11.2.10.1. 事業者が設定するコンフィグレーションの説明

ここでは、vSRX メニュー提供のために事業者が必要とする各種コンフィグレーションとその内容をご説明します。 サービス説明書の制約事項に記載の通り、サービス提供に必要となるものであるため、改ざんや消去した場合サービスを停止する可能性がありますのでご留意ください。

動作確認バージョン:vSRX Version15.1X49-D105.1

<ファイアウォール(vSRX)作成時に事業者が設定したコンフィグレーション> ※その他は製品の初期コンフィグレーションです。

set system login user provider-admin uid 2000
set system login user provider-admin class ******
set system login user provider-admin authentication encrypted-password "***********"
set system login user provider-ctrl uid 2001
set system login user provider-ctrl class ******
set system login user provider-ctrl authentication encrypted-password "***********"
set system login user provider-ctrl-ro uid 2002
set system login user provider-ctrl-ro class ******
set system login user provider-ctrl-ro authentication encrypted-password "***********"
set system login user provider-ope uid 2003
set system login user provider-ope class ******
set system login user provider-ope authentication encrypted-password "***********"
set system login user provider-ope-ctrl uid 2004
set system login user provider-ope-ctrl class ******
set system login user provider-ope-ctrl authentication encrypted-password "***********"
set system login user provider-ope-ro uid 2005
set system login user provider-ope-ro class ******
set system login user provider-ope-ro authentication encrypted-password "***********"
set system services ssh
set system services rest http port 3000
set system services rest control connection-limit 100
set system services web-management http interface fxp0.0
set interfaces ge-0/0/0 unit 0 family inet address ***.***.***.***/**
set interfaces ge-0/0/1 disable
set interfaces ge-0/0/2 disable
set interfaces ge-0/0/3 disable
set interfaces ge-0/0/4 disable
set interfaces ge-0/0/5 disable
set interfaces ge-0/0/6 disable
set interfaces ge-0/0/7 disable
set interfaces fxp0 unit 0 family inet address 100.***.***.***/24
set snmp community ************ authorization read-only
set routing-options static route 100.***.0.0/16 next-hop 100.***.***.1
set routing-options static route 0.0.0.0/0 next-hop ***.***.***.***

以下にて、事業者による各種設定について解説します。

<事業者が設定しており、削除を禁止しているコンフィグレーション一覧>

コマンド サービス説明書制約事項掲載箇所 掲載内容
set system login user provider- * アカウント関連 名称が「provider-」で始まるアカウントは事業者用のアカウントのため、お客さまにて編集、パスワードリセット、削除等を実施しないでください。前述の行為が確認された場合、当社にてサービス停止等の対応を行います。
set system services ssh 管理通信関連 事業者が必要だと判断した場合、トラブルシューティング等のためログインして調査を実施
set system services rest * 管理通信関連 カスタマーポータルからの、ファイアウォール(Juniper vSRX)の作成、情報参照、編集、削除、Action操作
set system services web-management http interface fxp0.0 管理通信関連 事業者が必要だと判断した場合、トラブルシューティング等のためログインして調査を実施
set interfaces fxp0 unit 0 family inet address ** 管理通信関連 上記通信を実現するためのStatic Route、fxp0へのIPアドレス付与
set routing-options static route 100.***.0.0/16 next-hop 100.***.***.1 管理通信関連 上記通信を実現するためのStatic Route、fxp0へのIPアドレス付与
set snmp community ******** authorization read-only 管理通信関連 Monitoringサービス提供のためのsnmpによるメトリクス取得
set interfaces ge-0/0/X disable インターフェイス関連 ロジカルネットワークに接続されていないインターフェイスは無効化されております。無効化の解除を実施しないでください。

<事業者が設定しているが、お客さまの設計に合わせて削除可能なコンフィグレーション一覧>

コンフィグレーション サービス説明書制約事項掲載箇所 掲載内容
set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services ssh ファイアウォール(vSRX) の作成 作成時インターフェイス(ge-0/0/0.0)はTrustゾーンに設定されております。作成後はお客さまの設計に合わせてJuniper vSRXポータル/API/CLI経由設定を変更ください。
set interfaces ge-0/0/0 unit 0 family inet address *.*.***.***/** ファイアウォール(vSRX) の作成 ge-0/0/0.0のIPアドレスは作成時にのみ設定を行います。
set routing-options static route 0.0.0.0/0 next-hop *.*.***.*** ファイアウォール(vSRX) の作成 デフォルトゲートウェイは作成時にのみ設定を行います。デフォルトゲートウェイの変更/削除はJuniper vSRXのポータル/API/CLIにて実施してください。

<お客様にてAPIを使えるようにしている場合に必要な事業者コンフィグレーション一覧>

コマンド チュートリアル制約事項掲載箇所 掲載内容
set system services rest http addresses "IF fxp0.0のIPアドレス" vSRXの基本機能 - vSRXのAPI有効化 インターフェイス fxp0.0のIPアドレスの追加設定は、弊社コントローラからお客さまのvSRXへのAPIによるログイン監視に必要な設定となります。本設定がない場合、ログインステータスが「MONITORING UNAVAILABLE」となり、一部の変更機能がECL2.0のカスタマーポールから実行できなくなりますのでご留意ください。インターフェイス fxp0.0のIPアドレスは、show interfaces fxp0.0 terse を実行して得られる100.xx.xx.xxのIPアドレスを記載ください。