SRXシリーズに関するFAQ
- 該当機種:
:SRX100/SRX210/SRX220/SRX240/SRX650
:SRX1400/SRX3400/SRX3600/SRX5600/SRX5800
管理に関して
| 1 | |
|---|---|
| 2 | |
| 3 | |
| 4 | |
| 5 | |
| 6 | |
| 7 | 工場出荷状態から、ホスト名のみ設定しcommitしようとしたのですが、commitできません。必要な設定があるのでしょうか? |
| 8 | |
| 9 | |
| 10 | |
| 11 | |
| 12 | |
| 13 | |
| 14 | |
| 15 | |
| 16 | |
| 17 | |
| 18 | |
| 19 | |
| 20 | |
| 21 | |
| 22 | |
| 23 | |
| 24 | |
| 25 | |
| 26 | |
| 27 | |
| 28 | シャットダウンのコマンドで、request system haltとrequest system power-offの違いは何ですか? |
| 29 |
1.工場出荷状態のSRXにログインするID/Passwordを教えてください。
工場出荷状態のSRXは下記アカウントにてログイン可能です。
ID: root
Password: - (パスワードは設定されていません)
2.CLIの操作感は、SSG/NetScreen/ISGと同様ですか?
いいえ、違います。SRXのCLIでは、3つのモードが用意されています。
-シェルモード:ファイル管理等をUNIXベースのコマンドで操作が可能です。
root権限のみ使用できます。
-オペレーションモード:基本的な操作が可能です。
-コンフィグレーションモード:設定ファイルの編集が可能です。
3.CLI使用時、現状のモードを確認する方法はありますか?
コマンドプロンプトで確認可能です。表示は以下となります。
"%" :シェルモード
">" :オペレーションモード
"#" :コンフィグレーションモード
4.CLI使用時、現状のモードを変更する方法を教えてください。
■シェルモード⇔オペレーションモード
root@% cli →シェルモードで"cli"と入力するとオペレーションモードに移行します。
root> exit →オペレーションモードで"exit"と入力するとシェルモードに移行します。
root@%
■オペレーションモード⇔コンフィグレーションモード
root> configure →オペレーションモードで"configure"と入力するとコンフィグレーションモードに移行します。
[edit]
root#exit →コンフィグレーションモードで"exit"と入力するとオペレーションモードに移行します。
root>
5.設定を変更した時、変更内容は瞬時に機器の動作に反映されますか?
瞬時には反映されません。SRXでは、設定をしているコンフィグと動作しているコンフィグを分けて管理しています。設定変更後"commit"を実行したタイミングで変更内容が機器の動作に反映されます。
6.ロールバック機能とは何ですか?
commit前の設定に戻す機能となります。最大50世代の設定ファイルを管理できます。
7.工場出荷状態から、ホスト名のみ設定しcommitしようとしたのですが、commitできません。必要な設定があるのでしょうか?
commitを行うためには、root権限のパスワード設定が最低限必要です。工場出荷状態ではroot権限のパスワードは設定されていないため、下記コマンドにて、root権限のパスワードを設定してください。
例)
# set system root-authentication plain-text-password
New password: <パスワード> Enter
Retype new password: <パスワード> Enter
# commit
8.デフォルトコンフィグを読み込む方法はありますか?
あります。 コンフィグレーションモードに入り、下記コマンドを投入することでデフォルトコンフィグを読み込ませることが可能です。
root> configure
root# load factory-default
※冗長構成でクラスターの設定をしている場合、クラスターの設定を別途削除する必要があります。
9.設定ファイルが階層表示されるのですが、コマンド入力時と同様に1行で表示することは出来ますか?
可能です。display set オプションを併用してください。
例)
# show | display set
10.CLIにて---(more)---表示をさせずに結果を出力したいのですが、可能ですか?
可能です。no-moreオプションを併用してください。
例)
# show | no-more
11.CLIにて該当する文字列を含む行のみを出力したいのですが、可能ですか?
可能です。matchオプションを併用してください。
例) policyを含む設定行のみ表示
# show | display set | no-more | match policy
12.CLIにて取得したコマンド出力結果をファイルに保存したいのですが、可能ですか?
可能です。saveオプションを併用してください。また、ファイルはSRX内部のストレージへ保存されます。
例)
# show | display set | match policy | save /var/tmp/policy_cfg.txt
13.SRX内部に格納したファイルを参照したいのですが、どのようにすれば参照可能でしょうか?
fileコマンドにて参照可能です。
例:
・ディレクトリ内のファイル一覧を参照したい場合
> file list /var/tmp/
・ファイルの中身を参照したい場合
> file show /var/tmp/policy_log.txt
14.コンフィギュレーションモードでオペレーションモードのコマンドを入力する方法はありますか?
コンフィグレーションモードからオペレーションモードのコマンドを実行する場合は、runオプションを使用することで実行可能です。
例)
# run show system storage
15.CLIにて取得したコマンド出力結果をSRX内部ではなくPCへ直接保存したいのですが、可能ですか?
可能です。ただし、PC上でFTPサーバデーモンを実行しておく必要があります。
例:
※ FTPサーバアドレス: 1.1.1.1, ID: srx, password: Juniper の場合
# show | display set | match policy | save ftp://srx:Juniper@1.1.1.1/policy_cfg.txt
16.root権限でSRXに対してTELNETログインできません。何か方法はありますか?
Junosではroot権限にてTELNETアクセスが出来ない仕様となっています。SSHによるアクセスを行ってください。また、TELNETが必須の場合は、TELNET用にユーザアカウントを作成してください。
例) # set system login user <ユーザ名> class super-user authentication plain-text-password
New password: <パスワード>
Retype new password: <パスワード>
# commit
17.JunosのMIBファイルの入手先を教えてください。
Juniper Networks社のWEBサイトから入手可能です。
http://www.juniper.net/techpubs/software/junos/
上記サイトから該当OSバージョン選択後、「Enterprise-Specific MIBs and Traps」を選択してください。
18.インタフェースの設定を一覧で表示したいのですが、どのようにすればよいでしょうか?
interface terseコマンドをご利用ください。
例)
> show interfaces terse
19.display set形式における複数行の設定を一括で反映させる良い方法はないでしょうか?
load set terminalコマンドを使用することで、多くのコマンドを一括で投入可能です。
例)
# delete にて現在の設定を全て削除します。
# load set terminalコマンドを実行します。
※ 設定するコマンド群をコピー&ペーストします。
[CTRL]+[D]にてコンフィグレーションモードに抜けます。
# commit を実行することで設定を反映できます。
尚、コピー&ペーストの代わりに、ファイルから読み込むことも可能です。
# load set ftp://srx:Juniper@1.1.1.1/policy_cfg.txt
20.管理しているセッションを確認するコマンドはありますか?
オペレーションモードで下記コマンドを実行することで可能です。
>show security flow session
また、サマリーは以下のコマンドで確認可能です。
>show security flow session summary
21.工場出荷状態に戻す方法はありますか?
可能です。
下記コマンドを実行すると、再起動後、工場出荷状態に戻ります。
> request system zeroize
また、Branchモデルでは下記の方法でも工場出荷状態に戻すことが可能です。
フロントパネルのRESET CONFIGボタンを15秒間押し続けると、下記のメッセージがコンソールに出力され、STATUSのLEDが赤色に点灯します。
Config button pressed
Committing factory default configuration
その後、STATUSのLEDが緑色に変わり、工場出荷状態に戻すことができます。
22.現在のコンフィグと過去のコンフィグを比較する方法はありますか?
あります。compareオプションを併用してください。
数字は何世代前のコンフィグと比較するかを指定します。
※0は現在動作しているコンフィグ
例)
# show | compare rollback <0 - 49>
23.トラフィックログはデフォルトでどのように出力されますか?
BranchモデルはSRX内部に保存されます。
High-endモデルはデフォルトではSRX内部には保存されず、syslogサーバへ直接出力されます。
24.コマンド補完機能はありますか?
TabまたはSpaceキーでコマンドを補完することが可能です。
25.指定した時刻にcommitさせる方法はありますか?
可能です。
下記の方法で指定した日時にcommitさせることができます。
> commit at <日時>
26.一つのコマンドで| (パイプ)を複数使用することはできますか?
可能です。
27.CLIにてコマンドの出力結果を末尾から表示させる方法を教えてください。
lastオプションを使用します。
例)
> show log messages | last
28.シャットダウンのコマンドで、request system haltと request system power-offの違いは何ですか?
request system haltは、シャットダウン後、電源OFFが可能な状態になります。
request system power-offはシャットダウン後、そのまま電源OFFの状態になります。
※SRX650及びHigh-endモデルについてはpower-offコマンドを実行した場合も、haltと同じ動作となります。
29.起動直後からアラームランプが点灯しているのですが、何が原因ですか?
レスキューコンフィグが保存されていないため点灯します。
保存するには下記コマンドを実行してください。
(現在のコンフィグをレスキューコンフィグに保存するコマンドになります)
>request system configuration rescue save
尚、アラームランプの点灯要因は下記コマンドにて確認可能です。
> show system alarms
> show chassis alarms
機能に関して
| 1 | |
|---|---|
| 2 | |
| 3 | |
| 4 | |
| 5 | |
| 6 |
1.仮想ファイアウォールに対応していますか?
SRX1400、SRX3000/5000シリーズでは、LSYSと呼ばれる、NS/ISGシリーズのVSYSと同等機能に対応しております。
※SRX1400はJunos 11.4から、SRX3000/5000シリーズはJunos 11.2から対応しています。
2.サポートするダイナミックルーティングプロトコルは何ですか?
RIP/OSPF/BGP/IS-ISをサポートしています。BranchはMPLSもサポートしています。
3.DHCPリレー機能はサポートしていますか?
サポートしています。
4.PPPoE接続は可能ですか?
BranchシリーズはPPPoEクライアントとして接続することが可能です。
5.対応しているNTPクライアントのVerを教えてください。
NTP ver1,2,3,4に対応しています。
6.PoE対応モデルはありますか?
下記モデルに対応しています。
SRX210/SRX220/SRX240/SRX650
スイッチ機能に関して
| 1 | |
|---|---|
| 2 | |
| 3 |
1.VLANをサポートしていますか?
タグVLANをサポートしています。BranchはポートVLANもサポートしています。
2.L2スイッチの様な使い方はできるのでしょうか?
任意のポートをスイッチグループとして指定することで対応可能です。
3.STPに対応していますか?
はい、STP(IEEE802.1D),RSTP(IEEE802.1w),MST(IEEE802.1s)に対応しています。
VPNに関して
| 1 | |
|---|---|
| 2 | |
| 3 |
1.ポリシーベースVPN、ルートベースVPNの両方をサポートしていますか?
サポートしています。
2.IPSecの暗号化と認証アルゴリズムは何をサポートしてますか?
下記をサポートしています。
暗号アルゴリズム:DES(56ビット),3DES(168ビット),AES(128,192,256ビット)
認証アルゴリズム:MD5/SHA-1/SHA-256
※Phase2のSHA-256はJunos 11.2から対応(Branchモデルのみ)
3.ScreenOS製品とのVPN接続は可能ですか?
はい、可能です。ScreenOS製品とSRX間のVPN接続はサポートされています。
ただし、ScreenOS製品のPhase1設定にて利用可能なHeartbeat機能については未サポートのため、DPD機能(RFC 3706準拠) をご利用ください。
UTMに関して
| 1 | |
|---|---|
| 2 | |
| 3 | |
| 4 | |
| 5 | |
| 6 | |
| 7 | |
| 8 | |
| 9 | |
| 10 | |
| 11 | |
| 12 |
1.UTM機能にはどの様なものがありますか?
UTMには、IDP(IPS/IDS)、Anti-Virus、Web-filtering、Anti-Spam、Contents-Filteringの機能があります。
尚、UTM機能を使用する場合は別途ライセンスが必要です。
※Contents-Filteringのライセンスは不要です。
2.UTMは全てのモデルで利用できますか?
モデルにより対応する機能に違いがあります。詳しくは、【SRXシリーズ 製品仕様】サイトをご確認ください。
http://www.hs-juniperproducts.jp/security/srx/spec.html
※High-endモデルはIDPのみ利用できます。
3.Contents-Filteringとはどのような機能ですか?
HTTPのメソッドをチェックし制御をする機能です。また、HTTP内のActiveX、exe、http-cookie、java-applet、zipをポリシー毎にブロックすることも可能となります。
4.SRXのIDP機能とSSGシリーズのDI機能の違いは何ですか?
SRXのIDP機能は、Juniper NetworksのIPS/IDS専用アプライアンスであるIDPと同一のシグネチャをサポートをするため、SSGシリーズのDI機能のシグネチャ数に比べ格段に多く、より多くの攻撃を検知/防御することが可能となります。
5.P2Pアプリケーション通信の制御は可能ですか?
IDP機能によりWinMX、winny等のアプリケーションを制御する事が可能です。
6.AVやIDPなどUTMライセンスの使用環境として注意すべきことはありますか?
SRX自身が直接インターネットに繋がる環境である必要があり、DNSの設定も必須になります。
なお、プロキシサーバ経由のIDPシグネチャの更新はサポートされていません。
※プロキシサーバ経由のAVパターンファイルの更新はJunos 11.2から対応しています。
7.IDPのシグネチャ一覧を見ることができますか?
下記サイトでご確認いただけます。
https://services.netscreen.com/idpupdates/attackDescriptions.html
8.FULL AVとExpressAVの違いは何ですか?
FULL AVは、ファイル全体をスキャンします。ExpressAVは、パケット単位でスキャンします。
ExpressAVはFULL AVに比べスキャン転送スピードがUPしますが圧縮ファイルのスキャンは不可となります。
9.機器にインストールされているUTMライセンス及びそのライセンスの有効期限を確認する方法を教えてください。
CLIのオペレーションモードで下記コマンドを実行することで確認可能です。
> show system license
10.IDPのシグネチャはどこに保存されますか?
SRX内部に保存されます。
11.Anti Virus機能のファイル制限はありますか?
SRX100~240については最大20MB、SRX650については最大40MBのファイル制限となります。
(Full AV、Express AV同様です)
12.冗長構成時のUTM機能はサポートされていますか?
Junos 11.4からサポートされます。
HAに関して
| 1 | |
|---|---|
| 2 | |
| 3 | |
| 4 | |
| 5 | |
| 6 | |
| 7 |
1.冗長構成を組むにあたって条件はありますか?
モデル・OS・ライセンスを同一にする必要がございます。
※冗長構成は冗長用ライセンスなしでご使用いただけます。
2.Active-Activeの冗長構成はサポートしていますか?
Active-Standby及びActive-Activeをサポートしています。
3.HA構成の際に使用されるプロトコルは?
JSRPとなります。ScreenOSで採用しているNSRPとは仕様が異なります。
4.VRRPをサポートしていますか?
サポートします。
ただし、Chassis Cluster機能(JSRP)とVRRP機能との併用は未サポートです。
5.HAポートは幾つ必要ですか?
最低2ポート必要ですが、管理用のI/Fを用いる場合は3ポート必要となります。
6.冗長構成時に注意すべき事はありますか?
JUNOS 10.4では下記の制限があります。
・UTM機能は未サポートです。
・冗長構成のインターフェイスでPPPoE終端ができません。 ※Junos 11.2から対応しています。
・ポートVLANやスパニングツリーが使用できません。 ※Junos 11.2から対応しています。(SRX100以外)
7.冗長構成(Chassis Cluster)にて使用するFab I/F(データリンク)は冗長化できますか?
はい、可能です。
JUNOS 10.2よりFab I/Fを最大2本まで設定できるように機能拡張されました。
ただし、2本のFab I/Fは同一タイプのI/Fを使用する必要がございます。
1本を1Gig I/F、もう1本を10Gig I/Fというように、異なるI/Fタイプを併用することはできませんのでご注意ください。
VPNクライアントに関して
| 1 | |
|---|---|
| 2 | |
| 3 | |
| 4 | |
| 5 | |
| 6 | |
| 7 |
1.NS-RemoteとのVPN接続はサポートされていますか?
接続は可能ですが、SRXシリーズはNS-RemoteとのVPN接続を正式にはサポートしていません。
2.ダイナミックVPNとはどのような機能ですか?また、NS-Remoteと違いがありますか?
ダイナミックVPNでは、クライアントPCは最初にSRXにアクセスし、SRXからソフトウェア及び設定をダウンロードし、VPN接続を行います。NS-Remoteで必要な個々のクライアントPCでの設定がダイナミックVPNでは不要となります。
3.ダイナミックVPNに対応しているモデルを教えてください。
下記モデルに対応しています。
SRX100/SRX210/SRX220/SRX240/SRX650
4.ダイナミックVPNのライセンス体系を教えてください。
ライセンスは同時接続ユーザ数でカウントされます。
また、各モデルにより上限数が異なります。
SRX100/SRX210…最大25ユーザ
SRX220/240…最大50ユーザ
SRX650…最大150ユーザ
5.VPNクライアントをインストールするクライアントPCの台数に制限はありますか?
ありません。
ライセンスは同時接続ユーザ数でカウントされるため、VPNクライアントを
インストールするクライアントPCの台数の上限を考慮する必要はありません。
6.ダイナミックVPNクライアントをインストールする場合の前提条件はありますか?
ダイナミックVPNをインストールするためにはActiveXもしくはJava VMが必要です。
また、Administrator権限でインストールを行う必要があります。
但し、インストール後、VPNクライアントを使用する場合はAdministrator権限は必要ありません。
7.ダイナミックVPN接続ユーザを確認する方法はありますか?
下記コマンドで確認可能です。
> show security dynamic-vpn users
ハードウェアに関して
| 1 | |
|---|---|
| 2 | |
| 3 | |
| 4 | |
| 5 | |
| 6 | |
| 7 |
1.SRX100/210/240に存在するハイメモリ版とローメモリ版の違いは何になりますか?
ハイメモリ版は、ローメモリ版に比べ以下の違いがあります。
・UTM機能が使用可能
・最大同時セッション数が2倍*
・最大ルート数が2倍*
*UTM機能非使用時の値となります。詳しくは、【SRXシリーズ 製品仕様】サイトをご確認ください。
http://www.hs-juniperproducts.jp/security/srx/spec.html
2.SRX1400、SRX3000シリーズ、5000シリーズに必要最低限の構成は?
■SRX1400
筐体(RE,SFB含む) × 1台
NSPC × 1枚
■SRX3000シリーズ
筐体(RE,SFB含む) × 1台
SPC × 1枚
NPC × 1枚
電源ケーブル × 1本(SRX3400)、× 2本(SRX3600)
■SRX5000シリーズ
筐体(RE,SFB含む) × 1台
SPC × 1枚
IOC × 1枚
トランシーバ(SFP or XFP) × 必要個数分
電源ケーブル × 2本(SRX5600)、× 3本(SRX5800 ※200V対応)
3.ラックマウントキットは同梱されていますか?
SRX100/SRX210/SRX220は別途ラックマウントキットをご購入頂く必要があります。
※SRX240、SRX650は同梱されています。
4.電源の冗長化は可能ですか?
下記モデルで対応しています。
SRX650/SRX1400/SRX3000シリーズ/SRX5000シリーズ
5.SRXはHDDを搭載していますか?
SRX1400以上のモデルにおいて、REにSSDまたはHDDを搭載しています。
REにて使用しているストレージのメディアおよび容量は下記のとおりです。
SRX100/SRX210/SRX220/SRX240: (1GB CF)
SRX650: (2GB CF)
SRX1400/SRX3400/SRX3600: (1GB CF + 16GB SSD)
SRX5600/SRX5800: (1GB CF + 40GB HDD)
6.SRXは10Gig SFP+のトランシーバをサポートしていますか?
SRX650の10Gig I/Fモジュール (SRX-GP-2XE-SFPP-TX) または
SRX1400の10Gig I/Fモデル (SRX1400BASE-XGE-AC) にて利用可能です。
尚、SRX1400BASE-XGE-ACの10Gig SFP+ I/Fは1Gig SFPトランシーバも利用可能です。
ただしI/F名は ge-X/X/X ではなく xe-X/X/X として設定することにご留意ください。
※ SRX-GP-2XE-SFPP-TX では 1Gig SFP トランシーバは利用できません。
7.SRX650のオンボードで、Switching機能(VLAN)を設定することは可能でしょうか?
製品の仕様でVLANを設定する場合は、拡張用I/Fモジュールを別途購入する必要があります。
拡張用I/Fモジュールは以下のものがあります。
・SRX-GP-16GE (10/100/1000 16ポート搭載 I/Fの形状はRJ-45)
・SRX-GP-24GE (10/100/1000 24ポート搭載 I/Fの形状はRJ-45 及び SFP)
※SRX-GP-24GEのポート番号20~23の4ポートはRJ-45またはSFPのいずれかを使用可能
その他
| 1 | |
|---|---|
| 2 | |
| 3 |
1.Common Criteria(ISO/IEC15408)を取得していますか?
以下のOSにて取得しています。(2012年3月現在)
・10.0
現在、以下OSにて申請中です。(2012年取得予定)
・11.2(SRX650のみ)
・10.4(SRX1400以外)
2.マニュアルはありますか?
下記サイトからダウンロードが可能です。
http://www.juniper.net/techpubs/software/junos/
上記サイトから該当OSバージョンを選択してください。
※日本語マニュアルは現在、セキュリティ設定ガイドのみ提供されています。
https://www.juniper.net/techpubs/software/translated/srx-translate-sw-documentation.html
・Junos OS 10.4 Security Configuration Guide
※ 参考資料としては、下記ドキュメントも提供されています。
https://www.juniper.net/jp/jp/products-services/nos/junos/#literature
参考資料 > その他
・Day One:JUNOSの基本設定
・Day One:JUNOS CLIの探究
https://www.juniper.net/jp/jp/products-services/security/srx-series/#literature
参考資料 > その他
・SRX GUI設定ガイド
3.有害物質使用制限(RoHS)指令には対応していますか?
SRXシリーズはEU-RoHS指令に対応しています。
中国版のRoHSやREACH(欧州化学品規制)などの適合状況については別途、お問い合わせください。
・ 参考URL
http://www.juniper.net/jp/jp/company/citizenship-sustainability/compliance/rohs/
関連ソリューション
-
![[セキュアルータ] SRXシリーズ](/common/img/se/img_related-info33.jpg)
Juniper Networks社のセキュアルータ製品、SRXシリーズの製品情報です。
-
Juniper Networks社のセキュアルータ製品、SRXシリーズを用いたシステム構築例です。
-
ネットワークの進化、コストダウン、運用・管理の利便性アップなど、SRXシリーズの導入効果です。
Juniperについて
Juniper Networks社は、ギガビット/テラビット級ルータ、ファイアウォール/VPNアプライアンス、SSL-VPNアプライアンス、インライン型侵入検知防御など、ネットワークとセキュリティを軸に幅広い製品を開発している企業です。
- Juniperで解決できる課題
- Juniperの関連キーワード
