Juniper SRXシリーズのFAQ
Juniper SRXシリーズのFAQ
管理に関して
-
工場出荷状態のSRXにログインするID/Passwordを教えてください。
工場出荷状態のSRXは以下アカウントでログイン可能です。
ID: root
Password: -(パスワードは設定されていません) -
CLIの操作感は、SSG/NetScreen/ISGと同様ですか?
いいえ、違います。SRXのCLIでは、3つのモードが用意されています。
-シェルモード:ファイル管理などをUNIXベースのコマンドで操作が可能です。
root権限のみ使用できます。
-オペレーションモード:基本的な操作が可能です。
-コンフィグレーションモード:設定ファイルの編集が可能です。 -
CLI使用時、現状のモードを確認する方法はありますか?
コマンドプロンプトで確認可能です。表示は以下となります。
"%" :シェルモード
">" :オペレーションモード
"#" :コンフィグレーションモード -
CLI使用時、現状のモードを変更する方法を教えてください。
-
シェルモード⇔オペレーションモード
root@% cli →シェルモードで"cli"と入力するとオペレーションモードに移行します。
root> exit →オペレーションモードで"exit"と入力するとシェルモードに移行します。
root@% -
オペレーションモード⇔コンフィグレーションモード
root> configure →オペレーションモードで"configure"と入力するとコンフィグレーションモードに移行します。
[edit]
root#exit →コンフィグレーションモードで"exit"と入力するとオペレーションモードに移行します。
root>
- ※rootアカウント以外でログインした場合、オペレーションモードから開始されます。
オペレーションモードから"start shell"コマンドを実行することでシェルモードに移行できます。
-
-
設定を変更したとき、変更内容は瞬時に機器の動作に反映されますか?
瞬時には反映されません。
SRXでは、設定変更しているコンフィグと動作しているコンフィグを分けて管理しています。設定変更後"commit"を実行したタイミングで変更内容が機器の動作に反映されます。 -
ロールバック機能とは何ですか?
commit前の設定に戻す機能となります。最大50世代の設定ファイルを管理できます。
例)# rollback 2
load complete# commit
commit complete -
工場出荷状態から、ホスト名のみ設定しcommitしようとしたのですが、commitできません。必要な設定があるのでしょうか?
commitを行うためには、root権限のパスワード設定が最低限必要です。工場出荷状態ではroot権限のパスワードが設定されていないため、以下コマンドにて、root権限のパスワードを設定してください。
# set system root-authentication plain-text-password
New password: <パスワード>
Retype new password: <パスワード>
# commit -
デフォルトコンフィグを読み込む方法はありますか?
あります。
コンフィグレーションモードに入り、以下コマンドを投入することでデフォルトコンフィグを読み込ませることが可能です。
root> configure
root# load factory-default- ※冗長構成でクラスターの設定をしている場合、クラスターの設定を別途削除する必要があります。
オペレーションモードから"set chassis cluster disable"コマンドを実行してください。
- ※冗長構成でクラスターの設定をしている場合、クラスターの設定を別途削除する必要があります。
-
設定ファイルが階層表示されるのですが、コマンド入力時と同様に1行で表示することはできますか?
可能です。以下コマンドにてdisplay set オプションを併用してください。
例)# show | display set
-
CLIにて---(more)---表示をさせずに結果を出力したいのですが、可能ですか?
可能です。以下コマンドにてno-moreオプションを併用してください。
例)# show | no-more
また、オペレーションモードから"set cli screen-length 0"コマンドを実行することでも対応可能です。(デフォルトのscreen-lengthは24です)
- ※現在の設定は"show cli"コマンドにて確認可能です。
-
CLIにて該当する文字列を含む行のみを出力したいのですが、可能ですか?
可能です。matchオプションを併用してください。
例)policyを含む設定行のみ表示
# show | display set | no-more | match policy -
CLIにて取得したコマンド出力結果をファイルに保存したいのですが、可能ですか?
可能です。
saveオプションを併用してください。ファイルはSRX内部のストレージへ保存されます。例)# show | display set | match policy | save /var/tmp/policy_cfg.txt
- ※ファイルパス指定の代わりにURL指定をすることで外部サーバーへの保存も可能です。
-
SRX内部に格納したファイルを参照したいのですが、どのようにすれば参照可能でしょうか?
fileコマンドにて参照可能です。
例)・ディレクトリ内のファイル一覧を参照したい場合
> file list /var/tmp/
・ファイルの中身を参照したい場合
> file show /var/tmp/policy_log.txt -
コンフィギュレーションモードでオペレーションモードのコマンドを入力する方法はありますか?
コンフィグレーションモードからオペレーションモードのコマンドを実行する場合は、runオプションを使用することで実行可能です。
例)# run show system storage
-
CLIにて取得したコマンド出力結果をSRX内部ではなくPCへ直接保存したいのですが、可能ですか?
可能です。ただし、PC上でFTPサーバーデーモンを実行しておく必要があります。
例)FTPサーバーアドレス: 1.1.1.1, ID: srx, password: Juniper の場合
# show | display set | match policy | save ftp://srx:Juniper@1.1.1.1/policy_cfg.txt -
root権限でSRXに対してTELNETログインできません。何か方法はありますか?
Junosではroot権限にてTELNETアクセスができない仕様となっていますので、SSHによるアクセスを行ってください。TELNETアクセスが必須の場合は、以下コマンドによりTELNET用のユーザーアカウントを作成してください。
# set system login user <ユーザー名> class super-user authentication plain-text-password
New password: <パスワード>
Retype new password: <パスワード>
# commit -
JunosのMIBファイルの入手先を教えてください。
Juniper Networks社のWEBサイトから入手可能です。
OSバージョンごとにTARファイル、ZIPファイルの2種類がございます。 -
インタフェースの設定を一覧で表示したいのですが、どのようにすればよいでしょうか?
以下コマンドをご利用ください。
> show interface
> show interface terse -
display set形式における複数行の設定を一括で反映させるよい方法はないでしょうか?
load set terminalコマンドを使用することで、多くのコマンドを一括で投入可能です。
例)# delete(現在の設定をすべて削除します)
# load set terminal
上記コマンドを実行後、設定するコマンド群をコピー&ペーストします。
[CTRL]+[D]にてコンフィグレーションモードに抜けます。
# commit(設定の反映)なお、コピー&ペーストの代わりに、ファイルから読み込むことも可能です。
例)# load set ftp://srx:Juniper@1.1.1.1/policy_cfg.txt -
管理しているセッションを確認するコマンドはありますか?
オペレーションモードで以下コマンドを実行することで可能です。
>show security flow sessionまた、サマリーは以下のコマンドで確認可能です。
>show security flow session summary -
工場出荷状態に戻す方法はありますか?
可能です。
以下コマンドを実行すると、再起動後、工場出荷状態に戻ります。
> request system zeroizeまた一部のモデルではRESET CONFIGボタンを搭載しており、ボタンにより工場出荷状態へ戻すことも可能です。
RESET CONFIGボタンを15秒間程度押し続けると、以下メッセージがコンソールに出力され、STATUSのLEDが赤色に点灯した後、緑色に変わり、工場出荷状態へ戻ります。Config button pressed
Committing factory default configuration- ※RESET CONFIGボタンは前面パネル(300 シリーズ)にございます。
-
現在のコンフィグと過去のコンフィグを比較する方法はありますか?
あります。compareオプションを併用してください。
数字は何世代前のコンフィグと比較するかを指定します。- ※0は現在動作しているコンフィグ
例)# show | compare rollback <0 - 49>
-
トラフィックログはデフォルトでどのように出力されますか?
デフォルトのログ設定はStream modeであり、トラフィックログはsyslogサーバーへ出力されます。
ただし、OSバージョンとモデルによってはデフォルトのログ設定がEvent modeとなり、SRX内部に保存されるものもございます。 -
コマンド補完機能はありますか?
TabまたはSpaceキーでコマンドを補完することが可能です。
-
指定した時刻にcommitさせる方法はありますか?
可能です。
以下コマンドで指定した日時にcommitさせることができます。
> commit at <日時>
例)# commit at "2013-11-19 14:00:00" -
一つのコマンドで|(パイプ)を複数使用することはできますか?
可能です。
-
CLIにてコマンドの出力結果を末尾から表示させる方法を教えてください。
lastオプションを使用します。
例)> show log messages | last
-
シャットダウンのコマンドで、request system haltとrequest system power-offの違いは何ですか?
request system haltは、シャットダウン後、電源OFFが可能な状態になり、request system power-offはシャットダウン後、そのまま電源OFFの状態になります。
-
起動直後からアラームランプが点灯しているのですが、何が原因ですか?
-
Branchモデル
レスキューコンフィグまたはオートリカバリーが設定されていないため点灯します。
保存するには以下コマンドを実行してください。
- レスキューコンフィグ
> request system configuration rescue save - オートリカバリー
> request system autorecovery state save
- ※SRX340/SRX345は、管理ポートがリンクダウンしている場合、アラームランプが赤点灯します。
-
High-endモデル
管理ポートのリンクダウンまたはIDPライセンスが投入されていないにも関わらずコンフィグにIDP関連の設定が入っているため点灯します。
管理ポートをリンクアップ、またはIDPライセンス未投入の場合はコンフィグからIDP関連の設定を削除してください。
なお、アラームランプの点灯要因は以下コマンドにて確認可能です。
> show system alarms
> show chassis alarms -
-
機器のMACアドレスを確認する方法はありますか?
以下コマンドで確認いただくか、機器に貼付されている製造ラベルから確認可能です。
[代表MACアドレス情報の確認方法]
例)root> show chassis mac-addresses- ※「Public base address」が代表MACアドレス情報です。
ただし、SRX340/SRX345については上記コマンドで出力されたMACアドレスと製造ラベル記載のMACアドレスが異なっております。代表となるMACアドレスは上記コマンドで出力された情報ですので、ご注意ください。
- ※SRX340/SRX345の製造ラベル記載のMACアドレスは、その機器が所有するいずれかのポートのMACアドレス情報です。
なお、各ポートのMACアドレス情報はshow interfacesコマンドで確認可能です。
-
複数台稼働しているSRXのコンフィグを管理すことはできますか?
Security Drector を活用することで複数台のSRXを管理(※)することができます。
Cloud版のSecurity Director Cloudの場合、複数の拠点に設置したSRXをクラウド環境から管理することができます。- ※SRXの設定、ログ管理、レポート出力、アプリケーションの可視化や帯域制御、バージョンアップなど
機能に関して
-
1つのHW アプライアンスを複数の論理FWに分割して利用(仮想FWとして利用)することは可能ですか?
SRX1500、SRX4000シリーズでは、LSYSと呼ばれる複数の仮想ファイアウォールに分割する機能がございます。
- ※SRX1500では17.4R1から、SRX4100/SRX4200では18.2R1から使用可能となります。
- ※分割数に応じて、別途ライセンスが必要となります。
-
サポートするダイナミックルーティングプロトコルは何ですか?
RIP/OSPF/BGP/IS-ISをサポートしています。Branchおよび1500/4100/4200はMPLSもサポートしています。
-
DHCPリレー機能はサポートしていますか?
サポートしています。
-
PPPoE接続は可能ですか?
BranchシリーズはPPPoEクライアントとして接続することが可能です。
-
対応しているNTPクライアントのVerを教えてください。
NTP ver1,2,3,4に対応しています。
-
PoE対応モデルはありますか?
以下モデルで対応しています。
SRX320/380 -
NTPサーバー機能はありますか?
NTPサーバーとしても動作可能です。
ただしSRX自身が別のNTPサーバーを参照し、時刻同期している必要があります。 -
PPPoEマルチセッションは可能ですか?
Branchシリーズでは可能です。
一つの物理インタフェースに複数のPPPoEセッションを接続することが可能です。 -
透過モードはサポートしていますか?
サポートしています。
透過モードを使用する際には以下にご注意ください。- ※ルーターモードとの併用はできません。
- ※IPsecVPN機能は未サポートです。
- ※UTM機能は未サポートです。
-
SRXへのアクセス管理において、外部認証サーバーとの連携は可能ですか?
可能です。
SRXでは、RADIUS、TACACS+をサポートしています。 -
リンクアグリゲーショングループ(LAG)は使用できますか?
はい、使用できます。
802.3ad(LACP)に対応しています。- ※1つのLAGに含めることが可能なメンバーの最大数はBranch SRXで8本、High-end SRXで16本までです。
-
SRXへの管理アクセス制限は可能ですか?
はい、Firewall Filter機能にて送信元やプロトコルを制御可能です。
なお、Junos11.4以降では、junos-hostゾーン機能を使用して、通常のセキュリティポリシーと同様の設定にて管理アクセスを制御することが可能です。- ※管理専用インタフェース(fxp0)に対する管理アクセス制限はFirewall Filter機能をご利用ください。
スイッチ機能に関して
-
VLANをサポートしていますか?
タグVLANをサポートしています。BranchはポートVLANもサポートしています。
-
L2スイッチのような使い方はできるのでしょうか?
Branchシリーズでは、任意のポートをスイッチグループとして指定することで対応可能です。
-
STPに対応していますか?
はい、STP(IEEE802.1D),RSTP(IEEE802.1w),MSTP(IEEE802.1s)に対応しています。
- ※High-endはSRX1500のみ対応しております。
VPNに関して
-
ポリシーベースVPN、ルートベースVPNの両方をサポートしていますか?
サポートしておりますが、当社としてはルートベースのご利用を推奨しております。
-
IPSecの暗号化と認証アルゴリズムは何をサポートしていますか?
以下をサポートしています。
SRX300シリーズ/SRX4000シリーズ
暗号アルゴリズム:DES-CBC/3DES-CBC/AEC-CBC/AES-GCM/SuiteB
認証アルゴリズム:MD5/SHA-196/SHA-256SRX1500
暗号アルゴリズム:DES-CBC/3DES-CBC/AEC-CBC/AES-GCM/SuiteB
認証アルゴリズム:MD5/SHA-196 -
透過モードにてVPN接続は可能ですか?
透過モードでVPN接続することはできません。(透過モードにおけるVPN機能未サポートのため)
-
Site-to-Site VPNにおいて、NATトラバーサル機能はサポートしていますか?
サポートしています。
UTMに関して
-
UTM機能にはどのようなものがありますか?
UTMには、IDP(IPS/IDS)、Anti-Virus、Web-filtering、Anti-Spam、Contents-Filteringの機能があります。
なお、UTM機能を使用する場合は別途ライセンスが必要です。- ※Contents-Filteringのライセンスは不要です。
- ※SRX300 Series/SRXハエインドモデルのAnti-Virus機能では、Sophos-AVのみサポートしています。
-
UTMはすべてのモデルで利用できますか?
はい、全モデルにて利用可能です。
-
Contents-Filteringとはどのような機能ですか?
Branchシリーズにおける、HTTPのメソッドをチェックし制御をする機能です。また、HTTP内のActiveX、exe、http-cookie、java-applet、zipをポリシーごとにブロックすることも可能となります。
-
SRXのIDP機能とSSGシリーズのDI機能の違いは何ですか?
SRXのIDP機能は、Juniper NetworksのIPS/IDS専用アプライアンスであるIDPと同一のシグネチャをサポートをするため、SSGシリーズのDI機能のシグネチャ数に比べ格段に多く、より多くの攻撃を検知/防御することが可能となります。
-
P2Pアプリケーション通信の制御は可能ですか?
IDP機能によりWinMX、winnyなどのアプリケーションを制御することが可能です。
なお、IDP機能を使用する場合は別途ライセンスが必要です。 -
AVやIDPなどUTMライセンスの使用環境として注意すべきことはありますか?
プロキシサーバー環境下でライセンス更新などを行う場合は、プロキシサーバーがHTTPSでGETメソッドを仲介できる必要があります。
-
IDPのシグネチャ一覧を見ることができますか?
以下サイトでご確認いただけます。
-
機器にインストールされているUTMライセンスおよびそのライセンスの有効期限を確認する方法を教えてください。
CLIのオペレーションモードで以下コマンドを実行することで確認可能です。
> show system license -
IDPのシグネチャはどこに保存されますか?
SRX内部の/var/db/idpd/配下に保存されます。
HAに関して
-
冗長構成を組むにあたって条件はありますか?
モデル・OS・ライセンスを同一にする必要がございます。
- ※冗長構成は冗長用ライセンスなしでご使用いただけます。
-
Active-Activeの冗長構成はサポートしていますか?
Active-StandbyおよびActive-Activeをサポートしています。
-
HA構成の際に使用されるプロトコルは?
JSRPとなります。ScreenOSで採用しているNSRPとは仕様が異なります。
-
VRRPをサポートしていますか?
サポートします。
ただし、Chassis Cluster機能(JSRP)とVRRP機能との併用は未サポートです。 -
HAポートはいくつ必要ですか?
最低2ポート必要ですが、管理用のI/Fを用いる場合は3ポート必要となります。
- ※管理用の専用I/Fを搭載していない機種においては、Chassis Cluster機能利用時、管理用I/Fの使用有無にかかわらず、管理用I/Fとして1ポート予約されます。
-
冗長構成時に注意すべきことはありますか?
当社で把握している限りで、以下の留意事項があります。
- ScreenOSで実装されていたManage-IPの概念はありません。
SRXでは管理専用I/F(fxp0)にそれぞれのnodeごとに異なるIPアドレスを付与してアクセスするか、トラフィック用I/FのIFアドレスに対してアクセスして管理してください。
- ※トラフィック用I/FのIFアドレスにアクセスする場合、Routing Engine(RE)が Secondary側のnodeへはアクセスできません。
- IPsecVPN機能を使用する場合は、終端するI/Fは必ずreth I/Fを指定してください。
- Preemptオプションは、Redundancy Group 0に設定できません。
- 「fxp1: コントロールリンク」は必ず2台の機器間で直結します。また「fab: データリンク」についても中間にL2SWなどは使用せず、直接接続することを推奨しています。
- REがSecondaryのnodeにJ-Webでアクセスすることはできません。
- Disabled状態に遷移したnodeを復旧させるためには、機器の再起動が必要です。
- ScreenOSで実装されていたManage-IPの概念はありません。
-
冗長構成(Chassis Cluster)にて使用するFab I/F(データリンク)は冗長化できますか?
はい、可能です。
Fab I/Fを最大2本まで設定可能です。
ただし、2本のFab I/Fは同一タイプのI/Fを使用する必要がございます。
1本を1Gig I/F、もう1本を10Gig I/Fというように、異なるI/Fタイプを併用することはできませんのでご注意ください。 -
冗長構成(Chassis Cluster)にて使用するHA I/F(コントロールリンク)は冗長化できますか?
モデルにより異なります。
Branch: ×冗長化できません。
SRX1500: ×冗長化できません。
SRX4100/4200: ×冗長化できません。
SRX4600: ○冗長化可能となります。
SRX5000: ○ルーティングエンジンの追加購入により可能となります。- ※Clusterの状態維持・管理はHA I/Fの「fxp1: コントロールリンク」と「fab: データリンク」の双方を併用して実施します。したがって、コントロールリンクの冗長化未対応のモデルにおいても、スプリットブレイン(両マスタ)になるリスクは低いと言えます。
-
Monitor Interfaceに論理インターフェースを指定できますか?
指定できません。
監視対象は物理インターフェースのみです。 -
Track-IP機能はサポートしていますか?
SRXではIP-Monitoring機能として実装されています。
-
Fab I/F(データリンク)の冗長化はLAGのように帯域を増やすことは可能ですか?
いいえ、LAGのような動作にはなりません。
Fab I/Fを冗長した場合は、1本はRTO同期、1本はトラフィック転送に使用されます。
ハードウェアに関して
-
ラックマウントキットは同梱されていますか?
SRX300/SRX320はラックマウントキットを同梱しておりませんので、利用される場合は別途購入が必要です。
その他SRXシリーズは標準でラックマウントキットを付属しております。 -
電源の冗長化は可能ですか?
以下モデルで対応しています。
SRX380/SRX1500/SRX4000 シリーズ
(SRX4000シリーズは標準で冗長化されております) -
SRXはHDDを搭載していますか?
SRX SeriesはHDDを内蔵しておりません。
なお、SRX1500以上のモデルにおいて、REにSSDを搭載しています。
REにて使用しているストレージのメディアおよび容量は以下のとおりです。- SRX300/SRX320/SRX340/SRX345:(8GB)
- SRX1500:(16GB+ 100GB SSD)
- SRX4100/SRX4200:(240GB 1+1 RAID)
- SRX4600:(2x 1 TB M.2 SSD 960 GBとしてフォーマット)
- SRX5400/SRX5600/SRX5800:(16GB CF + 128GB SSD)
-
SRXは10Gig SFP+のトランシーバをサポートしていますか?
以下の機種で利用可能です。
- SRX380/SRX1500/SRX4000 シリーズ
その他
-
マニュアルはありますか?
以下Juniperサイトからダウンロードが可能です。
該当OSバージョンを選択のうえ、ご確認ください。以下ドキュメントも参考資料としてご利用ください。
-
有害物質使用制限(RoHS2)指令には対応していますか?
対応しています。