無理矢理バージョンアップせずにちゃんと手順を踏んでください。
世の中お作法が大事です。
6.0.0rx以降は一気に6.3.0rxの最新版まで上げて問題なさそうですね。
SSG Upgrade Guide
SSG アップグレードガイド
スポンサードリンク
SSG Firmware Upgrade Paths
SSGのファームウェアをアップグレードするときのパスとなります。
無理矢理バージョンアップせずにちゃんと手順を踏んでください。
世の中お作法が大事です。
6.0.0rx以降は一気に6.3.0rxの最新版まで上げて問題なさそうですね。
SSG Upgrade Guide
SSG アップグレードガイド
TOP OF THE NETWORK×NETWORK無理矢理バージョンアップせずにちゃんと手順を踏んでください。
世の中お作法が大事です。
6.0.0rx以降は一気に6.3.0rxの最新版まで上げて問題なさそうですね。
SSG Upgrade Guide
SSG アップグレードガイド
NETWORK×NETWORK
SSG ScreenOS アップデート
久しぶりにSSGのファームウェアをアップデートすることに。
※基本的に設定はそのまま引き継ぎますがScreenOSのアップデート前
にコンフィグなどのバックアップを念のため取っておきましょう!
1.ScreenOS準備
これは保守契約結んでる会社から手に入れてください。
ScreenOSをゲットしたらMD5値の確認でOSが正常なことを確認。
2.PC準備
teratermなどでSSGとcli接続 ←コマンド設定用
ScreenOSが転送できるようにLAN接続 ←データ転送用
SSGのtrust interfaceのデフォルトIPは192.168.1.1/24なので
同じセグメントを設定しましょう。
PC:192.168.1.11/24
3.TFTPサーバー準備
tftpサーバーをダウンロードして起動してください。
ここではPoortftpを使用。
起動してScreenOSを保存してるディレクトリに変更。
Operation>Authorized Directory:Select [パス]
4.ScreenOSアップデート
SSG->save software from tftp 192.168.1.11 ssg140.6.3.0r22.0 to flash
Load software from TFTP 172.30.1.44 (file: ssg140.6.3.0r22.0).
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!............ズーと続きます
...............!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
tftp received octets = 12575936
tftp success!
TFTP Succeeded
Save to flash. It may take a few minutes ...platform = 24, cpu = 12, version = 18
update new flash image (029ee630,12575936)
platform = 24, cpu = 12, version = 18
offset = 20, address = 5800000, size = 12575858
date = 2669, sw_version = 31808000, cksum = f62dc26f
Image authenticated!
Program flash (12575936 bytes) ...
++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++done
Backup image write
++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++done
Done
SSG->
5.再起動
SSG->reset
Configuration modified, save? [y]/n y
Save System Configuration ...
Done
System reset, are you sure? y/[n] y
In reset ...
6.確認
SSG->get system
Product Name: SSG-140
Hardware Version: 1010(0)-(00), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0)
Software Version: 6.3.0r22.0, Type: Firewall+VPN
無事上がっております。よかったよかった。
ちなみにもともと設定されてたコンフィグも引き継いでおります。
TOP OF THE NETWORK×NETWORK※基本的に設定はそのまま引き継ぎますがScreenOSのアップデート前
にコンフィグなどのバックアップを念のため取っておきましょう!
1.ScreenOS準備
これは保守契約結んでる会社から手に入れてください。
ScreenOSをゲットしたらMD5値の確認でOSが正常なことを確認。
2.PC準備
teratermなどでSSGとcli接続 ←コマンド設定用
ScreenOSが転送できるようにLAN接続 ←データ転送用
SSGのtrust interfaceのデフォルトIPは192.168.1.1/24なので
同じセグメントを設定しましょう。
PC:192.168.1.11/24
3.TFTPサーバー準備
tftpサーバーをダウンロードして起動してください。
ここではPoortftpを使用。
起動してScreenOSを保存してるディレクトリに変更。
Operation>Authorized Directory:Select [パス]
4.ScreenOSアップデート
SSG->save software from tftp 192.168.1.11 ssg140.6.3.0r22.0 to flash
Load software from TFTP 172.30.1.44 (file: ssg140.6.3.0r22.0).
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!............ズーと続きます
...............!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
tftp received octets = 12575936
tftp success!
TFTP Succeeded
Save to flash. It may take a few minutes ...platform = 24, cpu = 12, version = 18
update new flash image (029ee630,12575936)
platform = 24, cpu = 12, version = 18
offset = 20, address = 5800000, size = 12575858
date = 2669, sw_version = 31808000, cksum = f62dc26f
Image authenticated!
Program flash (12575936 bytes) ...
++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++done
Backup image write
++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++done
Done
SSG->
5.再起動
SSG->reset
Configuration modified, save? [y]/n y
Save System Configuration ...
Done
System reset, are you sure? y/[n] y
In reset ...
6.確認
SSG->get system
Product Name: SSG-140
Hardware Version: 1010(0)-(00), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0)
Software Version: 6.3.0r22.0, Type: Firewall+VPN
無事上がっております。よかったよかった。
ちなみにもともと設定されてたコンフィグも引き継いでおります。
NETWORK×NETWORK
SSG ファームウェアアップデート 失敗
SSGのファームウェアアップデートを失敗した。
何回も繰り返しやったことがあったのでちょっと
甘くみていた。下記エラーが表示される。
********Invalid image!!!
********Bogus image - not authenticated!!!
6.3.0r18以降のファームウェアをアップデートする際には
新しい認証キーが必要なのがわかった。
CLIからコマンドで現在のイメージ認証キーの確認
exec pki test skey
exec pki test <skey>.
Flash base = 0x0, Flash end = 0x0, sector size= 0x10000
KEY1 N/A len =432
309301ac02010002818100fd7f53811d75122952df4a9c2eece4e7f611b7523cef4400c31e3f80b651
magic1 = f7e9294b magic2=0
KEY2 N/A len =432
309301ac02010002818100fd7f53811d75122952df4a9c2eece4e7f611b7523cef4400c31e3f80b651
magic1 = f7e9294b magic2=0
KEY3 N/A len =432
308201ac02010002818100fd7f53811d75122952df4a9c2eece4e7f611b7523cef440
0c31e3f80b651
magic1 = f7e9294b magic2=0
赤くcとなっていると旧イメージ認証キー。
ここがdなら新イメージ認証キーとなる。
今回はここがcとなっていたので6.3.0r18に
ファームウェアをアップデートできなかった。
一応両方のイメージ認証キーをダウンロードしておきましょう。
*旧イメージ認証キー
6.3.0r17以前のバージョン
http://www.juniper.net/techpubs/hardware/netscreen-certifications/image_key.zip
*新イメージ認証キー
6.3.0r18以降のバージョン
http://www.juniper.net/techpubs/hardware/netscreen-certifications/imagekey.zip
1.イメージ認証キーの削除
delete crypto auth-key
2.イメージ認証キー削除確認
exec pki test skey
exec pki test <skey>.
Flash base = 0x0, Flash end = 0x0, sector size= 0x10000
KEY1 N/A len =0
000000000000000000000000000000000000000000000000000000000000000000000000000000000
magic1 = e7e9294b magic2=0
KEY2 N/A len =0
000000000000000000000000000000000000000000000000000000000000000000000000000000000
magic1 = e7e9294b magic2=0
KEY3 N/A len =0
000000000000000000000000000000000000000000000000000000000000000000000000000000000
magic1 = e7e9294b magic2=0
※イメージ認証キーがないと0が並びます。
3.新イメージ認証キーのインストール
TFTPサーバーを準備してアップロード
save image-key tftp imagekey.cer
4.新認証キーの確認
exec pki test skey
exec pki test <skey>.
Flash base = 0x0, Flash end = 0x0, sector size= 0x10000
KEY1 N/A len =432
309301ad02010002818100fd7f53811d75122952df4a9c2eece4e7f611b7523cef4400c31e3f80b651
magic1 = f7e9294b magic2=0
KEY2 N/A len =432
309301ad02010002818100fd7f53811d75122952df4a9c2eece4e7f611b7523cef4400c31e3f80b651
magic1 = f7e9294b magic2=0
KEY3 N/A len =432
308201ad02010002818100fd7f53811d75122952df4a9c2eece4e7f611b7523cef440
0c31e3f80b651
magic1 = f7e9294b magic2=0
c→dとなったところで再度NetscreenOSのアップデートを
実施したところ無事できました!!
途中で仕様変えられるとわからんようになる(笑)
*Where can I download the Juniper Networks
DSA Public Key (imagekey.cer) file, and how do
I load/install the imagekey.cer file?
*Juniper Technical Documentation
続きを読む
TOP OF THE NETWORK×NETWORK何回も繰り返しやったことがあったのでちょっと
甘くみていた。下記エラーが表示される。
********Invalid image!!!
********Bogus image - not authenticated!!!
6.3.0r18以降のファームウェアをアップデートする際には
新しい認証キーが必要なのがわかった。
CLIからコマンドで現在のイメージ認証キーの確認
exec pki test skey
exec pki test <skey>.
Flash base = 0x0, Flash end = 0x0, sector size= 0x10000
KEY1 N/A len =432
309301ac02010002818100fd7f53811d75122952df4a9c2eece4e7f611b7523cef4400c31e3f80b651
magic1 = f7e9294b magic2=0
KEY2 N/A len =432
309301ac02010002818100fd7f53811d75122952df4a9c2eece4e7f611b7523cef4400c31e3f80b651
magic1 = f7e9294b magic2=0
KEY3 N/A len =432
308201ac02010002818100fd7f53811d75122952df4a9c2eece4e7f611b7523cef440
0c31e3f80b651
magic1 = f7e9294b magic2=0
赤くcとなっていると旧イメージ認証キー。
ここがdなら新イメージ認証キーとなる。
今回はここがcとなっていたので6.3.0r18に
ファームウェアをアップデートできなかった。
一応両方のイメージ認証キーをダウンロードしておきましょう。
*旧イメージ認証キー
6.3.0r17以前のバージョン
http://www.juniper.net/techpubs/hardware/netscreen-certifications/image_key.zip
*新イメージ認証キー
6.3.0r18以降のバージョン
http://www.juniper.net/techpubs/hardware/netscreen-certifications/imagekey.zip
1.イメージ認証キーの削除
delete crypto auth-key
2.イメージ認証キー削除確認
exec pki test skey
exec pki test <skey>.
Flash base = 0x0, Flash end = 0x0, sector size= 0x10000
KEY1 N/A len =0
000000000000000000000000000000000000000000000000000000000000000000000000000000000
magic1 = e7e9294b magic2=0
KEY2 N/A len =0
000000000000000000000000000000000000000000000000000000000000000000000000000000000
magic1 = e7e9294b magic2=0
KEY3 N/A len =0
000000000000000000000000000000000000000000000000000000000000000000000000000000000
magic1 = e7e9294b magic2=0
※イメージ認証キーがないと0が並びます。
3.新イメージ認証キーのインストール
TFTPサーバーを準備してアップロード
save image-key tftp
4.新認証キーの確認
exec pki test skey
exec pki test <skey>.
Flash base = 0x0, Flash end = 0x0, sector size= 0x10000
KEY1 N/A len =432
309301ad02010002818100fd7f53811d75122952df4a9c2eece4e7f611b7523cef4400c31e3f80b651
magic1 = f7e9294b magic2=0
KEY2 N/A len =432
309301ad02010002818100fd7f53811d75122952df4a9c2eece4e7f611b7523cef4400c31e3f80b651
magic1 = f7e9294b magic2=0
KEY3 N/A len =432
308201ad02010002818100fd7f53811d75122952df4a9c2eece4e7f611b7523cef440
0c31e3f80b651
magic1 = f7e9294b magic2=0
c→dとなったところで再度NetscreenOSのアップデートを
実施したところ無事できました!!
途中で仕様変えられるとわからんようになる(笑)
*Where can I download the Juniper Networks
DSA Public Key (imagekey.cer) file, and how do
I load/install the imagekey.cer file?
*Juniper Technical Documentation
続きを読む
NETWORK×NETWORK
SSG CLI 管理IP
すでにIPアドレスをインターフェースに設定しており
そのインターフェースに管理IPを振る方法。
◆インターフェースを管理用IPとして設定
> set interface [インターフェース] ip manageable
インターフェースを管理IPにした後アクセス制限をする方法。
◆管理インターフェースアクセス制限
> set interface [インターフェース] manage [下記いずれか]
{ident-reset | nsmgmt| mtrace | ping | snmp | ssh | ssl | telnet | web}
GUIが接続できない場合CLIで設定してから接続すること。
> set interface "ethernet0/0" manage web
以上。
TOP OF THE NETWORK×NETWORKそのインターフェースに管理IPを振る方法。
◆インターフェースを管理用IPとして設定
> set interface [インターフェース] ip manageable
インターフェースを管理IPにした後アクセス制限をする方法。
◆管理インターフェースアクセス制限
> set interface [インターフェース] manage [下記いずれか]
{ident-reset | nsmgmt| mtrace | ping | snmp | ssh | ssl | telnet | web}
GUIが接続できない場合CLIで設定してから接続すること。
> set interface "ethernet0/0" manage web
以上。
NETWORK×NETWORK
SSG コマンド ポリシー移動
作成したポリシーを好きな場所に移動するコマンド。
set policy move [移動するポリシーID] after/before [移動先のポリシーID]
例)
set policy move 10 after 20
ポリシーID10番をポリシーID20番の後に挿入しなさいってことです。
さーやってみよう!!
TOP OF THE NETWORK×NETWORKset policy move [移動するポリシーID] after/before [移動先のポリシーID]
例)
set policy move 10 after 20
ポリシーID10番をポリシーID20番の後に挿入しなさいってことです。
さーやってみよう!!
NETWORK×NETWORK
SSG コマンド ポリシー追加
SSGでポリシーを入れたい場所に追加したい場合
GUIで作業するといたって簡単である。
しかし、男にはどーしてもCLIから作業しないと
いけない時がある!!!
◆ポリシーの追加
1.追加
set policy id 1 from "Untrust" to "Trust" "ANY" "ANY" "ANY" permit log
※set policy id [他のポリシーと被らないように注意]
from "[送信元ゾーン]" to "[宛先ゾーン]"
"[送信元アドレス]" "[宛先アドレス]" "[サービス指定]" 動作指定(ここでは許可)
これだけだとポリシーが最後に追加されるだけです。
2.ポリシーを移動
set policy move 10 after 5
※set policy move [送信元ポシーID] どこに [宛先ポリシーID]
これで作成したポリシーが任意の場所に移動されたはずです。
ただ失敗するリスクもあるので断然GUIで作業するのをお薦めします!!
TOP OF THE NETWORK×NETWORKGUIで作業するといたって簡単である。
しかし、男にはどーしてもCLIから作業しないと
いけない時がある!!!
◆ポリシーの追加
1.追加
set policy id 1 from "Untrust" to "Trust" "ANY" "ANY" "ANY" permit log
※set policy id [他のポリシーと被らないように注意]
from "[送信元ゾーン]" to "[宛先ゾーン]"
"[送信元アドレス]" "[宛先アドレス]" "[サービス指定]" 動作指定(ここでは許可)
これだけだとポリシーが最後に追加されるだけです。
2.ポリシーを移動
set policy move 10 after 5
※set policy move [送信元ポシーID] どこに [宛先ポリシーID]
これで作成したポリシーが任意の場所に移動されたはずです。
ただ失敗するリスクもあるので断然GUIで作業するのをお薦めします!!
NETWORK×NETWORK
Netscreen セッション タイムアウト値
Fortigateのセッションタイムアウト値は衝撃的な
感じでしたがNetscreenの動きはまた違うようです。
セッションが開始されてから > タイムアウトカウンタの開始 >
セッションがアクティブか10秒ごとに確認 >
10秒以上待機状態が継続するとカウントダウンを開始
というように最後に通信が発生してから計算されるようです。
ってか普通そうでしょ!?
ちなみに各プロトコルのデフォルト値は、
TCP : 1800 sec (30 min)
UDP : 60 sec
ICMP : 60 sec
になります。
TOP OF THE NETWORK×NETWORK感じでしたがNetscreenの動きはまた違うようです。
セッションが開始されてから > タイムアウトカウンタの開始 >
セッションがアクティブか10秒ごとに確認 >
10秒以上待機状態が継続するとカウントダウンを開始
というように最後に通信が発生してから計算されるようです。
ってか普通そうでしょ!?
ちなみに各プロトコルのデフォルト値は、
TCP : 1800 sec (30 min)
UDP : 60 sec
ICMP : 60 sec
になります。
NETWORK×NETWORK
SSG tcp-syn-check
行きと帰りの経路が異なる場合FWがパケットを破棄してしまう。
非対称ルーティングは色々と注意が必要である。
特にファイアウォールで非対称ルーティングを行う場合
大概の機器で設定が必要であると思われる。
1.構成図
ClientPCからServerAへ通信を行いたいのだが
ServerAのデフォルトゲートウェイはFWへ向いている。
FWにはClientPCセグメントのアドレスはスタティックで
記載しているのだが疎通確認がとれない。
2.行いたい通信
3.設定
図を見た通り行きと帰りのルートが違うので
FWでパケットをドロップしてるようである。
ここで使用してるFWはJuniper社のSSGなのだが
GUIでは設定できないのでコンソールで設定する。
[確認]
TCP SYNチェックが有効になっていることを確認。
> get flow
Check TCP SYN bit before create session & refresh session
only after tcp 3 way handshake : YES
[設定]
TCP SYNチェックを無効にする。
> unset flow tcp-syn-check
[設定後確認]
無効になったことを確認。
> get flow
Check TCP SYN bit before create session & refresh session
only after tcp 3 way handshake : NO
確認後保存。
> save
これでPINGが飛ぶようになりました〜。
*Fortigateで非対称ルーティングを行う場合の設定
TOP OF THE NETWORK×NETWORK非対称ルーティングは色々と注意が必要である。
特にファイアウォールで非対称ルーティングを行う場合
大概の機器で設定が必要であると思われる。
1.構成図
ClientPCからServerAへ通信を行いたいのだが
ServerAのデフォルトゲートウェイはFWへ向いている。
FWにはClientPCセグメントのアドレスはスタティックで
記載しているのだが疎通確認がとれない。
2.行いたい通信
3.設定
図を見た通り行きと帰りのルートが違うので
FWでパケットをドロップしてるようである。
ここで使用してるFWはJuniper社のSSGなのだが
GUIでは設定できないのでコンソールで設定する。
[確認]
TCP SYNチェックが有効になっていることを確認。
> get flow
Check TCP SYN bit before create session & refresh session
only after tcp 3 way handshake : YES
[設定]
TCP SYNチェックを無効にする。
> unset flow tcp-syn-check
[設定後確認]
無効になったことを確認。
> get flow
Check TCP SYN bit before create session & refresh session
only after tcp 3 way handshake : NO
確認後保存。
> save
これでPINGが飛ぶようになりました〜。
*Fortigateで非対称ルーティングを行う場合の設定
NETWORK×NETWORK
Netscreen(SSG) DMZからインターネット接続する方法
SSG5でデフォルトで用意されているゾーン(Trust,Untrust,DMZ)を
使用してネットワークを構築してみた。
[ゾーン定義]
Untrust:WANセグメント(インターネット)
Trust:LANセグメント(オフィス内)
DMZ:外部公開セグメント(WEB,外部DNSサーバなど)
[ポリシー]
※テストのため全ての通信を許可設定とする
Trust → Untrust
Untrust → Trust
Untrust → DMZ
DMZ → Untrust
[インターネット通信]
※通信確認方法はwww.google.co.jpへping
Trust → Untrust 通信成功
DMZ → Untrust 通信失敗
Trustゾーンからインターネット通信は成功するのに
DMZゾーンからはインターネットができない。
Policy>Policies>From DMZ to Untrustを選択してEdit
設定画面下の方にあるAdvancedを選択
NAT>Source Translationにチェックを入れてOKを選択
ポリシーを確認するとActionのチェックが
緑色から青色へと変更していることを確認
再度DMZ → Untrustへの通信を確認します
[インターネット通信]
※通信確認方法はwww.google.co.jpへping
Trust → Untrust 通信成功
DMZ → Untrust 通信成功
今度はTrustゾーン側からもDMZゾーン側からも通信が成功します
DMZゾーンからのインターネット通信には
NATのSource Translationにチェックを入れる必要があります
TOP OF THE NETWORK×NETWORK使用してネットワークを構築してみた。
[ゾーン定義]
Untrust:WANセグメント(インターネット)
Trust:LANセグメント(オフィス内)
DMZ:外部公開セグメント(WEB,外部DNSサーバなど)
[ポリシー]
※テストのため全ての通信を許可設定とする
Trust → Untrust
Untrust → Trust
Untrust → DMZ
DMZ → Untrust
[インターネット通信]
※通信確認方法はwww.google.co.jpへping
Trust → Untrust 通信成功
DMZ → Untrust 通信失敗
Trustゾーンからインターネット通信は成功するのに
DMZゾーンからはインターネットができない。
Policy>Policies>From DMZ to Untrustを選択してEdit
設定画面下の方にあるAdvancedを選択
NAT>Source Translationにチェックを入れてOKを選択
ポリシーを確認するとActionのチェックが
緑色から青色へと変更していることを確認
再度DMZ → Untrustへの通信を確認します
[インターネット通信]
※通信確認方法はwww.google.co.jpへping
Trust → Untrust 通信成功
DMZ → Untrust 通信成功
今度はTrustゾーン側からもDMZゾーン側からも通信が成功します
DMZゾーンからのインターネット通信には
NATのSource Translationにチェックを入れる必要があります
NETWORK×NETWORK
SSG アラームランプ 消す
SSG/Netscreenで全面のアラームランプがついた場合
CLIから消さなければならない。
>clear led alarm
コマンドでアラームランプを消す必要がある。
TOP OF THE NETWORK×NETWORKCLIから消さなければならない。
>clear led alarm
コマンドでアラームランプを消す必要がある。
NETWORK×NETWORK
