SSG to SRX Migration
ScreenOS から Junos OS へのマイグレーションガイド
2018年6月
本資料は、SSG(ScreenOS)と SRXシリーズ(Junos OS)の設
定の違いおよび、基本的な Junos OS CLI の操作を説明してい
ますので、 SRX マイグレーションガイドとしてご利用ください。
各機能の詳細は、ユーザガイドなどをご参照ください。
第1章: 設定の基礎
第2章: 基本オペレーション
第3章: 管理設定
第4章: ゾーン / ルーティング
第5章: オブジェクト
第6章: セキュリティポリシー
第7章: NAT
第8章: IPsec
第9章: HA(High Availability)
目次
P. 4
P. 15
P. 31
P. 45
P. 62
P. 71
P. 92
P. 121
P. 138
第1章: 設定の基礎
1-1.Junos OS のモード
1-2.SSG と SRX 基本的なコマンドの違い
1-3.設定ファイルの仕組み
1-4.設定操作の基本コマンド
1-1.Junos OS のモード(1/2)
SRX(Junos OS)の CLI モードについて
行う操作や設定によってモードを切り替えて利用
• シェルモード (※通常は使用しない)
基盤システムの操作を行うモード(Unix コマンド)
• Junos OS のオペレーショナルモード
機器動作のステータス確認や操作を
行うモード
• Junos OS のコンフィグレーションモード
機器の設定を行うモード
FreeBSD
基盤オペレーティング システム Configuration mode # Operational mode > Shell mode % ・ 各ステータスの表示 ・ ping、traceroute、telnet ・ デバッグ ・ OS アップグレード ・ リブート、シャットダウン ・ 時計の操作 ・ システム設定 ・ インタフェース設定 ・ ルーティング設定 > configure % cliJunos OS の CLI モードの遷移
exit exit1-1.Junos OS のモード(2/2)
root ユーザでログインした場合はシェルモードから開始
root ユーザ以外でログインした場合はオペレーショナルモードから開始
SRX300 (ttyu0) login: root Password: password--- JUNOS 15.1X49-D130.6 built 2018-03-04 17:25:09 UTC root@SRX300%
root@SRX300% cli root@SRX300>
root@SRX300> configure Entering configuration mode root@SRX300#
root@SRX300# exit
Exiting configuration mode root@SRX300> root@SRX300> exit root@SRX300% root@SRX300% exit logout
シェルモード (root ユーザはこのモードにログイン)
オペレーショナルモード (root ユーザ以外はこのモードにログイン)
コンフィグレーションモード
1-2.SSG と SRX 基本的なコマンドの違い
SSG と SRX の基本的なコマンドの違い
操作
SSG(ScreenOS)
SRX(Junos OS)
設定
set
set
削除
unset
delete
設定の確定
即反映 *
commit
保存
save
commit
確認コマンド
get
show
* commit 相当のコマンド無し1-3.設定ファイルの仕組み(1/4)
SSG は設定後すぐコマンドが反映
SRX は設定後 commit を使用してコマンドを反映
•
SSG
config の確認
-
設定コマンドによって設定を config に反映
-
稼働中の設定ファイル
-
機器の電源断時に消去
saved config の確認
-
save コマンドによって稼働中の設定ファイルをフラッシュ領域に保存
-
機器の電源断時においても保持
SSG5-> get config1-3.設定ファイルの仕組み(2/4)
SRX 設定の反映動作
•
SRX
-
コンフィグレーションモードにて任意の設定を実行 (Candidate Config の編集)
-
commit で設定を反映 (Active Config の確定)
root@SRX300# set configuration-command
root@SRX300# commit commit complete
設定コマンド CandidateConfig ConfigActive
# commit
# show > show configuration
反映処理後に出力
1-3.設定ファイルの仕組み(3/4)
•
SRX
Candidate Config (候補設定) の確認
-
編集中の設定ファイル
-
設定コマンドによって設定を Candidate Config に反映
Active Config (稼働設定) の確認
-
commit で確定された稼働中の設定
root@SRX300# showroot@SRX300> show configuration root@SRX300# run show configuration
1-3.設定ファイルの仕組み(4/4)
SRX は変更前のコンフィグが自動でバックアップ
設定を機器の再起動をせずにバックアップから復元することが可能
•
SRX
-
設定の復元 (rollback)
root@SRX300# rollback rollback-number root@SRX300# commit
> show system rollback rollback-number Candidate Config Active Config # commit rollback 1
1-4.設定操作の基本コマンド(1/2)
SRX 設定の操作オプション
•
SRX
-
Active Config と Candidate Config の差分の確認 (compare)
-
Candidate Config の構文エラーの確認 (check)
-
設定ファイルを set 形式で表示 (display set)
-
設定ファイルの連続表示 (no-more)
root@SRX300# show | compare
root@SRX300# commit check
root@SRX300# show | display set
root@SRX300# show | no-more
1-4.設定操作の基本コマンド(2/2)
SRX 設定 その他のコマンド
•
SRX
-
コンフィグレーションモードにおけるオペレーショナルモードのコマンドの実行 (run)
-
特定の設定の無効化 (deactivate)
-
無効化された設定の有効化 (activate)
root@SRX300# activate configuration-command root@SRX300# run operational-mode-command
第2章: 基本オペレーション
2-1.初期化・シャットダウン手順
2-2.設定のバックアップ・リストア
2-3.レスキュー設定
2-4.OS アップグレード
2-5.パスワードリカバリー手順
アジェンダ
2-1.初期化・シャットダウン手順(1/3)
SSG はコンフィグを削除し再起動することで初期化
SRX はデフォルトのコンフィグを読み込むことで初期化
•
SSG
SSG5-> unset all
Erase all system config, are you sure? y/[n] y SSG5-> reset
Configuration modified, save? [y]/n n System reset, are you sure? y/[n] y In reset ...
2-1.初期化・シャットダウン手順(2/3)
•
SRX
初期化は削除したいデータに応じて選択可能(3通り)
-
工場集荷時の設定をロード
-
ユーザ作成データを削除
-
USB メモリやコンパクトフラッシュからフォーマット(全データ削除)
root@SRX300# load factory-default
warning: activating factory configuration [edit]
root@SRX300# set system root-authentication plain-text-password New password: password
Retype new password: password
root@SRX300> request system zeroize
warning: System will be rebooted and may not boot without configuration Erase all data, including configuration and log files? [yes,no] (no) yes
2-1.初期化・シャットダウン手順(3/3)
SSG は電源オフで直接システムを停止(コマンドなし)
SRX はコマンドでシステムを停止
•
SSG
-
(SSG5 の場合)
電源ボタンがないため電源ケーブルを抜線することでシステムを停止
•
SRX
-
システム停止および電源オフ
-
システム停止
root@SRX300> request system power-off Power Off the system ? [yes,no] (no) yes Shutdown NOW!
root@SRX300> request system halt Halt the system ? [yes,no] (no) yes
snip
---The operating system has halted. Please press any key to reboot.
2-2.設定のバックアップ・リストア(1/6)
SSG はターミナルにコンフィグを直接コピー & ペーストすることでロード
SRX は load コマンド実行後に直接コピー & ペーストすることでロード
ロードするコンフィグの形式によって選択が可能 (ツリー形式、set 形式)
•
SRX
ツリー形式
-
ロード開始の準備
-
コンフィグのロード(Ctrl + D で確定、 Ctrl + C でキャンセル)
-
設定を commit
root@SRX300# load override terminal [Type ^D at a new line to end input]
root@SRX300# commit commit complete
2-2.設定のバックアップ・リストア(2/6)
•
SRX
set 形式
-
コンフィグの削除
-
ロード開始の準備
-
コンフィグのロード(Ctrl + D で確定、 Ctrl + C でキャンセル)
-
設定を commit
root@SRX300# load set terminal
[Type ^D at a new line to end input]
root@SRX300# commit commit complete root@SRX300# delete
This will delete the entire configuration
2-2.設定のバックアップ・リストア(3/6)
SRX は設定ファイルのローカル保存およびロードが可能
•
SRX
-
設定ファイルの保存
-
設定ファイルの確認
-
設定ファイルのロード
root@SRX300# save filename
root@SRX300# load override filename root@SRX300# commit
root@SRX300# run file list detail /cf/root/:
total blocks: 36
-rw-r--r-- 1 root wheel 361 Mar 4 17:58 .cshrc -rw-r--r-- 1 root wheel 1090 Mar 4 17:58 .login -rw-r--r-- 1 root wheel 215 Mar 4 17:58 .profile -rw-r--r-- 1 root wheel 6962 May 22 16:01 SRX300.cfg total files: 4
2-2.設定のバックアップ・リストア(4/6)
SSG は TFTP サーバへコンフィグをバックアップ
SRX は FTP サーバ等へコンフィグをバックアップ
•
SSG
•
SRX
-
ツリー形式のコンフィグバックアップ
-
set 形式のコンフィグバックアップ
root@SRX300# save ftp://user-name:password@ip-address/filename
root@SRX300# show | display set | save ftp://user-name:password@ip-address/filename SSG5-> save config to tftp ip-address filename
SSG は TFTP サーバからコンフィグを一旦コンパクトフラッシュに読み込み
再起動することでリストア
SRX は FTP サーバ等から再起動せずリストア可能
•
SSG
-
TFTP サーバからのコピー
-
再起動
2-2.設定のバックアップ・リストア(5/6)
SSG5-> save config from tftp ip-address filename to flash
SSG5-> reset
System reset, are you sure? y/[n] y In reset ...
2-2.設定のバックアップ・リストア(6/6)
•
SRX
-
FTP サーバからのコピー
-
コンフィグのリストア
- ツリー形式のコンフィグのリストア
- set 形式のコンフィグのリストア
root@SRX300# load set filename root@SRX300# commit
root@SRX300# load override filename root@SRX300# commit
root@SRX300> ftp ip-address
220 3Com 3CDaemon FTP Server Version 2.0 Name (10.1.1.1:root): user-name
331 User name ok, need password Password: password
230 User logged in
Remote system type is UNIX.
Using binary mode to transfer files. ftp> get filename
2-3.レスキュー設定
SSG はレスキューコンフィグのリストア時に再起動が必要
SRX は再起動なしでリストア可能
•
SSG
-
レスキューコンフィグの作成
-
レスキューコンフィグの状態へリストア
•
SRX
-
レスキューコンフィグの作成
-
レスキューコンフィグの状態へリストア
root@SRX300> request system configuration rescue save
root@SRX300# rollback rescue root@SRX300# commit
SSG5-> save config to last-known-good
2-4.OS アップグレード
SSG は TFTP サーバ経由で OS をアップグレード
SRX はローカルファイルや FTP サーバ経由で OS をアップグレード
•
SSG
•
SRX
-
ローカルファイルでの OS アップグレード
-
FTP サーバより直接 OS アップグレード
root@SRX300> request system software add directory/filename
root@SRX300> request system software add ftp://user-name:password@ip-address/filename SSG5-> save software from tftp ip-address filename to flash
2-5.パスワードリカバリー手順(1/3)
SSG はパスワードのみのリカバリーが不可のためコンフィグ初期化が必要
SRX は root ユーザのパスワード初期化が可能
•
SSG
-
以下いずれかの方法でコンフィグ初期化
- リカバリーピンホールを押しながら電源を入れる
- ユーザ名、パスワード共にシリアル番号を入力
2-5.パスワードリカバリー手順(2/3)
•
SRX
-
機器起動中に以下を実行
snip
---/kernel data=0xba0974+0x152ba4 syms=[0x4+0xa0810+0x4+0xf0441] Hit [Enter] to boot immediately, or space bar for command prompt. Booting [/kernel] in 1 second...
Type '?' for a list of commands, 'help' for more detailed help. loader> boot -s
Kernel entry at 0x801000c0 ...
snip
---System watchdog timer disabled
Enter full pathname of shell or ‘recovery’ for root password recovery or RETURN for /bin/sh:
recovery
Performing system setup ...
スペースキーを押下
シングルユーザモードでブート
•
SRX
(続き)
2-5.パスワードリカバリー手順(3/3)
snip
---Starting CLI ...
root@SRX300> configure Entering configuration mode [edit]
root@SRX300> set system root-authentication plain-text-password New password:
Retype new password: [edit]
root# commit commit complete [edit]
root# exit
Exiting configuration mode root> exit
Reboot the system? [y/n] y
Configuration モードへ
新しいパスワードを 2回入力
設定を commit
第3章: 管理設定
3-1.管理アカウントの設定
3-2.初期設定
3-3.IP アドレス設定
3-4.ログ設定
3-5.NTP
3-6.SNMP
アジェンダ
3-1.管理アカウントの設定(1/2)
SSG と SRX は共に管理者アカウントとしてデフォルトのユーザが存在
•
SSG
-
ユーザ名:netscreen パスワード:netscreen
-
以下のコマンドでユーザ名、パスワードの変更が可能
•
SRX
-
ユーザ名:root パスワード:なし
-
以下のコマンドでパスワードを設定
SSG5-> set admin name user-name SSG5-> set admin password password
root@SRX300# set system root-authentication plain-text-password New password: password
3-1.管理アカウントの設定(2/2)
SSG は 2つの権限が設定可能
SRX はクラスを使い権限の割り当てが可能
•
SSG
•
SRX
-
デフォルトで 4つのクラス(operator、read-only、super-user、unauthorized)
SSG5-> set admin user user-name password password privilege [all | read-only]
root@SRX300# set system login user user-name class class-name authentication plain-text-password
New password: password
3-2.初期設定(1/2)
SSG はホスト名、タイムゾーン、サマータイム、時間を設定
SRX はホスト名、タイムゾーン、時間を設定
•
SSG
•
SRX
SSG5-> set hostname host-name SSG5-> set clock timezone 9 SSG5-> set clock dst-off
SSG5-> set clock mm/dd/yyyy hh:mm:ss
root@SRX300# set system host-name host-name root@SRX300# set system time-zone Asia/Tokyo root@SRX300# run set date YYYYMMDDhhmm.ss
3-2.初期設定(2/2)
時間設定の確認
•
SSG
•
SRX
SSG5-> get clock
Date 11/21/2013 11:27:15, Daylight Saving Time disabled The Network Time Protocol is Disabled
Up 14 hours 24 minutes 8 seconds Since 20Nov2013:21:03:07 1385033235.948425 seconds since 1/1/1970 0:0:0 GMT
GMT time zone area 9:00 GMT time zone offset -9:00
root@SRX300> show system uptime
Current time: 2018-05-25 09:06:36 UTC Time Source: LOCAL CLOCK
System booted: 2018-05-17 15:19:33 UTC (1w0d 17:47 ago) Protocols started: 2018-05-17 15:19:33 UTC (1w0d 17:47 ago) Last configured: 2018-05-21 17:24:04 UTC (3d 15:42 ago) by root
3-3.IP アドレス設定(1/3)
SRX のポートは L2 と L3 の 2種類
IP アドレスを設定するポートに L2 が設定されている場合は削除が必要
(SSG のブリッジグループに類似)
•
SRX
-
ポートの状態の確認
-
L2 設定の削除
root@SRX300> show interfaces terse
Interface Admin Link Proto Local Remote ge-0/0/1 up up ge-0/0/1.0 up up eth-switch ge-0/0/2 up up ge-0/0/2.0 up up inet 10.1.1.254/24
L2 設定
L3 設定
3-3.IP アドレス設定(2/3)
SSG はインタフェースと IP アドレスを設定
SRX はインタフェースとロジカルユニット、アドレスファミリー、IP アドレスを設定
•
SSG
•
SRX
<設定例>
ge-0/0/1 の unit 0 に IPv4 のアドレス 10.1.1.1/24 を設定
root@SRX300# set interfaces interface-name unit number family inet address ip-address SSG5-> set interface interface-name ip ip-address
3-3.IP アドレス設定(3/3)
IP アドレスの確認
•
SSG
•
SRX
SSG5-> get interface
A - Active, I - Inactive, U - Up, D - Down, R - Ready Interfaces in vsys Root:
Name IP Address Zone MAC VLAN State VSD bri0/0 0.0.0.0/0 Untrust N/A - D -eth0/0 10.1.8.254/24 Trust 001b.c035.c980 - U
-root@SRX300> show interfaces terse
Interface Admin Link Proto Local Remote ge-0/0/0 up up ge-0/0/0.0 up up ~ 途中省略 ~ ge-0/0/1 up up ge-0/0/1.0 up up inet 10.1.1.1/24
ユニット番号
3-4.ログ設定(1/3)
SSG はイベントログやトラフィックログを機器に保存し get log で確認可能
SRX は設定のログを /var/log 配下のファイルとして保存し show log で確認可能
•
SSG
•
SRX
SSG5-> get log event Total event entries = 56
Date Time Module Level Type Description
2013-11-22 10:44:30 system warn 00515 Admin user netscreen has logged on via the console
root@SRX300> show log messages
Nov 21 11:39:31 SRX300 login[3055]: LOGIN_INFORMATION: User root logged in from host [unknown] on device ttyu0
3-4.ログ設定(2/3)
SSG はログの保存先は固定
SRX はログの保存先をファイル名、ファシリティ、レベルで設定可能
•
SRX
-
ログ設定
-
文字列を指定することでフィルターが可能
root@SRX300# set system syslog file file-name facility level
3-4.ログ設定(3/3)
SSG はログの単位で syslog サーバへ転送するかを設定
SRX はファシリティ等で転送するログを指定
•
SSG
•
SRX
SSG5-> set syslog config server-address log ( event | traffic | event ) SSG5-> set syslog enable
root@SRX300# set system syslog host server-address facility level
※SRX のトラフックログに関しては、ログの収集モードによって設定が異なる
3-5.NTP
SSG は NTP の有効化と NTP サーバを指定
SRX は NTP サーバを指定
•
SSG
•
SRX
SSG5-> set clock ntpSSG5-> set ntp server server-address
3-6.SNMP
SSG は SNMP コミュニティと SNMP ホストを設定
SRX は SNMP コミュニティと SNMP トラップグループを設定
•
SSG
-
SNMP v1、v2c をサポート
•
SRX
-
SNMP v1、v2c、v3 をサポート
SSG5-> set snmp community community-name ( Read-Write | Read-Only ) trap-off version v2c SSG5-> set snmp host community-name manager-address trap v2
root@SRX300# set snmp community community-name authorization ( read-write | read-only ) root@SRX300# set snmp trap-group group-name version v2
root@SRX300# set snmp trap-group group-name targets manager-address root@SRX300# set snmp trap-group group-name categories category
第4章: ゾーン / ルーティング
4-1.ゾーンのアーキテクチャの違い
4-2.ゾーンの種類
4-3.ゾーンの作成と割当て
4-4.host-inbound-traffic の設定
4-5.管理サービス
4-6.スタティックルートの設定
4-7.ルーティングテーブル
アジェンダ
SSG はインタフェースがゾーンに所属し、ゾーンがバーチャルルータに
所属するアーキテクチャ
SRX はインタフェースがゾーンとルーティングインスタンス(バーチャルルータ)に
所属し、ゾーンとルーティングインスタンスの主従関係がないアーキテクチャ
4-1.ゾーンのアーキテクチャの違い
SSG アーキテクチャ
Interface Zone Virtual Router Interface Routing Instance Zone
SRX アーキテクチャ
4-2.ゾーンの種類(1/2)
SSG と SRX は共に以下のゾーンが存在
• Security zone
• Functional zone
-
SSG では複数の種類が存在したが、SRX は Management のみ
-
Management zone は受信したトラフィックをルーティングしない
• Null zone
さらに SRX には自身への受信トラフィックおよび自身からの送信トラフィックを
ポリシー制御するためのデフォルトゾーンが存在
• junos-host zone
4-2.ゾーンの種類(2/2)
ゾーンの確認
•
SSG
•
SRX
SSG5-> get zone
Total 14 zones created in vsys Root - 8 are policy configurable. Total policy configurable zones for Root is 8.
---ID Name Type Attr VR Default-IF VSYS 0 Null Null Shared untrust-vr null Root
1 Untrust Sec(L3) Shared trust-vr ethernet0/1 Root
2 Trust Sec(L3) trust-vr bgroup0 Root
root@SRX300> show security zones
snip
---Security zone: trust
Send reset for non-SYN session TCP packets: Off Policy configurable: Yes
Interfaces bound: 1 Interfaces:
ge-0/0/1.0
---4-3.ゾーンの作成と割り当て(1/3)
SSG はゾーンを作成し、インタフェースに対してゾーンを割り当て
SRX はゾーンを作成し、ゾーンに対してインタフェースを割り当て
•
SSG
•
SRX
-
Security zone の作成
-
Functional zone の作成
SSG5-> set zone name zone-name
root@SRX300# set security zones security-zone zone-name
4-3.ゾーンの作成と割り当て(2/3)
•
SSG
-
インタフェースへのゾーン割り当て
-
インタフェースの割り当てゾーンの確認
SSG5-> set interface interface-name zone zone-name
SSG5-> get interface interface-name Interface ethernet0/1:
description ethernet0/1
number 5, if_info 2040, if_index 0, mode route link up, phy-link up/full-duplex, admin status up status change:1, last change:11/24/2013 11:20:54 vsys Root, zone Untrust, vr trust-vr
4-3.ゾーンの作成と割り当て(3/3)
•
SRX
-
ゾーンへのインタフェース割り当て
-
インタフェースの割り当てゾーンの確認
root@SRX300> show interfaces interface-name
Logical interface ge-0/0/1.0 (Index 84) (SNMP ifIndex 522) Flags: Device-Down SNMP-Traps 0x0 Encapsulation: ENET2 Input packets : 0
Output packets: 0 Security: Zone: trust
snip
4-4.host-inbound-traffic の設定(1/3)
SSG はインタフェースの manage オプションで自身宛のトラフィックを設定
SRX はセキュリティゾーンの host-inbound-traffic オプションで設定
•
SSG
•
SRX
-
管理サービスの設定
-
ネットワークプロトコルの指定
SSG5-> set interface interface-name manage service-name
root@SRX300# set security zones security-zone zone-name interfaces interface-name host-inbound-traffic system-services service-name
root@SRX300# set security zones security-zone zone-name interfaces interface-name host-inbound-traffic protocols protocol-name
4-4.host-inbound-traffic の設定(2/3)
SRX はゾーン配下とインタフェース配下の両方に設定可能
両方に設定した場合はインタフェースの設定が優先
•
SRX
<設定例>
ge-0/0/0 インタフェースは、telnet のみ許可
ge-0/0/1 インタフェースは、ssh のみ許可
zone ゾーン名
host-inbound-traffic ~ host-inbound-traffic ~ interfaces インタフェース名root@SRX300# set security zones security-zone trust interfaces ge-0/0/0 root@SRX300# set security zones security-zone trust interfaces ge-0/0/1
root@SRX300# set security zones security-zone trust host-inbound-traffic system-services ssh root@SRX300# set security zones security-zone trust interfaces ge-0/0/0 host-inbound-traffic system-services telnet
4-4.host-inbound-traffic の設定(3/3)
host-inbound-traffic の確認
•
SSG
•
SRX
root@SRX300> show interfaces interface-name
Logical interface ge-0/0/1.0 (Index 84) (SNMP ifIndex 522) Flags: Device-Down SNMP-Traps 0x0 Encapsulation: ENET2
snip
---Security: Zone: trust
Allowed host-inbound traffic : bootp bfd bgp dns dvmrp igmp ldp msdp nhrp ospf pgm pim rip router-discovery rsvp sap vrrp dhcp finger ftp tftp ident-reset http https ike netconf ping reverse-telnet reverse-ssh rlogin rpm rsh snmp snmp-trap ssh telnet traceroute xnm-clear-text xnm-ssl lsping ntp sip r2cp webapi-clear-text webapi-ssl tcp-encap
SSG5-> get interface interface-name Interface ethernet0/1:
description ethernet0/1
snip
---pmtu-v4 disabled
ping disabled, telnet enabled, SSH disabled, SNMP disabled web disabled, ident-reset disabled, SSL disabled
4-5.管理サービス(1/3)
SSG は ssh の有効化が必要
SRX は各サービス(ssh、telnet、ftp、web など)の system services 設定で
個別に指定
•
SSG
-
ssh の有効化
-
有効化の確認
SSG5-> set ssh enable SSG5-> get ssh SSH V2 is active SSH is enabledSSH is ready for connections Maximum sessions: 4
---4-5.管理サービス(2/3)
•
SRX
-
ssh の有効化
-
有効化の確認
-
J-Web 接続はインタフェース制限が設定可能(オプション)
※指定がない場合は全インタフェースで受信可能
root@SRX300# set system services sshroot@SRX300> show system connections root> show system connections
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address (state) tcp46 0 0 *.443 *.* LISTEN
snip
---tcp4 0 0 *.23 *.* LISTEN tcp4 0 0 *.22 *.* LISTEN
snip
4-5.管理サービス(3/3)
SSG は管理アクセス可能な IP アドレス制限を manager-ip オプションで設定
SRX は lo0 に Firewall Filter を適用して IP アドレスの制限を設定
•
SSG
•
SRX
<設定例>
10.1.1.0/24 からの接続のみを許可
SSG5-> set admin manager-ip ip-address mask
root@SRX300# set firewall family inet filter TELNET-FILTER term TERM1 from source-address 10.1.1.0/24
root@SRX300# set firewall family inet filter TELNET-FILTER term TERM1 then accept root@SRX300# set interfaces lo0 unit 0 family inet filter input TELNET-FILTER
4-6.スタティックルートの設定
SSG は宛先アドレス、出力インタフェース、ネクストホップを指定
SRX は宛先アドレス、ネクストホップを指定
•
SSG
•
SRX
SSG5-> set route dst-prefix interface-name gateway next-hop
4-7.ルーティングテーブル(1/2)
SSG はルーティングテーブルを転送に使用
SRX はルーティングテーブルからフォワーディングテーブルが作成され、
パケット転送に使用
•
SSG
-
ルーティングテーブルの確認
SSG5-> get route snip---IPv4 Dest-Routes for <trust-vr> (7 entries)
--- ID
IP-Prefix Interface Gateway P Pref Mtr Vsys
---* 7 0.0.0.0/0 eth0/1 10.254.1.254 S 20 1 Root * 3 10.254.1.0/24 eth0/1 0.0.0.0 C 0 0 Root * 6 192.168.1.1/32 bgroup0 0.0.0.0 H 0 0 Root
4-7.ルーティングテーブル(2/2)
•
SRX
-
ルーティングテーブルの確認
-
フォワーディングテーブルの確認
root@SRX300> show route
inet.0: 7 destinations, 7 routes (7 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both
0.0.0.0/0 *[Static/5] 00:00:32
> to 172.16.7.1 via ge-0/0/14.0 10.1.7.0/24 *[Direct/0] 00:26:14
> via ge-0/0/4.0
root@SRX300> show route forwarding-table Routing table: default.inet
Internet:
Destination Type RtRef Next hop Type Index NhRef Netif
default user 0 2c:6b:f5:62:4c:87 ucst 568 3 ge-0/0/14.0 default perm 0 rjct 36 1
0.0.0.0/32 perm 0 dscd 34 1
10.1.7.0/24 intf 0 rslv 551 1 ge-0/0/4.0 10.1.7.0/32 dest 0 10.1.7.0 recv 549 1 ge-0/0/4.0 10.1.7.254/32 intf 0 10.1.7.254 locl 550 2
第5章: オブジェクト
5-1.アドレスオブジェクト
5-2.グローバルオブジェクト
5-3.アプリケーションオブジェクト
5-1.アドレスオブジェクト(1/4)
SSG はネットワークを表すオブジェクトとしてアドレスブックをゾーン配下に作成
SRX はオブジェクトとしてセキュリティアドレスをアドレスブック配下に作成し、
ゾーンはアドレスブックに割り当て
•
SSG
•
SRX
SSG5-> set address zone-name book-name ip-prefix
root@SRX300# set security address-book book-name address address-name ip-prefix root@SRX300# set security address-book book-name attach zone zone-name
5-1.アドレスオブジェクト(2/4)
•
SRX
<設定例>
trust ゾーンのアドレスブック book1 に ServerA として 10.1.1.1/32、
ServerB として 10.1.1.2/32、ServerC として 10.1.1.3/32 を登録
root@SRX300# set security address-book book1 address ServerA 10.1.1.1/32 root@SRX300# set security address-book book1 address ServerB 10.1.1.2/32 root@SRX300# set security address-book book1 address ServerC 10.1.1.3/32 root@SRX300# set security address-book book1 attach zone trust
アドレスブック:book1
ServerA
10.1.1.1
ServerB
10.1.1.2
ServerC
10.1.1.3
5-1.アドレスオブジェクト(3/4)
SSG は複数のアドレスブックをアドレスグループとしてグループ化
SRX は複数のセキュリティアドレスをセキュリティアドレスセットとしてグループ化
•
SSG
•
SRX
SSG5-> set group address zone-name address-group-name add book-name
root@SRX300# set security address-book book-name address-set address-set-name address
5-1.アドレスオブジェクト(4/4)
•
SRX
<設定例>
trust ゾーンのアドレスブック book1 に ServerA、ServerB、ServerC を登録
ServerA、ServerB、ServerC をアドレスセット Servers としてグループ化
root@SRX300# set security address-book book1 address ServerA 10.1.1.1/32 root@SRX300# set security address-book book1 address ServerB 10.1.1.2/32 root@SRX300# set security address-book book1 address ServerC 10.1.1.3/32 root@SRX300# set security address-book book1 attach zone trust
root@SRX300# set security address-book book1 address-set Servers address ServerA root@SRX300# set security address-book book1 address-set Servers address ServerB root@SRX300# set security address-book book1 address-set Servers address ServerC
アドレスブック:book1
5-2.グローバルオブジェクト
SRX ではどのゾーンにも属さない global アドレスブックを作成し、
セキュリティポリシーや NAT ルールで使用可能
•
SRX
5-3.アプリケーションオブジェクト(1/2)
事前定義されているアプリケーションの確認
•
SSG
•
SRX
SSG5-> get service pre-defined
Name Proto Port Group Timeout(min|10sec*) Flag ANY 0 0/65535 other default Pre-defined AOL 6 5190/5194 remote 30 Pre-defined APPLE-ICHAT-SNATMAP 17 5678 other 1 Pre-defined
root@SRX300> show configuration groups junos-defaults applications #
# File Transfer Protocol # application junos-ftp { application-protocol ftp; protocol tcp; destination-port 21; snip
---5-3.アプリケーションオブジェクト(2/2)
カスタムアプリケーションの設定
•
SSG
•
SRX
SSG5-> set service service-name protocol value src-port identifier dst-port
port-identifier timeout minutes
root@SRX300# set applications application application-name application-protocol
protocol-name
root@SRX300# set applications application application-name protocol value
root@SRX300# set applications application application-name destination-port port-identifier root@SRX300# set applications application application-name inactivity-timeout seconds
第6章: セキュリティポリシー
6-1.ポリシーの基本設定
6-2.セッションテーブルの確認
6-3.同じゾーン内のトラフィック
6-4.デフォルトポリシー
6-5.ポリシーの並び替え
6-6.policy-rematch
6-7.ポリシーの統計情報
6-8.ポリシーのロギング
アジェンダ
6-1.ポリシーの基本設定(1/3)
SSG は各ポリシーを識別するためにポリシー ID を使用
SRX はユーザが設定するポリシー名でポリシーを識別
•
SSG
•
SRX
SSG5-> set policy from src-zone-name to dst-zone-name src-address-book dst-address-book service action
root@SRX300# set security policies from-zone src-zone-name to-zone dst-zone-name policy
policy-name match source-address src-address-book
root@SRX300# set security policies from-zone src-zone-name to-zone dst-zone-name policy
policy-name match destination-address dst-address-book
root@SRX300# set security policies from-zone src-zone-name to-zone dst-zone-name policy
policy-name match application service
root@SRX300# set security policies from-zone src-zone-name to-zone dst-zone-name policy
6-1.ポリシーの基本設定(2/3)
ポリシーの確認
•
SSG
SSG5-> get policy
Total regular policies 3, Default deny, Software based policy search, new policy enabled. ID From To Src-address Dst-address Service Action State ASTLCB
1 Trust Untrust PrivateNetw~ ServerNetwo~ FTP Permit enabled ---X HTTP
PING SSH
2 Trust Untrust Any Any ANY Deny enabled ---X-X
SSG5-> get policy id-number
name:"none" (id 1), zone Trust -> Untrust,action Permit, status "enabled" 1 source: "PrivateNetwork"
1 destination: "ServerNetwork"
4 services: "FTP", "HTTP", "PING", "SSH" Rules on this VPN policy: 0
nat off, Web filtering : disabled
vpn unknown vpn, policy flag 00000000, session backup: on, idle reset: on traffic shaping off, scheduler n/a, serv flag 00
6-1.ポリシーの基本設定(3/3)
•
SRX
root@SRX300> show security policies Default policy: deny-all
From zone: trust, To zone: untrust
Policy: Trust-to-Untrust, State: enabled, Index: 6, Scope Policy: 0, Sequence number: 1 Source addresses: PrivateNetwork
Destination addresses: ServerNetwork
Applications: junos-ssh, junos-ping, junos-http, junos-ftp Action: permit
root@SRX300> show security policies detail policy-name policy-name
Policy: Trust-to-Untrust, action-type: permit, State: enabled, Index: 6, Scope Policy: 0 Policy Type: Configured
Sequence number: 1
From zone: trust, To zone: untrust Source addresses:
PrivateNetwork(global): 10.1.7.0/24 Destination addresses:
ServerNetwork(global): 172.16.100.0/24 Application: junos-ssh
IP protocol: tcp, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0]
Destination port range: [22-22]
---6-2.セッションテーブルの確認(1/4)
セッションテーブルの確認
•
SSG
•
SRX
SSG5-> get session
alloc 1/max 16064, alloc failed 0, mcast alloc 0, di alloc failed 0 total reserved 0, free sessions in shared pool 16063
id 16059/s**,vsys 0,flag 08000040/0000/0001/0000,policy 1,time 179, dip 0 module 0
if 0(nspflag 801801):10.1.8.1/8121->172.16.100.1/21,6,00155d07e115,sess token 3,vlan 0,tun 0,vsd 0,route 1,wsf 0
if 5(nspflag 801800):10.1.8.1/8121<-172.16.100.1/21,6,0019e2475b00,sess token 4,vlan 0,tun 0,vsd 0,route 7,wsf 0
Total 1 sessions shown
root@SRX300> show security flow session
Session ID: 23351, Policy name: Trust-to-Untrust/5, Timeout: 1790, Valid
In: 10.1.7.1/9621 --> 172.16.100.1/21;tcp, If: ge-0/0/4.0, Pkts: 7, Bytes: 315
Out: 172.16.100.1/21 --> 172.16.7.254/19963;tcp, If: ge-0/0/14.0, Pkts: 6, Bytes: 396 Total sessions: 1
6-2.セッションテーブルの確認(2/4)
セッションテーブル詳細情報の確認
•
SSG
SSG5-> get session id session-identifier
id 16059(00003ebb), flag 08000040/0000/0001/0000, vsys id 0(Root) policy id 1, application id 0, dip id 0, state 0
current timeout 1780, max timeout 1800 (second) status normal, start time 687620, duration 0 session id mask 0, app value 0
ethernet0/0(vsd 0): 10.1.8.1/17136->172.16.100.1/23, protocol 6 session token 3 route 1 gtwy 172.16.100.1, mac 00155d07e115, nsptn info 0, pmtu 1500
flag 801801, diff 0/0
port seq 0, subif 0, cookie 0, fin seq 0, fin state 0
ethernet0/1(vsd 0): 10.1.8.1/17136<-172.16.100.1/23, protocol 6 session token 4 route 7 gtwy 10.254.1.254, mac 0019e2475b00, nsptn info 0, pmtu 1500
flag 801800, diff 0/0
6-2.セッションテーブルの確認(3/4)
•
SRX
root@SRX300> show security flow session session-identifier Session ID: 42705, Status: Normal
Flag: 0x42
Policy name: Trust-to-Untrust/4
Source NAT pool: Null, Application: junos-ftp/1 Dynamic application: junos:UNKNOWN,
Encryption: Unknown
Application traffic control rule-set: INVALID, Rule: INVALID Maximum timeout: 1800, Current timeout: 1738
Session State: Valid
Start time: 245117, Duration: 64
In: 10.1.7.1/19117 --> 172.16.100.1/21;tcp, Interface: ge-0/0/4.0,
Session token: 0x6, Flag: 0x2621
Route: 0xf0010, Gateway: 10.1.7.1, Tunnel: 0 Port sequence: 0, FIN sequence: 0,
FIN state: 0,
Pkts: 7, Bytes: 315
Out: 172.16.100.1/21 --> 10.1.7.1/19117;tcp, Interface: ge-0/0/14.0,
6-2.セッションテーブルの確認(4/4)
セッションテーブル統計情報の確認
•
SSG
•
SRX
SSG5-> get session info
alloc 5/max 16064, alloc failed 0, mcast alloc 0, di alloc failed 0 total reserved 0, free sessions in shared pool 16059
root@SRX300> show security flow session summary Unicast-sessions: 7 Multicast-sessions: 0 Failed-sessions: 0 Sessions-in-use: 9 Valid sessions: 0 Pending sessions: 0 Invalidated sessions: 2 Sessions in other states: 0 Maximum-sessions: 65536
6-3.同じゾーン内のトラフィック
SSG は同じゾーン内のトラフィックの許可または拒否を Intra-zone block で設定
SRX はデフォルトは拒否、トラフィックを許可したい場合は明示的にポリシーを設定
•
SSG
-
Intra-zone block の設定
-
Intra-zone block の確認
SSG5-> set zone trust block
SSG5-> get zone trust
Zone name: Trust, id: 2, type: Security(L3), vsys: Root, vrouter:trust-vr Intra-zone block: On, attrib: Non-shared, flag:0x6288
TCP non SYN send reset: On
IP/TCP reassembly for ALG on traffic from/to this zone: No Asymmetric vpn: Disabled
Policy Configurable: Yes PBR policy: None
6-4.デフォルトポリシー(1/2)
SSG と SRX は共にデフォルトでポリシーにマッチしないトラフィックは deny だが
permit へ変更可能
•
SSG
-
permit へ変更
-
デフォルトアクションの確認
SSG5-> set policy default-permit-all
SSG5-> get policy
Total regular policies 4, Default permit, Software based policy search, new policy enabled. ID From To Src-address Dst-address Service Action State ASTLCB
1 Trust Untrust PrivateNetw~ ServerNetwo~ FTP Permit enabled ---XXX
6-4.デフォルトポリシー(2/2)
•
SRX
-
permit へ変更
-
デフォルトアクションの確認
root@SRX300# set security policies default-policy permit-all
root@SRX300> show security policies Default policy: permit-all
From zone: trust, To zone: untrust
Policy: Trust-to-Untrust-Global, State: enabled, Index: 6, Scope Policy: 0, Sequence number: 1
Source addresses: Private Destination addresses: Server Applications: any
6-5.ポリシーの並び替え
SSG は move コマンドを使用しポリシーを並び替え
SRX は insert コマンドを使用しポリシーを並び替え
•
SSG
•
SRX
SSG5-> set policy move id-number before id-number
root@SRX300# insert security policies from-zone src-zone-name to-zone dst-zone-name policy
policy-name before policy policy-name
SSG5-> set policy move id-number after id-number
root@SRX300# insert security policies from-zone src-zone-name to-zone dst-zone-name policy
policy-name after policy policy-name
-
before policy XX
policy XX の前に挿入
-
after policy XX
policy XX の後に挿入
6-6.policy-rematch
SRX はセッションを生成したポリシー自体が変更されたとき、
通信中のセッションの挙動を設定可能
•
SRX
root@SRX300# set security policies policy-rematch
ポリシーに対しての操作
デフォルトの動作
policy-rematch が有効
ポリシーの削除
セッションは削除
セッションは削除
アクションの変更
(permit から deny・reject)
セッションは維持
セッションは削除
アドレスブックの変更
セッションは維持
セションが新しいポリシーに
一致するか再チェック
アプリケーションの変更
セッションは維持
セッションが新しいポリシーに
一致するか再チェック
6-7.ポリシーの統計情報(1/2)
SSG はポリシーに count オプションを設定
SRX はポリシーのアクションに count オプションを設定
•
SSG
-
count オプションの設定
-
統計情報の確認
SSG5-> set policy id id-number SSG5(policy:1)-> set count
SSG5-> get counter policy id-number ( day | hour | minute | month | secound ) PID: 1, Interval: Second, Unit: Byte/Sec, End Time: 30Nov2013:16:12:19
000-002: 00000000000000000148 00000000000000000148 00000000000000000148 003-005: 00000000000000000148 00000000000000000148 00000000000000000148 006-008: 00000000000000000148 00000000000000000148 00000000000000000148 009-011: 00000000000000000148 00000000000000000148 00000000000000000148 012-014: 00000000000000000148 00000000000000000148 00000000000000000148 015-017: 00000000000000000148 00000000000000000148 00000000000000000148
6-7.ポリシーの統計情報(2/2)
•
SRX
-
count オプションの設定
-
統計情報の確認
root@SRX300# set security policies from-zone src-zone-name to-zone dst-zone-name policy
policy-name then count
root@SRX300> show security policies detail policy-name policy-name
Policy: Trust-to-Untrust, action-type: permit, State: enabled, Index: 4, Scope Policy: 0
snip
---Session log: at-create, at-close Policy statistics: Input bytes : 18144 545 bps Initial direction: 9072 272 bps Reply direction : 9072 272 bps Output bytes : 18144 545 bps Initial direction: 9072 272 bps Reply direction : 9072 272 bps Input packets : 216 6 pps Initial direction: 108 3 bps Reply direction : 108 3 bps
6-8.ポリシーのロギング(1/5)
SSG はポリシーに log オプションを設定
SRX はポリシーのアクションに log オプションを設定
•
SSG
-
log オプションの設定
-
トラフィックログの確認
SSG5-> set policy from src-zone-name to dst-zone-name src-address-book dst-address-book service action log
SSG5-> get log traffic
PID 1, from Trust to Untrust, src PrivateNetwork, dst ServerNetwork, service FTP HTTP PING SSH, action Permit
====================================================================================================== Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface ====================================================================================================== 2013-11-25 14:56:49 0:00:00 10.1.8.1 7811 172.16.100.1 21 FTP 16057 ethernet0/0 Creation 6 10.1.8.1 7811 172.16.100.1 21 1 ethernet0/1 2013-11-25 14:56:42 0:00:00 10.1.8.1 7810 172.16.100.1 80 HTTP 16063 ethernet0/0 Creation 6 10.1.8.1 7810 172.16.100.1 80 1 ethernet0/1
6-8.ポリシーのロギング(2/5)
•
SRX
-
log オプションの設定
-
syslog の設定
-
トラフィックログ(セキュリティログ)の確認
root@SRX300# set security policies from-zone src-zone-name to-zone dst-zone-name policy
policy-name then log ( session-init | session-close )
root@SRX300# set system syslog file file-name any any
root@SRX300# set system syslog file file-name match RT_FLOW_SESSION
※トラフィックログの”
RT_FLOW_SESSION” の文字列でフィルタ
root@SRX300> show log file-name
Nov 25 15:38:13 SRX300 RT_FLOW: RT_FLOW_SESSION_CREATE: session created 10.1.7.1/9423->172.16.100.1/21 junos-ftp 172.16.7.254/7958-10.1.7.1/9423->172.16.100.1/21 source-nat-rule None 6 Trust-to-Untrust trust untrust 21307 N/A(N/A) ge-0/0/4.0 UNKNOWN UNKNOWN UNKNOWN
6-8.ポリシーのロギング(3/5)
SSG は syslog サーバの設定で traffic もしくは all のオプションの設定が必要
SRX はトラフィックログを Event または Stream モードで syslog サーバへ送信
•
SSG
-
traffic オプションの設定
-
all オプションの設定
SSG5-> set syslog enable
SSG5-> set syslog config 10.1.8.1 log traffic
SSG5-> set syslog enable
6-8.ポリシーのロギング(4/5)
SRX のトラフィックログ(セキュリティログ)の収集モード
• Event モード
-
Control Plane(RE)を経由し syslog サーバへ送信される
-
ログが増えると RE の負荷が高くなる可能性がある
-
最大1500 events/sec の制限
• Stream モード
-
Data Plane(PFE)から直接 syslog サーバへ転送される
-
RE への負荷がかからないため推奨のモード
flowd Control Plane Data Plane /var/log/ eventd IF 内部ストレージへ Stream Mode Event modeSRX セキュリティログ収集モードの動作フロー
6-8.ポリシーのロギング(5/5)
•
SRX
Event モード
-
Event モードの設定
-
syslog サーバのアドレス等設定
Stream モード
-
Stream モードの設定
-
syslog サーバのアドレス、syslog パケットの送信元アドレスの設定(必須)
root@SRX300# set security log mode event
root@SRX300# set system syslog host server-address any any
root@SRX300# set system syslog host server-address match RT_FLOW_SESSION
root@SRX300# set security log stream name host server-address root@SRX300# set security log source-address src-address root@SRX300# set security log mode stream
第7章: NAT
7-1.NAT 設定の比較
7-2.NAT コマンドの書式
7-3.Source NAT
7-4.Destination NAT
7-5.Static NAT
7-6.NAT 処理順序とポリシー
アジェンダ
7-1.NAT 設定の比較(1/2)
•
SSG
ポリシーベース NAT や VIP、MIP など様々な NAT の設定方法が実装
NAT ルールがポリシーに含まれている
宛先 NAT 等では Proxy ARP の設定が必要だが、それ以外の NAT は設定不要
•
SRX
NAT は単一の設定に集約
NAT ルールがポリシーから独立
7-1.NAT 設定の比較(2/2)
SSG と SRX の設定項目の比較
SSG(ScreenOS)
SRX(Junos OS)
インタフェースベース NAT
Source NAT
NAT src
(ポリシーベース NAT)
NAT dst
(ポリシーベース NAT)
Destination NAT
VIP
7-2.NAT コマンドの書式(1/2)
SRX における設定する NAT タイプの指定
•
SRX
root@SRX300# set security nat nat-type ・・・・・
Type
コマンド
Source NAT
source
Destination NAT
destination
7-2.NAT コマンドの書式(2/2)
SRX は 1つのルールセット配下に複数のルールの設定が可能
複数のルールセットの設定も可能
•
SRX
-
NAT ルールセットの設定
-
NAT ルールの選択条件とそのアクション
root@SRX300# set security nat nat-type rule-set rule-set-name ( from | to ) term parameter
root@SRX300# set security nat nat-type rule-set rule-set-name rule rule-name ( match | then ) term parameter
7-3.Source NAT(1/10)
SSG はインタフェースベース NAT やポリシーベース NAT src で設定
SRX は Source NAT で設定
•
SSG
-
インタフェースベース NAT
の設定
-
インタフェースベース
NAT の確認
SSG5-> set int interface-name nat
SSG5-> get int interface-name Interface ethernet0/0:
description ethernet0/0
number 0, if_info 0, if_index 0, mode nat
link up, phy-link up/full-duplex, admin status up status change:1, last change:11/24/2013 11:20:54
•
SSG
-
ポリシーベース
NAT の設定(dip)
-
NAT の対象になるパケットを指定するためのポリシーを作成
7-3.Source NAT(2/10)
SSG5-> set int interface-name dip id start-address end-address ( fix-port )
SSG5-> set policy from src-zone-name to dst-zone-name src-address-book dst-address-book service nat src dip-id dip-id-number permit
7-3.Source NAT(3/10)
•
SRX
-
インタフェースベース NAT の設定
<設定例>
trust ゾーンから untrust ゾーンへの通信で送信元アドレスが 10.1.7.0/24 の場合、
出力インタフェースのアドレスへ送信元アドレスを変換
root@SRX300# set security nat source rule-set rule-set-name from term parameter root@SRX300# set security nat source rule-set rule-set-name to term parameter
root@SRX300# set security nat source rule-set rule-set-name rule rule-name match term
parameter
root@SRX300# set security nat source rule-set rule-set-name rule rule-name then source-nat interface
root@SRX300# set security nat source rule-set Interface-Based-NAT from zone trust root@SRX300# set security nat source rule-set Interface-Based-NAT to zone untrust
root@SRX300# set security nat source rule-set Interface-Based-NAT rule No1 match source-address 10.1.7.0/24
root@SRX300# set security nat source rule-set Interface-Based-NAT rule No1 then source-nat interface
7-3.Source NAT(4/10)
•
SRX
-
アドレスプールの設定
-
ポート変換の有無の設定(デフォルトは変換有)
-
Proxy ARP の設定
-
ルールセットの設定
root@SRX300# set security nat source pool pool-name address start-address to end-address
root@SRX300# set security nat source rule-set rule-set-name from term parameter root@SRX300# set security nat source rule-set rule-set-name to term parameter
root@SRX300# set security nat source rule-set rule-set-name rule rule-name match term
parameter
root@SRX300# set security nat source rule-set rule-set-name rule rule-name then source-nat pool pool-name
root@SRX300# set security nat source pool pool-name port no-translation
root@SRX300# set security nat proxy-arp interface interface-name address start-address to
7-3.Source NAT(5/10)
•
SRX
<設定例>
ge-0/0/4 から ge-0/0/5 への通信で送信元アドレスが 10.1.7.0/24 の場合、
172.16.7.10 ~ 172.16.7.15 のプールアドレスへ送信元アドレスを変換
root@SRX300# set security nat proxy-arp interface ge-0/0/5.0 address 172.16.7.10/32 to 172.16.7.15/32
root@SRX300# set security nat source pool Source-NAT address 172.16.7.10/32 to 172.16.7.15/32
root@SRX300# set security nat source pool Source-NAT port no-translation
root@SRX300# set security nat source rule-set Pool-Based-NAT from interface ge-0/0/4.0 root@SRX300# set security nat source rule-set Pool-Based-NAT to interface ge-0/0/5.0
root@SRX300# set security nat source rule-set Pool-Based-NAT rule No11 match source-address 10.1.7.0/24
root@SRX300# set security nat source rule-set Pool-Based-NAT rule No11 then source-nat pool Source-NAT
7-3.Source NAT(6/10)
送信元 NAT の確認
•
SSG
SSG5-> get session
alloc 1/max 16064, alloc failed 0, mcast alloc 0, di alloc failed 0 total reserved 0, free sessions in shared pool 16063
id 16057/s**,vsys 0,flag 08000000/0000/0001/0000,policy 10,time 180, dip 4 module 0
if 0(nspflag 801801):10.1.8.1/20880->172.16.100.1/23,6,00155d07e115,sess token 3,vlan 0,tun 0,vsd 0,route 1,wsf 0
if 5(nspflag 10801800):10.254.1.37/1024<-172.16.100.1/23,6,0019e2475b00,sess token 4,vlan 0,tun 0,vsd 0,route 7,wsf 8
Total 1 sessions shown
10.1.8.1:20880
172.16.100.1:23
7-3.Source NAT(7/10)
•
SRX
root@SRX300> show security flow session
Session ID: 90862, Policy name: Trust-to-Untrust/4, Timeout: 1774, Valid Resource information : FTP ALG, 1, 0
In: 10.1.7.1/22376 --> 172.16.100.1/21;tcp, If: ge-0/0/4.0, Pkts: 10, Bytes: 463 Out: 172.16.100.1/21 --> 172.16.7.10/22376;tcp, If: ge-0/0/5.0, Pkts: 11, Bytes: 705 Total sessions: 1
10.1.7.1:22376
172.16.100.1:21
7-3.Source NAT(8/10)
•
SRX
root@SRX300> show security nat source summary
Total port number usage for port translation pool: 0 Maximum port number for port translation pool: 67108864 Total rules: 1
Rule name Rule set From To Action
No1 Interface-Based-NAT trust untrust interface
7-3.Source NAT(9/10)
•
SRX
root@SRX300> show security nat source rule all Total rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 1/0
source NAT rule: No11 Rule-set: Pool-Based-NAT Rule-Id : 2
Rule position : 1
From interface : ge-0/0/4.0 To interface : ge-0/0/5.0 Match
Source addresses : 10.1.7.0 - 10.1.7.255 Destination port : 0 - 0
Action : Source-NAT Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping Inactivity timeout : 0
Max session number : 0 Translation hits : 183
Successful sessions : 183 Failed sessions : 0 Number of sessions : 5
7-3.Source NAT(10/10)
•
SRX
root@SRX300> show security nat source pool all Total pools: 1
Pool name : Source-NAT Pool id : 4
Routing instance : default Host address base : 0.0.0.0
Port : no translation Port overloading : 0
Address assignment : paired Total addresses : 6 Available addresses: 5 Translation hits : 268
Address range Single Ports Twin Ports 172.16.7.10 - 172.16.7.15 0 0
7-4.Destination NAT(1/7)
SSG はポリシーベースの NAT dst や VIP で設定
SRX は Destination NAT で設定
•
SSG
-
ポリシーベース NAT dst の設定
-
VIP の設定
SSG5-> set int interface-name proxy-arp-entry nat-address
SSG5-> set int interface-name vip nat-before-address service nat-after-address
SSG5-> set policy from src-zone-name to dst-zone-name src-address-book dst-address-book service nat dst ip nat-address permit