SRX320ファイアウォール工場出荷時のデフォルト設定
SRX320は、次の工場出荷時のデフォルト設定で出荷されます。
| 送信元ゾーン |
ゾーンと宛先 |
ポリシー アクション |
|---|---|---|
| 信託 |
信託 |
許す |
| 信託 |
信頼できない |
許す |
| 送信元ゾーン |
ゾーンと宛先 |
ポリシー アクション |
|---|---|---|
| 信託 |
信頼できない |
untrust ゾーン インターフェイスへのソース NAT |
| ポートラベル |
インターフェイス |
セキュリティゾーン |
DHCP の状態 |
IP アドレス |
|---|---|---|---|---|
| 0/0および0/7 |
ge-0/0/0 と ge-0/0/7 |
信頼できない |
クライアント |
未割り当て |
| 0/1から0/6 |
VLAN インターフェイス irb.0(ge-0/0/1 から ge-0/0/6) |
信託 |
サーバー |
192.168.1.1/24 |
| インターフェイス |
セキュリティゾーン |
IP アドレス |
|---|---|---|
| cl-1/0/0 |
該当なし |
該当なし |
| dl0 (論理) |
信頼できない |
ISP割り当て* |
| *LTE Mini-PIM が存在する場合のみ |
||
SRX320は、デフォルトで有効になっている次のサービスとプロトコルが同梱されています。
| サービス |
プロトコル |
デバイス起動モード |
|---|---|---|
| SSH HTTPS |
RSTP(すべてのインターフェイス) |
切り替え |
Junos OS リリース 25.2R1以降、工場出荷時のデフォルト デバイス設定には、[edit system services]階層レベルのnetconf ssh ステートメントが含まれていません。
セキュアなトラフィックを提供するために、untrustゾーンに基本的な画面セットが設定されます。さらに、デフォルトのセキュリティ ポリシーでは、untrust ゾーン インターフェイスから発信されたトラフィックが trust ゾーンに通過するのをブロックします。
工場出荷時のデフォルト設定を読み込んで表示する方法
デバイスには、工場出荷時のデフォルト設定ファイルのセットが同梱されています。デバイスの工場出荷時のデフォルト設定を表示するには:
-
rootユーザーとしてログインし、認証情報を入力します。
-
さまざまなハードウェアプラットフォーム用のデフォルト設定ファイルの完全なリストを表示します。
user@host> file list /etc/config
-
特定のデフォルト・構成ファイルの内容を表示するには:
user@host> file show /etc/config/<config file name>
設定の変更をコミットすると、新しい構成ファイルが作成され、それがアクティブな設定になります。 load factory-default 設定モード コマンドを使用して、いつでも工場出荷時のデフォルト設定をロードし、工場出荷時のデフォルト設定に戻すことができます。load factory-default configurationコマンドを発行すると、Junosソフトウェアにより、ハードウェア プラットフォームに適したデフォルト設定が選択されます。
設定を表示するには、 show configuration 動作モード コマンド、または設定モードでは単に show コマンドを使用します。
フロント パネルの RESET CONFIG ボタンを使用して、工場出荷時のデフォルト設定を読み込むこともできます。 SRX320 サービスゲートウェイの RESET CONFIG ボタンの使用を参照してください。
クラウドベースのプロビジョニングのためのプラグアンドプレイ
このセクションでは、プラグアンドプレイインターネット接続にSRX320の工場出荷時のデフォルトを活用する方法を説明します。この接続を使用して、SRX320を手動またはクラウドベースのプロビジョニングサービスを介してリモートで管理および設定します。
次の手順に従って、SRX320をインターネットに接続し、Juniper Mist CloudやContrail Service Orchestration(CSO)などのクラウドベースのプロビジョニングサービスにすばやくアクセスできるようにします。工場出荷時のデフォルト設定でのSRX320のプラグアンドプレイ接続を以下に示します。
- WAN ネットワークをポート 0/0(ge-0/0/0)に接続します。デフォルト設定では、ge-0/0/0がWANインターフェイスです。デフォルト設定では、このインターフェイスはuntrustゾーンに配置され、DHCPクライアントとして設定されます。これらの設定により、SRXはサービスプロバイダからIPアドレスとデフォルトルートを受信できます。
- LANクライアント(PC、ノートブック、APなど)をDHCPアドレス割り当て用に構成します。これらのデバイスを、0/1〜0/6(ge-0/0/1〜ge-0/0/6)のいずれかのLANポートに接続します。これで完了です。
デフォルト設定では、LAN ポートは、関連する IRB インターフェイスを持つ信頼できる VLAN に設定されます。DHCPサービスは、そのIRBインターフェイスを介して信頼VLANに提供され、これもtrustゾーンに配置されます。その結果、すべてのLANポートが共通のIPサブネットを共有し、SRXを介した完全なレイヤー2(タグなし)接続が可能になります。レイヤー 3 では、IRB インターフェイスは LAN を 192.168.1.0/24 サブネットに関連付け、192.168.1.1 アドレスはそれ自体用に予約されています。
LAN デバイスには、DHCP を介して 192.168.1.0/24 サブネットから IP アドレスとデフォルト ゲートウェイが割り当てられます。
- SRX320がインターネット接続を提供していることを確認します。LANポートに接続されたデバイスでブラウザを開き、http://www.juniper.net をポイントします。ページが読み込まれない場合は、インターネット接続を確認してください。
障害を分離するには、次の手順を試してください。
- WANモデムの電源を入れ直します。モデムがサービスプロバイダに正しく接続していることを確認します。
- CLIを使用してSRX320からインターネットの宛先にpingを実行し、インターネット接続をテストします。宛先がpingに応答できることを確認し、名前とIPアドレスの両方を使用してDNSを接続の問題から分離してみてください。
- LAN デバイスから SRX の IRB インターフェイスに割り当てられた 192.168.1.1 アドレスに ping を生成します。応答が成功すると、LANデバイスとSRX間のDHCPおよびレイヤー2接続が検証されます。
show dhcp server bindingコマンドを使用して、LAN側のDHCPサーバーのアドレス割り当てを確認します。
この時点で、SRX320とLANデバイスの両方がインターネットにアクセスできる状態になっています。デフォルトのポリシーでは、trustゾーンからuntrustゾーンへのすべてのトラフィックが許可されます。また、デフォルトのポリシーでは、WANから出るトラフィックに対してSNATが実行されます。デフォルトでは、すべての応答トラフィックは、untrustゾーンからtrustゾーンに戻ることができます。untrust(WAN)ゾーンから発信されたトラフィックは、trustゾーンからブロックされます。HTTPS、TFTP、およびDHCPトラフィックは、untrustゾーンから発信され、ローカルホストに送信されることが許可されます。
J-Webを使用してSRXにアクセスし、ローカルとリモートの両方で初期設定を実行できます。ローカルアクセスの場合は、LANポートに接続されたマシンを使用し、ブラウザを https://191.168.1.1 に向けます。WANインターフェイスを介してリモートでアクセスするには、WANプロバイダによってSRXに割り当てられたIPアドレスを知っている必要があります。J-Web セットアップ ウィザードを使用した初期セットアップの実行の詳細については、「 J-Web セットアップ ウィザード 」を参照してください。SRX320 にはコンソール ポートを使用してローカルでいつでもアクセスでき、追加の設定を行うことができます。初期設定でのCLIの使用について詳しくは、 SRX320 Day One+ をご参照ください。
手記:デフォルト設定では、ローカルまたはリモートでJ-Webを使用してSRX320にアクセスするためにパスワードは必要ありません。SRXをクラウドプロビジョニングサービスに採用するか、SRXをインターネットに接続した後できるだけ早く、(J-WebまたはJunos CLIを使用して)ルートパスワードを手動で設定する必要があります。