So-net無料ブログ作成
スポンサードリンク

SRX JUNOS SRX(SRX300)初期設定メモ [Network]

JuniperSRX300初期設定した時のメモ。
PCとSRX300をコンソール接続(Ciscoのコンソールケーブル等)し、正面の電源ボタンを押しSRX300を起動。
PCはTeraTermなどのターミナルソフトを起動し,コンソールケーブルで使用しているCOM番号を選択し接続する。
LAN接続でも設定は可能だが、最初はコンソール接続の方が良さそう。
SRXは起動までに時間が掛かるので,しばらく待つ。
SRX300が起動したら,下記のプロンプト表示がされる。
root%

この状態は殆ど何も出来ないので,CLIを起動する。
root%cli
root@>

設定モードに移行
root@> configure
[edit]
root@#

管理者ユーザrootのパスワードの変更
root@# set system root-authentication plain-text-password
New password:password
Retype new password:password

この場合だと、パスワードは平文なので暗号化する場合は、
root@# set system root-authentication encrypted-password
とすると、show configureで表示してもパスワードはわからない状態となる。

rootユーザをそのまま使い続けるとよろしくないので、その他管理者(root以外)ユーザ作成する。
root@# set system login user username class super-user authentication encrypted-password
New password:password
Retype new password:password

ホスト名の設定
root@# set system host-name SRX300
root@SRX300#

設定の有効化
root@SRX300# commit

この後は、インターフェース、zone、ポリシー設定などが必要。
設定をやり直ししたい場合は、下記を参照する。
http://server-network.blog.so-net.ne.jp/00047

Windows10でWindowsUpdateをすると正常に終わらないときに対応してみた時のメモ [Windows]

Windows10WindowsUpdateは自動的にかつ強制的にされるので、更新プログラムの更新忘れが無く、セキュリティ上好ましいのですが、使っているPCの環境によっては、更新プログラムが正常にインストール出来ず、アンインストールと更新プログラムのインストールを繰り返しされる場合が有る。
更新プログラムによっては再起動が必要な場合も有るので、インストールが正常に終わらない場合は、パソコンが使えるようになるまでに時間が掛かり、最悪起動しなくなる可能性も有る。
KB4054517KB4056892で正常に更新プログラムがインストールできなかったので、その時に対応した方法のメモ。

「Windowsの設定」から「更新とセキュリティ」を開く
「更新プログラムのインストール履歴を表示」をクリックし、
「インストールできませんでした」または「インストールが失敗しました」の
更新プログラムを確認する。
マイクロソフトのサイトから、
「更新プログラムの表示または非表示」トラブルシューティング ツール パッケージ
をダウンロードする。
wushowhide.diagcab」がダウンロードされたら起動する。
「次へ」をクリックすると、問題を検出しますが表示され、
しばらくすると、メニューが出てくるので「Hide updates」をクリックする。
一覧が表示されるので、自動でインストールをしたくない更新プログラムを選択し、
「次へ」をクリック。
で、自動的にインストールはされなくなる。
更新プログラムは手動でインストールすると、インストールが出来る場合が有るので、
Windows Update カタログ で、該当する更新プログラムを検索、ダウンロードしインストールする。

自動更新が出来ない原因はウイルス対策ソフトやインストールされているドライバーなど色々と有るので、個別で調べるしか無い。

terminalなどの操作ログでタイムスタンプを付けたい場合 [その他]

Linuxの作業やネットワーク機器の設定変更などで、操作ログを出力する時にタイムスタンプを付ける方法。
Teratermの場合は
「設定」メニューから「その他の設定」を選択
「ログ」タブを選択し、タイムスタンプにチェックを入れる。
そうすると、Teratermでログ出力をした時にタイムスタンプが追加される。

Linux操作の場合は、
[user@host ~]$ export PS1="[\u@\h \d \t \w]\$ "
とすると、
[user@host Tue Mar 12 20:00:00 ~]$
の表示になる。
この場合はログアウトすると、表示は元に戻るので、
常に表示したい場合は.bashrcファイルに追加すると、都度コマンドを実行しなくても表示される。
$ vi .bashrc
export PS1="[\u@\h \d \t \w]\$ "
ユーザー毎に設定が必要。

実行コマンド前後に、時刻表示をしたい場合は、dateコマンドを前後に入れると良い。
コマンドの開始時刻と終了時刻がわかるようになる。
$ date;ls -alh;date

テキストファイルなどで、コマンド流し込みする場合などに便利かと。

SRX JUNOS showコマンドメモ [Network]

SRXでよく利用するshowコマンドのメモ。
showコマンドは基本的にオペレーションモードで実行する。
コンフィグレーションモードで使用するshowコマンドとオペレーションモードで実行するshowコマンドは違う。
コンフィグレーションモードでオペレーションモードのshowコマンド結果を出したい場合は、最初にrunを付けると実行可能。
コンフィグレーションモードでconfig表示をする場合。
# run show configuration

・arpテーブル表示
> show arp

・ハードウェアの環境状態表示
> show chassis environment

・ハードウェア情報表示(シリアルナンバーなど)
> show chassis hardware

・RE(ルーティングエンジン)の状態を表示(CPU・メモリなど)
> show chassis routing-engine

・稼働時間表示
> show uptime

・ユーザのログイン状況表示
> show users

・システムアラーム表示
> show alarms

・JUNOSバージョン表示
> show version

・インターフェース状態表示
> show interfaces

・インターフェース簡易表示
> show interfaces terse

・MACアドレス表示(SwitchMode時のみ)
> show ethernet-switching table

・ルーティングテーブル(経路情報)表示
> show route

・config表示
> show configuration

・configの非階層表示
> show configuration | display set

・configの非階層表示かつ画面停止無し表示
> show configuration | display set | no-more

・configのFTPサーバ転送
> show configuration | display set | save ftp://username@ftpサーバ/srx-config.cfg

・messagesログ表示
> show log messages

・messagesログの最後から指定した行数を表示(例は100行の場合)
> show log messages | last 100

とりあえず、こんな感じかな。

NAT設定をしている環境のFirewallの入替えをしたけど、インターフェース以外のIPアドレスの通信ができなかった時の対応メモ [Network]

NAT設定をしている環境のFirewallをSRXへ入替えしたけど、物理接続しているインターフェースは通信できるが、グローバルIPアドレスを割り当てているサーバが外部との通信できなかった時に対応したときのメモ。

FirewallをジュニパーのSRX300へ入替えしたけど、接続したインターフェースとそのゲートウェイへのping疎通は問題なしだが、グローバルIPアドレスを割り当てているサーバが外部と通信できない。
SRXと各サーバのping疎通はOKなので、物理的には問題は無さそう。
検証環境では正常に動作しているのを確認しているので、ポリシーなどの設定にも問題は無さそう。
SRXを再起動(電源オフ・オン)や、LANケーブル抜き差ししてみたが変化無し。
Firewallを元に戻すと通信は正常になる。

接続先の上位NW機器のarp情報が更新されていない可能性が有るため、SRXのproxyarp設定を削除し、インターフェースのIPアドレスを通信が必要なグローバルIPアドレスを設定・反映、ping疎通確認後、設定を元に戻すと、実行したグローバルIPアドレスを割り当てているサーバと外部との通信が出来るようになった。
これで通信が確認できたため他のサーバ分も同様に実施し、無事全サーバが外部との通信可能になった。
以下は作業例です。
・proxyarpの削除
# delete security nat proxy-arp interface ge-0/0/0.0 address 200.200.200.10/32 to 200.200.200.20/32
・interface設定
# set interfaces ge-0/0/0 unit 0 family inet address 200.200.200.10/24
・ping疎通確認(オペレーションモードに戻すのは手間なため、コンフィグレーションモードで実行)
# run ping 200.200.200.1
・interface設定
# set interfaces ge-0/0/0 unit 0 family inet address 200.200.200.11/24
・ping疎通確認
# run ping 200.200.200.1
以下必要分繰り返し
・設定を戻す
・interface設定
# set interfaces ge-0/0/0 unit 0 family inet address 200.200.200.2/24
・proxyarpの設定
# set security nat proxy-arp interface ge-0/0/0.0 address 200.200.200.10/32 to 200.200.200.20/32

上位NW機器のarp情報を更新するのに、インターフェースからgarp(Gratuitous ARP)送信が必要だけど、物理的に接続されていないproxyarp設定されているものは送信出来ないので、上位NW機器のarp情報保持有効期限が切れるのを待つか、上位NW機器のarp情報をクリアすれば問題なく通信は可能になると思うけど、諸事情で両方共出来ない場合は、インターフェースのIPアドレスを変更し強制的にarp更新するのが早いかもしれませんね。
スポンサードリンク
シャンパン酵母エキス