Juniper Networks SSG Series ナレッジベース Part2

1NetScreenに保存されている情報 (ライセンス情報 / 設定情報など) をSCPで取得することはできますか?
最終更新日 : 2005-12-28
初版 : 2005-12-28
ver : 1.0.0

NetScreenのFlashメモリに保存されている情報をSCPで取得することができます。ただし、ScreenOS 5.0以降のバージョンを使用する必要があります。

まず、NetScreenでSCPを利用できるように設定してください。
WebUIの場合メニューからConfiguration > Admin > Managementを選択します。Enable SCPにチェックを入れて、Applyボタンをクリックしてください。CLIの場合

netscreen-> set scp enable [Enter]

NetScreen内の取得可能なファイルは、次のコマンドで確認できます。


ns50-> get file [Enter]
flash:/envar.rec 45
flash:/golerd.rec 1220
flash:/dnstb.rec 1
flash:/ns_sys_config 2867
flash:/$lkg$.cfg 1954
flash:/dhcpservl.txt 0
flash:/license.key 361
flash:/expire.rec 23
flash:/attacks.sig 114544
ns50->

(ScreenOS 5.0.0r10での出力例)

たとえば、UNIXのscpコマンドでNetScreenにあるlicense.keyをlicense.txtというファイル名で取得する場合は、次のように行います。以下の例は、NetScreenのユーザ名がnetscreenで、IPアドレスが192.168.1.254に設定されている場合です。


$ scp netscreen@192.168.1.254:license.key ./license.txt[Enter]
netscreen@192.168.1.254′s password: (passwordを入力)
license.key 100% 361 0.4KB/s 00:00
参考 : http://kb.juniper.net/KB4278
2‘Rejected an initial Phase 1 packet from an unrecognized peer gateway’ というメッセージは、なにを意味していますか?
最終更新日 : 2005-12-28
初版 : 2005-12-28
ver : 1.0.0

このメッセージには、いくつかの理由が考えられます。
NS-Remoteを利用したDial-up VPN接続の場合、リモートクライアントのIKE IDと、接続先のNetScreenに定義されたDial-up UserのIKE IDが、 一致していない可能性があります。
NetScreenで定義したDial-up UserのIKE IDとリモートクライアントで設定されているIKE IDを確認してください。
対向のVPNデバイスのゲートウェイアドレスの設定が誤っている可能性があります。接続先のIKEゲートウェイアドレスを確認してください。
VPNトンネルの片方で動的なアドレスを利用しているときは、Peer IDの設定が誤っている可能性があります。動的なアドレスを利用している側のLocal IDと固定アドレスを利用している側で設定されているPeer IDが一致していることを確認してください。
NetScreenのIKE Phase1 Gatewayの設定で、Outgoing Interface、つまりIKEのパケットが送出するインタフェースの設定が誤っている可能性があります。 WebUIのVPNs > AutoKey Advanced > Gateway
の設定画面でOutgoing Interfaceを確認してください。
3IKE Phase1における ‘Rejected Proposals’ というメッセージはなんですか?
最終更新日 : 2005-12-28
初版 : 2005-12-28
ver : 1.0.0

メッセージが出力されたNetScreenで定義されているPhase1 Proposalに対向から受け取ったProposalがないため、それを破棄したものです。通常は、VPNトンネルの接続をするNetScreen同士で、Phase1 Proposalが合致していないことを示しています。

このメッセージが出力された場合には、VPNトンネルの両側の装置で定義されているPhase1 Proposalの内容に不一致がないことを確認してください。
4VPNトンネルの数え方は?
最終更新日 : 2005-12-28
初版 : 2005-12-28
ver : 1.0.0

IKEのVPNトンネルは、トンネルごとに複数のポリシーを定義することができます。トンネルを含むネットワークごとに、ひとつのSA (Security Association) が構成されます。したがって、VPNトンネルごとに複数のSAがあり得ます。一般的なSite-to-SiteのVPNトンネルであれば、トンネルの数と定義されたIKE Gatewayの数は、等しくなります。

Dial-up VPNユーザによるトンネルの数え方は異なります。Dial-up VPNのユーザがVPN接続しているときは、ユーザごとにひとつのIKE Gatewayとみなします。たとえば、Dial-up VPNグループを使う場合に、IKEの定義はひとつのVPN Gatewayとして数えることができますが、複数のDial-upユーザが、VPNトンネルに接続しているときには、各々が別のトンネルを使用します。
5set ike member-sa-hold-timeコマンドはなにに使うのですか?
最終更新日 : 2005-12-28
初版 : 2005-12-28
ver : 1.0.0

これは、Dial-upユーザに割り当てられたSAが使われなくなったときに、NetScreenがそれを維持する時間を定義するために使用するコマンドです。デフォルト値は60分ですが、最小では3分と設定することができます。
6ScreenOS 5.0から 4.xにダウングレードするにはどうすればよいですか?
最終更新日 : 2006-03-17
初版 : 2005-11-25
ver : 1.0.1


ダウングレード作業に必要なもの

ScreenOS 4.0.xイメージファイル
コンソールケーブル
ターミナルソフトウエアが利用可能なコンピュータ
TFTPサーバ (上記コンピュータでもかまいません)


ダウングレード作業における注意事項

リモートからの作業も可能ですが、設定が引き継がれないため、リモートからの接続を維持できなくなります。したがってローカルでの作業を推奨します。
ダウングレード実行中は、絶対に電源を落とさないように注意してください。
作業前には、必ず設定のバックアップを取得しておいてください。ただし、ScreenOS 4.0.xでは5.0.0のConfigを利用することはできません。


ダウングレード作業手順

コンピュータをNetScreenに接続してください。 シリアルケーブルをNetScreenのコンソールポートに接続します。
UTPケーブルをイーサネットインタフェースに接続します。TFTPサーバにアクセスできるように同じサブネットに接続してください。

TFTPサーバディレクトリにScreenOS 4.0.xのイメージファイルが格納されていることを確認してください。
TFTPサーバを起動してください。
ターミナルソフトウエア (TeraTermなど) を用いてNetScreenにrootまたはread-write権限でログインしてください。
CLIで次のコマンドを実行してください。

exec downgrade [Enter]

以下の問いが表示されます。

Are you sure you want to downgrade the loader and the file system?([y]/n)

“y” を入力してから [Enter] をタイプして先に進みます。

続いて以下の問いが表示されます。

Do you want to continue the downgrade operation?([y]/n)

ここも “y” を入力して [Enter] をタイプします。

再起動が開始されたら、画面の出力に注意してください。

Hit any key to run loader

上記のメッセージが表示されたら、任意のキーをタイプしてください。

“Boot File Name” にScreenOSイメージファイル名を入力してください。

Boot File Name

“Self IP Address” にTFTPサーバにアクセスするためのNetScreenのIPアドレスを入力してください (UTPケーブルを接続したインタフェースのアドレスです) 。

Self IP Address

“TFTP IP Address” にTFTPサーバのIPアドレスを入力してください。

TFTP IP Address

[Enter] キーをタイプすると以下の問いが表示されます。

Save to on-board flash memory?([y]/n)

“y” を入力してください。

続いて以下の問いが表示されます。

Run downloaded system image? ([y]/n)

“y” を入力してから [Enter] をタイプしてください。

ここでScreenOS 4.0.xで再起動します。再起動が終了したら、ダウングレードは終了です。参考:ダウングレード実行画面サンプル

exec downgrade (手順5)
Are you sure you want to downgrade the loader and the file system? y/[n] y (手順6)
***************************************************************************
Warning! During the downgrade operation, ScreenOS will first try to restore the configuration using the LKG file. If you do not want to use the LKG file, remove it by issuing the “delete file flash:/$lkg$.cfg” command before you proceed with the downgrade.
Warning! If you are not directly connected to this NetScreen device through a console cable, you may not be able to load ScreenOS 4.0.X firmware after the downgrade. The reason being that after a successful downgrade, the device restarts automatically and you must interrupt the device during restart to load ScreenOS 4.0.X.
Before you execute the downgrade command, we recommend that you save a copy of ScreenOS 4.0.X onto the NetScreen device.
You can do this using the following command: “save software from tftp to flash”.
***************************************************************************

Do you want to continue the downgrade operation? y/[n] y (手順7)

ade could result in loss of data.
……..
Moving files from one file system to the other file system.
Program flash (0,3538944) …
++++++++++++++++++++++++++done
Writing 3407872 bytes of data to flash memory.
……………………..
All files were successfully moved from one file system to the other.

The downgrade of the file system is complete.
The file system was sucessfully downgraded. You can now install the ScreenOS 4.0.X firmware.

NetScreen NS-25/50 Boot Loader Version 3.0.0 (Checksum: D1C6421F)
Copyright (c) 1997-2003 NetScreen Technologies, Inc.

Total physical memory: 128MB
Test – Pass
Initialization – Done
Model Number: NS-50

Hit any key to run loader ┐
Hit any key to run loader │ (手順8) ここで任意のキーをタイプ
Hit any key to run loader ┘

Serial Number [0097102004000355]: READ ONLY
HW Version Number [4010]: READ ONLY
Self MAC Address [0010-db83-2130]: READ ONLY
Boot File Name [ns50ns25.5.0.]: ns50ns25.4.0.3r8.0 (手順9)
Self IP Address [192.168.229.130]: 192.168.229.130 (手順10)
TFTP IP Address [192.168.229.22]: 192.168.229.22 (手順11)

Save loader config (56 bytes)… Done

Loading file “ns50ns25.4.0.3r8.0″…
atatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatat
atatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatat
(中略)
atatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatat
atatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatat

Loaded Successfully! (size = 3,397,607 bytes, transmit rate = 202KB/s)

Ignore image authentication!

Save to on-board flash memory? (y/[n]) Yes! (手順12)

Program flash (address=0xf8000000, size=3397607)… ++++++++++++++++++++++++++ Done!

Run downloaded system image? ([y]/n) Yes! (手順13)

Start loading…
………………………………………………………..
………………………………………………………..
………………………………………………………..
………………………………………………………..
…………………………………………………
Done.

NetScreen Technologies, Inc
Copyright, 1997-2003

Version 4.0.3r8.0
Load Manufacture Information … init manufacture info Done
Load NVRAM Information … (5.0)Done
Verify ACL register default value (at hw reset) … Done
Verify ACL register read/write … Done
Verify ACL rule read/write … Done
Verify ACL rule search … Done
MD5(“a”) = 0cc175b9 c0f1b6a8 31c399e2 69772661
MD5(“abc”) = 90015098 3cd24fb0 d6963f7d 28e17f72
MD5(“message digest”) = f96b697d 7cb7938d 525a2f31 aaf161d0
Verify DES register read/write … Done
Flash: Intel 28F640J3A 17

Install modules (00508e48,007fab1c) … done(64)
load dns table . Done
System config (1940 bytes) loaded
Load System Configuration …………………………………………………Done

login: ethernet1 interface change state to Up
System change state to Active(1)

login: netscreen
password:
ns50->
7VPN Monitorオプションの下にあるRekeyオプションとは?
最終更新日 : 2005-11-25
初版 : 2005-11-25
ver : 1.0.0

これは、Phase2のAdvanced設定画面で設定することができます。VPNトンネルのダウンが検知されたときに、IKEPhase2のRekeyをNetScreenに実行させるためのものです。

この機能を有効にすることによって、VPN MonitorがVPNトンネルのダウンを検知すると、VPN Monitorは、Rekeyを開始します。

これと類似の機能にIKE heartbeatがありますが、これは、VPN Monitorの機能とは関係ありません。
8IKE HeartbeatとVPN Monitorの違いとは?
最終更新日 : 2005-11-25
初版 : 2005-11-25
ver : 1.0.0

IKE HeartbeatとVPN Monitorは、いずれもVPNトンネルを維持することを目的とした機能ですが、 次のような違いがあります。

IKE Heartbeatは、一般的にはPolicy-Based VPNの設定で用います。また、VPN Monitorは、一般的にはRoute-Based VPNの設定で使用します。

IKE Heartbeatは、VPNトンネルの可用性を検知するためにHeartbeatパケットを透過的に送信するのに対して、VPN MonitorではICMPエコーとレスポンスが利用されます。

いずれも、VPNトンネルの障害を検知することを目的とした機能であり、トラフィックがない場合でも、VPNトンネルを自動的に維持しようとします。

Policy-Based VPNにおいて、IKE Heartbeat機能を用いる場合には、その両側のVPN装置で、この機能を有効にしなければなりません。

VPN Monitorは、Route-Based VPNで使用することで、Policy-Based VPNにおけるIKE Heartbeatと同様の機能を提供します。VPN Monitorが使用されているRoute-Based VPNでは、VPNトンネルのダウンが検知されると、それに関連付けられたTunnel Interfaceもダウンさせることができます。これによって、VPN Tunnelのステータスと経路情報の関連づけることが、可能になります。
9Tunnel InterfaceのステータスはVPN MonitorやRekeyオプションによってどのように変化しますか?
最終更新日 : 2005-11-25
初版 : 2005-11-25
ver : 1.0.0

まず、VPN MonitorとRekeyオプションを両方ともに無効とした場合には、VPNトンネルのステタースを検知する機能が働かないため、常にReady状態となります。

VPN Monitorだけを有効にしたときのReady状態は、VPNのSAが有効となるためのトラフィックを待機していることを示していますが、SAがアクティブになるためのトリガーが必要です。SAがアクティブになると、Tunnel InterfaceのステタースはUpに変化しますが、SAが失効することで、VPNがダウンとなり、Tunnel InterfaceもDownステータスに変化します。

VPN MonitorとRekeyのオプションを両方とも有効にした場合には、SAのアクティブな状態を維持しようとします。VPN確立のトリガーとなるトラフィックは必要なく、SAが失効するとRekeyを自動的に開始して、アクティブなSAを維持しようとします。

したがって、VPNの接続が正常に確立される状況であるかぎりは、Rekeyが自動的に繰り返されて、VPNトンネルのアクティブな状態が維持されます。
10NetScreenのセッションまたはサービスのタイムアウトはどのように機能しているのですか?
最終更新日 : 2005-11-25
初版 : 2005-11-25
ver : 1.0.0


NetScreenのセッションまたはサービスのタイムアウトのカウントは、 次のようなフローで実行されます

セッション開始

タイムアウトカウンタ起動

セッションはアクティブか? ─YES→ 10秒ごとにテーブルを更新
NO

10秒以上待機状態が継続するとカウントダウンを開始
このときにNetScreenは、ポート番号によってサービスを認識します。TCPセッションの場合には、3ウェイハンドシェイクの初回は20秒でタイムアウトして、それ以降のタイムアウト値は30秒に変更されます。

確立されたTCPセッションがクローズするまでのフローは、次のようになっています。
TCP セッションが確立されてデータが転送

サーバが TCP終了処理を開始

NetScreenは、カウントダウンタイマに1 CPU tick (10 秒) をセットして、TCPセッションをマーク↓ガーベージコレクションを規則正しく10秒ごとに処理
同じセッションのパケットが到着しなければ、セッションを破棄

タイムアウトのデフォルト値は、次のとおりです。

TCP : 1800 sec (30 min)
UDP : 60 sec
ICMP : 60 sec

ただし、TCPの中で、HTTPは 300 sec (5 min) 、NetMeeting は 2,160 sec (360 min) のように、サービスごとに異なるものもあります。
11Retransmission Errorのメッセージの意味は?
最終更新日 : 2005-11-25
初版 : 2005-11-25
ver : 1.0.0

このメッセージは、対向のリモートが到達不能または、SAリクエストに応答がないことを意味しています。ローカルのルータとIPsec接続の対向とのIPレベルでの接続性を確認してください。
12No Policy Exists for the Proxy IDというメッセージの意味は?
最終更新日 : 2005-11-25
初版 : 2005-11-25
ver : 1.0.0

接続されるVPN装置間のIKE Phase2でIDとして使用されるAddressおよびServiceの定義内容に相違があることを示しています。VPN装置同士は、互いにIDとして使用されるAddressやServiceが 一致している必要があります。

Policy Based VPNの場合には、VPNをバインドしたPolicyの定義内容が、Phase2のIDとして利用されます。つまり、接続するVPN同士は、互いにVPNで使用するPolicyのSource Address、Destination AddressおよびServiceの定義を一致させなければなりません。VPNで使用するPolicyでAddress Groupを使用すると、IDは、0.0.0.0/0が使用されることにも留意する必要があります。

Route Basded VPNの場合には、Phase2のAdvanced設定画面で任意の設定を行うことができます。任意のAddressとServiceを定義することができますが、この場合にも接続するVPN装置同士で一致させておく必要があります。

Route Based VPNの設定をしたNetScreenをPolicy Based VPNが定義されたNetScreenに接続する場合には、PoliyBasedで定義されているNetScreenのPolicy定義内容に一致させる必要があります。

なお、次のCLIコマンドを実行することで、IKE Phase2のIDチェックを省略することが可能になります。


unset ike poliyc-checking [Enter]

これによって、Address GroupやService Groupを利用したPolicyの場合も、IKE Phase2のIDチェックが行われませんので、IKEのネゴシエーションを成功させることができます。ただし、セキュリティの低下につながりますので、このコマンドを実行することは推奨しません。
13NetScreenのシステムクロックを手動でアップデートする方法はありますか?
最終更新日 : 2006-01-05
初版 : 2005-11-25
ver : 1.1.0

次のようにCLIコマンドを実行して、アップデートすることができます。


netscreen-> exec ntp update [Enter]
Trying to contact NTP server (Press Control-C to abort)…
NTP Response: Server name reached xxx.xxx.xxx.xxx.
Adjustment received: -804 milliseconds (-1 seconds).
Authentication mode was: None. Do you want to update system clock? y/[n] y

ただし、あらかじめNTPサーバが定義されている必要があります。NTPサーバは、WebUIの Configuration > Date/Time画面で定義してください。

CLIコマンドによる基本的な設定は、次のとおりです。


set clock dst-off [Enter] <—————————– 1
set clock ntp [Enter] <——————————— 2
set clock timezone (number) [Enter] <——————- 3
set ntp server (ip_addr|fqdn) [Enter] <—————– 4
set ntp server backup1 (ip_addr|fqdn) [Enter] <——— 5
set ntp server backup2 (ip_addr|fqdn) [Enter] <——— 5
set ntp interval (number) [Enter] <——————— 6
set ntp max-adjustment (number) [Enter] <————— 7
日本国内の場合には、夏時間の調整を無効にします。
NTPによる時刻同期を有効にします。
世界標準時 (GMT) のタイムゾーンを定義します。
日本国内の場合には、9を設定してください。
set ntp timezoneコマンドを用いても設定することができます。
NTPサーバを定義します。IPアドレスまたはFQDNで指定することができます。
FQDNで指定する場合は、NetScreen自体にDNSの設定が必要です。
バックアップNTPサーバを2台まで設定することができます。
ただし、ScreenOS 4.X以前のバージョンではサポートされていません。
NTP時刻同期のインターバルを定義します。
デフォルトの値は、10 (分) です。
設定可能な値の範囲は、1 − 1,440 (分) です。
インターバルのカウントは、システム起動時間が基準となります。
したがって、初回の時刻同期は設定した値と異なることがあります。
NTP時刻同期で調整する最大値を定義することができます。
デフォルトの値は、3 (秒) です。
設定可能な値の範囲は、0 − 3,600 (秒) です。
値に0を設定した場合には、無制限になります。
ただし、ScreenOS 4.X以前のバージョンではサポートされていません。
14セッション数を調べる方法は?
最終更新日 : 2005-11-24
初版 : 2005-11-24
ver : 1.0.0

CLIコマンドを利用して調べてください。


get session [Enter]

出力結果の先頭の行に次のようなセッション情報の概要が表示されます。


alloc 420/max 128000, alloc failed 0
↑ ↑ ↑
現在値 最大値 割り当て失敗

概要以下は、アクティブなセッションが個別に出力されます。

多数のセッションの中から特定のものを抽出する場合には、 前記のコマンドのうしろにオプションをつけて実行することで、 指定したものだけを出力させることができます。オプションには、発信元または宛先アドレスやサービスやプロトコルなどがあります。詳細については、コマンドリファレンスまたはCLIで以下のコマンドを実行してください。


get session ?[Enter]
15NetScreenの最大同時セッション数は?
最終更新日 : 2006-02-26
初版 : 2005-06-13
ver : 1.0.0
同時セッション数の上限は、デバイスおよびScreenOSのバージョンによって異なります。詳細については、次の表を参照してください (http://kb.juniper.net/KB5329より) 。

ScreenOS 3.0.x以前
動作モード NetScreen-5XP NetScreen-10/25 NetScreen-50 NetScreen-100 NetScreen-500
NATモード 1,024 4,096 8,192 128,000 250,000
ルートモード 2,048
ScreenOS 3.1.0以降
NetScreen-204/208 NetScreen-500
128,000 250,000
ScreenOS 4.0.0以降
NetScreen-5XP NetScreen-5XT NetScreen-25 NetScreen-50 NetScreen-100 NetScreen-204/208 NetScreen-500 NetScreen-5200/5400
2,048 2,048 4,096/8,000*1 8,192/32,000*2 128,000 128,000 250,000 1,000,000
*1 : ScreenOS 4.0.2では最大同時セッション数が8,000まで可能です。

*2 : ScreenOS 4.0.2では最大同時セッション数が32,000まで可能です。

ScreenOS 5.0.0以降
NetScreen-5XP NetScreen-5XT NetScreen-5GT/Extended NetScreen-25 NetScreen-50 NetScreen-204/208 NetScreen-500 ISG 1000/2000 NetScreen-5200/5400
2,000 2,000 2,000/4,000 16,000 64,000 128,000 250,000 512,000 1,000,000
ScreenOS 5.1.0以降
NetScreen-HSC NetScreen-5XT NetScreen-5GT/Extended NetScreen-25 NetScreen-50 NetScreen-204/208 NetScreen-500 NetScreen-5200/5400
1,000 2,000 2,000/4,000 32,000 64,000 128,000 250,000 1,000,000
16Session utilization has reached ##### のメッセージはなんですか? その対処方法は?
最終更新日 : 2005-06-13
初版 : 2005-06-13
ver : 1.0.0

アクティブなセッションの数が、アラーム (警報) のしきい値に達したことを知らせるメッセージです。NetScreenのセッションアラームのしきい値は、デフォルトでセッション数上限の90 %に設定されています。

セッション・アラームのしきい値は、次のコマンドで変更することができます。


set alarm threshold session ( percent | count ) < number >

オプションにpercentを指定した場合は、numberに 50 − 100 %の割合を数字で指定します。countを指定した場合には、numberでセッションの実数を指定します。セッションの実数を指定するときも、セッション数上限の50 − 100 %の範囲で指定します。

このメッセージが出力された場合の対処方法として、以下を検討してください。
セッション数のしきい値を増やす。
ScreenOSのバージョンを確認して、上限の多いライセンスにアップグレードする。
ハードウエアを上位モデルに交換する。

同時セッション数の上限は、デバイスおよびScreenOS のバージョンによって異なります。詳細については、NetScreenの最大同時セッション数は? を参照してください。
17The user limit has been exceededというメッセージはなんですか?
最終更新日 : 2005-06-13
初版 : 2005-06-13
ver : 1.0.0

NetScreenのライセンスで制限されているユーザ数を超過したことが示されています。

NetScreen-5XTとNetScreen-5GTのライセンスには、10ユーザ制限 (10 users) と 無制限 (unlimited number ofusers) のものがあります。10 usersライセンスの場合に、その制限を超えるとメッセージが出力されます。NetScreenを経由して、Trustゾーンで送受信をしているユーザが、IPアドレス単位でカウントされます。

10 usersライセンスのNetScreenでは、制限の対象となっているユーザのセッションを、次の手順で確認および削除することができます。
WebUIのメニューから Reports > Active Usersを選択してください。
表示されるリストでIPアドレスの数を確認してください。
不要なIPアドレスが含まれている場合には、Removeをクリックして削除してください。

また、ユーザ数のライセンスは、次の手順で確認することができます。
WebUIのメニューからConfiguration > Update > ScreenOS/Keysを選択してください。
License Informationの表示でCapacity:の行を確認してください。

これらの製品はすでに販売を完了しているため、制限を解除できるアップグレードライセンスをお求めいただくことはできません。Juniper SSG 5などの後継製品の購入をご検討ください。
18NetScreenの設定ファイル (Config File) を保存するにはどうすればよいですか?
最終更新日 : 2005-06-13
初版 : 2005-06-13
ver : 1.0.0

次の手順で設定ファイルを保存することができます。

以下の手順は、Windows XP上で、Internet Explorer 6.0を使用した例です。
WebUIメニューからConfiguration > Update > Config Fileを選択してください。
表示画面 (図-1) の [Save To File] ボタンをクリックしてください。


juniper_img_0061 図-1

「ファイルのダウンロード」ウィンドウが表示されます (図-2) 。[保存(S)] ボタンをクリックしてください。


juniper_img_0062 図-2

「名前を付けて保存」のウインドウが表示されます (図-3) 。
保存する場所 (I) を指定してください。
ファイル名 (N) のテキストボックスに、任意のファイル名を入力してください。
[保存(S)] ボタンをクリックしてください。



juniper_img_0063 図-3
「ダウンロードの完了」のウインドウが表示されます (図-4) 。[閉じる] ボタンをクリックすると、設定ファイルの保存は完了です。指定した場所にファイルが保存されていることを確認してください。



juniper_img_0064 図-4
19NetScreenのログインパスワードを失った場合にはどうすればよいですか?
最終更新日 : 2005-06-10
初版 : 2005-06-10
ver : 1.0.0

パスワードだけをリカバリする方法はありませんが、NetScreenの設定を、工場出荷状態に初期化することができます。

設定の初期化によって、設定されている内容はすべて消去されます。したがって、初期化を実行したあとは、改めてすべてを設定し直す必要があります。 NetScreenとコンピュータをコンソールケーブルで接続して、ハイパーターミナルやTeraTermなどのターミナルソフトを起動してください。
NetScreenの電源を投入します。
NetScreenが起動して、本体前面のステータスLEDが点滅した後に、ターミナルソフトに “login:” と出力されます。 ログインユーザ名の代わりに、NetScreenのシリアル番号を入力してください
続いて “password:” と出力されますので、ここでも同様にシリアル番号を入力してください。
注 : パスワードの入力時に、タイプした文字は、表示されません。


login: <デバイスのシリアル番号を入力>
password: <デバイスのシリアル番号を入力>

次のような確認メッセージが出力されますので、設定初期化を継続する場合は、”y” をタイプしてください。

!!! Lost Password Reset !!! You have initiated a command to reset the device to factory defaults, clearing all current configuration and settings. Would you like to continue? y/[n]

さらに、次のような確認メッセージが出力されますので、設定初期化を継続する場合は、”y” をタイプしてください。

!! Reconfirm Lost Password Reset !! If you continue, the entire configuration of the device will be erased. In addition, a permanent counter will be incremented to signify that this device has been reset. This is your last chance to cancel this command. If you proceed, the device will return to factory default configuration, which is: System IP: 192.168.1.1; username: netscreen, password: netscreen. Would you like to continue?
y/[n]

設定の初期化が実行されて、NetScreenが自動的に再起動します。
再起動後は、デフォルトのユーザ名netscreenとパスワードnetscreenを用いてログインすることができます。
20AVのライセンス期限を更新することができません。どうすればよいですか?
コンフィグのリストアは、一般的に階層構造形式のコンフィグで行いますが、set形式のコンフィグでもリストアは可能です。それぞれのリストア手順については次のとおりです。


■階層構造形式のコンフィグを使用するリストア方法

1.コンフィグレーションモードから下記コマンドを入力してください。
root@srx# load override terminal
2.下記メッセージが表示されるので、コピーしたコンフィグをCLI上にペーストしてください。
[Type ^D at a new line to end input]
3.階層構造形式のコンフィグをペースト後、Enterキーを押して改行してください。
4.Ctrl + Dキーを押してください。
5.エラーがなく”load complete”のみ表示されれば、正常にコンフィグが読み込まれています。エラーが出た場合、問題箇所を修正し、手順1からやり直してください。*1
6.念のため、showコマンドでコンフィグを確認してください。
root@srx# show
7.問題がなければcommitしてコンフィグを適用します。
root@srx# commit

■set形式のコンフィグを使用するリストア方法

1.コンフィグレーションモードから、下記コマンドを入力し、candidateコンフィグを全て削除します。
root@srx# delete
This will delete the entire configuration
Delete everything under this level? [yes,no] (no) yes
2.下記コマンドを入力してください。
root@srx# load set terminal
3.下記メッセージが表示されるので、コピーしたコンフィグをCLI上にペーストしてください。
[Type ^D at a new line to end input]
4.set形式のコンフィグをペースト後Enterキーを押して改行してください。
5.Ctrl + Dキーを押してください。
6.エラーがなく”load complete”のみ表示されれば、正常にコンフィグが読み込まれています。エラーが出た場合、問題箇所を修正し、手順1からやり直してください。*1
7.念のため、showコマンドでコンフィグを確認してください。
root@srx# show
8.問題がなければcommitしてコンフィグを適用します。
root@srx# commit

*1……やり直さずに終了する場合は、下記コマンドにてActiveコンフィグをCandidateコンフィグに読み込んで下さい。

root@srx# rollback 0