Juniper SRXの設定をしていて調べたつまんない疑問などをメモします。
よく見るリンク
- SRX Getting Started - Configuration Examples & Troubleshooting (JumpStation)
- SKY ATP - Configuration and Troubleshooting (JumpStation)
vlanとirbの違い
機能はほぼ一緒、最近のJuniper機種はirbを使ってる。
Virtual Router環境でDHCPサーバーを動かす
バーチャルルーター環境でrouting instanceを作ってその中でDHCPを動かす場合、set routing-instances の中に設定を記述する必要がある。
例: set routing-instances hoge-vr system services dhcp-local-server
Dynamic VPNをuntrustじゃないzoneに配置したい
できないそうです。
IDPのPredefined IDP Policy Templatesを上書きしたい
set security idp active-policy Recommended とか設定していて、一部例外を作りたいなーと思って設定してcommitすると設定が消えていて驚きますが、そういうことなんだそうです。
ポリシーテンプレートをコピーして別の物を作るか、commit scriptを無効にする必要があります。
- [SRX] The IDP policy change has been disappeared after commit.
- [SRX/IDP] How to copy or change recommended policy
IDPのポリシーに例外を作りたい
set security idp idp-policy <policy> rulebase-exempt で設定します。
前述のように、Predefined IDP Policyを変更したい場合は一旦コピーする等が必要です。
設定例
set security idp idp-policy mypolicy rulebase-exempt rule permit-1 match from-zone any
set security idp idp-policy mypolicy rulebase-exempt rule permit-1 match source-address any
set security idp idp-policy mypolicy rulebase-exempt rule permit-1 match to-zone any
set security idp idp-policy mypolicy rulebase-exempt rule permit-1 match destination-address any
set security idp idp-policy mypolicy rulebase-exempt rule permit-1 match attacks predefined-attacks HTTP:APACHE:HTTPD-MOD-CACHE-DOS
WiFiで接続しているMacから再接続できない
WiFiで接続しているMac(おそらくPCも)から接続していて、一旦閉じて時間経過してから再度開くと、WiFiは通っているのにSRXを通過できないことがある。
arpテーブルからWiFi接続しているMacのMACアドレスが消えていて、arpが更新されないのが原因。SRXのarpテーブルを更新しようにも、SRXはデフォルトでGratuitous ARPを聞かないので更新されない。
以下のコマンドで、Gratuitous ARPを聞くようになる。
set system arp passive-learning