スライド 1 - PDF 無料ダウンロード

SRX GUI 設定ガイド Version.2R2 Juniper Networks, K.K. 20/0

Agenda Chapter. Basic Setup Chapter2. Firewall Policy Chapter3. NAT Chapter4. VPN Chapter5. PPPoE 2 Copyright 20 Juniper Networks, Inc. www.juniper.net

はじめにこのガイドはローエンドのブランチ SRX(SRX00~240) モデルを想定して基本的な使用用途における初期のセットアップを GUI から簡単に行えることを主な目的として構成されております GUI における基本的な設定方法についてはミッドレンジ / ハイエンド SRX (SRX650~5800) とも共用となっておりますが各モデルにおける物理インタフェースや構成要素の考え方などは HW Guide などを参照してくださいまた各種ダイナミックルーティングプロトコル Switching 機能 HA IDP UTM AppFW など JUNOS が SRX 上で提供することのできる様々な機能に関しては本書の取り扱い外となっています必要に応じて別途 CLI ガイドなどを参照ください 3 Copyright 20 Juniper Networks, Inc. www.juniper.net

Chapter. Basic Setup 4 Copyright 20 Juniper Networks, Inc. www.juniper.net

工場出荷状態 SRX の起動後デフォルト設定工場出荷状態の SRX は以下のような設定になっており Trust Zone( Zone については後述 ) のポートに DCHP クライアント設定がなされた PC を接続することで自動的に GUI での設定が開始できるようになっています Ge-0/0/0 (Srx00 は Fe-0/0/0) Zone : Untrust Ge-0/0/~Ge-0/0/5 Fe-0/0/2~Fe0/0/7 Zone : Trust DHCP service クライアントが SRX から払い出された IP を取得していることを確認 DHCP クライアントを Trust Zone のインタフェースに接続 5 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step : SRX の GUI 設定画面へのログイン GUI のセットアップを開始するためには http://92.68./ へアクセスを行い () root / (password なし ) でログインを行います (23) 2 3 6 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step2 : 初期セットアップウィザードの開始 Initial Setup が開始されるので Start ボタンを押す 7 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step3 : Identification の設定 2 ホストネーム () と Root パスワード (2) を記載して Next (3) へ 3 8 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step4 : Network の設定 2 デフォルトゲートウェイ () DNS サーバー (2) の情報などを記入して Next (3) へ ( このステップはオプション ) 3 9 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step5- : VLAN の設定デフォルトでは vlan-trust (vlan-id=3) という VLAN が作成されており Untrust Zone インタフェースの G(F)e-0/0/0 以外のすべてのインタフェースがこの Vlan に所属した設定となっているこのままでよければ Next へ本ガイドの例では次ページのようにインタフェース構成を変更するため Edit へ 0 Copyright 20 Juniper Networks, Inc. www.juniper.net

このガイドで構築する物理論理構成工場出荷時におけるデフォルト設定 ( このガイドでは SRX20 を使用 ) このガイドで構成するサンプル設定構成 Zone : Untrust Ge-0/0/0 Ip = dhcp Zone : Dmz Ge-0/0/ ip = 92.68.2./24 Zone : Untrust Ge-0/0/0 Ip = 92.68.0./24 Zone : Trust Ge-0/0/ Fe-0/0/2~Fe-0/0/7 vlan = vlan-trust ip = 92.68../24 Zone : Trust Fe-0/0/2~Fe-0/0/7 vlan = vlan-trust ip = 92.68../24 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step5-2 : VLAN の設定 Edit を投下すると vlan-trust に設定されているインタフェース一覧が表示されるここから設定を外したいインタフェースを選んで () << ボタンを投下し (2) Save して Next へ 2 2 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step6- : Interfaces の設定 : アドレスの設定 2 デフォルトでは vlan.0 インタフェースに 92.68../24 が Ge-0/0/0 インタフェースに dhcp クライアントの設定がなされているこのままでよければ Next へ本ガイドの例では Ge-0/0/0 に手動でアドレスを付与するためインタフェースをクリックしてハイライトし () Edit (2) へ 3 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step6-2 : Interfaces の設定 : アドレスの設定 Edit を投下すると address を設定する選択肢が 3 種類 (DHCP IP Address PPPoE) 表示されるので IP Address を選択して () アドレスとサブネットを記載して (2) Save (3) へ 2 3 4 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step6 : Interfaces の設定 (PPPoE の場合 : サンプル ) 本ガイドでの構成例では説明しないが PPPoE 接続の場合は選択すると () 設定項目が現れるので Properties 設定を投入して (2) Save へ 2 5 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step6-3 : Interfaces の設定 : インタフェースと Zone の追加新しくインタフェース /Zone を追加設定するためには Add を押す 6 Copyright 20 Juniper Networks, Inc. www.juniper.net

Security Zone について Zone Interface(s) セキュリティゾーンとはインタフェース群に割り当てる仮想的なグループです SRX ではこのセキュリティゾーンを使用してトラフィックを制御します異なるゾーン間で通信されるトラフィックまたはゾーン内の別インタフェース間で通信されるトラフィックがファイアウォールポリシーにて制御される通信対象となります Zone : BLIUE Zone : RED Firewall Policy Zone : BLIUE Zone : BLUE Firewall Policy 7 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step6-4 : Interfaces の設定 : インタフェースと Zone の追加インタフェースのプルダウンから追加したいインタフェースを指定して () アドレスを設定する (2) その際 Zone を新しく作成したい場合にはプルダウンから Add new zone を選択して (3)Zone 名を記入し (4) Save (5) 2 3 4 この例では dmz という Zone を作成追加 5 8 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step6-5 : Interfaces の設定 : インタフェースと Zone の追加作成された Zone とインタフェースを確認して () Next (2) へ 2 9 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step7 : J-web の設定 2 J-web の基本設定ログイン後にデフォルトで表示されるタブ () 設定変更後の Commit 処理 (2)( Commit のコンセプトについては後述 ) を選択し Next (3) へ 3 20 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step8 : 時間 NTP の設定 TimeZone() 時間 (2) NTP サーバー (3)( オプション ) の設定をして Next (4) へ 3 2 4 2 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step9 : 設定の確認反映セットアップウィザードで設定を行った項目について確認をし修正箇所があれば Back へ設定を反映させるためには Commit () へ Commit を投下することでシステムに設定が反映される (2) (Commit されるまでは設定変更はなされない ) 2 22 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step0 : J-web の確認 : ログイン設定が完了するとログイン画面に戻るので Step3 で設定したパスワード () でログイン (2) 2 23 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step0 : J-web の確認 : 基本ウィンドウ J-web にログインするとこのような画面が現れます J-web の基本構成としては上側に大項目としての基本タブウィンドウが表示され大項目の選択に応じた中項目小項目の選択ウィンドウが左側に表示される形となりますまた上位タブ配下にはホスト名ログインユーザー名の表記および Action Help Logout のアクションリンクが表示されます 24 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step0 : J-web の確認 : Congigure タブ Configure タブを選択すると各種設定項目が左側のタブに表示され各種変更を行うことができます 25 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step0 : J-web の確認 : Dashboard タブ Dashboard タブを選択すると各種機器の情報や状態がグラフィカルに表示されます 26 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step0 : J-web の確認 : Monitor タブ Monitor タブを選択すると確認が可能な項目が左側のタブに表示され選択することで各種状態の確認が可能です 27 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step0 : J-web の確認 : Maintain タブ Maintain タブを選択すると設定やライセンスソフトウェアなどに関わる管理項目が左側のタブに表示され各種管理を行うことができます 28 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step0 : J-web の確認 : Troubleshoot タブ Troubleshoot タブを選択すると通信確認やパケットキャプチュアに関する項目が左側のタブに表示され障害時などにおける状況確認を行うことができます 29 Copyright 20 Juniper Networks, Inc. www.juniper.net

Chapter2. Firewall Policy 30 Copyright 20 Juniper Networks, Inc. www.juniper.net

このガイドで構築するファイアウォールポリシー構成工場出荷時におけるファイアウォールのポリシー設定このガイドで構成するサンプルファイアウォールのポリシー設定 Policy : untrust-to-dmz - Zone : Untrust - Zone : Dmz - Zone : Untrust all all - Zone : Trust Policy : trust-to-untrust - Zone : Trust Policy : trust-to-untrust 3 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step : ファイアウォールポリシーウィザードの起動 2 3 4 ファイアウォールポリシーは FW ポリシーウィザードを使用することで容易に追加することが可能です FW ポリシーウィザードを起動するには Configure タブを選択し () 左側の項目より Tasks (2) Configure ファイアウォールポリシー (3) を選択し Launch Firewall Policy Wizard から起動を行います (4) 別ウィンドウでウィザードが始まるのでスタートを押します (5) 5 32 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step2 : ファイアウォールポリシーの追加ウィザードが開始されたら Add を押します () 33 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step3- : ファイアウォールポリシーの追加 - アドレスブックの作成ファイアウォールポリシーで使用するアドレスオブジェクトを SRX ではアドレスブックといいますアドレスブックを作成するには Add Zone/Address Pair のリンクをクリックします () 別ウィンドウが表示されるのでアドレスブックの名前 (2) 対応するゾーン (3) IP アドレス (4) を記入して Add を押します (5) 2 3 4 5 34 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step3-2 : ファイアウォールポリシーの追加 - アドレスブックの作成作成したゾーンとアドレスブックのペアが作成されていることを確認します () 35 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step4- : ファイアウォールポリシーの追加 - ファイアウォールポリシーの設定ポリシー名を記入 () し Source zone/address (2) Destination zone/address (3) Application (4) Action (5) Log (Option) (6) からそれぞれ希望する選択肢を選び Save (7) ボタンを押します 5 6 2 3 4 7 36 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step4-2 : ファイアウォールポリシーの追加 - ファイアウォールポリシーの設定意図したポリシーが作成されていることを確認したのち Commit ボタンを押すと設定が完了します 37 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step5- : ファイアウォールポリシーの追加 - ファイアウォールポリシーの順序設定同じ Source Zone と Destination Zone において複数の FW ポリシーを作成すると Reorder の欄に矢印が表示されます FW ポリシーの順序を変更したい場合には変更したいポリシーを変更したい順序に向けた矢印を選択します () 38 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step5-2 : ファイアウォールポリシーの追加 - ファイアウォールポリシーの順序設定 FW ポリシーが意図した順番に変更されていることを確認して () Commit を押すことで (2) 設定が反映されます 2 39 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step6- : ファイアウォールポリシーの表示 2 3 4 ファイアウォールポリシーを表示するには Configure タブを選択し () 左側の項目より Security (2) Policy ( 3 ) Apply Policy (4) を選択することで表示させることが可能です 40 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step6-2 : ファイアウォールポリシーの表示作成したポリシーを表示確認するためにはポリシー表示ウィンドウ上部にあるフィルターから表示させたい From/To Zone を選択 (2) して Filter (3) を押します 2 3 4 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step6-3 : ファイアウォールポリシーの表示ファイアウォールポリシーの表示ルールは以下の配列になっています Zone の指定送信元 Zone ポリシー名送信先アドレスアクション FW ログ送信先 Zone 送信元アドレスアプリケーション Permit アクション Deny アクション 42 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step7 : ファイアウォールポリシーの設定アドレスブックの設定ファイアウォールポリシーはセットアップウィザードからではなく個別に設定を行うことも可能です 2 3 アドレスブックを作成するには Configure タブを選択し左側の項目より Security Policy Elements Address Book を選択して () Add (2) でアドレスブック設定ウィンドウを表示させます (3) 43 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step8 : GUI 設定と Commit について GUI での設定変更は JUNOS CLI と同様に即時反映されることなく Commit を経てシステムに反映される仕組みになっています設定変更内容の確認 Compare 設定変更設定変更内容の破棄 Discard 設定変更内容をシステムへと反映 Commit GUI 設定が完了すると Action タブに赤い印が表示されハイライトされる () この状態からプルダウンより Commit を選んで押すことで初めて設定がシステムに反映されます (2) 2 44 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step9- : ファイアウォールポリシーの設定 Zone の設定ファイアウォールポリシーを適用する Zone を作成設定変更するには Configure タブを選択し左側の項目より Security Zone/Screens から行います 3 2 新しい Zone を作成したり設定するには Configure タブを選択し左側の項目より Security Zone/Policies を選択します () デフォルトでは trust untrust の zone が作成されておりこの例では Basic Setup を介して作成された dmz Zone が表示されています新規に Zone を作成すう r 場合は Add を既存にある Zone を編集するには Zone をクリックしてハイライト (2) した後に Edit (3) を押します 45 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step9-2 : ファイアウォールポリシーの設定 Zone の設定 Zone の設定ウィンドウが表示されるのでインタフェースの増減を行う場合はで選択したインタフェースを動かします 2 3 Zone に対して許可する Inbound トラフィックを設定する場合には Host inbound traffic Zone タブを選択し () 許可したいトラフィックやプロトコルを追加し (23) OK (4) を押します 4 46 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step9-3 : ファイアウォールポリシーの設定 FW ポリシーの設定 2 3 FW ポリシーを作成するには Configure タブを選択し左側の項目より Security Policy Apply Policy を選択して () Add (2) でポリシー設定ウィンドウを表示させます (3) 47 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step9-4 : ファイアウォールポリシーの設定 FW ポリシーの設定ポリシー設定ウィンドウが表示されたらポリシー名 () From/To Zone(2) 送信元 / 送信先アドレス (3) 対象アプリケーション (4) 及びポリシーアクション (5) を記載選択し OK (6) を押します 2 2 5 3 3 4 48 Copyright 20 Juniper Networks, Inc. www.juniper.net 6

Step9-5 : ファイアウォールポリシーの設定 FW ポリシーの設定 Add new destination(source) address にチェックをいれることでポリシー設定ウィンドウから新しいアドレスブックを追加することも可能です Search : ウィンドウに文字を入れることによって定義されたアプリケーション群から検索することも可能です 49 Copyright 20 Juniper Networks, Inc. www.juniper.net

Step9-6 : ファイアウォールポリシーの設定 FW ポリシーの設定作成したファイアウォールポリシーにファイアウォールロギングを追加するには Logging/Count タブを選択し Log Options 部分にチェックをいれます 50 Copyright 20 Juniper Networks, Inc. www.juniper.net

Chapter3. NAT Source NAT Static NAT 5 Copyright 20 Juniper Networks, Inc. www.juniper.net

Source NAT - このガイドで構築する物理論理構成 Trust zone(92.68.0.0/24) から Untrust Zone( インターネット ) へ抜ける通信に関してはアドレスプール (00.0.0.-00.0.0.0) を利用し Source NAT にて通信をする送信元をアドレスプールから変換アドレスプール 00.0.0.-00.0.0.0 インターネット 92.68.0.0/24 SRX 00.0.0.254/24 ユーザ側における Trust Zone ユーザ側における Untrust Zone 52 Copyright 20 Juniper Networks, Inc. www.juniper.net

Source NAT 設定 (/2) NAT の設定は NAT Wizard を使用して簡単に作成することが可能ですウィザードは Configure タブを選択し左側の項目より Wizards NAT Wizard から行います () Launch NAT Wizard のリンクをクリック (2) することでウィザードが別ウィンドウで表示されます ( 次ページ ) 2 53 Copyright 20 Juniper Networks, Inc. www.juniper.net

Source NAT 設定 (2/2) Source NAT を選択し () Start (2) からセットアップウィザードを開始します 2 54 Copyright 20 Juniper Networks, Inc. www.juniper.net

Source NAT 設定 (3/2) Add ボタン () を押し Source NAT を新規作成します 55 Copyright 20 Juniper Networks, Inc. www.juniper.net

Source NAT 設定 (4/2) Source NAT のルール名を入力します Source NAT を適用するゾーン 2 を指定しますすでに設定されているゾーンの中から送信元ゾーン 3 を選択し >> ボタン 4 にて決定します同様に送信先ゾーンを選択し >> ボタン 5 にて決定します 2 3 4 5 56 Copyright 20 Juniper Networks, Inc. www.juniper.net

Source NAT 設定 (5/2) Source NAT を適用させる送信元アドレスを入力し Add ボタン 2 にて決定します同様に送信先アドレスを入力し Add ボタン 3 にて決定します送信先ポート 4 を入力します NAT ルールのアクションにアドレスプール (Address Range)5 を選択しますアドレスプールを使用する場合には使うアドレスプールを設定するため Edit ボタン 6 を押します 2 3 ポイント : 指定するアドレスが Any( すべて ) であれば 0.0.0.0/0 と入力します 4 ポイント :Destination port range が未入力の場合は自動的に to 60000 が適用されます 5 6 57 Copyright 20 Juniper Networks, Inc. www.juniper.net

Source NAT 設定 (6/2) アドレスプールで使用するアドレスを入力し Add ボタン 2 で決定します設定したアドレスレンジを用いてポートトランスレーションのオプション 3 を選択します Done ボタン (4) を押します 2 3 ポイント :00.0.0. から 00.0.0.0 までを NAT で使用したい場合には 00.0.0.-00.0.0.0 と入力します 4 58 Copyright 20 Juniper Networks, Inc. www.juniper.net

Source NAT 設定 (7/2) アドレスプールの設定を終えたら Next ボタン () を押します 59 Copyright 20 Juniper Networks, Inc. www.juniper.net

Source NAT 設定 (8/2) 設定内容を確認し問題が無ければ Commit ボタン () をクリックします 60 Copyright 20 Juniper Networks, Inc. www.juniper.net

Source NAT 設定 (9/2) Commit プロセスが行われます問題が無ければ OK ボタンをクリックして Wizard を終了します 6 Copyright 20 Juniper Networks, Inc. www.juniper.net

Source NAT 設定 (0/2) アドレスプールは実在しないアドレスのため Proxy ARP の設定が必要になります Configure タブを選択し左側の項目より NAT Proxy Arp から行います () Add ボタン 2 を押し Proxy ARP の新規作成を行います ( 次ページ ) 2 62 Copyright 20 Juniper Networks, Inc. www.juniper.net

Source NAT 設定 (/2) Proxy ARP を送出するインタフェースを選択します Proxy ARP を適用するアドレス 2 を入力します入力後 Add ボタン 3 を押します設定を終えたら OK ボタン 4 を押します 2 3 4 63 Copyright 20 Juniper Networks, Inc. www.juniper.net

Source NAT 設定 (2/2) Proxy ARP の設定を終えたら Commit ボタンをクリックして終了です 64 Copyright 20 Juniper Networks, Inc. www.juniper.net

Static NAT - このガイドで構築する物理論理構成 Untrust Zone( インターネット ) から Trust Zone にあるサーバ (92.68.0.00) に対してグローバルアドレス (00.0.0.00) を利用し Static NAT にて通信できるようにする 92.68.0.00 00.0.0.00 マッピング Web Server SRX 00.0.0.254/24 インターネットユーザ側における Trust Zone ユーザ側における Untrust Zone 65 Copyright 20 Juniper Networks, Inc. www.juniper.net

Static NAT 設定 (/9) NAT の設定は NAT Wizard を使用して簡単に作成することが可能ですウィザードは Configure タブを選択し左側の項目より Wizards NAT Wizard から行います () Launch NAT Wizard のリンクをクリック (2) することでウィザードが別ウィンドウで表示されます ( 次ページ ) 2 66 Copyright 20 Juniper Networks, Inc. www.juniper.net

Static NAT 設定 (2/9) Static NAT を選択し () Start (2) からセットアップウィザードを開始します 2 67 Copyright 20 Juniper Networks, Inc. www.juniper.net

Static NAT 設定 (3/9) Add ボタン () を押し Static NAT を新規作成します 68 Copyright 20 Juniper Networks, Inc. www.juniper.net

Static NAT 設定 (4/9) Static NAT のルール名を入力します Static NAT を適用するゾーン 2 を指定しますすでに設定されているゾーンの中から送信元ゾーン 3 を選択し >> ボタン 4 にて決定します送信先アドレス ( マッピングさせたいグローバルアドレス )5 を入力し Rule Action にグローバルアドレスにマッピングさせたいホストのアドレス 6 を入力し Next ボタン 7 を押します 2 3 4 5 6 7 69 Copyright 20 Juniper Networks, Inc. www.juniper.net

Static NAT 設定 (5/9) 設定内容を確認し問題が無ければ Commit ボタン () をクリックします 70 Copyright 20 Juniper Networks, Inc. www.juniper.net

Static NAT 設定 (6/9) Commit プロセスが行われます問題が無ければ OK ボタンをクリックして Wizard を終了します 7 Copyright 20 Juniper Networks, Inc. www.juniper.net

Static NAT 設定 (7/9) アドレスプールは実在しないアドレスのため Proxy ARP の設定が必要になります Configure タブを選択し左側の項目より NAT Proxy Arp から行います () Add ボタン 2 を押し Proxy ARP の新規作成を行います ( 次ページ ) 2 72 Copyright 20 Juniper Networks, Inc. www.juniper.net

Static NAT 設定 (8/9) Proxy ARP を送出するインタフェースを選択します Proxy ARP を適用するアドレス 2 を入力します入力後 Add ボタン 3 を押します設定を終えたら OK ボタン 4 を押します 2 3 4 73 Copyright 20 Juniper Networks, Inc. www.juniper.net

Source NAT 設定 (9/9) Proxy ARP の設定を終えたら Commit ボタンをクリックして終了です 74 Copyright 20 Juniper Networks, Inc. www.juniper.net

Chapter4. VPN Site-to-Site VPN リモートアクセス VPN 75 Copyright 20 Juniper Networks, Inc. www.juniper.net

Site-to-Site VPN - このガイドで構築する物理論理構成センター側拠点側センター側の Trust Zone センター側における Untrust Zone インターネット SRX 0.0.. 0.0.2. SRX 92.68..0/24 92.68.2.0/24 拠点側における Untrust Zone 拠点側の Trust Zone 76 Copyright 20 Juniper Networks, Inc. www.juniper.net

Site-to-Site VPN 設定 (/9) VPN の設定は VPN Wizard を使用して簡単に作成することが可能ですウィザードは Configure タブを選択し左側の項目より Tasks Configure VPN から行います () Launch VPN Wizard のリンクをクリック (2) することでウィザードが別ウィンドウで表示されます ( 次ページ ) 2 77 Copyright 20 Juniper Networks, Inc. www.juniper.net

Site-to-Site VPN 設定 (2/9) Site-to-site VPN (Route based) を選択し () Start (2) からセットアップウィザードを開始します 2 78 Copyright 20 Juniper Networks, Inc. www.juniper.net

Site-to-Site VPN 設定 (3/9) VPN ポリシー名 () ローカル拠点の暗号化対象とするネットワークゾーン (2) とアドレス (3) 暗号化トンネルインタフェースの論理番号 (4) 所属ゾーン (5) Interface type(6) および外部ネットワークと接続している Interface(7) とタイプ (8) を指定し Next (9) を押します 2 3 4 6 5 7 ポイント : 暗号化トンネルの論理番号 (4) は機器内で重複していない番号を所属ゾーン (5) は外部ネットワークのインタフェース (7) と同じゾーンを選択します 8 9 79 Copyright 20 Juniper Networks, Inc. www.juniper.net

Site-to-Site VPN 設定 (4/9) VPN 対向拠点機器のグローバル IP アドレス () 暗号化通信を行う対向拠点のネットワークアドレス (2) を指定し Next (3) を押します 2 3 80 Copyright 20 Juniper Networks, Inc. www.juniper.net

Site-to-Site VPN 設定 (5/9) 暗号化トンネルのセキュリティ強度を選択 () し事前共有鍵を設定し (2) Next (3) を押します 2 ポイント :IKE Mode は対向機器の IP アドレスが既知の場合は Main をそうでない場合は Aggressive を選択します 3 8 Copyright 20 Juniper Networks, Inc. www.juniper.net

Site-to-Site VPN 設定 (6/9) 暗号化対象となる通信を指定 () し Next (2) を押します 2 82 Copyright 20 Juniper Networks, Inc. www.juniper.net

Site-to-Site VPN 設定 (7/9) 設定内容を確認し問題が無ければ Commit ボタン () をクリックします 83 Copyright 20 Juniper Networks, Inc. www.juniper.net

Site-to-Site VPN 設定 (8/9) Commit プロセスが行われます問題が無ければ続けて VPN を設定するかどうかの確認画面が表示されますので No をクリックして Wizard を終了します 84 Copyright 20 Juniper Networks, Inc. www.juniper.net

Site-to-Site VPN 設定 (9/9) 対向拠点側の暗号化対象ネットワークアドレス設定はローカル拠点の機器で設定したアドレスと対称となるようにします 85 Copyright 20 Juniper Networks, Inc. www.juniper.net

リモートアクセス VPN - ネットワーク概要センター側 Trust Zone SRX モバイルユーザインターネット ge-0/0/0 92.68..0/24 IP プール 92.68.200.0/24 自宅からのアクセス 86 Copyright 20 Juniper Networks, Inc. www.juniper.net

リモートアクセス VPN 設定 (/3) Remote Access VPN を選択し () Start (2) からセットアップウィザードを開始します 2 87 Copyright 20 Juniper Networks, Inc. www.juniper.net

リモートアクセス VPN 設定 (2/3) ローカル拠点の暗号化対象とするネットワークゾーン () とアドレス (2) 外部ネットワークと接続している Interface(3) を指定し Next (4) を押します 2 3 4 88 Copyright 20 Juniper Networks, Inc. www.juniper.net

リモートアクセス VPN 設定 (3/3) 暗号化トンネルのセキュリティ強度を選択 () し事前共有鍵 (2) および Remote Identity(3) を設定し Next (4) を押します 2 3 4 89 Copyright 20 Juniper Networks, Inc. www.juniper.net

リモートアクセス VPN 設定 (4/3) リモートアクセスを行うユーザ名パスワードを登録 () しますまた内部ルーティングのためにリモートアクセスクライアントに割り当てるプールアドレス (2) DNS サーバ (3) WINS サーバアドレス (4) を指定します最後に Next (5) を押します 2 3 4 Pool アドレスの最初と最後のアドレスを指定したい場合およびセカンダリーの DNS/Wins サーバアドレス指定は後から別メニューで行います ( 後述のオプション参照 ) 5 90 Copyright 20 Juniper Networks, Inc. www.juniper.net

リモートアクセス VPN 設定 (5/3) 設定内容を確認し問題が無ければ Commit ボタン () をクリックします 9 Copyright 20 Juniper Networks, Inc. www.juniper.net

リモートアクセス VPN 設定 (6/3) Commit プロセスが行われます問題が無ければ続けて VPN を設定するかどうかの確認画面が表示されますので No をクリックして Wizard を終了します 92 Copyright 20 Juniper Networks, Inc. www.juniper.net

リモートアクセス VPN 設定 (7/3) 外部から HTTPS でアクセスできるように設定を追加します System Properties -> Management Access をクリック () し Edit ボタンをクリック (2) します 2 93 Copyright 20 Juniper Networks, Inc. www.juniper.net

リモートアクセス VPN 設定 (8/3) Services タブを選択 () します HTTPS を有効化 (2) し証明書 (3) と Untrust 側の Interface(4) を指定した後 OK ボタンをクリック (5) します 2 3 4 5 94 Copyright 20 Juniper Networks, Inc. www.juniper.net

リモートアクセス VPN 設定 (9/3) HTTPS が有効となっており証明書が指定されていることを確認します 95 Copyright 20 Juniper Networks, Inc. www.juniper.net

リモートアクセス VPN 設定 (0/3) Untrust ゾーンに対して HTTPS アクセスが可能となるよう設定を行います Security -> Zones/Screens をクリック () します Untrust ゾーンを選択 (2) し Edit ボタンをクリック (3) します 3 2 96 Copyright 20 Juniper Networks, Inc. www.juniper.net

リモートアクセス VPN 設定 (/3) https サービスを選択 () し Available から Selected へ移動させて (2) OK ボタンをクリック (3) します 2 3 97 Copyright 20 Juniper Networks, Inc. www.juniper.net

リモートアクセス VPN 設定 (2/3) Untrust ゾーンの Services に https( および VPN 用の IKE) が含まれていることを確認します 98 Copyright 20 Juniper Networks, Inc. www.juniper.net

リモートアクセス VPN 設定 (3/3) Actions -> Commit を選択 () し設定を反映させます 99 Copyright 20 Juniper Networks, Inc. www.juniper.net

リモートアクセス VPN 設定オプション (/6) プールアドレスの範囲セカンダリ DNS/WINS サーバの指定を行うには Access Profile の設定を変更します Configure -> Access -> Access Profiles をクリック () します Wizard によって作成された remote_access_profile を選択 (2) し Edit ボタンをクリック (3) します 3 2 00 Copyright 20 Juniper Networks, Inc. www.juniper.net

リモートアクセス VPN 設定オプション (2/6) Configure ボタンをクリック () します 0 Copyright 20 Juniper Networks, Inc. www.juniper.net

リモートアクセス VPN 設定オプション (3/6) dyn-vpn-address-pool をクリック () すると下の Properties of selected address pool で編集できるようになります Add ボタンをクリック (2) します 2 02 Copyright 20 Juniper Networks, Inc. www.juniper.net

リモートアクセス VPN 設定オプション (4/6) レンジ名レンジの最初と最後の IP アドレスを指定します () 03 Copyright 20 Juniper Networks, Inc. www.juniper.net

リモートアクセス VPN 設定オプション (5/6) XAUTH Attributes をクリック () しセカンダリ DNS/WINS サーバのアドレスを指定 (2) します設定に間違いが無いことを確認し OK ボタンをクリック (3) します 2 2 3 04 Copyright 20 Juniper Networks, Inc. www.juniper.net

リモートアクセス VPN 設定オプション (6/6) Close ボタンをクリック () 後 Commit ボタンをクリックし設定を反映させます 05 Copyright 20 Juniper Networks, Inc. www.juniper.net

Chapter5. PPPoE 06 Copyright 20 Juniper Networks, Inc. www.juniper.net

PPPoE 設定 (/22) PPPoE の設定はウィザードを使用して簡単に設定することが可能ですウィザードは Configure タブを選択し左側の項目より Tasks Configure PPPoE をクリックする () と表示されます ( 次ページ ) 07 Copyright 20 Juniper Networks, Inc. www.juniper.net

PPPoE 設定 (2/22) Add ボタンをクリックします () 08 Copyright 20 Juniper Networks, Inc. www.juniper.net

PPPoE 設定 (3/22) Connection Name の入力欄に PPPoE 接続設定名 (ISP 名など ) を入力し () Next ボタンをクリックします (2) 2 09 Copyright 20 Juniper Networks, Inc. www.juniper.net

PPPoE 設定 (4/22) PPPoE 接続用のユーザ ID() とパスワード (2) を入力し Next ボタンをクリック (3) します 2 3 0 Copyright 20 Juniper Networks, Inc. www.juniper.net

PPPoE 設定 (5/22) 入力した設定が表示されていることを確認し正しければ Next ボタンをクリック () します Copyright 20 Juniper Networks, Inc. www.juniper.net

PPPoE 設定 (6/22) PPPoE 回線を接続するインタフェースをクリック () します 2 Copyright 20 Juniper Networks, Inc. www.juniper.net

PPPoE 設定 (7/22) PPPoE 回線を接続するインタフェース上の既存設定を削除しても良いか? という内容のメッセージが表示されます正しいインタフェースを選択しているのであれば Yes ボタンをクリック () します 3 Copyright 20 Juniper Networks, Inc. www.juniper.net

PPPoE 設定 (8/22) PPPoE 回線を接続するインタフェース上の既存設定を削除していますのでしばらく待ちます 4 Copyright 20 Juniper Networks, Inc. www.juniper.net

PPPoE 設定 (9/22) 選択したインタフェースに太い黒枠が付いていることを確認します () ISP から付与されるグローバルアドレスが動的であればこのまま Next ボタン (2) をクリックします 2 5 Copyright 20 Juniper Networks, Inc. www.juniper.net

PPPoE 設定 (0/22) DNS サーバアドレス情報を指定します通常は ISP から自動的に配信されたものを利用しますので設定は特に変更せず Next ボタン () をクリックします 6 Copyright 20 Juniper Networks, Inc. www.juniper.net

PPPoE 設定 (/22) PPPoE 回線を接続するインタフェーズの Zone を指定します () 通常は untrust を指定しますよろしければ Next ボタン (2) をクリックします 2 7 Copyright 20 Juniper Networks, Inc. www.juniper.net

PPPoE 設定 (2/22) 入力した設定が表示されていることを確認し正しければ Next ボタンをクリック () します 8 Copyright 20 Juniper Networks, Inc. www.juniper.net

PPPoE 設定 (3/22) Next ボタンをクリック () します 9 Copyright 20 Juniper Networks, Inc. www.juniper.net

PPPoE 設定 (4/22) これまでの設定が表示されますので + ボタンをクリックし () 内容を確認してください正しければ Next ボタンをクリックします (2) 2 20 Copyright 20 Juniper Networks, Inc. www.juniper.net

PPPoE 設定 (5/22) Apply Settings ボタンをクリックします () 2 Copyright 20 Juniper Networks, Inc. www.juniper.net

PPPoE 設定 (6/22) 設定反映中となりますのでしばらく待ちます 22 Copyright 20 Juniper Networks, Inc. www.juniper.net

PPPoE 設定 (7/22) 設定が設定された旨のメッセージが表示されます Done ボタンをクリックし (2) ウィザードを終了します 23 Copyright 20 Juniper Networks, Inc. www.juniper.net

PPPoE 設定 (8/22) PPPoE セッションが切断された場合に自動的に再接続させるための設定を追加します CLI Tools Point and Click CLI をクリックします次に画面中ほどの設定ツリーにて groups -> wiz-pppoe-0 interfaces interface pp0 unit 0 pppoe-options をクリックします Auto reconnect 設定項目に対し 30 くらいの値 ( 単位は秒 ) を入力し Commi... ボタンをクリックします 2 3 4 24 Copyright 20 Juniper Networks, Inc. www.juniper.net

PPPoE 設定 (9/22) 設定を反映させるため OK ボタンをクリックします () 25 Copyright 20 Juniper Networks, Inc. www.juniper.net

PPPoE 設定 (20/22) 正常に設定反映が行われると Success と表示されます () 26 Copyright 20 Juniper Networks, Inc. www.juniper.net

PPPoE 設定 (2/22) TCP MSS の設定を追加します Security -> Policy -> Apply Policy をクリック () します次に Global Options ボタンをクリックします (2) 2 27 Copyright 20 Juniper Networks, Inc. www.juniper.net

PPPoE 設定 (22/22) Flow TCP タブをクリックし () Enable MSS override for all packets チェックボックスを有効にします (2) 次に MSS value 値として数値 ( ここでは 420)(3) を入力し OK ボタンをクリックします (4) 最後に設定を反映させるため Actions -> Commit ボタンをクリックします (5) 2 3 5 4 28 Copyright 20 Juniper Networks, Inc. www.juniper.net

PPPoE 接続確認 (/2) Monitor タブ () から PPPoE (2) をクリックし PPPoE Interface の State(3) が Session Up になっていれば PPPoE が正常に接続できていることになります 3 2 29 Copyright 20 Juniper Networks, Inc. www.juniper.net

PPPoE 接続確認 (2/2) Monitor タブの Interfaces () をクリックした後 Ports for FPC(2) から All を選択すると PPPoE 接続インタフェースの情報 ( グローバル IP アドレスなど ) が確認できます (4) 2 3 4 30 Copyright 20 Juniper Networks, Inc. www.juniper.net