Juniper NetScreen/SSG FAQ
このページはJuniper NetScreen/SSGに関するFAQを記載したページです。
【基本機能】
【管理】
【冗長】
【UTM】
【ログ】
【ハードウェア】
【トラブル】
【基本機能】
質問1:NetScreen/SSGはIPv6に対応していますか?
回答
IPv6の対応はScreenOSのバージョンに依存します。
IPv6に対応しているScreenOS及び機種の組み合わせは下記になります。
- 質問1:NetScreen/SSGはIPv6に対応していますか?
- 質問2:ARPの保持時間について教えて下さい。
- 質問3:SSGはNTPサーバとして動作しますか?
- 質問4:NetScreen/SSGはPPPoEのUnnumbered機能に対応していますか?
- 質問5:STATUS LEDがオレンジ色になっている状態は、どんな状態ですか?
- 質問6:VPNのPre-shared Keyで使用可能な文字は何ですか?
- 質問7:ブリッジグループインタフェースは、どの機器で使用できますか?
- 質問8:MIPの公開アドレスをInterfaceと異なるセグメントのIPアドレスで設定できますか?
- 質問9:Netscreen/SSGの設定可能なアドレスエントリー数、アドレスグループ数を教えてください。
- 質問10:LAN内にある複数の端末からGlobalにあるひとつのPPTPサーバへ接続を行うことは可能でしょうか。
- 質問11:複数のグローバルIPアドレスを同じプライベートアドレスへ変換可能でしょうか。
- 質問12:インターフェイスモードにてNATモードにしているにも関わらず、NATされません。
【管理】
- 質問1:SSGにはUSBポートがありますが、USBポートを用いてどんな事ができますか?
- 質問2:管理アクセス用のSSHのバージョンをv1からv2に変更したいのですが、変更方法を教えて下さい。
- 質問3:設定ファイルの取得方法を教えて下さい。
- 質問4:ネットワーク経由でのNetScreen/SSGへの管理アクセスを制限できますか?
- 質問5:NetScreen/SSGにおいて、メインメモリはどのような用途に使用されていますか?
- 質問6:ScreenOSのWebUIがサポートしているWebブラウザを教えてください。
- 質問7:OSアップデートではWEB'UIとCLIのうち、どちらが推奨ですか?
【冗長】
【UTM】
【ログ】
【ハードウェア】
【トラブル】
【基本機能】
質問1:NetScreen/SSGはIPv6に対応していますか?
回答
IPv6の対応はScreenOSのバージョンに依存します。
IPv6に対応しているScreenOS及び機種の組み合わせは下記になります。
【ScreenOS 5.4】
ISG2000 (IDP Security Module はサポートしておりません)
ISG2000 (IDP Security Module はサポートしておりません)
【ScreenOS 6.0r1】
ISG2000 (IDP Security Module はサポートしておりません)
SSG5 (Ethernet interfaces のみサポートしております)
SSG20 (Ethernet interfaces のみサポートしております)
NS5000 MGT2
【ScreenOS 6.0r2】
ISG1000 (IDP Security Module はサポートしておりません)
ISG2000
SSG5 (Ethernet interfaces のみサポートしております)
SSG20 (Ethernet interfaces のみサポートしております)
NS5000 MGT2
【ScreenOS 6.1r1】
SSG-140
SSG-320M
SSG-350M
SSG-520/520M
SSG-550/550M
ISG1000
ISG2000
質問2:ARPの保持時間について教えて下さい。
回答
ARPの保持時間はデフォルトで 1200秒 (20分)になります。
保持時間は変更することが可能で、設定コマンドは下記になります。
set arp age <秒数>
(CLIからの設定のみとなります)
最大で 65535 秒 (約18時間)まで設定が可能で、最小は 1 秒になります。
下記コマンドにてARPの保持時間を確認可能することができます。
コマンド: get arp
質問3:SSGはNTPサーバとして動作しますか?
回答
ScreenOS6.0より NTPサーバとして動作することが可能になりました。
ただし、NAT/Routeモードのみで動作可能であり、
Transparentモードについては動作しません。
CLIからの設定方法
コマンド : set interface <インターフェース名> ntp-server
設定例:
set interface eth0/2 zone Trust
set interface eth0/2 ip 192.168.1.1/24
set interface eth0/2 ntp-server
質問4:NetScreen/SSGはPPPoEのUnnumbered機能に対応していますか?
回答
PPPoEのUnnumbered機能はサポートしておりません。
NetScreenではPPPoEを使用する場合、Untrustインターフェースに対して、
必ずIP Addressをアサインする必要があります。
ただし複数の固定グローバルIPアドレスを利用できる環境の場合、
下記コマンドを設定することで、Untrustインターフェースと
同一のサブネットを他のインターフェースにも割り当てることができます。
注意事項として、 インターフェース(ゾーン)が同じvrouterに属している必要があります。
○CLIからの設定方法
コマンド : set vrouter <vrouter 名> ignore-subnet-conflict
質問5:STATUS LEDがオレンジ色になっている状態は、どんな状態ですか?
回答
CFカードに書き込みを行なっている際に、STATUS LEDがオレンジ色になります。
質問6:VPNのPre-shared Keyで使用可能な文字は何ですか?
回答
Pre-shared keyは下記の文字を使用することが出来ます。
最大で127文字までPre-shared keyを設定することが出来ます。
○使用可能文字
英数字は使用可能です。 記号は下記4グループに分類され、
グループ毎に使用条件があります。
(1) + - ; / < _ ( ) \ @ [] ` * : ' & $ , . { } = ! ^ ~
(2) ?
(3) > | #
(4) "
○使用条件
(1)の記号は、全て使用可能です。
(2)の記号は、CLIより設定する場合、""で記号を囲むことで使用可能です。
WebUIから設定を行う場合は、""で囲む必要はありません。
(3)の記号は、CLIより設定する場合、""で記号を囲むか、
Pre-shared Keyの最初の文字にしなければ使用が可能です。
WebUIから設定を行う場合は、""で囲む必要はありません。
(4)の記号は、CLIより設定する場合、Preshared Keyの
最初と最後の文字にしなければ使用が可能です。
WebUIからは「"」を使用したPreshared Keyは設定することが出来ません。
質問7:ブリッジグループインターフェースは、どの機器で使用できますか?
回答
ブリッジグループは、複数のEthernetポートをグループ化し、
スイッチのように動作させる機能になります。
SSGシリーズでは、デフォルトで使用可能な機器は、SSG5、SSG20、SSG140です。
SSG140以上の上位機種でブリッジグループを使用する場合は
別途Interfaceモジュール(Universal PIM)を購入する必要があります。
NetScreenシリーズ/ISGシリーズはブリッジグループを使用できません。
質問8:MIPの公開アドレスをInterfaceと異なるセグメントのIPアドレスで設定できますか?
回答
Untrust ZoneのInterfaceのみ設定可能です。
ただし、上位のルータが違うセグメントのIPアドレスに関してSSGまたはNSに転送する様なルーティングの設定が必要です。
質問9:Netscreen/SSGの設定可能なアドレスエントリー数、アドレスグループ数を教えてください。
回答
Netscreen/SSGシリーズにて設定できます、アドレス エントリー数およびアドレス グループ数は下記の通りになります。
ご使用のOSにより、異なりますのでご注意下さい。
※address エントリー数につきましては、初期値15エントリーを含む値になります。
ScreenOS 5.4:
| NS-5GT | SSG-5/SSG-20 | NS-25/NS-50 | SSG-140 | SSG-520 | SSG-550 | NS-200 | NS-500 | ISG-1000 | ISG-2000 | NS-5000 | |
|---|---|---|---|---|---|---|---|---|---|---|---|
| アドレスエントリー数 | 512 | 512 | 1024 | 1024 | 1024 | 4096 | 4096 | 20,000 | 10,000 | 20,000 | 40,000 |
| 最大アドレスグループ数 | 32 | 32 | 128 | 128 | 128 | 256 | 256 | 512 | 512 | 1024 | 5,120 |
| 1アドレスグループ内に 登録できるアドレス数 |
32 | 32 | 128 | 128 | 128 | 128 | 128 | 128 | 256 | 512 | 256 |
ScreenOS 6.0:
| SSG-5/SSG-20 | SSG-140 | SSG-300 | SSG-520 | SSG-550 | ISG-1000 | ISG-2000 | NS-5000 | |
|---|---|---|---|---|---|---|---|---|
| アドレスエントリー数 | 512 | 1024 | 1024 | 1024 | 4096 | 10,000 | 20,000 | 40,000 |
| 最大アドレスグループ数 | 32 | 128 | 128 | 128 | 256 | 512 | 1024 | 5,120 |
| 1アドレスグループ内に 登録できるアドレス数 |
32 | 128 | 128 | 128 | 128 | 256 | 512 | 256 |
ScreenOS 6.1、ScreenOS 6.2、ScreenOS 6.3:
| SSG-5/SSG-20 | SSG-140 | SSG-300 | SSG-520 | SSG-550 | ISG-1000 | ISG-2000 | NS-5000 | |
|---|---|---|---|---|---|---|---|---|
| アドレスエントリー数 | 512 | 2048 | 4096 | 6200 | 6200 | 10,000 | 20,000 | 40,000 |
| 最大アドレスグループ数 | 32 | 128 | 256 | 256 | 256 | 512 | 1024 | 5,120 |
| 1アドレスグループ内に 登録できるアドレス数 |
32 | 128 | 128 | 128 | 128 | 256 | 512 | 256 |
質問10:LAN内にある複数の端末からGlobalにあるひとつのPPTPサーバへ接続を行うことは可能でしょうか。
回答
使用OSにより異なりますが、設定により可能です。
○OS 6.1以上
下記コマンドを入力することにより、複数接続が可能となります。
set alg pptp enable
質問11:複数のグローバルIPアドレスを同じプライベートアドレスへ変換可能でしょうか。
回答
MIPにて同じプライベートIPアドレスを指定することで対応可能です。
質問12:インターフェイスモードにてNATモードにしているにも関わらず、NATされません。
回答
NATモードが動作するのはTrustゾーンもしくはDMZゾーンがアサインされているインターフェースになります。
またSrc-NATが行われるケースは以下の3つの場合に限られます。
・TrustゾーンからUntrustゾーンへの通信
・TrustゾーンからDMZゾーンへの通信
・DMZゾーンからUntrustゾーンへの通信
上記以外のケースはPolicyでNATを行う必要があります。
【管理】
質問1:SSGにはUSBポートがありますが、USBポートを用いてどんな事ができますか?
回答
ScreenOS6.0よりUSB Flashを用いて、config,certificates,OSイメージを
USB Flashメモリに転送することが出来るようになりました。
また以下の機種については、CoredumpやlogについてもUSB Flashメモリへの出力が可能です。
・SSG-5/SSG-20
・SSG-140
・SSG-520/SSG-520M
・SSG-550/SSG-550M
質問2:管理アクセス用のSSHのバージョンをv1からv2に変更したいのですが、変更方法を教えて下さい。
回答
下記手順にてSSHのバージョンを変更することができます。
1.Consoleでログイン
(SSH接続ではSSHに関する設定を変更できない為)
2.下記コマンドを実施
コマンド: delete ssh device all
Execute the 'set ssh version v2' command to activate SSH v2 for the device.
上記メッセージが出力される事を確認。
3.SSHのバージョン設定
コマンド: set ssh version v2
SSH version 2 has been activated.
Execute the 'set ssh enable' command to enable SSH for a vsys.
上記メッセージが出力される事を確認。
4.SSHの有効化
コマンド: set ssh enable
5.SSHのステータス確認
コマンド: get ssh
SSH V2 is active
SSH is enabled
SSH is NOT ready for connections
上記enableの状態になっていれば設定が完了です。
回答
下記手順にて設定ファイルを取得することができます。
【WebUI】
1.WebUI にログインします
2.Configuration > Update > Config File の順に選択します
3.[Save To File]ボタンをクリックし、設定ファイルを保存してください
【CLI】
下記コマンドにて設定情報を表示することができます。
コマンド: get config
質問4:ネットワーク経由でのNetScreen/SSG への管理アクセスを制限できますか?
回答
機器への管理アクセスをホスト単位もしくはネットワーク単位で制限することができます。
下記コマンドにてアクセスを許可するIPアドレスもしくはネットワークを指定することができます。
コマンド: set admin manager-ip <IPv4 Address> <NetworkMask>
設定例:192.168.1.1の端末からの管理アクセスを許可する場合
set admin manager-ip 192.168.1.1
設定例: 192.168.1.0/24のネットワークからの管理アクセスを許可する場合
set admin manager-ip 192.168.1.0 255.255.255.0
質問5:NetScreen/SSGにおいて、メインメモリはどのような用途に使用されていますか?
回答
メモリはScreenOSイメージや、セッションテーブル、VPN,IKEテーブル、authテーブル等に使用されます。
質問6:ScreenOSのWebUIがサポートしているWebブラウザを教えてください。
回答
ScreenOS6.2以上
・Internet Explorer (IE) 5.5以上
・Firefox version 2.0.0.16以上
ScreenOS6.1/6.0/5.4
・Internet Explorer (IE) 5.5以上
質問7:OSアップデートではWEB'UIとCLIのうち、どちらが推奨ですか?
回答
ご質問内容につきまして、メーカ情報上ではWEB'UIとCLIのどちらかを推奨している
といったことは特にございません。しかし、他のお客様よりWebUIでアップデートを実施した際に
正しく反映されないケースが確認されております。その際にはCLIで実施したところアップデートに
成功しておりますので弊社としてはOSアップデートにはCLIでの実施を推奨させていただいております。
【冗長】
質問1:NetScreen/SSGで冗長構成を組んだ場合、MACアドレスはどうなりますか?
回答
ScreenOS 6.0以下の場合は以下の決まりで仮想MACアドレスが生成されています。
基本的な形式は以下のMACアドレスが適用され、
<wx>.<yz>の部分が設定やインターフェースによって 決定されます。
00.10.db.ff.<wx>.<yz>
・w:cluster IDによって決定されます。
IDが1の場合は2、IDが2の場合は4、IDが3の場合は6、
IDが4の場合は8、IDが5の場合はa、IDが6の場合はc、
IDが7の場合はeとなります。
・yx:InterfaceのNumberになります。
get int ethernetX コマンドで確認できます。
・z:VSD GroupのNumberになります。
例と致しまして、以下の設定の場合
set nsrp cluster id 1
set nsrp vsd-group id 0 priority 100
ns25(M)-> get int e1
Interface ethernet1(VSI):
description ethernet1
number 0, if_info 0, if_index 0, mode nat
eth1の仮想MACアドレスは下記のようになります。
00.10.db.ff.20.00
質問2:Master機とBackup機でコンフィグが同期している事を確認する方法を教えて下さい。
回答
下記コマンドを実行することでコンフィグの同期を確認することができます。
またコマンドはコンソールより実行してください。
コマンド: exec nsrp sync global-config check-sum
コンフィグが同期している場合、以下のメッセージが表示されます。
configuration in sync
コンフィグが同期していない場合、以下のメッセージが表示されます。
Warning: configuration out of sync
【UTM】
質問1:NetScreen/SSGで冗長構成を組んだ場合、MACアドレスはどうなりますか?
回答
ウィルススキャン対象ファイルのファイルサイズ上限は以下になります。
ScreenOS5.4/6.0
SSG5/SSG20 :10MB
SSG140 :16MB
SSG520/550 :24MB
ScreenOS6.1
SSG5/SSG20 :30MB
SSG140 :30MB
SSG320M/350M:30MB
SSG520/550 :30MB
【ログ】
質問1:SNMPで送信されるTrapの種類を教えて下さい。
回答
SNMPTrapの種類は以下になります。
・Cold Start Trap
・Traps for SNMP Authentication Failure
・Traps for System Alarms
・Traps for Traffic Alarms
【ハードウェア】
質問1:NetScreen/SSGのMTBFを教えて下さい。
回答
NetScreen/SSGのMTBFは以下になります。
SSG5 : 40.5年
SSG20 : 35.8年
SSG140 : 16年
SSG320M : 7.2年
SSG350M : 6.8年
SSG520M : 12年
SSG550M : 12年
ISG1000 : 7.6年
ISG2000 : 7.6年
NS5200 : 7.9年
NS5400 : 7.0年
質問2:Alarm LEDが赤/オレンジ色に点灯するのはどのようなときになりますか。
回答
Alarm LEDが点灯するケースは以下になります。
赤点灯:
・ハードウェアの故障
・ソフトウェアモジュールの障害
・攻撃検知
オレンジ(橙)点灯:
・メモリ使用率が90%以上の場合
・CPU使用率が90%以上の場合
・セッション数が最大数に達した場合
・VPNトンネル数が最大に達した場合
・HAステータスが変更された場合
・冗長構成の対向機器がダウンした場合
【トラブル】
質問1:CPU使用率が高いのですが、改善策はありますか?
回答
質問2:Illegal Packetのカウンタはどういった場合に上昇するのでしょうか。
回答
Illegal Packetカウンターは下記の条件により、加算されます。
・TCP SYN checkの機能が有効であり、既存のセッションにないSYN以外のTCPパケットを受信した場合
・SRCやDSTのIPが0.0.0.0や255.255.255.255のパケットを受信した場合
・DNSリクエストセッションと一致されないDNSリプライパケットを受信した場合
・ユーザ認証上限に達した場合にて認証ユーザのアクセスを受信した場合
・TCPパケット長が不正な値として設定されているパケットを受信した場合
