vSRX¶
[更新: 2021年7月15日]
マーケットプレイスで提供する仮想ファイアウォールアプライアンス「vSRX」についてのページです。
注意
2022年2月1日、Juniper vSRXサービスはサービス改定を予定いたします。サービスプラン・価格に変更がございます。詳細は さくらのクラウドニュース をご確認ください。
概要¶
Juniper Networks vSRX は、ジュニパーネットワークス社が開発したファイアウォールやUTM、IPS機能などを提供する仮想ファイアウォールアプライアンスです。保護対象となるシステムに対し、ネットワーク内外の様々な脅威から保護します。
さくらのクラウドが提供するvSRXでは機能や処理性能ごとにプラン選択が可能で、1か月単位でご契約いただけるため、短期的なキャンペーンサイトから大規模なエンタープライズまで、システムの規模や運用期間に合わせて低コストにご利用いただくことが可能です。
重要
さくらのクラウドで提供するvSRXのバージョンは JUNOS 18.4 となります。バージョンにより機能や操作方法に差異がある場合があるため、マニュアル等参照の場合はご注意ください。
機能¶
vSRXが提供する主な機能は以下の通りです。提供プランによりご利用いただける機能が異なります。
| ライセンス | 含まれる機能 |
|---|---|
| Standard (標準ライセンス) |
Core Security(FW, ALGs, Screens, UserFW) IPSec VPN(Site to Site VPN) Overlay services(GRE, MPLS, IP Tunneling) NAT Class of Service(CoS) Multicast services(IP Multicast[PIM, IGMP]) Routing services(BGP, OSPF, DHCP, Jflow, IPv4 & IPv6) High Availability Foundation(static routing, management[Jweb, CLI, & NetConf], On-Box logging, Diagnostics |
| AppSecure (アプリケーション・コントロール・ライ センス) |
Standardに含まれるすべての機能 IPS App-Secure(App-ID, App-FW, App-QoS, App-Track) |
| Content Security (コンテンツ・セキュア・ライセンス) |
AppSecureに含まれるすべての機能 Anti Virus Web Filtering Anti Spam Content Filtering |
注釈
詳細についてはJuniper社公式サイトの データシート を参照ください。
提供プラン¶
機能と処理性能の組み合わせにより以下の合計9プランを提供します。各プランのパブリックアーカイブは Juniper vSRX [機能別プラン][性能別プラン] で表記されます。
機能別¶
| プラン名 | 相当するライセンス |
|---|---|
| スタンダード | Standard |
| アプリケーションセキュリティ | AppSecure |
| コンテンツセキュリティ | Content Security |
性能別¶
スループット性能ごとに以下のプランを提供します。
注意
スループットは論理値です。実際には表記スループットの8割程度を目安としてご利用ください。
| プラン名 | スループット | 動作環境 |
|---|---|---|
| 100Mbps | 100Mbps | 3core CPU / 4GB メモリ / 20GB SSD |
| 1Gbps | 1Gbps | 3core CPU / 4GB メモリ / 20GB SSD |
| 2Gbps | 2Gbps | 6core CPU / 32GB メモリ / 20GB SSD |
重要
スループットは、ご利用のプラン・サーバー性能・ネットワーク環境に依存します。
利用手順¶
vSRXは パブリックアーカイブ 形式での提供となるため、アーカイブ選択メニューからvSRXの各プランを選択して サーバを作成 する手順となります。以下の手順でサーバ作成から最低限必要となる初期設定までを行ってください。
サーバ作成¶
通常モード利用時は「アーカイブ選択」のメニューから選択
シンプルモード利用時はディスクイメージ選択項目で「マーケットプレイス」タブをクリック後、「Juniper vSRX」のポップアップメニューより利用したいプランを選択します。
注意
ご利用になりたいプランごとにパブリックアーカイブを選択してください。インストール後はプラン変更が行えませんのでご注意ください。また、CPUやメモリは 最小必要スペック 以上を選択してください。
また、サーバ作成完了後に NICの追加作業 が必要となるため、「作成後すぐに起動」のチェックを外しておきます。
NICの追加¶
サーバには
- グローバルネットワーク(WAN)接続用(vSRXがge-0/0/0として認識するNIC)
- プライベートネットワーク(LAN)接続用(vSRXがge-0/0/1として認識するNIC)
- 管理用(vSRXがマネジメントサポートfxp0として認識するNIC)
の合計3個のNICが最低限必要となります。
NICの作成手順 を参考に作成したサーバにNICを2個追加し、合計3個搭載される状態としてください。さらに1個目のNICをグローバルネットワークへ、2個目のNICをプライベートネットワークへ、3個目のNICを管理用端末からログインしたいネットワーク(管理用のローカルネットワークなど)に接続します。なお、管理用ネットワークが不要の場合、3個目のNICは未接続状態としてください。完了したら サーバの電源操作 を行いサーバを電源ON状態にします。
4個以上のNICを搭載する場合の各NIC接続先ネットワーク¶
サーバに4個以上(最大10個まで)のNICを搭載することで、2つ以上のセグメントのプライベートネットワークを接続することが可能です。その場合、コントロールパネル上で表示される1枚目のNICがグローバルネットワーク(WAN)接続用、最後のNICが管理用(fxp0)で固定となるため、プライベートネットワーク(LAN)接続用は2枚目~最後から1枚前のNICとなります。
例として、5枚のNICを搭載した場合、それぞれのNICに接続するべきネットワークは以下のようになります。
| NIC番号 | 接続先 |
|---|---|
| #0 | グローバルネットワーク(vSRXがge-0/0/0として認識するNIC) |
| #1 | プライベートネットワーク1(vSRXがge-0/0/1として認識するNIC) |
| #2 | プライベートネットワーク2(vSRXがge-0/0/2として認識するNIC) |
| #3 | プライベートネットワーク3(vSRXがge-0/0/3として認識するNIC) |
| #4 | 管理用(vSRXがfxp0として認識するNIC) |
注釈
NIC番号は、コントロールパネルのサーバ詳細画面「NIC」タブより確認することができます。
コンソールよりログイン¶
作成完了後、 コンソール 画面より初期ユーザ名: admin 、 初期パスワード: sacloud-vsrx でログインを行います。
login: admin
Password:sacloud-vsrx
adminパスワードの変更¶
初期設定前の必須の設定として、adminパスワードの変更を行います。
設定を行うコンフィグモードに移行するため、 configure コマンドを入力します。
configure
adminユーザのパスワードを変更します。安全のためパスワードは大文字小文字、数字・記号などを組み入れた十分に強力な文字列を設定することを推奨します。
set system login user admin authentication plain-text-password
New password: 変更したいadminパスワード
Retype new password: 確認のため入力したadminパスワードの再入力
インターフェース設定¶
vSRXに取り付けた各NICへのネットワーク設定を行います。IPアドレスの設定は set interfaces [インターフェース名] unit 0 family inet address [IPアドレス]/[ネットマスク長] 、ルーティング設定は set routing-options static route [対象ネットワーク] next-hop [ネクストホップIPアドレス] コマンドで行います。
以下のネットワーク仕様の場合の設定例です。
| インターフェース名 | IPアドレス/ネットマスク長 |
|---|---|
| ge-0/0/0.0 (1番目のNIC) | 203.0.113.10/24 (ゲートウェイ: 203.0.113.1) |
| ge-0/0/1.0 (2番目のNIC) | 192.168.1.1/24 |
| fxp0 (3番目のNIC) | 172.16.0.1/24 |
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.10/24
set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.1/24
set interfaces fxp0 unit 0 family inet address 172.16.0.1/24
set routing-options static route 0.0.0.0/0 next-hop 203.0.113.1
外部からのログイン許可元IPアドレス設定¶
WAN側からSSHやWebインターフェイスにてログインするための接続元IPアドレスを許可する設定を行います。本提供アーカイブには以下のアドレスリスト(a1)をあらかじめ設定しているため、こちらを上書き変更します(198.51.100.0/24の部分はお客様環境に応じて適宜置き換えてください)。
set security address-book global address a1 198.51.100.0/24
最後に、編集した設定を反映させます。
commit
設定反映完了後、 exit コマンドを何度か入力してログアウトします。外部より各IPアドレスに疎通があることを確認してください。
vSRX冗長化について(VRRP)¶
vSRXは、VRRPプロトコルによるデフォルトゲートウェイ冗長が可能です。簡単な参考例を紹介します。
注釈
本項目では、ローカルネットワークを利用した参考例の掲載となります。グローバルネットワークにVRRPを設定する際は、ルータ+スイッチ 追加アドレスをご利用ください。
参考構成図¶
| インターフェース名 | IPアドレス/ネットマスク長 |
|---|---|
| ge-0/0/1.0 (vSRX_AのNIC#1) | 192.168.1.4/24 |
| ge-0/0/1.0 (vSRX_BのNIC#1) | 192.168.1.6/24 |
| VIP | 192.168.1.10/24 |
各vSRXアプライアンスへ以下のコマンドを入力、vrrpを設定します。
参考config(vSRX_A)¶
set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.4/24 vrrp-group 1 virtual-address 192.16.1.10
set priority 254
set advertise-interval 5
set accept-date
set preempt
commit
参考config(vSRX_B)¶
set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.6/24 vrrp-group 1 virtual-address 192.16.1.10
set priority 100
set advertise-interval 5
set accept-date
set preempt
commit
重要
set priority以降は、editコマンドにより階層を移動、設定する前提により記載を短縮しております。ご注意ください。
[edit interfaces ge-0/0/1 unit 0 family inet address 192.168.1.4/24 vrrp-group 1]
vSRX_A 出力結果¶
ge-0/0/1 {
unit 0 {
family inet {
address 192.168.1.4/24 {
vrrp-group 1 {
virtual-address 192.168.1.10;
priority 254;
advertise-interval 5;
accept-date
preempt;
}
}
vSRX_B 出力結果¶
ge-0/0/1 {
unit 0 {
family inet {
address 192.168.1.6/24 {
vrrp-group 1 {
virtual-address 192.168.1.10;
priority 100;
advertise-interval 5;
accept-date
preempt;
}
}
注釈
さくらのクラウドによるvrrpのご利用は、一部推奨の設定、制限があります。vrrpに関するよくある質問と回答 をご確認ください。
show vrrp コマンドにより各機器のVR stateが master 、 backup の表示を確認ください。
vrrp 出力結果¶
vSRX_A
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 1 master Active D 12.787lcl 192.168.1.4
vip 192.168.1.10
vSRX_B
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 1 backup Active D 5.697 lcl 192.16.1.6
vip 192.168.1.10
mas 192.168.1.4
ログインユーザの追加について¶
本提供アーカイブではrootユーザの利用はできません。また、ログインユーザを追加する際は、定義済の default-user クラスに属させる必要があります。
以下、ログインユーザ sakura を追加する場合の例となります。
set system login user sakura class default-user
set system login user sakura authentication plain-text-password
New password: (パスワードを入力)
Retype new password: (再度パスワードを入力)
commit
バックアップ/リストアについて¶
さくらのクラウドによる提供仕様上、GUI操作(以下、J-WEB)に用意されるConfig Upload機能はご利用できません。configのバックアップ/リストアは、参考例に以下のCLI Editorの利用を掲載いたします。
注釈
共有セグメントを利用するサーバプランは、サーバプラン削除によりIPアドレスが解放、再作成時に割当可能なIPアドレスが自動的に付与されます。継続したIPアドレスのご利用は、サーバプランの未削除のうえディスクの取り外し・ディスクの新規作成機能をご利用ください。
J-WEBのデフォルト設定は未設定となります。J-WEBの操作をcli configurationモードにより操作・設定します。
set system services web-management http
J-WEBの設定後、対応のブラウザ URLに http://IPアドレス を指定、vSRX(バックアップ)のJ-WEBにアクセスします。アクセス後に設定済みのログイン情報を入力、ログインします。
J-WEBのメニュー項目より Administration/Devices/Config Management/History の順に選択、Configuration History項目から Number:Current により最新のconfigファイルを特定、Action項目の Download よりダウンロードを開始します。
vSRX(リストア)のJ-WEBにアクセスします。メニュー項目より Administration/Tools/CLI Editor の順に選択、vSRX(バックアップ)から取得済みのconfigファイルをテキストエディタにより開きます。開いたconfigをコピー、CLI Editor Conffigurationのテキストボックスにペースト、右上の commit によりconfigを反映します。
反映操作後に画面操作がブロック、更新マークが表示されます。更新マークの表示終了後、configがvSRX(リストア)に反映、バックアップ/リストアが完了します。
注意
本操作は、configのバックアップのみとなります。logなど他のデータは別途保管が必要になります。
vSRXドキュメント¶
さくらインターネットやvSRX開発元のJuniper社が公開するドキュメント類です。初期設定以降の設定はこれらのドキュメントを参照ください。
注意事項¶
- 本サービスのサービス利用規約をご確認のうえご利用を開始してください。
- 初回作業や設定作業はお客様の責任のもと実施ください。さくらインターネットでは作業代行はお受けしておりません。
- 冗長構成(VRRP)に対応します。使用可能なVRRP IDの範囲は1~4となります。設定の詳細についてはマニュアルを参照ください。
- ライセンス有効期限は2022年9月までとなり、以降は動作しません。以降も継続してご利用の場合は新たに提供されるアーカイブにて再度作成を行ってください。
- vSRX提供に付帯するサポートは、ユーザ毎の個別設定の回答・テクニカルサポートは含まれません、ご注意ください。
お問い合わせ¶
本マーケットプレイス向けvSRXアーカイブご利用に際して不明な点がありましたら、 さくらインターネットお問い合わせ窓口 までご連絡ください。
注意
開発元のJuniper Networksおよび日商エレクトロニクスへの直接のお問合わせはご遠慮ください。