SRX ライセンス導入手順...Junos 11.4以前のOSをご使用の場合、ライセンスキーをインポートする前に、SRX(Junos)にインストールされているソフトウェアライセンス用の証明書をインストールする必要がございます。

© Hitachi Solutions, Ltd. 2010-2014. All rights reserved.

株式会社日立ソリューションズネットワークビジネス部セキュリティグループ

SRX ライセンス導入手順

リビジョン 5.1 初版 2010/05/30 最新版 2014/04/01

© Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 1

Contents

３. ライセンスキーの自動インポート(インターネット接続必須)

２. ライセンスキーの手動インポート(ライセンスキー必須)

P.11

P.3

４. IDPシグネチャの導入(インターネット接続必須)

P.5

５. AVパターンファイルの更新(インターネット接続必須) P.14

１. ライセンスキーの種別 P.2

【重要】 Junos 11.4以前のOSをご使用の場合、ライセンスキーをインポートする前に、SRX(Junos)にインストールされているソフトウェアライセンス用の証明書をインストールする必要がございます。詳細は弊社サポートサイトをご確認頂けますようお願い致します。 ※ログインするにはユーザID/パスワードが必要です。

＜弊社サポートサイトURL＞ https://enugi.hitachi-solutions.co.jp/juniper/index.html -Juniper製品サポートトップ > SRX > 重要なお知らせ > SRXシリーズ証明書インストールのお願い


１-１ライセンスキーの種別

■サブスクリプションライセンス(正規版) 利用期間：納入日から1年間単位導入：手動インストール/自動インストールの両方に対応しております。更新：デフォルトで失効日の60日前から毎日ライセンスの自動更新を試みます。その他：自動更新の確認はライセンス有効期間がExpireするまで続きます。また、トライアルライセンスから手動で更新する事が可能です。

機能ライセンス等のライセンスキーには大別して3種類あります。利用期間や導入方法等に違いがありますので、注意してください。

■サブスクリプションライセンス(トライアル版) 利用期間：取得日から30日間導入：手動インストール/自動インストールの両方に対応しております。更新：正規ライセンスへの手動更新が可能です。その他：トライアルライセンスの延長処理はできません。あくまでも、導入前検証等に利用してください。

■パーマネントライセンス利用期間：納入日から永続導入：導入方法は手動インストールに限定されます。更新：更新の必要はありません。その他：一度導入すれば更新無しで永続利用可能なライセンスです。代表的なものとしてはDynamicVPNライセンス等があります。


２-１ライセンスキーの手動インポート(ライセンスキー必須)

■ ライセンスの確認 root> show system license

License usage:

Licenses Licenses Licenses Expiry

Feature name used installed needed

dynamic-vpn 0 2 0 permanent

ax411-wlan-ap 0 2 0 permanent

Licenses installed: none

■オペレーションモードからライセンスキーをインポート root> request system license add terminal

[Type ^D at a new line to end input,

enter blank line between each license key]

JUNOS236909 aeaqea qmifkt imrqhf aummjt g4zqma j4a4uc

zgeja3 ytzo5o xxnucg mj722n mn6ih5 wvpzdw

pjzmnm wnhear bl5wli pvtckj 6q2fff i

([Ctrl]+[D]キーを押下し貼り付けたライセンスキーをシステムに読み込ませます。) JUNOS236909: successfully added

add license complete (no errors)

◆例: 事前に下記ライセンスキーを入手している場合 (テキストファイルにて提供) JUNOS236909 aeaqea qmifkt imrqhf aummjt g4zqma j4a4uc



※ ライセンスキーは機器のシリアル番号およびライセンス型名ごとに異なります。

機能ライセンス等ライセンスキーを事前に入手している場合、手動でライセンスキーをインポート

することでインターネットへの接続環境を用意することなくライセンスキーのインポートが可能です。

※導入手順は、

サブスクリプションライセンスと

パーマネントライセンスで

違いはありません。

(事前に現在のライセンスインストール状況を確認します。)

(ブランチモデルのデフォルトでは 2つ分のdynamic-vpnライセンスと、

ax411-wlan-apライセンスが最初から導入されております。

これらのデフォルトで導入されているライセンスは、

パーマネントライセンスであり、更新の必要はありません。)

(ライセンスキーをターミナルより貼り付けるモードへ遷移します。)

(ライセンスキーに問題がない場合は no errors と出力されます。)

3


２-２ライセンスキーの手動インポート(ライセンスキー必須)

■ ライセンスの再確認 root> show system license

License usage:



idp-sig 0 1 0 2013-08-24 09:00:00 JST



Licenses installed:

License identifier: <ライセンスID> License version: 2

Valid for device: <装置シリアルナンバー>

Features:

idp-sig - IDP Signature

date-based, 2013-07-25 09:00:00 JST - 2013-08-24 09:00:00 JST

root> show system license keys




■機器の再起動 root> request system reboot

以上でライセンスキーの手動インポートは完了です。

(ライセンスが新たに追加されていることを確認してください。)

(ライセンス有効期間が表示されます。)

(インポートされたライセンスキーが表示されます。)

(ライセンス有効期間がExpireしたものを再導入した場合や、

新規にライセンスを導入した場合は、必ず再起動を行ってください。)

4


■ ライセンスの確認 root> show system license

License usage:





Licenses installed: none

■ コンフィグレーションモードへ移行 root> configure

■ 既存設定の削除 root# delete

This will delete the entire configuration

Delete everything under this level? [yes,no] (no) yes

■インターネットへの接続設定

サブスクリプション (UTMライセンス等の有効期限付きライセンス) における

ライセンスキー取得には、SRXをインターネットへ直接接続するための

環境が必要となります。 (プロキシ経由不可)

(現在インポートされているライセンスを確認可能です。)

(工場出荷時のコンフィグが設定されている場合等、

装置の再設定が必要な場合のみ実施してください。)

(接続環境に合わせて、以降の設定を実施してください。

既にインターネットへの接続環境がある場合は、

3-2.の設定を新たに投入する必要はありません。)

３-１ライセンスキーの自動インポート(事前準備編)


３-２ Internetへの接続設定例①(固定IPアドレス)

ge-0/0/0.0

192.168.1.10 / 24

ライセンスキー取得のため、Internet上にあるJuniper社のライセンスサーバへSRXを接続する必要があります。

ライセンスキー取得には、DNS(UDP:53) および https(TCP:443) 通信が行われます。

したがって、これらの通信が上位Router / FWにて許可されていることを確認してください。

DNS

0 1 2 3 4 5 6 ７ 8 9 10 11 12 13 14 15

SRX240

OpenDNS 1: 208.67.222.222

OpenDNS 2: 208.67.220.220

192.168.1.1 / 24 Global-IP

200.200.200.10

UNTRUST

Router

■固定IPアドレス, DNSサーバ, Default Gateway設定例 root#

set system time-zone Asia/Tokyo

set system name-server 208.67.222.222


set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.10/24

set routing-options static route 0.0.0.0/0 next-hop 192.168.1.1

set security zones security-zone UNTRUST interfaces ge-0/0/0.0

※ SRX100の場合、10/100 MbpsのInterfaceのみを実装しているため、Interface名は fe-0/0/0 となります。

Internet


３-２ Internetへの接続設定例②(DHCPクライアント)

0 1 2 3 4 5 6 7

SRX210

ge-0/0/0.0

DHCP Client

ライセンスキー取得のため、Internet上にあるJuniper社のライセンスサーバへSRXを接続する必要があります。

ライセンスキー取得には、DNS(UDP:53) および https(TCP:443) 通信が行われます。

したがって、これらの通信が上位Router / FWにて許可されていることを確認してください。

DNS

OpenDNS 1: 208.67.222.222

OpenDNS 2: 208.67.220.220

192.168.1.1 / 24 Global-IP

200.200.200.10

UNTRUST

DHCP Server

■DHCPクライアントIPアドレス取得, DNSサーバ設定例 root#




set interfaces ge-0/0/0 unit 0 family inet dhcp

set security zones security-zone UNTRUST interfaces ge-0/0/0.0 host-inbound-traffic system-services dhcp

※ SRX100の場合、10/100 MbpsのInterfaceのみを実装しているため、Interface名は fe-0/0/0 となります。

Internet


３-２ Internetへの接続設定例③(PPPoEクライアント)

■PPPoEクライアントIPアドレス取得, DNSサーバ設定例 root#




set interfaces fe-0/0/0 unit 0 encapsulation ppp-over-ether

set interfaces pp0 unit 0 ppp-options chap default-chap-secret "Juniper"

set interfaces pp0 unit 0 ppp-options chap local-name "[email protected]"

set interfaces pp0 unit 0 ppp-options chap passive

set interfaces pp0 unit 0 ppp-options pap local-name "[email protected]"

set interfaces pp0 unit 0 ppp-options pap local-password "Juniper"

set interfaces pp0 unit 0 ppp-options pap passive

set interfaces pp0 unit 0 pppoe-options underlying-interface fe-0/0/0.0

set interfaces pp0 unit 0 pppoe-options auto-reconnect 10

set interfaces pp0 unit 0 pppoe-options client

set interfaces pp0 unit 0 family inet mtu 1454

set interfaces pp0 unit 0 family inet negotiate-address

set routing-options static route 0.0.0.0/0 next-hop pp0.0

set security zones security-zone UNTRUST interfaces pp0.0

set security flow tcp-mss all-tcp mss 1414

※ SRX100以外の場合、10/100/1000 MbpsのInterfaceを実装しているため、Interface名は ge-0/0/0 となります。

0 1 2 3 4 5 6 7 SRX100

fe-0/0/0.0

PPPoE Client

DNS

OpenDNS 1: 208.67.222.222

OpenDNS 2: 208.67.220.220

Global-IP

UNTRUST

◆例: PPPoE設定

UserID: [email protected]

Password: Juniper

■PAP/CHAP認証設定

PAP認証またはCHAP認証のどちらを使用しているかが事前に判明している場合はいずれか片方の設定のみでPPPoE接続可能です。

(Passwordはハッシュされます。)

(Passwordはハッシュされます。)

Internet


３-３ライセンスキーの自動インポート(設定確認/インストール編)

■root権限のパスワード設定 root# set system root-authentication plain-text-password

New password: *****

Retype new password: *****

■設定の反映 root# commit

■オペレーションモードへ移行 root# exit

■InterfaceのIPアドレス確認, Default Gateway確認 root> show interfaces terse | no-more

root> show route terse | no-more

■ライセンスキーの取得 root> request system license update trial

Request to automatically update license keys from https://ae1.juniper.net has been sent,

use 'show system license' to check status.

(commitするために必要です。)

<rootログインパスワード>

<rootログインパスワード(確認用)>

(付与もしくは取得したIPアドレスが適切なことを確認してください。)

(0.0.0.0/0 エントリの Next hop が Default Gateway となります。)

トライアル版のライセンスが必要な場合のみ、 trialオプションを設定してください。

サブスクリプション (UTMライセンス等の有効期限付きライセンス) における

ライセンスキー取得には、SRXをインターネットへ直接接続するための

環境が必要となります。 (プロキシ経由不可)


３-３ライセンスキーの自動インポート(インストール確認/適用編)

■ ライセンスの再確認 root> show system license

License usage:



idp-sig 0 1 0 2013-08-24 09:00:00 JST



Licenses installed:

License identifier: <ライセンスID> License version: 2

Valid for device: <装置シリアルナンバー>

Features:

idp-sig - IDP Signature

date-based, 2013-07-25 09:00:00 JST - 2013-08-24 09:00:00 JST

root> show system license keys




■機器の再起動 root> request system reboot

以上でライセンスキーの自動インポートは完了です。

(ライセンスが新たに追加されていることを確認してください。)

(ライセンス有効期間が表示されます。)

(インポートされたライセンスキーが表示されます。)

(ライセンス有効期間がExpireしたものを再導入した場合や、

新規にライセンスを導入した場合は、必ず再起動を行ってください。)


４-１ IDPシグネチャの導入(ダウンロード編) (インターネット接続必須)

IDPシグネチャ導入のため、Internet上にあるシグネチャの

ダウンロードサーバへSRXを接続する必要がございます。

以降の解説はライセンスサーバへの通信が可能であるという前提で記載致します。

■シグネチャのダウンロードパッケージのダウンロードコマンド： root> request security idp security-package download full-update

ダウンロード状況の確認コマンド： root> request security idp security-package download status

(出力例)

Done;Successfully downloaded from(https://services.netscreen.com/cgi-bin/index.cgi)

and synchronized to backup.

Version info:2011(Mon Oct 17 15:13:06 2011, Detector=11.6.140110920)

"Done;Successfully downloaded"と表示されれば

ダウンロード完了です。

初回導入時のみ、 full-updateオプションを設定してください。 2回目以降(アップデート時や再導入時) ならば、本オプションを設定する必要はありません。


４-２ IDPシグネチャの導入(インストール編)

■セキュリティパッケージのインストール

下記コマンドを実行して、セキュリティパッケージのインストールを行います。

インストールはバックグラウンドで進行するので、インストール状況の確認はコマンドの実行が必要です。

パッケージのインストールコマンド： root> request security idp security-package install

インストール状況の確認コマンド： root> request security idp security-package install status

(出力例) Done;Attack DB update : successful - [UpdateNumber=1985,

ExportDate=Fri Sep 2 10:14:29 2011,Detector=11.6.160110809]

Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found.

■インストールされたシグネチャバージョンの確認 root> show security idp security-package-version

Attack database version:1985(Fri Sep 2 10:14:29 2011)

Detector version :11.6.160110809

Policy template version :N/A

コマンド実行からインストール完了まで、

10分程度の時間がかかります。

"Done;Attack DB update : successful“

と表示されればインストール完了ですので、

状況を確認しつつお待ちください。

以上でシグネチャの導入作業は完了です。

シグネチャのインストール時に装置負荷が上昇します。

比較的装置負荷の少ない深夜帯等の時間帯にインストールする事を推奨致します。


４-３ IDPシグネチャの導入(自動更新編) (インターネット接続必須)

以上でシグネチャの自動更新設定は完了です。

IDPシグネチャ更新のため、Internet上にあるシグネチャの

ダウンロードサーバへSRXを接続する必要がございます。

以降の解説はライセンスサーバへの通信が可能であるという前提で記載致します。

本設定を有効化する事で、

IDPシグネチャのダウンロードとインストール(更新)が自動化されます。

尚、IDPシグネチャの更新は平均して週に2～3回程度ですので、

お客様の運用形態に沿った更新間隔をご設定頂けますようお願い致します。

■シグネチャの自動更新設定 root#set security idp security-package automatic interval 48 start-time 08-02.23:00

■シグネチャ自動更新の有効化 root# set security idp security-package automatic enable

■シグネチャ更新設定完了 root# commit

サンプルは2日に一度の更新設定です。 (48時間のインターバル)

自動更新の開始時刻です。 (サンプルは8/2のPM23時に開始します。)


５-１ AVパターンファイルの更新 (インターネット接続必須)

Anti-Virusライセンスの導入後は、パターンファイル更新の為に、

Internet上にあるJuniper社のサーバへSRXを接続する必要がございます。

以降の解説はJuniper社のサーバへの通信が可能であるという前提で記載致します。

■パターンファイル自動更新の設定 root# set security utm feature-profile anti-virus kaspersky-lab-engine pattern-update interval 120

■パターンファイル設定完了 root# commit

■Anti-Virusライセンスの状態確認 root> show security utm anti-virus status

UTM anti-virus status:

Anti-virus key expire date: 2012-12-30 09:00:00

Update server: http://update.juniper-updates.net/AV/SRX550/

Interval: 120 minutes

Pattern update status: next update in 30 minutes

Last result: already have latest database

Anti-virus signature version: 09/02/2013 00:41 GMT, virus records: 567926

Anti-virus signature compiler version: N/A

Scan engine type: kaspersky-lab-engine

Scan engine information: last action result: No error(0x00000000)

■パターンファイルの手動更新 root> request security utm anti-virus kaspersky-lab-engine pattern-update

(初回導入時等、任意のタイミングでパターンファイルの更新を行いたい場合はこちらのコマンドを実行してください。)

以上でAVパターンファイルの設定は完了です。

(サンプルは120分毎に1回のパターンファイル更新の設定です。

デフォルトでは、60分毎に1回のパターンファイル更新が行われます。

AVパターンファイルのアップデートは、平均して1日に1回程度ですが、

お客様の運用形態に沿った更新間隔の設定をお願い致します。

この際、短すぎる時間を指定すると、

サーバと装置に極端な負荷がかかりますので、その点をご注意ください。)

(ライセンス有効期限が記載されています。)

(設定された更新間隔が記載されています。)

(次回更新タイミングが記載されています。)


株式会社日立ソリューションズネットワークビジネス部セキュリティグループ E-mail: [email protected]

SRX ライセンス導入手順

END

・本資料中の会社名、商品名は各社の商標及び登録商標です。・本文中および図中では、TMマーク、(R)マークは表記しておりません。

Documents

SRX ライセンス導入手順...Junos 11.4以前のOSをご使用の場合、ライセンスキーをインポートする前に、SRX(Junos)に インストールされているソフトウェアライセンス用の証明書をインストールする必要がございます。

SRX ライセンス導入手順...Junos 11.4以前のOSをご使用の場合、ライセンスキーをインポートする前に、SRX(Junos)にインストールされているソフトウェアライセンス用の証明書をインストールする必要がございます。