仕事で新拠点と既存拠点をVPNで接続する必要が出てきました。 以前に設定した人は退職し、ドキュメントも一切残っていませんでした。 かろうじてrootのパスワードが判ったので、既存の設定を抜き出して試行錯誤でセットアップしたときの備忘録です。 新拠点は稼働しましたが、まだおかしなところもありそうなので現在進行形の情報です。 具体的な設定内容は差し障りがあるので、操作方法を中心に書いてあります。
Configuring Network Interfaces(juniper)
3つのモードで操作することができます。 JUNOSコマンドが使用できるモードはオペレーションモードとコンフィグレーションモード。 シェルコマンドモードではUNIXコマンド(FreeBSD)を使用。 Tabキーによるコマンド補完が効きます。
操作モード | プロンプト | 説明 |
---|---|---|
シェルコマンド | % | FreeBSDのシェルにアクセスできるモード。 |
オペレーション | > | ソフトウェア、ネットワーク接続性、ハードウェアのステータス確認とモニター |
コンフィグレーション | # | JUNOSを設定(追加、変更、削除)する時のモード |
オペレーションモードに移行したい場合はcliと入力 コンフィグレーションモードに移行したい場合configureと入力
JUNOS(Juniper)はFreeBSDがベースのOSであり、通常のPCやLinuxマシンと同じく、シャットダウン処理が必要です。
※シリアル接続の Baud rate=9600 を設定してください。 2. root ユーザでログインし、以下のコマンドを実行します。
↑ Yes を入力します。 (以下のメッセージを出力した後、電源が落ちます。約1分)
電源ケーブルを挿入した後、電源ボタンを押下します。
オペレーションモードで request system reboot コマンド
オペレーションモードで show configuration コマンド
SETモードで表示される。「no-more」を付けないと画面毎に表示が止まる。 このまま、コンソールから投入できるので便利。
階層モードで表示される。「no-more」を付けないと画面毎に表示が止まる。 階層で表示されるので見やすい。
Stateが「UP」の状態が正常。「DOWN」などは異常であるが、再起動後などセッションが確立すると「UP」に変わる
「DOWN」の状態から回復しないときは、該当のトンネルをdisableにし、再度元に戻す。 余り有効では無いかも。。。
root@XXXXXX> set interfaces st0 unit 0 disable
root@XXXXXX> commit
root@XXXXXX> set interfaces st0 unit 0 family inet
root@XXXXXX> commit
root@XXXXXX> show security ike security-associations
設定するためには、コンフィグレーションモードから set コマンドを使用して設定します。
設定を削除する場合はdeleteコマンドを使用します。
JUNOSでは設定追加や設定削除の際にコマンドをフルパスで設定する方法、
該当する階層で設定する方法の2種類があります。
show xxxxxxxxx | display set
コマンドでフルパスのset文を取得し、setコマンドを修正し、投入するのが簡単です。
commitしないと終われません。
お互いのルーターを認証するため交換する暗号鍵
値はhost-nameとする(対向先と同じ値であればなんでも良い)。自動的に暗号化される。
set security ike policy ike_pol_Honmachi pre-shared-key ascii-text "Honmachi"
若しくは以下のページも生成可能。
強力な事前共有キーの生成
プロバイダから指示されたパスワードをテキストで設定する。 自動的に暗号化される。
set interfaces pp0 unit 0 ppp-options chap default-chap-secret "PPPoE_Password"
set interfaces pp0 unit 0 ppp-options chap local-name "pppoe_user@provider.ne.jp"
set interfaces pp0 unit 0 ppp-options chap passive
set interfaces pp0 unit 0 ppp-options pap local-name "pppoe_user@provider.ne.jp"
set interfaces pp0 unit 0 ppp-options pap local-password "PPPoE_Password"
設定時、名前解決が出来ないためエラーとなる。 インターネット接続後に再設定すること。
root@HakataBranch# set system ntp server ntp.nict.jp
error: could not resolve name: ntp.nict.jp: ntp.nict.jp
[edit]
root@HakataBranch# commit
commit complete
セキュリティポリシーを追加していく過程で急に繋がらなくなるので注意が必要。
set system services dhcp wins-server 192.168.10.100
set system services dhcp wins-server 192.168.20.100
set system services dhcp router 192.168.10.1
set system services dhcp pool 192.168.10.0/24 address-range low 192.168.10.201
set system services dhcp pool 192.168.10.0/24 address-range high 192.168.10.240
set system services dhcp propagate-settings vlan.0
set security zones security-zone Internal interfaces vlan.0 host-inbound-traffic system-services dhcp
root@HakataBranch> show system services dhcp pool
Pool name Low address High address Excluded addresses
192.168.10.0/24 192.168.10.201 192.168.10.240
root@HakataBranch> show system services dhcp binding
IP address Hardware address Type Lease expires at
192.168.10.202 38:f3:ab:62:c7:fa dynamic 2022-02-18 10:31:39 GMT+9
192.168.10.201 8c:8c:aa:e8:a9:80 dynamic 2022-02-18 08:42:12 GMT+9
コミットの確認がされます。[Yes]でキャンセルされます。
[edit]
root@HakataBranch# exit
The configuration has been changed but not committed
Exit with uncommitted changes? [yes,no] (yes) no
Exit aborted
[edit]
root@HakataBranch#
root パスワードの設定は、以下のコマンドを実行して対話的に設定します。
root@HakataBranch# set system root-authentication plain-text-password
[edit]
root# set system root-authentication plain-text-password
New password:
Retype new password:
設定したパスワードはコンフィグ上では暗号化されて表示されます。
root@HakataBranch> show configuration | display set | match root
set system root-authentication encrypted-password "$1$xeVYrSDn$r3BMhDVdRuyqb8WEhLEae0"
暗号化済みのパスワードを使用して設定する場合は以下の様にコマンド1行で設定可能です。
root# set system root-authentication encrypted-password "$1$xeVYrSDn$r3BMhDVdRuyqb8WEhLEae0"
起動が遅いので焦らず起動を待つ。コンソールのメッセージを確認する。
電源ケーブルが抜けたなど、シャットダウンコマンドに依らず電源が落ちた場合など 以下のメッセージが出た場合はOSにダメージがあり、バックアップから起動しています。
以下の手順で、バックアップをプライマリーにコピーします。 手順は以下を参照しました(その通りには進めなかった)。 運悪くBACKUP IMAGEで起動してしまったJUNOS BOXを直す方法。
SRXの工場出荷時の状態では、レスキューコンフィグと呼ばれるコンフィグが設定されていないためフロントパネルのALARMがオレンジ色に点灯しています。このレスキューコンフィグを作成することでアラームランプが点灯しなくなります。レスキューコンフィグとは設定ミス等で通信障害が発生したりアクセスができなくなった場合に備えて、管理者が予め保存して緊急時に読み込ませるコンフィグです。
以下のフォルダーに保管されているので、最新のjuniper.conf.gzをSFTPなどで取得する。 取得形式は階層表示となる。
root@XXXXX% ls -l /config
total 76
drwxrwxr-x 2 root wheel 512 Dec 4 2010 .snap
-rw-r----- 1 root wheel 2467 Mar 10 00:05 juniper.conf.1.gz
-rw-r----- 1 root wheel 2466 Mar 10 00:04 juniper.conf.2.gz
-rw-r----- 1 root wheel 2466 Mar 10 00:01 juniper.conf.3.gz
-rw-r----- 1 root wheel 2466 Mar 10 00:00 juniper.conf.4.gz
-rw-r----- 1 root wheel 2470 Mar 9 23:59 juniper.conf.5.gz
-rw-r----- 1 root wheel 2459 Mar 10 00:17 juniper.conf.gz
---x--x--- 1 root wheel 32 Mar 10 00:06 juniper.conf.md5
-rw-r----- 1 root wheel 2459 Mar 11 02:06 rescue.conf.gz
-rw-r--r-- 1 root wheel 824 Jan 20 10:40 usage.db
-rw-r--r-- 1 root wheel 1376 Apr 1 2012 usage.db.1334134267
-rw-r--r-- 1 root wheel 1376 Apr 10 2012 usage.db.1642707607
root@XXXXX%
sshで接続していても、しばらく操作していないと強制切断されてしまう件について、これに下記の設定を追加することで、強制切断問題が解消する。 version 10.3R2では設定できませんでしたので、未確認です。
root@XXXXX> set system services ssh client-alive-interval 120
root@XXXXX> set system services ssh client-alive-count-max 30
root@XXXXX> commit