vSRX

[更新: 2022年8月25日]

マーケットプレイスで提供する仮想ファイアウォールアプライアンス「Juniper vSRX」についてのページです。

1. 概要

Juniper Networks vSRX は、ジュニパーネットワークス社が開発したファイアウォールやUTM、IPS機能などを提供する仮想ファイアウォールアプライアンスです。保護対象となるシステムに対し、ネットワーク内外の様々な脅威から保護します。


2. 製品情報

2.1 製品概要

Juniper vSRXは、ルーター機能、セキュリティ機能を包括し提供するアプライアンス製品です。本項目は、Juniper vSRXに関する基本的な製品とライセンスに関する解説です。


2.2 製品ライセンス

Juniper vSRXのご利用に必要となるライセンスをアーカイブイメージにインポート、アーカイブ機能によりサービスを提供をいたします。

注釈

製品の詳細は、Juniper社公式サイトの データシート を参照ください。


2.2.1 ライセンスの種類

ライセンスは、下記の機能単位毎に分岐します。概要は下記、またはメーカーの掲載をご確認ください。

SKU
S-VSRX-5C-S-3
S-VSRX-5C-A1-3
S-VSRX-5C-A2-3

注釈

上記ライセンス情報は、メーカーが掲載するライセンス情報です。弊社提供私用は、 項目3. サービス概要 をご確認ください。


2.2.2 メーカードキュメント

Juniper vSRXは、JunosOSにより操作と設定を行います。詳細な操作方法はメーカー公開のドキュメントを参照ください。

JuniperNetworks TecLibrary 製品マニュアル

https://www.juniper.net/documentation/


2.2.3 リリースノート

メーカードキュメントによりJunosOSのリリースノートが公開されます。更新、変更点は、OS Version毎に掲載される Release Notes をご確認ください。


2.3 製品EoS/EoL

JunosOSは、Version毎にEoSが公開、発表されます。

Junos OS Dates & Milestones

https://support.juniper.net/support/eol/software/junos/


2.3.1 ライセンス有効期限

Juniper vSRXには、各アーカイブに応じて以下の有効期限が設定されます。有効期限が終了したイメージはご利用が出来なくなります。

アーカイブ名 有効期限
Juniper vSRX スタンダード 20.4 2025/08/01
Juniper vSRX スタンダード 18.4 2022/09/30

3. サービス概要

本項目は、さくらのクラウドにより提供する製品のサービスプランに関する仕様・解説です。


3.1 サービス仕様

アーカイブ機能よりOSイメージ(ラインセンスインポート済)を提供するサービスです。


3.2 サービス名称

項目2.に解説したライセンスと提供するOSイメージのバージョンを組み合わせ後に提供します。命名規則は下記となります。

さくらのクラウドのサービス名称規則

Juniper vSRX [プラン名]

例) Juniper vSRX スタンダード


3.3 ライセンス

さくらのクラウドでは、項目2.2により解説のライセンスを組合せ提供します。

プラン名 SKU 機能
スタンダード S-VSRX-5C-S-3 ルーターとしての基本機能と標準的なファイアウォール機能
アプリケーションセキュリティ S-VSRX-5C-A1-3 スタンダードの機能とIPS、アプリケーションセキュリティ関連機能
コンテンツセキュリティ S-VSRX-5C-A2-3 スタンダード、アプリケーションセキュリティの機能とUTM関連機能

注釈

ライセンス機能詳細は、 Licensing Guide をご確認ください。


3.4 サーバー環境

Juniper vSRXのご利用は、下記のサーバー環境が必要となります。

JunosOS 20.4R

サーバープラン 2core5GB
ディスクプラン(容量) 20GB

JunosOS 18.4R

サーバープラン 3core4GB
ディスクプラン(容量) 20GB

注釈

グローバルネットワークへのIPアドレス追加、ローカルネットワークの利用は、別途ルータ+スイッチ 追加アドレス/28以上、スイッチなどが必要となります。


3.5 提供条件

さくらのクラウドにより提供します。このためご利用はさくらのクラウド上にデプロイされた、仮想サーバーよりご利用いただきます。

その他のさくらのVPS、さくらの専用サーバー phyによるご利用検討のお客様は、ブリッジ接続、ハイブリッド接続、ローカルルータなどを利用のうえゲートウェイをさくらのクラウド上のJuniper vSRXに変更、ご利用ください。


3.5.1 OS/アーカイブイメージ

Juniper vSRXの利用に必要なOSイメージを下記の名称規則により提供します。

さくらのクラウド OSアーカイブの名称規則

Juniper vSRX [プラン名] [OS Version]

例) Juniper vSRX スタンダード 20.4


3.6 ご利用、解約の流れ

Juniper vSRXは、OSイメージ(ラインセンスインポート済)により提供のため仮想サーバーのディスク作成、削除により利用開始、終了します。

詳細は後述の項目5.の利用手順を参照ください。


3.7 料金

OSアーカイブの利用料金についてはサービスサイトの 価格表 を参照ください。

注意

Juniper vSRXを動作させるためのサーバとディスク、想定される環境によりスイッチなどの料金が別途必要となります。


4. サポート

サービスに付帯するサポートは、仕様・機能回答、ライセンス・契約、bug・不具合問い合わせとなります。また、提供仕様によるお客様との責任分界点、国内法上の観点から下記はサポート対象外となります。

  • 管理権限上弊社によりお客様利用中のOS、システムへのログインによる操作、切り分け、logの出力は受け賜わることが出来ません。
  • log解析・不具合発生時の切り分け操作。お問い合わせの際は、操作方法、ネットワークの疎通、logを確認・正常動作と切り分け後に事象を添えてお問い合わせください。
  • セキュリティ機能に関するテスト方法の助言、テストファイルの提供など、不正アクセスなどの助長になり得るサポートは受け賜わることができません。

注意

config・log確認、SI・開発・構築・設定代行、システム全体を俯瞰したテクニカルサポート、製品トレーニングなどのお客様毎に個別最適化が必要となるサポートは、サービスに含まれません。

注釈

有償による個別のSI・開発・構築・設定代行は、営業により個別提案となります。お求めの際は、弊社営業窓口へお問い合わせください。


5. 利用手順

vSRXは パブリックアーカイブ 形式での提供となるため、アーカイブ選択メニューからvSRXの各プランを選択して サーバを作成 する手順となります。以下の手順でサーバ作成から最低限必要となる初期設定までを行ってください。


5.1 サーバ作成

通常モード利用時は「アーカイブ選択」のメニューから選択

シンプルモード利用時はディスクイメージ選択項目で「マーケットプレイス」タブをクリック後、「Juniper vSRX」のポップアップメニューより利用したいプランを選択します。

注意

サーバ作成完了後に NICの追加作業 が必要となります、「作成後すぐに起動」のチェックを外します。


5.2 NICの追加

作成する合計3個のNICが最低限必要となります。

  • グローバルネットワーク(WAN)接続用(vSRXがge-0/0/0として認識するNIC)
  • ローカルネットワーク(LAN)接続用(vSRXがge-0/0/1として認識するNIC)
  • 管理用(vSRXがマネジメントサポートfxp0として認識するNIC)

NICの作成手順 を参考に作成したサーバにNICを2個追加、合計3個のNICをご利用ください。

1個目のNICをグローバルネットワークへ、2個目のNICをローカルネットワークへ、3個目のNICを管理用端末からログインしたいネットワーク(管理用のローカルネットワークなど)に接続します。

管理用ネットワークが不要の場合、3個目のNICは未接続状態としてください。操作完了後 サーバの電源操作 を行いサーバを電源ON状態にします。


5.2.1 4個以上のNICを搭載する場合の各NIC接続先ネットワーク

サーバに4個以上(最大10個まで)のNICを搭載することで、2つ以上のローカルネットワーク作成が可能です。

コントロールパネル上で表示される1枚目のNICがグローバルネットワーク(WAN)接続用、最後のNICが管理用(fxp0)で固定となるため、ローカルネットワーク(LAN)はNIC#1~NIC#8に対応します。

例として、5枚のNICを搭載した場合、それぞれのNICに接続するべきネットワークは以下のようになります。

NIC番号 接続先
#0 グローバルネットワーク(vSRXがge-0/0/0として認識するNIC)
#1 ローカルネットワーク1(vSRXがge-0/0/1として認識するNIC)
#2 ローカルネットワーク2(vSRXがge-0/0/2として認識するNIC)
#3 ローカルネットワーク3(vSRXがge-0/0/3として認識するNIC)
#4 管理用(vSRXがfxp0として認識するNIC)

注釈

NIC番号は、コントロールパネルのサーバ詳細画面「NIC」タブより確認することができます。


5.3 コンソールよりログイン

作成完了後、 コンソール 画面より初期ユーザ名: admin 、 初期パスワード: sacloud-vsrx でログインを行います。

login: admin
Password:sacloud-vsrx

5.4 adminパスワードの変更

初期設定前の必須の設定として、adminパスワードの変更を行います。

設定を行うコンフィグモードに移行するため、 configure コマンドを入力します。

configure

adminユーザのパスワードを変更します。安全のためパスワードは大文字小文字、数字・記号などを組み入れた十分に強力な文字列を設定することを推奨します。

set system login user admin authentication plain-text-password
New password: 変更したいadminパスワード
Retype new password: 確認のため入力したadminパスワードの再入力

5.5 ホスト名設定

このvSRXに付与するホスト名を設定します。DNSで利用可能な文字種・文字長であることを推奨します。

set system host-name 設定したいホスト名

5.6 インターフェース設定

vSRXに取り付けた各NICへのネットワーク設定を行います。IPアドレスの設定は set interfaces [インターフェース名] unit 0 family inet address [IPアドレス]/[ネットマスク長] 、ルーティング設定は set routing-options static route [対象ネットワーク] next-hop [ネクストホップIPアドレス] コマンドで行います。

以下のネットワーク仕様の場合の設定例です。

インターフェース名 IPアドレス/ネットマスク長
ge-0/0/0.0 (1番目のNIC) 203.0.113.10/24
(ゲートウェイ: 203.0.113.1)
ge-0/0/1.0 (2番目のNIC) 192.168.1.1/24
fxp0 (3番目のNIC) 172.16.0.1/24
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.10/24
set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.1/24
set interfaces fxp0 unit 0 family inet address 172.16.0.1/24
set routing-options static route 0.0.0.0/0 next-hop 203.0.113.1

5.7 外部からのログイン許可元IPアドレス設定

WAN側からSSHやWebインターフェイスにてログインするための接続元IPアドレスを許可する設定を行います。本提供アーカイブには以下のアドレスリスト(a1)をあらかじめ設定しているため、こちらを上書き変更します(198.51.100.0/24の部分はお客様環境に応じて適宜置き換えてください)。

set security address-book global address a1 198.51.100.0/24

最後に、編集した設定を反映させます。

commit

設定反映完了後、 exit コマンドを何度か入力してログアウトします。外部より各IPアドレスに疎通があることを確認してください。


5.8 vSRX冗長化について(VRRP)

vSRXは、VRRPプロトコルによるデフォルトゲートウェイ冗長が可能です。下記は参考設定例を掲載します。

注釈

本項目は、ローカルネットワークを利用した参考例の掲載となります。グローバルネットワークにVRRPを設定する際は、ルータ+スイッチ 追加アドレスをご利用ください。


5.8.1 参考構成図

インターフェース名 IPアドレス/ネットマスク長
ge-0/0/1 (Master NIC#1) 192.168.1.4/24
ge-0/0/1 (Backup NIC#1) 192.168.1.6/24
VIP 192.168.1.10/24

5.8.2 参考config(vSRX_Master)

vSRXアプライアンス(Master)へ以下のコマンドを入力、vrrpを設定します。

set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.4/24 vrrp-group 1 virtual-address 192.16.1.10
set priority 254
set advertise-interval 5
set accept-date
set preempt
commit

5.8.3 参考config(vSRX_Backup)

vSRXアプライアンス(Backup)へ以下のコマンドを入力、vrrpを設定します。

set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.6/24 vrrp-group 1 virtual-address 192.16.1.10
set priority 100
set advertise-interval 5
set accept-date
set preempt
commit

重要

set priority以降は、editコマンドにより階層を移動、設定する前提により記載を短縮しております。
[edit interfaces ge-0/0/1 unit 0 family inet address 192.168.1.4/24 vrrp-group 1]


5.8.4 vSRX_Master 出力結果

ge-0/0/1 {
    unit 0 {
        family inet {
            address 192.168.1.4/24 {
                vrrp-group 1 {
                    virtual-address 192.168.1.10;
                    priority 254;
                    advertise-interval 5;
                    accept-date
                    preempt;
           }
         }

5.8.5 vSRX_Backup 出力結果

ge-0/0/1 {
    unit 0 {
        family inet {
            address 192.168.1.6/24 {
                vrrp-group 1 {
                    virtual-address 192.168.1.10;
                    priority 100;
                    advertise-interval 5;
                    accept-date
                    preempt;
           }
         }

注釈

さくらのクラウドによるvrrpのご利用は、一部推奨の設定、制限があります。vrrpに関するよくある質問と回答 をご確認ください。


5.8.6 vrrp 出力結果

vrrpの設定後 show vrrp コマンドにより masterbackup の状態遷移を確認ください。

vSRX_A
Interface     State       Group   VR state VR Mode   Timer    Type   Address
ge-0/0/1.0    up              1   master   Active      D  12.787lcl    192.168.1.4
                                                                vip    192.168.1.10

vSRX_B

Interface     State       Group   VR state VR Mode   Timer    Type   Address
ge-0/0/1.0    up              1   backup   Active      D  5.697 lcl    192.16.1.6
                                                                vip    192.168.1.10
                                                                mas    192.168.1.4

5.9 ログインユーザの追加について

本提供アーカイブではrootユーザの利用はできません。また、ログインユーザを追加する際は、定義済の default-user クラスに属させる必要があります。

以下、ログインユーザ sakura を追加する場合の例となります。

set system login user sakura class default-user
set system login user sakura authentication plain-text-password
 New password: (パスワードを入力)
 Retype new password: (再度パスワードを入力)
commit

5.10 バックアップ/リストアについて

default-userのユーザ権限では、GUI操作(以下、J-WEB)、CLIに用意されるConfig Upload機能は、利用に制限がされます。configのバックアップ/リストアは、参考例に以下のCLI Editorの利用を掲載いたします。

重要

掲載方法は、JunosOS18.4Rのご利用となります。 18.4R > 20.4R の移行、 20.4R > 20.4R ではご利用できません。

注釈

共有セグメントを利用するサーバプランは、サーバプラン削除によりIPアドレスが解放、再作成時に割当可能なIPアドレスが自動的に付与されます。

J-WEBのデフォルト設定は未設定となります。J-WEBの操作をcli configurationモードにより操作・設定します。

set system services web-management http

J-WEBの設定後、対応のブラウザ URLに http://IPアドレス を指定、vSRX(バックアップ)のJ-WEBにアクセスします。アクセス後に設定済みのログイン情報を入力、ログインします。

J-WEBのメニュー項目より Administration/Devices/Config Management/History の順に選択、Configuration History項目から Number:Current により最新のconfigファイルを特定、Action項目の Download よりダウンロードを開始します。

vSRX(リストア)のJ-WEBにアクセスします。メニュー項目より Administration/Tools/CLI Editor の順に選択、vSRX(バックアップ)から取得済みのconfigファイルをテキストエディタにより開きます。開いたconfigをコピー、CLI Editor Conffigurationのテキストボックスにペースト、右上の commit によりconfigを反映します。

反映操作後に画面操作がブロック、更新マークが表示されます。更新マークの表示終了後、configがvSRX(リストア)に反映、バックアップ/リストアが完了します。

注意

本操作は、configのバックアップのみとなります。logなど他のデータは別途保管が必要になります。


6. 製品使用許諾について

Juniperのご利用は エンド ユーザー ライセンス契約 のご確認と同意が必要です。同意されない際はご利用は不可となります。


7. 注意事項

  • 初回作業や設定作業はお客様の責任のもと実施ください。さくらインターネットでは作業代行はお受けしておりません。
  • 冗長構成(VRRP)に対応します。使用可能なVRRP IDの範囲は1~4となります。設定の詳細についてはマニュアルを参照ください。
  • JunosOS 18.4Rインストール済アーカイブのライセンス有効期限は2022年9月までとなります。有効期限以降は動作不可となります。
  • vSRX提供に付帯するサポートは、ユーザ毎の個別設定の回答・テクニカルサポートは含まれません、ご注意ください。
  • JunosOS 20.4Rは、18.4Rと比較し起動に時間を要します。ご注意ください

8. お問い合わせ

ご検討中のお客様は、利用中のお客様に応じてお問い合わせ先が異なります。

注釈

別途MSP,NoC,SoCサービスのご提案を希望されるお客様は、営業窓口へご相談ください。