SRX300でのJunos OSの設定
サービス ゲートウェイは、ジュニパーネットワークス Junosオペレーティングシステム(Junos OS)が事前にインストールされた状態で出荷され、デバイスの電源を入れるとすぐに設定できます。サービス ゲートウェイのソフトウェアの初期設定は、ブラウザベースのセットアップ ウィザードを使用するか、CLI(コマンドライン インターフェイス)を使用して実行できます。
SRX300ファイアウォール工場出荷時のデフォルト設定
SRX300デバイスは、次の工場出荷時のデフォルト設定で出荷されます。
| 送信元ゾーン |
ゾーンと宛先 |
ポリシー アクション |
|---|---|---|
| 信託 |
信託 |
許す |
| 信託 |
信頼できない |
許す |
| 送信元ゾーン |
ゾーンと宛先 |
ポリシー アクション |
|---|---|---|
| 信託 |
信頼できない |
untrust ゾーン インターフェイスへのソース NAT |
| ポートラベル |
インターフェイス |
セキュリティゾーン |
DHCP の状態 |
IP アドレス |
|---|---|---|---|---|
| 0/0および0/7 |
ge-0/0/0 と ge-0/0/7 |
信頼できない |
クライアント |
未割り当て |
| 0/1から0/6 |
VLAN インターフェイス irb.0(ge-0/0/1 から ge-0/0/6) |
信託 |
サーバー |
192.168.1.1/24 |
SRX300デバイスは、デフォルトで次のサービスとプロトコルが有効になっている状態で出荷されます。
| サービス |
プロトコル |
デバイス起動モード |
|---|---|---|
| SSH HTTPS |
RSTP(すべてのインターフェイス) |
切り替え |
Junos OS リリース 25.2R1以降、工場出荷時のデフォルト デバイス設定には、[edit system services]階層レベルのnetconf ssh ステートメントが含まれていません。
セキュアなトラフィックを提供するために、untrustゾーンに基本的な画面セットが設定されます。
工場出荷時のデフォルト設定を表示する方法
デバイスの工場出荷時のデフォルト設定を表示するには:
rootユーザーとしてログインし、認証情報を入力します。
デフォルト設定ファイルのリストを表示します。
user@host> file list /etc/config
必要なデフォルト構成ファイルを表示します。
user@host> file show /etc/config/<config file name>
設定の変更をコミットすると、新しい構成ファイルが作成され、それがアクティブな設定になります。現在のアクティブな設定に失敗した場合、 load factory-default コマンドを使用して工場出荷時のデフォルト設定に戻すことができます。
CLI を使用した初期コンフィグを設定する
デバイスでは、シリアル コンソール ポートまたはミニ USB コンソール ポートのいずれかを使用できます。
シリアル コンソール ポートに接続します
シリアル コンソール ポートに接続するには、次の手順に従います。
- イーサネット ケーブルのもう一方の端をSRX300のシリアル コンソール ポートに接続します。
図 1:SRX300
のコンソール ポートに接続します
Mini-USB コンソール ポートに接続します
Mini-USB コンソール ポートに接続するには、次の手順に従います。
CLIを使用したSRX300の設定
CLIを使用してSRX300を設定するには、次の手順に従います。
J-Webを使用した初期コンフィグを設定する
J-Webを使用した設定
J-Webを使用してデバイスを設定するには、次の手順に従います。
- イーサネット ケーブルのもう一方の端を管理デバイスに接続します。
図 2:SRX300 を管理デバイス
に接続する
SRX300はDHCPサーバーとして機能し、自動的にIPアドレスをラップトップに割り当てます。
- ブラウザを開き、「 https://192.168.1.1」と入力します。[Phone Home クライアント(Phone Home Client)] ページが表示されます。
- [J-Webにスキップ]ページでroot認証パスワードを設定し、[送信]をクリックします。
J-Web ログイン ページが表示されます。SRX300には、プラグアンドプレイデバイスとして工場出荷時のデフォルト設定がすでに設定されています。SRX300を起動して稼働するために必要なのは、LANおよびWANネットワークに接続することだけです。
引き続きJ-Webにログインし、適切な構成モードを選択することで、設定をカスタマイズできます。その後、セットアップウィザードに表示される画面に従います。
Junos OS リリース 19.2 の設定をカスタマイズするには、 Junos OS リリース 19.2 の設定のカスタマイズを参照してください。
Junos OS リリース 15.1X49-D170 で設定をカスタマイズするには、 Junos OS リリース 15.1X49-D170 の設定のカスタマイズを参照してください。
Junos OS リリース 19.2 の設定のカスタマイズ
次のいずれかの設定モードを選択して、設定をカスタマイズできます。
標準 - SRX300 の基本的なセキュリティ設定を行います。
クラスタ(HA):シャーシ クラスタ モードで SRX300 を設定します。
パッシブ:SRX300をタップモードでセットアップします。タップモードにより、SRX300はネットワーク全体のトラフィックフローを受動的に監視できます。
Junos OS リリース 15.1X49-D170 の設定のカスタマイズ
次のいずれかの設定モードを選択して、設定をカスタマイズできます。
ガイド付きセットアップ(動的 IP アドレスを使用)- カスタムセキュリティ構成で SRX300 をセットアップできます。「基本」または「エキスパート」のいずれかのオプションを選択できます。
次の表は、基本レベルとエキスパートレベルを比較したものです。
オプション
基本的な
達人
許可される内部ゾーンの数
3
≥ 3
インターネット ゾーンの構成オプション
静的 IP
ダイナミックIP
静的 IP
静的プール
ダイナミックIP
内部ゾーン サービスの構成
許可
許可
内部宛先 NAT 構成
禁じられた
許可
手記:ラップトップが接続されているポートのIPアドレスを変更すると、ガイド付きセットアップモードで設定を適用するときにデバイスへの接続を失う可能性があります。J-Web に再度アクセスするには、新しいブラウザー ウィンドウを開いて「https://new IP address」と入力します。
デフォルト設定(動的IPアドレスを使用):デフォルト設定でSRX300をすばやく設定できます。追加の構成は、ウィザードのセットアップが完了した後で行うことができます。
高可用性-デフォルトの基本設定でシャーシ クラスタを設定できます。
Juniper Networks Network Service Controller で ZTP を使用してデバイスを設定する
Junos OS リリース 19.2 以前のリリースでは、ZTP を使用して設定できます。
ZTP を使用すると、最小限の操作で、ネットワーク内の SRX300 の初期設定を自動的に完了できます。
Network Service Controller は、ジュニパーネットワークスの Contrail Service Orchestration プラットフォームのコンポーネントで、オープン フレームワークを使用するカスタム ネットワーク サービスの設計と実装を簡素化および自動化します。
詳細については、 http://www.juniper.net/assets/us/en/local/pdf/datasheets/1000559-en.pdf のデータシートの「Network Service Controller」セクションを参照してください。
ZTP を使用してデバイスを自動的に設定するには、次の手順を実行します。
ZTP プロセスを完了するには、SRX300 がインターネットに接続されていることを確認します。
認証コードをすでにお持ちの場合は、表示されたWebページにコードを入力します。
図 3: 認証コード ページ
認証に成功すると、初期設定が適用され、SRX300にコミットされます。オプションで、初期設定を適用する前に、最新のJunos OSイメージをSRX300にインストールします。
認証コードをお持ちでない場合は、J-Webセットアップウィザードを使用してSRX300を設定できます。 [J-Webにスキップ ]をクリックし、J-Webを使用してSRX300を設定します。