基本的なチューニングJuniper SRXシリーズ

Juniper SRXルーターのセットアップに関するいくつかの記事が既にあります(たとえば、 onetwothreeなど)。 この記事では、有用な情報を統合して、それをいくつかの素敵な小さなもので補完しようとします。



猫に興味がある人は誰でも聞いてください。



新しいジュニパーSRX240Bは私の手に落ち、以下のすべてが適用されます。 そして以来 JunOSは、シリーズ全体(少なくとも)で単一のOSとして位置付けられ、その後、独自の結論を導き出します。 また、JunOS 12.1X46-D20.5のバージョン(投稿の公開時の最新版)も使用しています。

cartman@gw-jsrx240# run show version Hostname: gw-jsrx240 Model: srx240b JUNOS Software Release [12.1X46-D20.5]
      
      







まず、解決するタスクの小さな円を提示します。





行こう...



送信元NAT



ソースNATを構成するには、次のコマンドを実行するだけです。



 cartman@gw-jsrx240# show security nat | display set set security nat source rule-set trust-to-untrust from zone trust set security nat source rule-set trust-to-untrust to zone untrust set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0 set security nat source rule-set trust-to-untrust rule source-nat-rule then source-nat interface
      
      







または、構成の形式で:



 cartman@gw-jsrx240# show security nat source { rule-set trust-to-untrust { from zone trust; to zone untrust; rule source-nat-rule { match { source-address 0.0.0.0/0; } then { source-nat { interface; } } } } }
      
      







この構成では、ルーターの内部インターフェイスで構成されるすべてのネットワークがNATします。 一部のみをNATする必要がある場合は、代わりに:



 set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0
      
      







書き込む必要があります(ネットワーク172.16.1.0/27の例を示します)。



 set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 172.16.1.0/27
      
      







DHCPサーバー



次に、SRXをDHCPサーバーとして構成します。 インターフェイスはすでに構成されていると想定されており、 vlan.0インターフェイスに対してのみDHCPサーバーを構成する必要があります。



 cartman@gw-jsrx240# show system services dhcp | display set set system services dhcp maximum-lease-time 21600 set system services dhcp default-lease-time 21600 set system services dhcp pool 172.16.1.0/27 address-range low 172.16.1.2 set system services dhcp pool 172.16.1.0/27 address-range high 172.16.1.30 set system services dhcp pool 172.16.1.0/27 router 172.16.1.1 set system services dhcp propagate-settings vlan.0
      
      







または、構成の形式で:



 cartman@gw-jsrx240# show system services dhcp maximum-lease-time 21600; default-lease-time 21600; pool 172.16.1.0/27 { address-range low 172.16.1.2 high 172.16.1.30; router { 172.16.1.1; } } propagate-settings vlan.0;
      
      







この場合、リースの有効期間を6時間に設定します (6 * 60分* 60秒= 21600秒)。 デフォルトゲートウェイは172.16.1.1を実行します。 172.16.1.2からアドレスの配布を開始し、 172.16.1.30 (DHCPサーバーが機能する範囲)を終了します。



これらのオプションは、 vlan.0インターフェイスでのみ機能します。 必要に応じて、たとえばge-0 / 0/1など、インターフェイスの実際の名前に置き換えることができます。



DHCPサーバーの統計は、次のコマンドで表示できます。



 cartman@gw-jsrx240# run show system services dhcp statistics Packets dropped: Total 0 Messages received: BOOTREQUEST 0 DHCPDECLINE 0 DHCPDISCOVER 0 DHCPINFORM 0 DHCPRELEASE 0 DHCPREQUEST 0 Messages sent: BOOTREPLY 0 DHCPOFFER 0 DHCPACK 0 DHCPNAK 0
      
      







DNSサーバー



次に、DNSサーバーのセットアップに進みましょう。 Junos OSバージョン12.1x44D10以降では DNSプロキシがサポートされています。設定してみましょう。



 cartman@gw-jsrx240# show system services dns | display set set system services dns forwarders 8.8.8.8 set system services dns forwarders 8.8.4.4 set system services dns dns-proxy interface vlan.0 set system services dns dns-proxy cache gw-jsrx240.HOME.local inet 172.16.1.1
      
      







または、構成の形式で:



 cartman@gw-jsrx240# show system services dns forwarders { 8.8.8.8; 8.8.4.4; } dns-proxy { interface { vlan.0; } cache { gw-jsrx240.HOME.local inet 172.16.1.1; } }
      
      







ここでは、vlan.0インターフェイスでDNSサーバーの動作を構成しました。 gw-jsrx240.HOME.localのAレコードを作成しました(このようなレコードを自分で複数作成できます)。 他のすべてのDNSクエリに対してDNSフォワーダーを設定します。



DNSサーバーをすべての内部インターフェイスに対して有効にする必要がある場合、これは次のように実行できます(複数のVLANがある場合、それに応じて設定を行う必要があります)。



 cartman@gw-jsrx240# show system name-server | display set set system name-server 172.16.1.1
      
      







または、構成の形式で:



 cartman@gw-jsrx240# show system name-server 172.16.1.1;
      
      







DNSクエリの統計は、次のように表示できます。



 cartman@gw-jsrx240# run show system services dns-proxy statistics DNS proxy statistics : Status : enabled IPV4 Queries received : 0 IPV6 Queries received : 0 Responses sent : 0 Queries forwarded : 0 Negative responses : 0 Positive responses : 0 Retry requests : 0 Pending requests : 0 Server failures : 0 Interfaces : vlan.0
      
      







次のようなDNSキャッシュのエントリを見てください(多くのエントリがあるため、デバイスキャッシュ自体は表示されません)。



 cartman@gw-jsrx240# run show system services dns-proxy cache
      
      







次のようにDNSキャッシュをクリアします。



 cartman@gw-jsrx240# run clear system services dns-proxy cache
      
      







SSH強化



次に、SSHサーバーをセキュリティで保護します(外部に見えても)(SSH_RSA_PUBLIC_KEYの代わりに、SSH RSA公開キーを挿入する必要があります)。



 cartman@gw-jsrx240# show system services ssh | display set set system services ssh root-login deny set system services ssh protocol-version v2 set system services ssh connection-limit 5 set system services ssh rate-limit 5 cartman@gw-jsrx240# show system login | display set set system login retry-options tries-before-disconnect 5 set system login retry-options backoff-threshold 1 set system login retry-options backoff-factor 10 set system login retry-options minimum-time 30 set system login user cartman full-name "FIRST_NAME LAST_NAME" set system login user cartman uid 2000 set system login user cartman class super-user set system login user cartman authentication ssh-rsa "SSH_RSA_PUBLIC_KEY"
      
      







または、構成の形式で:



 cartman@gw-jsrx240# show system services ssh root-login deny; protocol-version v2; connection-limit 5; rate-limit 5; cartman@gw-jsrx240# show system login retry-options { tries-before-disconnect 5; backoff-threshold 1; backoff-factor 10; minimum-time 30; } user cartman { full-name "FIRST_NAME LAST_NAME"; uid 2000; class super-user; authentication { ssh-rsa "SSH_RSA_PUBLIC_KEY"; ## SECRET-DATA } }
      
      







説明:





私はrootにパスワードを使用してログインする機能を残しておきたいのですが、コンソール経由でのみ使用します。 上記の制限を持つキーのみを持つ他のユーザー。



IDP、セキュリティ機能



 cartman@gw-jsrx240# show security screen | display set set security screen ids-option untrust-screen icmp ping-death set security screen ids-option untrust-screen ip source-route-option set security screen ids-option untrust-screen ip tear-drop set security screen ids-option untrust-screen tcp syn-flood alarm-threshold 1024 set security screen ids-option untrust-screen tcp syn-flood attack-threshold 200 set security screen ids-option untrust-screen tcp syn-flood source-threshold 1024 set security screen ids-option untrust-screen tcp syn-flood destination-threshold 2048 set security screen ids-option untrust-screen tcp syn-flood timeout 20 set security screen ids-option untrust-screen tcp land
      
      







または、構成の形式で:



 cartman@gw-jsrx240# show security screen ids-option untrust-screen { icmp { ping-death; } ip { source-route-option; tear-drop; } tcp { syn-flood { alarm-threshold 1024; attack-threshold 200; source-threshold 1024; destination-threshold 2048; timeout 20; } land; } }
      
      







最後に...



コミットすることを忘れないでください。そうしないと、変更は有効になりません。

 cartman@gw-jsrx240# commit check configuration check succeeds cartman@gw-jsrx240# commit commit complete
      
      







合計



最終的な構成は以下で表示できます。 ルーターには、非常に適切なお金で必要な機能がすべて備わっています。



cartman @ gw-jsrx240#show
cartman @ gw-jsrx240#show

##最終変更日:2014-07-12 20:15:48 MSK

バージョン12.1X46-D20.5;

システム{

ホスト名gw-jsrx240;

ドメイン名HOME.local;

ドメイン検索HOME.local;

タイムゾーンヨーロッパ/モスクワ;

認証順序パスワード。

ルート認証{

暗号化パスワード「$ 1 $ ENCRYPTED_PASSWORD」; ##シークレットデータ

}

ネームサーバー{

172.16.1.1;

}

名前解決{

入力時に解決しない;

}

ログイン{

retry-options {

切断前の試行5;

バックオフしきい値1。

backoff-factor 10;

最小時間30;

}

ユーザーcartman {

フルネーム「FIRST_NAME LAST_NAME」;

uid 2000;

クラスのスーパーユーザー。

認証{

ssh-rsa "SSH_RSA_PUBLIC_KEY"; ##シークレットデータ

}

}

}

サービス{

ssh {

ルートログイン拒否。

プロトコルバージョンv2。

接続制限5。

レート制限5。

}

dns {

フォワーダー{

8.8.8.8;

8.8.4.4;

}

dns-proxy {

インターフェース{

vlan.0;

}

キャッシュ{

gw-jsrx240.HOME.local inet 172.16.1.1;

}

}

}

ウェブ管理{

https {

ポート443;

システム生成証明書;

インターフェイスvlan.0;

}

セッション{

アイドルタイムアウト300。

セッション制限2。

}

}

dhcp {

最大リース時間21600;

デフォルトのリース時間21600;

プール172.16.1.0/27 {

アドレス範囲の下限172.16.1.2上限172.16.1.30;

ルーター{

172.16.1.1;

}

}

propagate-settings vlan.0;

}

}

syslog {

アーカイブサイズ100kファイル3;

ユーザー* {

緊急事態;

}

ファイルメッセージ{

重大な;

認証情報;

}

ファイルインタラクティブコマンド{

インタラクティブコマンドエラー。

}

}

max-configurations-on-flash 5;

max-configuration-rollbacks 5;

ライセンス{

自動更新{

url ae1.juniper.net/junos/key_retrieval;

}

}

ntp {

server 0.pool.ntp.orgが好む;

サーバー1.pool.ntp.org;

サーバー2.pool.ntp.org;

サーバー3.pool.ntp.org;

}

}

インターフェース{

interface-range interfaces-trust {

メンバー範囲ge-0 / 0/1からge-0 / 0/15;

ユニット0 {

ファミリーイーサネットスイッチング{

vlan {

メンバーvlan-trust;

}

}

}

}

ge-0 / 0/0 {

ユニット0 {

ファミリーinet {

dhcp;

}

}

}

ge-0 / 0/1 {

ユニット0 {

ファミリーイーサネットスイッチング{

vlan {

メンバーvlan-trust;

}

}

}

}

ge-0 / 0/2 {

ユニット0 {

ファミリーイーサネットスイッチング{

vlan {

メンバーvlan-trust;

}

}

}

}

ge-0 / 0/3 {

ユニット0 {

ファミリーイーサネットスイッチング{

vlan {

メンバーvlan-trust;

}

}

}

}

ge-0 / 0/4 {

ユニット0 {

ファミリーイーサネットスイッチング{

vlan {

メンバーvlan-trust;

}

}

}

}

ge-0 / 0/5 {

ユニット0 {

ファミリーイーサネットスイッチング{

vlan {

メンバーvlan-trust;

}

}

}

}

ge-0 / 0/6 {

ユニット0 {

ファミリーイーサネットスイッチング{

vlan {

メンバーvlan-trust;

}

}

}

}

ge-0 / 0/7 {

ユニット0 {

ファミリーイーサネットスイッチング{

vlan {

メンバーvlan-trust;

}

}

}

}

ge-0 / 0/8 {

ユニット0 {

ファミリーイーサネットスイッチング{

vlan {

メンバーvlan-trust;

}

}

}

}

ge-0 / 0/9 {

ユニット0 {

ファミリーイーサネットスイッチング{

vlan {

メンバーvlan-trust;

}

}

}

}

ge-0 / 0/10 {

ユニット0 {

ファミリーイーサネットスイッチング{

vlan {

メンバーvlan-trust;

}

}

}

}

ge-0 / 0/11 {

ユニット0 {

ファミリーイーサネットスイッチング{

vlan {

メンバーvlan-trust;

}

}

}

}

ge-0 / 0/12 {

ユニット0 {

ファミリーイーサネットスイッチング{

vlan {

メンバーvlan-trust;

}

}

}

}

ge-0 / 0/13 {

ユニット0 {

ファミリーイーサネットスイッチング{

vlan {

メンバーvlan-trust;

}

}

}

}

ge-0 / 0/14 {

ユニット0 {

ファミリーイーサネットスイッチング{

vlan {

メンバーvlan-trust;

}

}

}

}

ge-0 / 0/15 {

ユニット0 {

ファミリーイーサネットスイッチング{

vlan {

メンバーvlan-trust;

}

}

}

}

vlan {

ユニット0 {

ファミリーinet {

アドレス172.16.1.1/27;

}

}

}

}

プロトコル{

stp;

}

セキュリティ{

画面{

ids-option untrust-screen {

icmp {

ping-death;

}

ip {

ソースルートオプション。

涙滴;

}

tcp {

syn-flood {

アラームしきい値1024;

攻撃しきい値200;

ソースしきい値1024;

宛先しきい値2048;

タイムアウト20。

}

土地;

}

}

}

nat {

ソース{

ルールセットのtrust-to-untrust {

ゾーンの信頼から。

ゾーンの信頼を失います。

ルールsource-nat-rule {

マッチ{

送信元アドレス0.0.0.0/0;

}

その後{

source-nat {

インターフェース;

}

}

}

}

}

}

ポリシー{

from-zone trust to-zone untrust {

ポリシーtrust-to-untrust {

マッチ{

送信元アドレスany;

宛先アドレスany;

アプリケーションany;

}

その後{

許可;

}

}

}

from-zone trust to-zone trust {

ポリシーtrust-to-trust {

マッチ{

送信元アドレスany;

宛先アドレスany;

アプリケーションany;

}

その後{

許可;

}

}

}

}

ゾーン{

security-zone untrust {

画面untrust-screen;

インターフェース{

ge-0 / 0 / 0.0 {

host-inbound-traffic {

system-services {

ping

ssh;

dhcp;

}

}

}

}

}

セキュリティゾーンの信頼{

host-inbound-traffic {

system-services {

すべて;

}

プロトコル{

すべて;

}

}

インターフェース{

vlan.0;

}

}

}

}

vlans {

vlan-trust {

vlan-id 10;

l3-interface vlan.0;

}

}





招待が発行された場合、PPPoE、ダイナミックVPN、サイト間VPNなどの設定について説明します。



All Articles