NetScreenのリモートVPN(Remote VPN)設定手順です。この記事では、VPNクライアントソフトである「NetScreen-Remote」のインストールおよび設定についての情報は割愛しています。『 NetScreen リモートVPN設定手順 』■ 要件およびネットワーク構成【 要件 】NetScreenは固定グローバルIPアドレス環境リモートユーザからのVPNアクセスは、すべてのサービスの通信を許可IKE VPN 共有鍵「hogehogepassword」【 NetScreen構成 】グロ...
curl + jq コマンドを用いたCUIによるメディアサーバKODIの操作について
メディアサーバKODIをリモート操作する場合、Chorusという優れたウェブインターフェイスの利用が可能ですが、本記事ではKODIのライブラリに登録されている音楽データをCUIにてリモート操作する方法についての情報を記載しています。なお、KODIのインストールおよび設定についての情報は割愛しています。【 curl + jq コマンドでメディアサーバKODIをリモート操作するコマンドサンプル 】概要====CUIのcurlコマンドで、KODI側であら...
NetScreen LAN間VPN設定手順 ~ポリシーベース~
NetScreenのVPNでも構成例が多いポリシーベースのLAN間VPN設定手順です。『 NetScreen LAN間VPN設定手順 ~ポリシーベース~ 』■ 要件およびネットワーク構成【 要件 】固定グローバルIPアドレス環境東京-大阪間で、すべてのサービスの通信を許可IKE VPN 共有鍵「hogehogepassword」VPN以外のインターネット通信は、各エリアから直接通信【 東京エリア構成 】グローバルIPアドレス:1.1.1.1社内側ネットワーク(Trust側):192.16...
NetScreen LAN間VPN設定手順 ~ルートベース~
NetScreenのVPNトンネルを介して、OSPFなどのルーティングプロトコルを通したいという要望がある場合は、ポリシーベースVPNではなく、ルートベースVPNを構成します。なお、ルートベースVPNの基本設定部分は、ポリシーベースVPNと大きな違いがないため、本記事では、必要な設定箇所のみ記述しています。ポリシーベースVPNについては、本文末の「関連記事」をご参考ください。『 NetScreen LAN間VPN設定手順 ~ルートベース~ 』トン...
NetScreenの障害の際に良く使うコマンドです。get log eventインターフェイスUP/DOWNログなど、様々なイベントログの確認ができます。get alarm eventScreen機能による不正アクセス検知などのログが出力される場合があります。get performance cpu detail一定の時間内のCPUの平均値を確認できます。get performance session detail一定の時間内のセッションの平均値を確認できます。get performance memoryget memory errorメモリ...
FireWall-1のバージョンは次のコマンドで確認できます。# fw verThis is Check Point VPN-1(TM) & FireWall-1(R) NGX (R60) - Build 458FireWall-1カーネルのバージョンは次のコマンドで確認できます。# fw ver -kThis is Check Point VPN-1(TM) & FireWall-1(R) NGX (R60) - Build 458kernel: NGX (R60) - Build 458FireWall-1 SVN Foundation のバージョンは次のコマンドで確認できます。# cpshared_verThis is Check Point SVN ...
ログをテキストファイル(ASCIIファイル)にエクスポートするコマンドとして、
本記事の内容は、以下の環境を元に作成したものです。そのため、最新版のFireWall-1環境ではサポートされていない場合があります。RedHat7.2 (Kernel 2.4.9-31)FireWall-1 NG FP3【 FireWall-1をブリッジとして構成する方法 】ネットワーク構成図===============※)上記構成図は、FireWall-1のドキュメントより抜粋ネットワーク構成 補足==================
NVRAM パラメータの一つである、boot-file を kernel/unix に変更して、ブートし直せば、次回ブート時からは 32 bit にてブートします。NVRAM パラメータは、OS 起動中であれば、eeprom コマンドにて、PROMモードであれば、setenv コマンドにて変更可能です。eeprom コマンドによる変更# eeprom boot-file=kernel/unix# reboot setenv コマンドによる変更 ok setenv boot-file kernel/unixok booOS 起動後に以下のようにコマン...
ユーザホームディレクトリ($HOME)にある
UCD-SNMPを探していたのに、先にNET-SNMPを見つけてとりあえず、コンパイル、インストール。新しいSNMPはNETなのかい? まぁMIBが見れるツールなら、なんでもよし。snmpwalkやsnmptranslateを使うときに、いつも環境変数なんだっけー?なってことになるので覚書です。<複数のMIBディレクトリを指定する>$ export MIBDIRS=
NetScreenのHA(冗長化)構成での機器交換作業についてです。導入環境によって手順は様々だと思いますが、概ね以下の手順になるのではと考えます。【 HA構成での機器交換手順 】※交換機のコンフィグレーションはリストア済みとします。両方の機器でのNSRPのステータスの確認
NetScreenのNSRP設定のpreemptが有効のHA構成において、マスターの機器交換を行った場合は、その交換機がマスターとして自動で切戻されます。NSRP設定のpreemptが無効のHA構成において、マスターの機器交換を行った場合は、交換前のバックアップ機がマスターとして稼動し続けますので、交換機をマスターに変更したい場合は、手動で切戻しを実施する必要があります。手動で切戻しを行う場合は、
NetScreenのHA構成でのマスターとバックアップの確認方法について【 HA LEDによる確認 】緑: マスター橙: バックアップ赤: inoperableモード(異常な状態)消灯: HA未設定【 WebUI とコンソールからの確認 】WebUIでは、画面右上の
ScreenOS v5.0からv4.0へのダウングレードについて
ScreenOS v5.0からv4.0へのダウングレード(バージョンダウン)を行う場合は、
NetScreenに複数のライセンスがインストールされている場合は、Vsysライセンスのみをアンインストールすることは出来ません。そのため、一旦すべてのインストール済みのライセンスをアンインストール後、Vsys以外のライセンスを再インストールする必要があります。【 ライセンスのアンインストール 】アンインストールの前に
NetScreen-500以上の機器の環境では、Vsys機能を利用している場合があります。Vsys機能は別途ライセンスが必要となる機能ですが、Vsysライセンスは機器毎に異なるため、機器交換を行う場合は、別途交換機用のライセンスを用意する必要があります。以下は、Vsys関連コマンドの情報です。※16桁の***部分がライセンス値となります。【 Vsysライセンスの確認 】ns500-> get license-keyVsys key is ****************.Vsys: ...
NetScreenのVPNは、プロバイダから動的IPアドレスを取得している場合でも構成することが可能です。ただし、以下の条件が満たされている必要があります。一方のNetScreenは固定IPアドレスで構成されているVPN通信は、必ず動的IPアドレス側から通信が始まる設定は、通常のVPN設定とほとんど変わりないですが、以下の点がポイントとなります。固定IPアドレスのNetScreenは、対向側のNetScreenに対するフェーズ1設定で、Peer IDを設定...
NetScreenはVPN装置として、本社と各支店のハブ&スポーク構成での利用が多いと思います。業務ソフトを利用した接続はフルアクセスさせたいが、本社に対するウェブやメールの特定サービスのアクセスは特定の端末からのみ許可したい場合があります。もし、業務ソフトが使用する通信ポートが不明で、ポリシー制御が困難な場合は、次のようなポリシーを設定すると良いと思います。SouceDestinationServiceAction特定の端末本社サーバS...
NetScreenにてPPPoE接続を行っている環境で、NetScreenのDHCPサーバ設定を利用する場合。PPPoE設定内の以下のオプションを有効にしていると、PPPoE接続の際にISPから割り当てられるDNSアドレスが、DHCPサーバ設定内のDNSアドレスを上書きします。Automatic Update of DHCP Server's DNS Parametersユーザ環境のDNSアドレスをDHCPサーバ設定へ割り当てる場合は、このオプションが無効になっていることを確認しましょう。...
5XTおよび5GTシリーズには、「ポートモード」と呼ばれる機能があります。ポートモードには、次の種類があります。Trust-Untrustモード(デフォルト)Untrustインターフェースを持ち ポート1-4は、スイッチHUBとして設定され、2セグメント構成となります。Home-WorkモードUntrustインターフェイスを持ち、ポート1-2とポート3-4が別々の内部セグメントとして設定され、3セグメント構成となります。Dual-UntrustモードUntrustインタ...
ScreenOS 4.x系から最新OSへのバージョンアップについて
ScreenOS 4.x系から最新OS(Ver5.4)へのバージョンアップを行う場合は、直接最新OSを適用するのではなく、一旦 Ver5.0.0r10へバージョンアップを行った後、Ver5.4へバージョンアップします。ちなみに、Ver4.0.3以下のOSの場合は、次のバージョンアップ手順となります。Ver4.0.x -> Ver4.0.3 -> Ver5.0.r10 -> Ver5.4 【 補足 】NetScreen-500、ISG 2000 の場合に、ScreenOS 5.2以上にバージョンアップする場合は、事前にブートROM...
NetScreenのリストアを行う際、管理ユーザのパスワードがわからないということがあります。その際は、コンフィグの以下の行を削除して、リストアするとよいでしょう。set admin passwordまた、特定のセグメントからしかアクセスを許可していない場合があるので、以下の行にも注意します。set admin manager-ipまた、特定のインターフェイスからの管理サービスを制御している場合があるので、以下のような管理サービス用の行にも注...
ScreenOSバージョン4系統から5系統へのメジャーアップグレードでなければ、手順に大きな違いがでることは少ないでしょう。【 ScreenOS アップグレード手順 (TFTP) 】PCとNetscreenをシリアルとLANケーブルで接続しますPCのシリアルとNetscreenシリアルを専用シリアルケーブルで接続します。<LANケーブル>Netscreen5xp/xt trustポート:ストレートNetscreen25/50 e1ポート:クロスNetscreen204/208 e1ポート:ストレートNets...
障害によっては、NetScreenがリブートする際のDumpを取得する場合あります。通常は、次の2つの方法があります。コンソール端末を接続する常にNetScreenにコンソール接続して採取する方法です。もっとも確実な方法です。コンパクトフラッシュに出力するフラッシュカードが使える機種のみ有効な方法です。フラッシュカードを利用するために「set core-dump flash」コマンドが必要です。...
次のコマンドで、CPUとセッションの負荷状況を確認することが可能です。get performance cpuget performance cpu detailget performance sessionget performance session detailns5gt-> get performance cpu Average System Utilization: 1%Last 1 minute: 2%, Last 5 minutes: 2%, Last 15 minutes: 2%ns5gt-> get performance cpu detailAverage System Utilization: 1%Last 60 seconds:59: 2 58: 2 57: 2...
次のアラームレベルのイベントが発生した場合に、Alarm LEDが赤く点滅します。emergencyalertcritical概ね以下のようなイベントが発生して、LEDが点滅することが多いと思われます。misc fw hw (fan, power supply, etc) failure.syn attack detected.tear drop attack detected.ping of death attack detected.ip spoofing attack detected.pak with ip source route detected.land attack detected.icmp flood attack detected.ud...
機器の初期化などを行った場合は、NetScreenの初期アカウント名とパスワードがデフォルトの状態に戻ります。以下、デフォルトの情報です。アカウント: netscreenパスワード: netscreen初期IPアドレス: 192.168.1.1...
機器の種類によって、用意されているLEDに違いがありますが、代表的なLEDを以下にまとめてみました。名称働き/LED表示POWER緑点灯:電源供給の正常時赤点灯:異常STATUS(1)緑点灯:ブートプロセッサ起動中緑点滅:正常STATUS2通常 未使用NS25のHA構成時は、HA LEDとして動作HA緑点灯:Primary動作橙点灯:Backup動作消灯:ハードウェア認識無しALARM赤点灯:重大アラーム橙点灯:Majorアラーム(メモリ不足やCPU稼働率が高い...
NetScreenにコンソール接続できない場合に有効だと思います。作業のためには、クリップなどが必要です。【 作業手順 】以降の作業は、STATUS LEDの色の状態を確認しながら、初期化用ピンホールの押し込みを行います。No.STATUS LED作業内容1緑機器正常動作中、押し込み開始2オレンジ押し込みを続ける3緑一旦押し込みを解除し、約5秒待ちます4緑再度押し込みを続ける5消灯押し込みを解除(機器自動再起動)5緑機器起動完了...
【 初期化方法 (シリアルナンバー) 】起動済みのNetScreenと管理端末をシリアルケーブルでコンソール接続しますログイン名とパスワードに、機器のシリアル番号を入力します質問メッセージには
「ブログリーダー」を活用して、なにかのさなぎさんをフォローしませんか?
指定した記事をブログ村の中で非表示にしたり、削除したりできます。非表示の場合は、再度表示に戻せます。
画像が取得されていないときは、ブログ側にOGP(メタタグ)の設置が必要になる場合があります。
