Juniper SRX 設定のための基礎知識

ファイアウォール(UTM)

作業環境

  • 型番:SRX100H2
  • バージョン:12.1X44-D45

OS について

SRX で使用されている OS は Junos OS です。

SRX の他、EX シリーズスイッチなどでも Junos OS が使用されています。

電源操作

電源 ON

  1. 作業端末を機器にコンソール接続してターミナルを起動しておきます
  2. 機器に電源ケーブルを接続します
  3. 機器の起動処理を待ち、作業端末のターミナル上でプロンプト login: が表示されたことを確認できたら起動完了です

電源 OFF

  1. 作業端末を機器にコンソール接続してログインします
  2. オペレーションモードで request system halt または request system power-off コマンドを実行します
root> request system halt
Halt the system ? [yes,no] (no) yes

Shutdown NOW!
[pid 1670]

root>
*** FINAL System shutdown message from root@ ***

System going down IMMEDIATELY


DWaiting (max 60 seconds) for system process `vnlru' to stop...done
Waiting (max 60 seconds) for system process `vnlru_mem' to stop...done
Waiting (max 60 seconds) for system process `bufdaemon' to stop...done
Waiting (max 60 seconds) for system process `syncer' to stop...
Syncing disks, vnodes remaining...0 0 0 done

syncing disks... All buffers synced.
Uptime: 3h49m36s

The operating system has halted.
Please press any key to reboot.

Please press any key to reboot. 表示後に何らかのキーを押下すると再起動するため注意してください。

root> request system power-off
Power Off the system ? [yes,no] (no) yes

Shutdown NOW!
[pid 1449]

root>
*** FINAL System shutdown message from root@ ***

System going down IMMEDIATELY


DWaiting (max 60 seconds) for system process `vnlru' to stop...done
Waiting (max 60 seconds) for system process `vnlru_mem' to stop...done
Waiting (max 60 seconds) for system process `bufdaemon' to stop...done
Waiting (max 60 seconds) for system process `syncer' to stop...
Syncing disks, vnodes remaining...2 0 0 0 0 done

syncing disks... All buffers synced.
Uptime: 6m44s
The operating system has halted.
Turning the system power off.

  1. 上のメッセージが表示されたことを確認後、電源ケーブルを抜きます(型番によっては、電源ユニットを OFF にする)

電源 OFF のコマンドとして request system haltrequest system power-off のどちらが推奨されているかについては型番によって異なるようなのでマニュアル等で確認してください。

手順の 2. で電源 OFF のコマンドを実行する代わりに、機器本体の電源ボタンを押す方法もあります。ただし、型番によってボタンを一度押すのか長押しするのかが異なるため、機器マニュアルで確認してください。

システム再起動

  • オペレーションモードで request system reboot コマンドを実行します
root> request system reboot
Reboot the system ? [yes,no] (no) yes

Shutdown NOW!
[pid 1486]

root>
*** FINAL System shutdown message from root@ ***

System going down IMMEDIATELY
.
.
.
login:

管理ユーザについて

デフォルトでは管理ユーザとして root が存在します。root のパスワードはデフォルトでは設定されていません。

最初にコンソール接続時は、ユーザ名として root を入力するだけでログインできます。

login: root

--- JUNOS 12.1X44-D45.2 built 2015-01-12 14:20:16 UTC

root@%

  • root ユーザは全権限を持つシステム管理者です
  • root パスワードを設定するまでは root での SSH/TELNET 接続はできません
  • root での SSH/TELNET 接続を拒否する設定をすることができます

CLI のモードについて

モードプロンプト移行コマンド備考
シェルモード%exit (>から)root でログイン時の最初のモード
root でのみ利用可能
オペレーションモード>cli (%から)
exit (#から)
一般ユーザでログイン時の最初のモード
各種操作コマンドを実行可能
コンフィグレーションモード#configure (>から)設定変更はこのモードで行う
  • 機器ホスト名を設定している場合はプロンプトの前に「@ホスト名」が表示されます

コンフィグについて

コンフィグの構造

SRX (Junos OS) のコンフィグは以下の様に階層構造になっています。

root> show configuration | no-more
## Last commit: 2020-12-06 05:54:28 UTC by root
version 12.1X44-D45.2;
system {
    root-authentication {
        encrypted-password "$1$MJTy8jy3$kYggel4lfiCTB5gyMrjYf0"; ## SECRET-DATA
    }
    name-server {
        208.67.222.222;
        208.67.220.220;
    }
    login {
        user admin {
            uid 2003;
            class super-user;
            authentication {
                encrypted-password "$1$fK7owakw$P.kZazvo06nSfL38xqG4V0"; ## SECRET-DATA
            }
        }
    }
.
.
.

  • コンフィグレーションモードでは「現在の階層」の概念があります
  • コンフィグレーションモードに移行直後は階層が [edit] (一番上の階層) になっています
  • 「現在の階層」は以下の様にプロンプト上の [] 内に表示されます
[edit]
root#

階層の移動

操作内容コマンド
指定の階層へ移動edit <階層名>
一つ上の階層へ移動up
edit 階層へ移動top
[edit]
root# edit system root-authentication

[edit system root-authentication]
root# up

[edit system]
root# top

[edit]
root#

コンフィグの種類と設定変更の流れ

SRX (Junos OS) のコンフィグには以下 2 つがあります。

  1. Active Configuration(Active コンフィグ)
    • 実行中のコンフィグ
    • 機器は Active コンフィグに基づいて動作する
  2. Candidate Configuration(Candidate コンフィグ)
    • Active コンフィグに設定変更を反映したコンフィグで、機器動作には影響しないコンフィグ
    • 実施した設定変更はすぐに Active コンフィグには反映されず、Candidate コンフィグに反映される

設定変更時の操作手順は以下の様になります。

  1. コンフィグレーションモードに移行する
  2. 設定変更を行う(変更は Candidate コンフィグに反映される)
  3. 設定変更を確定させて(commit)Active コンフィグに反映させる
  4. コンフィグレーションモードから抜ける

基本的な設定変更コマンド

操作内容コマンド
設定追加set <階層名> <項目名> <設定値>
設定削除delete <階層名> <項目名> <設定値>
Candidate コンフィグの構文チェックcommit check
設定変更の確定
(Active コンフィグへの反映)
commit
commit せずに設定変更の取り消し
(Active コンフィグへのロールバック)
rollback 0

設定変更する方法としては以下2つがあります。

  • 階層を移動した上でその階層内の項目を設定する方法
  • [edit] 階層にて、パラメータに階層名を含めた形式で設定コマンドを実行する方法

例:DNS サーバを設定する場合

[edit]
root# edit system name-server

[edit system name-server]
root# set 8.8.8.8

以下の設定操作と上の設定操作は同じ意味になります。

[edit]
root# set system name-server 8.8.8.8

設定変更後に commit せずにコンフィグレーションモードを抜けた場合、設定変更は Candidate コンフィグに残ります。そのため commit せずにコンフィグレーションモードを抜ける場合は rollback 0 実行を推奨します。

設定変更後に commit せずにコンフィグレーションモードを抜けようとすると以下のメッセージが表示されます。

root# exit
The configuration has been changed but not committed
Exit with uncommitted changes? [yes,no] (yes) yes

Exiting configuration mode

root>

コンフィグの表示

操作内容モードコマンド備考
Active コンフィグの表示>show configuration階層形式で表示
>show configuration | display set設定コマンド形式で表示
Candidate コンフィグの表示#show階層形式で表示
#show | display set設定コマンド形式で表示
設定変更差分の表示#show | compare追加分 [+]、削除分 [-] で表示
  • show configuration | display set | no-more のように、| no-more を付けると「---(more)---」と表示されずにまとめて表示されるため便利
root> show configuration | no-more
## Last commit: 2020-12-06 05:54:28 UTC by root
version 12.1X44-D45.2;
system {
    root-authentication {
        encrypted-password "$1$MJTy8jy3$kYggel4lfiCTB5gyMrjYf0"; ## SECRET-DATA
    }
    name-server {
        208.67.222.222;
        208.67.220.220;
    }
    login {
        user admin {
            uid 2003;
            class super-user;
            authentication {
                encrypted-password "$1$fK7owakw$P.kZazvo06nSfL38xqG4V0"; ## SECRET-DATA
            }
        }
    }
    services {
        ssh;
        telnet;
.
.
.
root> show configuration | display set | no-more
set version 12.1X44-D45.2
set system root-authentication encrypted-password "$1$MJTy8jy3$kYggel4lfiCTB5gyMrjYf0"
set system name-server 208.67.222.222
set system name-server 208.67.220.220
set system login user admin uid 2003
set system login user admin class super-user
set system login user admin authentication encrypted-password "$1$fK7owakw$P.kZazvo06nSfL38xqG4V0"
set system services ssh
set system services telnet
.
.
.

レスキューコンフィグについて

レスキューコンフィグとは、Active コンフィグが破損した場合に備えて管理者が予め保存しておくコンフィグであり、緊急時にレスキューコンフィグを読み込ませます。

操作内容モードコマンド
Active コンフィグを
レスキューコンフィグとして保存
>request system configuration rescue save
レスキューコンフィグを読み込みコミットする#1. rollback rescue
2. commit
レスキューコンフィグを削除>request system configuration rescue delete
  • レスキューコンフィグが存在しない状態だと、機器の ALARM RED がオレンジ点灯します
  • デフォルトではレスキューコンフィグは存在しません

コンフィグの初期化

操作内容モードコマンド
Active コンフィグを
工場出荷状態に初期化する
#1. load factory-default
2. set system root-authentication plain-text-password
3. commit
コンフィグの初期化に加えて
ログファイルも削除する
>request system zeroize

load factory-default について、実行すると root パスワードが未設定の状態になりますが、root パスワードが未設定の場合は commit でエラーになるため、commit 前に root パスワードを設定します。

[edit]
root# load factory-default
warning: activating factory configuration

[edit]
root# commit
[edit]
  'system'
    Missing mandatory statement: 'root-authentication'
error: commit failed: (missing statements)

request system zeroize 実行後はシステムが再起動します。

参考資料

How to Access a Juniper Networks Device the First Time | Junos OS | Juniper Networks
BeforeyouaccessanynewJuniperNetworksdevice,besuretofollowthequickstartandinitialsetupinstructionsthatcamewiththedevice.
レスキュー設定 | Junos OS | Juniper Networks
レスキュー設定とは、既知の機能する設定です。アクティブなコンフィギュレーションが破損している場合、デバイスはアクティブなコンフィギュレーションとしてレスキューコンフィギュレーション・ファイルを自動的に読み込みます。
03.ファクトリーリセット手順 Juniper SRX日本語マニュアル
JuniperSRX日本語マニュアル(03)ファクトリーリセット手順2017年5月ジュニパーネットワークス株式会社はじめに設定を工場出荷状態に戻す方法を説明します。※手順内容は「SRX300」、JUNOS「15.1X49-D75」にて確認を実施しております。Agenda1.ResetConf...
SRX100 Documentation | Juniper Networks
Startheretoevaluate,install,orusetheJuniperNetworks®SRX100ServicesGateway,asmallnetworkfirewallwith810/100EthernetLANportsand1USBport.

―――――――――――――

タイトルとURLをコピーしました