SSGシリーズ/ISG/NetScreenシリーズに関するFAQ
- 該当機種:
- 該当機種:
[UTM]SSGシリーズ/ISG/NetScreenシリーズ製品情報はこちら
ファイアウォールに関して
- 1
透過モードでブロードキャストやマルチキャストを通すことができますか?
-
マルチキャスト及びブロードキャストを通す事が可能です。
デフォルトではIPでもARPでもないユニキャストトラフィックは遮断しますがマルチキャスト及びブロードキャストは通す仕様です。
これらのトラフィックについてはポリシーを設定する必要はございません。 - 2
DMZゾーンはどの機種から対応していますか?
-
NetScreenはNS-5GT Extended以上の機種、ISG及びSSGについては全機種でDMZゾーンが使用可能です。
- 3
複数グローバルIPを取得してサーバを公開したいのですが、LAN側やDMZ側に取得したグローバルIPを直接割り当てることは可能ですか?
-
直接サーバなどにグローバルIPを割り当てる場合はPPPoE環境の場合のみ以下のコマンドを実行することで可能になります。
set vrouter trust-vr ignore-subnet-conflict
ただしNetScreen/SSGのインタフェースには必ずIPアドレスを割り当てる必要があります。
また、LAN側やDMZ側にグローバルIPを直接割り当てずにプライベートアドレスを割り当て、
かつ、取得したグローバルIPにてサーバを公開する場合はMIP、VIPなどのアドレス変換機能を使用することで実現可能です。 - 4
アドレス変換の方法は、NATですかNAPT(IPマスカレード)ですか?
-
MIP/DIP/ポリシー等を使用することにより任意で設定可能です。
- 5
複数のPPTPセッションを通すことはできますか?
-
ポリシーで許可すれば可能です。ただしPPTPを複数セッション接続される場合には、MIP(1対1NAT)もしくは、DIP(固定ポート)のアドレス変換機能をご使用下さい。
- 6
セッション数とトンネル数の違いを教えてください。
-
セッションとは、あるクライアントがNS/ISG/SSGを介してサーバにコネクションを確立した時に生成されるもので、セッション数はその総数を指します。
※コネクションを終了した時点でセッションも終了します。
NS/ISG/SSGの同時処理セッション数を考慮する場合は、クライアントがどの程度コネクションを生成するかを想定した上で、機器設定を行うことをお奨めします。
なお、セッションは通常TCPのみに適用される概念ですが、NS/ISG/SSGではUDPやICMPなどその他のプロトコルのコネクションもセッションとして管理するのでご注意ください。
トンネル数とはVPNのトンネル数のことであり、双方向のSAを合わせて1トンネルとカウントします。 - 7
NATの変換テーブルはどれくらいの時間保持するのでしょうか?
-
保持する時間はセッションによる制約となるため、NATを利用しているセッションがタイムアウトするまでの時間となります。
- 8
NAT/Routeモードにて、Trust・DMZポートのIPアドレスに対してのpingは通りますが、UntrustポートのIPアドレスに対してpingを実行するとTime Outになります。何故でしょうか?
-
セキュリティを考慮し、デフォルトではUntrustゾーンをバインドしたポートに対するpingは無効に設定されているためです。必要に応じてping応答を許可することも可能です。
- 9
FTPのアクティブモードとパッシブモードには対応していますか?
-
アクティブモードおよびパッシブモード双方共に対応しています。
- 10
スパニングツリープロトコル(BPDU)が届いたとき、そのまま通しますか?それとも破棄しますか?
-
NS/ISG/SSG自体はスパニングツリープロトコルを理解しませんが、透過モードの場合はBPDUをそのまま通し、NAT/ROUTEモードの時は破棄します。
※NAT/ROUTEモード時でもブリッジグループ間であれば透過させることも可能です。 - 11
1つの機器でL2ゾーンとL3ゾーンの混在は行えますか?
-
L2ゾーンとL3ゾーンを混在させることは出来ず、L2ゾーンは透過モード、L3ゾーンはNAT/ROUTEモードでのみそれぞれサポートされます。
ただしNAT/ROUTEモードでは、ブリッジグループの機能で複数のポートをL3SWのポートVLANのように使用することが可能です。
この場合所属するポートは通常のスイッチの動作と同等で、ポートを跨ぐ際にポリシー等で制御を行うことは出来ません。 - 12
MACアドレスによるフィルタリングの機能はありますか?
-
MACアドレスのフィルタリング機能はございません。
- 13
IPXなどTCP/IP以外のプロトコルに対応していますか?
-
NAT/ROUTEモード(L3モード)で動作させている場合、TCP/IP以外のプロトコルには対応しておりません。
透過モード(L2モード)でBypass-non-ipを設定することによりIP以外のパケットを通す事が可能となります。 - 14
帯域制御を行った場合、帯域割当状況をリアルタイムに見ることができますか?
-
WebUIにて、リアルタイムに確認することが可能です。
Reports > Policies > Traffic Shaping Graph で以下の2点が確認できます。
・ポリシー毎の、In / Out Traffic を 直前 100 秒間のグラフ表示
・各インターフェイスの使用帯域を一覧表示 - 15
NSRP構成を組むにあたって条件はありますか?
-
機器、OSバージョン、ライセンスを同一にする必要があります。
- 16
SSGやNSのユーザ認証で、CHAPはMSCHAPに対応していますか?
-
対応していません。
- 17
データシートに記載のVPN同時接続トンネル数とは何の数を示しているのでしょうか?
-
VPNs > AutoKey IKE にて設定できるPhase2のエントリ数を指します。
- 18
デフォルトで定義されていないサービスを定義する方法を教えてください。
-
WebUI上の左の項目から
・ScreenOS5.4以前
Objects > Services > Custom
・ScreenOS6.0以降
Policy > Policy Elements > Services > Custom
を選択し、右上のNewボタンを押下することにより表示される画面で設定することができます。
1つのサービス名称で、8つのサービスを下記の方法で定義することができます。
・TCP/UDPの場合:発信元ポート番号の範囲と宛先ポート番号の範囲を入力
・ICMPの場合:Type,Codeを入力
・その他プロトコルの場合:"Transport protocol"にて"other"を選択し、10進でプロトコル番号、及び 発信元ポート番号の範囲と宛先ポート番号の範囲を入力
VPNに関して
- 1
VPN通信を行う際、固定グローバルアドレスはセンタあるいは拠点に必要ですか?
-
センタ、拠点のどちらかに必ず固定グローバルアドレスを割り当てる必要があります。また、センタ、拠点のどちらかに固定グローバルアドレスを割り当てた場合、動的に与えられた機器側から固定アドレスに通信を始める必要がございます。
- 2
ダイアルアップルータでISPに接続しているのですが、ルータの配下にNS/ISG/SSGを配置してVPN通信を行う場合、グローバルアドレスは必要ですか?
-
NAT-Traversal機能を使用すれば必要ありません。
但し、その場合は対向の機器に固定グローバルアドレスが必須となります。
(参考)ダイアルアップルータに必要な機能は以下の3点です。
・IPプロトコル50番のESPパケットを通せる事
・UDP500番を通せる事
・UDP4500番を通せる事(NAT-Traversal Draft2を使用する場合) - 3
インターネットVPNを構築する際、一部の拠点で専用線を使いたいのですが、この環境でVPN構築は可能でしょうか?
-
IPベースの通信であれば、通信経路に関わらずVPN通信が可能です。
- 4
他社製品とのVPN接続実績は?
-
他社製品との接続は推奨しておりませんが、ICSA(第3者機関)においてVPNの相互接続が確認されております。 また、弊社ではJuniper Networks社製と他ベンダVPN装置との通信においての設定や障害が起きた場合などのサポートは、以下の条件が成立した場合に限って、サポートをさせて頂いております。
・NS/ISG/SSG対向のVPN装置を提供する側にSlerが存在し、そのSlerは、対向機種のメーカ側に十分な影響力を持つこと。(Juniper Networks社に対しては、弊社が対応します。)
・その上で、Slerと弊社間でエンドユーザ様のシステムに関して問題が発生した場合、解決のために十分な話し合いと対策を打つ事を合意すること。
・そのために、Slerは対向機種メーカーに、弊社はJuniper Networks社に該当するお客様のシステムを認知させ、トラブル発生時に両社、お客様システムを稼動させる事を優先させる旨の同意を得ること。
・その上で、Slerと弊社の共同プロジェクトを立ち上げて、相互接続性の評価を行った後、システムの構築を行うこと。 - 5
VPNでマルチキャストおよびブロードキャストを通す事は可能ですか?
-
マルチキャストは対応しております。 ブロードキャストについてはトンネル上に通す事が出来ません。
- 6
透過モードでインターネットVPN通信は行えますか?
-
双方の機器どちらかのvlan1 IP(system-ip)に固定のグローバルアドレスを割り振ることで可能です。 その場合、固定のグローバルアドレスを持っていない機器側から通信を開始する必要があります。
- 7
Windowsの標準IPsec機能とVPN通信をする事は可能ですか?
-
Windows2000及びXP、Vista、7と接続可能です。
但し、弊社では項番4の理由により推奨しておりません。 - 8
GREトンネルはサポートしていますか?
-
ScreenOS5.1よりGRE(GREv1)に対応しております。
- 9
VPN上でダイナミックルーティングによる経路交換を行うことは可能ですか?
-
可能です。
- 10
ローカル側と対向側のアドレス体系が重複している場合にVPN通信は可能ですか?
-
MIPとDIPを使用することで可能になります。詳細はマニュアル"第5 部: 仮想プライベートネットワーク"をご参照ください。
(※マニュアルについては、その他に関して6をご参照下さい。) - 11
NS-Remoteの後継製品はありますか?
-
弊社ではNS-Remoteの代替製品としてNET-G Secure VPN Clientを取り扱っております。
※ 対応OSは以下の通りです。(ver2.4以降)
・Windows 7
・Windows 7(64bit Edition)
・Windows 7 SP1
・Windows 7 SP1(64bit Edition)
・Windows Vista SP2
・Windows Vista SP2(64bit Edition)
・Windows XP SP3ただし、以下の動作環境は対象外となります。
・日本語版以外のWindows
・IA64版 Windows
管理に関して
- 1
SNMPのtrapは、複数のSNMPマネージャに送ることが可能でしょうか?
-
1つのCommunityにつき最大64台までのホストに送ることが可能です。
また、8つのCommunityを作成できます。
(SceenOS6.3) - 2
機器内部に格納出来るLog容量はどれくらいになりますか?
-
SSGシリーズではTrafficLog:4096行、EventLog:1024行
ISGシリーズではTraffic log:32000行、Event log;32000行
NS-5000シリーズではTrafficLog:16000行、EventLog:16000行
になります。この最大行数は変更することはできません。
Logの最大容量行数を超えた場合は、古いものから削除され、上書きされていきます。
また、このLogはRAMに保存するため電源を落とすと全て削除されてしまいます。 - 3
RFC1757に準拠したRMON1、RMON2機能をサポートしていますか?
-
サポートしていません。
- 4
機器内部に保存されたログをファイルに保存することはできますか?
-
WebUIのログ表示画面中の、「Save」ボタンを押下すればテキスト形式で取得できます。
- 5
ログを集計して、見やすい図やグラフにしてくれるようなソフトはありますか?
-
NS/ISG/SSGの連携製品として、同じくJuniper社のSTRMやNSM(Network Security Manager)、弊社製品のFIREWALLstaffなどがあります。
- 6
外部からNS/ISG/SSGの設定を行う事はできますか?
-
可能です。
専用管理ツールを使用する方法や暗号通信経由の方法もございます。
■専用管理ツール
NS/ISG/SSGの専用管理ツールであるNSM(Network and Security Manager)を使用します。
専用のGUIを使用して効率よくNS/ISG/SSGの設定、管理が可能です。
■暗号通信経由
対向でNS/ISG/SSGを設置します。
接続確立後はTelnetもしくは Webブラウザ経由で設定が可能です。 - 7
管理端末に制限をかけることができますか?
-
下記の設定方法で制限できます。
Configuration > Admin > Permitted IPsで許可するIPアドレスを設定します。
例えば、IP:10.2.0.16、Netmask:255.255.255.248 とした場合、10.2.0.16 ~ 10.2.0.23 までのアドレスからしか接続できません。 - 8
NS/ISG/SSGが生成できるログの種類は?
-
EVENT LOG、TRAFFIC LOG、SELF LOGの3種類のログ生成が可能です。
1. EVENT LOG
システムの動作全般に関連する記録となります。
例) システムの各モジュールの開始/停止/障害情報、アタックの検出情報、管理者ログイン、設定変更情報
2. TRAFFIC LOG
通信のセッションレベルの記録となります。
例) 通信セッションの詳細情報、設定した通信量を超えた時のトラップ情報
3. SELF LOG
機器でドロップされたパケット(ポリシーに拒否されたものなど)や終了したトラフィック(管理トラフィックなど)の監視および記録となります。 - 9
ログの出力先としては、どのようなものがありますか?
-
以下の出力先があります。
Console:コンソールを通じてトラブルシューティングするときに表示されます。オプションとして、アラームメッセージ(重要、警報、緊急)をコンソール画面にさせる設定が可能です。
内部DB:内部データベースはログ入力に便利な宛先ですが、限られらたログスペースです。
E-mail:イベントログおよびトラフィックログデータをリモート管理者にE-mailで送信できます。
Syslog:内部DBでは保存しきれない容量のログを外部ストレージとしてSyslogサーバに保存できます。
CompactFlash:内部DBでは保存しきれない容量のログを外部ストレージとしてCFに保存できます。(ISG/NetScreenシリーズ)
USB:内部DBでは保存しきれない容量のログを外部ストレージとしてUSBメモリ上に保存できます。
(SSGシリーズのみ)
※内部DBはRAM上に保存するため、機器の再起動によりログ情報が失われることにご注意ください。 - 10
ログの出力レベルを変更する事はできますか?
-
可能です。 WebUIではConfiguration > Report Settings > Log Settingsにて8つのレベルから出力するものを指定可能です。
(Emergency、Alert、Critical、Error、Warning、Notification、Information、Debugging) - 11
MIBファイルの入手方法を教えてください。
-
JuniperNetworks社のHP(以下URL)より取得可能です。
http://www.juniper.net/techpubs/software/screenos/mibs.html
該当のOSバージョンのMIBをダウンロードしてください。 - 12
MIBファイルを登録し、コンパイルするとエラーになります。登録する順番があるのですか?
-
MIBファイルを登録する際は以下の順番で行って下さい。
(1)NS-SMI.mib
(2)NS-PRODUCTS.mib
(3)NS-TRAPS.mib
(4)その他のMIBファイル - 13
USBメモリに対応していますか?
-
SSGシリーズのみOS5.4からOSの読み込み/保存、configの読み込み/保存が可能です。OS6.0からはログやcoredumpの保存をすることが可能となります。
NSシリーズではコンパクトフラッシュでの対応となります。
なお、検証実績があるUSBメモリーは以下となります。
・Kingston Datatraveler 2GB
・SanDisk Cruzer Micro 512M
・Lexar JumpDrive Firefly 1GB
※ScreenOSマニュアルより参照
UTMに関して
- 1
AVやDIなどUTMライセンスの使用環境として注意すべきことはありますか?
-
SSG自身がインターネットに繋がる環境である必要があり、DNSの設定も必須になります。
ただし、ScreenOS6.1以降ではAV/DIの機能についてはプロキシサーバ経由(「IPアドレス:ポート番号」の形式で指定できること)でも使用可能となります。 - 2
AV機能で、パスワード付き圧縮ファイルや暗号化されたファイルはスキャンできますか?
-
パスワード付き圧縮ファイルや暗号化されたファイルはスキャンできません。
- 3
透過モードでもUTM機能は利用可能ですか?
-
可能です。
- 4
SSGで、AVのパターンファイルやDIのシグネチャはどこに保存されますか?
-
フラッシュメモリ上に保存されます。
- 5
UTM機能を使用する際、上位のルータやファイアウォールで許可しなければいけないポート番号を教えて下さい。
-
各機能毎に以下のポート番号およびライセンス取得に必要なTCP 80/443番ポート(HTTP/HTTPS)も合わせて許可して下さい。
AntiVirus ・・・ TCP 80番ポート(HTTP)
DeepInspection ・・・ TCP 80番ポート(HTTP)、TCP 443番ポート(HTTPS)
WebFiltering ・・・ UDP 9020番ポート(1024以上であればポート番号変更可能)
AntiSpam ・・・ TCP 53番ポート(DNS) - 6
アンチスパム機能はPOP3など受信プロトコルに対応していますか?
-
アンチスパム機能はSMTPのみ対応しております。そのため内部側にメールサーバを設置している場合のみ機能します。外部のメールサーバを利用している場合は機能しません。
- 7
Webフィルタの設定で、URLの最後のスラッシュ"/"は必要ですか?
-
必要ございません。
設定した文字列と同じ文字列を含むアドレスをフィルタリングしますので、 "/"より前の文字列が一致していればフィルタにかかります。 - 8
Web フィルタでドメインを指定した際、その配下のサイトに対してもフィルタはかかりますか?
例)"http://www.hs-juniperproducts.jp/" の指定で "http://www.hs-juniperproducts.jp/security/" もフィルタ対象になりますか? -
配下のページもフィルタ対象となります。
URLフィルタで設定したURLと、同じ文字列を含むアドレスのページを フィルタリングします。 - 9
UTM機能にて検知した時(virus検知、attack検知、URL filtering ブロック)の、出力メッセージをカスタマイズすることは可能ですか?
-
Anti-VirusはScreenOS6.2、URL FilteringはScreenOS6.1からカスタマイズが可能です。
- 10
DIのシグネチャ一覧は何処で見ることができますか?
-
下記のサイトより確認できます。
http://help.juniper.net/sigupdates/english/AIM.html
http://help.juniper.net/sigupdates/english/DNS.html
http://help.juniper.net/sigupdates/english/FTP.html
http://help.juniper.net/sigupdates/english/GNUTELLA.html
http://help.juniper.net/sigupdates/english/HTTP.html
http://help.juniper.net/sigupdates/english/IMAP.html
http://help.juniper.net/sigupdates/english/MSN.html
http://help.juniper.net/sigupdates/english/NBDS.html
http://help.juniper.net/sigupdates/english/NBNAME.html
http://help.juniper.net/sigupdates/english/POP3.html
http://help.juniper.net/sigupdates/english/SMTP.html
http://help.juniper.net/sigupdates/english/MSRPC.html
http://help.juniper.net/sigupdates/english/SMB.html
http://help.juniper.net/sigupdates/english/YMSG.html
また、より詳しい情報は、下記サイトで確認いただけます。
https://services.netscreen.com/idpupdates/attackDescriptions.html
シグネチャ名をクリックし詳細表示の"Supported By"項目で「di-」で始まる項目があるものがDIに対応しています。 - 11
プロキシ経由でシグネチャ/アタックパターンのアップデートは可能でしょうか?
-
ScreenOS6.1からプロキシ経由でのシグネチャ/アタックパターンのアップデートに対応しております。
- 12
WebFilteringで1カテゴリに登録できるURL/IPの数は最大幾つでしょうか?
-
ScreenOS6.2の場合:
SSG-5, SSG-20, SSG-300M, SSG-500Mシリーズは20個、SSG-140は50個となります。 - 13
AV機能についてですが、UPX、FSG等で圧縮した実行形式のファイルはスキャン可能でしょうか?
-
UPXやFSGを解凍し、ファイルのスキャンを行うことは出来ませんが、これらの方式を利用して作成されたウィルスに関してはシグネチャの対応などで検知は可能です。
- 14
UTM機能はIPv6に対応していますか?
-
未対応となります。また対応予定もございません。(2011年11月現在)
- 15
AV機能で、何か制限はありますか?
-
スキャンが可能な圧縮ファイルの階層、スキャンファイルサイズ、AVセッション数に制限がございます。詳細は下記の通りです。(ScreenOS6.1以降) 制限を考慮した設計、運用をお願致します。
[最大圧縮ファイル階層]
SSG-5/20: 4
SSG-140: 6
SSG-300/500: 8
[最大スキャンファイルサイズ]
全機種共通 30MB
[最大AVセッション数]
SSG-5/20: 2,000
SSG-140: 8,000
SSG-300/500: 16,000 - 16
冗長構成時にUTM機能を使用している環境で、注意すべきことはありますか?
-
副系のインターネット側インタフェースに管理IP(manage-ip)を割り振らない場合、副系からのライセンス更新、AVパターンアップデート、およびDIシグネチャアップデートができません。
DIシグネチャは主系からの同期が可能ですが、AVパターンファイルは、その場合別途サーバを立てアップデートする必要があります。ライセンス更新については、ローカルからライセンスキーをインポートする対応となります。 - 17
更新ライセンスを購入後、ライセンスキーは自動で適用されますか?
-
自動更新されます。更新タイミングは以下の通りです。
ライセンスキーの期限が切れて30日が経過した場合は、手動にて更新を行っていただく必要が御座います。
ライセンスキー期限日の
・2ヶ月前
・1ヶ月前
・2週間前
・当日
・30日後
※更新時に機器の再起動を行う必要はございません。
- 18
ライセンスの有効期限が切れた場合、機能は使えなくなりますか?
-
・Anti-spam、Webフィルタに関して
外部DB参照によるフィルタリングは行えなくなりますが、ユーザ定義のWhite List/Black Listは動作します。
・DI、Anti-virusに関して
機能自体は引き続き利用可能です。
しかしながらシグネチャおよびパターンファイルの更新が不可となるため、最新の情報に基づいた検知は行えません。
尚、ライセンス期間が超過した場合保守サポート対象外となるため、継続してUTM機能をご利用になる場合は機能の利用可否に関わらず、ライセンスを更新するようお願い致します。
機能に関して
- 1
ダイナミックルーティングプロトコルに対応していますか?
-
ScreenOS5.0よりすべてのプラットフォームでOSPF・BGP・RIPをサポートしています。
- 2
DNSサーバとして運用できますか?
-
DNSクライアントにはなれますが、DNSサーバとしては運用できません。
尚、ScreenOS5.1.0以降では、DDNSクライアント機能とProxyDNS機能に対応しております。 - 3
複数のPPPoEセッションを同時に持つことができますか?
-
ScreenOS5.0からNS-5GT以上、及びSSGにて可能です。
またScreenOS5.1から単一の物理インタフェースにて複数のPPPoE接続が可能になっております。 - 4
DHCPリレー機能はありますか?
-
実装されています。最大3台までのDHCPサーバを登録可能です。
- 5
IPv6は対応していますか?
-
Juniper社の対応状況は以下になります。
・OS5.4以降
ISG-2000 (with IDPは非対応)
・OS6.0以降
NS-5000シリーズ(MGT2/SPM2)
ISG-1000 (with IDPは非対応)
SSG-5 / SSG-20 (WANインタフェース/Wirelessは非対応)
・OS6.1以降
全てのSSGシリーズ
NS-5000シリーズ(MGT3/SPM3) - 6
インタフェースに異なるセグメントの2つのIPアドレスを割り当てることができますか?
-
「セカンダリIP」という機能を使用し、TrustもしくはDMZのInterfaceに実IPと別にIPアドレスを設定できます。
- 7
帯域制御機能について教えてください。
-
SSGシリーズにおける帯域制御機能は、設定した各ポリシー毎に設定可能で保証帯域、最大帯域、優先順位が設定可能です。
また、1kbps単位で制御可能で8段階のDiffServ設定(IP Precedence値)も可能となっております。
※ISGシリーズ以上では、インタフェースに対する最大帯域、及びポリシーでのDiffServ設定のみ設定可能です。 - 8
標準サポートでNetMeetingに対応しているとの事ですが、UPnPには対応しているのでしょうか?
-
NS/ISG/SSGは、UPnPに対応しておりません。
また、今後サポートする予定もありません。
理由は、セキュリティ上の問題にあります。
UPnPをサポートしていた場合、万が一トロイの木馬系のウィルスに感染したホストがファイアウォールの内側にいた場合、ファイアウォールのポートを全てOpenにしてしまい、外部からのアタックや不正進入を招いてしまう危険性があるためです。 - 9
BRIインターフェイスは搭載していますか?
-
SSG-5 (SSG-5-SH-BT)およびSSG 5 Wireless (SSG-5-SH-BTW-JP) は本体に搭載されています。
その他の製品には搭載されておりません。 - 10
TrustやDMZインターフェイスでもPPPoE接続はできますか?
-
ScreenOSのバージョンによって異なります。
ScreenOS 4.0までの場合、TrustやDMZでのPPPoEは接続できません。
Untrustゾーンを割り当てたInterfaceのみにPPPoEを設定することが可能です。
ScreenOS 5.0以降の場合、Zoneに関係なく全てのInterfaceにPPPoEを設定することが可能です。 - 11
DHCPで配布できるIPの上限数はありますか?
-
インターフェイス毎に255個まで設定できます。
特定のMACに特定のIPを振ることも可能です。その場合、IPグループの設定と合わせて64個まで設定できます。 - 12
社内LAN上にCRLを配布するサーバを設置し、VPN経由でCRLを取得して運用することは可能ですか?
-
VPN経由でCRLを取得することは出来ません。
CRLの更新はVPNネゴシエーションを行うタイミングで実施されますが、このときVPNトンネルは確立していない為VPN経由でCRLを取得することはできません。
回避方法としては、CRL配布サーバをMIP機能で外部公開し、対向装置からグローバルアドレスに対してアクセスします。 - 13
CRLの有効期限をチェックしない方法はありますか?
-
CRL証明書チェックを行わない設定にすることが可能です。但しセキュリティレベルが低くなるのでご注意下さい。
設定例(WebUI):
(1)Objects > Certificates を選択し、ShowでCAを選択。
(2)Server Settings を実行し、Certificate Revocation Settings の Check Method で None を選択し、OKボタンを実行。
(3)Objects > Certificates を選択し、Default Cert Validation Settings を実行。
(4)Certificate Revocation Check Settings の Check Method で None を選択し、OKボタンを実行。 - 14
WebUIで証明書のページを見るとCRLやCSRのシリアルが「0000000000000000」と表示されるが問題はないのでしょうか?
-
CRLやCSR自体にシリアルがないのでそのような表示になります。仕様であり表示上だけの制限となるため問題はありません。
- 15
NSRP-Lite構成で設定変更を同期することはできますか?
-
デフォルトでは設定同期しません。
設定を同期させるためには下記コマンドを追加する必要があります。
set nsrp config sync
save - 16
透過モード使用時でのNSRP-Lite構成は可能ですか?
-
NSRP-Liteは透過モードではサポートしておりません。NSRPであればサポートしております。
[参考]
NSRP-Lite Overview (KB ID: KB4268):
<http://kb.juniper.net/KB4268>
What is the difference between NSRP and NSRP Lite? (KB ID: KB7047):
<http://kb.juniper.net/KB7047> - 17
PPPoEで取得したDNSサーバのIPがWebUIのDNSの項目に反映されないのですが、反映させる方法はありますか?
-
ScreenOS5.3以降の仕様動作です。
PPPoEにより取得したDNSサーバのIPアドレスは下記方法で確認できます。
■DNSサーバIP確認コマンド
(1) get dns host server-list
→PPPoEで取得したDNSサーバIPを含む、NS/SSGが持つDNSサーバIPを確認
(2) get dns host settings
→カスタムで定義されたDNSサーバIPを確認。WebUIではDNS欄に表示されます。
■その他
PPPoEで取得したDNSサーバとカスタムで定義されたDNSサーバとで、同一の設定がある場合はPPPoEの方が優先されます。 - 18
PPPoEのマルチホーミングには対応していますか?
-
ScreenOS5.1から対応しています。
PPPoE 同時セッションの最大数は、NS/SSGが保持できる最大サブインターフェイス数によって制限されます。 - 19
L2スイッチの様な使い方はできるのでしょうか?
-
SSGシリーズのみブリッジグループ(Bgroup)という機能にて対応可能です。
複数のポートを1つのL3インタフェースとして動作させる機能になります。
ただし、下記の条件があります。
・SSG-5/20/140では、既存のインタフェースで対応可能
・SSG-320M/350M/520M/550Mでは、拡張インタフェースモジュール上でのみ対応可能
・拡張インタフェースモジュールを跨ぐ構成は不可
※同一ブリッジグループ内はハードウェア的に接続・転送処理が行われます。そのため、同一ブリッジグループ内でのパケット転送はCPU処理が行われず、ポリシによるフィルタリング処理も行えないことにご注意ください。 - 20
対応しているNTPクライアントのバージョンを教えて下さい。
-
NTPクライアントは、Ver.1/Ver.2/Ver.3に対応しております。(Ver.3はScreenOS6.0にて対応)
- 21
NTP server機能がありますか?
-
ScreenOS 6.0よりSNTPv4 serverとして利用可能です。
- 22
mac learning tableの情報がクリアされるタイミングは?
-
デフォルトの設定では、インターフェイスのLink down時に、mac learning tableがクリアされます。
設定確認コマンド"get mac-learn"を実行すると"link down clear mac learn table: enable"として設定を確認いただけます。
"set mac-learn"のコマンドを実行することで、インターフェイスのLink down時でもmac learning tableがクリアされない設定に変更することが可能です。 - 23
L2TPv3には対応していますか?
-
現状、対応しておりません。
- 24
複数インターフェイスを束ねる構成は可能ですか?
-
ISGシリーズ及びNS5000系でリンクアグリゲート機能を使用することで可能です。
なお、以下の注意点があります。【ISG/NS5000共通】
・モジュールをまたぐリンクアグリゲートの設定は不可となります。
・802.3adに互換性はあるが、未対応となります
(Cisco:側は "channel-group X mode on")。
・送信元IP/MAC, 宛先IP/MACによるロードバランス設定は不可となり、ラウンドロビンとなります。【NS5000】
・8Gモジュールのみのサポートとなります。(10Gモジュールでは使用不可となります。)
・8Gモジュールのポート番号1~4が一つのグループ、5~8が別のグループと考え、同じグループ内でRedundantI/Fを設定する必要があります。
(例)ポート番号1番とポート番号2番の設定は可能ですが、ポート番号1番とポート番号5番の設定は不可となります。 - 25
ISGで拡張できるインタフェースの種類は?
-
ISGで拡張できるインタフェースの種類は以下の通りです。
・NS-ISG-SX2
・NS-ISG-LX2
・NS-ISG-TX2
・NS-ISG-SX4(ScreenOS5.4.0r2以降サポート)
・NS-ISG-LX4(ScreenOS5.4.0r2以降サポート)
・NS-ISG-TX4(ScreenOS5.4.0r2以降サポート)
・NS-ISG-1XG (ScreenOS6.1以降サポート)※NS-ISG-TX4は10/100/1000ではなく、1000Base-TのSFPのため、10/100MbpsのI/Fとの接続はできません。
※トランシーバが別途必要となります。
- 26
NS-5000-8G2-TX の モジュールには copper のトランシーバがもともと実装されて出荷されていますが、このトランシーバSX/LXに差し替えて使用することは可能でしょうか?
-
可能です。
- 27
グローバルIPが1つしか無い場合でも、内部ネットワークにある機器を公開することは可能ですか?
-
可能です。
InterfaceのIPをMIPまたはVIPとして使用し、内部の機器とマッピングすることができます。
但しHTTP(80)/Telnet(23)/HTTPS(443)/ SNMP(161),/SSH(22),/IKE(500)サービスに対してはデフォルトのポート番号でマッピングすることができません。
回避策としては以下の三点がございます。
(1)管理用サービスのデフォルトポート番号を変更する。(SNMP(161), IKE(500)は変更不可)
(2)通信で使用するポートを, マッピングするサービスのデフォルトポート番号以外に変更する。
(3)WAN側のInterface設定にて該当サービスの管理機能を無効に設定する(MIP限定の回避策、IKE(500)は回避不可) - 28
iPhoneやAndroidなどスマートフォンとのVPN接続は可能ですか?
-
iPhoneやiPadについてはSSGとの接続は出来ませんが、
Junos Pulse for iOSが使用可能なためSecureAccessであれば接続が可能です。
[参考]
http://kb.juniper.net/InfoCenter/index?page=content&id=KB9923
AndroidについてはOS2.3.4かつ標準機能のL2TP/IPSec CRT VPNにて接続が可能である事は確認しておりますが、SSGとの接続についてはサポート対象外となります。
また、SSGにおけるL2TP/IPSecでの接続について一部制限事項もあります。
[参考]
http://kb.juniper.net/kb/documents/public/VPN/ScreenOS_Windows_L2TP_IPSec.pdf - 29
SSG-500シリーズにてモジュールを搭載する上で、注意点はありますか?
-
下記スロット毎バスの制限があるため、搭載するスロットによって性能が異なります。
[SSG-520(M)]
固定オンボード: 2.0Gbps
スロット1,2,4,5: 800Mbps
スロット3,6: 2.5Gbps
[SSG-550(M)]
固定オンボード: 2.0Gbps
スロット1,4: 800Mbps
スロット2,3,5.6: 2.5Gbps - 30
ScreenOS 6.3にて注意点はありますか?
-
6.3より ルートエントリをキャッシュして、転送速度を高速化する"route-cache"という新機能が御座います。
転送速度を高速化する代わりに、ある状況下では問題が発生する可能性がございます。トレードオフになりますが、非有効化することを弊社として推奨致します。
[参考]
http://kb.juniper.net/InfoCenter/index?page=content&id=KB21011
- 31
透過モードで使えなくなる機能はありますか?
-
以下の機能はレイヤー2透過モードにおいてサポートされません。
・バーチャルIP、IPマッピング、PAT、ポリシーベースNAT、NAT(※1)
・バーチャルルーター
・VLAN
・OSPF、BGP、RIPv2
・アクティブ/アクティブHA(※2)
・IPアドレス割り当て
(※1)ScreenOS6.2より、拡張IPを使用したDIPプールによるポリシーベースNAT/PATのみサポート
(※2)SSG-520M/SSG-550M/ISG/NS-5000のみサポート - 32
カスタムで作成できるZone数やVR数の最大値を増やす事は可能ですか?
-
ISG,NSシリーズのみ、VSYSライセンスを投入することでカスタム作成可能な個数が、それぞれ以下のように増加します。
・カスタムVR数=VSYSライセンス数
・カスタムZone数=VSYSライセンス数x2
標準で作成可能な数に上記数値を加えた分が最大値となります。
なおこれらはVSYSの作成と排他利用になるため、VSYS設定を作成した場合はカスタムで作成できるVR/Zone数が減少します。
HAに関して
- 1
冗長構成を組むにあたり機種に制限はありますか?
-
全ての機種でActive-PassiveおよびActive-Activeに対応しております。(ScreenOS6.0以降)
ただし、SSG-5,SSG-20では、別途Extendedライセンスをご購入いただく必要がございます。 - 2
Active-Activeでの通信はロードバランスで行っているのでしょうか?
-
Active-Active構成では、ロードバランスができないため、ロードシェアリングでの動作になります。
- 3
透過モードで冗長構成は可能でしょうか?
-
透過モードのActive-Passive構成は、全機種でサポートされています。Active-Active構成についてはScreenOS 6.1以降のSSG-520M/SSG-550M/ISG/NS-5000のみでサポートしています。
※透過モードでのActive-Active構成ではVLAN分割が必須となっているため、設計、構築の際はご注意ください。 - 4
フェイルオーバー時、周辺機器(スイッチ)などのARP情報は更新されるのでしょうか?
-
NS/SSG/SSGはNAT/ROUTEモード(L3モード )において、フェイルオーバー時、Gratuitous ARPをブロードキャストして周辺機器に新たなARP情報を更新させます。
- 5
HA構成の際に使用されるプロトコルは?
-
NSRPというJuniper Networks社独自のプロトコルを使用します。また、ScreenOS 6.1以降では、VRRPをサポートします。
- 6
冗長構成時の切り替え時間はどれくらいかかりますか?
-
弊社で行った検証では、Active-Standbyの場合、約1秒から3秒ほどで切り替わります。
- 7
NSRP構成で稼動させたままOSのバージョンを変更できますか?
-
出来ません。バージョンの差異が発生しますので一時的にNSRP構成が取れなくなります、主系/副系をそれぞれアップグレードしNSRP構成を再構築してください。
その他
- 1
IPsecで使用される暗号化機能および認証機能は何ですか?
-
暗号化機能についてはDES、3DES、AES128、AES192、AES256が利用可能です。
認証機能はMD5、SHA1、SHA2-256が利用可能です。
グループについてはgroup1、2、5、14、19、20が利用可能です。 - 2
データシートに記載の組み込み内部データべースの制限とは何を示しているのでしょうか?
-
NS/ISG/SSG内部に登録可能なIKE, xAuth, Auth Userの制限数になります。
- 3
SSG-520M/SSG-550Mで背面のスイッチをONにしても起動しません。何か原因がありますか?
-
前面の電源スイッチがOFFのままの可能性があります。前面スイッチを押してください。
(SSG-520M/SSG-550Mには背面と前面にどちらにも電源スイッチがあります。) - 4
SSG-5の縦置き設置は可能ですか?
-
可能です。ただし、縦置き設置をする場合は、専用のデスクスタンドをご利用下さい。
尚、デスクスタンドはSHモデルには同梱されておりますが、SBモデルは別売となっております。
- 5
メーカーは環境対策を実施していますか?
-
Juniper Networks社の環境保全に対する考え方は下記サイトを参照下さい。
・英語サイト
http://www.juniper.net/us/en/company/citizenship-sustainability/compliance/
・日本語サイト
http://www.juniper.net/jp/jp/company/citizenship-sustainability/compliance/ - 6
Juniper Networks社から公開されているドキュメントはありますか?
-
下記サイトにて、マニュアル、CLIガイド、メッセージログリファレンスガイドが公開されています。該当OSバージョンを選択し確認してください。(一部のScreenOSマニュアルは、日本語版も掲載されています。Translated項目をご参照ください。)
[ScreenOSマニュアル及びCLI & Messagesガイド(英語版)]
http://www.juniper.net/techpubs/software/screenos/
[ScreenOSマニュアル(日本語版)]
http://www.juniper.net/techpubs/software/screenos/translated.html
[SSG設定ガイド]
http://www.juniper.net/jp/jp/local/pdf/others/fsssg5-jp.pdf - 7
連携が取れる認証サーバは?
-
ローカルデータベースに加えて、RADIUS、SecurID 、LDAP、および TACACS+ サーバとの連携が可能です。※TACACS+はOS6.0以降サーポート
- 8
ユーザ認証について教えてください。
-
ユーザ認証には以下の3つの方法があります。いずれも認証に成功しなければNS/ISG/SSGを通過あるいはVPNの確立が出来ません。
【ランタイム認証】
HTTP、FTP、TELNET通信に限り、ユーザ認証が可能
【WebAUTH】
Interfaceに設定されたWebAUTH用のIPアドレスに対してHTTPアクセスでユーザ認証を行う
【Xauth】
VPN確立の前に行うユーザ認証 - 9
CA中間証明は第何階層までサポートしていますか?
-
ルートCA局とNS/ISG/SSG本体のローカル証明書を含め、全部で8階層サポートしています。
従って、中間CA局は6つまでのサポートとなります。 - 10
Common Criteria (ISO/IEC 15408)の認証・評価状況は?
-
NS5000/ISG/SSGシリーズはScreenOS 6.2にて、EAL4を取得しています。
・参考URL
http://www.niap-ccevs.org/st/vid10301/ - 11
ACケーブル/アダプタはPSE取得していますか?
-
ACアダプタのPSEを取得しております。
ACケーブルに関しましては、機器同梱のケーブルとその機器を対として利用することでPSEの取得が不要なものとして扱われます。 - 12
NSやSSGの電源ケーブルの形状を教えてください。
-
機器側:IEC320-C13, 電源側:NEMA 5-15Pになります。
また、SSG-5,SSG-20,NS-5XP,NS-5XT,NS-5GTに付属されているACアダプタは YP-13 7A 125V「JIS C 8303」に該当します。 - 13
Extendedライセンスとは何ですか?
-
SSG-5、SSG-20では、Extendedライセンスの投入により、冗長化がサポートされ、スペックが向上します。詳細はデータシートにてご確認ください。
- 14
電気用品安全法に対応していますか?
-
SSGシリーズは電気用品安全法の対象外となります。
また、同梱されている電源ケーブルについても、その装置専用で使用して頂く事で電気用品安全法の対象外となります。
但し、SSG-5,SSG-20に付属されているACアダプタは「電気用品安全法」に該当します。 - 15
電気通信事業法で定められた技術基準適合認定には対応していますか?
-
電気通信事業法第五十二条が定める端末設備の対象外となるため、技術基準適合認定は取得しておりません。ただし、SSGシリーズなどWANインターフェイスを追加できる製品については、技術基準適合認定を取得しております。
- 16
グリーン購入法に対応していますか?
-
ネットワーク機器はグリーン購入法の対象外となります。
- 17
有害物質使用制限(RoHS)指令には対応していますか?
-
NS5000/ISG/SSGシリーズはEU-RoHS指令に対応しています。
中国版のRoHSやREACH(欧州化学品規制)などの適合状況については別途、お問い合わせください。
・参考URL
http://www.juniper.net/jp/jp/company/citizenship-sustainability/compliance/rohs/ - 18
ScreenOSは閏秒/閏年に対応してますか?
-
・閏秒
NS5000/ISG/SSGシリーズは閏秒に対応しております。NTPを使用している場合、NTPサーバからLeap Indicator (LI)に"01"がセットされたパケットが送出されたとしても動作に影響はありません。
尚、NTPを使用していない場合は時間誤差の修正は致しませんが、通信に影響を与えるような問題は御座いません。
・閏年
NS5000/ISG/SSGシリーズは閏年に対応しております。
そのため、閏年による機器への影響は御座いません。
関連ソリューション
- Juniperで解決できる課題
- Juniper製品ラインアップ ネットワーク機器をお探しなら、Juniper Networks製品をお勧めします。以下の製品をご用意しています。