So-net無料ブログ作成
スポンサードリンク

SRX300のインターフェース設定メモ [Network]

SRX300のインターフェース設定をした時のメモ。
SRX300はすぐに使用できるインターフェースが6ポート(0/0から0/5)有るが,
インターネット接続する場合は,基本的に0/0がuntrustゾーン,それ以外はtrustゾーンの
設定になるみたい。あとで変更は可能ですが。
工場出荷時のデフォルト設定では,0/0はdhcpクライアントで,0/1から0/5はdhcpサーバとして
動作しているようです。
ただ、何かしら設定をすると変更されるみたいです。

各インターフェースのゾーン設定は,
0/0がuntrustで,0/1から0/5がtrustになっているが,
0/1と0/5間のインターフェースは同じtrustゾーンでも通信が出来ない。
この間で通信するにはL2Switching機能を有効にし,設定がいるみたい。

物理インターフェースの設定(必要な場合)は
root@SRX300# set interfaces ge-0/0/0 speed 100m ← 100M固定(デフォルトはauto)
root@SRX300# set interfaces ge-0/0/0 link-mode full-duplex ← リンクモードフル固定(デフォルトはauto)
root@SRX300# set interfaces ge-0/0/0 gigether-options no-auto-negotiation ← オートネゴシエーション無効(デフォルトはauto)

インターフェースへIPアドレスを設定(IPは仮のIPアドレスです)
・untrust側
root@SRX300# set interfaces ge-0/0/0 unit 0 family inet address 100.100.100.100/24
・trust側
root@SRX300# set interfaces ge-0/0/1 unit 0 family inet address 192.168.100.1/24
・管理ネットワーク側(使用する場合)
root@SRX300# set interfaces ge-0/0/5 unit 0 family inet address 192.168.254.1/24

インターフェースの状態を確認
root@SRX300> show interfaces terse

ゾーン設定
untrustゾーン作成
root@SRX300# set security zones security-zone untrust
trustゾーン作成
root@SRX300# set security zones security-zone trust
管理セグメントゾーン作成(使用する場合)
root@SRX300# set security zones functional-zone management

各ゾーンにインターフェースを割り当てる
untrustゾーンにge-0/0/0を割り当て
root@SRX300# set security zones security-zone untrust interfaces ge-0/0/0
trustゾーンにge-0/0/1を割り当て
root@SRX300# set security zones security-zone untrust interfaces ge-0/0/1
管理セグメントゾーンにge-0/0/5を割り当て
root@SRX300# set security zones functional-zone management interfaces ge-0/0/5

ゾーンの確認
root@SRX300> show security zones

複数の物理インターフェースを1つのゾーンに割り当てし,インターフェース間で通信をする場合。
利用するインターフェースにIPアドレスが設定されている場合は削除する。
L2機能を有効にする
root@SRX300# set protocols l2-learning global-mode switching

VLANを割り当てる
root@SRX300# set vlans VLAN100 vlan-id 100
root@SRX300# set vlans VLAN100 l3-interface irb.100

irbにアドレスを設定
root@SRX300# set interfaces irb unit 100 family inet address 192.168.100.1/24

利用するインターフェースのモードをスイッチングモードへ変更
root@SRX300# set interfaces ge-0/0/1 unit 0 family ethernet-switching
root@SRX300# set interfaces ge-0/0/2 unit 0 family ethernet-switching
利用するインターフェースにVLANを適用
root@SRX300# set interfaces ge-0/0/1 unit 0 family ethernet-switching interfacemode access
root@SRX300# set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 100
root@SRX300# set interfaces ge-0/0/2 unit 0 family ethernet-switching interfacemode access
root@SRX300# set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members 100

irbにゾーンを割り当て
root@SRX300# set security zones security-zone trust interfaces irb.100

本体を再起動する(再起動しないと有効にならない)
root@SRX300> request system reboot

あと同一ゾーン間(trust to trust)のポリシー設定も必要。

SRX300その他設定など [Network]

基本的な本体設定以外で,設定しておいたほうがよさそうな項目のメモ。

タイムゾーン設定
set system time-zone Asia/Tokyo

DNSサーバ設定
set system name-server IPアドレス

SNMP設定
 SNMPで使用するインターフェース
set snmp interface ge-0/0/1.0
 コミュニティ設定
 コミュニティ名:public,許可はリードオンリー
 接続可能なIP:192.168.100.201,192.168.100.202
set snmp community public authorization read-only
set snmp community public clients 192.168.100.201/32
set snmp community public clients 192.168.100.202/32

管理サービス許可設定
set system services ssh
※SRXへssh接続

Web管理許可設定(基本的に管理ネットワークインターフェースに設定。無ければtrust側)
set system services web-management http interface ge-0/0/5.0
set system services web-management https system-generated-certificate
set system services web-management https interface ge-0/0/5.0
set system services web-management session idle-timeout 60

syslog設定
 シスログファイルサイズ10M
set system syslog archive size 10m
 ローテーション数3
set system syslog archive files 3
 ユーザーへメッセージ送信(全てのユーザにemergency以上のログ送信)
set system syslog user * any emergency
 転送先syslogサーバ設定(ファシリティ・Severityのログ全て)
set system syslog host 192.168.100.110 any any
 転送先syslogサーバ設定(ファシリティ設定local1)
set system syslog host 192.168.100.110 facility-override local1
 ファシリティ全て,Severityはcritical以上をmessagesログファイルへ
set system syslog file messages any critical
 認証はinfo以上をmessagesログファイルへ
set system syslog file messages authorization info
 CLIで入力され,エラーとなったものをmessagesログファイルへ
set system syslog file interactive-commands interactive-commands error
 RT_FLOW_SESSION_DENY記述があるログ全てをdenylogファイルへ
set system syslog file denylog any any
set system syslog file denylog match RT_FLOW_SESSION_DENY
 RT_FLOW_SESSION記述があるログ全てをsessionlogファイルへ
set system syslog file sessionlog any any
set system syslog file sessionlog match RT_FLOW_SESSION
 syslogのソースアドレスは192.168.100.1を指定
set system syslog source-address 192.168.100.1

NTPサーバ設定(複数設定可能)
set system ntp server 133.133.133.133
set system ntp server 133.133.133.134
ブート時に利用するNTPサーバ指定
set system ntp boot-server 133.133.133.133

インターフェースに対しての許可プロトコル(サービス・アプリケーション)
 trust側インターフェースge-0/0/1に対し,pingとsshを許可
set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services ping
set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services ssh
※上記だけだと,tracerouteは許可されない。
 Web管理画面を利用する場合
set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services http
set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services https

他にも有るかも。

SRX JUNOS SRX(SRX300)初期設定メモ [Network]

JuniperSRX300初期設定した時のメモ。
PCとSRX300をコンソール接続(Ciscoのコンソールケーブル等)し、正面の電源ボタンを押しSRX300を起動。
PCはTeraTermなどのターミナルソフトを起動し,コンソールケーブルで使用しているCOM番号を選択し接続する。
LAN接続でも設定は可能だが、最初はコンソール接続の方が良さそう。
SRXは起動までに時間が掛かるので,しばらく待つ。
SRX300が起動したら,下記のプロンプト表示がされる。
root%

この状態は殆ど何も出来ないので,CLIを起動する。
root%cli
root@>

設定モードに移行
root@> configure
[edit]
root@#

管理者ユーザrootのパスワードの変更
root@# set system root-authentication plain-text-password
New password:password
Retype new password:password

この場合だと、パスワードは平文なので暗号化する場合は、
root@# set system root-authentication encrypted-password
とすると、show configureで表示してもパスワードはわからない状態となる。

rootユーザをそのまま使い続けるとよろしくないので、その他管理者(root以外)ユーザ作成する。
root@# set system login user username class super-user authentication encrypted-password
New password:password
Retype new password:password

ホスト名の設定
root@# set system host-name SRX300
root@SRX300#

設定の有効化
root@SRX300# commit

この後は、インターフェース、zone、ポリシー設定などが必要。
設定をやり直ししたい場合は、下記を参照する。
http://server-network.blog.so-net.ne.jp/00047

Windows10でWindowsUpdateをすると正常に終わらないときに対応してみた時のメモ [Windows]

Windows10WindowsUpdateは自動的にかつ強制的にされるので、更新プログラムの更新忘れが無く、セキュリティ上好ましいのですが、使っているPCの環境によっては、更新プログラムが正常にインストール出来ず、アンインストールと更新プログラムのインストールを繰り返しされる場合が有る。
更新プログラムによっては再起動が必要な場合も有るので、インストールが正常に終わらない場合は、パソコンが使えるようになるまでに時間が掛かり、最悪起動しなくなる可能性も有る。
KB4054517KB4056892で正常に更新プログラムがインストールできなかったので、その時に対応した方法のメモ。

「Windowsの設定」から「更新とセキュリティ」を開く
「更新プログラムのインストール履歴を表示」をクリックし、
「インストールできませんでした」または「インストールが失敗しました」の
更新プログラムを確認する。
マイクロソフトのサイトから、
「更新プログラムの表示または非表示」トラブルシューティング ツール パッケージ
をダウンロードする。
wushowhide.diagcab」がダウンロードされたら起動する。
「次へ」をクリックすると、問題を検出しますが表示され、
しばらくすると、メニューが出てくるので「Hide updates」をクリックする。
一覧が表示されるので、自動でインストールをしたくない更新プログラムを選択し、
「次へ」をクリック。
で、自動的にインストールはされなくなる。
更新プログラムは手動でインストールすると、インストールが出来る場合が有るので、
Windows Update カタログ で、該当する更新プログラムを検索、ダウンロードしインストールする。

自動更新が出来ない原因はウイルス対策ソフトやインストールされているドライバーなど色々と有るので、個別で調べるしか無い。

terminalなどの操作ログでタイムスタンプを付けたい場合 [その他]

Linuxの作業やネットワーク機器の設定変更などで、操作ログを出力する時にタイムスタンプを付ける方法。
Teratermの場合は
「設定」メニューから「その他の設定」を選択
「ログ」タブを選択し、タイムスタンプにチェックを入れる。
そうすると、Teratermでログ出力をした時にタイムスタンプが追加される。

Linux操作の場合は、
[user@host ~]$ export PS1="[\u@\h \d \t \w]\$ "
とすると、
[user@host Tue Mar 12 20:00:00 ~]$
の表示になる。
この場合はログアウトすると、表示は元に戻るので、
常に表示したい場合は.bashrcファイルに追加すると、都度コマンドを実行しなくても表示される。
$ vi .bashrc
export PS1="[\u@\h \d \t \w]\$ "
ユーザー毎に設定が必要。

実行コマンド前後に、時刻表示をしたい場合は、dateコマンドを前後に入れると良い。
コマンドの開始時刻と終了時刻がわかるようになる。
$ date;ls -alh;date

テキストファイルなどで、コマンド流し込みする場合などに便利かと。
スポンサードリンク
シャンパン酵母エキス