SRX320ファイアウォール工場出荷時のデフォルト設定
SRX320は工場出荷時のデフォルト設定で出荷されます。
| ソース ゾーン |
宛先ゾーン |
ポリシーアクション |
|---|---|---|
| 信頼 |
信頼 |
許可 |
| 信頼 |
untrust |
許可 |
| ソース ゾーン |
宛先ゾーン |
ポリシーアクション |
|---|---|---|
| 信頼 |
untrust |
NAT-Src から untrust ゾーン インターフェイス |
| ポートラベル |
インターフェイス |
セキュリティ ゾーン |
DHCP 状態 |
IP アドレス |
|---|---|---|---|---|
| 0/0 および 0/7 |
ge-0/0/0 および ge-0/0/7 |
untrust |
クライアント |
未割り当て |
| 0/1~0/6 |
VLAN インターフェイス irb.0(ge-0/0/1~ge-0/0/6) |
信頼 |
サーバー |
192.168.1.1/24 |
| インターフェイス |
セキュリティ ゾーン |
IP アドレス |
|---|---|---|
| cl-1/0/0 |
N/a |
N/a |
| dl0(論理) |
untrust |
割り当てられたISP* |
| *LTE Mini-PIM が存在する場合のみ |
||
SRX320は、デフォルトで有効になっている以下のサービスとプロトコルで出荷されます。
| サービス |
プロトコル |
デバイスの起動モード |
|---|---|---|
| Ssh HTTPS SSH経由のNETCONF |
RSTP(すべてのインターフェイス) |
スイッチング |
セキュアなトラフィックを提供するために、untrustゾーンに基本的な画面セットが設定されています。さらに、デフォルトのセキュリティポリシーは、untrustゾーンインターフェイスからtrustゾーンに通過するトラフィックをブロックします。
工場出荷時のデフォルト設定を読み込み、表示する方法
デバイスには、工場出荷時のデフォルト設定ファイルのセットが同梱されています。デバイスで工場出荷時のデフォルト設定を表示するには、次の手順に従います。
-
root ユーザーとしてログインし、認証情報を入力します。
-
さまざまなハードウェア プラットフォームのデフォルト設定ファイルの全リストを表示します。
user@host> file list /etc/config
-
特定のデフォルト設定ファイルの内容を表示するには、
user@host> file show /etc/config/<config file name>
設定に変更をコミットすると、新しい設定ファイルが作成され、それがアクティブな設定になります。設定モードコマンドを使用して工場出荷時のデフォルト設定を load factory-default 常に新しく読み込んで、工場出荷時のデフォルト設定に戻すことができます。Load factory-default configuration コマンドを発行すると、Junos ソフトウェアはハードウェア プラットフォームに正しいデフォルト設定を選択します。
動作モード コマンドを show configuration 使用するか、設定モードで コマンドを使用 show して設定を表示します。
フロント パネルの RESET CONFIG ボタンを使用して、工場出荷時のデフォルト設定を読み込むことも可能です。 SRX320サービスゲートウェイの RESET CONFIG ボタンの使用を参照してください。
クラウドベースのプロビジョニング向けプラグアンドプレイ
このセクションでは、プラグアンドプレイインターネット接続にSRX320工場出荷時のデフォルトを活用する方法について説明します。この接続を使用して、手動またはクラウドベースのプロビジョニング サービスを介して、SRX320 をリモートで管理および設定できます。
以下の手順に従って、SRX320をインターネットに素早く接続し、Juniper Mist CloudやContrail Service Orchestration(CSO)などのクラウドベースのプロビジョニングサービスにアクセスします。工場出荷時のデフォルト設定を使用したSRX320のプラグアンドプレイ接続を以下に示します。
- WAN ネットワークをポート 0/0(ge-0/0/0)に接続します。デフォルト設定では、ge-0/0/0がWANインターフェイスになります。デフォルト設定では、このインターフェイスは untrust ゾーンに配置され、DHCP クライアントとして設定されます。これらの設定により、SRX はサービス プロバイダから IP アドレスとデフォルト ルートを受信できます。
- DHCP アドレスの割り当てに LAN クライアント(PC、ノートブック、AP など)を設定します。これらのデバイスを、0/1~0/6(ge-0/0/1~ge-0/0/6)のいずれかの LAN ポートに接続します。終了です!
デフォルト設定では、LANポートは、関連付けられたIRBインターフェイスを持つ信頼VLANで設定されます。DHCPサービスは、そのIRBインターフェイスを介してtrust VLANに提供され、trustゾーンにも配置されます。その結果、すべての LAN ポートが、SRX を介したレイヤー 2(タグなし)の完全な接続と共通の IP サブネットを共有します。レイヤー 3 では、IRB インターフェイスは LAN を 192.168.1.0/24 サブネットに関連付け、192.168.1.1 アドレスはそれ自体のために予約されています。
LANデバイスには、DHCPを介して192.168.1.0/24サブネットからIPアドレスとデフォルトゲートウェイが割り当てられます。
- SRX320がインターネット接続を提供していることを確認します。LAN ポートに接続されたデバイス上のブラウザーを開き、そのブラウザーを http://www.juniper.net するようにポイントします。ページが読み込まれていない場合は、インターネット接続を確認します。
障害を分離するには、次の手順を実行します。
- WAN モデムの電源を入ります。モデムがサービス プロバイダに正しく接続されていることを確認します。
- CLI を使用して SRX320 からインターネットの宛先に Ping を送信し、インターネット接続をテストします。宛先が ping への返信を許可されていることを確認し、名前と IP アドレスの両方を使用して DNS を接続の問題から分離してみてください。
- LAN デバイスから、SRX 上の IRB インターフェイスに割り当てられた 192.168.1.1 アドレスに ping を生成します。正常に応答すると、LAN デバイスと SRX 間の DHCP およびレイヤー 2 接続が検証されます。
- コマンドを
show dhcp server binding使用して、LAN 側の DHCP サーバー アドレス割り当てを確認します。
この時点で、SRX320とLANデバイスの両方にインターネットアクセスがあります。デフォルトポリシーは、信頼から untrustゾーンへのすべてのトラフィックを許可します。デフォルトポリシーは、WANを離れるトラフィックでもSNATを実行します。デフォルトでは、すべての応答トラフィックは、untrustからtrustゾーンに戻って許可されます。untrust(WAN)ゾーンから発信されたトラフィックは、trust ゾーンからブロックされます。HTTPS、TFTP、およびDHCPトラフィックは、untrustゾーンから発信され、ローカルホストに送信されます。
J-Web を使用して SRX にアクセスし、ローカルとリモートの両方で初期設定を実行できます。ローカルアクセスには、LANポートに接続されたマシンを使用し、ブラウザに https://191.168.1.1 するように向けます。WAN インターフェイスを介してリモートからアクセスするには、WAN プロバイダが SRX に割り当てた IP アドレスを把握する必要があります。 J-Web セットアップ ウィザード を使用した初期設定の詳細については、J-Web セットアップ ウィザードを参照してください。コンソール ポートを使用して、SRX320 にローカルでいつでもアクセスして、追加の設定を実行できます。初期設定でのCLIの使用の詳細については、 SRX320 Day One+ を参照してください。
メモ:デフォルト設定では、J-Web を使用してローカルまたはリモートで SRX320 にアクセスするためのパスワードは必要ありません。SRX をクラウド プロビジョニング サービスに採用するか、手動で root パスワードを設定する(J-Web または Junos CLI を使用)、SRX をインターネットに接続した後はできる限り早急に行う必要があります。