srx ライセンス導入手順...junos...
TRANSCRIPT
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved.
株式会社 日立ソリューションズ ネットワークビジネス部セキュリティグループ
SRX ライセンス導入手順
リビジョン 5.1 初版 2010/05/30 最新版 2014/04/01
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 1
Contents
3. ライセンスキーの自動インポート(インターネット接続必須)
2. ライセンスキーの手動インポート(ライセンスキー必須)
P.11
P.3
4. IDPシグネチャの導入(インターネット接続必須)
P.5
5. AVパターンファイルの更新(インターネット接続必須) P.14
1. ライセンスキーの種別 P.2
【重要】 Junos 11.4以前のOSをご使用の場合、ライセンスキーをインポートする前に、SRX(Junos)に インストールされているソフトウェアライセンス用の証明書をインストールする必要がございます。 詳細は弊社サポートサイトをご確認頂けますようお願い致します。 ※ログインするにはユーザID/パスワードが必要です。
<弊社サポートサイトURL> https://enugi.hitachi-solutions.co.jp/juniper/index.html -Juniper製品サポートトップ > SRX > 重要なお知らせ > SRXシリーズ 証明書インストールのお願い
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 2
1-1 ライセンスキーの種別
■サブスクリプションライセンス(正規版) 利用期間:納入日から1年間単位 導 入 :手動インストール/自動インストールの両方に対応しております。 更 新 :デフォルトで失効日の60日前から毎日ライセンスの自動更新を試みます。 そ の 他 :自動更新の確認はライセンス有効期間がExpireするまで続きます。 また、トライアルライセンスから手動で更新する事が可能です。
機能ライセンス等のライセンスキーには大別して3種類あります。 利用期間や導入方法等に違いがありますので、注意してください。
■サブスクリプションライセンス(トライアル版) 利用期間:取得日から30日間 導 入 :手動インストール/自動インストールの両方に対応しております。 更 新 :正規ライセンスへの手動更新が可能です。 そ の 他 :トライアルライセンスの延長処理はできません。 あくまでも、導入前検証等に利用してください。
■パーマネントライセンス 利用期間:納入日から永続 導 入 :導入方法は手動インストールに限定されます。 更 新 :更新の必要はありません。 そ の 他 :一度導入すれば更新無しで永続利用可能なライセンスです。 代表的なものとしてはDynamicVPNライセンス等があります。
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved.
2-1 ライセンスキーの手動インポート(ライセンスキー必須)
■ ライセンスの確認 root> show system license
License usage:
Licenses Licenses Licenses Expiry
Feature name used installed needed
dynamic-vpn 0 2 0 permanent
ax411-wlan-ap 0 2 0 permanent
Licenses installed: none
■オペレーションモードからライセンスキーをインポート root> request system license add terminal
[Type ^D at a new line to end input,
enter blank line between each license key]
JUNOS236909 aeaqea qmifkt imrqhf aummjt g4zqma j4a4uc
zgeja3 ytzo5o xxnucg mj722n mn6ih5 wvpzdw
pjzmnm wnhear bl5wli pvtckj 6q2fff i
([Ctrl]+[D]キーを押下し貼り付けたライセンスキーをシステムに読み込ませます。) JUNOS236909: successfully added
add license complete (no errors)
◆例: 事前に下記ライセンスキーを入手している場合 (テキストファイルにて提供) JUNOS236909 aeaqea qmifkt imrqhf aummjt g4zqma j4a4uc
zgeja3 ytzo5o xxnucg mj722n mn6ih5 wvpzdw
pjzmnm wnhear bl5wli pvtckj 6q2fff i
※ ライセンスキーは機器のシリアル番号およびライセンス型名ごとに異なります。
機能ライセンス等ライセンスキーを事前に入手している場合、手動でライセンスキーをインポート
することでインターネットへの接続環境を用意することなくライセンスキーのインポートが可能です。
※導入手順は、
サブスクリプションライセンスと
パーマネントライセンスで
違いはありません。
(事前に現在のライセンスインストール状況を確認します。)
(ブランチモデルのデフォルトでは 2つ分のdynamic-vpnライセンスと、
ax411-wlan-apライセンスが最初から導入されております。
これらのデフォルトで導入されているライセンスは、
パーマネントライセンスであり、更新の必要はありません。)
(ライセンスキーをターミナルより貼り付けるモードへ遷移します。)
(ライセンスキーに問題がない場合は no errors と出力されます。)
3
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved.
2-2 ライセンスキーの手動インポート(ライセンスキー必須)
■ ライセンスの再確認 root> show system license
License usage:
Licenses Licenses Licenses Expiry
Feature name used installed needed
idp-sig 0 1 0 2013-08-24 09:00:00 JST
dynamic-vpn 0 2 0 permanent
ax411-wlan-ap 0 2 0 permanent
Licenses installed:
License identifier: <ライセンスID> License version: 2
Valid for device: <装置シリアルナンバー>
Features:
idp-sig - IDP Signature
date-based, 2013-07-25 09:00:00 JST - 2013-08-24 09:00:00 JST
root> show system license keys
JUNOS236909 aeaqea qmifkt imrqhf aummjt g4zqma j4a4uc
zgeja3 ytzo5o xxnucg mj722n mn6ih5 wvpzdw
pjzmnm wnhear bl5wli pvtckj 6q2fff i
■機器の再起動 root> request system reboot
以上でライセンスキーの手動インポートは完了です。
(ライセンスが新たに追加されていることを確認してください。)
(ライセンス有効期間が表示されます。)
(インポートされたライセンスキーが表示されます。)
(ライセンス有効期間がExpireしたものを再導入した場合や、
新規にライセンスを導入した場合は、 必ず再起動を行ってください。)
4
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 5
■ ライセンスの確認 root> show system license
License usage:
Licenses Licenses Licenses Expiry
Feature name used installed needed
dynamic-vpn 0 2 0 permanent
ax411-wlan-ap 0 2 0 permanent
Licenses installed: none
■ コンフィグレーションモードへ移行 root> configure
■ 既存設定の削除 root# delete
This will delete the entire configuration
Delete everything under this level? [yes,no] (no) yes
■インターネットへの接続設定
サブスクリプション (UTMライセンス等の有効期限付きライセンス) における
ライセンスキー取得には、SRXをインターネットへ直接接続するための
環境が必要となります。 (プロキシ経由不可)
(現在インポートされているライセンスを確認可能です。)
(工場出荷時のコンフィグが設定されている場合等、
装置の再設定が必要な場合のみ実施してください。)
(接続環境に合わせて、以降の設定を実施してください。
既にインターネットへの接続環境がある場合は、
3-2.の設定を新たに投入する必要はありません。)
3-1 ライセンスキーの自動インポート(事前準備編)
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 6
3-2 Internetへの接続設定例①(固定IPアドレス)
ge-0/0/0.0
192.168.1.10 / 24
ライセンスキー取得のため、Internet上にあるJuniper社のライセンスサーバへSRXを接続する必要があります。
ライセンスキー取得には、DNS(UDP:53) および https(TCP:443) 通信が行われます。
したがって、これらの通信が上位Router / FWにて許可されていることを確認してください。
DNS
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
SRX240
OpenDNS 1: 208.67.222.222
OpenDNS 2: 208.67.220.220
192.168.1.1 / 24 Global-IP
200.200.200.10
UNTRUST
Router
■固定IPアドレス, DNSサーバ, Default Gateway設定例 root#
set system time-zone Asia/Tokyo
set system name-server 208.67.222.222
set system name-server 208.67.220.220
set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.10/24
set routing-options static route 0.0.0.0/0 next-hop 192.168.1.1
set security zones security-zone UNTRUST interfaces ge-0/0/0.0
※ SRX100の場合、10/100 MbpsのInterfaceのみを実装しているため、Interface名は fe-0/0/0 となります。
Internet
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 7
3-2 Internetへの接続設定例②(DHCPクライアント)
0 1 2 3 4 5 6 7
SRX210
ge-0/0/0.0
DHCP Client
ライセンスキー取得のため、Internet上にあるJuniper社のライセンスサーバへSRXを接続する必要があります。
ライセンスキー取得には、DNS(UDP:53) および https(TCP:443) 通信が行われます。
したがって、これらの通信が上位Router / FWにて許可されていることを確認してください。
DNS
OpenDNS 1: 208.67.222.222
OpenDNS 2: 208.67.220.220
192.168.1.1 / 24 Global-IP
200.200.200.10
UNTRUST
DHCP Server
■DHCPクライアントIPアドレス取得, DNSサーバ設定例 root#
set system time-zone Asia/Tokyo
set system name-server 208.67.222.222
set system name-server 208.67.220.220
set interfaces ge-0/0/0 unit 0 family inet dhcp
set security zones security-zone UNTRUST interfaces ge-0/0/0.0 host-inbound-traffic system-services dhcp
※ SRX100の場合、10/100 MbpsのInterfaceのみを実装しているため、Interface名は fe-0/0/0 となります。
Internet
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 8
3-2 Internetへの接続設定例③(PPPoEクライアント)
■PPPoEクライアントIPアドレス取得, DNSサーバ設定例 root#
set system time-zone Asia/Tokyo
set system name-server 208.67.222.222
set system name-server 208.67.220.220
set interfaces fe-0/0/0 unit 0 encapsulation ppp-over-ether
set interfaces pp0 unit 0 ppp-options chap default-chap-secret "Juniper"
set interfaces pp0 unit 0 ppp-options chap local-name "[email protected]"
set interfaces pp0 unit 0 ppp-options chap passive
set interfaces pp0 unit 0 ppp-options pap local-name "[email protected]"
set interfaces pp0 unit 0 ppp-options pap local-password "Juniper"
set interfaces pp0 unit 0 ppp-options pap passive
set interfaces pp0 unit 0 pppoe-options underlying-interface fe-0/0/0.0
set interfaces pp0 unit 0 pppoe-options auto-reconnect 10
set interfaces pp0 unit 0 pppoe-options client
set interfaces pp0 unit 0 family inet mtu 1454
set interfaces pp0 unit 0 family inet negotiate-address
set routing-options static route 0.0.0.0/0 next-hop pp0.0
set security zones security-zone UNTRUST interfaces pp0.0
set security flow tcp-mss all-tcp mss 1414
※ SRX100以外の場合、10/100/1000 MbpsのInterfaceを実装しているため、Interface名は ge-0/0/0 となります。
0 1 2 3 4 5 6 7 SRX100
fe-0/0/0.0
PPPoE Client
DNS
OpenDNS 1: 208.67.222.222
OpenDNS 2: 208.67.220.220
Global-IP
UNTRUST
◆例: PPPoE設定
UserID: [email protected]
Password: Juniper
■PAP/CHAP認証設定
PAP認証またはCHAP認証のどちらを使用しているかが事前に判明している場合はいずれか片方の設定のみでPPPoE接続可能です。
(Passwordはハッシュされます。)
(Passwordはハッシュされます。)
Internet
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 9
3-3 ライセンスキーの自動インポート(設定確認/インストール編)
■root権限のパスワード設定 root# set system root-authentication plain-text-password
New password: *****
Retype new password: *****
■設定の反映 root# commit
■オペレーションモードへ移行 root# exit
■InterfaceのIPアドレス確認, Default Gateway確認 root> show interfaces terse | no-more
root> show route terse | no-more
■ライセンスキーの取得 root> request system license update trial
Request to automatically update license keys from https://ae1.juniper.net has been sent,
use 'show system license' to check status.
(commitするために必要です。)
<rootログインパスワード>
<rootログインパスワード(確認用)>
(付与もしくは取得したIPアドレスが適切なことを確認してください。)
(0.0.0.0/0 エントリの Next hop が Default Gateway となります。)
トライアル版のライセンスが必要な場合のみ、 trialオプションを設定してください。
サブスクリプション (UTMライセンス等の有効期限付きライセンス) における
ライセンスキー取得には、SRXをインターネットへ直接接続するための
環境が必要となります。 (プロキシ経由不可)
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 10
3-3 ライセンスキーの自動インポート(インストール確認/適用編)
■ ライセンスの再確認 root> show system license
License usage:
Licenses Licenses Licenses Expiry
Feature name used installed needed
idp-sig 0 1 0 2013-08-24 09:00:00 JST
dynamic-vpn 0 2 0 permanent
ax411-wlan-ap 0 2 0 permanent
Licenses installed:
License identifier: <ライセンスID> License version: 2
Valid for device: <装置シリアルナンバー>
Features:
idp-sig - IDP Signature
date-based, 2013-07-25 09:00:00 JST - 2013-08-24 09:00:00 JST
root> show system license keys
JUNOS236909 aeaqea qmifkt imrqhf aummjt g4zqma j4a4uc
zgeja3 ytzo5o xxnucg mj722n mn6ih5 wvpzdw
pjzmnm wnhear bl5wli pvtckj 6q2fff i
■機器の再起動 root> request system reboot
以上でライセンスキーの自動インポートは完了です。
(ライセンスが新たに追加されていることを確認してください。)
(ライセンス有効期間が表示されます。)
(インポートされたライセンスキーが表示されます。)
(ライセンス有効期間がExpireしたものを再導入した場合や、
新規にライセンスを導入した場合は、 必ず再起動を行ってください。)
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 11
4-1 IDPシグネチャの導入(ダウンロード編) (インターネット接続必須)
IDPシグネチャ導入のため、Internet上にあるシグネチャの
ダウンロードサーバへSRXを接続する必要がございます。
以降の解説はライセンスサーバへの通信が可能であるという前提で記載致します。
■シグネチャのダウンロード パッケージのダウンロードコマンド: root> request security idp security-package download full-update
ダウンロード状況の確認コマンド: root> request security idp security-package download status
(出力例)
Done;Successfully downloaded from(https://services.netscreen.com/cgi-bin/index.cgi)
and synchronized to backup.
Version info:2011(Mon Oct 17 15:13:06 2011, Detector=11.6.140110920)
"Done;Successfully downloaded"と表示されれば
ダウンロード完了です。
初回導入時のみ、 full-updateオプションを設定してください。 2回目以降(アップデート時や再導入時) ならば、 本オプションを設定する必要はありません。
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 12
4-2 IDPシグネチャの導入(インストール編)
■セキュリティパッケージのインストール
下記コマンドを実行して、セキュリティパッケージのインストールを行います。
インストールはバックグラウンドで進行するので、インストール状況の確認はコマンドの実行が必要です。
パッケージのインストールコマンド: root> request security idp security-package install
インストール状況の確認コマンド: root> request security idp security-package install status
(出力例) Done;Attack DB update : successful - [UpdateNumber=1985,
ExportDate=Fri Sep 2 10:14:29 2011,Detector=11.6.160110809]
Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found.
■インストールされたシグネチャバージョンの確認 root> show security idp security-package-version
Attack database version:1985(Fri Sep 2 10:14:29 2011)
Detector version :11.6.160110809
Policy template version :N/A
コマンド実行からインストール完了まで、
10分程度の時間がかかります。
"Done;Attack DB update : successful“
と表示されればインストール完了ですので、
状況を確認しつつお待ちください。
以上でシグネチャの導入作業は完了です。
シグネチャのインストール時に装置負荷が上昇します。
比較的装置負荷の少ない深夜帯等の時間帯にインストールする事を推奨致します。
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 13
4-3 IDPシグネチャの導入(自動更新編) (インターネット接続必須)
以上でシグネチャの自動更新設定は完了です。
IDPシグネチャ更新のため、Internet上にあるシグネチャの
ダウンロードサーバへSRXを接続する必要がございます。
以降の解説はライセンスサーバへの通信が可能であるという前提で記載致します。
本設定を有効化する事で、
IDPシグネチャのダウンロードとインストール(更新)が自動化されます。
尚、IDPシグネチャの更新は平均して週に2~3回程度ですので、
お客様の運用形態に沿った更新間隔をご設定頂けますようお願い致します。
■シグネチャの自動更新設定 root#set security idp security-package automatic interval 48 start-time 08-02.23:00
■シグネチャ自動更新の有効化 root# set security idp security-package automatic enable
■シグネチャ更新設定完了 root# commit
サンプルは2日に一度の更新設定です。 (48時間のインターバル)
自動更新の開始時刻です。 (サンプルは8/2のPM23時に開始します。)
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 14
5-1 AVパターンファイルの更新 (インターネット接続必須)
Anti-Virusライセンスの導入後は、パターンファイル更新の為に、
Internet上にあるJuniper社のサーバへSRXを接続する必要がございます。
以降の解説はJuniper社のサーバへの通信が可能であるという前提で記載致します。
■パターンファイル自動更新の設定 root# set security utm feature-profile anti-virus kaspersky-lab-engine pattern-update interval 120
■パターンファイル設定完了 root# commit
■Anti-Virusライセンスの状態確認 root> show security utm anti-virus status
UTM anti-virus status:
Anti-virus key expire date: 2012-12-30 09:00:00
Update server: http://update.juniper-updates.net/AV/SRX550/
Interval: 120 minutes
Pattern update status: next update in 30 minutes
Last result: already have latest database
Anti-virus signature version: 09/02/2013 00:41 GMT, virus records: 567926
Anti-virus signature compiler version: N/A
Scan engine type: kaspersky-lab-engine
Scan engine information: last action result: No error(0x00000000)
■パターンファイルの手動更新 root> request security utm anti-virus kaspersky-lab-engine pattern-update
(初回導入時等、任意のタイミングでパターンファイルの更新を行いたい場合はこちらのコマンドを実行してください。)
以上でAVパターンファイルの設定は完了です。
(サンプルは120分毎に1回のパターンファイル更新の設定です。
デフォルトでは、60分毎に1回のパターンファイル更新が行われます。
AVパターンファイルのアップデートは、平均して1日に1回程度ですが、
お客様の運用形態に沿った更新間隔の設定をお願い致します。
この際、短すぎる時間を指定すると、
サーバと装置に極端な負荷がかかりますので、その点をご注意ください。)
(ライセンス有効期限が記載されています。)
(設定された更新間隔が記載されています。)
(次回更新タイミングが記載されています。)
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved.
株式会社 日立ソリューションズ ネットワークビジネス部 セキュリティグループ E-mail: [email protected]
SRX ライセンス導入手順
END
・本資料中の会社名、商品名は各社の商標及び登録商標です。 ・本文中および図中では、TMマーク、(R)マークは表記しておりません。