2013年2月25日

srx100のSNMP監視

SRX100をSNMPで監視するために主要なOIDを調べてみました。

  • CPU使用率

トラフィックを流したら比例して上がっているので問題ないと思いますが、SNMPの値と同じになるコマンドが見つかりませんでした。何を元にSNMPの値を割り出しているでしょう。。。。

 
juniper@SRX100H> show snmp mib get .1.3.6.1.4.1.2636.3.39.1.12.1.1.1.4.0
jnxJsSPUMonitoringCPUUsage.0 = 3
 

 

  • セッション数

現在アクティブなセッション数を取得できます。

 
juniper@SRX100H> show snmp mib get .1.3.6.1.4.1.2636.3.39.1.12.1.1.1.6.0
jnxJsSPUMonitoringCurrentFlowSession.0 = 14
 

「show security flow session」で表示されるアクティブなセッションの値と同じようです。

 
juniper@SRX100H> show security flow session summary
 
Unicast-sessions: 14
Multicast-sessions: 0
Failed-sessions: 0
Sessions-in-use: 14
  Valid sessions: 14
  Pending sessions: 0
  Invalidated sessions: 0
  Sessions in other states: 0
Maximum-sessions: 32768
 

 

  • メモリ使用率
 
juniper@SRX100H> show snmp mib get .1.3.6.1.4.1.2636.3.39.1.12.1.1.1.5.0
jnxJsSPUMonitoringMemoryUsage.0 = 34
 

 

  • 機体温度
 
juniper@SRX100H> show snmp mib get .1.3.6.1.4.1.2636.3.1.13.1.7.9.1.0.0
jnxOperatingTemp.9.1.0.0 = 51
 

コマンドで機体温度を確認する場合は「show chassis routing-engine」で取得できます。

 
juniper@SRX100H> show chassis routing-engine
Routing Engine status:
    Temperature                 51 degrees C / 123 degrees F
    Total memory              1024 MB Max   543 MB used ( 53 percent)
      Control plane memory     560 MB Max   386 MB used ( 69 percent)
      Data plane memory        464 MB Max   158 MB used ( 34 percent)
    CPU utilization:
      User                       3 percent
      Background                 0 percent
      Kernel                    10 percent
      Interrupt                  0 percent
      Idle                      87 percent
    Model                          RE-SRX100H
    Serial ID                      AT0812AF0915
    Start time                     2012-11-12 00:11:03 JST
    Uptime                         105 days, 23 hours, 18 minutes, 36 seconds
    Last reboot reason             0x200:normal shutdown
    Load averages:                 1 minute   5 minute  15 minute
                                       0.09       0.11       0.08
 

 

2013年1月 7日

JUNOSでVPNクライアント

SRX100ですが、VPNで同時接続可能なライセンスが標準で2個ついてきます。このままこのライセンスを放置するのも、もったいないのでVPNクライアント環境を構築しました。
JUNOSでは、Junos Pulseという統合クライアントソフトを利用してIPSecでSRXとVPN接続します。Junos PulseはVPNクライアント以外に、WAN高速化やNAC機能があるようです。(SRXの場合VPNクライアントの機能しかなさそうでした。)

VPNクライアント構成

今回の構築した環境を図にしてみました。上の図は実際のネットワーク構成で、VPNクライアントが拠点ネットワークに存在しており、SRXとVPNトンネルを張って宅内LANに接続している状態を表しています。下の図ではVPNクライアントを中心にして、VPNクライアントから見えるネットワークだけに着目してイメージとして描きました。

vpn-cl02.jpg

JUNOSでのVPNクラアイアントの設定例

メーカのページを参照にコンフィグを作成しましたが、ルール名が小文字で書いてあるのでコマンドなのかポリシー名なのか判断がつかないため、ポリシー名は大文字にしました。
下記に作成したコンフィグを設定例として記載しています。設定自体はそこまで難しくありませんでしたが、悩んだ箇所を青文字で記載しています。

まず、「remote-protected-resources」ですが、対象のセグメントはVPNクライアントのルーティング情報として追加されるので、アクセス可能なセグメントを入れて下さい。次に「remote-exceptions」ですが、良く判りませんでした。。。exceptionは例外なので、特定のサーバへの通信をブロックするために使うんだと思います。最後に「primary-dns」ですが、宅内のDNSサーバを設定していますが、必須の設定項目ではないと思われます。


set security ike policy IKE-VPN mode aggressive
set security ike policy IKE-VPN proposal-set standard
set security ike policy IKE-VPN pre-shared-key ascii-text "$9$VxbYo5T3pu1jHQnCuEhvWLxNb"
set security ike gateway VPN-GW ike-policy IKE-VPN
set security ike gateway VPN-GW dynamic hostname SRX100H
set security ike gateway VPN-GW dynamic connections-limit 2
set security ike gateway VPN-GW dynamic ike-user-type group-ike-id
set security ike gateway VPN-GW external-interface pp0.0
set security ike gateway VPN-GW xauth access-profile VPN-ACCESS
set security ipsec policy IPSEC-VPN proposal-set standard
set security ipsec vpn VPN ike gateway VPN-GW
set security ipsec vpn VPN ike ipsec-policy IPSEC-VPN
 
set security dynamic-vpn access-profile VPN-ACCESS
set security dynamic-vpn clients all remote-protected-resources 192.168.40.0/24
set security dynamic-vpn clients all remote-exceptions 0.0.0.0/0
set security dynamic-vpn clients all ipsec-vpn VPN
set security dynamic-vpn clients all user test
 
set security nat proxy-arp interface vlan.40 address 192.168.60.1/32 to 192.168.60.10/32
 
set security policies from-zone WAN to-zone DMZ policy ID050 match source-address any
set security policies from-zone WAN to-zone DMZ policy ID050 match destination-address any
set security policies from-zone WAN to-zone DMZ policy ID050 match application any
set security policies from-zone WAN to-zone DMZ policy ID050 then permit tunnel ipsec-vpn VPN
set security policies from-zone WAN to-zone DMZ policy ID050 then log session-init
set security policies from-zone WAN to-zone DMZ policy ID050 then log session-close
 
set security zones security-zone WAN interfaces pp0.0 host-inbound-traffic system-services ping
set security zones security-zone WAN interfaces pp0.0 host-inbound-traffic system-services ike
set security zones security-zone WAN interfaces pp0.0 host-inbound-traffic system-services https
set security zones security-zone WAN interfaces pp0.0 host-inbound-traffic system-services ssh
 
set access profile VPN-ACCESS client test firewall-user password "$9$jQiqf0OReK8n/BEyKx7YgoJGi"
set access profile VPN-ACCESS address-assignment pool VPN-POOL
set access address-assignment pool VPN-POOL family inet network 192.168.60.0/24
set access address-assignment pool VPN-POOL family inet range POOL-RANGE low 192.168.60.1
set access address-assignment pool VPN-POOL family inet range POOL-RANGE high 192.168.60.10
set access address-assignment pool VPN-POOL family inet xauth-attributes primary-dns 192.168.40.2/32
set access firewall-authentication web-authentication default-profile VPN-ACCESS
 


VPN接続時のVPNクライアントの状態

VPN接続に必要な Junos Pulse はSRXにHTTPSでアクセスするとダウンロード出来ます。JunosPulseをインストールしたら設定したユーザとパスワードを入力すれば、VPN接続できます。

以下は、Junos Pulse でSRXとVPN接続した際のVPNクライアントのインターフェースとルーティング情報です。ディフォルトルートはそのままで、宅内ネットワークで許可したセグメント(192.168.40.0/24)だけがルーティングテーブルに乗ってきてます。DNSは実インターフェースと仮想インターフェースと両方見えますが、宅内のサーバを参照していました。

 
>ipconfig /all
Ethernet adapter Juniper Network Agent Virtual Adapter:
 
        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet - パケット スケジューラ ミニポート
        Physical Address. . . . . . . . . : 0F-33-45-FF-FF-80
        Dhcp Enabled. . . . . . . . . . . : Yes
        IP Address. . . . . . . . . . . . : 192.168.11.31
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 192.168.11.1
        DNS Servers . . . . . . . . . . . : 192.168.11.1
 
        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : Juniper Networks Virtual Adapter - パケット スケジューラ ミニポート
        Physical Address. . . . . . . . . : 02-05-85-7F-EB-80
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 192.168.60.10
        Subnet Mask . . . . . . . . . . . : 255.255.255.255
        Default Gateway . . . . . . . . . :
        DNS Servers . . . . . . . . . . . : 192.168.40.2
        
 
>route print
================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x170003 ...00 1e 33 29 e3 32 ...... Broadcom NetXtreme Gigabit Ethernet - パケット スケジューラ ミニポート
0x170004 ...c0 f8 da 63 c5 8e ...... Atheros AR5B97 Wireless Network Adapter - パケット スケジューラ ミニポート
0x170005 ...02 05 85 7f eb 80 ...... Juniper Networks Virtual Adapter - パケットスケジューラ ミニポート
================================================
================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0     192.168.11.1   192.168.11.31       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
     192.168.11.0    255.255.255.0    192.168.11.31   192.168.11.31       20
    192.168.11.31  255.255.255.255        127.0.0.1       127.0.0.1       20
   192.168.11.255  255.255.255.255    192.168.11.31   192.168.11.31       20
     192.168.40.0    255.255.255.0    192.168.60.10   192.168.60.10       1
    192.168.60.10  255.255.255.255        127.0.0.1       127.0.0.1       10
   192.168.60.255  255.255.255.255    192.168.60.10   192.168.60.10       10
        224.0.0.0        240.0.0.0    192.168.11.31   192.168.11.31       20
        224.0.0.0        240.0.0.0    192.168.60.10   192.168.60.10       10
  255.255.255.255  255.255.255.255    192.168.11.31          170003       1
  255.255.255.255  255.255.255.255    192.168.11.31   192.168.11.31       1
  255.255.255.255  255.255.255.255    192.168.60.10   192.168.60.10       1
Default Gateway:      192.168.11.1
===============================================
Persistent Routes:
  None
 

 

2012年12月15日

JUNOSのコンフィグをFTPで保存

JUNOSの設定を外部のFTPサーバにアップします。

基本構成

まずFreeBSDにFTPサーバをインストールします。今回はFTPサーバ定番のproftpdにしました。今回構築した環境は以下の通りです。

オペレーションシステム FreeBSD 8.2-RELEASE
FTPサーバ proftpd-1.3.4b

FTPサーバの構築

FreeBSDなので、いつものportsでサクッっとproftpdをインストールしてしまいます。

 
# cd /usr/ports/ftp/proftpd/
# make install clean
 

コンフィグですが、IPv6はこの環境では使っていないのでOFFにしていますが、それ以外はディフォルトのまま使っています。

# cat /usr/local/etc/proftpd.conf
 
#
# For more information about Proftpd configuration
# see http://www.proftpd.org/
#
# This is a basic ProFTPD configuration file (rename it to
# 'proftpd.conf' for actual use.  It establishes a single server
# and a single anonymous login.  It assumes that you have a user/group
# "nobody" and "ftp" for normal operation and anon.
 
ServerName                      "ProFTPD Default Installation"
ServerType                      standalone
DefaultServer                   on
ScoreboardFile          /var/run/proftpd/proftpd.scoreboard
 
# Port 21 is the standard FTP port.
Port                            21
 
# Use IPv6 support by default.
#UseIPv6                                on
UseIPv6                         off
 
# Umask 022 is a good standard umask to prevent new dirs and files
# from being group and world writable.
Umask                           022
 
# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd).
MaxInstances                    30
 
CommandBufferSize       512
 
# Set the user and group under which the server will run.
User                            nobody
Group                           nogroup
 
# To cause every FTP user to be "jailed" (chrooted) into their home
# directory, uncomment this line.
#DefaultRoot ~
 
# Normally, we want files to be overwriteable.
AllowOverwrite          on
 
# Bar use of SITE CHMOD by default
<Limit SITE_CHMOD>
  DenyAll
</Limit>
 
# A basic anonymous configuration, no upload directories.  If you do not
# want anonymous users, simply delete this entire <Anonymous> section.
 
#########################################################################
#                                                                       #
# Uncomment lines with only one # to allow basic anonymous access       #
#                                                                       #
#########################################################################
 
#<Anonymous ~ftp>
#   User                                ftp
#   Group                               ftp
 
  ### We want clients to be able to login with "anonymous" as well as "ftp"
  # UserAlias                   anonymous ftp
 
  ### Limit the maximum number of anonymous logins
  # MaxClients                  10
 
  ### We want 'welcome.msg' displayed at login, and '.message' displayed
  ### in each newly chdired directory.
  # DisplayLogin                        welcome.msg
  # DisplayFirstChdir           .message
 
  ### Limit WRITE everywhere in the anonymous chroot
  # <Limit WRITE>
  #   DenyAll
  # </Limit>
#</Anonymous>

FTPデーモンを起動します。

# /usr/local/etc/rc.d/proftpd start

FTPにログイン出来ない

始め、chrootの設定を有効にするために、proftpd.confの「#DefaultRoot ~」部分をコメントインしていましたが、以下のメッセージが出力されてFTPでログインできませんでした。

Dec 15 00:38:31 bsd proftpd[59720]: bsd.or2.to (192.168.40.128[192.168.40.128]) - error: FreeBSD with vulnerable chroot (FreeBSD-SA-11:07.chroot)
Dec 15 00:38:31 bsd proftpd[59720]: bsd.or2.to (192.168.40.128[192.168.40.128]) - chroot to '/usr/home/juniper' failed for user 'juniper': Operation not permitted
Dec 15 00:38:31 bsd proftpd[59720]: bsd.or2.to (192.168.40.128[192.168.40.128]) - error: unable to set default root directory
 

どうやら、freeBSDのいくつかのバージョンのlibcにおいて問題があるようです。回避策(Workaround)としては、chrootを使わない。または、パッチを当ててコンパイルし直す必要があるようですが、JUNOSのコンフィグバックアップしか使う目的がないので、proftpd.confの「DefaultRoot ~」をコメントアウトしました。詳細は以下のリンク先を参考にして下さい。

参考URL:Code execution via chrooted ftpd

JUNOSをFTPでコンフィグバックアップ

FTPサーバの準備が完了したら、ようやくFTPを使ったコンフィグ保存です。FTPサーバは「192.168.40.2」で、ユーザは「juniper」、保存するファイル名を「SRX100H_121215.conf」にしています。

 
juniper@SRX100H> configure
Entering configuration mode
 
[edit]
juniper@SRX100H# save ftp://juniper@192.168.40.2/SRX100H_121215.conf
Password for juniper@192.168.40.2: *******
ftp://juniper@192.168.40.2/SRX100H_121215.conf 100% of 55 kB 2109 kBps
Wrote 1928 lines of configuration to 'ftp://juniper@192.168.40.2/SRX100H_121215.conf'
 
[edit]
juniper@SRX100H#
 

サーバ上にファイルが保存されたことを確認します。

 
bsd# ls -l SRX100H_121215.conf
-rw-r--r--  1 juniper  wheel  56387 Dec 15 01:14 SRX100H_121215.conf
 

以上です。

2012年11月13日

muninでSRXのトラフィック監視

muninでSRXのトラフィックの監視を行ってみました。

設定環境

以前にmuninでモニタリングポストのプラグインを作っており、バージョンアップの検証が面倒だったため、少し古いバージョンを使っています。また、muninの基本的な設定が完了している前提で記載していますので、その点はご了承ください。

  • FreeBSD 8.2-RELEASE
  • munin-master-1.4.6
  • munin-node-1.4.6

SRXのSNMP設定

SNMPについては、192.168.40.2からのみRead-Onlyで許可して、それ以外は拒否する設定を入れています。「xxxxxxx」は、コミュニティー名です。

 
juniper@SRX100H> configure
Entering configuration mode
 
[edit]
juniper@SRX100H#set snmp community xxxxxxx authorization read-only
juniper@SRX100H#set snmp community xxxxxxx clients 192.168.40.2/32
juniper@SRX100H#set snmp community xxxxxxx clients 0.0.0.0/32 restrict
[edit]
juniper@SRX100H#commit
 

SNMPでトラフィックを取得するためには、SRXのインタフェースINDEXを調べる必要があります。今回はVLAN40とPPPoEインターフェースのpp0.0を調べました。以下の結果ではvlan40がindex番号501で、pp0.0がindex番号533であることが判ります。

juniper@SRX100H> show snmp mib walk 1
dot3adTablesLastChanged.0 = 18945
sysDescr.0    = Juniper Networks, Inc. srx100h internet router, kernel JUNOS 12.1R3.5, Build date: 2012-08-09 09:57:30 UTC Copyright (c) 1996-2012 Juniper Networks, Inc.
sysObjectID.0 = jnxProductNameSRX100
sysUpTime.0   = 8900938
     :
ifDescr.4     = lsi
ifDescr.6     = lo0
ifDescr.7     = tap
ifDescr.8     = gre
ifDescr.9     = ipip
ifDescr.10    = pime
ifDescr.11    = pimd
ifDescr.12    = mtun
ifDescr.21    = lo0.16384
ifDescr.22    = lo0.16385
ifDescr.248   = lo0.32768
ifDescr.501   = vlan.40
ifDescr.502   = pp0
ifDescr.503   = irb
ifDescr.504   = st0
ifDescr.505   = ppd0
ifDescr.506   = ppe0
ifDescr.507   = vlan
ifDescr.509   = fe-0/0/0
ifDescr.510   = fe-0/0/0.0
     :
ifDescr.523   = fe-0/0/7
ifDescr.524   = fe-0/0/7.0
ifDescr.525   = sp-0/0/0
ifDescr.526   = sp-0/0/0.0
ifDescr.527   = gr-0/0/0
ifDescr.528   = ip-0/0/0
ifDescr.529   = mt-0/0/0
ifDescr.530   = lt-0/0/0
ifDescr.531   = sp-0/0/0.16383
ifDescr.532   = vlan.50
ifDescr.533   = pp0.0
     :

muninの設定

まず、「munin.conf」と「plugins.conf」にSRX用の設定を追加します。「munin.conf」で記載されているアドレスはSRXではなくmunin-nodeのIPアドレスです。後、srx.or2.toをSRXのFQDNとしてDNSに設定しています。hostsファイルでも良いのでIPアドレスが引けるようにしておいて下さい。

/usr/local/etc/munin/munin.conf
最終行に以下の行を追加
[srx.or2.to]
    address 192.168.40.2
    use_node_name no
/usr/local/etc/munin/plugin-conf.d/plugins.conf
最終行に以下の行を追加
[snmp_srx.or2.to*]
env.community xxxxxxx
env.host srx.or2.to
env.version 2

続いて、pluginを設定を行います。リンクを作成する際にファイル名とindex番号を付けるだけです。

# ln -s /usr/local/share/munin/plugins/snmp__if_ /usr/local/etc/munin/plugins/snmp_srx.or2.to_if_501

ln -s /usr/local/share/munin/plugins/snmp__if_ /usr/local/etc/munin/plugins/snmp_srx.or2.to_if_533

本来、ここでmunin-nodeを再起動すれば良いのですが、自分の環境では「munin-update.log」に以下のエラーメッセージが出力されてグラフが表示出来ませんでした。エラーメッセージを見ればなんとく判りますが、ある値が取れていないことが判ります。

 
# tail -f /var/log/munin/munin-update.log
2012/11/12 01:30:03 [INFO] creating rrd-file for snmp_srx_or2_to_if_533->recv: '/var/munin/or2.to/srx.or2.to-snmp_srx_or2_to_if_533-recv-d.rrd'
2012/11/12 01:30:03 [ERROR] Unable to create '/var/munin/or2.to/srx.or2.to-snmp_srx_or2_to_if_533-recv-d.rrd': min must be less than max in DS definition
2012/11/12 01:30:03 [ERROR] In RRD: Error updating /var/munin/or2.to/srx.or2.to-snmp_srx_or2_to_if_533-recv-d.rrd: opening '/var/munin/or2.to/srx.or2.to-snmp_srx_or2_to_if_533-recv-d.rrd': No such file or directory
2012/11/12 01:30:03 [INFO] Reaping Munin::Master::UpdateWorker<or2.to;srx.or2.to>. Exit value/signal: 0/0
 

改めて、SRXのMIBを見てみるとVLAN40とpp0.0の回線帯域の値が0になっていました。どうやらこれがエラーの原因のようです。

juniper@SRX100H> show snmp mib walk 1
     

.1.3.6.1.2.1.2.2.1.5.4 = Gauge32: 0
.1.3.6.1.2.1.2.2.1.5.6 = Gauge32: 0
.1.3.6.1.2.1.2.2.1.5.7 = Gauge32: 0
.1.3.6.1.2.1.2.2.1.5.8 = Gauge32: 0
.1.3.6.1.2.1.2.2.1.5.9 = Gauge32: 0
.1.3.6.1.2.1.2.2.1.5.10 = Gauge32: 0
.1.3.6.1.2.1.2.2.1.5.11 = Gauge32: 0
.1.3.6.1.2.1.2.2.1.5.12 = Gauge32: 0
.1.3.6.1.2.1.2.2.1.5.21 = Gauge32: 0
.1.3.6.1.2.1.2.2.1.5.22 = Gauge32: 0
.1.3.6.1.2.1.2.2.1.5.248 = Gauge32: 0
.1.3.6.1.2.1.2.2.1.5.501 = Gauge32: 0
     :
.1.3.6.1.2.1.2.2.1.5.528 = Gauge32: 800000000
.1.3.6.1.2.1.2.2.1.5.529 = Gauge32: 800000000
.1.3.6.1.2.1.2.2.1.5.530 = Gauge32: 800000000
.1.3.6.1.2.1.2.2.1.5.531 = Gauge32: 800000000
.1.3.6.1.2.1.2.2.1.5.532 = Gauge32: 0
.1.3.6.1.2.1.2.2.1.5.533 = Gauge32: 0
     :
 

プラグインのリンク元のプログラムを、回線帯域の値が存在する場合だけ実行するように変更しています。送信と受信の2箇所変更する必要があるので注意して下さい。

# vi /usr/local/share/munin/plugins/snmp__if_ 

↓この行を削除する。

print "recv.max $speed\n";

↓この行を追加する。

 if ($speed) {
     print "recv.max $speed\n";
}
 
↓この行を削除する。

print "send.max $speed\n";

↓この行を追加

if ($speed) {
    print "send.max $speed\n";
}

munin-nodeの再起動

最後に「munin-node」を再起動して設定ファイル類の再読み込みを行ってください。後は5分~15分程度待ってグラフが表示されることを確認して下さい。

 /usr/local/etc/rc.d/munin-node restart
Stopping munin_node.
Starting munin_node.

 

2012年11月 4日

インターネット接続ルータ更新完了

今まで自宅のインターネット接続用に使用していたCisco1812Jに引退してもらい、JuniperSRX100に更新しました。とりあえず、1812Jで検証用で使用していた不要な設定を削除して、SRXに設定を移植していきましたが、Dimoraの設定が地味に大変でコンフィグが800行近くになってしまいました。

ファンレスのSRXに更新したことで、ようやく部屋が静かになりました。引退した1812Jですが、うるさいファンを交換したら会社の検証機として使用する予定です。

設定した内容

コンフィグは長くなってしまいましたが、設定した内容自体はあまり多くなく以下の項目ぐらいでしょうか。

  • SecurityZONEとして「WAN」、「DMZ」、「LAN」を作成
  • DMZからWANに対してのSourceNATの設定
  • WANからDMZに対してのDestinationNATの設定
  • PPPoEの設定
  • Syslogの設定
  • NTPの設定

ネットワーク構成図

今まではLAN側のセグメントが1つでしたが、今後DMZとLANに分けようと思っています。そのため現時点ではDMZだけ使用しています。

MyNW.jpg

SRX100の設定内容

Junosのコンフィグを書いたことがある人は判ると思いますが、設定上色々なポリシー名が必要になってきます。そのため、ポリシー名は原則大文字で書くようにして、Junosの構文なのかポリシー名なのか判り易くしています。

自宅のSRXのコンフィグについては、以下に記載しますので参考にしてみて下さい。

続きを読む "インターネット接続ルータ更新完了"

2012年10月15日

SRX100Hのバージョンアップ

JUNOSのバージョンが少し古かったので色々設定する前にバージョンアップすることにしました。現在稼動しているJUNOSは、「11.2R6.3」で、バージョンアップするJUNOSは現時点で最新の「12.1R3.5」を用意しました。ファイル名は、「junos-srxsme-12.1R3.5-domestic.tgz」です。

現在のバージョンの確認
 
show version コマンドで現在稼動しているJUNOSを確認します。現時点ではJUNOSのソフトウェアは11.2R6.3で稼動していることが判ります。
 
root@srx> show version
Hostname: srx
Model: srx100h
JUNOS Software Release [11.2R6.3]

コンフィグのバックアップ

バージョンアップする前に現在のコンフィグのバックアップを取得します。出力されたコンフィグをコピーしてテキストエディタに保存しておきます。

root@srx> show configuration |display set | no-more
set version 12.1R3.5
set system host-name SRX100H
set system root-authentication encrypted-password "$1$W.QY5NAQ$Adj1PUxxxxxvmCMFQGGOZ."
set system name-server 208.67.222.222
set system name-server 208.67.220.220
set system login user juniper uid 1000
set system login user juniper class super-user
set system login user juniper authentication encrypted-password "$1$hF4QrBibxxxx7dpxbwpTosJJzhwBS4/"
set system services ssh
以下省略

FTPサーバを準備

PCにFTPサーバを立ち上げてSRXからJUNOSをダウンロード出来るようにします。今回はFTPサーバには3CDaemonを使用しました。FTPのユーザは「juniper」、パスワードは「juniper」にしています。

機器 IPアドレス
SRX100H 192.168.1.1/24
FTPサーバ(ノートPC) 192.168.1.2/24(DHCPより取得)

バージョンアップ

以下のコマンドを実行してJUNOSソフトウェアをバージョンアップします。バージョンアップのオプションとしてイメージファイルを保存しない「no-copy」と、コンフィグの差分をチェックしない「no-validate」、ファイルの展開が完了したら自動で再起動する「reboot」を使いました。

root@srx> request system software add no-copy no-validate reboot ftp://juniper:juniper@192.168.1.2/junos-srxsme-12.1R3.5-domestic.tgz
/var/tmp/incoming-package.23565 1214 kB 1214 kBps
Package contains junos-12.1R3.5.tgz ; renaming ...
NOTICE: Validating configuration against junos-12.1R3.5.tgz.
NOTICE: Use the 'no-validate' option to skip this if desired.
Formatting alternate root (/dev/da0s2a)...
/dev/da0s2a: 297.9MB (610044 sectors) block size 16384, fragment size 2048
using 4 cylinder groups of 74.47MB, 4766 blks, 9600 inodes.
super-block backups (for fsck -b #) at:
32, 152544, 305056, 457568
Checking compatibility with configuration
Initializing...
Verified manifest signed by PackageProduction_11_2_0
Verified junos-11.2R6.3-domestic signed by PackageProduction_11_2_0
Using junos-12.1R3.5-domestic from /altroot/cf/packages/install-tmp/junos-12.1R3.5-domestic
Copying package ...
Verified manifest signed by PackageProduction_12_1_0
Hardware Database regeneration succeeded
Validating against /config/juniper.conf.gz
cp: /cf/var/validate/chroot/var/etc/resolv.conf and /etc/resolv.conf are identical (not copied).
cp: /cf/var/validate/chroot/var/etc/hosts and /etc/hosts are identical (not copied).
mgd: commit complete
Validation succeeded
Installing package '/altroot/cf/packages/install-tmp/junos-12.1R3.5-domestic' ...
Verified junos-boot-srxsme-12.1R3.5.tgz signed by PackageProduction_12_1_0
Verified junos-srxsme-12.1R3.5-domestic signed by PackageProduction_12_1_0
JUNOS 12.1R3.5 will become active at next reboot
WARNING: A reboot is required to load this software correctly
WARNING: Use the 'request system reboot' command
WARNING: when software installation is complete
Saving state for rollback ...

実は「no-validate」オプションを使わなかったらバージョンアップに失敗して、バックアップイメージで起動してきました。改めて上記のコマンドで実行してバージョンアップに成功しています。

バージョンアップの確認

正確な時間は測定していませんが、バージョンアップして再起動が完了するまで15分程度かかりました。起動してきたらバージョンを確認します。無事12.1R3.5にアップデートされています。

root@srx> show version
Hostname: srx
Model: srx100h
JUNOS Software Release [12.1R3.5]

これでSRX100Hのバージョンアップは完了です。コンフィグが変わっている可能性もあるので、念のためバージョンアップ前後のコンフィグ比較を行ってください。