【SRX】運用管理系の設定

Juniper Networks SRXで運用管理系の設定方法を紹介します。
パケット転送やファイアウォールなど機器が提供する主目的の機能とは異なる部分ですが、運用管理系の設定をきちんと実施することで、リリース後の作業やトラブルシュートが円滑に実施できます。

共通手順

SRXで設定を追加する場合は、オペレーションモード(プロンプト文字が>)からコンフィグレーションモード(プロンプト文字が#)に移行します。
その後、setコマンドで該当の設定を投入します。
全てのコンフィグを入れ終わったら、コミットを実行し設定を確定させます。このタイミングで設定が有効化されます。
最後に、exitでコンフィグレーションモードからオペレーションモードに戻ります。

> configure
# set <設定パラメータ1>
# set <設定パラメータ2>
# set <設定パラメータ3>
# commit
# exit
>

ホスト名

機器を識別するためのホスト名を設定します。

# set system host-name <ホスト名>

タイムゾーン

国内での使用であれば、Asia/Tokyoに設定します。

# set system time-zone Asia/Tokyo

NTP

時刻同期先のNTPサーバを設定します。preferを末尾に付与すると、他のNTPサーバよりも優先して参照されます。

# set system ntp server xx.xx.xx.xx prefer
# set system ntp server yy.yy.yy.yy

リモートログイン

機器にリモートログインするための設定を実施します。

SSH

SSHでリモートログインする場合に設定します。

# set system services ssh

WebUI(J-Web)

WebブラウザからHTTP/HTTPSでリモートログインする場合に設定します。

# set system services web-management http
# set system services web-management https system-generated-certificate

アクセスを許可するゾーン

リモートアクセスを許可するゾーンを設定します。ゾーンは、1つ以上のインターフェースで構成されます。下記はTRUSTゾーンにfe-0/0/1.0を設定し、機器自体に対するSSHとWebUIのアクセスを許可しています。

# set security zones security-zone TRUST interface fe-0/0/1.0
# set security zones security-zone TRUST host-inbound-traffic system-services ssh
# set security zones security-zone TRUST host-inbound-traffic system-services http
# set security zones security-zone TRUST host-inbound-traffic system-services https

Syslog

トラブルシュート時にログの解析は必須です。いざというときのためにログは必ず残しておきましょう。

ローカルファイル出力

ローカルへのログ出力は標準設定で行われていますが、必要であればファイル名や出力レベルの変更が可能です。

# set system syslog file <ファイル名> <facility> <severity>

リモート転送

リモートのSyslogサーバにログを転送します。
xx.xx.xx.xxは宛先SyslogサーバのIPアドレスです。yy.yy.yy.yyは送信元IPを固定するための設定で、機器自身が持つIPアドレスの中から設定します。

# set system syslog host xx.xx.xx.xx any any
# set system syslog host xx.xx.xx.xx source-address yy.yy.yy.yy

名前解決

SRXが名前解決を行う際に参照するDNSサーバを設定します。

# set system name-server xx.xx.xx.xx

SNMP

監視サーバから機器状態を監視するためのSNMPパラメータを設定します。

SNMPポーリング

監視サーバからSNMPポーリングを行うことの許可設定です。リモートログインの箇所と同様に、アクセスを許可する設定をゾーンに対して行います。
publicの箇所は、任意のコミュニティ名にしてください。

# set snmp community public authorization read-only
# set security zones security-zone TRUST host-inbound-traffic system-services snmp

SNMP Trap

機器で異常が発生した際に、監視サーバに能動的にSNMP Trapを送信するための設定をします。publicの箇所は、任意のコミュニティ名にしてください。

# set snmp trap-group public version v2
# set snmp trap-group public targets xx.xx.xx.xx
# set snmp trap-group public categories authentication
# set snmp trap-group public categories chassis
# set snmp trap-group public categories link
# set snmp trap-group public categories remote-operations
# set snmp trap-group public categories routing
# set snmp trap-group public categories startup
# set snmp trap-group public categories rmon-alarm
# set snmp trap-group public categories vrrp-events
# set snmp trap-group public categories configuration

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です