Juniper SSG/ISG/NetscreenシリーズのFAQ
該当機種:ISG/NS5000系、SSG
ファイアウォールに関して
-
透過モードでブロードキャストやマルチキャストを通すことができますか?
マルチキャストおよびブロードキャストを通す事が可能です。
デフォルトではIPでもARPでもないユニキャストトラフィックは遮断しますがマルチキャストおよびブロードキャストは通す仕様です。
これらのトラフィックについてはポリシーを設定する必要はございません。ISG/NS5000系、SSG
-
DMZゾーンはどの機種から対応していますか?
NetScreenはNS-5GT Extended以上の機種、ISGおよびSSGについては全機種でDMZゾーンが使用可能です。
ISG/NS5000系、SSG
-
複数グローバルIPを取得してサーバーを公開したいのですが、LAN側やDMZ側に取得したグローバルIPを直接割り当てることは可能ですか?
直接サーバーなどにグローバルIPを割り当てる場合はPPPoE環境の場合のみ以下のコマンドを実行することで可能になります。
set vrouter trust-vr ignore-subnet-conflict
ただしNetScreen/SSGのインタフェースには必ずIPアドレスを割り当てる必要があります。
また、LAN側やDMZ側にグローバルIPを直接割り当てずにプライベートアドレスを割り当て、
かつ、取得したグローバルIPにてサーバーを公開する場合はMIP、VIPなどのアドレス変換機能を使用することで実現可能です。SSG
-
アドレス変換の方法は、NATですかNAPT(IPマスカレード)ですか?
MIP/DIP/ポリシーなどを使用することにより任意で設定可能です。
ISG/NS5000系、SSG
-
複数のPPTPセッションを通すことはできますか?
ポリシーで許可すれば可能です。ただしPPTPを複数セッション接続される場合には、MIP(1対1NAT)もしくは、DIP(固定ポート)のアドレス変換機能をご使用ください。
ISG/NS5000系、SSG
-
セッション数とトンネル数の違いを教えてください。
セッションとは、あるクライアントがNS/ISG/SSGを介してサーバーにコネクションを確立したときに生成されるもので、セッション数はその総数を指します。
- ※コネクションを終了した時点でセッションも終了します。
NS/ISG/SSGの同時処理セッション数を考慮する場合は、クライアントがどの程度コネクションを生成するかを想定したうえで、機器設定を行うことをお奨めします。
なお、セッションは通常TCPのみに適用される概念ですが、NS/ISG/SSGではUDPやICMPなどその他のプロトコルのコネクションもセッションとして管理するのでご注意ください。
トンネル数とはVPNのトンネル数のことであり、双方向のSAを合わせて1トンネルとカウントします。ISG/NS5000系、SSG
-
NATの変換テーブルはどれくらいの時間保持するのでしょうか?
保持する時間はセッションによる制約となるため、NATを利用しているセッションがタイムアウトするまでの時間となります。
ISG/NS5000系、SSG
-
NAT/Routeモードにて、Trust・DMZポートのIPアドレスに対してのpingはとおりますが、UntrustポートのIPアドレスに対してpingを実行するとTime Outになります。なぜでしょうか?
セキュリティを考慮し、デフォルトではUntrustゾーンをバインドしたポートに対するpingは無効に設定されているためです。必要に応じてping応答を許可することも可能です。
ISG/NS5000系、SSG
-
FTPのアクティブモードとパッシブモードには対応していますか?
アクティブモードおよびパッシブモード双方ともに対応しています。
ISG/NS5000系、SSG
-
スパニングツリープロトコル(BPDU)が届いたとき、そのまま通しますか?それとも破棄しますか?
NS/ISG/SSG自体はスパニングツリープロトコルを理解しませんが、透過モードの場合はBPDUをそのまま通し、NAT/ROUTEモードのときは破棄します。
- ※NAT/ROUTEモード時でもブリッジグループ間であれば透過させることも可能です。
ISG/NS5000系、SSG
-
1つの機器でL2ゾーンとL3ゾーンの混在は行えますか?
L2ゾーンとL3ゾーンを混在させることはできず、L2ゾーンは透過モード、L3ゾーンはNAT/ROUTEモードでのみそれぞれサポートされます。
ただしNAT/ROUTEモードでは、ブリッジグループの機能で複数のポートをL3SWのポートVLANのように使用することが可能です。
この場合所属するポートは通常のスイッチの動作と同等で、ポートを跨ぐ際にポリシーなどで制御を行うことはできません。ISG/NS5000系、SSG
-
MACアドレスによるフィルタリングの機能はありますか?
MACアドレスのフィルタリング機能はございません。
ISG/NS5000系、SSG
-
IPXなどTCP/IP以外のプロトコルに対応していますか?
NAT/ROUTEモード(L3モード)で動作させている場合、TCP/IP以外のプロトコルには対応しておりません。
透過モード(L2モード)でBypass-non-ipを設定することによりIP以外のパケットを通す事が可能となります。ISG/NS5000系、SSG
-
帯域制御を行った場合、帯域割当状況をリアルタイムに見ることができますか?
WebUIにて、リアルタイムに確認することが可能です。
Reports > Policies > Traffic Shaping Graph で以下の2点が確認できます。- ポリシーごとの、In / Out Traffic を直前100秒間のグラフ表示
- 各インターフェイスの使用帯域を一覧表示
SSG
-
NSRP構成を組むにあたって条件はありますか?
機器、OSバージョン、ライセンスを同一にする必要があります。
ISG/NS5000系、SSG
-
SSGやNSのユーザー認証で、CHAPはMSCHAPに対応していますか?
対応していません。
ISG/NS5000系、SSG
-
データシートに記載のVPN同時接続トンネル数とは何の数を示しているのでしょうか?
VPNs > AutoKey IKE にて設定できるPhase2のエントリ数を指します。
ISG/NS5000系、SSG
-
デフォルトで定義されていないサービスを定義する方法を教えてください。
WebUI上の左の項目から
- ScreenOS5.4以前
Objects > Services > Custom - ScreenOS6.0以降
Policy > Policy Elements > Services > Custom
を選択し、右上のNewボタンを押下することにより表示される画面で設定することができます。
1つのサービス名称で、8つのサービスを下記の方法で定義することができます。- TCP/UDPの場合:発信元ポート番号の範囲と宛先ポート番号の範囲を入力
- ICMPの場合:Type,Codeを入力
- その他プロトコルの場合:"Transport protocol"にて"other"を選択し、10進でプロトコル番号、および発信元ポート番号の範囲と宛先ポート番号の範囲を入力
ISG/NS5000系、SSG
- ScreenOS5.4以前
VPNに関して
-
VPN通信を行う際、固定グローバルアドレスはセンタあるいは拠点に必要ですか?
センタ、拠点のどちらかに必ず固定グローバルアドレスを割り当てる必要があります。また、センタ、拠点のどちらかに固定グローバルアドレスを割り当てた場合、動的に与えられた機器側から固定アドレスに通信を始める必要がございます。
ISG/NS5000系、SSG
-
ダイアルアップルーターでISPに接続しているのですが、ルーターの配下にNS/ISG/SSGを配置してVPN通信を行う場合、グローバルアドレスは必要ですか?
NAT-Traversal機能を使用すれば必要ありません。
ただし、その場合は対向の機器に固定グローバルアドレスが必須となります。
(参考)ダイアルアップルーターに必要な機能は以下の3点です。- IPプロトコル50番のESPパケットを通せる事
- UDP500番を通せる事
- UDP4500番を通せる事(NAT-Traversal Draft2を使用する場合)
ISG/NS5000系、SSG
-
インターネットVPNを構築する際、一部の拠点で専用線を使いたいのですが、この環境でVPN構築は可能でしょうか?
IPベースの通信であれば、通信経路に関わらずVPN通信が可能です。
ISG/NS5000系、SSG
-
他社製品とのVPN接続実績は?
他社製品との接続は推奨しておりませんが、ICSA(第3者機関)においてVPNの相互接続が確認されております。また、当社ではJuniper Networks社製と他ベンダVPN装置との通信においての設定や障害が起きた場合などのサポートは、以下の条件が成立した場合に限って、サポートをさせて頂いております。
- NS/ISG/SSG対向のVPN装置を提供する側にSlerが存在し、そのSlerは、対向機種のメーカ側に十分な影響力を持つこと。(Juniper Networks社に対しては、当社が対応します。)
- そのうえで、Slerと当社間でエンドユーザー様のシステムに関して問題が発生した場合、解決のために十分な話し合いと対策を打つ事を合意すること。
- そのために、Slerは対向機種メーカーに、当社はJuniper Networks社に該当するお客さまのシステムを認知させ、トラブル発生時に両社、お客さまシステムを稼動させる事を優先させる旨の同意を得ること。
- そのうえで、Slerと当社の共同プロジェクトを立ち上げて、相互接続性の評価を行った後、システムの構築を行うこと。
ISG/NS5000系、SSG
-
VPNでマルチキャストおよびブロードキャストを通す事は可能ですか?
マルチキャストは対応しております。ブロードキャストについてはトンネル上に通す事ができません。
ISG/NS5000系、SSG
-
透過モードでインターネットVPN通信は行えますか?
双方の機器どちらかのvlan1 IP(system-ip)に固定のグローバルアドレスを割り振ることで可能です。その場合、固定のグローバルアドレスを持っていない機器側から通信を開始する必要があります。
ISG/NS5000系、SSG
-
Windowsの標準IPsec機能とVPN通信をする事は可能ですか?
Windows2000およびXP、Vista、7と接続可能です。
ただし、当社ではこちらの理由により推奨しておりません。ISG/NS5000系、SSG
-
GREトンネルはサポートしていますか?
ScreenOS5.1よりGRE(GREv1)に対応しております。
ISG/NS5000系、SSG
-
VPN上でダイナミックルーティングによる経路交換を行うことは可能ですか?
可能です。
ISG/NS5000系、SSG
-
ローカル側と対向側のアドレス体系が重複している場合にVPN通信は可能ですか?
MIPとDIPを使用することで可能になります。詳細はマニュアル"第5部: 仮想プライベートネットワーク"をご参照ください。
- ※マニュアルについては、「Juniper Networks社から公開されているドキュメントはありますか?」をご参照ください。
ISG/NS5000系、SSG
-
NS-Remoteの後継製品はありますか?
当社ではNS-Remoteの代替製品としてNET-G Secure VPN Clientを取り扱っております。
- ※対応OSは以下のとおりです。(ver2.4以降)
- Windows 7
- Windows 7(64bit Edition)
- Windows 7 SP1
- Windows 7 SP1(64bit Edition)
- Windows Vista SP2
- Windows Vista SP2(64bit Edition)
- Windows XP SP3
ただし、以下の動作環境は対象外となります。
- 日本語版以外のWindows
- IA64版 Windows
ISG/NS5000系、SSG
管理に関して
-
SNMPのtrapは、複数のSNMPマネージャに送ることが可能でしょうか?
1つのCommunityにつき最大64台までのホストに送ることが可能です。
また、8つのCommunityを作成できます。
(SceenOS6.3)ISG/NS5000系、SSG
-
機器内部に格納できるLog容量はどれくらいになりますか?
SSGシリーズではTrafficLog:4096行、EventLog:1024行
ISGシリーズではTraffic log:32000行、Event log;32000行
NS-5000シリーズではTrafficLog:16000行、EventLog:16000行
になります。この最大行数は変更することはできません。
Logの最大容量行数を超えた場合は、古いものから削除され、上書きされていきます。
また、このLogはRAMに保存するため電源を落とすとすべて削除されてしまいます。ISG/NS5000系、SSG
-
RFC1757に準拠したRMON1、RMON2機能をサポートしていますか?
サポートしていません。
ISG/NS5000系、SSG
-
機器内部に保存されたログをファイルに保存することはできますか?
WebUIのログ表示画面中の、「Save」ボタンを押下すればテキスト形式で取得できます。
ISG/NS5000系、SSG
-
ログを集計して、見やすい図やグラフにしてくれるようなソフトはありますか?
NS/ISG/SSGの連携製品として、同じくJuniper社のSTRMやNSM(Network Security Manager)、当社製品のFIREWALLstaffなどがあります。
ISG/NS5000系、SSG
-
外部からNS/ISG/SSGの設定を行う事はできますか?
可能です。
専用管理ツールを使用する方法や暗号通信経由の方法もございます。-
専用管理ツール
NS/ISG/SSGの専用管理ツールであるNSM(Network and Security Manager)を使用します。
専用のGUIを使用して効率よくNS/ISG/SSGの設定、管理が可能です。 -
暗号通信経由
対向でNS/ISG/SSGを設置します。
接続確立後はTelnetもしくはWebブラウザー経由で設定が可能です。
ISG/NS5000系、SSG
-
-
管理端末に制限をかけることができますか?
下記の設定方法で制限できます。
Configuration > Admin > Permitted IPsで許可するIPアドレスを設定します。
例えば、IP:10.2.0.16、Netmask:255.255.255.248 とした場合、10.2.0.16 ~ 10.2.0.23 までのアドレスからしか接続できません。ISG/NS5000系、SSG
-
NS/ISG/SSGが生成できるログの種類は?
EVENT LOG、TRAFFIC LOG、SELF LOGの3種類のログ生成が可能です。
-
EVENT LOG
システムの動作全般に関連する記録となります。
例)システムの各モジュールの開始/停止/障害情報、アタックの検出情報、管理者ログイン、設定変更情報 -
TRAFFIC LOG
通信のセッションレベルの記録となります。
例)通信セッションの詳細情報、設定した通信量を超えたときのトラップ情報 -
SELF LOG
機器でドロップされたパケット(ポリシーに拒否されたものなど)や終了したトラフィック(管理トラフィックなど)の監視および記録となります。
ISG/NS5000系、SSG
-
-
ログの出力先としては、どのようなものがありますか?
以下の出力先があります。
-
Console
コンソールを通じてトラブルシューティングするときに表示されます。オプションとして、アラームメッセージ(重要、警報、緊急)をコンソール画面にさせる設定が可能です。
-
内部DB
内部データベースはログ入力に便利な宛先ですが、限られらたログスペースです。
-
E-mail
イベントログおよびトラフィックログデータをリモート管理者にE-mailで送信できます。
-
Syslog
内部DBでは保存しきれない容量のログを外部ストレージとしてSyslogサーバーに保存できます。
-
CompactFlash
内部DBでは保存しきれない容量のログを外部ストレージとしてCFに保存できます。(ISG/NetScreenシリーズ)
-
USB
内部DBでは保存しきれない容量のログを外部ストレージとしてUSBメモリー上に保存できます。
(SSGシリーズのみ)
- ※内部DBはRAM上に保存するため、機器の再起動によりログ情報が失われることにご注意ください。
ISG/NS5000系、SSG
-
-
ログの出力レベルを変更する事はできますか?
可能です。WebUIではConfiguration > Report Settings > Log Settingsにて8つのレベルから出力するものを指定可能です。
(Emergency、Alert、Critical、Error、Warning、Notification、Information、Debugging)ISG/NS5000系、SSG
-
MIBファイルの入手方法を教えてください。
JuniperNetworks社のHP(以下URL)より取得可能です。
該当のOSバージョンのMIBをダウンロードしてください。
ISG/NS5000系、SSG
-
MIBファイルを登録し、コンパイルするとエラーになります。登録する順番があるのですか?
MIBファイルを登録する際は以下の順番で行ってください。
-
NS-SMI.mib
-
NS-PRODUCTS.mib
-
NS-TRAPS.mib
-
その他のMIBファイル
ISG/NS5000系、SSG
-
-
USBメモリーに対応していますか?
SSGシリーズのみOS5.4からOSの読み込み/保存、configの読み込み/保存が可能です。OS6.0からはログやcoredumpの保存をすることが可能となります。
NSシリーズではコンパクトフラッシュでの対応となります。
なお、検証実績があるUSBメモリーは以下となります。- Kingston Datatraveler 2GB
- SanDisk Cruzer Micro 512M
- Lexar JumpDrive Firefly 1GB
- ※ScreenOSマニュアルより参照
ISG/NS5000系、SSG
UTMに関して
-
AVやDIなどUTMライセンスの使用環境として注意すべきことはありますか?
SSG自身がインターネットに繋がる環境である必要があり、DNSの設定も必須になります。
ただし、ScreenOS6.1以降ではAV/DIの機能についてはプロキシサーバー経由(「IPアドレス:ポート番号」の形式で指定できること)でも使用可能となります。SSG
-
AV機能で、パスワード付き圧縮ファイルや暗号化されたファイルはスキャンできますか?
パスワード付き圧縮ファイルや暗号化されたファイルはスキャンできません。
SSG
-
透過モードでもUTM機能は利用可能ですか?
可能です。
SSG
-
SSGで、AVのパターンファイルやDIのシグネチャはどこに保存されますか?
フラッシュメモリー上に保存されます。
SSG
-
UTM機能を使用する際、上位のルーターやファイアウォールで許可しなければいけないポート番号を教えてください。
各機能ごとに以下のポート番号およびライセンス取得に必要なTCP 80/443番ポート(HTTP/HTTPS)も合わせて許可してください。
AntiVirus ・・・ TCP 80番ポート(HTTP)
DeepInspection ・・・ TCP 80番ポート(HTTP)、TCP 443番ポート(HTTPS)
WebFiltering ・・・ UDP 9020番ポート(1024以上であればポート番号変更可能)
AntiSpam ・・・ TCP 53番ポート(DNS)SSG
-
アンチスパム機能はPOP3など受信プロトコルに対応していますか?
アンチスパム機能はSMTPのみ対応しております。そのため内部側にメールサーバーを設置している場合のみ機能します。外部のメールサーバーを利用している場合は機能しません。
SSG
-
Webフィルタの設定で、URLの最後のスラッシュ"/"は必要ですか?
必要ございません。
設定した文字列と同じ文字列を含むアドレスをフィルタリングしますので、"/"より前の文字列が一致していればフィルタにかかります。SSG
-
Webフィルタでドメインを指定した際、その配下のサイトに対してもフィルタはかかりますか?
例)"http://www.hs-juniperproducts.jp/" の指定で "http://www.hs-juniperproducts.jp/security/" もフィルタ対象になりますか?配下のページもフィルタ対象となります。
URLフィルタで設定したURLと、同じ文字列を含むアドレスのページをフィルタリングします。SSG
-
UTM機能にて検知したとき(virus検知、attack検知、URL filtering ブロック)の、出力メッセージをカスタマイズすることは可能ですか?
Anti-VirusはScreenOS6.2、URL FilteringはScreenOS6.1からカスタマイズが可能です。
SSG
-
プロキシ経由でシグネチャ/アタックパターンのアップデートは可能でしょうか?
ScreenOS6.1からプロキシ経由でのシグネチャ/アタックパターンのアップデートに対応しております。
SSG
-
WebFilteringで1カテゴリーに登録できるURL/IPの数は最大いくつでしょうか?
ScreenOS6.2の場合:
SSG-5, SSG-20, SSG-300M, SSG-500Mシリーズは20個、SSG-140は50個となります。SSG
-
AV機能についてですが、UPX、FSGなどで圧縮した実行形式のファイルはスキャン可能でしょうか?
UPXやFSGを解凍し、ファイルのスキャンを行うことはできませんが、これらの方式を利用して作成されたウイルスに関してはシグネチャの対応などで検知は可能です。
SSG
-
UTM機能はIPv6に対応していますか?
未対応となります。また対応予定もございません。(2011年11月現在)
SSG
-
AV機能で、何か制限はありますか?
スキャンが可能な圧縮ファイルの階層、スキャンファイルサイズ、AVセッション数に制限がございます。詳細は下記のとおりです。(ScreenOS6.1以降)制限を考慮した設計、運用をお願します。
[最大圧縮ファイル階層]
SSG-5/20: 4
SSG-140: 6
SSG-300/500: 8
[最大スキャンファイルサイズ]
全機種共通 30MB
[最大AVセッション数]
SSG-5/20: 2,000
SSG-140: 8,000
SSG-300/500: 16,000SSG
-
冗長構成時にUTM機能を使用している環境で、注意すべきことはありますか?
副系のインターネット側インタフェースに管理IP(manage-ip)を割り振らない場合、副系からのライセンス更新、AVパターンアップデート、およびDIシグネチャアップデートができません。
DIシグネチャは主系からの同期が可能ですが、AVパターンファイルは、その場合別途サーバーを立てアップデートする必要があります。ライセンス更新については、ローカルからライセンスキーをインポートする対応となります。SSG
-
更新ライセンスを購入後、ライセンスキーは自動で適用されますか?
自動更新されます。更新タイミングは以下のとおりです。
ライセンスキー期限日の- 2カ月前
- 1カ月前
- 2週間前
- 当日
- 30日後
ライセンスキーの期限が切れて30日が経過した場合は、手動にて更新を行っていただく必要が御座います。
- ※更新時に機器の再起動を行う必要はございません。
SSG
-
ライセンスの有効期限が切れた場合、機能は使えなくなりますか?
- Anti-spam、Webフィルタに関して
外部DB参照によるフィルタリングは行えなくなりますが、ユーザー定義のWhite List/Black Listは動作します。 - DI、Anti-virusに関して
機能自体は引き続き利用可能です。
しかしながらシグネチャおよびパターンファイルの更新が不可となるため、最新の情報に基づいた検知は行えません。
なお、ライセンス期間が超過した場合保守サポート対象外となるため、継続してUTM機能をご利用になる場合は機能の利用可否に関わらず、ライセンスを更新するようお願いします。
SSG
- Anti-spam、Webフィルタに関して
機能に関して
-
ダイナミックルーティングプロトコルに対応していますか?
ScreenOS5.0よりすべてのプラットフォームでOSPF・BGP・RIPをサポートしています。
ISG/NS5000系、SSG
-
DNSサーバーとして運用できますか?
DNSクライアントにはなれますが、DNSサーバーとしては運用できません。
なお、ScreenOS5.1.0以降では、DDNSクライアント機能とProxyDNS機能に対応しております。ISG/NS5000系、SSG
-
複数のPPPoEセッションを同時に持つことができますか?
ScreenOS5.0からNS-5GT以上、およびSSGにて可能です。
またScreenOS5.1から単一の物理インタフェースにて複数のPPPoE接続が可能になっております。SSG
-
DHCPリレー機能はありますか?
実装されています。最大3台までのDHCPサーバーを登録可能です。
ISG/NS5000系、SSG
-
IPv6は対応していますか?
Juniper社の対応状況は以下になります。
-
OS5.4以降
ISG-2000(with IDPは非対応)
-
OS6.0以降
NS-5000シリーズ(MGT2/SPM2)
ISG-1000(with IDPは非対応)
SSG-5 / SSG-20(WANインタフェース/Wirelessは非対応) -
OS6.1以降
すべてのSSGシリーズ
NS-5000シリーズ(MGT3/SPM3)
ISG/NS5000系、SSG
-
-
インタフェースに異なるセグメントの2つのIPアドレスを割り当てることができますか?
「セカンダリIP」という機能を使用し、TrustもしくはDMZのInterfaceに実IPと別にIPアドレスを設定できます。
ISG/NS5000系、SSG
-
帯域制御機能について教えてください。
SSGシリーズにおける帯域制御機能は、設定した各ポリシーごとに設定可能で保証帯域、最大帯域、優先順位が設定可能です。
また、1kbps単位で制御可能で8段階のDiffServ設定(IP Precedence値)も可能となっております。- ※ISGシリーズ以上では、インタフェースに対する最大帯域、およびポリシーでのDiffServ設定のみ設定可能です。
ISG/NS5000系、SSG
-
標準サポートでNetMeetingに対応しているとの事ですが、UPnPには対応しているのでしょうか?
NS/ISG/SSGは、UPnPに対応しておりません。
また、今後サポートする予定もありません。
理由は、セキュリティ上の問題にあります。
UPnPをサポートしていた場合、万が一トロイの木馬系のウイルスに感染したホストがファイアウォールの内側にいた場合、ファイアウォールのポートをすべてOpenにしてしまい、外部からのアタックや不正進入を招いてしまう危険性があるためです。ISG/NS5000系、SSG
-
BRIインターフェイスは搭載していますか?
SSG-5(SSG-5-SH-BT)およびSSG 5 Wireless(SSG-5-SH-BTW-JP)は本体に搭載されています。
その他の製品には搭載されておりません。SSG
-
TrustやDMZインターフェイスでもPPPoE接続はできますか?
ScreenOSのバージョンによって異なります。
ScreenOS 4.0までの場合、TrustやDMZでのPPPoEは接続できません。
Untrustゾーンを割り当てたInterfaceのみにPPPoEを設定することが可能です。
ScreenOS 5.0以降の場合、Zoneに関係なくすべてのInterfaceにPPPoEを設定することが可能です。SSG
-
DHCPで配布できるIPの上限数はありますか?
インターフェイスごとに255個まで設定できます。
特定のMACに特定のIPを振ることも可能です。その場合、IPグループの設定と合わせて64個まで設定できます。ISG/NS5000系、SSG
-
社内LAN上にCRLを配布するサーバーを設置し、VPN経由でCRLを取得して運用することは可能ですか?
VPN経由でCRLを取得することはできません。
CRLの更新はVPNネゴシエーションを行うタイミングで実施されますが、このときVPNトンネルは確立していないためVPN経由でCRLを取得することはできません。
回避方法としては、CRL配布サーバーをMIP機能で外部公開し、対向装置からグローバルアドレスに対してアクセスします。ISG/NS5000系、SSG
-
CRLの有効期限をチェックしない方法はありますか?
CRL証明書チェックを行わない設定にすることが可能です。ただしセキュリティレベルが低くなるのでご注意ください。
設定例(WebUI):-
Objects > Certificates を選択し、ShowでCAを選択。
-
Server Settings を実行し、Certificate Revocation Settings の Check Method で None を選択し、OKボタンを実行。
-
Objects > Certificates を選択し、Default Cert Validation Settings を実行。
-
Certificate Revocation Check Settings の Check Method で None を選択し、OKボタンを実行。
ISG/NS5000系、SSG
-
-
WebUIで証明書のページを見るとCRLやCSRのシリアルが「0000000000000000」と表示されるが問題はないのでしょうか?
CRLやCSR自体にシリアルがないのでそのような表示になります。仕様であり表示上だけの制限となるため問題はありません。
ISG/NS5000系、SSG
-
NSRP-Lite構成で設定変更を同期することはできますか?
デフォルトでは設定同期しません。
設定を同期させるためには下記コマンドを追加する必要があります。
set nsrp config sync
save -
透過モード使用時でのNSRP-Lite構成は可能ですか?
NSRP-Liteは透過モードではサポートしておりません。NSRPであればサポートしております。
[参考]
NSRP-Lite Overview (KB ID: KB4268):
<http://kb.juniper.net/KB4268>
What is the difference between NSRP and NSRP Lite? (KB ID: KB7047):
<http://kb.juniper.net/KB7047> -
PPPoEで取得したDNSサーバーのIPがWebUIのDNSの項目に反映されないのですが、反映させる方法はありますか?
ScreenOS5.3以降の仕様動作です。
PPPoEにより取得したDNSサーバーのIPアドレスは下記方法で確認できます。-
DNSサーバーIP確認コマンド
(1)get dns host server-list
→PPPoEで取得したDNSサーバーIPを含む、NS/SSGが持つDNSサーバーIPを確認
(2)get dns host settings
→カスタムで定義されたDNSサーバーIPを確認。WebUIではDNS欄に表示されます。 -
その他
PPPoEで取得したDNSサーバーとカスタムで定義されたDNSサーバーとで、同一の設定がある場合はPPPoEの方が優先されます。
SSG
-
-
PPPoEのマルチホーミングには対応していますか?
ScreenOS5.1から対応しています。
PPPoE 同時セッションの最大数は、NS/SSGが保持できる最大サブインターフェイス数によって制限されます。SSG
-
L2スイッチのような使い方はできるのでしょうか?
SSGシリーズのみブリッジグループ(Bgroup)という機能にて対応可能です。
複数のポートを1つのL3インタフェースとして動作させる機能になります。
ただし、下記の条件があります。- SSG-5/20/140では、既存のインタフェースで対応可能
- SSG-320M/350M/520M/550Mでは、拡張インタフェースモジュール上でのみ対応可能
- 拡張インタフェースモジュールを跨ぐ構成は不可
- ※同一ブリッジグループ内はハードウェア的に接続・転送処理が行われます。そのため、同一ブリッジグループ内でのパケット転送はCPU処理が行われず、ポリシによるフィルタリング処理も行えないことにご注意ください。
SSG
-
対応しているNTPクライアントのバージョンを教えてください。
NTPクライアントは、Ver.1/Ver.2/Ver.3に対応しております。(Ver.3はScreenOS6.0にて対応)
ISG/NS5000系、SSG
-
NTP server機能がありますか?
ScreenOS 6.0よりSNTPv4 serverとして利用可能です。
ISG/NS5000系、SSG
-
mac learning tableの情報がクリアされるタイミングは?
デフォルトの設定では、インターフェイスのLink down時に、mac learning tableがクリアされます。
設定確認コマンド"get mac-learn"を実行すると"link down clear mac learn table: enable"として設定を確認いただけます。
"set mac-learn"のコマンドを実行することで、インターフェイスのLink down時でもmac learning tableがクリアされない設定に変更することが可能です。ISG/NS5000系、SSG
-
L2TPv3には対応していますか?
現状、対応しておりません。
ISG/NS5000系、SSG
-
複数インターフェイスを束ねる構成は可能ですか?
ISGシリーズおよびNS5000系でリンクアグリゲート機能を使用することで可能です。
なお、以下の注意点があります。
【ISG/NS5000共通】- モジュールをまたぐリンクアグリゲートの設定は不可となります。
- 802.3adに互換性はあるが、未対応となります
(Cisco:側は "channel-group X mode on")。 - 送信元IP/MAC, 宛先IP/MACによるロードバランス設定は不可となり、ラウンドロビンとなります。
【NS5000】
- 8Gモジュールのみのサポートとなります。(10Gモジュールでは使用不可となります。)
- 8Gモジュールのポート番号1~4が一つのグループ、5~8が別のグループと考え、同じグループ内でRedundantI/Fを設定する必要があります。
(例)ポート番号1番とポート番号2番の設定は可能ですが、ポート番号1番とポート番号5番の設定は不可となります。
ISG/NS5000系
-
ISGで拡張できるインタフェースの種類は?
ISGで拡張できるインタフェースの種類は以下のとおりです。
- NS-ISG-SX2
- NS-ISG-LX2
- NS-ISG-TX2
- NS-ISG-SX4(ScreenOS5.4.0r2以降サポート)
- NS-ISG-LX4(ScreenOS5.4.0r2以降サポート)
- NS-ISG-TX4(ScreenOS5.4.0r2以降サポート)
- NS-ISG-1XG(ScreenOS6.1以降サポート)
- ※NS-ISG-TX4は10/100/1000ではなく、1000Base-TのSFPのため、10/100MbpsのI/Fとの接続はできません。
- ※トランシーバが別途必要となります。
ISG/NS5000系
-
NS-5000-8G2-TX の モジュールには copper のトランシーバがもともと実装されて出荷されていますが、このトランシーバSX/LXに差し替えて使用することは可能でしょうか?
可能です。
ISG/NS5000系、SSG
-
グローバルIPが1つしか無い場合でも、内部ネットワークにある機器を公開することは可能ですか?
可能です。
InterfaceのIPをMIPまたはVIPとして使用し、内部の機器とマッピングすることができます。
ただしHTTP(80)/Telnet(23)/HTTPS(443)/SNMP(161)/SSH(22)/IKE(500)サービスに対してはデフォルトのポート番号でマッピングすることができません。
回避策としては以下の三点がございます。-
管理用サービスのデフォルトポート番号を変更する。(SNMP(161), IKE(500)は変更不可)
-
通信で使用するポートを、マッピングするサービスのデフォルトポート番号以外に変更する。
-
WAN側のInterface設定にて該当サービスの管理機能を無効に設定する(MIP限定の回避策、IKE(500)は回避不可)
ISG/NS5000系、SSG
-
-
iPhoneやAndroidなどスマートフォンとのVPN接続は可能ですか?
iPhoneやiPadについてはSSGとの接続はできませんが、
Junos Pulse for iOSが使用可能なためSecureAccessであれば接続が可能です。
[参考]
http://kb.juniper.net/InfoCenter/index?page=content&id=KB9923
AndroidについてはOS2.3.4かつ標準機能のL2TP/IPSec CRT VPNにて接続が可能である事は確認しておりますが、SSGとの接続についてはサポート対象外となります。
また、SSGにおけるL2TP/IPSecでの接続について一部制限事項もあります。
[参考]
http://kb.juniper.net/kb/documents/public/VPN/ScreenOS_Windows_L2TP_IPSec.pdfISG/NS5000系、SSG
-
SSG-500シリーズにてモジュールを搭載するうえで、注意点はありますか?
下記スロットごとバスの制限があるため、搭載するスロットによって性能が異なります。
[SSG-520(M)]
固定オンボード: 2.0Gbps
スロット1,2,4,5: 800Mbps
スロット3,6: 2.5Gbps
[SSG-550(M)]
固定オンボード: 2.0Gbps
スロット1,4: 800Mbps
スロット2,3,5.6: 2.5GbpsSSG
-
ScreenOS 6.3にて注意点はありますか?
6.3よりルートエントリをキャッシュして、転送速度を高速化する"route-cache"という新機能が御座います。
転送速度を高速化する代わりに、ある状況下では問題が発生する可能性がございます。トレードオフになりますが、非有効化することを当社として推奨します。
[参考]
http://kb.juniper.net/InfoCenter/index?page=content&id=KB21011ISG/NS5000系、SSG
-
透過モードで使えなくなる機能はありますか?
以下の機能はレイヤー2透過モードにおいてサポートされません。
- バーチャルIP、IPマッピング、PAT、ポリシーベースNAT、NAT(※1)
- バーチャルルーター
- VLAN
- OSPF、BGP、RIPv2
- アクティブ/アクティブHA(※2)
- IPアドレス割り当て
- (※1)ScreenOS6.2より、拡張IPを使用したDIPプールによるポリシーベースNAT/PATのみサポート
- (※2)SSG-520M/SSG-550M/ISG/NS-5000のみサポート
ISG/NS5000系、SSG
-
カスタムで作成できるZone数やVR数の最大値を増やす事は可能ですか?
ISG,NSシリーズのみ、VSYSライセンスを投入することでカスタム作成可能な個数が、それぞれ以下のように増加します。
- カスタムVR数=VSYSライセンス数
- カスタムZone数=VSYSライセンス数x2
標準で作成可能な数に上記数値を加えた分が最大値となります。
なおこれらはVSYSの作成と排他利用になるため、VSYS設定を作成した場合はカスタムで作成できるVR/Zone数が減少します。ISG/NS5000系
HAに関して
-
冗長構成を組むにあたり機種に制限はありますか?
すべての機種でActive-PassiveおよびActive-Activeに対応しております。(ScreenOS6.0以降)
ただし、SSG-5,SSG-20では、別途Extendedライセンスをご購入いただく必要がございます。ISG/NS5000系、SSG
-
Active-Activeでの通信はロードバランスで行っているのでしょうか?
Active-Active構成では、ロードバランスができないため、ロードシェアリングでの動作になります。
ISG/NS5000系、SSG
-
透過モードで冗長構成は可能でしょうか?
透過モードのActive-Passive構成は、全機種でサポートされています。Active-Active構成についてはScreenOS 6.1以降のSSG-520M/SSG-550M/ISG/NS-5000のみでサポートしています。
- ※透過モードでのActive-Active構成ではVLAN分割が必須となっているため、設計、構築の際はご注意ください。
ISG/NS5000系、SSG
-
フェイルオーバー時、周辺機器(スイッチ)などのARP情報は更新されるのでしょうか?
NS/SSG/SSGはNAT/ROUTEモード(L3モード )において、フェイルオーバー時、Gratuitous ARPをブロードキャストして周辺機器に新たなARP情報を更新させます。
ISG/NS5000系、SSG
-
HA構成の際に使用されるプロトコルは?
NSRPというJuniper Networks社独自のプロトコルを使用します。また、ScreenOS 6.1以降では、VRRPをサポートします。
ISG/NS5000系、SSG
-
冗長構成時の切り替え時間はどれくらいかかりますか?
当社で行った検証では、Active-Standbyの場合、約1秒から3秒ほどで切り替わります。
ISG/NS5000系、SSG
-
NSRP構成で稼動させたままOSのバージョンを変更できますか?
できません。バージョンの差異が発生しますので一時的にNSRP構成が取れなくなります、主系/副系をそれぞれアップグレードしNSRP構成を再構築してください。
ISG/NS5000系、SSG
その他
-
IPsecで使用される暗号化機能および認証機能は何ですか?
暗号化機能についてはDES、3DES、AES128、AES192、AES256が利用可能です。
認証機能はMD5、SHA1、SHA2-256が利用可能です。
グループについてはgroup1、2、5、14、19、20が利用可能です。ISG/NS5000系、SSG
-
データシートに記載の組み込み内部データべースの制限とは何を示しているのでしょうか?
NS/ISG/SSG内部に登録可能なIKE, xAuth, Auth Userの制限数になります。
ISG/NS5000系、SSG
-
SSG-520M/SSG-550Mで背面のスイッチをONにしても起動しません。何か原因がありますか?
前面の電源スイッチがOFFのままの可能性があります。前面スイッチを押してください。
(SSG-520M/SSG-550Mには背面と前面にどちらにも電源スイッチがあります。)SSG
-
SSG-5の縦置き設置は可能ですか?
可能です。ただし、縦置き設置をする場合は、専用のデスクスタンドをご利用ください。
なお、デスクスタンドはSHモデルには同梱されておりますが、SBモデルは別売となっております。SSG
-
メーカーは環境対策を実施していますか?
Juniper Networks社の環境保全に対する考え方は下記サイトを参照ください。
-
英語サイト
ISG/NS5000系、SSG
-
-
Juniper Networks社から公開されているドキュメントはありますか?
下記サイトにて、マニュアルなど公開しております。
ISG/NS5000系、SSG
-
連携が取れる認証サーバーは?
ローカルデータベースにくわえて、RADIUS、SecurID 、LDAP、および TACACS+ サーバーとの連携が可能です。
- ※TACACS+はOS6.0以降サーポート
ISG/NS5000系、SSG
-
ユーザー認証について教えてください。
ユーザー認証には以下の3つの方法があります。いずれも認証に成功しなければNS/ISG/SSGを通過あるいはVPNの確立ができません。
【ランタイム認証】
HTTP、FTP、TELNET通信に限り、ユーザー認証が可能
【WebAUTH】
Interfaceに設定されたWebAUTH用のIPアドレスに対してHTTPアクセスでユーザー認証を行う
【Xauth】
VPN確立の前に行うユーザー認証ISG/NS5000系、SSG
-
CA中間証明は第何階層までサポートしていますか?
ルートCA局とNS/ISG/SSG本体のローカル証明書を含め、全部で8階層サポートしています。
したがって、中間CA局は6つまでのサポートとなります。ISG/NS5000系、SSG
-
Common Criteria(ISO/IEC 15408)の認証・評価状況は?
NS5000/ISG/SSGシリーズはScreenOS 6.2にて、EAL4を取得しています。
ISG/NS5000系、SSG
-
ACケーブル/アダプタはPSE取得していますか?
ACアダプタのPSEを取得しております。
ACケーブルに関しましては、機器同梱のケーブルとその機器を対として利用することでPSEの取得が不要なものとして扱われます。ISG/NS5000系、SSG
-
NSやSSGの電源ケーブルの形状を教えてください。
機器側:IEC320-C13, 電源側:NEMA 5-15Pになります。
また、SSG-5,SSG-20,NS-5XP,NS-5XT,NS-5GTに付属されているACアダプタは YP-13 7A 125V「JIS C 8303」に該当します。ISG/NS5000系、SSG
-
Extendedライセンスとは何ですか?
SSG-5、SSG-20では、Extendedライセンスの投入により、冗長化がサポートされ、スペックが向上します。詳細はデータシートにてご確認ください。
SSG
-
電気用品安全法に対応していますか?
SSGシリーズは電気用品安全法の対象外となります。
また、同梱されている電源ケーブルについても、その装置専用で使用していただく事で電気用品安全法の対象外となります。
ただし、SSG-5,SSG-20に付属されているACアダプタは「電気用品安全法」に該当します。SSG
-
電気通信事業法で定められた技術基準適合認定には対応していますか?
電気通信事業法第五十二条が定める端末設備の対象外となるため、技術基準適合認定は取得しておりません。ただし、SSGシリーズなどWANインターフェイスを追加できる製品については、技術基準適合認定を取得しております。
ISG/NS5000系、SSG
-
グリーン購入法に対応していますか?
ネットワーク機器はグリーン購入法の対象外となります。
ISG/NS5000系、SSG
-
有害物質使用制限(RoHS)指令には対応していますか?
NS5000/ISG/SSGシリーズはEU-RoHS指令に対応しています。
中国版のRoHSやREACH(欧州化学品規制)などの適合状況については別途、お問い合わせください。ISG/NS5000系、SSG
-
ScreenOSは閏秒/閏年に対応してますか?
-
閏秒
NS5000/ISG/SSGシリーズは閏秒に対応しております。NTPを使用している場合、NTPサーバーからLeap Indicator (LI)に"01"がセットされたパケットが送出されたとしても動作に影響はありません。
なお、NTPを使用していない場合は時間誤差の修正はしませんが、通信に影響を与えるような問題はありません。 -
閏年
NS5000/ISG/SSGシリーズは閏年に対応しております。
そのため、閏年による機器への影響はありません。
ISG/NS5000系、SSG
-