vSRX のデフォルト構成について
IBM Cloud® Juniper vSRX デバイスのデフォルト構成は、以下のとおりです。
- SSH および ping は、vSRX のパブリック・ゲートウェイ IP アドレスとプライベート・ゲートウェイ IP アドレスの両方で許可されます。
- Juniper Web 管理 (J-Web) UI アクセスは、パブリック・ゲートウェイ IP アドレスとプライベート・ゲートウェイ IP アドレスの両方で HTTPS ポート 8443 で許可されます。
- アドレス・セット
SERVICEは、IBM サービス・ネットワーク用に事前定義されています。 SL-PRIVATEとSL-PUBLICの 2 つのセキュリティー・ゾーンが事前定義されています。- ゾーン
SL-PRIVATEからすべてのサービスへのアクセスが IBM によって提供され、アドレス・セットSERVICEが許可されます。 - 他のすべてのネットワーク・アクセスは拒否されます。
2 つの冗長グループが構成されます。 以下の表はこれらの冗長グループを示しています。
| 冗長グループ | 冗長グループ機能 |
|---|---|
| redundancy-group 0 | 制御プレーンの冗長グループ |
| redundancy-group 1 | データ・プレーンの冗長グループ |
冗長グループ内の優先順位は、どの vSRX ノードがアクティブであるかを決定します。 デフォルトでは、ノード 0 が制御プレーンとデータ・プレーンの両方でアクティブです。
サンプルの 1G スタンドアロン SR-IOV パブリックおよびプライベート vSRX ゲートウェイのデフォルト構成
以下のコード・サンプルは、最新のコード・リリースの例です。
## Last commit: 2020-04-28 00:32:27 UTC by root
version 18.4R1-S1.3;
system {
login {
class security {
permissions [ security-control view-configuration ];
}
user admin {
uid 2000;
class super-user;
authentication {
encrypted-password "$6$5gPuIk9u$JPzyjh5zVz0tf4P3.POWv4UWGDfowbzirGmnpiBUW0tDWLf1ZfvP.YwN88Mc8.cyOIvgDMrksbCYsmZxf4f3p."; ## SECRET-DATA
}
}
}
root-authentication {
encrypted-password "$6$q9tQzuqT$/TFQLkHK.woO.Qv9YcZ1nnJqZqhLBqXeg7L3xkUWXVmq8fn4N7mClTpckoCKhombXucxU6StRKOiHTDUeTdd91"; ## SECRET-DATA
}
services {
ssh {
root-login allow;
}
netconf {
ssh {
port 830;
}
}
web-management {
http {
interface fxp0.0;
}
https {
port 8443;
system-generated-certificate;
interface [ fxp0.0 ae0.0 ae1.0 ge-0/0/0.0 ge-0/0/1.0 ];
}
session {
session-limit 100;
}
}
}
host-name asloma-swap-18-1g-sa0-vsrx-vSRX;
name-server {
10.0.80.11;
10.0.80.12;
}
syslog {
user * {
any emergency;
}
file messages {
any any;
authorization info;
}
file interactive-commands {
interactive-commands any;
}
}
ntp {
server 10.0.77.54;
}
}
chassis {
aggregated-devices {
ethernet {
device-count 10;
}
}
}
security {
log {
mode stream;
report;
}
address-book {
global {
address SL8 10.1.192.0/20;
address SL9 10.1.160.0/20;
address SL4 10.2.128.0/20;
address SL5 10.1.176.0/20;
address SL6 10.1.64.0/19;
address SL7 10.1.96.0/19;
address SL1 10.0.64.0/19;
address SL2 10.1.128.0/19;
address SL3 10.0.86.0/24;
address SL20 10.3.80.0/20;
address SL18 10.2.176.0/20;
address SL19 10.3.64.0/20;
address SL16 10.2.144.0/20;
address SL17 10.2.48.0/20;
address SL14 10.1.208.0/20;
address SL15 10.2.80.0/20;
address SL12 10.2.112.0/20;
address SL13 10.2.160.0/20;
address SL10 10.2.32.0/20;
address SL11 10.2.64.0/20;
address SL_PRIV_MGMT 10.188.111.70/32;
address SL_PUB_MGMT 169.60.101.121/32;
address-set SERVICE {
address SL8;
address SL9;
address SL4;
address SL5;
address SL6;
address SL7;
address SL1;
address SL2;
address SL3;
address SL20;
address SL18;
address SL19;
address SL16;
address SL17;
address SL14;
address SL15;
address SL12;
address SL13;
address SL10;
address SL11;
}
}
}
screen {
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
source-route-option;
tear-drop;
}
tcp {
syn-flood {
alarm-threshold 1024;
attack-threshold 200;
source-threshold 1024;
destination-threshold 2048;
queue-size 2000; ## Warning: 'queue-size' is deprecated
timeout 20;
}
land;
}
}
}
policies {
from-zone SL-PRIVATE to-zone SL-PRIVATE {
policy Allow_Management {
match {
source-address any;
destination-address [ SL_PRIV_MGMT SERVICE ];
application any;
}
then {
permit;
}
}
}
from-zone SL-PUBLIC to-zone SL-PUBLIC {
policy Allow_Management {
match {
source-address any;
destination-address SL_PUB_MGMT;
application [ junos-ssh junos-https junos-http junos-icmp-ping ];
}
then {
permit;
}
}
}
}
zones {
security-zone SL-PRIVATE {
interfaces {
ae0.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone SL-PUBLIC {
interfaces {
ae1.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
}
}
interfaces {
ge-0/0/0 {
ether-options {
802.3ad ae0;
}
}
ge-0/0/1 {
ether-options {
802.3ad ae1;
}
}
ge-0/0/2 {
ether-options {
802.3ad ae0;
}
}
ge-0/0/3 {
ether-options {
802.3ad ae1;
}
}
ae0 {
description PRIVATE_VLANs;
flexible-vlan-tagging;
native-vlan-id 925;
unit 0 {
vlan-id 925;
family inet {
address 10.188.111.70/26;
}
}
}
ae1 {
description PUBLIC_VLAN;
flexible-vlan-tagging;
native-vlan-id 985;
unit 0 {
vlan-id 985;
family inet {
address 169.60.101.121/28;
}
family inet6 {
address 2607:f0d0:3901:0063:0000:0000:0000:000f/64;
}
}
}
fxp0 {
unit 0;
}
lo0 {
unit 0 {
family inet {
filter {
input PROTECT-IN;
}
address 127.0.0.1/32;
}
}
}
}
firewall {
filter PROTECT-IN {
term PING {
from {
destination-address {
169.60.101.121/32;
10.188.111.70/32;
}
protocol icmp;
}
then accept;
}
term SSH {
from {
destination-address {
169.60.101.121/32;
10.188.111.70/32;
}
protocol tcp;
destination-port ssh;
}
then accept;
}
term WEB {
from {
destination-address {
169.60.101.121/32;
10.188.111.70/32;
}
protocol tcp;
port 8443;
}
then accept;
}
term DNS {
from {
protocol udp;
source-port 53;
}
then accept;
}
}
}
routing-options {
static {
route 166.9.0.0/16 next-hop 10.188.111.65;
route 0.0.0.0/0 next-hop 169.60.101.113;
route 161.26.0.0/16 next-hop 10.188.111.65;
route 10.0.0.0/8 next-hop 10.188.111.65;
}
}
以下の表は、前の構成のネットワーク・インターフェースの定義を示しています。
| インターフェース名 | インターフェース機能 |
|---|---|
| ge-0/0/0 | SL-PRIVATE 伝送 VLAN のギガビット・イーサネット・インターフェース |
| ge-0/0/1 | SL-PUBLIC 伝送 VLAN のギガビット・イーサネット・インターフェース |
| ge-0/0/2 | SL-PRIVATE 伝送 VLAN のギガビット・イーサネット・インターフェース |
| ge-0/0/3 | SL-PUBLIC 伝送 VLAN のギガビット・イーサネット・インターフェース |
| ae0.0 | 集約イーサネット・インターフェース |
| ae1.0 | 集約イーサネット・インターフェース |
| fxp0 | 管理インターフェース |
| lo0 | ループバック・インターフェース |
サンプルの 10G HA SR-IOV パブリックおよびプライベート vSRX ゲートウェイのデフォルト構成
## Last commit: 2020-04-21 17:22:34 UTC by root
version 18.4R1-S1.3;
groups {
node0 {
system {
host-name asloma-tc1b-18-10g-pubpriv-dual-ha1-vsrx-vSRX-Node0;
}
}
node1 {
system {
host-name asloma-tc1b-18-10g-pubpriv-dual-ha1-vsrx-vSRX-Node1;
}
}
}
apply-groups "${node}";
system {
login {
class security {
permissions [ security-control view-configuration ];
}
user admin {
uid 2000;
class super-user;
authentication {
encrypted-password "xxx"; ## SECRET-DATA
}
}
}
root-authentication {
encrypted-password "xxx”;## SECRET-DATA
}
services {
ssh {
root-login allow;
}
netconf {
ssh {
port 830;
}
}
web-management {
http {
interface fxp0.0;
}
https {
port 8443;
system-generated-certificate;
interface [ fxp0.0 reth1.0 reth0.0 ];
}
session {
session-limit 100;
}
}
}
name-server {
10.0.80.11;
10.0.80.12;
}
syslog {
user * {
any emergency;
}
file messages {
any any;
authorization info;
}
file interactive-commands {
interactive-commands any;
}
}
ntp {
server 10.0.77.54;
}
}
chassis {
cluster {
control-link-recovery;
reth-count 4;
heartbeat-interval 2000;
heartbeat-threshold 8;
redundancy-group 0 {
node 0 priority 100;
node 1 priority 1;
}
redundancy-group 1 {
node 0 priority 100;
node 1 priority 1;
inactive: preempt;
interface-monitor {
ge-0/0/3 weight 130;
ge-0/0/4 weight 130;
ge-7/0/3 weight 130;
ge-7/0/4 weight 130;
}
}
}
}
security {
log {
mode stream;
report;
}
address-book {
global {
address SL8 10.1.192.0/20;
address SL9 10.1.160.0/20;
address SL4 10.2.128.0/20;
address SL5 10.1.176.0/20;
address SL6 10.1.64.0/19;
address SL7 10.1.96.0/19;
address SL1 10.0.64.0/19;
address SL2 10.1.128.0/19;
address SL3 10.0.86.0/24;
address SL20 10.3.80.0/20;
address SL18 10.2.176.0/20;
address SL19 10.3.64.0/20;
address SL16 10.2.144.0/20;
address SL17 10.2.48.0/20;
address SL14 10.1.208.0/20;
address SL15 10.2.80.0/20;
address SL12 10.2.112.0/20;
address SL13 10.2.160.0/20;
address SL10 10.2.32.0/20;
address SL11 10.2.64.0/20;
address SL_PRIV_MGMT 10.87.40.36/32;
address SL_PUB_MGMT 169.62.79.21/32;
address-set SERVICE {
address SL8;
address SL9;
address SL4;
address SL5;
address SL6;
address SL7;
address SL1;
address SL2;
address SL3;
address SL20;
address SL18;
address SL19;
address SL16;
address SL17;
address SL14;
address SL15;
address SL12;
address SL13;
address SL10;
address SL11;
}
}
}
screen {
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
source-route-option;
tear-drop;
}
tcp {
syn-flood {
alarm-threshold 1024;
attack-threshold 200;
source-threshold 1024;
destination-threshold 2048;
queue-size 2000; ## Warning: 'queue-size' is deprecated
timeout 20;
}
land;
}
}
}
policies {
from-zone SL-PRIVATE to-zone SL-PRIVATE {
policy Allow_Management {
match {
source-address any;
destination-address [ SL_PRIV_MGMT SERVICE ];
application any;
}
then {
permit;
}
}
}
from-zone SL-PUBLIC to-zone SL-PUBLIC {
policy Allow_Management {
match {
source-address any;
destination-address SL_PUB_MGMT;
application [ junos-ssh junos-https junos-http junos-icmp-ping ];
}
then {
permit;
}
}
}
}
zones {
security-zone SL-PRIVATE {
interfaces {
reth0.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone SL-PUBLIC {
interfaces {
reth1.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
}
}
interfaces {
ge-0/0/1 {
gigether-options {
redundant-parent reth0;
}
}
ge-0/0/2 {
gigether-options {
redundant-parent reth0;
}
}
ge-0/0/3 {
gigether-options {
redundant-parent reth1;
}
}
ge-0/0/4 {
gigether-options {
redundant-parent reth1;
}
}
ge-0/0/5 {
gigether-options {
redundant-parent reth2;
}
}
ge-0/0/6 {
gigether-options {
redundant-parent reth2;
}
}
ge-0/0/7 {
gigether-options {
redundant-parent reth3;
}
}
ge-0/0/8 {
gigether-options {
redundant-parent reth3;
}
}
ge-7/0/1 {
gigether-options {
redundant-parent reth0;
}
}
ge-7/0/2 {
gigether-options {
redundant-parent reth0;
}
}
ge-7/0/3 {
gigether-options {
redundant-parent reth1;
}
}
ge-7/0/4 {
gigether-options {
redundant-parent reth1;
}
}
ge-7/0/5 {
gigether-options {
redundant-parent reth2;
}
}
ge-7/0/6 {
gigether-options {
redundant-parent reth2;
}
}
ge-7/0/7 {
gigether-options {
redundant-parent reth3;
}
}
ge-7/0/8 {
gigether-options {
redundant-parent reth3;
}
}
fab0 {
fabric-options {
member-interfaces {
ge-0/0/0;
ge-0/0/9;
}
}
}
fab1 {
fabric-options {
member-interfaces {
ge-7/0/0;
ge-7/0/9;
}
}
}
lo0 {
unit 0 {
family inet {
filter {
input PROTECT-IN;
}
address 127.0.0.1/32;
}
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
description "SL PRIVATE VLAN INTERFACE";
family inet {
address 10.87.40.36/26;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
description "SL PUBLIC VLAN INTERFACE";
family inet {
address 169.62.79.21/29;
}
family inet6 {
address 2607:f0d0:2901:002e:0000:0000:0000:0003/64;
}
}
}
reth2 {
vlan-tagging;
redundant-ether-options {
redundancy-group 1;
}
}
reth3 {
vlan-tagging;
redundant-ether-options {
redundancy-group 1;
}
}
}
firewall {
filter PROTECT-IN {
term PING {
from {
destination-address {
169.62.79.21/32;
10.87.40.36/32;
}
protocol icmp;
}
then accept;
}
term SSH {
from {
destination-address {
169.62.79.21/32;
10.87.40.36/32;
}
protocol tcp;
destination-port ssh;
}
then accept;
}
term WEB {
from {
destination-address {
169.62.79.21/32;
10.87.40.36/32;
}
protocol tcp;
port 8443;
}
then accept;
}
term DNS {
from {
protocol udp;
source-port 53;
}
then accept;
}
}
}
routing-options {
static {
route 166.9.0.0/16 next-hop 10.87.40.1;
route 0.0.0.0/0 next-hop 169.62.79.17;
route 161.26.0.0/16 next-hop 10.87.40.1;
route 10.0.0.0/8 next-hop 10.87.40.1;
}
}
以下の表の情報は上記の構成のものです。
| インターフェース名 | インターフェース機能 | 冗長インターフェース |
|---|---|---|
| ge-0/0/1 / ge-0/0/2 | ノード 0 の SL-PRIVATE 伝送 VLAN のギガビット・イーサネット・インターフェース | reth0 |
| ge-0/0/3 / ge-0/0/4 | ノード 0 の SL-PUBLIC 伝送 VLAN のギガビット・イーサネット・インターフェース | reth1 |
| ge-0/0/5 / ge-0/0/6 | ノード 0 のカスタマー・プライベート VLAN のギガビット・イーサネット・インターフェース | reth2 |
| ge-0/0/7 / ge-0/0/8 | ノード 0 のカスタマー・パブリック VLAN のギガビット・イーサネット・インターフェース | reth3 |
| ge-7/0/1 / ge-7/0/2 | ノード 1 の SL-PRIVATE 伝送 VLAN のギガビット・イーサネット・インターフェース | reth0 |
| ge-7/0/3 / ge-7/0/4 | ノード 1 の SL-PUBLIC 伝送 VLAN のギガビット・イーサネット・インターフェース | reth1 |
| ge-7/0/5 / ge-7/0/6 | ノード 1 のカスタマー・プライベート VLAN のギガビット・イーサネット・インターフェース | reth2 |
| ge-7/0/7 / ge-7/0/8 | ノード 1 のカスタマー・パブリック VLAN のギガビット・イーサネット・インターフェース | reth3 |
| fab0 | シャーシ・クラスター・ファブリック・リンクは ge-0/0/0 と ge-0/0/9 を使用 | |
| fab1 | シャーシ・クラスター・ファブリック・リンクは ge-7/0/0 と ge-7/0/9 を使用 | |
| fxp0 | 管理インターフェース | |
| lo0 | ループバック・インターフェース |
インターフェース構成
これらの構成のレガシー・アーキテクチャーでは、Ubuntu ホスト・ハイパーバイザー上の Linux ブリッジングを使用していました。 後に IBM のゲートウェイはアーキテクチャーが新しくなり、ホストの SR-IOV を使用するようになりました。 これに伴い、多くのケースで vSRX 構成のインターフェース・マッピングが変更されました。 vSRX が以下のいずれかであるかによっても、インターフェース構成は異なります。
- 10G または 1G
- スタンドアロンか高可用性か
- パブリックおよびプライベートか、プライベートのみか
- vSRX のバージョン
- 15.1 ベースの vSRX はすべて、レガシー・アーキテクチャーを使用
- 一部の 18.4 ベースの vSRX もレガシー・アーキテクチャーを使用します。
以降のセクションでは、レガシー・アーキテクチャーと最新アーキテクチャーの両方について詳しく説明します。
vSRX 高可用性インターフェース (最新アーキテクチャー)
| インターフェース | 10G Pub+Priv | 10G Priv のみ | 1G Pub+Priv | 1G Priv のみ |
|---|---|---|---|---|
| ge-0/0/0 | fab0 | fab0 | fab0 | fab0 |
| ge-0/0/1 | reth0 | reth0 | reth0 | reth0 |
| ge-0/0/2 | reth0 | reth0 | reth0 | reth0 |
| ge-0/0/3 | reth1 | reth2 | reth1 | reth2 |
| ge-0/0/4 | reth1 | reth2 | reth1 | reth2 |
| ge-0/0/5 | reth2 | fab0 | reth2 | fab0 |
| ge-0/0/6 | reth2 | 無 | reth2 | 無 |
| ge-0/0/7 | reth3 | 無 | reth3 | 無 |
| ge-0/0/8 | reth3 | 無 | reth3 | 無 |
| ge-0/0/9 | fab0 | 無 | fab0 | 無 |
| ge-7/0/0 | fab1 | fab1 | fab1 | fab1 |
| ge-7/0/1 | reth0 | reth0 | reth0 | reth0 |
| ge-7/0/2 | reth0 | reth0 | reth0 | reth0 |
| ge-7/0/3 | reth1 | reth2 | reth1 | reth2 |
| ge-7/0/4 | reth1 | reth2 | reth1 | reth2 |
| ge-7/0/5 | reth2 | fab1 | reth2 | fab1 |
| ge-7/0/6 | reth2 | 無 | reth2 | 無 |
| ge-7/0/7 | reth3 | 無 | reth3 | 無 |
| ge-7/0/8 | reth3 | 無 | reth3 | 無 |
| ge-7/0/9 | fab1 | 無 | fab1 | 無 |
vSRX スタンドアロン・インターフェース (現行アーキテクチャー)
| インターフェース | 10G Pub+Priv | 10G Priv のみ | 1G Pub+Priv | 1G Priv のみ |
|---|---|---|---|---|
| ge-0/0/0 | ae0 | ae0 | ae0 | ae0 |
| ge-0/0/1 | ae1 | ae0 | ae1 | ae0 |
| ge-0/0/2 | ae0 | 無 | ae0 | 無 |
| ge-0/0/3 | ae1 | 無 | ae1 | 無 |
vSRX 高可用性インターフェース (レガシー・アーキテクチャー)
| インターフェース | 10G Priv+Pub | 10G Priv のみ | 1G Priv + Pub | 1G Priv のみ |
|---|---|---|---|---|
| ge-0/0/0 | fab0 | fab0 | fab0 | fab0 |
| ge-0/0/1 | reth0 | reth0 | reth0 | reth0 |
| ge-0/0/2 | reth0 | reth0 | reth2 | reth2 |
| ge-0/0/3 | reth1 | reth2 | reth1 | 使用されていません。 |
| ge-0/0/4 | reth1 | reth2 | reth3 | 使用されていません。 |
| ge-0/0/5 | reth2 | 使用されていません。 | 無 | 無 |
| ge-0/0/6 | reth2 | 使用されていません。 | 無 | 無 |
| ge-0/0/7 | reth3 | 使用されていません。 | 無 | 無 |
| ge-0/0/8 | reth3 | 使用されていません。 | 無 | 無 |
| ge-7/0/0 | fab1 | fab1 | fab1 | fab1 |
| ge-7/0/1 | reth0 | reth0 | reth0 | reth0 |
| ge-7/0/2 | reth0 | reth0 | reth2 | reth2 |
| ge-7/0/3 | reth1 | reth2 | reth1 | 使用されていません。 |
| ge-7/0/4 | reth1 | reth2 | reth3 | 使用されていません。 |
| ge-7/0/5 | reth2 | 使用されていません。 | 無 | 無 |
| ge-7/0/6 | reth2 | 使用されていません。 | 無 | 無 |
| ge-7/0/7 | reth3 | 使用されていません。 | 無 | 無 |
| ge-7/0/8 | reth3 | 使用されていません。 | 無 | 無 |
vSRX スタンドアロン・インターフェース (レガシー・アーキテクチャー)
| インターフェース | 10G Pub+Priv | 10G Priv のみ | 1G Pub+Priv | 1G Priv のみ |
|---|---|---|---|---|
| ge-0/0/0 | ae0 | ae0 | ge-0/0/0 | ge-0/0/0 |
| ge-0/0/1 | ae1 | ae0 | ge-0/0/1 | 無 |
| ge-0/0/2 | ae0 | 無 | 無 | 無 |
| ge-0/0/3 | ae1 | 無 | 無 | 無 |