Juniper Netscreen に関する何か

  • NS-25とか最近安くなりました(中古)
    • ¥7,980@Network1 2010/07/09
    • ヤフオクとかだと ¥2,500とかある。。。
  • NS-50とかNS-208も一部情報を掲載しています。
  • 最近だとSSG 140とかSSG 320Mとかも安くなってきました。

コンソール

  • Ciscoのきしめんコンソールケーブルが使用可能
    • 9600bps, 8bit, parity none, stopbit 1bit, flowcontrol none
    • PCと繋いでEnter

機能比較

  • 使ったことのある機種のみ機能比較
    • メーカー公開情報
      NetScreen-208NetScreen-204NetScreen-50NetScreen-25
      インターフェース8x 100Mbps4x 100Mbps4x 100Mbps4x 100Mbps
      外寸(W x H x D)445 x 44 x 274mm445 x 44 x 274mm445 x 44 x 274mm445 x 44 x 274mm
      重量3.6kg3.6kg3.6kg3.6kg
      消費電力45W(90-264VAC)45W(90-264VAC)45W(90-264VAC)45W(90-264VAC)
      同時セッション数(最大)128,000128,00064,00016,000
      新規セッション数(最大)11,50011,5005,0004,000
      Firewallスループット(最大)550Mbps400Mbps170Mbps100Mbps
      VPN(3DES)スループット(最大)200Mbps200Mbps45Mbps20Mbps
      Deep Inspectionスループット(最大)180Mbps180Mbps75Mbps75Mbps
      ポリシー数4,0004,0001,000500
      VPNトンネル数Site to Site(最大)1,0001,00010025
      VPNトンネル数Remote Access(最大)--400100
      冗長構成(HA)Act/Act Act/PasvAct/Act Act/PasvAct/PasvHA Lite (Act/Pasvセッション引継ぎ不可)
    • 使ってて見つけた情報
      NetScreen-208NetScreen-204NetScreen-50NetScreen-25
      Sub-IF(1つのポートに複数のIFを振る)××
      メモリ空き容量が非常に少なく見える

configを取得する

  • GUI(web)から
    • Configuration -> Update -> Config File
    • Download Configuration from DeviceのSave To File
  • CUIから
    • set console page 0
      • コンソールで画面ごとに出力が一時停止しなくなる
    • get config
      • 出力されたconfigをコピペ
  • メモ
    • get config : 変更点のみ出力
    • get config all : デフォルトも含めて出力
    • get tech : ログやらステータスやらなんでも大量に出力

初期化

  • SW初期化(ログイン名とPWが分かる場合)
    • コンソールにログイン
      • Ciscoのきしめんケーブルとかで9400bps
    • unset all
    • 確認メッセージがでるので、[y]
    • reset
    • 設定を保存するか聞いてくるので、[n]
    • 本当にリセットするか確認が出るので、[y]
  • SW初期化(PWが分からないけど、ログイン名が分かって、Asset Recoveryを有効にしてる場合)
    • コンソールで接続(Telnetは不可)
    • ログイン名とpasswordにシリアル番号を入力
  • Asset Recoveryを無効にしたい場合
    • unset admin device-reset
  • HW初期化(ログイン名もPWも分からない場合)
    • ピンホールを6秒ほど押す
    • STATUSランプがオレンジ色になる
    • 2秒ほど待つ
    • STATUSランプが緑色になる
    • ピンホールを6秒ほど押す
    • STATUSランプが赤色になる
    • 赤→オレンジ→緑→オレンジ→緑→オレンジ→緑が繰り返されれば成功
  • 初期化した後は

FWアップデート

  • アップデートする前に
    • configのバックアップは取りましょう。
  • FWのダウンロード
    • Juniper Suppoerでログインし、Screen OSの対応バージョンをダウンロード
    • Login to Support Centerでメアドとパスワードでログイン
      • 事前にメアドと製品のシリアル番号を登録しておく必要あり
    • Manage Products - Download Software - ScreenOS
      • Download Software - Alternate で製品名を選択(今回はNS-25を選択した)
    • 対応バージョンをクリック(Recommended ScreenOS Versionsに製品毎の対応バージョンが記載してある)
    • Softwareからzipをダウンロード
      • 解凍
  • FWのアップデート
    • httpsでWebUIにログイン(httpは不可)
    • Configuration - Update - ScreenOS/Keys
    • Firmware Update (ScreenOS)にチェック
    • 解凍してできたファイルを選択
    • Apply
    • 再起動がかかるので待つ
  • 注意
    • 古いFWからいきなり最新にアップしようとすると失敗する
      • とりあえず5.3.0r1.0あたりにアップデートして、さらに5.4以降へアップデートする。

TFTPでFWアップデート

  • 古いFWからWebUIでアップデートするとファイルサイズ警告とかアップデート失敗とかすごく面倒
    • 少し面倒でも、TFTP使えば確実にアップデートできる
  • TFTP32 http://tftpd32.jounin.net/
    • Downloadを開く
    • 10 Nov 2010 v3.51 tftpd32 standard edition (zip) をダウンロード
    • 解凍したtftp32.exeを実行
    • Settingsを開いてTFTP > Base Directoryでファームのあるフォルダを指定する
  • コンソールをつなぐ
  • TFTP32を実行しているPCとNetscreenの1ポートをつなぐ
  • ターミナルを接続したまま再起動する
    • コンソールにHit any key to run loaderが流れたところでEnter
      Boot File Name [ns50ns25.5.3.0-up.0]: ns50ns25.5.4.0r20.0(新しいファームのファイル名)
      Self IP Address [172.16.10.1]: 192.168.1.1(NetscreenのIP)
      TFTP IP Address [172.16.10.131]: 192.168.1.2(TFTP32のPCのIP)
  • あとはながれのままに
    • この方法はWebUIでアップデート失敗してロード中にdata errorとなる場合の復旧にも使えるみたい。

起動時にIgnore image authentication!

設定とか

Configuration > Date/Time

  • 時刻やNTPクライアント
    • Set Time Zone: +9 hours 0 minutes
    • [ ]Automatically adjust clock for DST(夏時間対応)
    • [v]Automatically synchronize with an Internet Time Server
      • Update system clock every 360 minutes(360分間隔でNTPポーリング)
      • Primary~Backup server2 IP/Name(NTPサーバホスト名)
      • Source interface(NTP投げ先ポート)

Configuration > Admin > Administrators

  • 管理アカウント
    • デフォルトはnetscreenで、パスワードはnetscreen。

Configuration > Admin > Management

  • 管理画面
    • HTTP Port 80(80番ポートをHTTP受けポートとする)
    • [v]Redirect HTTP to HTTPS(HTTPでアクセスしてきたら強制的にHTTPSへリダイレクト)
    • [v]SSL
    • Cipher 3DES_SHA1(暗号化アルゴリズム ※3DES_SHA1にしないと最近のブラウザは拒否る)
    • [v]Enable SSH
      • 初めてEnable SSHしてApplyすると、暗号化キーを作るためにしばらく固まることがある。

Network > interface

  • それぞれのポートに関する設定
  • 帯域制御を設定する場合
    • Traffic Bandwidth
      • Egress Maximum Bandwidth xxx Kbps(interfaceから出て行くパケ)
      • Ingress Maximum Bandwidth xxx Kbps(interfaceに入ってくるパケ)
      • 0 Kbpsで無効

Network > interface : MIP/DIP/VIP

Network > PPP > PPPoE

Network > DHCP

Network > DNS

  • Host: Netscreen自身の名前解決の設定
    • Host Name #自ホスト名
    • Domain Name #自ホスト所属ドメイン
    • Primary DNS Server ~ Tertiary DNS Server #参照先DNSサーバとそのポート
    • DNS Refresh: (checked) # 定期的にキャッシュをリフレッシュする
  • Proxy: Netscreen配下のNWの名前解決の設定
    • DNS Proxy Setting: とりあえずDNSサーバを起動するために両方チェック
      • Initialize Proxy DNS Server: (checked)
      • Enable Proxy DNS Server: (checked)
    • DNS Server Selection Table: 参照先DNSサーバを定義
      • Domain Name: * #とりあえずどのドメインのクエリに対しても回答する
      • Outgoing Interface: none #問い合わせ先のポート
      • Primary DNS Server ~ Tertiary DNS Server: 問い合わせ先DNSサーバ
      • Failover: Primaryが死んでいるときにTertiaryまでフェイルオーバーさせる

Policies

VPNs

  • IPSecの設定
    • ハブアンドスポーク構成
      • いわゆるスター型
      • とりあえず本社〜支社みたいに設定すれば簡単にできるが、すべて本社経由になる。
      • 今回は面倒なのでハブアンドスポーク構成で。
    • フルメッシュ構成
      • メッシュ型
      • すべての拠点同士を接続するが、設定がすごく面倒。
    • ポリシーベース
      • 名前の通り、ポリシーで経路を設定する。
    • ルーティングベース
      • 名前の通り、ルーティングで経路を設定する。
      • こっちが推奨らしい。

拠点間VPN(ハブアンドスポーク)の設定

  • VPN用のInterfaceを作る
    • Network > InterfaceでTunnel IFをNew
    • Tunnel Interface Name: 1(自動で連番が振られる)
      Zone: Trust, Unnumbered Interface: ethernet3(trust側)
  • Gatewayを作る
    • VPNs > AutoKey Advanced > GatewayでNew
    • Gateway Nameは適当(VPN_Bとか)
      Remote Gateway Type: Static Ip: 10.0.0.2(B拠点のグローバルIP)
      Preshared Key: hogehoge(両拠点の共通パスフレーズ)
      Outgoing Interface: ethernet1(untrust側)
  • IKEを作る
    • VPNs > AutoKey IKEでNew
    • VPN Nameは適当(VPN_A-Bとか)
      Remote Gateway: Predefined: VPN_B(さっき作ったGateway)
      Advanced
      Bind to: Tunnel Interface: tunnel.1(さっき作ったInterface)
      VPN Monitor: (check) (切断検出)
      Rekey: (check) (自動再接続)
  • Routingを作る
    • Network > Routing > Destinationでtrust-vrでNew
    • IP Adress/Netmask: 192.168.2.0/24(B拠点のローカルIP)
      Next Hop: Gateway
      Interface: tunnel.1
  • 対向のB拠点もA拠点向けの設定を行う。

そのほか小技

  • ちょっとした小技とか、細かい設定とか。

ALERMランプを消す

  • SSHかTelnetかコンソールでCLIにログイン
    • clear led alerm

MIB (SNMP)

  • ポリシーベースで転送量を監視する
    • Policiesで監視したいポリシーのAdvancedにあるCountingにチェックする
    • MIBはこのあたり
      • nsPlyMonTable 1.3.6.1.4.1.3224.10.2
      • nsPlyMonEntry 1.3.6.1.4.1.3224.10.2.1
      • nsPlyMonId 1.3.6.1.4.1.3224.10.2.1.1
      • nsPlyMonSessionPerMin 1.3.6.1.4.1.3224.10.2.1.10
      • nsPlyMonTotalSession 1.3.6.1.4.1.3224.10.2.1.11
      • nsPlyMonVsys 1.3.6.1.4.1.3224.10.2.1.2
      • nsPlyMonPackPerSec 1.3.6.1.4.1.3224.10.2.1.3
      • nsPlyMonPackPerMin 1.3.6.1.4.1.3224.10.2.1.4
      • nsPlyMonTotalPacket 1.3.6.1.4.1.3224.10.2.1.5
      • nsPlyMonBytePerSec 1.3.6.1.4.1.3224.10.2.1.6
      • nsPlyMonBytePerMin 1.3.6.1.4.1.3224.10.2.1.7
      • nsPlyMonTotalByte 1.3.6.1.4.1.3224.10.2.1.8
      • nsPlyMonSessionPerSec 1.3.6.1.4.1.3224.10.2.1.9
    • 末尾に.x.0(xはポリシーID)を付ける
    • MRTGを取ったりするのであればnsPlyMonTotalByteあたりが良いのかもしれない
    • 参考: NETSCREEN-POLICY-MIB - oidview

IPv6対応

  • CLIで
    • set envar ipv6=yes
  • InterfaceにIPv6項目が増えたり、PolicyのAnyがAny-IPv4になったり、メニューにDHCPv6が増えたりする。
    • IPv6はソフトウェア処理らしいので、下位機種はIPv6だけ速度が落ちる可能性がある。
  • IPv6をOFFにするには
    • set envar ipv6=no
  • unset allでも設定は消えない。