing system setup ...

スペースキーを押下

シングルユーザモードでブート

パスワードリカバリーを開始


• SRX （続き）

30


--- snip ---

Starting CLI ...

root@SRX300> configure

Entering configuration mode

[edit]

root@SRX300> set system root-authentication plain-text-password

New password:

Retype new password:

[edit]

root# commit

commit complete

[edit]

root# exit

Exiting configuration mode

root> exit

Reboot the system? [y/n] y

Terminated

Configuration モードへ

新しいパスワードを 2回入力

設定を commit

再起動


第3章：管理設定

Administration設定

31


3-1．管理アカウントの設定

3-2．初期設定

3-3．IP アドレス設定

3-4．ログ設定

3-5．NTP

3-6．SNMP

アジェンダ

32


3-1．管理アカウントの設定（1/2）

SSG と SRX は共に管理者アカウントとしてデフォルトのユーザが存在

• SSG

- ユーザ名：netscreen パスワード：netscreen

- 以下のコマンドでユーザ名、パスワードの変更が可能

• SRX

- ユーザ名：root パスワード：なし

- 以下のコマンドでパスワードを設定

SSG5-> set admin name user-name

SSG5-> set admin password password

root@SRX300# set system root-authentication plain-text-password



33


3-1．管理アカウントの設定（2/2）

SSG は 2つの権限が設定可能

SRX はクラスを使い権限の割り当てが可能

• SSG

• SRX

- デフォルトで 4つのクラス（operator、read-only、super-user、unauthorized）

SSG5-> set admin user user-name password password privilege [all | read-only]

root@SRX300# set system login user user-name class class-name authentication plain-text-

password



34


3-2．初期設定（1/2）

SSG はホスト名、タイムゾーン、サマータイム、時間を設定

SRX はホスト名、タイムゾーン、時間を設定

• SSG

• SRX

SSG5-> set hostname host-name

SSG5-> set clock timezone 9

SSG5-> set clock dst-off

SSG5-> set clock mm/dd/yyyy hh:mm:ss

root@SRX300# set system host-name host-name

root@SRX300# set system time-zone Asia/Tokyo

root@SRX300# run set date YYYYMMDDhhmm.ss


3-2．初期設定（2/2）

時間設定の確認

• SSG

• SRX

SSG5-> get clock

Date 11/21/2013 11:27:15, Daylight Saving Time disabled

The Network Time Protocol is Disabled

Up 14 hours 24 minutes 8 seconds Since 20Nov2013:21:03:07

1385033235.948425 seconds since 1/1/1970 0:0:0 GMT

GMT time zone area 9:00

GMT time zone offset -9:00

root@SRX300> show system uptime

Current time: 2018-05-25 09:06:36 UTC

Time Source: LOCAL CLOCK

System booted: 2018-05-17 15:19:33 UTC (1w0d 17:47 ago)

Protocols started: 2018-05-17 15:19:33 UTC (1w0d 17:47 ago)

Last configured: 2018-05-21 17:24:04 UTC (3d 15:42 ago) by root

9:06AM up 7 days, 17:47, 1 user, load averages: 0.12, 0.11, 0.08


3-3．IP アドレス設定（1/3）

SRX のポートは L2 と L3 の 2種類

IP アドレスを設定するポートに L2 が設定されている場合は削除が必要

（SSG のブリッジグループに類似）

• SRX

- ポートの状態の確認

- L2 設定の削除

root@SRX300> show interfaces terse

Interface Admin Link Proto Local Remote

ge-0/0/1 up up

ge-0/0/1.0 up up eth-switch

ge-0/0/2 up up

ge-0/0/2.0 up up inet 10.1.1.254/24

L2設定

L3 設定

root@SRX300# delete interfaces ge-0/0/1 unit 0 family ethernet-switching



SSG はインタフェースと IP アドレスを設定

SRX はインタフェースとロジカルユニット、アドレスファミリー、IP アドレスを設定

• SSG

• SRX

＜設定例＞

ge-0/0/1 の unit 0 に IPv4 のアドレス 10.1.1.1/24を設定

root@SRX300# set interfaces interface-name unit number family inet address ip-address

SSG5-> set interface interface-name ip ip-address

root@SRX300# set interfaces ge-0/0/1 unit 0 family inet address 10.1.1.1/24



IP アドレスの確認

• SSG

• SRX

SSG5-> get interface

A - Active, I - Inactive, U - Up, D - Down, R - Ready

Interfaces in vsys Root:

Name IP Address Zone MAC VLAN State VSD

bri0/0 0.0.0.0/0 Untrust N/A - D -

eth0/0 10.1.8.254/24 Trust 001b.c035.c980 - U -

root@SRX300> show interfaces terse


ge-0/0/0 up up

ge-0/0/0.0 up up

～途中省略～ge-0/0/1 up up

ge-0/0/1.0 up up inet 10.1.1.1/24

ユニット番号


3-4．ログ設定（1/3）

SSG はイベントログやトラフィックログを機器に保存し get log で確認可能

SRX は設定のログを /var/log 配下のファイルとして保存し show log で確認可能

• SSG

• SRX

SSG5-> get log event

Total event entries = 56

Date Time Module Level Type Description

2013-11-22 10:44:30 system warn 00515 Admin user netscreen has logged on via

the console

root@SRX300> show log messages

Nov 21 11:39:31 SRX300 login[3055]: LOGIN_INFORMATION: User root logged in from host

[unknown] on device ttyu0

Nov 21 11:39:41 SRX300 login: Login attempt for user root from host [unknown]


3-4．ログ設定（2/3）

SSG はログの保存先は固定

SRX はログの保存先をファイル名、ファシリティ、レベルで設定可能

• SRX

- ログ設定

- 文字列を指定することでフィルターが可能

root@SRX300# set system syslog file file-name facility level

root@SRX300# set system syslog file file-name match regular-expression


3-4．ログ設定（3/3）

SSG はログの単位で syslog サーバへ転送するかを設定

SRX はファシリティ等で転送するログを指定

• SSG

• SRX

SSG5-> set syslog config server-address log ( event | traffic | event )

SSG5-> set syslog enable

root@SRX300# set system syslog host server-address facility level

※SRX のトラフックログに関しては、ログの収集モードによって設定が異なる

「第6章セキュリティポリシー」で別途詳細


3-5．NTP

SSG は NTP の有効化と NTP サーバを指定

SRX は NTP サーバを指定

• SSG

• SRX

SSG5-> set clock ntp

SSG5-> set ntp server server-address

root@SRX300# set system ntp server server-address


3-6．SNMP

SSG は SNMP コミュニティと SNMP ホストを設定

SRX は SNMP コミュニティと SNMP トラップグループを設定

• SSG

- SNMP v1、v2c をサポート

• SRX

- SNMP v1、v2c、v3 をサポート

SSG5-> set snmp community community-name ( Read-Write | Read-Only ) trap-off version v2c

SSG5-> set snmp host community-name manager-address trap v2

root@SRX300# set snmp community community-name authorization ( read-write | read-only )

root@SRX300# set snmp trap-group group-name version v2

root@SRX300# set snmp trap-group group-name targets manager-address

root@SRX300# set snmp trap-group group-name categories category


第4章：ゾーン / ルーティング

セキュリティゾーン、スタティックルートの設定

45


4-1．ゾーンのアーキテクチャの違い

4-2．ゾーンの種類

4-3．ゾーンの作成と割当て

4-4．host-inbound-traffic の設定

4-5．管理サービス

4-6．スタティックルートの設定

4-7．ルーティングテーブル

アジェンダ

46


SSG はインタフェースがゾーンに所属し、ゾーンがバーチャルルータに所属するアーキテクチャ

SRX はインタフェースがゾーンとルーティングインスタンス（バーチャルルータ）に所属し、ゾーンとルーティングインスタンスの主従関係がないアーキテクチャ

4-1．ゾーンのアーキテクチャの違い

SSG アーキテクチャ

Interface ZoneVirtual

Router

Interface

Routing

InstanceZone

SRX アーキテクチャ

47


4-2．ゾーンの種類（1/2）

SSG と SRX は共に以下のゾーンが存在

• Security zone

• Functional zone

- SSG では複数の種類が存在したが、SRX は Management のみ

- Management zoneは受信したトラフィックをルーティングしない

• Null zone

さらに SRX には自身への受信トラフィックおよび自身からの送信トラフィックをポリシー制御するためのデフォルトゾーンが存在

• junos-host zone

48


4-2．ゾーンの種類（2/2）

ゾーンの確認

• SSG

• SRX

SSG5-> get zone

Total 14 zones created in vsys Root - 8 are policy configurable.

Total policy configurable zones for Root is 8.

------------------------------------------------------------------------

ID Name Type Attr VR Default-IF VSYS

0 Null Null Shared untrust-vr null Root

1 Untrust Sec(L3) Shared trust-vr ethernet0/1 Root

2 Trust Sec(L3) trust-vr bgroup0 Root

root@SRX300> show security zones

--- snip ---

Security zone: trust

Send reset for non-SYN session TCP packets: Off

Policy configurable: Yes

Interfaces bound: 1

Interfaces:

ge-0/0/1.0

--- snip ---


4-3．ゾーンの作成と割り当て（1/3）

SSG はゾーンを作成し、インタフェースに対してゾーンを割り当て

SRX はゾーンを作成し、ゾーンに対してインタフェースを割り当て

• SSG

• SRX

- Security zone の作成

- Functional zone の作成

SSG5-> set zone name zone-name

root@SRX300# set security zones security-zone zone-name

root@SRX300# set security zones functional-zone management

50



• SSG

- インタフェースへのゾーン割り当て

- インタフェースの割り当てゾーンの確認

SSG5-> set interface interface-name zone zone-name

SSG5-> get interface interface-name

Interface ethernet0/1:

description ethernet0/1

number 5, if_info 2040, if_index 0, mode route

link up, phy-link up/full-duplex, admin status up

status change:1, last change:11/24/2013 11:20:54

vsys Root, zone Untrust, vr trust-vr

dhcp client disabled

51



• SRX

- ゾーンへのインタフェース割り当て

- インタフェースの割り当てゾーンの確認root@SRX300> show interfaces interface-name

Logical interface ge-0/0/1.0 (Index 84) (SNMP ifIndex 522)

Flags: Device-Down SNMP-Traps 0x0 Encapsulation: ENET2

Input packets : 0

Output packets: 0

Security: Zone: trust

--- snip ---

root@SRX300# set security zones security-zone zone-name interfaces interface-name


4-4．host-inbound-traffic の設定（1/3）

SSG はインタフェースの manage オプションで自身宛のトラフィックを設定

SRX はセキュリティゾーンの host-inbound-traffic オプションで設定

• SSG

• SRX

- 管理サービスの設定

- ネットワークプロトコルの指定

SSG5-> set interface interface-name manage service-name

root@SRX300# set security zones security-zone zone-name interfaces interface-name host-

inbound-traffic system-services service-name

root@SRX300# set security zones security-zone zone-name interfaces interface-name host-

inbound-traffic protocols protocol-name



SRX はゾーン配下とインタフェース配下の両方に設定可能

両方に設定した場合はインタフェースの設定が優先

• SRX

＜設定例＞

ge-0/0/0 インタフェースは、telnetのみ許可

ge-0/0/1 インタフェースは、ssh のみ許可

zone ゾーン名

host-inbound-traffic ～

host-inbound-traffic ～

interfaces インタフェース名

root@SRX300# set security zones security-zone trust interfaces ge-0/0/0

root@SRX300# set security zones security-zone trust interfaces ge-0/0/1

root@SRX300# set security zones security-zone trust host-inbound-traffic system-services ssh

root@SRX300# set security zones security-zone trust interfaces ge-0/0/0 host-inbound-traffic

system-services telnet



host-inbound-traffic の確認

• SSG

• SRX

root@SRX300> show interfaces interface-name

Logical interface ge-0/0/1.0 (Index 84) (SNMP ifIndex 522)

Flags: Device-Down SNMP-Traps 0x0 Encapsulation: ENET2

--- snip ---

Security: Zone: trust

Allowed host-inbound traffic : bootp bfd bgp dns dvmrp igmp ldp msdp nhrp

ospf pgm pim rip router-discovery rsvp sap vrrp dhcp finger ftp tftp

ident-reset http https ike netconf ping reverse-telnet reverse-ssh rlogin

rpm rsh snmp snmp-trap ssh telnet traceroute xnm-clear-text xnm-ssl lsping

ntp sip r2cp webapi-clear-text webapi-ssl tcp-encap

SSG5-> get interface interface-name



--- snip ---

pmtu-v4 disabled

ping disabled, telnet enabled, SSH disabled, SNMP disabled

web disabled, ident-reset disabled, SSL disabled


4-5．管理サービス（1/3）

SSG は ssh の有効化が必要

SRX は各サービス（ssh、telnet、ftp、web など）の system services 設定で個別に指定

• SSG

- ssh の有効化

- 有効化の確認

SSG5-> set ssh enable

SSG5-> get ssh

SSH V2 is active

SSH is enabled

SSH is ready for connections

Maximum sessions: 4

--- snip ---



• SRX

- sshの有効化

- 有効化の確認

- J-Web 接続はインタフェース制限が設定可能（オプション）

※指定がない場合は全インタフェースで受信可能

root@SRX300# set system services ssh

root@SRX300> show system connections

root> show system connections

Active Internet connections (including servers)

Proto Recv-Q Send-Q Local Address Foreign Address (state)

tcp46 0 0 *.443 *.* LISTEN

--- snip ---

tcp4 0 0 *.23 *.* LISTEN

tcp4 0 0 *.22 *.* LISTEN

--- snip ---

root@SRX300# set system services web-management http interface interface-name



SSG は管理アクセス可能な IP アドレス制限を manager-ip オプションで設定

SRX は lo0 に Firewall Filter を適用して IP アドレスの制限を設定

• SSG

• SRX

＜設定例＞

10.1.1.0/24 からの接続のみを許可

SSG5-> set admin manager-ip ip-address mask

root@SRX300# set firewall family inet filter TELNET-FILTER term TERM1 from source-address

10.1.1.0/24

root@SRX300# set firewall family inet filter TELNET-FILTER term TERM1 then accept

root@SRX300# set interfaces lo0 unit 0 family inet filter input TELNET-FILTER


4-6．スタティックルートの設定

SSG は宛先アドレス、出力インタフェース、ネクストホップを指定

SRX は宛先アドレス、ネクストホップを指定

• SSG

• SRX

SSG5-> set route dst-prefix interface-name gateway next-hop

root@SRX300# set routing-options static route dst-prefix next-hop next-hop


4-7．ルーティングテーブル（1/2）

SSG はルーティングテーブルを転送に使用

SRX はルーティングテーブルからフォワーディングテーブルが作成され、パケット転送に使用

• SSG

- ルーティングテーブルの確認

SSG5-> get route

--- snip ---

IPv4 Dest-Routes for <trust-vr> (7 entries)

-------------------------------------------------------------------- ID IP-

Prefix Interface Gateway P Pref Mtr Vsys

--------------------------------------------------------------------------------------

* 7 0.0.0.0/0 eth0/1 10.254.1.254 S 20 1 Root

* 3 10.254.1.0/24 eth0/1 0.0.0.0 C 0 0 Root

* 6 192.168.1.1/32 bgroup0 0.0.0.0 H 0 0 Root


4-7．ルーティングテーブル（2/2）

• SRX

- ルーティングテーブルの確認

- フォワーディングテーブルの確認

root@SRX300> show route

inet.0: 7 destinations, 7 routes (7 active, 0 holddown, 0 hidden)

+ = Active Route, - = Last Active, * = Both

0.0.0.0/0 *[Static/5] 00:00:32

> to 172.16.7.1 via ge-0/0/14.0

10.1.7.0/24 *[Direct/0] 00:26:14

> via ge-0/0/4.0

root@SRX300> show route forwarding-table

Routing table: default.inet

Internet:

Destination Type RtRef Next hop Type Index NhRef Netif

default user 0 2c:6b:f5:62:4c:87 ucst 568 3 ge-0/0/14.0

default perm 0 rjct 36 1

0.0.0.0/32 perm 0 dscd 34 1

10.1.7.0/24 intf 0 rslv 551 1 ge-0/0/4.0

10.1.7.0/32 dest 0 10.1.7.0 recv 549 1 ge-0/0/4.0

10.1.7.254/32 intf 0 10.1.7.254 locl 550 2

61


第5章：オブジェクト

ポリシーオブジェクトの設定

62


5-1．アドレスオブジェクト

5-2．グローバルオブジェクト

5-3．アプリケーションオブジェクト

アジェンダ

63


5-1．アドレスオブジェクト（1/4）

SSG はネットワークを表すオブジェクトとしてアドレスブックをゾーン配下に作成

SRX はオブジェクトとしてセキュリティアドレスをアドレスブック配下に作成し、ゾーンはアドレスブックに割り当て

• SSG

• SRX

SSG5-> set address zone-name book-name ip-prefix

root@SRX300# set security address-book book-name address address-name ip-prefix

root@SRX300# set security address-book book-name attach zone zone-name

64



• SRX

＜設定例＞

trustゾーンのアドレスブック book1に ServerA として 10.1.1.1/32、

ServerB として 10.1.1.2/32、ServerC として 10.1.1.3/32 を登録

root@SRX300# set security address-book book1 address ServerA 10.1.1.1/32

root@SRX300# set security address-book book1 address ServerB 10.1.1.2/32

root@SRX300# set security address-book book1 address ServerC 10.1.1.3/32

root@SRX300# set security address-book book1 attach zone trust

アドレスブック：book1ServerA

10.1.1.1

ServerB

10.1.1.2

ServerC

10.1.1.3

65



SSG は複数のアドレスブックをアドレスグループとしてグループ化

SRX は複数のセキュリティアドレスをセキュリティアドレスセットとしてグループ化

• SSG

• SRX

SSG5-> set group address zone-name address-group-name add book-name

root@SRX300# set security address-book book-name address-set address-set-name address

address-name

66



• SRX

＜設定例＞

trustゾーンのアドレスブック book1に ServerA、ServerB、ServerC を登録

ServerA、ServerB、ServerC をアドレスセット Servers としてグループ化

root@SRX300# set security address-book book1 address ServerA 10.1.1.1/32

root@SRX300# set security address-book book1 address ServerB 10.1.1.2/32

root@SRX300# set security address-book book1 address ServerC 10.1.1.3/32

root@SRX300# set security address-book book1 attach zone trust

root@SRX300# set security address-book book1 address-set Servers address ServerA

root@SRX300# set security address-book book1 address-set Servers address ServerB

root@SRX300# set security address-book book1 address-set Servers address ServerC

アドレスブック：book1

アドレスセット：Servers

67


5-2．グローバルオブジェクト

SRX ではどのゾーンにも属さない global アドレスブックを作成し、セキュリティポリシーや NATルールで使用可能

• SRX

root@SRX300# set security address-book global address address-name ip-prefix

68


5-3．アプリケーションオブジェクト（1/2）

事前定義されているアプリケーションの確認

• SSG

• SRX

SSG5-> get service pre-defined

Name Proto Port Group Timeout(min|10sec*) Flag

ANY 0 0/65535 other default Pre-defined

AOL 6 5190/5194 remote 30 Pre-defined

APPLE-ICHAT-SNATMAP 17 5678 other 1 Pre-defined

root@SRX300> show configuration groups junos-defaults applications

#

# File Transfer Protocol

#

application junos-ftp {

application-protocol ftp;

protocol tcp;

destination-port 21;

--- snip ---

69


5-3．アプリケーションオブジェクト（2/2）

カスタムアプリケーションの設定

• SSG

• SRX

SSG5-> set service service-name protocol value src-port port-identifier dst-port port-

identifier timeout minutes

root@SRX300# set applications application application-name application-protocol protocol-

name

root@SRX300# set applications application application-name protocol value

root@SRX300# set applications application application-name destination-port port-identifier

root@SRX300# set applications application application-name inactivity-timeout seconds

70


第6章：セキュリティポリシー

セキュリティポシリーの設定

71


6-1．ポリシーの基本設定

6-2．セッションテーブルの確認

6-3．同じゾーン内のトラフィック

6-4．デフォルトポリシー

6-5．ポリシーの並び替え

6-6．policy-rematch

6-7．ポリシーの統計情報

6-8．ポリシーのロギング

アジェンダ

72


6-1．ポリシーの基本設定（1/3）

SSG は各ポリシーを識別するためにポリシー ID を使用

SRX はユーザが設定するポリシー名でポリシーを識別

• SSG

• SRX

SSG5-> set policy from src-zone-name to dst-zone-name src-address-book dst-address-book

service action

root@SRX300# set security policies from-zone src-zone-name to-zone dst-zone-name policy

policy-name match source-address src-address-book


policy-name match destination-address dst-address-book


policy-name match application service


policy-name then action

73



ポリシーの確認

• SSGSSG5-> get policy

Total regular policies 3, Default deny, Software based policy search, new policy enabled.

ID From To Src-address Dst-address Service Action State ASTLCB

1 Trust Untrust PrivateNetw~ ServerNetwo~ FTP Permit enabled -----X

HTTP

PING

SSH

2 Trust Untrust Any Any ANY Deny enabled ---X-X

SSG5-> get policy id-number

name:"none" (id 1), zone Trust -> Untrust,action Permit, status "enabled"

1 source: "PrivateNetwork"

1 destination: "ServerNetwork"

4 services: "FTP", "HTTP", "PING", "SSH"

Rules on this VPN policy: 0

nat off, Web filtering : disabled

vpn unknown vpn, policy flag 00000000, session backup: on, idle reset: on

traffic shaping off, scheduler n/a, serv flag 00

log no, log count 0, alert no, counter no(0) byte rate(sec/min) 0/0

--- snip ---

74



• SRXroot@SRX300> show security policies

Default policy: deny-all

From zone: trust, To zone: untrust

Policy: Trust-to-Untrust, State: enabled, Index: 6, Scope Policy: 0, Sequence number: 1

Source addresses: PrivateNetwork

Destination addresses: ServerNetwork

Applications: junos-ssh, junos-ping, junos-http, junos-ftp

Action: permit

root@SRX300> show security policies detail policy-name policy-name

Policy: Trust-to-Untrust, action-type: permit, State: enabled, Index: 6, Scope Policy: 0

Policy Type: Configured

Sequence number: 1


Source addresses:

PrivateNetwork(global): 10.1.7.0/24

Destination addresses:

ServerNetwork(global): 172.16.100.0/24

Application: junos-ssh

IP protocol: tcp, ALG: 0, Inactivity timeout: 1800

Source port range: [0-0]

Destination port range: [22-22]

--- snip ---


6-2．セッションテーブルの確認（1/4）

セッションテーブルの確認

• SSG

• SRX

SSG5-> get session

alloc 1/max 16064, alloc failed 0, mcast alloc 0, di alloc failed 0

total reserved 0, free sessions in shared pool 16063

id 16059/s**,vsys 0,flag 08000040/0000/0001/0000,policy 1,time 179, dip 0 module 0

if 0(nspflag 801801):10.1.8.1/8121->172.16.100.1/21,6,00155d07e115,sess token 3,vlan 0,tun

0,vsd 0,route 1,wsf 0

if 5(nspflag 801800):10.1.8.1/8121<-172.16.100.1/21,6,0019e2475b00,sess token 4,vlan 0,tun


Total 1 sessions shown

root@SRX300> show security flow session

Session ID: 23351, Policy name: Trust-to-Untrust/5, Timeout: 1790, Valid

In: 10.1.7.1/9621 --> 172.16.100.1/21;tcp, If: ge-0/0/4.0, Pkts: 7, Bytes: 315

Out: 172.16.100.1/21 --> 172.16.7.254/19963;tcp, If: ge-0/0/14.0, Pkts: 6, Bytes: 396

Total sessions: 1



セッションテーブル詳細情報の確認

• SSGSSG5-> get session id session-identifier

id 16059(00003ebb), flag 08000040/0000/0001/0000, vsys id 0(Root)

policy id 1, application id 0, dip id 0, state 0

current timeout 1780, max timeout 1800 (second)

status normal, start time 687620, duration 0

session id mask 0, app value 0

ethernet0/0(vsd 0): 10.1.8.1/17136->172.16.100.1/23, protocol 6 session token 3 route 1

gtwy 172.16.100.1, mac 00155d07e115, nsptn info 0, pmtu 1500

flag 801801, diff 0/0

port seq 0, subif 0, cookie 0, fin seq 0, fin state 0

ethernet0/1(vsd 0): 10.1.8.1/17136<-172.16.100.1/23, protocol 6 session token 4 route 7

gtwy 10.254.1.254, mac 0019e2475b00, nsptn info 0, pmtu 1500

flag 801800, diff 0/0

port seq 0, subif 0, cookie 0, fin seq 0, fin state 0

77



• SRXroot@SRX300> show security flow session session-identifier

Session ID: 42705, Status: Normal

Flag: 0x42

Policy name: Trust-to-Untrust/4

Source NAT pool: Null, Application: junos-ftp/1

Dynamic application: junos:UNKNOWN,

Encryption: Unknown

Application traffic control rule-set: INVALID, Rule: INVALID

Maximum timeout: 1800, Current timeout: 1738

Session State: Valid

Start time: 245117, Duration: 64

In: 10.1.7.1/19117 --> 172.16.100.1/21;tcp,

Interface: ge-0/0/4.0,

Session token: 0x6, Flag: 0x2621

Route: 0xf0010, Gateway: 10.1.7.1, Tunnel: 0

Port sequence: 0, FIN sequence: 0,

FIN state: 0,

Pkts: 7, Bytes: 315

Out: 172.16.100.1/21 --> 10.1.7.1/19117;tcp,

Interface: ge-0/0/14.0,

Session token: 0x7, Flag: 0x2620

Route: 0xe0010, Gateway: 172.16.7.1, Tunnel: 0

--- snip ---

78



セッションテーブル統計情報の確認

• SSG

• SRX

SSG5-> get session info



root@SRX300> show security flow session summary

Unicast-sessions: 7

Multicast-sessions: 0

Failed-sessions: 0

Sessions-in-use: 9

Valid sessions: 0

Pending sessions: 0

Invalidated sessions: 2

Sessions in other states: 0

Maximum-sessions: 65536

79


6-3．同じゾーン内のトラフィック

SSG は同じゾーン内のトラフィックの許可または拒否を Intra-zone block で設定

SRX はデフォルトは拒否、トラフィックを許可したい場合は明示的にポリシーを設定

• SSG

- Intra-zone blockの設定

- Intra-zone blockの確認

SSG5-> set zone trust block

SSG5-> get zone trust

Zone name: Trust, id: 2, type: Security(L3), vsys: Root, vrouter:trust-vr

Intra-zone block: On, attrib: Non-shared, flag:0x6288

TCP non SYN send reset: On

IP/TCP reassembly for ALG on traffic from/to this zone: No

Asymmetric vpn: Disabled

Policy Configurable: Yes

PBR policy: None

Interfaces bound:2．Designated ifp is bgroup0

80


6-4．デフォルトポリシー（1/2）

SSG と SRX は共にデフォルトでポリシーにマッチしないトラフィックは deny だがpermit へ変更可能

• SSG

- permit へ変更

- デフォルトアクションの確認

SSG5-> set policy default-permit-all

SSG5-> get policy

Total regular policies 4, Default permit, Software based policy search, new policy enabled.

ID From To Src-address Dst-address Service Action State ASTLCB

1 Trust Untrust PrivateNetw~ ServerNetwo~ FTP Permit enabled ---XXX

2 Trust Untrust Any Any ANY Deny enabled ---X-X

81


6-4．デフォルトポリシー（2/2）

• SRX

- permit へ変更

- デフォルトアクションの確認

root@SRX300# set security policies default-policy permit-all

root@SRX300> show security policies

Default policy: permit-all


Policy: Trust-to-Untrust-Global, State: enabled, Index: 6, Scope Policy: 0, Sequence

number: 1

Source addresses: Private

Destination addresses: Server

Applications: any

Action: permit, log

82


6-5．ポリシーの並び替え

SSG は move コマンドを使用しポリシーを並び替え

SRX は insert コマンドを使用しポリシーを並び替え

• SSG

• SRX

SSG5-> set policy move id-number before id-number

root@SRX300# insert security policies from-zone src-zone-name to-zone dst-zone-name policy

policy-name before policy policy-name

SSG5-> set policy move id-number after id-number

root@SRX300# insert security policies from-zone src-zone-name to-zone dst-zone-name policy

policy-name after policy policy-name

- before policy XX policy XX の前に挿入

- after policy XX policy XX の後に挿入

83


6-6．policy-rematch

SRX はセッションを生成したポリシー自体が変更されたとき、通信中のセッションの挙動を設定可能

• SRXroot@SRX300# set security policies policy-rematch

ポリシーに対しての操作デフォルトの動作 policy-rematch が有効

ポリシーの削除セッションは削除セッションは削除

アクションの変更（permit から deny・reject）

セッションは維持セッションは削除

アドレスブックの変更セッションは維持セションが新しいポリシーに一致するか再チェック

アプリケーションの変更セッションは維持セッションが新しいポリシーに一致するか再チェック

84


6-7．ポリシーの統計情報（1/2）

SSG はポリシーに count オプションを設定

SRX はポリシーのアクションに count オプションを設定

• SSG

- count オプションの設定

- 統計情報の確認

SSG5-> set policy id id-number

SSG5(policy:1)-> set count

SSG5-> get counter policy id-number ( day | hour | minute | month | secound )

PID: 1, Interval: Second, Unit: Byte/Sec, End Time: 30Nov2013:16:12:19

000-002: 00000000000000000148 00000000000000000148 00000000000000000148

003-005: 00000000000000000148 00000000000000000148 00000000000000000148

006-008: 00000000000000000148 00000000000000000148 00000000000000000148

009-011: 00000000000000000148 00000000000000000148 00000000000000000148

012-014: 00000000000000000148 00000000000000000148 00000000000000000148

015-017: 00000000000000000148 00000000000000000148 00000000000000000148

85


6-7．ポリシーの統計情報（2/2）

• SRX

- count オプションの設定

- 統計情報の確認


policy-name then count

root@SRX300> show security policies detail policy-name policy-name

Policy: Trust-to-Untrust, action-type: permit, State: enabled, Index: 4, Scope Policy: 0

--- snip ---

Session log: at-create, at-close

Policy statistics:

Input bytes : 18144 545 bps

Initial direction: 9072 272 bps

Reply direction : 9072 272 bps

Output bytes : 18144 545 bps



Input packets : 216 6 pps



--- snip ---

86


6-8．ポリシーのロギング（1/5）

SSG はポリシーに log オプションを設定

SRX はポリシーのアクションに log オプションを設定

• SSG

- log オプションの設定

- トラフィックログの確認


service action log

SSG5-> get log traffic

PID 1, from Trust to Untrust, src PrivateNetwork, dst ServerNetwork, service FTP HTTP PING SSH, action

Permit

======================================================================================================

Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface

Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface

======================================================================================================

2013-11-25 14:56:49 0:00:00 10.1.8.1 7811 172.16.100.1 21 FTP 16057 ethernet0/0

Creation 6 10.1.8.1 7811 172.16.100.1 21 1 ethernet0/1

2013-11-25 14:56:42 0:00:00 10.1.8.1 7810 172.16.100.1 80 HTTP 16063 ethernet0/0

Creation 6 10.1.8.1 7810 172.16.100.1 80 1 ethernet0/1

87



• SRX

- log オプションの設定

- syslogの設定

- トラフィックログ（セキュリティログ）の確認


policy-name then log ( session-init | session-close )

root@SRX300# set system syslog file file-name any any

root@SRX300# set system syslog file file-name match RT_FLOW_SESSION

※トラフィックログの”RT_FLOW_SESSION” の文字列でフィルタ

root@SRX300> show log file-name

Nov 25 15:38:13 SRX300 RT_FLOW: RT_FLOW_SESSION_CREATE: session created 10.1.7.1/9423-

>172.16.100.1/21 junos-ftp 172.16.7.254/7958->172.16.100.1/21 source-nat-rule None 6 Trust-

to-Untrust trust untrust 21307 N/A(N/A) ge-0/0/4.0 UNKNOWN UNKNOWN UNKNOWN

88



SSG は syslog サーバの設定で traffic もしくは all のオプションの設定が必要

SRX はトラフィックログを Event または Stream モードで syslog サーバへ送信

• SSG

- traffic オプションの設定

- all オプションの設定


SSG5-> set syslog config 10.1.8.1 log traffic


SSG5-> set syslog config 10.1.8.1 log all

89



SRX のトラフィックログ（セキュリティログ）の収集モード

• Event モード

- Control Plane（RE）を経由し syslog サーバへ送信される

- ログが増えると RE の負荷が高くなる可能性がある

- 最大1500 events/sec の制限

• Stream モード

- Data Plane（PFE）から直接 syslog サーバへ転送される

- RE への負荷がかからないため推奨のモード

flowd

Control Plane

Data Plane

/var/log/

eventd

IF

内部ストレージへ

syslog サーバへ

Stream Mode

Event

mode

SRX セキュリティログ収集モードの動作フロー

90



• SRX

Event モード

- Event モードの設定

- syslogサーバのアドレス等設定

Stream モード

- Stream モードの設定

- syslogサーバのアドレス、syslog パケットの送信元アドレスの設定（必須）

root@SRX300# set security log mode event

root@SRX300# set system syslog host server-address any any

root@SRX300# set system syslog host server-address match RT_FLOW_SESSION

root@SRX300# set security log stream name host server-address

root@SRX300# set security log source-address src-address

root@SRX300# set security log mode stream

91


第7章： NAT

NATの設定

92


7-1．NAT 設定の比較

7-2．NAT コマンドの書式

7-3．Source NAT

7-4．Destination NAT

7-5．Static NAT

7-6．NAT 処理順序とポリシー

アジェンダ

93


7-1．NAT設定の比較（1/2）

• SSG

ポリシーベース NAT や VIP、MIP など様々な NAT の設定方法が実装

NAT ルールがポリシーに含まれている

宛先 NAT 等では Proxy ARPの設定が必要だが、それ以外の NAT は設定不要

• SRX

NAT は単一の設定に集約

NAT ルールがポリシーから独立

仮想アドレスに関しては ARP に応答しないため、Proxy ARP の設定が必要


7-1．NAT 設定の比較（2/2）

SSG と SRX の設定項目の比較

SSG（ScreenOS） SRX（Junos OS）

インタフェースベース NAT

Source NATNAT src

（ポリシーベース NAT）

NAT dst

（ポリシーベース NAT） Destination NAT

VIP

MIP Static NAT


7-2．NAT コマンドの書式（1/2）

SRX における設定する NAT タイプの指定

• SRX

root@SRX300# set security nat nat-type ・・・・・

Type コマンド

Source NAT source

Destination NAT destination

Static NAT static


7-2．NATコマンドの書式（2/2）

SRX は１つのルールセット配下に複数のルールの設定が可能

複数のルールセットの設定も可能

• SRX

- NAT ルールセットの設定

- NAT ルールの選択条件とそのアクション

root@SRX300# set security nat nat-type rule-set rule-set-name ( from | to ) term parameter

root@SRX300# set security nat nat-type rule-set rule-set-name rule rule-name ( match |

then ) term parameter


7-3．Source NAT（1/10）

SSG はインタフェースベース NAT やポリシーベース NAT src で設定

SRX は Source NAT で設定

• SSG

- インタフェースベース NATの設定

- インタフェースベース NAT の確認

SSG5-> set int interface-name nat

SSG5-> get int interface-name



number 0, if_info 0, if_index 0, mode nat




• SSG

- ポリシーベース NAT の設定（dip）

- NAT の対象になるパケットを指定するためのポリシーを作成

99


SSG5-> set int interface-name dip id start-address end-address ( fix-port )


service nat src dip-id dip-id-number permit



• SRX

- インタフェースベース NAT の設定

＜設定例＞

trust ゾーンから untrust ゾーンへの通信で送信元アドレスが 10.1.7.0/24 の場合、

出力インタフェースのアドレスへ送信元アドレスを変換

root@SRX300# set security nat source rule-set rule-set-name from term parameter

root@SRX300# set security nat source rule-set rule-set-name to term parameter

root@SRX300# set security nat source rule-set rule-set-name rule rule-name match term

parameter

root@SRX300# set security nat source rule-set rule-set-name rule rule-name then source-nat

interface

root@SRX300# set security nat source rule-set Interface-Based-NAT from zone trust

root@SRX300# set security nat source rule-set Interface-Based-NAT to zone untrust

root@SRX300# set security nat source rule-set Interface-Based-NAT rule No1 match source-

address 10.1.7.0/24

root@SRX300# set security nat source rule-set Interface-Based-NAT rule No1 then source-nat

interface



• SRX

- アドレスプールの設定

- ポート変換の有無の設定（デフォルトは変換有）

- Proxy ARP の設定

- ルールセットの設定

root@SRX300# set security nat source pool pool-name address start-address to end-address

root@SRX300# set security nat source rule-set rule-set-name from term parameter

root@SRX300# set security nat source rule-set rule-set-name to term parameter

root@SRX300# set security nat source rule-set rule-set-name rule rule-name match term

parameter

root@SRX300# set security nat source rule-set rule-set-name rule rule-name then source-nat

pool pool-name

root@SRX300# set security nat source pool pool-name port no-translation

root@SRX300# set security nat proxy-arp interface interface-name address start-address to

end-address



• SRX

＜設定例＞

ge-0/0/4 から ge-0/0/5 への通信で送信元アドレスが 10.1.7.0/24 の場合、

172.16.7.10 ～ 172.16.7.15 のプールアドレスへ送信元アドレスを変換

root@SRX300# set security nat proxy-arp interface ge-0/0/5.0 address 172.16.7.10/32 to

172.16.7.15/32

root@SRX300# set security nat source pool Source-NAT address 172.16.7.10/32 to

172.16.7.15/32

root@SRX300# set security nat source pool Source-NAT port no-translation

root@SRX300# set security nat source rule-set Pool-Based-NAT from interface ge-0/0/4.0

root@SRX300# set security nat source rule-set Pool-Based-NAT to interface ge-0/0/5.0

root@SRX300# set security nat source rule-set Pool-Based-NAT rule No11 match source-address

10.1.7.0/24

root@SRX300# set security nat source rule-set Pool-Based-NAT rule No11 then source-nat pool

Source-NAT



送信元 NAT の確認

• SSGSSG5-> get session



id 16057/s**,vsys 0,flag 08000000/0000/0001/0000,policy 10,time 180, dip 4 module 0

if 0(nspflag 801801):10.1.8.1/20880->172.16.100.1/23,6,00155d07e115,sess token 3,vlan 0,tun


if 5(nspflag 10801800):10.254.1.37/1024<-172.16.100.1/23,6,0019e2475b00,sess token 4,vlan

0,tun 0,vsd 0,route 7,wsf 8

Total 1 sessions shown

10.1.8.1：20880172.16.100.1：23

10.254.1.37：1024 172.16.100.1：23



• SRXroot@SRX300> show security flow session

Session ID: 90862, Policy name: Trust-to-Untrust/4, Timeout: 1774, Valid

Resource information : FTP ALG, 1, 0



Total sessions: 1

10.1.7.1：22376172.16.100.1：21

172.16.7.10：22376



• SRXroot@SRX300> show security nat source summary

Total port number usage for port translation pool: 0

Maximum port number for port translation pool: 67108864

Total rules: 1

Rule name Rule set From To Action

No1 Interface-Based-NAT trust untrust interface

No11 Pool-Based-NAT ge-0/0/4.0 ge-0/0/5.0 Source-NAT



• SRXroot@SRX300> show security nat source rule all

Total rules: 1

Total referenced IPv4/IPv6 ip-prefixes: 1/0

source NAT rule: No11 Rule-set: Pool-Based-NAT

Rule-Id : 2

Rule position : 1

From interface : ge-0/0/4.0

To interface : ge-0/0/5.0

Match

Source addresses : 10.1.7.0 - 10.1.7.255

Destination port : 0 - 0

Action : Source-NAT

Persistent NAT type : N/A

Persistent NAT mapping type : address-port-mapping

Inactivity timeout : 0

Max session number : 0

Translation hits : 183

Successful sessions : 183

Failed sessions : 0

Number of sessions : 5



• SRXroot@SRX300> show security nat source pool all

Total pools: 1

Pool name : Source-NAT

Pool id : 4

Routing instance : default

Host address base : 0.0.0.0

Port : no translation

Port overloading : 0

Address assignment : paired

Total addresses : 6

Available addresses: 5


Address range Single Ports Twin Ports

172.16.7.10 - 172.16.7.15 0 0


7-4．Destination NAT（1/7）

SSG はポリシーベースの NAT dst や VIP で設定

SRX は Destination NAT で設定

• SSG

- ポリシーベース NAT dst の設定

- VIP の設定

SSG5-> set int interface-name proxy-arp-entry nat-address

SSG5-> set int interface-name vip nat-before-address service nat-after-address


service nat dst ip nat-address permit



• SRX



root@SRX300# set security nat proxy-arp interface interface-name address nat-address

root@SRX300# set security nat destination pool pool-name address nat-address

root@SRX300# set security nat destination pool pool-name address port port-number

root@SRX300# set security nat destination rule-set rule-set-name from term parameter

root@SRX300# set security nat destination rule-set rule-set-name rule rule-name match term

parameter

root@SRX300# set security nat destination rule-set rule-set-name rule rule-name then

destination-nat pool pool-name



• SRX

＜設定例＞

ge-0/0/5 で 172.16.7.200 の 21番ポート宛への通信を受信した場合、

10.1.7.1の 21番ポートへ宛先アドレスを変換

root@SRX300# set security nat proxy-arp interface ge-0/0/5.0 address 172.16.7.200/32

root@SRX300# set security nat destination pool Destination-NAT address 10.1.7.1/32

root@SRX300# set security nat destination pool Destination-NAT address port 21

root@SRX300# set security nat destination rule-set Pool-Based-NAT-DST from interface ge-

0/0/5.0

root@SRX300# set security nat destination rule-set Pool-Based-NAT-DST rule No21 match

destination-address 172.16.7.200/32

root@SRX300# set security nat destination rule-set Pool-Based-NAT-DST rule No21 match

destination-port 21

root@SRX300# set security nat destination rule-set Pool-Based-NAT-DST rule No21 then

destination-nat pool Destination-NAT



宛先 NAT の確認




id 16058/s**,vsys 0,flag 0c000000/0000/0001/0000,policy 10,time 180, dip 0 module 0

if 5(nspflag 801801):10.1.1.1/1215->10.254.1.121/21,6,001bc035aa85,sess token 4,vlan 0,tun


if 0(nspflag 801800):10.1.1.1/1215<-10.1.8.1/21,6,00155d07e115,sess token 3,vlan 0,tun


10.1.1.1：121510.1.8.1:21

10.254.1.121：21




Session ID: 94022, Policy name: Untrust-to-Trust/5, Timeout: 1792, Valid



Total sessions: 1

172.16.7.1：6197710.1.7.1:21

172.16.7.200：21



• SRX

root@SRX300> show security nat destination summary

Total pools: 1

Pool name Address Routing Port Total

Range Instance Address

Destination-NAT 10.1.7.1 - 10.1.7.1 21 1

Total rules: 1

Rule name Rule set From Action

No21 Pool-Based-NAT-DST ge-0/0/5.0 Destination-NAT

root@SRX300> show security nat destination pool all

Total destination-nat pools: 1

Pool name : Destination-NAT

Pool id : 1

Total address : 1

Translation hits: 5

Address range Port

10.1.7.1 - 10.1.7.1 21



• SRX

root@SRX300> show security nat destination rule all

Total destination-nat rules: 1


Destination NAT rule: No21 Rule-set: Pool-Based-NAT-DST

Rule-Id : 1

Rule position : 1


Destination addresses : 172.16.7.200 - 172.16.7.200

Destination port : 21

Action : Destination-NAT



Failed sessions : 0



7-5．Static NAT（1/5）

SSG は MIP で設定

SRX は Static NAT で設定

• SSG

- MIP の設定

• SRX



SSG5-> set int interface-name mip nat-before-address host nat-after-address netmask

subnetmask vrouter vr-name

root@SRX300# set security nat proxy-arp interface interface-name address nat-address

root@SRX300# set security nat static rule-set rule-set-name from term parameter

root@SRX300# set security nat static rule-set rule-set-name rule rule-name match term

parameter

root@SRX300# set security nat static rule-set rule-set-name rule rule-name then static-nat

prefix nat-address



• SRX

＜設定例＞

10.1.7.1 と 172.16.7.210 を Static NAT

root@SRX300# set security nat proxy-arp interface ge-0/0/5.0 address 172.16.7.210/32

root@SRX300# set security nat static rule-set Static-NAT from interface ge-0/0/5.0

root@SRX300# set security nat static rule-set Static-NAT rule No31 match destination-address

172.16.7.210/32

root@SRX300# set security nat static rule-set Static-NAT rule No31 then static-nat prefix

10.1.7.1/32



Static NAT の確認




id 16060/s**,vsys 0,flag 0c000000/0000/0001/0000,policy 12,time 180, dip 0 module 0

if 5(nspflag 801801):10.1.1.1/1386->10.254.1.141/21,6,001bc035aa85,sess token 4,vlan 0,tun


if 0(nspflag 801800):10.1.1.1/1386<-10.1.8.1/21,6,00155d07e115,sess token 3,vlan 0,tun


10.1.1.1：121510.1.8.1:21

10.254.1.141：21




Session ID: 97336, Policy name: Untrust-to-Trust/5, Timeout: 1790, Valid



Total sessions: 1

172.16.7.1：6197710.1.7.1:21

172.16.7.210：21



• SRX

root@SRX300> show security nat static rule all

Total static-nat rules: 1


Static NAT rule: No31 Rule-set: Static-NAT

Rule-Id : 1

Rule position : 1


Destination addresses : 172.16.7.210

Host addresses : 10.1.7.1

Netmask : 32

Host routing-instance : N/A



Failed sessions : 0



7-6．NAT処理順序とポリシー

SRX は NAT のパケットを通過させるためにポリシーが必要

処理順序と設定するポリシーの条件は以下の通り

• Source NAT

- セキュリティポリシー適用後に処理

- 変換前のアドレスでポリシー評価

• Static & Destination NAT

- セキュリティポリシー適用前に処理

- 変換後のアドレスでポリシーを評価


第8章： IPsec

ルートベース VPNの設定

121


8-1．IPsec 設定の概要

8-2．ルートベース VPN の設定手順

8-3．トンネルインタフェースの設定

8-4．Phase1設定

8-5．Phase2設定

8-6．参考設定（ポリシーベース VPN、モニタリング）

8-7．動作の確認

アジェンダ

122


8-1．IPsec 設定の概要

SSG と SRX の IPsec はルートベース VPN とポリシーベース VPN の設定が可能

• ルートベース VPN

- 暗号化するトラフィックの指定を経路で指定

• ポリシーベース VPN

- 暗号化するトラフィックの指定をセキュリティポリシーで指定

SSG と SRX で使用する IPsec の設定コマンドの比較

SSG（ScreenOS） SRX（Junos OS）

Tunnel Interface（ルートベース VPN）

tunnel.x st0.x

Phase 1 set ike set security ike

Phase 2 set vpn set security ipsec


8-2．ルートベース VPN の設定手順

SSG と SRX のルートベース VPN 設定は共に以下３つの設定項目を使用：

１．トンネルインタフェースの設定

- ゾーンの割り当て設定、IP アドレス設定

- トンネルインタフェースを使用したルートの設定

2．Phase1の設定

- IKE Proposalの設定

- 事前共有鍵の設定（Pre-shared Key）

- VPN ピアのアドレス設定

3．Phase2の設定

- IPsec Proposal の設定

- PFSの設定

- トンネルインタフェースの紐付け


8-3．トンネルインタフェースの設定（1/2）

SSG と SRX は共にゾーンにトンネルインタフェースを割り宛て、IP アドレスを設定

• SSG

• SRX

SSG5-> set zone name zone-name

SSG5-> set interface tunnel.number zone zone-name

SSG5-> set interface tunnel.number ip ip-address

root@SRX300# set security zones security-zone zone-name

root@SRX300# set security zones security-zone zone-name interfaces st0.number

root@SRX300# set interfaces st0 unit number family inet address ip-address


8-3．トンネルインタフェースの設定（2/2）

SSG と SRX は共にスタティックルートの設定で VPN 通信の宛先ネットワークのルーティング先にトンネルインタフェースを指定

• SSG

• SRX

SSG5-> set route dst-network interface tunnel.number

root@SRX300# set routing-options static route dst-network next-hop st0.number


8-4．Phase1 設定（1/2）

SSG と SRX は共に Phase1 の設定に下記項目を使用：

IKE Proposal、Pre-shared-key、外部インタフェース、ピアアドレス、動作モード

• SSG

IKE Gateway の設定内で指定

• SRX

３つの設定項目内で指定

- set security ike proposal （認証方式、鍵交換方式、暗号化アルゴリズム、認証アルゴリズム）

- set security ike policy （動作モード、IKE Proposalの指定、Pre-shared-key）

- set security ike gateway （IKE Policyの指定、ピアアドレス、外部インタフェース）

SSG5-> set ike gateway gateway-name address peer-address mode outgoing-interface interface-

name preshare pre-shared-key proposal proposal-name


8-4．Phase1 設定（2/2）

• SRX

＜設定例＞root@SRX300# set security ike proposal IKE-Proposal authentication-method pre-shared-keys

root@SRX300# set security ike proposal IKE-Proposal dh-group group14

root@SRX300# set security ike proposal IKE-Proposal encryption-algorithm aes-256-cbc

root@SRX300# set security ike proposal IKE-Proposal authentication-algorithm sha-256

root@SRX300# set security ike policy IKE-Policy mode main

root@SRX300# set security ike policy IKE-Policy proposals IKE-Proposal

root@SRX300# set security ike policy IKE-Policy pre-shared-key ascii-text Juniper@2018

root@SRX300# set security ike gateway IKE-Gateway ike-policy IKE-Policy

root@SRX300# set security ike gateway IKE-Gateway address 192.168.100.254

root@SRX300# set security ike gateway IKE-Gateway external-interface ge-0/0/0.0

root@SRX300# set security ike proposal proposal-name authentication-method method

root@SRX300# set security ike proposal proposal-name dh-group group

root@SRX300# set security ike proposal proposal-name encryption-algorithm algorithm

root@SRX300# set security ike proposal proposal-name authentication-algorithm algorithm

root@SRX300# set security ike policy policy-name mode mode

root@SRX300# set security ike policy policy-name proposals proposal-name

root@SRX300# set security ike policy policy-name pre-shared-key ascii-text pre-shared-key

root@SRX300# set security ike gateway gateway-name ike-policy policy-name

root@SRX300# set security ike gateway gateway-name address address

root@SRX300# set security ike gateway gateway-name external-interface interface-name


8-5．Phase2 設定（1/2）

SSG と SRX は共に Phase2 の設定に下記項目を使用：

IPsec Proposal、IPsec ポリシー、PFS、トンネルインタフェース、IKE ゲートウェイ

• SSG

VPN 設定内で指定（IPsec ポリシー設定は無い）

• SRX

3つの設定項目内で指定

- set security ipsec proposal （プロトコル、暗号化アルゴリズム、認証アルゴリズム）

- set security ipsec policy （IPsec Proposal の指定、PFS）

- set security vpn （トンネルインタフェースの指定、IPsec ポリシーの指定、IKEゲートウェイの指定）

SSG5-> set vpn vpn-name gateway gateway-name mode proposal proposal-name


8-5．Phase2 設定（2/2）

• SRX

＜設定例＞

root@SRX300# set security ipsec proposal proposal-name protocol protocol

root@SRX300# set security ipsec proposal proposal-name encryption-algorithm algorithm

root@SRX300# set security ipsec proposal proposal-name authentication-algorithm algorithm

root@SRX300# set security ipsec policy policy-name proposals proposal-name

root@SRX300# set security ipsec policy policy-name perfect-forward-secrecy keys dh-group

root@SRX300# set security ipsec vpn vpn-name bind-interface tunnel-interface

root@SRX300# set security ipsec vpn vpn-name ike ipsec-policy policy-name

root@SRX300# set security ipsec vpn vpn-name ike gateway gateway-name

root@SRX300# set security ipsec proposal IPsec-Proposal protocol esp

root@SRX300# set security ipsec proposal IPsec-Proposal encryption-algorithm aes-256-cbc

root@SRX300# set security ipsec proposal IPsec-Proposal authentication-algorithm hmac-sha-

256-128

root@SRX300# set security ipsec policy IPsec-Policy proposals IPsec-Proposal

root@SRX300# set security ipsec policy IPsec-Policy perfect-forward-secrecy keys group14

root@SRX300# set security ipsec vpn Route-VPN bind-interface st0.0

root@SRX300# set security ipsec vpn Route-VPN ike ipsec-policy IPsec-Policy

root@SRX300# set security ipsec vpn Route-VPN ike gateway IKE-Gateway


8-6．参考設定：ポリシーベース VPN 設定

SSG と SRX は共にセキュリティポリシーのアクションに使用するPhase2（VPN）設定を指定

• SSG

• SRXroot@SRX300# set security policies from-zone src-zone-name to-zone dst-zone-name policy

policy-name then permit tunnel ipsec-vpn vpn-name

SSG5-> set policy from src-zone-name to dst-zone-name src-address dst-address service tunnel

vpn vpn-name


8-6．参考設定：モニタリング設定

SSG と SRX は共に Dead Peer Detection（Phase1）と VPN Monitor（Phase2）のモニタリング機能が設定可能

• SSG

• SRXroot@SRX300# set security ike gateway gateway-name dead-peer-detection interval seconds

root@SRX300# set security ike gateway gateway-name dead-peer-detection threshold threshold

root@SRX300# set security ipsec vpn vpn-name vpn-monitor

root@SRX300# set security ipsec vpn-monitor-options interval seconds

root@SRX300# set security ipsec vpn-monitor-options threshold threshold

SSG5-> set vpn vpn-name monitor

SSG5-> set vpnmonitor interval seconds

SSG5-> set vpnmonitor threshold threshold

SSG5-> set ike gateway gateway-name dpd interval seconds

SSG5-> set ike gateway gateway-name dpd retry threshold


8-7．動作の確認（1/5）

Phase1 動作の確認

• SSGSSG5-> get ike cookies

IKEv1 SA -- Active: 1, Dead: 0, Total 1

80522f/0003, 10.254.1.1:500->10.254.1.2:500, PRESHR/grp2/3DES/MD5, xchg(2)

(RouteBasePhase1/grp-1/usr-1)

resent-tmr 322 lifetime 28800 lt-recv 28800 nxt_rekey 28779 cert-expire 0

initiator, err cnt 0, send dir 0, cond 0x0

nat-traversal map not available

ike heartbeat : disabled

ike heartbeat last rcv time: 0

ike heartbeat last snd time: 0

XAUTH status: 0

DPD seq local 0, peer 0


8-7．動作の確認（2/5）

• SRXroot@SRX300> show security ike security-associations

Index State Initiator cookie Responder cookie Mode Remote Address

3375269 UP c0ff87663b7eefdc b498d5c7975e79f3 Main 192.168.100.254

root@SRX300> show security ike security-associations detail

IKE peer 192.168.100.254, Index 3375269, Gateway Name: IKE-Gateway

Role: Initiator, State: UP

Initiator cookie: c0ff87663b7eefdc, Responder cookie: b498d5c7975e79f3

Exchange type: Main, Authentication method: Pre-shared-keys

Local: 192.168.100.1:500, Remote: 192.168.100.254:500

Lifetime: Expires in 28355 seconds

--- snip ---

Algorithms:

Authentication : hmac-sha256-128

Encryption : aes256-cbc

Pseudo random function: hmac-sha256

Diffie-Hellman group : DH-group-14

--- snip ---


8-7．動作の確認（3/5）

Phase２動作の確認

• SSGSSG5-> get sa active

Total active sa: 1

total configured sa: 1

HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys

00000001< 10.254.1.2 500 esp:a128/sha1 c0146f1a 2815 unlim A/U -1 0

00000001> 10.254.1.2 500 esp:a128/sha1 22663cdf 2815 unlim A/U -1 0


8-7．動作の確認（4/5）

• SRXroot@SRX300> show security ipsec security-associations

Total active tunnels: 1

ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway

<131073 ESP:aes-cbc-256/sha256 b51ab8de 3392/ unlim - root 500 192.168.100.254

>131073 ESP:aes-cbc-256/sha256 a74b07fb 3392/ unlim - root 500 192.168.100.254

root@SRX300> show security ipsec security-associations detail

ID: 131073 Virtual-system: root, VPN Name: Route-VPN

Local Gateway: 192.168.100.1, Remote Gateway: 192.168.100.254

Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)

Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)

Version: IKEv1

DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.0

Port: 500, Nego#: 1, Fail#: 0, Def-Del#: 0 Flag: 0x600a29

--- snip ---

Mode: Tunnel(0 0), Type: dynamic, State: installed

Protocol: ESP, Authentication: hmac-sha256-128, Encryption: aes-cbc (256 bits)

Anti-replay service: counter-based enabled, Replay window size: 64

--- snip ---


8-7．動作の確認（5/5）

• SRXroot@SRX300> show security ipsec statistics

ESP Statistics:

Encrypted bytes: 6899736

Decrypted bytes: 3809192

Encrypted packets: 45473

Decrypted packets: 45450

AH Statistics:

Input bytes: 0

Output bytes: 0

Input packets: 0

Output packets: 0

Errors:

AH authentication failures: 0, Replay errors: 0

ESP authentication failures: 0, ESP decryption failures: 0

Bad headers: 0, Bad trailers: 0


第9章： HA（High Availablity）

冗長構成（JSRP）の設定

138


9-1．HA の比較

9-2．HA の基本的な設定項目

9-3．クラスタの設定

9-4．コントロールリンク/データリンクの設定

9-5．冗長論理デバイスの設定

9-6．冗長仮想インタフェースの設定

9-7．ノード固有の設定

9-8．インタフェースモニターの設定

アジェンダ

139


9-1．HA の比較（1/2）

SSG（NSRP）と SRX（JSRP）の詳細比較

SSG（ScreenOS） - HA SRX（Junos OS） - Chassis Cluster

使用プロトコルNSRP

（NetScreen Redundancy Protocol）JSRP

（Junos Services Redundancy Protocol）

物理デバイスの論理グループ名称

VSD Group

（Virtual Security Device Group）Redundancy Group

仮想インタフェース名称VSI

（Virtual Security Interface）reth Interface

（Redundant Ethernet Interface）

コントロールリンクデータリンク

共有可能独立

RTO の同期コントロールリンクデータリンク

コンフィグ HA リンク経由で同期 2つのノードが同じコンフィグを使用


9-1．HA の比較（2/2）

SSG と SRX の冗長構成イメージ

SSG（NSRP）冗長構成イメージ SRX（JSRP）冗長構成イメージ

データリンク

コントロールリンク

Active

機器

VSI

（Virtual Security Interface）

VSD Group

（Virtual Security Device Group）

Stand-by

機器 node 0

コントロールリンク

データリンク

Redundancy

Group 0

（Fabric Link）

reth Interface

（Redundant Ethernet Interface）

Redundancy

Group 1

フォワーディングプレーン（Active）

ルーティングエンジン（Active）

node 1

フォワーディングプレーン（Stand-by）

ルーティングエンジン（Stand-by）


9-2．HA の基本的な設定項目

SSG と SRX の冗長構成（HA）は共に以下の基本設定項目を使用：

• クラスタの設定

• コントロールリンク/データリンクの設定

• 冗長論理デバイスの設定

• 冗長仮想インタフェースの設定

• ノード固有の設定

• インタフェースモニターの設定


9-3．クラスタの設定（1/2）

SSG はクラスタ ID を設定すると即座に反映

SRX はクラスタ ID とノード番号を設定し、再起動後に設定が反映

• SSG

• SRX

SSG5-> set nsrp cluster id cluster-id

SSG5(M)->

root@SRX300> set chassis cluster cluster-id cluster-id node node-id

warning: A reboot is required for chassis cluster to be enabled

root@SRX300> request system reboot

Reboot the system ? [yes,no] (no) yes


9-3．クラスタの設定（2/2）

クラスタステータスの確認

• SSG

• SRX

SSG5(M)-> get nsrp

nsrp version: 2.0

cluster info:

cluster id: 1, no name

local unit id: 3509696

--- snip ---

{primary:node0}

root@SRX300> show chassis cluster status

--- snip ---

Cluster ID: 1

Node Priority Status Preempt Manual Monitor-failures

Redundancy group: 0 , Failover count: 0

node0 1 primary no no None

node1 1 secondary no no None


9-4．コントロールリンク/データリンクの設定（1/3）

SSG はインタフェースを HAゾーンに所属させることで HAのリンクとして動作

SRX はコントロールリンクとして動作するポートは機種によって固定

データリンクは任意のインタフェースを fab インタフェースとして指定

• SSG

• SRX

- コントロールリンク（設定不要）「fxp1」

- データリンク「fab0」または「fab1」（node0、node1 に応じた名称）

SSG5(M)-> set interface interface-name zone HA

root@SRX300# set interfaces fab0 fabric-options member-interfaces node0_interface-name

root@SRX300# set interfaces fab1 fabric-options member-interfaces node1_interface-name



コントロールリンク/データリンクの確認

• SSG

SSG5(M)-> get nsrp ha-link

total_ha_port = 2

probe on ha-link is disabled

control channel: ethernet0/5 (ifnum: 9) mac: 001bc03599c9 state: up

data channel: ethernet0/6 (ifnum: 10) mac: 001bc03599ca state: up

ha secondary path link not available



• SRXroot@SRX300> show chassis cluster interfaces

Control link status: Up

Control interfaces:

Index Interface Monitored-Status Internal-SA Security

0 fxp1 Up Disabled Disabled

Fabric link status: Up

Fabric interfaces:

Name Child-interface Status Security

(Physical/Monitored)

fab0 ge-0/0/2 Up / Up Disabled

fab0

fab1 ge-1/0/2 Up / Up Disabled

fab1

--- snip ---


9-5．冗長論理デバイスの設定（1/3）

SSG は同じ VSD Group のデバイスが Active/Standby の冗長を構成

SRX は同じ Redundancy Group のデバイスが Active/Standby の冗長を構成

• SSG

- VSD Groupの作成

- プライオリティの設定（小さい方が優先）

• SRX

- Redundancy Groupの作成

- プライオリティの設定（大きい方が優先）

SSG5(M)-> set nsrp vsd-group id VSD-group-number

SSG5(A)-> set nsrp vsd-group id VSD-group-number priority priority

root@SRX300# set chassis cluster redundancy-group redundancy-group-number node node-number

priority priority

root@SRX300# set chassis cluster redundancy-group redundancy-group-number



冗長論理デバイスの確認

• SSGSSG5(M)-> get nsrp vsd-group

VSD group info:

init hold time: 5

heartbeat lost threshold: 3

heartbeat interval: 1000(ms)

master always exist: disabled

group priority preempt holddown inelig master PB other members myself uptime

0 50 no 3 no myself 3512768 00:10:13

total number of vsd groups: 1

Total iteration=12896,time=28452219,max=17531,min=432,average=2206

vsd group id: 0, member count: 2, master: 3509696

member information:

------------------------------------------------------------------------------------

group unit_id state prio flag rto_peer hb miss holddown uptime

------------------------------------------------------------------------------------

0 3512768 primary backup 100 0 0 0 0 3 00:07:29

0 3509696 master 50 0 0 0 0 3 00:10:13



• SRXroot@SRX300> show chassis cluster status

Monitor Failure codes:

CS Cold Sync monitoring FL Fabric Connection monitoring

GR GRES monitoring HW Hardware monitoring

IF Interface monitoring IP IP monitoring

LB Loopback monitoring MB Mbuf monitoring

NH Nexthop monitoring NP NPC monitoring

SP SPU monitoring SM Schedule monitoring

CF Config Sync monitoring RE Relinquish monitoring

Cluster ID: 1

Node Priority Status Preempt Manual Monitor-failures








9-6．冗長仮想インタフェースの設定（1/3）

SSG はデフォルトの VSD Group 「0」に冗長仮想インタフェースが所属しゾーンや IPアドレスは対応する物理インタフェースに設定

SRX は仮想インタフェースの数、所属の Redundancy Group、ゾーン、IP アドレス、対応する物理インタフェースを冗長インタフェース（reth インタフェース）に設定

• SSG

• SRX

SSG5(M)-> set interface interface-name zone zone-name

SSG5(M)-> set interface interface-name ip ip-address

root@SRX300# set chassis cluster reth-count reth-count

root@SRX300# set interfaces reth-name redundant-ether-options redundancy-group redundancy-

group-number

root@SRX300# set security zones security-zone zone-name interfaces reth-name

root@SRX300# set interfaces reth-name unit 0 family inet address ip-address

root@SRX300# set interfaces interface-name gigether-options redundant-parent reth-name



冗長仮想インタフェースの確認

• SSGSSG5(M)-> get interface interface-name

Interface ethernet0/0(VSI):


number 0, if_info 0, if_index 0, mode nat



vsys Root, zone Trust, vr trust-vr, vsd 0

dhcp client disabled

PPPoE disabled

admin mtu 0, operating mtu 1500, default mtu 1500

*ip 10.1.1.254/24 mac 0010.dbff.2000

*manage ip 10.1.1.254, mac 001b.c035.8dc0

route-deny disable

pmtu-v4 disabled

ping enabled, telnet enabled, SSH enabled, SNMP enabled

web enabled, ident-reset disabled, SSL enabled



• SRXroot@SRX300> show interfaces terse


--- snip ---

ge-0/0/3 up up

ge-0/0/3.0 up up aenet --> reth0.0

--- snip ---

ge-1/0/3 up up

ge-1/0/3.0 up up aenet --> reth0.0

--- snip ---

reth0 up up

reth0.0 up up inet 192.168.100.254/24

--- snip ---

root@SRX300> show chassis cluster interfaces

--- snip ---

Redundant-ethernet Information:

Name Status Redundancy-group

reth0 Up 1

--- snip ---


9-7．ノード固有の設定

SSG はホスト名や VSD 設定、インタフェースの管理 IP、コンソールの設定などはデバイス固有の設定として冗長構成の機器間で同期されない

SRX は冗長構成の機器間で同じ設定を使用、ホスト名や管理ポート（fxp0）、管理ポート用のルーティングなどノード固有の設定は groups 設定にて定義

• SRX

root@SRX300# set groups node system host-name host-name

root@SRX300# set groups node system backup-router next-hop destination dst-network

root@SRX300# set groups node interfaces fxp0 unit 0 family inet address management-address

root@SRX300# set apply-groups "${node}"


9-8．インタフェースモニターの設定（1/2）

SSG と SRX は共にインタフェースモニターを使用した HA切り替りの設定が可能

• SSG

• SRX

SSG5(M)-> set nsrp monitor interface interface-name

root@SRX300# set chassis cluster redundancy-group redundancy-group-number interface-monitor

interface-name weight weight


9-8．インタフェースモニターの設定（2/2）

インタフェースモニター設定の確認

• SSG

• SRXroot@SRX300> show chassis cluster interfaces

--- snip ---

Interface Monitoring:

Interface Weight Status Redundancy-group

ge-0/0/3 255 Up 1

SSG5(M)-> get nsrp monitor

device based nsrp monitoring threshold: 255, weighted sum: 0, not failed

device based nsrp monitor interface:

device based nsrp monitor zone:

device based nsrp track ip: (weight: 255, disabled)


Documents

SSG to SRX Migration - Juniper Networks