Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
CW4Sの手引き
Juniper SRX GUI設定支援ツール
2016年2月
ジュニパーネットワークス株式会社
CW4S目次
• 第1部:はじめに
• 第2部:ファイヤウォール機能を利用する
• 第3部:NAT機能を利用する
• 第4部:VPN機能を利用する
• 第5部:管理機能を利用する
• 初版:2015年11月11日
第1部:はじめに
CW4Sとは?
• Classic Web-interface for SRX
• NetScreen/SSGと同じ感覚で操作できるWeb UIで、SRXを設定することが可能です。
• CW4Sは オープンソース・ソフトウェアベースのフリーウェ...
CW4Sでできること
CW4Sでは、以下のような項目の設定が可能です。
 初期セットアップ
 基本設定 (管理者ユーザ, SNMP, Syslog, DNS, DHCP)
 インタフェース関連 (IP Address, VLAN)
 ス...
CW4S - 動作概要
Netconf
(over SSH)
SRX Series
(JUNOS:11.4+)
PC
(Win/MAC/Linux)
Java:1.7+
CW4S ブラウザ
http
• CW4Sはブラウザ経由で動作するアプリケ...
CW4S - インストールから利用開始まで
1. CW4SのWebサイト(http://cw4s.org/) からファイルをダウンロードして解凍します。
2. 解凍して出来たフォルダのCW4Sのアイコンを
ダブルクリックし、アプリを起動します。...
CW4S - Web UIのスタート画面
はじめて起動した画面では、以下の2つのボタンのみ表示されています。
・Initial Setup – CW4SからアクセスするためのSRXの初期設定configを作成
・Register your de...
SRX初期設定の前に – CLIの準備
CW4S用の設定を追加するため、パソコンからコンソールケーブルを使ってSRXのコンソー
ルポートに接続します。
Terminalソフトを立ち上げ、SRXのCLIにアクセスします。
Terminalから、r...
SRX初期設定 (1) – CW4S初期設定configの作成
Initial setupの画面から、初期設定を作成します。
1. Platformから、設定を行うSRXをプラットフォームを選択します。
2. ルートパスワードを設定します。
3...
5. インタフェースの設定を追加します。Addをクリックし、設定するインタフェースを選択します。
6. (オプション) VLANを作成し、L3スイッチとして動作させる設定作成も可能です。
SRX初期設定 (2) – CW4S初期設定config...
SRX初期設定 (3) – CW4S初期設定configの適用
7. Generate Configurationボタンをクリックすると、SRXの初期設定configが作成されます。
※設定をやり直したい場合はClearボタンをクリックすると、...
CW4Sを動作させるパソコンのネットワーク設定
パソコンとSRXをイーサネットケーブル(LANケーブル)で、初期設定したTrustポートに接続し
ます。ストレートケーブルでもクロスケーブルでも構いません。
TCP/IP設定でIPアドレスを設定し...
CW4S初期設定 (1) – SRXの登録
スタート画面に戻り、Register your deviceボタンをクリックし、SRXを登録します。
登録したいSRXの基本情報を入力し、Registボタンをクリックします。
・name – CW4S...
CW4S初期設定 (2) – SRXの登録
登録が完了すると、登録済みデバイスの一覧が表示されます。
設定したいSRXのHomeリンクをクリックし、GUIの画面を表示します。
もしアクセスに失敗した場合は、以下の点を確認してください。
・PCか...
CW4S初期設定 (3) – SRXの登録
正常にアクセスができると、メニュー画面が表示されます。
SRX設定時の注意 - commitについて
Netscreen/SSGのScreenOSと異なり、SRXはJunosで稼動しています。
Junosでは設定変更は即時反映されません。変更を確定する処理として‘commit’が必要です。
CW4S...
基本設定 – 管理者ID/パスワード設定
Configuration > Admin > Administrators
SRXの管理者IDとパスワードを設定します。
Newボタンから、root以外のユーザーを新規に作成することが可能です。
新規...
基本設定 – インタフェース設定
Network > Interfaces (List)
IPアドレス等、各インタフェースの詳細設定を行います。Newボタンで新規に設定を追加します。
インタフェース設定を変更する
新規設定を追加
基本設定 – 新規インタフェース設定
Network > Interfaces (List) > Configuration
設定したいインタフェース名とunit番号(通常は0)を選択
アサインしたいSecurity Zoneを選択
IPアドレ...
基本設定 – インタフェース設定変更
Network > Interfaces > Edit
Security Zoneの変更
IPアドレスの取得方法を選択
MTUサイズの変更
PPPoE用の設定を作成します
基本設定 – PPPoEインタフェース設定
Network > PPPoE > Edit
PPPoE方式でISPに接続する場合は、PPPoE Profileを作成し、インタフェースとひもづけます。
Unit番号を選択します(0から)
ひもづける...
基本設定 – DHCPクライアント設定
Network > Interfaces > Edit
DHCPサーバからIPアドレスを取得したい場合は、インタフェース設定でEditをクリックし、
‘Obtain IP using DHCP’を選択しま...
基本設定 – ユーザLANネットワークDHCP設定
Network > DHCP (List)
LANネットワーク向けに、SRXをDHCPサーバとして動作させるかどうか設定します。
DHCPサーバを有効化したいインタフェースのEditリンクをク...
基本設定 – インタフェース設定確認
Network > DHCP > Edit
DHCPサーバを有効にします
配布するアドレスレンジを入力
リース期間を入力します
無期限の場合はUnlimitedを選択します
デフォルトゲートウェイのアドレス...
基本設定 – 設定確認
Config
Commitする前に、CW4Sで設定した内容と、configとの差分をXML形式で確認できます。
Candidate Config – 編集前のconfig Editing Config – CW4Sで編集...
第2部:ファイアウォール機能を利用する
ファイアウォール処理による転送動作
• SRXは用途によってパケットの転送方法をデバイス単位で選択する事が出来ます。
• フローモード : ステートフルインスペクションファイアウォールとして動作
• パケットモード : ルータ/スイッチとして動...
ゾーン、インタフェースの考え方 – SCREENOSとの違い
• 複数のフォワーディングモードを持つことから、SRXでは論理的な設定対象の考え方がScreenOSと異なり、
フォワーディング関連の設定対象とセキュリティ系の設定対象が分離されてい...
ルーティングインスタンスとは
• ScreenOSのバーチャルルータは、JUNOSではルーティングインスタンスと呼ばれます。
• JUNOSでは、前述の通り、ルーティングインスタンスがゾーンから分離さているため、デフォルトではマス
ターのルーテ...
セキュリティゾーンとは?
• セキュリティゾーンとは、インタフェースに割り当てる仮想的なグループです。
• SRXでは主にセキュリティゾーンを使ってトラフィックを制御します。
トラフィック制御に用いるポリシー(後述)でチェックするのは入力ゾーン...
ファイアウォール機能(1)ー初期設定
• SRXでの初期インタフェース設定は以下の通りです。
• f(g)e-0/0/0.0
初期設定ではuntrustゾーンに設定されています。
• vlan.0
初期設定ではインタフェースfe-0/0/1~f...
ファイアウォール機能(2)-VLANの設定
Editをクリック
ファイアウォール機能(3)-VLANの設定
Bind Portをクリック
ファイアウォール機能(4)-VLANの設定
vlanに参加/除外させ
たいポートを選択する
設定をしたらOKをクリック
ファイアウォール機能(5)-IPアドレスを設定
IPアドレスを設定
ゾーンを設定
ファイアウォール機能(6)-IPアドレスの確認
設定しIPアドレスであ
る事を確認
ファイアウォール機能(7)-セキュリティポリシー
SRXではゾーン間をまたぐ、または同一ゾーン内のトラフィックを制御します。
初期設定ではtrustからuntrust方向への全てのトラフィックを許可する設定となっています。
ファイアウォール機能(8)-セキュリティポリシーの考え方
• ポリシーのルールに従ってトラフィックを許可します。
• Source – Address BookまたはAddress Group
• Destination - Address B...
ファイアウォール機能(9)-セキュリティポリシー設定
送信元ゾーンを設定 送信先ゾーンを設定 Newをクリック
ファイアウォール機能(9)-セキュリティポリシー設定
ポリシー名を設定
送受信アドレス、サービス
(ポート番号)を設定
上記で設定したトラフィックに対する
Actionを設定
ファイアウォール機能(10)-オブジェクトとは
• オブジェクト(アドレスグループ、サービスグループ)を作成すると、グループ内の各アドレス、サービスに
対して個々に内部ポリシーを作成します。
• オブジェクトを使用する事で、作成するポリシーを少...
ファイアウォール機能(11)-アドレスブックの作成
Policy – Policy Elements – Addresses – ListでNewをクリックして、アドレスブックを作成します。
ファイアウォール機能(12)-アドレスグループの作成
Policy – Policy Elements – Addresses – GroupsでNewをクリックして、アドレスグループを作成します。
アドレスグループ名を設定
アドレスグループに...
ファイアウォール機能(13)-カスタムサービス
SRXでは定義済みサービス以外で新規にサービスを作成する事が可能です。
Policy – Policy Elements – Services – CustomでNewをクリックして、カスタムサー...
ファイアウォール機能(14)-サービスグループの作成
Policy – Policy Elements – Services – GroupsでNewをクリックして、サービスグループを作成します。
サービスグループに参加させ
たいオブジェクトを...
スタティックルートの設定
ネットワークの設定
上図のようにルータやスイッチを介して、別のIPネットワークが存在する場合、これをSRXに学習させる方法は
以下の2通りがあります。
• スタティックルートを設定する。
• ダイナミックルーティングを設定する。(本書では触れま...
ネットワークの設定:設定例
必要な情報
• SRXに学習させたい全てのネットワークアドレスとそのサブネットマスク
• 例:172.16.1.0/24
• LAN側ルータ/スイッチのSRX側のインタフェースアドレス
• 例:192.168.1.2...
ルーティングを設定する(1)-スタティックルートの設定
Network – Routing – DestinationでNewをクリックして、スタティックルートを設定します。
ルーティングを設定する(2)-スタティックルートの設定
登録したいネットワークを設定
LAN側ルータ/スイッチのSRX側
インタフェースアドレスを設定
ルーティングを設定する(3)-スタティックルートの設定
登録したネットワークとゲート
ウェイを確認
間違っていた、または不要
な場合にはRemoveで削除
第3部:NAT機能を利用する
• インターネットに接続された企業などで、一つのグローバルIPアド
レスを複数のコンピュータで共有する技術です。組織内でのみ通用
するIPアドレス(ローカルアドレス)と、インターネット上のアドレス
(グローバルアドレス)を透過的に相互変換するこ...
NetScreen/SSGとSRXのNAT機能との対比
NetScreen/SSGが実装していたNATの機能は、SRXでも全て対応可能
ですが、下記表のように名称が変更されています。
NetScreen/SSG SRX CW4S上の表記
DIP...
• ソースネットワークアドレス変換では、あるソースIPアドレスを別のアドレスに
変換するという処理を行います。(下記の図を参照)変換後のアドレスは、動的
IP(SrcNAT(DIP))プール、またはSRXデバイスの出力インタフェースから取得し
...
• この例では、Untrustゾーンに向かうインタフェースであるge-0/0/2に、SrcNAT(DIP)プールを定
義しています。このSrcNAT(DIP)プールにはIPアドレスが1.1.1.30 だけしかないため、自動的に
PATが有効にな...
NATを利用する (1) -ソースネットワークアドレス変換設定
Network -> Interfaces
-> Listをクリック
Newをクリック
NATを利用する (2) -ソースネットワークアドレス変換設定
OKをクリック
インタフェースを選択
ゾーンを選択
IPアドレス及びサブネットを設定
NATを利用する (3) -ソースネットワークアドレス変換設定
作成したインタフェースのEditをクリック
NATを利用する (4) -ソースネットワークアドレス変換設定
srcNAT(DIP)をクリック Newをクリック
NATを利用する (5) -ソースネットワークアドレス変換設定
OKをクリック
アドレス変換するアドレスを入力
(1.1.1.30)
Set Proxy Arpを選択
NATを利用する (6) -ソースネットワークアドレス変換設定
trustを選択
Policy -> Policiesをクリック
untrustを選択
Newをクリック
NATを利用する (7) -ソースネットワークアドレス変換設定
ポリシー名を入力
any-ipv4を選択
any-ipv4を選択
junos-httpを選択
Permitを選択
OKをクリック
NATを利用する (8) -ソースネットワークアドレス変換設定
Advancedをクリック
NATを利用する (9) -ソースネットワークアドレス変換設定
Source Translationを選択 srcNAT(DIP)で設定した内容を選択
OKをクリック
設定を反映させるため、
Commitをクリック
Static NAT(MIP)とは?
• Static NAT(マップ IP/MIP)とは、ある IP アドレスから別の IP アドレスに、1 対 1 で直接
対応づけるマッピングのことです。SRXは、宛先が MIP であるトラフィックを受け取...
Static NAT(MIP)適用例
• ge-0/0/0 を Trust ゾーンにバインドし、IP アドレスとして 10.1.1.1/24 を割り当てます。
• ge-0/0/1を Untrust ゾーンにバインドし、1.1.1.1/24 と...
NATを利用する – StaticNAT(MIP) 設定
Untrustゾーンを選択
IPアドレス及びサブネットマスクを設
定
Network -> Interface ->
Listをクリック
設定が終わったらOKボタンを押す
NATを利用する – StaticNAT(MIP) 設定
Static NAT(MIP)をクリック
Network -> Interface ->
Listをクリック
NATを利用する – StaticNAT(MIP) 設定
StaticNAT(MIP)を行うアドレスと
転送するホストのアドレス及び
サブネットマスクを設定
Proxy Arpを選択
設定が終わったら
OKボタンを押す
NATを利用する – StaticNAT(MIP) 設定
Policy -> Policies
をクリック
ポリシー名を設定
anyを選択
MIPを選択
HTTPを選択
Permitを選択
設定が終わったら
OKボタンを押す
NATを利用する – StaticNAT(MIP) 設定
設定を反映させるため、
Commitをクリック
DstNAT(VIP)とは?
• DstNAT(VIP)とは、ある(公開用)IPアドレスと宛先サービスポート番号(TCPやUDP)の組み合わせ
と(ローカル)IPアドレスと待ち受けサービスポート番号をマッピングするアドレス変換機能です。
• S...
DstNAT(VIP)適用例
• ge-0/0/1 を Trust ゾーンにバインドし、IP アドレスとして 10.1.1.1/24 を割り当てます。
• ge-0/0/2 を Untrust ゾーンにバインドし、1.1.1.1/24 という ...
DstNAT(VIP)適用例
設定したインタフェース
の“Edit”をクリック
Interfaces ->
Listをクリック
DstNAT(VIP)適用例
dstNAT(VIP)をクリックする
DstNAT(VIP)適用例
“New VIP Service”をクリックする
DstNAT(VIP)適用例
公開用IP(VIP)アドレスを指定
VIPの待ち受けポート番号を指
定
マッピングするポート番号を指定
マッピングするホストのIPを指定
設定が完了したら”OK”をクリック
Proxy Arpを選択
DstNAT(VIP)適用例
公開用IP(VIP)アドレスを指定
VIPの待ち受けポート番号を指
定
マッピングするポート番号を指定
マッピングするホストのIPを指定
設定が完了したら”OK”をクリック
Proxy Arpを選択
DstNAT(VIP)適用例
設定内容を確認する
DstNAT(VIP)適用例
通信を許可するZoneを選択
Policiesをクリッ
ク
Newをクリック
DstNAT(VIP)適用例
ポリシー名を設定
anyを選択
VIPを選択
HTTPを選択
Permitを選択
設定が終わったら
OKボタンを押す
DstNAT(VIP)適用例
ポリシー名を設定
anyを選択
VIPを選択
HTTPを選択
Permitを選択
設定が終わったら
OKボタンを押す
DstNAT(VIP)適用例
設定内容を確認する
設定を反映させるため
Commitをクリックする
第4部:VPN機能を利用する
LAN1
VPN接続形態
• SRXシリーズがサポートするIPSec VPN接続形態は、大きく分けて以下の3つ
方法があります。
• CW4Sバージョン1.0では、これらの内、サイト間(LAN間)VPNの設定を
サポートします。
LAN2
LA...
サイト間VPNについて
• サイト間VPNは対向のゲートウェイのIPアドレスタイプによって
設定が一部異なります。
• 対向のゲートウェイのグローバルIPアドレスが分かっている
• 対向のゲートウェイのIPアドレスは動的であるため特定できない
...
IPSec VPN構築例
• 10.10.10.0/24 (Sunnyvale) から192.168.168.0/24 (Chicago)
へのIPSec VPNトンネルを構築します。
リモートサイト
ローカルサイト
(Trustゾーン)
In...
サイト間VPN設定手順
1. Untrustゾーン、Trustゾーン、VPN-Chicagoゾーンを作成します。
• Network > Zones
2. 各セキュリティゾーンにインタフェースを作成します。
• Network > Interf...
VPN機能を設定する (1) – セキュリティゾーンの作成
• Untrust / Trust / VPN-Chicagoの各セキュリティゾーンを作成する
セキュリティゾーン: “Untrust”, “Trust”, “VPN-Chicago”...
VPN機能を設定する(2) – インタフェースの作成
• ローカル側インタフェース(Trustゾーン)、インターネット側イン
タフェース(Untrustゾーン)を作成する
Interfaces > List を
クリック
Sub-IFを選択し、...
VPN機能を設定する(3) – インタフェースの作成
• ローカル側インタフェース(Trustゾーン)を作成する
Trustゾーンのインタ
フェースとIPアドレ
スを入力
入力がおわったらOK
ボタンを押す
VPN機能を設定する(4) – インタフェースの作成
• インターネット側インタフェース(Untrustゾーン)を作成する
Trustゾーンと同様に
Untrustゾーンの
インタフェースと
IPアドレスを入力
Untrustゾーンの
インタフ...
VPN機能を設定する(5) – インタフェースの作成
• トンネルインタフェース(VPN-Chicagoゾーン)を作成する
Tunnel IFを選択し、
Newをクリック
Interfaces > List
VPN機能を設定する(6) – インタフェースの作成
• トンネルインタフェース(VPN-Chicagoゾーン)を作成する
トンネルインタフェースの
論理ユニット番号: “0”
トンネルインタフェースのIPアドレス:
“10.11.11.10/...
VPN機能を設定する(7) – インタフェースの作成
• インタフェースを作成する
VPNに関連する
インタフェースが
正しく登録されている
ことを確認
Interfaces > List
設定内容を
確認できたら
Commitをクリック
VPN機能を設定する(8) – ルーティングの追加
• インターネット宛てのルーティングを追加する
Routing > Destination
以下のアドレスオブジェクトを作成
※作成方法は第2部参照のこと
IP/Netmask: 0.0.0....
VPN機能を設定する(9) – ルーティングの追加
• リモートサイト宛てのルーティングを追加する
Routing > Destination
をクリック
Newをクリック
VPN機能を設定する(10) – ルーティングの追加
• リモートサイト宛てのルーティングを追加する
リモートサイトのIPアドレスプレフィックス:
“192.168.168.0/24”
入力がおわったらOK
ボタンを押す
ネクストホップインタフ...
VPN機能を設定する(11) – ルーティングの追加
• リモートサイト宛てのルーティングを追加する
入力したスタティックルートが
正しく登録されていることを
確認
設定内容を
確認できたら
Commitをクリック
Routing > Dest...
VPN機能を設定する(12) – IKEフェーズ1の設定
• IKE フェーズ1プロポーザルを作成する(Predefined プロポーザル
セットを使用する場合は作成不要)
VPNs > AutoKey
Adavanced > P1
Propo...
VPN機能を設定する(13) – IKEフェーズ1の設定
• IKE フェーズ1プロポーザルを作成する
IKEフェーズ1プロポーザル名:
“ike-phase1-proposal”
認証メソッド:
“Preshare” (pre-shared-...
VPN機能を設定する(14) – IKEフェーズ1の設定
• IKE フェーズ1プロポーザルを作成する
VPNs
> AutoKey Adavanced
> P1 Proposal
IKE フェーズ1プロポーザルが
追加されていることを確認
VPN機能を設定する(15) – IKEフェーズ1の設定
• IKEフェーズ1(IKEポリシーとIKEゲートウェイ)を設定する
VPNs > AutoKey
Adavanced > Gateway
をクリック
Newをクリック
• IKEフェーズ1(IKEポリシーとIKEゲートウェイ)を設定する
VPN機能を設定する(16) – IKEフェーズ1の設定
ゲートウェイ名: “gw-chicago”
IKEバージョン: ”v1”
リモートゲートウェイのIPアドレス:
”2...
• IKEフェーズ1(IKEポリシーとIKEゲートウェイ)を設定する(つづき)
VPN機能を設定する(17) – IKEフェーズ1の設定
動作モード: “Main”
入力がおわったらOK
ボタンを押す
• IKEフェーズ1(IKEポリシーとIKEゲートウェイ)設定を確認する
VPN機能を設定する(18) – IKEフェーズ1の設定
VPNs
> AutoKey Adavanced
> Gateway
IKE フェーズ1設定が
追加されているこ...
VPN機能を設定する(19) – IKEフェーズ2の設定
• IKE フェーズ2プロポーザルを作成する(Predefinedを使用する場合
は作成不要)
VPNs > AutoKey
Adavanced > P2
Proposal をクリック
...
VPN機能を設定する(20) – IKEフェーズ2の設定
• IKE フェーズ2プロポーザルを作成する
IKEフェーズ2プロポーザル名:
”ipsec-phase2-propsal”
プロトコル: “esp”
暗号化アルゴリズム: “AES-C...
VPN機能を設定する(21) – IKEフェーズ2の設定
• IKE フェーズ2プロポーザルを作成する
IKE フェーズ2プロポーザルセットが
追加されていることを確認
VPNs
> AutoKey Adavanced
> P2 Proposal
VPN機能を設定する(22) – IKEフェーズ2の設定
• IKEフェーズ2(IPSecポリシーとIPSec VPN)を設定する
VPNs > AutoKey IKE
をクリック
Newをクリック
VPN機能を設定する(23) – IKEフェーズ2の設定
入力がおわったらOK
ボタンを押す
IPSec VPN名:
”ike-vpn-Chicago”
リモートゲートウェイ:
”gw-chicago” (フェーズ1で作成したゲートウェイ)
バ...
VPN機能を設定する(24) – IKEフェーズ2の設定
VPNs > AutoKey IKE
IKE フェーズ2設定が
追加されていることを確認
設定内容を
確認できたら
Commitをクリック
VPN機能を設定する(25) – セキュリティポリシーの設定
• アドレスブックを作成する
Policy > Policy Elements
> Addresses > List
以下のアドレスオブジェクトを作成
※作成方法は第2部参照のこと
...
VPN機能を設定する(26) – セキュリティポリシーの設定
• Trustゾーン~VPN-Chicagoゾーン間の通信許可ポリシーを作成する
Policy > Policies
以下の2つのセキュリティポリシーを作成
※作成方法は第2部参照の...
第5部:管理機能を利用する
管理設定 – 時刻設定
時差を設定
(日本であれば、
Asisa/Tokyo)
設定を反映させるため
Commitをクリックする
Configuration ->
Date/Timeを
クリック NTPを取得するIF
のIPを設定(任意)
NT...
管理設定 – 管理ユーザ
既存管理ユーザを変
更する場合は、Edit
をクリック
設定を反映させるため
Commitをクリックする
Configuration ->
Admin ->
Administratorsを
クリック
管理ユーザを追加
...
管理設定 – 管理ユーザの追加
新しい管理ユーザ名
を入力
新しい管理ユーザに、管理
者権限を付与するために
super-userをクリック
OKをクリック
新しい管理ユーザ用
のパスワードを入力
確認のため、再度パ
スワードを入力
管理設定 – 管理ユーザの追加
設定内容を確認
設定を反映させるため
Commitをクリックする
管理設定 – 管理ユーザの削除
削除したいユーザに
対して、Removeを
クリック
設定を反映させるため
Commitをクリックする
管理設定 – SNMPの設定
SNMPレポート
の設定(任意)
設定を反映させるため
Commitをクリックする
SNMPレポートの入力した
場合、Applyをクリック
SNMPコミュニティ・
トラップの新規作成す
る場合は、New
commu...
管理設定 – SNMPの設定
コミュニティ名
を入力
OKをクリック
アクセス許可を
指定
SNMPバージョ
ンを指定
(V1,V2c,Any)
管理設定 – SNMPの設定
SNMPトラップの設定
をしない場合は、
Commitをクリック
SNMPトラップ
のホストを指定
する場合は、
Editをクリック
管理設定 – SNMPの設定
SNMPトラップのホス
トIPを入力
ホストIP入力後、
Addをクリック
ホストIPが追加
されたのを確認
ホストIPが追加確認
後、OKをクリック
管理設定 – SNMPの設定
設定内容を確認
設定を反映させるため
Commitをクリックする
管理設定 – SNMPの設定
Syslogサーバ
を入力
設定を反映させるため
Commitをクリックする
Applyをクリック
Configuration ->
Report setting -
>Syslogをクリック
ファシリティレ
ベル...
CW4Sの手引き - Juniper SRX GUI設定支援ツール
Upcoming SlideShare
Loading in …5
×

CW4Sの手引き - Juniper SRX GUI設定支援ツール

16,366 views

Published on

CW4S(Classic Web-interface for SRX)はオープンソース・ソフトウェアベースのフリーウェアのWeb UIです(作成;RCA&LEFT様 & 協力;Juniper Networks)。
CW4Sを使うと、NetScreen/SSGと同じ感覚でSRXを操作できるようになります。

【コンテンツ】
• 第1部:はじめに
• 第2部:ファイヤウォール機能を利用する
• 第3部:NAT機能を利用する
• 第4部:VPN機能を利用する
• 第5部:管理機能を利用する

Published in: Technology
  • Be the first to comment

CW4Sの手引き - Juniper SRX GUI設定支援ツール

  1. 1. CW4Sの手引き Juniper SRX GUI設定支援ツール 2016年2月 ジュニパーネットワークス株式会社
  2. 2. CW4S目次 • 第1部:はじめに • 第2部:ファイヤウォール機能を利用する • 第3部:NAT機能を利用する • 第4部:VPN機能を利用する • 第5部:管理機能を利用する • 初版:2015年11月11日
  3. 3. 第1部:はじめに
  4. 4. CW4Sとは? • Classic Web-interface for SRX • NetScreen/SSGと同じ感覚で操作できるWeb UIで、SRXを設定することが可能です。 • CW4Sは オープンソース・ソフトウェアベースのフリーウェアです。 (制作;RCA&LEFT様 & 協力;Juniper) – ダウンロードサイト:http://cw4s.org/
  5. 5. CW4Sでできること CW4Sでは、以下のような項目の設定が可能です。  初期セットアップ  基本設定 (管理者ユーザ, SNMP, Syslog, DNS, DHCP)  インタフェース関連 (IP Address, VLAN)  スタティック・ルーティング  ファイアウォール関連 (Zone, Policy, Address Book, Applications, Screen)  NAT  VPN  PPPoE  コミット / ロールバック, 設定の比較  初期設定のシャーシクラスタ 未対応機能  UTM / IDP / AppSecure  Logging CW4Sのメニュー一覧
  6. 6. CW4S - 動作概要 Netconf (over SSH) SRX Series (JUNOS:11.4+) PC (Win/MAC/Linux) Java:1.7+ CW4S ブラウザ http • CW4Sはブラウザ経由で動作するアプリケーションです。 • CW4Sで作成した設定は、Netconfを使ってSRXに適用されます。 • 工場出荷時のSRXは、Netconfの通信を許可していないため、最低限の初期設定だけCLIか ら実施します。初期設定configは、CW4Sから作成できます。作成した初期設定を、SRXに コピー&ペーストするだけでCW4Sを使用できます。
  7. 7. CW4S - インストールから利用開始まで 1. CW4SのWebサイト(http://cw4s.org/) からファイルをダウンロードして解凍します。 2. 解凍して出来たフォルダのCW4Sのアイコンを ダブルクリックし、アプリを起動します。 タスクトレイにCW4Sアイコンが表示されます。 3. タスクトレイのCW4Sアイコンを右クリックして ”Open”を選択すると、ブラウザが起動します。 (http://localhost:9000/setup/device)
  8. 8. CW4S - Web UIのスタート画面 はじめて起動した画面では、以下の2つのボタンのみ表示されています。 ・Initial Setup – CW4SからアクセスするためのSRXの初期設定configを作成 ・Register your device – CW4Sで設定したいSRXの情報を登録 初期状態のSRXは、Netconfを許可していないためCW4Sからアクセスすることができません。 まずは初期設定configを作成するため、Initial Setupボタンをクリックします。
  9. 9. SRX初期設定の前に – CLIの準備 CW4S用の設定を追加するため、パソコンからコンソールケーブルを使ってSRXのコンソー ルポートに接続します。 Terminalソフトを立ち上げ、SRXのCLIにアクセスします。 Terminalから、rootユーザーでログインします(初期状態ではパスワードなし)。 プロンプトが表示されたら、cliと入力すると、>に表示がかわります。 この状態で設定準備は完了です。CW4Sで初期設定configの作成に進みます。 Amnesiac (ttyu0) login: root --- JUNOS 12.1X46-D10.2 built 2013-12-18 02:03:20 UTC root@% root@% cli root> root>
  10. 10. SRX初期設定 (1) – CW4S初期設定configの作成 Initial setupの画面から、初期設定を作成します。 1. Platformから、設定を行うSRXをプラットフォームを選択します。 2. ルートパスワードを設定します。 3. SRXのホスト名を設定します。 4. Security Zoneを作成します。初期設定時はデフォルトから変更不要です。
  11. 11. 5. インタフェースの設定を追加します。Addをクリックし、設定するインタフェースを選択します。 6. (オプション) VLANを作成し、L3スイッチとして動作させる設定作成も可能です。 SRX初期設定 (2) – CW4S初期設定configの作成 PCを接続するインタフェースを選択 IPアドレスを手動で設定するか、 DHCPで取得するかを設定 Security Zoneはtrustを選択 VLAN名とVLAN IDを設定 VLAN間ルーティングをさせる L3インタフェースの設定 VLANに参加するアクセスポートを設定
  12. 12. SRX初期設定 (3) – CW4S初期設定configの適用 7. Generate Configurationボタンをクリックすると、SRXの初期設定configが作成されます。 ※設定をやり直したい場合はClearボタンをクリックすると、設定がクリアされます 8. 作成したconfigをSRXにコピー&ペーストします。(出荷時・設定済configは上書きされます) 設定が保存され、CW4Sからアクセス可能になります。
  13. 13. CW4Sを動作させるパソコンのネットワーク設定 パソコンとSRXをイーサネットケーブル(LANケーブル)で、初期設定したTrustポートに接続し ます。ストレートケーブルでもクロスケーブルでも構いません。 TCP/IP設定でIPアドレスを設定し、SRXと疎通がとれることを確認します。SRXとパソコンが ネットワークレベルで正しく接続されているかを確認するには、 初期設定時に設定したIPアド レスに対してpingで応答が返ってくるのをチェックします。 たとえばge-0/0/1に192.168.1.1を設定した場合は、ping 192.168.1.1と実行します。 イーサネット ケーブル 左からge-0/0/0 ~ ge-0/0/7SRX220の場合 コンソールポート
  14. 14. CW4S初期設定 (1) – SRXの登録 スタート画面に戻り、Register your deviceボタンをクリックし、SRXを登録します。 登録したいSRXの基本情報を入力し、Registボタンをクリックします。 ・name – CW4S上でのデバイス名 ・hostname/ip address – IPアドレス、またはホスト名(DNSによる名前解決が必要) ・username –ユーザー名 (root) ・password – パスワード (root password)
  15. 15. CW4S初期設定 (2) – SRXの登録 登録が完了すると、登録済みデバイスの一覧が表示されます。 設定したいSRXのHomeリンクをクリックし、GUIの画面を表示します。 もしアクセスに失敗した場合は、以下の点を確認してください。 ・PCからSRXのIPアドレスに疎通がとれているか ・作成した初期設定が正しく反映されているか
  16. 16. CW4S初期設定 (3) – SRXの登録 正常にアクセスができると、メニュー画面が表示されます。
  17. 17. SRX設定時の注意 - commitについて Netscreen/SSGのScreenOSと異なり、SRXはJunosで稼動しています。 Junosでは設定変更は即時反映されません。変更を確定する処理として‘commit’が必要です。 CW4Sでは、画面右上にcommit用のメニューが用意されています。 ・Rollback – CW4S上での設定変更をいったんクリアし、もとの状態に戻します。 ・Sync – 現在稼働中のSRXのconfigをCW4Sにコピーし、状態を同期します。 ・Commit – commitを実行します。commit完了後に設定が有効化されます。 設定変更後はcommitを実行し忘れないように注意しましょう。 ※以降のページではcommitの説明は省略しています Running ConfigCandidate Config Change CHECK ! COMMIT !! Candidate Config
  18. 18. 基本設定 – 管理者ID/パスワード設定 Configuration > Admin > Administrators SRXの管理者IDとパスワードを設定します。 Newボタンから、root以外のユーザーを新規に作成することが可能です。 新規ユーザーを作成 パスワード・特権レベルの変更 ユーザー名を設定 パスワードを設定 同じパスワードを再入力 ユーザーに設定する特権レベルを選択
  19. 19. 基本設定 – インタフェース設定 Network > Interfaces (List) IPアドレス等、各インタフェースの詳細設定を行います。Newボタンで新規に設定を追加します。 インタフェース設定を変更する 新規設定を追加
  20. 20. 基本設定 – 新規インタフェース設定 Network > Interfaces (List) > Configuration 設定したいインタフェース名とunit番号(通常は0)を選択 アサインしたいSecurity Zoneを選択 IPアドレスとサブネットマスクを設定 VLAN tagの設定 Check Allでサービスを全許可 もし許可したくないサービスが あれば個別にチェックを外す
  21. 21. 基本設定 – インタフェース設定変更 Network > Interfaces > Edit Security Zoneの変更 IPアドレスの取得方法を選択 MTUサイズの変更 PPPoE用の設定を作成します
  22. 22. 基本設定 – PPPoEインタフェース設定 Network > PPPoE > Edit PPPoE方式でISPに接続する場合は、PPPoE Profileを作成し、インタフェースとひもづけます。 Unit番号を選択します(0から) ひもづける物理インタフェースを指定します ISPからの情報にあわせて、 ユーザー名・パスワード・認証方式を 設定します ひもづけたインタフェースは pp0.xとして表示されます
  23. 23. 基本設定 – DHCPクライアント設定 Network > Interfaces > Edit DHCPサーバからIPアドレスを取得したい場合は、インタフェース設定でEditをクリックし、 ‘Obtain IP using DHCP’を選択します。
  24. 24. 基本設定 – ユーザLANネットワークDHCP設定 Network > DHCP (List) LANネットワーク向けに、SRXをDHCPサーバとして動作させるかどうか設定します。 DHCPサーバを有効化したいインタフェースのEditリンクをクリックします。
  25. 25. 基本設定 – インタフェース設定確認 Network > DHCP > Edit DHCPサーバを有効にします 配布するアドレスレンジを入力 リース期間を入力します 無期限の場合はUnlimitedを選択します デフォルトゲートウェイのアドレス DNSサーバのIPアドレス 必要な設定を入力し、OKをクリックします。 有効化されると、NoneからServerにステータスがかわります。
  26. 26. 基本設定 – 設定確認 Config Commitする前に、CW4Sで設定した内容と、configとの差分をXML形式で確認できます。 Candidate Config – 編集前のconfig Editing Config – CW4Sで編集中のconfig 差分チェック 差分のある箇所は自動的にハイライト (commitすると差分はなくなります)
  27. 27. 第2部:ファイアウォール機能を利用する
  28. 28. ファイアウォール処理による転送動作 • SRXは用途によってパケットの転送方法をデバイス単位で選択する事が出来ます。 • フローモード : ステートフルインスペクションファイアウォールとして動作 • パケットモード : ルータ/スイッチとして動作 • SRXをファイアウォール/VPN機器として利用する場合には、フローモードを選択します。 • デフォルトではフローモードで設定されています。 • パケットモードはトランスペアレントモード時でも対応。 フローモード パケットモード SRX100/210/220/240/550/650 対応(デフォルト) 対応 SRX1400/3000/5000シリーズ 対応 未対応 【 参考: SRX製品毎の転送モード対応状況(12.3X48) 】 * ScreenOSはフローモードのみに対応
  29. 29. ゾーン、インタフェースの考え方 – SCREENOSとの違い • 複数のフォワーディングモードを持つことから、SRXでは論理的な設定対象の考え方がScreenOSと異なり、 フォワーディング関連の設定対象とセキュリティ系の設定対象が分離されています。 バーチャルルータ ゾーン インタフェース IPアドレス ScreenOS ルーティングインスタンス インタフェース IPアドレス JUNOS ゾーン インタ フェース JUNOSでは ルーティング インスタンス がゾーンから 分離
  30. 30. ルーティングインスタンスとは • ScreenOSのバーチャルルータは、JUNOSではルーティングインスタンスと呼ばれます。 • JUNOSでは、前述の通り、ルーティングインスタンスがゾーンから分離さているため、デフォルトではマス ターのルーティングインスタンス(ipv4ではinet.0)のみが存在します。 • 全てのインタフェースは、デフォルトでマスターのルーティングインスタンスに含まれています。ルーティン グテーブルを分ける必要ある場合には、新規にルーティングインスタンスを作成します。
  31. 31. セキュリティゾーンとは? • セキュリティゾーンとは、インタフェースに割り当てる仮想的なグループです。 • SRXでは主にセキュリティゾーンを使ってトラフィックを制御します。 トラフィック制御に用いるポリシー(後述)でチェックするのは入力ゾーンから違うゾーンへの通信、もしくは 入力ゾーンと同じゾーンの通信です。 • セキュリティゾーンは、下記の二つの種類が存在します。 • ファンクショナルゾーン(Functional zone) 主にマネージメントの為のゾーンで、このゾーンで受信したトラフィックが転送されることはありません。 SRXでは、ScreenOSと異なり、多くの機器に専用の管理インタフェースとなるfxp0が供されていること もあり、ほとんどの場合でFunctional zoneを意識する必要はありません。 • セキュリティゾーン(Security zone) ファイアウォールを通過するトラフックに対して制御するためのゾーン。通常ゾーンといった場合には、 このセキュリティゾーンを示します。ファイアウォールポリシーは、セキュリティゾーン間で設定される ことになります。 工場出荷時の設定では、以下のセキュリティーゾーンが定義されています。 • untrust : インターネット(外部)との接続用 • trust : 内部接続用
  32. 32. ファイアウォール機能(1)ー初期設定 • SRXでの初期インタフェース設定は以下の通りです。 • f(g)e-0/0/0.0 初期設定ではuntrustゾーンに設定されています。 • vlan.0 初期設定ではインタフェースfe-0/0/1~fe-0/0/7がバインドされており、同一vlanに所属する物理インタ フェース間はスイッチのようにブリッジ転送されます。 vlanに所属させる物理インタフェースは任意に設定可能です。
  33. 33. ファイアウォール機能(2)-VLANの設定 Editをクリック
  34. 34. ファイアウォール機能(3)-VLANの設定 Bind Portをクリック
  35. 35. ファイアウォール機能(4)-VLANの設定 vlanに参加/除外させ たいポートを選択する 設定をしたらOKをクリック
  36. 36. ファイアウォール機能(5)-IPアドレスを設定 IPアドレスを設定 ゾーンを設定
  37. 37. ファイアウォール機能(6)-IPアドレスの確認 設定しIPアドレスであ る事を確認
  38. 38. ファイアウォール機能(7)-セキュリティポリシー SRXではゾーン間をまたぐ、または同一ゾーン内のトラフィックを制御します。 初期設定ではtrustからuntrust方向への全てのトラフィックを許可する設定となっています。
  39. 39. ファイアウォール機能(8)-セキュリティポリシーの考え方 • ポリシーのルールに従ってトラフィックを許可します。 • Source – Address BookまたはAddress Group • Destination - Address BookまたはAddress Group • Service – Pre-defined Service, Custom ServiceまたはCustom ServiceGroup Src IP 10.1.10.5 Dest IP 1.1.70.250 Protocol 06 Src Port 36033 Dest Port 80 Data #@$%D
  40. 40. ファイアウォール機能(9)-セキュリティポリシー設定 送信元ゾーンを設定 送信先ゾーンを設定 Newをクリック
  41. 41. ファイアウォール機能(9)-セキュリティポリシー設定 ポリシー名を設定 送受信アドレス、サービス (ポート番号)を設定 上記で設定したトラフィックに対する Actionを設定
  42. 42. ファイアウォール機能(10)-オブジェクトとは • オブジェクト(アドレスグループ、サービスグループ)を作成すると、グループ内の各アドレス、サービスに 対して個々に内部ポリシーを作成します。 • オブジェクトを使用する事で、作成するポリシーを少なくすることが可能です。 オブジェクトを設定
  43. 43. ファイアウォール機能(11)-アドレスブックの作成 Policy – Policy Elements – Addresses – ListでNewをクリックして、アドレスブックを作成します。
  44. 44. ファイアウォール機能(12)-アドレスグループの作成 Policy – Policy Elements – Addresses – GroupsでNewをクリックして、アドレスグループを作成します。 アドレスグループ名を設定 アドレスグループに参加させ たいオブジェクトを左のボッ クスに移動
  45. 45. ファイアウォール機能(13)-カスタムサービス SRXでは定義済みサービス以外で新規にサービスを作成する事が可能です。 Policy – Policy Elements – Services – CustomでNewをクリックして、カスタムサービスを作成します。 定義済みサービスは、 Policy – Policy Elements – Services – Predefinedで確認が可能です。
  46. 46. ファイアウォール機能(14)-サービスグループの作成 Policy – Policy Elements – Services – GroupsでNewをクリックして、サービスグループを作成します。 サービスグループに参加させ たいオブジェクトを左のボッ クスに移動 サービスグループ名を設定
  47. 47. スタティックルートの設定
  48. 48. ネットワークの設定 上図のようにルータやスイッチを介して、別のIPネットワークが存在する場合、これをSRXに学習させる方法は 以下の2通りがあります。 • スタティックルートを設定する。 • ダイナミックルーティングを設定する。(本書では触れません) WAN ネットワークアドレス 172.16.1.0 サブネットマスク 255.255.255.0 ルータまたはスイッチ 自宅またはオフィス インターネット
  49. 49. ネットワークの設定:設定例 必要な情報 • SRXに学習させたい全てのネットワークアドレスとそのサブネットマスク • 例:172.16.1.0/24 • LAN側ルータ/スイッチのSRX側のインタフェースアドレス • 例:192.168.1.254 この時、SRXのLAN側のインタフェースアドレスはルータ/スイッチのSRX側のインタフェースアドレスと同じサブネットに設定され ている必要があります。 WAN ネットワークアドレス 172.16.1.0 サブネットマスク 255.255.255.0 ルータまたはスイッチ 自宅またはオフィス インターネット 172.16.1.0/24をSRXに手動で学習させる方法 インタフェースアドレス 例:192.168.1.254
  50. 50. ルーティングを設定する(1)-スタティックルートの設定 Network – Routing – DestinationでNewをクリックして、スタティックルートを設定します。
  51. 51. ルーティングを設定する(2)-スタティックルートの設定 登録したいネットワークを設定 LAN側ルータ/スイッチのSRX側 インタフェースアドレスを設定
  52. 52. ルーティングを設定する(3)-スタティックルートの設定 登録したネットワークとゲート ウェイを確認 間違っていた、または不要 な場合にはRemoveで削除
  53. 53. 第3部:NAT機能を利用する
  54. 54. • インターネットに接続された企業などで、一つのグローバルIPアド レスを複数のコンピュータで共有する技術です。組織内でのみ通用 するIPアドレス(ローカルアドレス)と、インターネット上のアドレス (グローバルアドレス)を透過的に相互変換することにより実現されま す。グローバルIPアドレスを節約できますが、一部のアプリケー ションソフトが正常に動作しなくなるなどの制約があります。 NAT(Network Address Translation)とは?
  55. 55. NetScreen/SSGとSRXのNAT機能との対比 NetScreen/SSGが実装していたNATの機能は、SRXでも全て対応可能 ですが、下記表のように名称が変更されています。 NetScreen/SSG SRX CW4S上の表記 DIP (Src-NAT) Source NAT using an address Pool srcNAT Interface NAT Source NAT srcNAT MIP Static NAT staticNAT VIP Destination NAT dstNAT DIP (Dst-NAT) Destination NAT 非サポート
  56. 56. • ソースネットワークアドレス変換では、あるソースIPアドレスを別のアドレスに 変換するという処理を行います。(下記の図を参照)変換後のアドレスは、動的 IP(SrcNAT(DIP))プール、またはSRXデバイスの出力インタフェースから取得し ます。DIPプールから取得する場合、その具体的なアドレスは不定である場合と、 予測がつく場合があります。すなわち、SrcNAT(DIP)プールに確保されている中 からランダムに選ぶか、あるいは元のソースIPアドレスから所定の計算により求 めることになります。出力インタフェースから変換後のアドレスを取得した場合 は、すべてのパケットについて、ソースIPアドレスを当該インタフェースのIPア ドレスに変換します。 ソースネットワークアドレス変換/SrcNAT(DIP)とは?
  57. 57. • この例では、Untrustゾーンに向かうインタフェースであるge-0/0/2に、SrcNAT(DIP)プールを定 義しています。このSrcNAT(DIP)プールにはIPアドレスが1.1.1.30 だけしかないため、自動的に PATが有効になります。ここで、SRXデバイスが次のような処理をするよう、ポリシーを設定します。 • Trustゾーンのすべてのアドレスから、UntrustゾーンのすべてのアドレスへのHTTPトラフィックを許可。 • IPパケット中のソースIPアドレスは、DIPプールに唯一存在する1.1.1.30に変換。 • ソースIPアドレスおよびポート番号を変換したHTTPトラフィックを、ge-0/0/2経由でUntrustゾーンに 転送。 ge-0/0/1 10.1.1.1/24 ソースネットワークアドレス変換/SrcNAT(DIP)適用例 ge-0/0/2 1.1.1.1/24
  58. 58. NATを利用する (1) -ソースネットワークアドレス変換設定 Network -> Interfaces -> Listをクリック Newをクリック
  59. 59. NATを利用する (2) -ソースネットワークアドレス変換設定 OKをクリック インタフェースを選択 ゾーンを選択 IPアドレス及びサブネットを設定
  60. 60. NATを利用する (3) -ソースネットワークアドレス変換設定 作成したインタフェースのEditをクリック
  61. 61. NATを利用する (4) -ソースネットワークアドレス変換設定 srcNAT(DIP)をクリック Newをクリック
  62. 62. NATを利用する (5) -ソースネットワークアドレス変換設定 OKをクリック アドレス変換するアドレスを入力 (1.1.1.30) Set Proxy Arpを選択
  63. 63. NATを利用する (6) -ソースネットワークアドレス変換設定 trustを選択 Policy -> Policiesをクリック untrustを選択 Newをクリック
  64. 64. NATを利用する (7) -ソースネットワークアドレス変換設定 ポリシー名を入力 any-ipv4を選択 any-ipv4を選択 junos-httpを選択 Permitを選択 OKをクリック
  65. 65. NATを利用する (8) -ソースネットワークアドレス変換設定 Advancedをクリック
  66. 66. NATを利用する (9) -ソースネットワークアドレス変換設定 Source Translationを選択 srcNAT(DIP)で設定した内容を選択 OKをクリック 設定を反映させるため、 Commitをクリック
  67. 67. Static NAT(MIP)とは? • Static NAT(マップ IP/MIP)とは、ある IP アドレスから別の IP アドレスに、1 対 1 で直接 対応づけるマッピングのことです。SRXは、宛先が MIP であるトラフィックを受け取ると、 その Static NAT(MIP)に対応するアドレスのホストに転送します。 • Static NAT(MIP)は実際には、静的な宛先アドレス変換、すなわち、IP パケットヘッダー中 の宛先 IP アドレスを別の IP アドレスに、固定的に対応づける変換です。逆に MIP ホスト がアウトバウンドトラフィックを発信した場合、SRXはソース IP アドレスの方を MIP アド レスに変換します。このように、対称性を持つ両方向の変換である点で、ソースアドレス変 換 (Src-NAT) や宛先アドレス変換 (Dst-NAT) とは動作が異なります ココにアドレス変換の絵を入れる
  68. 68. Static NAT(MIP)適用例 • ge-0/0/0 を Trust ゾーンにバインドし、IP アドレスとして 10.1.1.1/24 を割り当てます。 • ge-0/0/1を Untrust ゾーンにバインドし、1.1.1.1/24 という IP アドレスを割り当てます。 • Untrust ゾーンに属する 1.1.1.5 向けの HTTP トラフィックを、Trust ゾーンの 10.1.1.5 が割り当てられた Web サーバーに向ける MIP/Static NAT を設定します。 • Untrust ゾーンの任意のアドレスから、Trust ゾーンに属する MIP/Static NAT (したがって MIP が指すアドレ スを持つホスト) への HTTP トラフィックを許可するポリシーを定義します。セキュリティゾーンはすべて trust-vr ルーティングドメインにあります。 ココにアドレス変換の絵を入れる ① 宛先が 1.1.1.5 であるトラフィックが ethernet2 に 到達 ② SRXは ethernet2 上で MIPのルートを検索し、 1.1.1.5から 10.1.1.5 に変換 ③ 10.1.1.5 に向かうルートを検索し、ethernet1 に トラフィックを転送 ② ③ ge-0/0/1 ge-0/0/0
  69. 69. NATを利用する – StaticNAT(MIP) 設定 Untrustゾーンを選択 IPアドレス及びサブネットマスクを設 定 Network -> Interface -> Listをクリック 設定が終わったらOKボタンを押す
  70. 70. NATを利用する – StaticNAT(MIP) 設定 Static NAT(MIP)をクリック Network -> Interface -> Listをクリック
  71. 71. NATを利用する – StaticNAT(MIP) 設定 StaticNAT(MIP)を行うアドレスと 転送するホストのアドレス及び サブネットマスクを設定 Proxy Arpを選択 設定が終わったら OKボタンを押す
  72. 72. NATを利用する – StaticNAT(MIP) 設定 Policy -> Policies をクリック ポリシー名を設定 anyを選択 MIPを選択 HTTPを選択 Permitを選択 設定が終わったら OKボタンを押す
  73. 73. NATを利用する – StaticNAT(MIP) 設定 設定を反映させるため、 Commitをクリック
  74. 74. DstNAT(VIP)とは? • DstNAT(VIP)とは、ある(公開用)IPアドレスと宛先サービスポート番号(TCPやUDP)の組み合わせ と(ローカル)IPアドレスと待ち受けサービスポート番号をマッピングするアドレス変換機能です。 • SRXがDstNATサービス宛ての通信を受信すると、登録されているポートに対応したホストへトラフィッ クを転送します。 • StaticNAT(MIP)と異なる点としては、1対Nのアドレス変換機能である点です。これは、同一のIPアド レス宛ての通信であっても、サービスポート番号が異なれば、別のホストへアドレス変換が可能です。 ge-0/0/2, ge-0/0/1,
  75. 75. DstNAT(VIP)適用例 • ge-0/0/1 を Trust ゾーンにバインドし、IP アドレスとして 10.1.1.1/24 を割り当てます。 • ge-0/0/2 を Untrust ゾーンにバインドし、1.1.1.1/24 という IP アドレスを割り当てます。 • Untrust ゾーンに属する 1.1.1.3 向けの HTTP トラフィック(TCP:80)を、Trust ゾーンの 10.1.1.10:80 が割り当てられた Web サーバーに向ける DstNAT(VIP)を設定します。 • Untrust ゾーンに属する 1.1.1.3 向けの FTP トラフィック(TCP:21)を、Trust ゾーンの 10.1.1.20:21 が割り当てられた FTP サーバーに向ける DstNAT(VIP) を設定します。 • Untrust ゾーンの任意のアドレスから、Trust ゾーンに属する VIP (したがって VIP が指すアドレス を持つホスト) への HTTP およびFTPトラフィックを許可するポリシーを定義します。 ge-0/0/2, ge-0/0/1,
  76. 76. DstNAT(VIP)適用例 設定したインタフェース の“Edit”をクリック Interfaces -> Listをクリック
  77. 77. DstNAT(VIP)適用例 dstNAT(VIP)をクリックする
  78. 78. DstNAT(VIP)適用例 “New VIP Service”をクリックする
  79. 79. DstNAT(VIP)適用例 公開用IP(VIP)アドレスを指定 VIPの待ち受けポート番号を指 定 マッピングするポート番号を指定 マッピングするホストのIPを指定 設定が完了したら”OK”をクリック Proxy Arpを選択
  80. 80. DstNAT(VIP)適用例 公開用IP(VIP)アドレスを指定 VIPの待ち受けポート番号を指 定 マッピングするポート番号を指定 マッピングするホストのIPを指定 設定が完了したら”OK”をクリック Proxy Arpを選択
  81. 81. DstNAT(VIP)適用例 設定内容を確認する
  82. 82. DstNAT(VIP)適用例 通信を許可するZoneを選択 Policiesをクリッ ク Newをクリック
  83. 83. DstNAT(VIP)適用例 ポリシー名を設定 anyを選択 VIPを選択 HTTPを選択 Permitを選択 設定が終わったら OKボタンを押す
  84. 84. DstNAT(VIP)適用例 ポリシー名を設定 anyを選択 VIPを選択 HTTPを選択 Permitを選択 設定が終わったら OKボタンを押す
  85. 85. DstNAT(VIP)適用例 設定内容を確認する 設定を反映させるため Commitをクリックする
  86. 86. 第4部:VPN機能を利用する
  87. 87. LAN1 VPN接続形態 • SRXシリーズがサポートするIPSec VPN接続形態は、大きく分けて以下の3つ 方法があります。 • CW4Sバージョン1.0では、これらの内、サイト間(LAN間)VPNの設定を サポートします。 LAN2 LAN1 Internet サイト間VPN LAN1 Internet リモートアクセスVPN LAN2 ハブ&スポークVPN LAN3 LAN4 Internet
  88. 88. サイト間VPNについて • サイト間VPNは対向のゲートウェイのIPアドレスタイプによって 設定が一部異なります。 • 対向のゲートウェイのグローバルIPアドレスが分かっている • 対向のゲートウェイのIPアドレスは動的であるため特定できない • SRXシリーズではポリシーベースVPNとルートベースVPNの2通りの VPN設定方法が可能ですが、CW4SはルートベースVPNの設定のみ サポートしています。
  89. 89. IPSec VPN構築例 • 10.10.10.0/24 (Sunnyvale) から192.168.168.0/24 (Chicago) へのIPSec VPNトンネルを構築します。 リモートサイト ローカルサイト (Trustゾーン) Internet (Untrustゾーン) ge-0/0/1.0 10.10.10.1 10.10.10.10 ge-0/0/3.0 1.1.1.2/30 st0.0 10.11.11.10/24 VPN-Chicagoゾーン 2.2.2.2/30 192.168.168.1 192.168.168.10 10.10.10.0/24 192.168.168.0/24 Sunnyvale Chicago
  90. 90. サイト間VPN設定手順 1. Untrustゾーン、Trustゾーン、VPN-Chicagoゾーンを作成します。 • Network > Zones 2. 各セキュリティゾーンにインタフェースを作成します。 • Network > Interfaces > List 3. リモートサイト向けのルーティングを設定します。 • Network > Routing > Destination 4. [オプション] IKEフェーズ1プロポーザルを作成します。 • VPNs > AutoKey Advanced > P1 Proposal 5. IKEフェーズ1(IKEポリシーおよびIKEゲートウェイ)を設定します。 • VPNs > AutoKey Advanced > Gateway 6. [オプション] IKEフェーズ2プロポーザルを作成します。 • VPNs > AutoKey Advanced > P2 Proposal 7. IKEフェーズ2(IPSecポリシーおよびIPSec VPN)を設定します。 • VPNs > AutoKey IKE 8. Trustゾーン~VPN-Chicagoゾーン間にサイト間VPN通信を許可するための セキュリティポリシーを設定します。 • Policy > Policy Elements > Addresses > Lists • Policy > Policies
  91. 91. VPN機能を設定する (1) – セキュリティゾーンの作成 • Untrust / Trust / VPN-Chicagoの各セキュリティゾーンを作成する セキュリティゾーン: “Untrust”, “Trust”, “VPN-Chicago” 作成方法は第2部を参照のこと Network > Zones 設定内容を 確認できたら Commitをクリック
  92. 92. VPN機能を設定する(2) – インタフェースの作成 • ローカル側インタフェース(Trustゾーン)、インターネット側イン タフェース(Untrustゾーン)を作成する Interfaces > List を クリック Sub-IFを選択し、 Newをクリック
  93. 93. VPN機能を設定する(3) – インタフェースの作成 • ローカル側インタフェース(Trustゾーン)を作成する Trustゾーンのインタ フェースとIPアドレ スを入力 入力がおわったらOK ボタンを押す
  94. 94. VPN機能を設定する(4) – インタフェースの作成 • インターネット側インタフェース(Untrustゾーン)を作成する Trustゾーンと同様に Untrustゾーンの インタフェースと IPアドレスを入力 Untrustゾーンの インタフェースでは ”ike”にチェックを 入れること 入力がおわったらOK ボタンを押す
  95. 95. VPN機能を設定する(5) – インタフェースの作成 • トンネルインタフェース(VPN-Chicagoゾーン)を作成する Tunnel IFを選択し、 Newをクリック Interfaces > List
  96. 96. VPN機能を設定する(6) – インタフェースの作成 • トンネルインタフェース(VPN-Chicagoゾーン)を作成する トンネルインタフェースの 論理ユニット番号: “0” トンネルインタフェースのIPアドレス: “10.11.11.10/24” ※ Unnumbered(IPアドレス無し)と して設定することも可能 入力がおわったらOK ボタンを押す トンネルインタフェースの セキュリティゾーン: “VPN-Chicago”
  97. 97. VPN機能を設定する(7) – インタフェースの作成 • インタフェースを作成する VPNに関連する インタフェースが 正しく登録されている ことを確認 Interfaces > List 設定内容を 確認できたら Commitをクリック
  98. 98. VPN機能を設定する(8) – ルーティングの追加 • インターネット宛てのルーティングを追加する Routing > Destination 以下のアドレスオブジェクトを作成 ※作成方法は第2部参照のこと IP/Netmask: 0.0.0.0/0, Gateway: 1.1.1.1
  99. 99. VPN機能を設定する(9) – ルーティングの追加 • リモートサイト宛てのルーティングを追加する Routing > Destination をクリック Newをクリック
  100. 100. VPN機能を設定する(10) – ルーティングの追加 • リモートサイト宛てのルーティングを追加する リモートサイトのIPアドレスプレフィックス: “192.168.168.0/24” 入力がおわったらOK ボタンを押す ネクストホップインタフェース: “st0.0”(トンネルインタフェース)
  101. 101. VPN機能を設定する(11) – ルーティングの追加 • リモートサイト宛てのルーティングを追加する 入力したスタティックルートが 正しく登録されていることを 確認 設定内容を 確認できたら Commitをクリック Routing > Destination
  102. 102. VPN機能を設定する(12) – IKEフェーズ1の設定 • IKE フェーズ1プロポーザルを作成する(Predefined プロポーザル セットを使用する場合は作成不要) VPNs > AutoKey Adavanced > P1 Proposal をクリック Newをクリック
  103. 103. VPN機能を設定する(13) – IKEフェーズ1の設定 • IKE フェーズ1プロポーザルを作成する IKEフェーズ1プロポーザル名: “ike-phase1-proposal” 認証メソッド: “Preshare” (pre-shared-keyを使用) DHグループ: “Group-14” ※ CW4S 1.0ではJunos 12.1X45-D10以 降で追加された group19 / group20 / group24 をサポートしていません。 CLIから設定してください。 暗号化アルゴリズム: “AES-CBC (128bits)” (aes-128-cbc) 認証アルゴリズム: “SHA2_256” (sha-256) ※ CW4S 1.0ではJunos 12.1X45-D10で追加 された sha-384をサポートしていません。 CLIから設定してください。 ライフタイム: “28800” 入力がおわったらOK ボタンを押す
  104. 104. VPN機能を設定する(14) – IKEフェーズ1の設定 • IKE フェーズ1プロポーザルを作成する VPNs > AutoKey Adavanced > P1 Proposal IKE フェーズ1プロポーザルが 追加されていることを確認
  105. 105. VPN機能を設定する(15) – IKEフェーズ1の設定 • IKEフェーズ1(IKEポリシーとIKEゲートウェイ)を設定する VPNs > AutoKey Adavanced > Gateway をクリック Newをクリック
  106. 106. • IKEフェーズ1(IKEポリシーとIKEゲートウェイ)を設定する VPN機能を設定する(16) – IKEフェーズ1の設定 ゲートウェイ名: “gw-chicago” IKEバージョン: ”v1” リモートゲートウェイのIPアドレス: ”2.2.2.2” preshared key: ”395psksecr3t” リモートサイトへのVPN通信が出ていくインタフェース: ” ge-0/0/3.0” IKEフェーズ1プロポーザルセット: ”Custom policy.proposal_set”, “ike-phase1-proposal”
  107. 107. • IKEフェーズ1(IKEポリシーとIKEゲートウェイ)を設定する(つづき) VPN機能を設定する(17) – IKEフェーズ1の設定 動作モード: “Main” 入力がおわったらOK ボタンを押す
  108. 108. • IKEフェーズ1(IKEポリシーとIKEゲートウェイ)設定を確認する VPN機能を設定する(18) – IKEフェーズ1の設定 VPNs > AutoKey Adavanced > Gateway IKE フェーズ1設定が 追加されていることを確認 設定内容を 確認できたら Commitをクリック
  109. 109. VPN機能を設定する(19) – IKEフェーズ2の設定 • IKE フェーズ2プロポーザルを作成する(Predefinedを使用する場合 は作成不要) VPNs > AutoKey Adavanced > P2 Proposal をクリック Newをクリック
  110. 110. VPN機能を設定する(20) – IKEフェーズ2の設定 • IKE フェーズ2プロポーザルを作成する IKEフェーズ2プロポーザル名: ”ipsec-phase2-propsal” プロトコル: “esp” 暗号化アルゴリズム: “AES-CBC(128 Bits)” ※ CW4S 1.0ではJunos 12.1X45-D10で追 加された aes-128-gcm / aes-192-gcm / aes-256-gcmをサポートしていません。CLI から設定してください。 認証アルゴリズム: “SHA2_256(128 Bits)” (hmac-sha-256-128) 入力がおわったらOK ボタンを押す
  111. 111. VPN機能を設定する(21) – IKEフェーズ2の設定 • IKE フェーズ2プロポーザルを作成する IKE フェーズ2プロポーザルセットが 追加されていることを確認 VPNs > AutoKey Adavanced > P2 Proposal
  112. 112. VPN機能を設定する(22) – IKEフェーズ2の設定 • IKEフェーズ2(IPSecポリシーとIPSec VPN)を設定する VPNs > AutoKey IKE をクリック Newをクリック
  113. 113. VPN機能を設定する(23) – IKEフェーズ2の設定 入力がおわったらOK ボタンを押す IPSec VPN名: ”ike-vpn-Chicago” リモートゲートウェイ: ”gw-chicago” (フェーズ1で作成したゲートウェイ) バインドインタフェース: ”st0.0” (トンネルインタフェース) IKEフェーズ2プロポーザルセット: ”Custom policy.proposal_set”, “ipsec-phase2-proposal” Perfect Forward Secrecy: ”DH Group 14” (group14)
  114. 114. VPN機能を設定する(24) – IKEフェーズ2の設定 VPNs > AutoKey IKE IKE フェーズ2設定が 追加されていることを確認 設定内容を 確認できたら Commitをクリック
  115. 115. VPN機能を設定する(25) – セキュリティポリシーの設定 • アドレスブックを作成する Policy > Policy Elements > Addresses > List 以下のアドレスオブジェクトを作成 ※作成方法は第2部参照のこと sunnyvale: 10.10.10.0/24 (Trustゾーン) chicago: 192.168.168.0/24 (VPN-Chicagoゾーン)
  116. 116. VPN機能を設定する(26) – セキュリティポリシーの設定 • Trustゾーン~VPN-Chicagoゾーン間の通信許可ポリシーを作成する Policy > Policies 以下の2つのセキュリティポリシーを作成 ※作成方法は第2部参照のこと From Trust to VPN-Chicago vpn-tr-chi: Src/sunnyvale, Dest/Chicago, Svc/any, Act/Permit From VPN-Chicago to Trust vpn-chi-tr: Src/chicago, Dest/Sunnyvale, Svc/any, Act/Permit 設定内容を 確認できたら Commitをクリック
  117. 117. 第5部:管理機能を利用する
  118. 118. 管理設定 – 時刻設定 時差を設定 (日本であれば、 Asisa/Tokyo) 設定を反映させるため Commitをクリックする Configuration -> Date/Timeを クリック NTPを取得するIF のIPを設定(任意) NTPサーバの IP/FQDNを指定
  119. 119. 管理設定 – 管理ユーザ 既存管理ユーザを変 更する場合は、Edit をクリック 設定を反映させるため Commitをクリックする Configuration -> Admin -> Administratorsを クリック 管理ユーザを追加 する場合には、 Newをクリック
  120. 120. 管理設定 – 管理ユーザの追加 新しい管理ユーザ名 を入力 新しい管理ユーザに、管理 者権限を付与するために super-userをクリック OKをクリック 新しい管理ユーザ用 のパスワードを入力 確認のため、再度パ スワードを入力
  121. 121. 管理設定 – 管理ユーザの追加 設定内容を確認 設定を反映させるため Commitをクリックする
  122. 122. 管理設定 – 管理ユーザの削除 削除したいユーザに 対して、Removeを クリック 設定を反映させるため Commitをクリックする
  123. 123. 管理設定 – SNMPの設定 SNMPレポート の設定(任意) 設定を反映させるため Commitをクリックする SNMPレポートの入力した 場合、Applyをクリック SNMPコミュニティ・ トラップの新規作成す る場合は、New communityをクリック Configuration -> Report setting ->SNMP をクリック
  124. 124. 管理設定 – SNMPの設定 コミュニティ名 を入力 OKをクリック アクセス許可を 指定 SNMPバージョ ンを指定 (V1,V2c,Any)
  125. 125. 管理設定 – SNMPの設定 SNMPトラップの設定 をしない場合は、 Commitをクリック SNMPトラップ のホストを指定 する場合は、 Editをクリック
  126. 126. 管理設定 – SNMPの設定 SNMPトラップのホス トIPを入力 ホストIP入力後、 Addをクリック ホストIPが追加 されたのを確認 ホストIPが追加確認 後、OKをクリック
  127. 127. 管理設定 – SNMPの設定 設定内容を確認 設定を反映させるため Commitをクリックする
  128. 128. 管理設定 – SNMPの設定 Syslogサーバ を入力 設定を反映させるため Commitをクリックする Applyをクリック Configuration -> Report setting - >Syslogをクリック ファシリティレ ベルを選択 Syslogで取得す る重要度を選択 Syslogを出力す るIPを入力

×