O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.
はじめての
vSRX on AWS rev1.1
2017年3月
ジュニパーネットワークス株式会社
This statement of direction sets forth Juniper
Networks’ current intention and is subject to
change at any time without no...
アジェンダ
 はじめに
 vSRX on AWS概要
 vSRX on AWS 基本インストール 手順
1. AWS VPCの作成
2. vSRXインスタンスの起動
3. vSRXのログイン
4. vSRX設定
5. トラブルシューティン...
はじめに
 2016年11月にAWS Marketplaceから
vSRXおよびvMXが利用可能となりました。
 vSRXを利用することで、AWS上でファイ
アウォールやVPNとして活用できるのはも
ちろん、ローカルに仮想環境などがなくと
...
JUNIPER PORTFOLIO FOR HYBRID CLOUD
パブリッククラウド・IaaS
• vSRX/cSRX 仮想/コンテナセキュリティ
• vMX 仮想ルータ
• Contrail Networking SDN
• AppFor...
AWSとの接続ルーターとして
AWS VPN GatewayAWS Direct Connect
ともにサンプルコンフィグがダウンロードできる数少ないベンダのひとつ
※使用方法によって、一部設定変更が必要
AWSと接続するルータとして、セキュア...
vSRX on AWS概要
Unified Security
Wherever the Network Goes
シンプル & オートメーション
Point-and-Click GUI: Procure, Deploy, and Protect
統合セキュリティ
Port...
Juniper vSRX on AWS Marketplace
Fastest Virtual Firewall Meets
Industry Leading Public Cloud
VPNやAdvanced Securityも含めた
オール...
HYBRID CLOUD
SECURITY SOLUTION
1. 包括的なセキュリティ
2. セントラルマネージメント
3. マルチサイトVPN
4. キャリアクラススタック
5. TCOの削減
ジュニパーセキュリティ
ポートフォリオ
for AWSパブリッククラウド
UTM
IPS
vSRX APP
Secure
AWS
Juniper
Threat Defense
Spotlight Secure
Threat Intelligen...
迅速な構築・運用をサポート (SDN統合と管理ポリシーの統合)
シンプル、拡張性、柔軟性を持つライセンス体系による
コストパフォーマンスの優位性
様々な利用要求に柔軟に対応 (DC・MSSP環境対応)
アドバンス・セキュリティと高性能ルーティン...
vSRX – 仮想アプライアンスとしてのSRX
Junos ルーティングプロトコルとSDK(開発キット)
Junos アドバンスド・セキュリティ - 拡張性の高いセキュリティスタック
Junos Space – Security Directo...
ユースケース1.ハイブリッドクラウド – セキュアコネクティビティ
Public
Access Subnet vSRX
インターネット
Client
Site C
Site AWeb ServerApp ServerWeb Server
App...
ユースケース2. AWSワークロードをよりセキュアに
ひとつのVPC環境でシンプルにvSRXを利用してセキュア環境に
ユーザファイアウォール
侵入防御
UTM
AppSecure
Sky ATP脅威防御
VPN終端
複数VPC環境での包括的なAWS展開
ユースケース3. AWSワークロードの全体をよりセキュアに管理
専用NAT排除
専用VPN GW排除
VPCピアリング
モジュール排除
包括的な
セキュリティインテリジェンス
統合管理
オートメーション
追加機能ライセンスを別途購入して適用するモデルです。
vSRXのライセンスはAWSマーケットプレイスからは課金されませ
ん。ライセンスおよびサポートを別途購入する必要があります。
購入を希望する場合は、弊社国内パートナーにお問い合わせくださ
い...
vSRX on AWS 基本インストールステップ
概要
 本資料は[vSRX Guide for AWS]を元に、vSRX(15.1X49-D60)を
AWS上で起動させるためのインストール手順を記します。
 AWSのアカウント作成方法やAWSに関する用語、および
SRX基本的なオペレーシ...
 vSRX Guide for AWS(英語)
 JUNOSハンズオントレーニング
SRXシリーズサービスゲートウェイコース(日本語)
 vSRX Documentation(英語)
http://www.juniper.net/tech...
vSRX on AWS構成概要
管理用
vSRX_fxp0
10.0.1.0/24
外部向け
vSRX_data1
10.0.2.0/24
内部向け
vSRX_private1
10.0.3.0/24
VPC 10.0.0.0/16
 ひとつ...
ネットワークトポロジー
EC2 Instance 1
10.0.3.10
Route Table
0.0.0.0/0 Internet gateway
Route Table
0.0.0.0/0 Internet gateway
Interne...
1.VPCの作成
1-1. 仮想ネットワークであるVPCの作成
AWSコンソールにログインし、VPCダッシュボードにログイン。
構成図に記載のあるVPCのCIDRブロック10.0.0.0/16を設定
1.VPCの作成
1-2. インターネゲートウェイの作成
ゲートウェイを作成し、1-1.で作成したVPCにアタッチ。
1.VPCの作成
1-3. サブネットの追加
構成図に記載のある3つのサブネットをそれぞれ作成。
(管理用:fxp0 10.0.1.0/24, 外部向け:data1 10.0.2.0/24, 内部向け:private1 10.0.3.0/24)...
1.VPCの作成
1-4. ルートテーブルの作成
デフォルトでは、各VPCにメインのルートテーブルがあるが、制御のため、各サブネットに対す
るルートテーブルを個別に作成する。
手順としてはルートテーブルをそれぞれ作成し、後に、各サブネットとマッ...
1.VPCの作成
1-4. ルートテーブルエントリーの作成
外部用(data1)サブネットと管理用(fxp0)サブネットは、外部との通信が必要なため、
先ほど作成したインターネットゲートウェイ向けのデフォルトゲートウェイを作成。
1.VPCの作成
1-5. ルートテーブルとサブネットのアサイン
3つのルートテーブルそれぞれに必要なサブネットを関連付ける。
1.VPCの作成
1-6. セキュリティグループの作成
デフォルトでは各VPC毎にセキュリティグループが割り当てられている。
これを管理用(fxp0)のセキュリティグループと他のセキュリティグループをわけて設定する。
管理用のセキュリティグルー...
1.VPCの作成
1-6. セキュリティグループの作成
他のサブネットについては、vSRX側でフィルタを行うため、全トラフィックを通過させるセキュ
リティグループを作成。尚、VPN用途の場合は、送信元をVPCのCIDRのみとする。
2.vSRXの起動
現在vSRXがサポートしているインスタンスは複数あるため、ネットワークパフォーマンス、
使用インタフェース数、インタフェース毎の使用可能ip数などがから選択する。
各インスタンスタイプの使用料金はvSRXのマーケットプレイス...
2.vSRXの起動
2-1. SSH Keyペアの作成
EC2のキーペアからインスタンスに必要なキーペアを作成。インスタンスのログイン時に使用す
る。既存のキーペアを使用する場合は、作成の必要はない。
2.vSRXの起動
2-2. AMIの選択
vSRXのイメージをAWS Marketplaceから選択。
今回の手順は、BYOLイメージ(60日間無償)を利用する。
2.vSRXの起動
2-3. インスタンスタイプの選択
c4.xlarge インスタンス以上が推奨となっているため、今回は、c4.xlargeを選択。
2.vSRXの起動
2-4. インスタンス詳細設定
作成したVPCと管理用のサブネット(fxp0)を選択。
後ほどElastic IP(固定アドレス)を指定するため、パブリックIP割り当ては無効としている。
但し、Elastic IPは有償オプ...
2.vSRXの起動
2-5.インスタンス詳細設定
管理用(fxp0)用に作成したセキュリティグループとキーペアを選択。
2.vSRXの起動
2-6.インスタンスの起動確認
作成後正常起動まで数分時間を要す。
ステータスチェックの項目が、[ 2/2のチェックに合格しました ]となることを確認。
2.vSRXの起動
2-7.インタフェースの追加
起動済みのインスタンスにはfxp0用の1つのインタフェース(eth0)しか作成されていないため、
必要なインタフェースを追加する。今回は、外部向け:data1と 内部向け:private1用にイ...
2.vSRXの起動
2-7.インタフェースのアタッチ
作成したインタフェースをvSRXインスタンスにアタッチ。
外部用(data1)用と内部用(private1)用のインタフェースを
それぞれ選択し、アタッチ
2.vSRXの起動
2-7.インタフェースの設定変更
各インタフェースに対して「送信元/送信先の変更チェック(Source/Dest Check)を無効化」
しておく。
2.vSRXの起動
2-8.Elastic IPの取得
Deployment Guideの推奨は、外部用インタフェース(data1)と管理用インタフェース(fxp0)に対
し、Elastic IP(パブリックIP)を割り当てることを推奨。よって...
2.vSRXの起動
2-8.Elastic IPのアサイン
取得したアドレスを外部用インタフェース(data1)と管理用インタフェース(fxp0)にアサイン。
2.vSRXの起動
2-9.デフォルトルート設定
内部用:private1のルーティングテーブルのデフォルトルートをvSRXの内部用インタフェース
(private1/ec2 eth2)とする。尚、内部用インタフェース名はプルダウンで選択できな...
2.vSRXの起動
2-9.デフォルトルート設定
内部用:private1のルーティングテーブルのデフォルトルートをvSRXの内部用インタフェース
(private1/ec2 eth2)とする。尚、内部用インタフェース名はプルダウンで選択できな...
2.vSRXの起動
2-10.インスタンスの再起動
vSRXインスタンスの起動中にネットワークインタフェースは自動的に割り当てられないため、
インスタンスの再起動を行う。再起動には5分強時間を要す。
3.vSRXのログイン
3-1.vSRXへのログイン
管理インタフェース(exp0 / EC2 eth0)に割り当てたElastic IPのアドレスに対し、
作成したキーペアを使用してログインする。デフォルトのUser nameは”root”。...
3.vSRXのログイン
3-2.vSRXの設定
AWS Marketplaceからインストールした場合、以下の設定は自動的に作成されており、
ログインが可能となっている。
rootのauthentication設定後、Elastic IPに対し...
3.vSRXのログイン
3-3.ライセンスの確認
60日間のライセンスが使用できることが確認可能。
root> show system license
License usage:
Licenses Licenses Licenses Expi...
3.vSRXのログイン
3-4.vSRXの基本設定
管理インタフェース(fxp0)のアドレスは自動的に設定されるが、他のインタフェースのアドレス
は手動で設定する必要がある。またsecurity zoneの設定も行う。
尚、Security z...
4.vSRX設定
 起動後は、通常のvSRXと同様の設定が可能となる。
AWSのベーシックなユースケースとしては、NATおよびIPsec VPNのため、
ここでは、サンプル設定のみを記す。
 尚、より詳細を把握したい場合は、ハンズオントレー...
4.vSRX設定
4-1. NATサンプル設定
ge-0/0/1からge-0/0/0の通信の送信元アドレスをインタフェースアドレスに変換。
1.vSRXのデータインタフェースに対してIPアドレスを設定
#set interfaces ge-0/...
4.vSRX設定
4-1. NATサンプル設定
4. セキュリティポリシーの設定 (all permit)
# set security policies from-zone trust to-zone untrust policy test ...
4.vSRX設定
4-2. IPsec VPNサンプル設定
ルートベースVPNとしてルーティングにマッチするトラフィックにVPNを適用。
対向のゲートウェイと
1.vSRXのデータインタフェースに対してIPアドレスを設定
#set interf...
4.vSRX設定
4-2. IPsec VPNサンプル設定
3. Trust security zoneの設定
# set security zone untrust host-inbound-traffic system-services h...
4.vSRX設定
4-2. IPsec VPNサンプル設定
5. IPsecの設定 (セキュリティ属性定義、ポリシー、トンネルインタフェース指定等)
# set security ipsec proposal AWS_IPSEC protoco...
5.トラブルシューティングチップス
• AWSコンソールにてインスタンスのステータスチェックし、
[ 2/2のチェックに合格しました ]となっているか確認する。
• 解決策
• ステータスが0/2の場合: AWSサポートに確認する。
• ステー...
• AWSのインスタンスログインはRSAのキーペアを必要とする。
正しいキーペアを使用する必要がある。
• 解決方法
• キーペアが間違いないかの確認。プライベートキーがない場合は、再度インスタンスを作
成する必要がある。
• 正しいキーを使用...
• データ転送用のインタフェース(Revenue Interfaces)がupになり、トラフィックがvSRXを
通過する必要がある。
vSRXのフロートレースでトラフィックが確認できるかを確認する。
• 解決方法
• 「送信元/送信先の変更チェ...
その他
 vSRXがサポートしているのは、有償のインスタンスタイプのみとなる。
もし、JUNOS学習のために使用したい場合は、学習終了後は、
インスタンスを停止しておくことを推奨。
 SRXを再起動する場合は、CLIによる再起動は行わず、A...
Thank you
Próximos SlideShares
Carregando em…5
×

はじめての vSRX on AWS

4.004 visualizações

Publicada em

2016年11月にAWS Marketplaceからジュニパーネットワークスの統合仮想ファイアウォールvSRX、および仮想ルーターvMXが利用可能となりました。
本資料では、AWS上のvSRXの概要と基本インストール手順をご説明いたします。

vSRXを利用することで、AWS上でファイアウォールやVPNとして活用できるのはもちろん、ローカルに仮想環境などがなくとも、SRXやJUNOSを試したいというときにも気軽に使用することが可能となります。ぜひ本資料を参考にお試しください。

Publicada em: Tecnologia
  • Seja o primeiro a comentar

はじめての vSRX on AWS

  1. 1. はじめての vSRX on AWS rev1.1 2017年3月 ジュニパーネットワークス株式会社
  2. 2. This statement of direction sets forth Juniper Networks’ current intention and is subject to change at any time without notice. No purchases are contingent upon Juniper Networks delivering any feature or functionality depicted in this presentation Legal Statement
  3. 3. アジェンダ  はじめに  vSRX on AWS概要  vSRX on AWS 基本インストール 手順 1. AWS VPCの作成 2. vSRXインスタンスの起動 3. vSRXのログイン 4. vSRX設定 5. トラブルシューティングチップス
  4. 4. はじめに  2016年11月にAWS Marketplaceから vSRXおよびvMXが利用可能となりました。  vSRXを利用することで、AWS上でファイ アウォールやVPNとして活用できるのはも ちろん、ローカルに仮想環境などがなくと も、SRXやJUNOSを試したいというときに も気軽に使用することが可能となります。
  5. 5. JUNIPER PORTFOLIO FOR HYBRID CLOUD パブリッククラウド・IaaS • vSRX/cSRX 仮想/コンテナセキュリティ • vMX 仮想ルータ • Contrail Networking SDN • AppFormix スマートマネージメントプラットフォーム For building public or XaaS clouds PUBLIC CLOUD PORTFOLIO オンプレミス・コロケーション・ホスティングデータセンタ • SRX 次世代ファイアウォール/ルーティング・Security Director • MX ルーティング • QFX スイッチファブリック・Network Director • Contrail Networking SDN • AppFormix スマートマネージメントプラットフォーム For virtual private cloud or virtual hosted infrastructure: PRIVATE CLOUD PORTFOLIO
  6. 6. AWSとの接続ルーターとして AWS VPN GatewayAWS Direct Connect ともにサンプルコンフィグがダウンロードできる数少ないベンダのひとつ ※使用方法によって、一部設定変更が必要 AWSと接続するルータとして、セキュアルータであるSRXの サンプルコンフィグがAWSポータルからダウンロード可能
  7. 7. vSRX on AWS概要
  8. 8. Unified Security Wherever the Network Goes シンプル & オートメーション Point-and-Click GUI: Procure, Deploy, and Protect 統合セキュリティ Portable Security: Defends Public Cloud Environment フレキシブルプライス BYOL & PAYG: Provides Agility for Changing Needs
  9. 9. Juniper vSRX on AWS Marketplace Fastest Virtual Firewall Meets Industry Leading Public Cloud VPNやAdvanced Securityも含めた オールインワン 統合管理と可視化 Powered by Security Director 柔軟でシンプルなライセンスモデル 60日間 または 30日間のフリートライアルライセンス 最速の仮想ファイアウォール 10G パフォーマンス in AWS
  10. 10. HYBRID CLOUD SECURITY SOLUTION 1. 包括的なセキュリティ 2. セントラルマネージメント 3. マルチサイトVPN 4. キャリアクラススタック 5. TCOの削減
  11. 11. ジュニパーセキュリティ ポートフォリオ for AWSパブリッククラウド UTM IPS vSRX APP Secure AWS Juniper Threat Defense Spotlight Secure Threat Intelligence Security Director Sky Advanced Threat Prevention
  12. 12. 迅速な構築・運用をサポート (SDN統合と管理ポリシーの統合) シンプル、拡張性、柔軟性を持つライセンス体系による コストパフォーマンスの優位性 様々な利用要求に柔軟に対応 (DC・MSSP環境対応) アドバンス・セキュリティと高性能ルーティングを兼ね備えた オール・イン・ワン仮想アプライアンス vSRX – 唯一無二の仮想環境のセキュリティ 業界最速の仮想ファイアウォール (1コアあたりのスループット)
  13. 13. vSRX – 仮想アプライアンスとしてのSRX Junos ルーティングプロトコルとSDK(開発キット) Junos アドバンスド・セキュリティ - 拡張性の高いセキュリティスタック Junos Space – Security Director・Virtual Director・CLI・JWEB・SNMP・HA Firewall VPN NAT Routing Anti-Virus IPS Web Filtering Anti-Spam AppID AppFW AppQoS AppTrack コアセキュリティ コンテンツセキュリティ アプリケーションセキュリティ
  14. 14. ユースケース1.ハイブリッドクラウド – セキュアコネクティビティ Public Access Subnet vSRX インターネット Client Site C Site AWeb ServerApp ServerWeb Server App Server App Server Web Server Web ServerApp ServerWeb Server Site B SRX VPC Internet Gateway Security Director vSRX - オンプレとパブリックともにSRXを利用してVPN接続 • VPC あたりの VPN接続数制限(10)を超える拠点と接続可能 • オンプレミスとおなじ操作感でVPN, policyの管理が可能 複数SRXを 一元管理
  15. 15. ユースケース2. AWSワークロードをよりセキュアに ひとつのVPC環境でシンプルにvSRXを利用してセキュア環境に ユーザファイアウォール 侵入防御 UTM AppSecure Sky ATP脅威防御 VPN終端
  16. 16. 複数VPC環境での包括的なAWS展開 ユースケース3. AWSワークロードの全体をよりセキュアに管理 専用NAT排除 専用VPN GW排除 VPCピアリング モジュール排除 包括的な セキュリティインテリジェンス 統合管理 オートメーション
  17. 17. 追加機能ライセンスを別途購入して適用するモデルです。 vSRXのライセンスはAWSマーケットプレイスからは課金されませ ん。ライセンスおよびサポートを別途購入する必要があります。 購入を希望する場合は、弊社国内パートナーにお問い合わせくださ い。https://www.juniper.net/jp/jp/partners/japan/ AWS プライスモデル Bring Your Own License (BYOL) 追加機能ライセンスがインスタンスに含まれたモデルです。 時間単位でvSRXのライセンスは課金されます。AWSがメータリン グ、課金、課金レポートを行います。サポートはオンラインによる 英語のみとなります。 Pay-As-You-Go (PAYG)–Hourly 追加機能ライセンスがインスタンスに含まれたモデルです。 年単位でvSRXのライセンスは課金されます。AWSがメータリング、 課金、課金レポートを行います。サポートはオンラインによる英語の みとなります。 Pay-As-You-Go (PAYG)–Annual vSRX Services Gateway (BYOL)を選択 vSRX Next-Generation Firewall Bundle1 or Bundle2(UTM含)を選択
  18. 18. vSRX on AWS 基本インストールステップ
  19. 19. 概要  本資料は[vSRX Guide for AWS]を元に、vSRX(15.1X49-D60)を AWS上で起動させるためのインストール手順を記します。  AWSのアカウント作成方法やAWSに関する用語、および SRX基本的なオペレーションについては記載しておりません。 必要に応じてそれぞれのドキュメントをご参照ください。  将来のリリースにおいて動作は変更になる可能性があります。 詳細情報含め、必要に応じて、最新のドキュメントをご参照ください。  AWSマーケットプレイスにあるvSRXには、BYOLの場合60日間の 無償ライセンスがあり、PAYGの場合は、30日間の無償ライセンスが あります。
  20. 20.  vSRX Guide for AWS(英語)  JUNOSハンズオントレーニング SRXシリーズサービスゲートウェイコース(日本語)  vSRX Documentation(英語) http://www.juniper.net/techpubs/en_US/release- independent/junos/information-products/pathway- pages/srx-series/product/index.html https://www.juniper.net/techpubs/en_US/vsrx15.1x49-d60/information- products/pathway-pages/security-vsrx-aws-guide-pwp.html  AWSアカウント作成方法 https://aws.amazon.com/jp/register-flow/http://www.juniper.net/assets/jp/jp/local/pdf/additional- resources/junos-handson-training-srx.pdf 参考マニュアル
  21. 21. vSRX on AWS構成概要 管理用 vSRX_fxp0 10.0.1.0/24 外部向け vSRX_data1 10.0.2.0/24 内部向け vSRX_private1 10.0.3.0/24 VPC 10.0.0.0/16  ひとつのVPC(Virtual Private Cloud) でvSRXを動作させる構成を作成します。  VPCを1つ作り、 その中で3つのサブネットを作成 します。各サブネットにvSRXのインタ フェースが属することになります。  1.管理用  2.外部向け  3.内部向け  各サブネットに対し、ルーティング テーブルを作り、各ルーティングテー ブル毎に必要なスタティックルーティ ングを設定します。
  22. 22. ネットワークトポロジー EC2 Instance 1 10.0.3.10 Route Table 0.0.0.0/0 Internet gateway Route Table 0.0.0.0/0 Internet gateway Internet Gateway EC2 Instance 2 10.0.3.11 VSRX on AWS Route Table 0.0.0.0/0 EC2 eth2 ge-0/0/0 (EC2 eth1) fxp0(EC2 eth0) ge-0/0/1 (EC2 eth2) 管理用 vSRX_fxp0 10.0.1.0/24 外部向け vSRX_data1 10.0.2.0/24 内部向け vSRX_private1 10.0.3.0/24
  23. 23. 1.VPCの作成 1-1. 仮想ネットワークであるVPCの作成 AWSコンソールにログインし、VPCダッシュボードにログイン。 構成図に記載のあるVPCのCIDRブロック10.0.0.0/16を設定
  24. 24. 1.VPCの作成 1-2. インターネゲートウェイの作成 ゲートウェイを作成し、1-1.で作成したVPCにアタッチ。
  25. 25. 1.VPCの作成 1-3. サブネットの追加 構成図に記載のある3つのサブネットをそれぞれ作成。 (管理用:fxp0 10.0.1.0/24, 外部向け:data1 10.0.2.0/24, 内部向け:private1 10.0.3.0/24) 上記は管理用:fxp0用サブネット(10.0.1.0/24)の設定サンプル 各サブネットが作成できたことを確認
  26. 26. 1.VPCの作成 1-4. ルートテーブルの作成 デフォルトでは、各VPCにメインのルートテーブルがあるが、制御のため、各サブネットに対す るルートテーブルを個別に作成する。 手順としてはルートテーブルをそれぞれ作成し、後に、各サブネットとマッピングする。 各サブネットに必要なルートテーブルを3つ作成
  27. 27. 1.VPCの作成 1-4. ルートテーブルエントリーの作成 外部用(data1)サブネットと管理用(fxp0)サブネットは、外部との通信が必要なため、 先ほど作成したインターネットゲートウェイ向けのデフォルトゲートウェイを作成。
  28. 28. 1.VPCの作成 1-5. ルートテーブルとサブネットのアサイン 3つのルートテーブルそれぞれに必要なサブネットを関連付ける。
  29. 29. 1.VPCの作成 1-6. セキュリティグループの作成 デフォルトでは各VPC毎にセキュリティグループが割り当てられている。 これを管理用(fxp0)のセキュリティグループと他のセキュリティグループをわけて設定する。 管理用のセキュリティグループのため、ssh, http, httpsを許可するように追加 管理用(fxp0のセキュリティグループ)の設定
  30. 30. 1.VPCの作成 1-6. セキュリティグループの作成 他のサブネットについては、vSRX側でフィルタを行うため、全トラフィックを通過させるセキュ リティグループを作成。尚、VPN用途の場合は、送信元をVPCのCIDRのみとする。
  31. 31. 2.vSRXの起動 現在vSRXがサポートしているインスタンスは複数あるため、ネットワークパフォーマンス、 使用インタフェース数、インタフェース毎の使用可能ip数などがから選択する。 各インスタンスタイプの使用料金はvSRXのマーケットプレイスからも確認可能。 インスタンス タイプ vCPU数 メモリ ネットワーク パフォーマンス 最大インタ フェース数 インタフェース 毎の最大IP数 c3.xlarge 4 7.5 Moderate 4 15 c3.2xlarge 8 15 High 4 15 c3.4xlarge 16 30 High 8 30 c3.8xlarge 32 60 10 Gigabit 8 30 c4.xlarge 4 7.5 Moderate 4 15 c4.2xlarge 8 15 High 4 15 c4.4xlarge 16 30 High 8 30 c4.8xlarge 36 60 10 Gigabit 8 30 m4.xlarge 4 16 High 4 15 m4.2xlarge 8 32 High 4 15 m4.4xlarge 16 64 High 8 30 m4.10xlarge 40 160 10 Gigabit 8 30 ※EC2インスタンスは有償
  32. 32. 2.vSRXの起動 2-1. SSH Keyペアの作成 EC2のキーペアからインスタンスに必要なキーペアを作成。インスタンスのログイン時に使用す る。既存のキーペアを使用する場合は、作成の必要はない。
  33. 33. 2.vSRXの起動 2-2. AMIの選択 vSRXのイメージをAWS Marketplaceから選択。 今回の手順は、BYOLイメージ(60日間無償)を利用する。
  34. 34. 2.vSRXの起動 2-3. インスタンスタイプの選択 c4.xlarge インスタンス以上が推奨となっているため、今回は、c4.xlargeを選択。
  35. 35. 2.vSRXの起動 2-4. インスタンス詳細設定 作成したVPCと管理用のサブネット(fxp0)を選択。 後ほどElastic IP(固定アドレス)を指定するため、パブリックIP割り当ては無効としている。 但し、Elastic IPは有償オプションのためvSRXやJUNOSを触ってみたいというのが目的の場合は、 特にElastic IPは必要ないため、ここでは、自動割り当てパブリックIPを”有効”としてもよい。 ストレージやタグの設定は 必要に応じて設定
  36. 36. 2.vSRXの起動 2-5.インスタンス詳細設定 管理用(fxp0)用に作成したセキュリティグループとキーペアを選択。
  37. 37. 2.vSRXの起動 2-6.インスタンスの起動確認 作成後正常起動まで数分時間を要す。 ステータスチェックの項目が、[ 2/2のチェックに合格しました ]となることを確認。
  38. 38. 2.vSRXの起動 2-7.インタフェースの追加 起動済みのインスタンスにはfxp0用の1つのインタフェース(eth0)しか作成されていないため、 必要なインタフェースを追加する。今回は、外部向け:data1と 内部向け:private1用にインタ フェースを2つ作成する。また、関連するサブネットとセキュリティグループも選択する。 尚、最初に作成したインタフェースがSRXのge-0/0/0(EC2 eth1)となり、次に作成したものが ge-0/0/1(EC2 eth2)となる。 ※AWSは最大8つの インタフェースをサポート
  39. 39. 2.vSRXの起動 2-7.インタフェースのアタッチ 作成したインタフェースをvSRXインスタンスにアタッチ。 外部用(data1)用と内部用(private1)用のインタフェースを それぞれ選択し、アタッチ
  40. 40. 2.vSRXの起動 2-7.インタフェースの設定変更 各インタフェースに対して「送信元/送信先の変更チェック(Source/Dest Check)を無効化」 しておく。
  41. 41. 2.vSRXの起動 2-8.Elastic IPの取得 Deployment Guideの推奨は、外部用インタフェース(data1)と管理用インタフェース(fxp0)に対 し、Elastic IP(パブリックIP)を割り当てることを推奨。よって、それぞれにElastic IPを関連づ けるため、まずはアドレスを2つ取得する。
  42. 42. 2.vSRXの起動 2-8.Elastic IPのアサイン 取得したアドレスを外部用インタフェース(data1)と管理用インタフェース(fxp0)にアサイン。
  43. 43. 2.vSRXの起動 2-9.デフォルトルート設定 内部用:private1のルーティングテーブルのデフォルトルートをvSRXの内部用インタフェース (private1/ec2 eth2)とする。尚、内部用インタフェース名はプルダウンで選択できないため、 vSRXのインスタンスからインタフェース名を確認し、コピー&ペーストをする必要がある。 vSRXのprivate1/ec2 eth2の インタフェース名を記載。
  44. 44. 2.vSRXの起動 2-9.デフォルトルート設定 内部用:private1のルーティングテーブルのデフォルトルートをvSRXの内部用インタフェース (private1/ec2 eth2)とする。尚、内部用インタフェース名はプルダウンで選択できないため、 vSRXのインスタンスからインタフェース名を確認し、記載する。 vSRXのprivate1/ec2 eth2の インタフェース名を確認し、記載。
  45. 45. 2.vSRXの起動 2-10.インスタンスの再起動 vSRXインスタンスの起動中にネットワークインタフェースは自動的に割り当てられないため、 インスタンスの再起動を行う。再起動には5分強時間を要す。
  46. 46. 3.vSRXのログイン 3-1.vSRXへのログイン 管理インタフェース(exp0 / EC2 eth0)に割り当てたElastic IPのアドレスに対し、 作成したキーペアを使用してログインする。デフォルトのUser nameは”root”。 ログイン後は、通常のvSRXと同等のオペレーションが可能です。詳細は、”JUNOS ハンズオントレーニング SRXシリーズゲートウェイサービスコース”などを参照のこと。 ※Windows Tera Termのサンプル #chmod 400 <key-pair.pem> #ssh –I <key-pair.pem> root@52.199.234.210
  47. 47. 3.vSRXのログイン 3-2.vSRXの設定 AWS Marketplaceからインストールした場合、以下の設定は自動的に作成されており、 ログインが可能となっている。 rootのauthentication設定後、Elastic IPに対しhttpアクセスすることで、 J-Web(GUI)のアクセスも可能 set system root-authentication ssh-rsa "ssh-rsa XXXRSA-KEYXXXXX” set system services ssh no-passwords set interfaces fxp0 unit 0 family inet address aws-ip-address set routing-options static route 0.0.0.0/0 next-hop aws-ip-address root@% cli Root> configure root# set system root-authentication plain-text-password root# commit
  48. 48. 3.vSRXのログイン 3-3.ライセンスの確認 60日間のライセンスが使用できることが確認可能。 root> show system license License usage: Licenses Licenses Licenses Expiry Feature name used installed needed Virtual Appliance 1 1 0 59 days Licenses installed: License identifier: E420588955 License version: 4 Software Serial Number: 20150625 Customer ID: vSRX-JuniperEval Features: Virtual Appliance - Virtual Appliance count-down, Original validity: 60 days
  49. 49. 3.vSRXのログイン 3-4.vSRXの基本設定 管理インタフェース(fxp0)のアドレスは自動的に設定されるが、他のインタフェースのアドレス は手動で設定する必要がある。またsecurity zoneの設定も行う。 尚、Security zoneの設定概念や設定方法については、”JUNOSハンズオントレーニング SRXシ リーズゲートウェイサービスコース”の”Firewallの設定”を参照のこと。 [edit] root# set interfaces ge-0/0/0.0 family inet address 10.0.2.199/24 root# set interfaces ge-0/0/1.0 family inet address 10.0.3.210/24 root# set security zones security-zone untrust interfaces ge-0/0/0.0 root# set security zones security-zone trust interfaces ge-0/0/1.0 root#commit check root#commit
  50. 50. 4.vSRX設定  起動後は、通常のvSRXと同様の設定が可能となる。 AWSのベーシックなユースケースとしては、NATおよびIPsec VPNのため、 ここでは、サンプル設定のみを記す。  尚、より詳細を把握したい場合は、ハンズオントレーニング資料やリファレンス マニュアルを参照のこと。
  51. 51. 4.vSRX設定 4-1. NATサンプル設定 ge-0/0/1からge-0/0/0の通信の送信元アドレスをインタフェースアドレスに変換。 1.vSRXのデータインタフェースに対してIPアドレスを設定 #set interfaces ge-0/0/0 unit 0 family inet address 10.0.1.197/24 #set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.1/24 2.untrust security zoneの設定 #set security zone untrust host-inbound-traffic system-services https #set security zone untrust host-inbound-traffic system-services ssh #set security security-zone untrust interfaces ge-0/0/0.0 3.trust security zoneの設定 #set security zone trust host-inbound-traffic system-services https #set security zone trust host-inbound-traffic system-services ssh #set security zone trust host-inbound-traffic system-services ping #set security security-zone trust interfaces ge-0/0/1.0 送受信を許可する サービスを指定 送受信を許可する サービスを指定
  52. 52. 4.vSRX設定 4-1. NATサンプル設定 4. セキュリティポリシーの設定 (all permit) # set security policies from-zone trust to-zone untrust policy test match source-address any # set security policies from-zone trust to-zone untrust policy test match destination-address any # set security policies from-zone trust to-zone untrust policy test match application any # set security policies from-zone trust to-zone untrust policy test then permit 5. NATの設定(sourse NAT) # set security nat source rule-set SNAT_RuleSet from zone trust # set security nat source rule-set SNAT_RuleSet to zone untrust # set security nat source rule-set SNAT_RuleSet match source-address 0.0.0.0/0 # set security nat source rule-set SNAT_RuleSet then source-nat interface # commit
  53. 53. 4.vSRX設定 4-2. IPsec VPNサンプル設定 ルートベースVPNとしてルーティングにマッチするトラフィックにVPNを適用。 対向のゲートウェイと 1.vSRXのデータインタフェースに対してIPアドレスを設定 #set interfaces ge-0/0/0 unit 0 family inet address 10.0.1.10/24 #set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.10/24 #set interfaces st0 unit 1 family inet address 10.0.250.20/24(トンネルインタフェース設定) 2.untrust security zoneの設定 # set security zones security-zone untrust screen untrust-screen # set security zone trust host-inbound-traffic system-services https # set security zone trust host-inbound-traffic system-services ssh # set security security-zone trust interfaces ge-0/0/0.0 # set security security-zone trust interfaces 送受信を許可する サービスを指定
  54. 54. 4.vSRX設定 4-2. IPsec VPNサンプル設定 3. Trust security zoneの設定 # set security zone untrust host-inbound-traffic system-services https # set security zone untrust host-inbound-traffic system-services ssh # set security zone untrust host-inbound-traffic system-services ping # set security security-zone untrust interfaces ge-0/0/1.0 4.IKEの設定 (セキュリティ属性定義、ポリシー、対向のアドレス等) # set security ike proposal AWS_IKE_Proposal authentication-method pre-shared-keys # set security ike proposal AWS_IKE_Proposal dh-group group2 # set security ike proposal AWS_IKE_Proposal authentication-algorithm sha-256 # set security ike proposal AWS_IKE_Proposal encryption-algorithm aes-256-cbc # set security ike proposal AWS_IKE_Proposal lifetime-seconds 1800 # set security ike policy AWS-R mode aggressive # set security ike policy AWS-R proposals AWS_IKE_Proposal # set security ike policy AWS-R pre-shared-key ascii-text preshared-key # set security ike gateway AWS-R ike-policy AWS-R # set security ike gateway AWS-R address 203.0.113.10(対向アドレス) # set security ike gateway AWS-R local-identity user-at-hostname "dest@example.net" # set security ike gateway AWS-R remote-identity user-at-hostname "source@example.net" # set security ike gateway AWS-R external-interface ge-0/0/0 送受信を許可する サービスを指定
  55. 55. 4.vSRX設定 4-2. IPsec VPNサンプル設定 5. IPsecの設定 (セキュリティ属性定義、ポリシー、トンネルインタフェース指定等) # set security ipsec proposal AWS_IPSEC protocol esp # set security ipsec proposal AWS_IPSEC authentication-algorithm hmac-sha1-96 # set security ipsec proposal AWS_IPSEC encryption-algorithm aes-256-cbc # set security ipsec policy AWS_IPSEC_POL proposals AWS_IPSEC # set security ipsec vpn aws-aws bind-interface st0.1 # set security ipsec vpn aws-aws ike gateway AWS-R # set security ipsec vpn aws-aws ike ipsec-policy AWS_IPSEC_POL # set security ipsec vpn aws-aws establish-tunnels immediately 6. Routingの設定 # set routing-instances aws instance-type virtual-router # set routing-instances aws interface ge-0/0/0.0 # set routing-instances aws interface ge-0/0/1.0 # set routing-instances aws interface st0.1 # set routing-instances aws routing-options static route 0.0.0.0/0 next-hop 10.0.1.1 # set routing-instances aws routing-options static route 2.2.0.0/24 next-hop st0.1 (対向の経路を指定) # commit
  56. 56. 5.トラブルシューティングチップス • AWSコンソールにてインスタンスのステータスチェックし、 [ 2/2のチェックに合格しました ]となっているか確認する。 • 解決策 • ステータスが0/2の場合: AWSサポートに確認する。 • ステータスが1/2の場合: • インスタンスへのping通信を確認。 • インストールログを確認。 インスタンス選択  右クリック  インスタンスの設定  システムログの取得 • インスタンスタイプがサポートされているタイプか確認。 • セキュリティグループやACL設定に間違いはないか確認。 • インスタンスの再起動を行う。 事象:インスタンスが起動しない
  57. 57. • AWSのインスタンスログインはRSAのキーペアを必要とする。 正しいキーペアを使用する必要がある。 • 解決方法 • キーペアが間違いないかの確認。プライベートキーがない場合は、再度インスタンスを作 成する必要がある。 • 正しいキーを使用している場合、キーのパーミッションの確認(chmod 400 for the key) • 管理インタフェース fxp0のAWSセキュリティグループとネットワークACLに間違いがな いか確認する。 事象: インスタンスにログインができない 5.トラブルシューティングチップス
  58. 58. • データ転送用のインタフェース(Revenue Interfaces)がupになり、トラフィックがvSRXを 通過する必要がある。 vSRXのフロートレースでトラフィックが確認できるかを確認する。 • 解決方法 • 「送信元/送信先の変更チェック(Source/Dest Check)」を無効化 • 各ルーティングテーブルのサブネットを確認し、間違いないかの確認 事象: トラフィックが転送されない。 5.トラブルシューティングチップス
  59. 59. その他  vSRXがサポートしているのは、有償のインスタンスタイプのみとなる。 もし、JUNOS学習のために使用したい場合は、学習終了後は、 インスタンスを停止しておくことを推奨。  SRXを再起動する場合は、CLIによる再起動は行わず、AWSのインスタンスの再起動を行う。  ログインに必要な初期設定が設定されているため、初期状態にするload factory-defaultコマ ンドは使用しない。 SRXの全機能がAWS上で動作するわけではない。 サポート状況はドキュメントを参照のこと。
  60. 60. Thank you

×