Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SRX320でのJunos OSの設定

SRX320ファイアウォールは、ジュニパーネットワークスJunosオペレーティングシステム(Junos OS)がプリインストールされた状態で出荷され、SRX320の電源を入れるとすぐに設定できるようになります。SRX320 のソフトウェアの初期構成は、次のいずれかの方法で実行できます。

  • コマンドライン インターフェイス (CLI)

  • クラウドベースのプロビジョニングサービスによるゼロタッチプロビジョニング(ZTP)

  • J-Web GUI

新しいSRX320を設定する前に、工場出荷時のデフォルト設定をよく理解しておくことをお勧めします。多くの場合、工場出荷時のデフォルトを利用して、設定作業を簡素化することができます。また、既定値が計画された使用量と一致しないことがわかった場合は、空白の構成から始める方が簡単な場合があります。工場出荷時のデフォルト設定の詳細については、 SRX320ファイアウォールの工場出荷時のデフォルト設定 を参照してください。

CLI を使用した初期設定

デバイスのシリアルまたはミニUSBコンソール ポートを使用できます。

シリアル コンソール ポートへの接続

シリアル コンソール ポートに接続するには、次の手順に従います。

  1. イーサネットケーブルの一端をRJ-45からDB-9シリアルポートアダプタに差し込みます。
    メモ:

    デバイス パッケージの一部としてコンソール ケーブルを含めることはなくなりました。コンソール ケーブルとアダプターがデバイス パッケージに含まれていない場合、または別の種類のアダプターが必要な場合は、次のものを別途注文できます。

    • RJ-45 - DB-9 アダプタ(JNP-CBL-RJ45-DB9)

    • RJ-45 ー USB-A アダプター(JNP-CBL-RJ45-USBA)

    • RJ-45 - USB-C アダプタ(JNP-CBL-RJ45-USBC)

    RJ-45 to USB-A または RJ-45 to USB-C アダプターを使用する場合は、PC に X64 (64 ビット) 仮想 COM ポート (VCP) ドライバーがインストールされている必要があります。ドライバをダウンロードするには 、https://ftdichip.com/drivers/vcp-drivers/ を参照してください。

  2. RJ-45 to DB-9 シリアル ポート アダプターを管理デバイスのシリアル ポートに差し込みます。
  3. イーサネット ケーブルのもう一方の端を SRX320 のシリアル コンソール ポートに接続します。
    図1:SRX320 Connect to the Console Port on the SRX320のコンソールポートに接続する
  4. 非同期端末エミュレーション アプリケーション (Microsoft Windows ハイパーターミナルなど) を起動し、使用する適切な COM ポート (COM1 など) を選択します。
  5. シリアルポート設定を次の値で設定します。
    • ボーレート—9600

    • パリティ-N

    • データ ビット—8

    • ストップ ビット - 1

    • フロー制御—なし

Mini-USB コンソール ポートに接続します

Mini-USB コンソール ポートに接続するには、次の手順を実行します。

  1. [ダウンロード] ページから管理デバイスに USB ドライバーをダウンロードします。Windows OS 用ドライバーをダウンロードするには、バージョン ドロップダウン リストから選択します6.5。macOS 用のドライバーをダウンロードするには、[バージョン] ドロップダウン リストから選択します4.10
  2. USBコンソールドライバソフトウェアをインストールします。
    メモ:

    SRX320 と管理デバイス間の物理的な接続を確立する前に、USB コンソール ドライバー ソフトウェアをインストールしてください。インストールしないと、接続に失敗します。

    1. .zip ファイルをローカル フォルダーにコピーして抽出します。

    2. .exe ファイルをダブルクリックします。インストーラー画面が表示されます。

    3. インストール」をクリックします。

    4. クリック とにかく続ける 次の画面でインストールを完了します。

      プロセスの途中でインストールを停止するように選択した場合、ソフトウェアの全部または一部のインストールは失敗します。このような場合は、USBコンソールドライバーをアンインストールしてから再インストールすることをお勧めします。

    5. インストールが完了したら、[ OK ] をクリックします。

  3. SRX320 に付属の USB ケーブルの大きい方の端を管理デバイスの USB ポートに差し込みます。
  4. USBケーブルのもう一方の端をSRX320のmini-USBコンソールポートに接続します。
  5. 非同期端末エミュレーション アプリケーション (Microsoft Windows ハイパーターミナルなど) を起動し、USB コンソール ドライバー ソフトウェアによってインストールされた新しい COM ポートを選択します。ほとんどの場合、これは選択メニューで最大番号の COM ポートです。

    COM ポートは、ドライバをインストールして初期化した後、Windows デバイス マネージャPorts (COM & LPT) の下にあります。これには数秒かかる場合があります。

  6. 次の値でポート設定を構成します。
    • ビット/秒—9600

    • パリティ - なし

    • データ ビット—8

    • ストップ ビット - 1

    • フロー制御 - なし

  7. まだ行っていない場合は、フロントパネルの電源ボタンを押してSRX320の電源を入れます。フロントパネルのPWR LEDが緑色になったことを確認します。

    管理デバイスの端末エミュレーション画面に、起動シーケンスが表示されます。SRX320の起動が完了すると、ログインプロンプトが表示されます。

CLIを使用してSRX320を設定する

このセクションでは、工場出荷時のデフォルト設定を実行している新しいSRX320の初期設定を実行していることを前提としています。デフォルトを活用して、SRX320をインターネットにすばやくアクセスして、ローカルまたはリモートで管理できるようにする方法を紹介します。SRX320の工場出荷時のデフォルトの詳細については、 SRX320ファイアウォール 工場出荷時のデフォルト設定を参照してください。

ただし、このセクションでは、サービス プロバイダーが WAN インターフェイスでの DHCP アドレス割り当てをサポートしていないことを前提としています。ここでは、Junos CLI を使用してインターフェイスと静的ルートを設定する方法をご紹介します。

CLIを使用してSRX320の初期設定を実行するには、次の手順に従います。

  1. root ユーザーとしてログインし、CLI を起動します。工場出荷時のデフォルトを実行する場合、パスワードは必要ありません。
    メモ:

    工場出荷時のデフォルトかどうかに関わらず、 運用モードコマンドを使用して、 show configuration 現在の設定を表示することができます。

  2. 構成モードにします。
  3. ZTP設定を削除し、rootユーザー認証を設定します。

    CLIを使用して初期設定を行う場合、ZTPの設定は必要ありません。ZTP 設定を削除すると、コンソールで ZTP ステータスを報告する定期的なログメッセージが停止します。

    クリアテキストの値を使用して、root認証パスワードを設定します。root パスワードも設定しない限り、ZTP を無効化する変更をコミットすることはできません。

  4. 設定をコミットして、ZTPを削除し、rootパスワードを設定した変更を有効にします。
  5. 管理インターフェイスを設定します。工場出荷時のデフォルト設定では、WANネットワークを介したSRX320のリモート管理にはge-0/0/0インターフェイスを使用することをお勧めします。また、いずれかのLANポート(ge-0/0/1からge-0/0/6)を使用してSRX320をローカルで管理することもできます。

    WANサービスプロバイダーがDHCP IPアドレスの割り当てをサポートしている場合は、この手順をスキップして、工場出荷時のデフォルト設定で機能します。この例では、インターネット プロバイダーは静的 IP アドレス構成を必要とします。IP アドレスを手動で設定するには、デフォルトの DHCP クライアント設定を削除する必要があります。

  6. WANサービスプロバイダーがデフォルトルートのDHCP割り当てをサポートしている場合は、この手順をスキップして、工場出荷時のデフォルト設定で機能します。この例では、インターネット プロバイダーは DHCP をサポートしていません。そのため、管理インターフェイスを提供するための静的デフォルトルートを設定します。このルートは、クラウド プロビジョニング サービスやリモート管理ステーションなどのリモート宛先に到達するために使用されます。
  7. リモートアクセス用のSSHプロトコルを有効にします。デフォルトでは、root ユーザーはリモートでログインできません。また、このステップでは、SSH 経由の root ログインを有効にします。
  8. ge-0/0/0インターフェイスのSSHホストサポートを有効にします。デフォルト設定では、ge-0/0/0インターフェイスはuntrustゾーンにあり、untrustゾーンはホストバウンドSSHをサポートしていないことを思い出してください。
  9. ホスト名を設定します。
  10. (オプション)ドメイン名解決、タイムゾーン、および NTP ベースのクロックソースを設定します。
  11. それです!以上で初期設定は完了です。設定をコミットして、SRX320で変更を有効にします。

    結果として得られる接続性を以下に示します。

    新しいSRX320ブランチネットワークについて留意すべき点がいくつかあります。

    • 192.168.1.1 アドレスを使用して、SRX CLI または J-Web ユーザー インターフェイスにローカルでアクセスします。SRXにリモートでアクセスするには、WANプロバイダから割り当てられたIPアドレスを指定します。show interfaces ge-0/0/0 terse CLI コマンドを発行するだけで、WAN インターフェイスで使用されているアドレスを確認できます。

    • LAN ポートに接続されているデバイスは、DHCP を使用するように設定されています。SRXからネットワーク構成を受け取ります。これらのデバイスは、192.168.1.0/24アドレスプールからIPアドレスを取得し、SRXをデフォルトゲートウェイとして使用します。

    •すべてのLANポートは、レイヤー2接続と同じサブネット内にあります。すべてのtrustゾーンインターフェイス間ですべてのトラフィックが許可されます。

    • trustゾーンから発信されたすべてのトラフィックは、untrustゾーンで許可されます。一致する応答トラフィックは、untrustゾーンからtrustゾーンに戻ることができます。untrust ゾーンから発信されたトラフィックは、trust ゾーンからブロックされます。

    •SRXは、トラストゾーンから発信されたWANに送信されたトラフィックに対して、WANインターフェイスのIPを使用してソースNAT(S-NAT)を実行します。

    •特定のシステムサービス(HTTPS、DHCP、TFTP、およびSSH)に関連付けられたトラフィックは、untrustゾーンからローカルホストへの許可されます。すべてのローカルホストサービスとプロトコルは、trustゾーンから発信されたトラフィックに対して許可されます。

J-Webを使用してSRX320を設定する

J-Webを使用した初期設定の実行

J-Webユーザー インターフェイスは、デバイスの初期設定を実行するために使用できるセットアップ ウィザードをサポートしています。

  1. イーサネットケーブルの一端を、デバイスの0/1から0/6の番号が付けられたネットワークポートのいずれかに接続します。
    メモ:

    ge-0/0/0 および ge-0/0/7 インターフェイス(ポート 0/0 および 0/7)は WAN インターフェイスです。これらのポートは、初期構成手順には使用しないでください。

  2. イーサネット ケーブルのもう一方の端を管理デバイスに接続します。
    図2:SRX320を管理デバイス Connect the SRX320 to a Management Deviceに接続する

    SRX320はDHCPサーバーとして機能し、ラップトップにIPアドレスを自動的に割り当てます。

  3. 管理デバイスがデバイスから 192.168.1.0/24 ネットワーク上の IP アドレスを取得していることを確認します。

    IP アドレスが管理デバイスに割り当てられていない場合は、192.168.1.0/24 ネットワークで IP アドレスを手動で設定します。

    メモ:

    192.168.1.1 IPアドレスはSRX320に割り当てられるため、管理デバイスにはこのIPアドレスを割り当てないでください。

  4. ブラウザーを開き、ターゲット URL として入力しますhttps://192.168.1.1。J-Web画面が表示されます。J-Web インターフェイスへのアクセスについては、J-Web インターフェイスへのアクセスを参照してください。J-Web を使用した初期設定の実行については、J-Web セットアップ ウィザードを参照してください

J-Webを使用してSRX320を管理する

デバイスの初期設定が完了したら、J-Webを使用して、SRX320デバイスの継続的な設定、管理、健全性モニタリングを実行できます。

詳細については、 https://www.juniper.net/documentation/product/us/en/j-web-srx-series でご使用のリリースの SRX J-Web ドキュメントを参照してください。

ジュニパーネットワークスのネットワークサービスコントローラーでZTPを使用してデバイスを設定する

メモ:

Junos OS リリース 19.2 以前のリリースでは、ZTP を使用して設定できます。

ZTPを使用すれば、最小限の操作でネットワークでのSRX320の初期設定を自動的に完了することができます。

Network Service Controller は、ジュニパーネットワークス Contrail Service Orchestration プラットフォームのコンポーネントで、オープンフレームワークを使用するカスタムネットワークサービスの設計と実装を簡素化および自動化します。

詳細については、 http://www.juniper.net/assets/us/en/local/pdf/datasheets/1000559-en.pdf のデータシートの「ネットワーク サービス コントローラー」セクションを参照してください。

ZTPを使用してデバイスを自動的に設定するには:

メモ:

ZTPプロセスを完了するには、SRX320がインターネットに接続されていることを確認します。

  • 認証コードがすでにある場合は、表示される Web ページにコードを入力します。

    図 3: 認証コード ページ Authentication Code Page

    認証に成功すると、SRX320に初期設定が適用され、コミットされます。必要に応じて、初期設定を適用する前に、最新のJunos OSイメージをSRX320にインストールすることもできます。

  • 認証コードがない場合は、J-Web セットアップ ウィザードを使用して SRX320 を設定できます。 [J-Webにスキップ ]をクリックし、J-Webを使用してSRX320を設定します。