メニュー
【 メンバー専用 】
- ツール
- 未使用ページ
MenuBar を 
edit
【 Tips 】 †
- Linux
- 各種サーバ構築関連
- web, qmail, Linuxディストリ, ハードウェア, Samba, モニタリング, Tips
- Windows
- PortableApps.com
- TeraTermPro
- WSUS
- リモートデスクトップ
- Tips
- その他 古い話題
- Hardware
- 映像端子
- ビデオキャプチャ
- 道具
- AVIOSYS_IPSensor9216
- NWハードウェア(L2SW,FW)
- LAN配線
- APC Smart-UPS
- CD-R, DVD-R, BD-R
- いろいろベンチマーク
- USBサーバ
- ベンチマーク, Zaurus, その他メモ
- VMWare
- HTML, Pukiwiki
- XAMPP for Mac OSX
- okkun-labにおけるレポート(報告書)Tips
- Android (Java)
- SQL
- AWS
- etc
Tips を edit
最新の20件
2020-03-26
2019-08-10
2019-07-26
2019-07-21
- Tips/Hardware/NWHW/Juniper_Netscreen_25
- Total:2075/Today:2
Juniper Netscreen に関する何か †
- NS-25とか最近安くなりました(中古)
- ¥7,980@Network1 2010/07/09
- ヤフオクとかだと ¥2,500とかある。。。
- NS-50とかNS-208も一部情報を掲載しています。
- 最近だとSSG 140とかSSG 320Mとかも安くなってきました。
コンソール †
- Ciscoのきしめんコンソールケーブルが使用可能
- 9600bps, 8bit, parity none, stopbit 1bit, flowcontrol none
- PCと繋いでEnter
機能比較 †
- 使ったことのある機種のみ機能比較
- メーカー公開情報
NetScreen-208 NetScreen-204 NetScreen-50 NetScreen-25 インターフェース 8x 100Mbps 4x 100Mbps 4x 100Mbps 4x 100Mbps 外寸(W x H x D) 445 x 44 x 274mm 445 x 44 x 274mm 445 x 44 x 274mm 445 x 44 x 274mm 重量 3.6kg 3.6kg 3.6kg 3.6kg 消費電力 45W(90-264VAC) 45W(90-264VAC) 45W(90-264VAC) 45W(90-264VAC) 同時セッション数(最大) 128,000 128,000 64,000 16,000 新規セッション数(最大) 11,500 11,500 5,000 4,000 Firewallスループット(最大) 550Mbps 400Mbps 170Mbps 100Mbps VPN(3DES)スループット(最大) 200Mbps 200Mbps 45Mbps 20Mbps Deep Inspectionスループット(最大) 180Mbps 180Mbps 75Mbps 75Mbps ポリシー数 4,000 4,000 1,000 500 VPNトンネル数Site to Site(最大) 1,000 1,000 100 25 VPNトンネル数Remote Access(最大) - - 400 100 冗長構成(HA) Act/Act Act/Pasv Act/Act Act/Pasv Act/Pasv HA Lite (Act/Pasvセッション引継ぎ不可) - 使ってて見つけた情報
NetScreen-208 NetScreen-204 NetScreen-50 NetScreen-25 Sub-IF(1つのポートに複数のIFを振る) × × ○ ○ メモリ 空き容量が非常に少なく見える
- メーカー公開情報
configを取得する †
- GUI(web)から
- Configuration -> Update -> Config File
- Download Configuration from DeviceのSave To File
- CUIから
- set console page 0
- コンソールで画面ごとに出力が一時停止しなくなる
- get config
- 出力されたconfigをコピペ
- set console page 0
- メモ
- get config : 変更点のみ出力
- get config all : デフォルトも含めて出力
- get tech : ログやらステータスやらなんでも大量に出力
初期化 †
- SW初期化(ログイン名とPWが分かる場合)
- コンソールにログイン
- Ciscoのきしめんケーブルとかで9400bps
- unset all
- 確認メッセージがでるので、[y]
- reset
- 設定を保存するか聞いてくるので、[n]
- 本当にリセットするか確認が出るので、[y]
- コンソールにログイン
- SW初期化(PWが分からないけど、ログイン名が分かって、Asset Recoveryを有効にしてる場合)
- コンソールで接続(Telnetは不可)
- ログイン名とpasswordにシリアル番号を入力
- Asset Recoveryを無効にしたい場合
- unset admin device-reset
- HW初期化(ログイン名もPWも分からない場合)
- ピンホールを6秒ほど押す
- STATUSランプがオレンジ色になる
- 2秒ほど待つ
- STATUSランプが緑色になる
- ピンホールを6秒ほど押す
- STATUSランプが赤色になる
- 赤→オレンジ→緑→オレンジ→緑→オレンジ→緑が繰り返されれば成功
- 初期化した後は
- http://192.168.1.1またはコンソールで接続
- id: netscreen pw: netscreen
FWアップデート †
- アップデートする前に
- configのバックアップは取りましょう。
- FWのダウンロード
- Juniper Suppoerでログインし、Screen OSの対応バージョンをダウンロード
- Login to Support Centerでメアドとパスワードでログイン
- 事前にメアドと製品のシリアル番号を登録しておく必要あり
- Manage Products - Download Software - ScreenOS
- Download Software - Alternate で製品名を選択(今回はNS-25を選択した)
- 対応バージョンをクリック(Recommended ScreenOS Versionsに製品毎の対応バージョンが記載してある)
- Softwareからzipをダウンロード
- 解凍
- FWのアップデート
- httpsでWebUIにログイン(httpは不可)
- Configuration - Update - ScreenOS/Keys
- Firmware Update (ScreenOS)にチェック
- 解凍してできたファイルを選択
- Apply
- 再起動がかかるので待つ
- 注意
- 古いFWからいきなり最新にアップしようとすると失敗する
- とりあえず5.3.0r1.0あたりにアップデートして、さらに5.4以降へアップデートする。
- 古いFWからいきなり最新にアップしようとすると失敗する
TFTPでFWアップデート †
- 古いFWからWebUIでアップデートするとファイルサイズ警告とかアップデート失敗とかすごく面倒
- 少し面倒でも、TFTP使えば確実にアップデートできる
- TFTP32 http://tftpd32.jounin.net/
- Downloadを開く
- 10 Nov 2010 v3.51 tftpd32 standard edition (zip) をダウンロード
- 解凍したtftp32.exeを実行
- Settingsを開いてTFTP > Base Directoryでファームのあるフォルダを指定する
- コンソールをつなぐ
- TFTP32を実行しているPCとNetscreenの1ポートをつなぐ
- ターミナルを接続したまま再起動する
- コンソールにHit any key to run loaderが流れたところでEnter
Boot File Name [ns50ns25.5.3.0-up.0]: ns50ns25.5.4.0r20.0(新しいファームのファイル名) Self IP Address [172.16.10.1]: 192.168.1.1(NetscreenのIP) TFTP IP Address [172.16.10.131]: 192.168.1.2(TFTP32のPCのIP)
- コンソールにHit any key to run loaderが流れたところでEnter
- あとはながれのままに
- この方法はWebUIでアップデート失敗してロード中にdata errorとなる場合の復旧にも使えるみたい。
- telnetでTFTPアップロードする場合は、ログイン後に
save software tftp 192.168.1.100 ssg320ssg350.6.3.0r27 to flash reset
起動時にIgnore image authentication! †
- FWの証明書がないから出るらしい
- ダウンロードする
- http://www.juniper.net/techpubs/software/screenos/mibs.html
- ScreenOS Image Key October 2008 をダウンロード
- インストールする
- NetscreenのWebUIからConfig > Update > ScreenOS/Keys の Image Signature Key UpdateにApply
設定とか †
Configuration > Date/Time †
- 時刻やNTPクライアント
- Set Time Zone: +9 hours 0 minutes
- [ ]Automatically adjust clock for DST(夏時間対応)
- [v]Automatically synchronize with an Internet Time Server
- Update system clock every 360 minutes(360分間隔でNTPポーリング)
- Primary~Backup server2 IP/Name(NTPサーバホスト名)
- Source interface(NTP投げ先ポート)
Configuration > Admin > Administrators †
- 管理アカウント
- デフォルトはnetscreenで、パスワードはnetscreen。
Configuration > Admin > Management †
- 管理画面
- HTTP Port 80(80番ポートをHTTP受けポートとする)
- [v]Redirect HTTP to HTTPS(HTTPでアクセスしてきたら強制的にHTTPSへリダイレクト)
- [v]SSL
- Cipher 3DES_SHA1(暗号化アルゴリズム ※3DES_SHA1にしないと最近のブラウザは拒否る)
- [v]Enable SSH
- 初めてEnable SSHしてApplyすると、暗号化キーを作るためにしばらく固まることがある。
Network > interface †
- それぞれのポートに関する設定
- 帯域制御を設定する場合
- Traffic Bandwidth
- Egress Maximum Bandwidth xxx Kbps(interfaceから出て行くパケ)
- Ingress Maximum Bandwidth xxx Kbps(interfaceに入ってくるパケ)
- 0 Kbpsで無効
- Traffic Bandwidth
Network > interface : MIP/DIP/VIP †
Network > PPP > PPPoE †
Network > DHCP †
Network > DNS †
- Host: Netscreen自身の名前解決の設定
- Host Name #自ホスト名
- Domain Name #自ホスト所属ドメイン
- Primary DNS Server ~ Tertiary DNS Server #参照先DNSサーバとそのポート
- DNS Refresh: (checked) # 定期的にキャッシュをリフレッシュする
- Proxy: Netscreen配下のNWの名前解決の設定
- DNS Proxy Setting: とりあえずDNSサーバを起動するために両方チェック
- Initialize Proxy DNS Server: (checked)
- Enable Proxy DNS Server: (checked)
- DNS Server Selection Table: 参照先DNSサーバを定義
- Domain Name: * #とりあえずどのドメインのクエリに対しても回答する
- Outgoing Interface: none #問い合わせ先のポート
- Primary DNS Server ~ Tertiary DNS Server: 問い合わせ先DNSサーバ
- Failover: Primaryが死んでいるときにTertiaryまでフェイルオーバーさせる
- DNS Proxy Setting: とりあえずDNSサーバを起動するために両方チェック
Policies †
VPNs †
- IPSecの設定
- ハブアンドスポーク構成
- いわゆるスター型
- とりあえず本社〜支社みたいに設定すれば簡単にできるが、すべて本社経由になる。
- 今回は面倒なのでハブアンドスポーク構成で。
- フルメッシュ構成
- メッシュ型
- すべての拠点同士を接続するが、設定がすごく面倒。
- ポリシーベース
- 名前の通り、ポリシーで経路を設定する。
- ルーティングベース
- 名前の通り、ルーティングで経路を設定する。
- こっちが推奨らしい。
- ハブアンドスポーク構成
拠点間VPN(ハブアンドスポーク)の設定 †
- VPN用のInterfaceを作る
- Network > InterfaceでTunnel IFをNew
- Tunnel Interface Name: 1(自動で連番が振られる)
Zone: Trust, Unnumbered Interface: ethernet3(trust側)
- Gatewayを作る
- VPNs > AutoKey Advanced > GatewayでNew
- Gateway Nameは適当(VPN_Bとか)
Remote Gateway Type: Static Ip: 10.0.0.2(B拠点のグローバルIP)
Preshared Key: hogehoge(両拠点の共通パスフレーズ)
Outgoing Interface: ethernet1(untrust側)
- IKEを作る
- VPNs > AutoKey IKEでNew
- VPN Nameは適当(VPN_A-Bとか)
Remote Gateway: Predefined: VPN_B(さっき作ったGateway)
Advanced
Bind to: Tunnel Interface: tunnel.1(さっき作ったInterface)
VPN Monitor: (check) (切断検出)
Rekey: (check) (自動再接続)
- Routingを作る
- Network > Routing > Destinationでtrust-vrでNew
- IP Adress/Netmask: 192.168.2.0/24(B拠点のローカルIP)
Next Hop: Gateway
Interface: tunnel.1
- 対向のB拠点もA拠点向けの設定を行う。
そのほか小技 †
- ちょっとした小技とか、細かい設定とか。
ALERMランプを消す †
- SSHかTelnetかコンソールでCLIにログイン
- clear led alerm
MIB (SNMP) †
- ポリシーベースで転送量を監視する
- Policiesで監視したいポリシーのAdvancedにあるCountingにチェックする
- MIBはこのあたり
- nsPlyMonTable 1.3.6.1.4.1.3224.10.2
- nsPlyMonEntry 1.3.6.1.4.1.3224.10.2.1
- nsPlyMonId 1.3.6.1.4.1.3224.10.2.1.1
- nsPlyMonSessionPerMin 1.3.6.1.4.1.3224.10.2.1.10
- nsPlyMonTotalSession 1.3.6.1.4.1.3224.10.2.1.11
- nsPlyMonVsys 1.3.6.1.4.1.3224.10.2.1.2
- nsPlyMonPackPerSec 1.3.6.1.4.1.3224.10.2.1.3
- nsPlyMonPackPerMin 1.3.6.1.4.1.3224.10.2.1.4
- nsPlyMonTotalPacket 1.3.6.1.4.1.3224.10.2.1.5
- nsPlyMonBytePerSec 1.3.6.1.4.1.3224.10.2.1.6
- nsPlyMonBytePerMin 1.3.6.1.4.1.3224.10.2.1.7
- nsPlyMonTotalByte 1.3.6.1.4.1.3224.10.2.1.8
- nsPlyMonSessionPerSec 1.3.6.1.4.1.3224.10.2.1.9
- 末尾に.x.0(xはポリシーID)を付ける
- MRTGを取ったりするのであればnsPlyMonTotalByteあたりが良いのかもしれない
- 参考: NETSCREEN-POLICY-MIB - oidview
IPv6対応 †
- CLIで
- set envar ipv6=yes
- InterfaceにIPv6項目が増えたり、PolicyのAnyがAny-IPv4になったり、メニューにDHCPv6が増えたりする。
- IPv6はソフトウェア処理らしいので、下位機種はIPv6だけ速度が落ちる可能性がある。
- IPv6をOFFにするには
- set envar ipv6=no
- unset allでも設定は消えない。
Skin "GS2" is designed by yiza.
Powered by PHP 5.6.40. HTML convert time: 0.074 sec.