Juniper Networks SSG Series ナレッジベース Part3

1ScreenOS 5.1.0で追加・強化された機能の概要
最終更新日 : 2005-02-08
初版 : 2005-02-08
ver : 1.0.0
ScreenOS 5.1.0で追加・強化された機能の中で主要なものの概要を紹介しています。詳細についてはリリースノートを参照してください。

Deep Inspection (DI) Enhancements
一般的なP2Pプロトコルやメッセンジャープロトコル、MSRPC、SMB/NetBIOSに対してDI機能が使えるようになりました。
ただし、DIを使用した場合は、処理できる同時セッション数が減りますので注意してください。
DIP
DIPが機能強化され、Incomingのトラフィックではじまるセッションの動的宛先アドレスとポート番号変換をサポートしています。これによりSIPやH. 323のようにIncomingトラフィックで動的な宛先のアドレスとポート番号の変換が必要なアプリケーションに対応します。
Dynamic DNS
Dynamic DNSに対応しました。
MTU on Tunnel Interface
トンネルインターフェイスでMTUサイズを設定することができるようになりました。この機能では、トンネルインタフェースで受信したパケットが、設定されたMTUサイズを超過した場合にのみ、パケットをフラグメントします。
Multiple PPPoE Sessions Over a Single Interface
1つの物理インタフェース上に、複数のPPPoEセッションを設定できるようになりました。
Multicast Routing
次のMulticast Protocolをサポートします。
  • Internet Group Management Protocol(IGMP)Version1, 2および3
  • Protocol Independent Multicast - Sparse Mode (PIM-SM)
  • Protocol Independent Multicast - Source Specific Multicast (PIM-SSM)
※これまでの4.0.1-MCASTではIGMP v3とPIM-SSMは未対応でした。

既存機能の制限が変更されたもの
対象デバイス SOS 5.0 SOS 5.1
VPNトンネル数 NetScreen-50 100 500
NetScreen-25 25 125
最大セッション数 NetScreen-25 16,000 32,000
新規セッション数/秒 NetScreen-208/204 9,000 11,500
OSPF/BGPインスタンス数 NetScreen-208/204/50/25/5GT/5XT 2 3
RIPv2インスタンス数 NetScreen-500 25 256
NetScreen-208/204 2 8
NetScreen-50/25/5GT/5XT 2 3
2Received a bad SPIというメッセージは? その対処方法は?
最終更新日 : 2005-02-07
初版 : 2005-02-07
ver : 1.0.0


メッセージの意味Received a bad SPIメッセージは、不適切なSPI (Security Parameters Index) 番号 のIPsecパケットをNetScreenが検出したことを示しています。想定されるおもな原因VPNトンネル両端のVPN装置が再ネゴシエーションを同時に開始したときに、SPIの不一致が生じてしまいメッセージが出力されることがありますが、これはNetScreenの正常な動作によるものです。
NATデバイス越しに形成されたVPNトンネルの場合に、発信元アドレスがNATで変更されて、SPIの不一致が生じてしまうために出力されることがあります。
出力されたときに対処方法発信元アドレスを確認してください。VPNトンネルの対向側VPNデバイスのアドレスであれば問題はありません。しかし、心当たりのないアドレスで継続される場合にはアドレスの所有者に問いあわせてください。
おもな原因の1.で頻繁に出力されるときは、SAのソフトライフタイムを短くすると出力数を減らせる場合があります。次のCLIコマンドで、SAのソフト・ライフタイムを任意の値に設定することができます。

set ike soft-lifetime-buffer <値 (秒)> [Enter]

ただし、ScreenOS 4.0以降では、デフォルト値が10秒とあらかじめ低い値に設定されていますので変更する必要はほとんどありません。

おもな原因の2.の場合には、応急的な処置として、その時点のSAをクリアしてください。 次のCLIコマンドでSAをクリアすることができます。

clear ike all [Enter]

新たなSPIの生成にNetScreenが応じるようにcommit bitを設定することができます。次のCLIコマンドでcommit bitを設定してください。

set ike initiator-set-commit [Enter]
set ike responder-set-commit [Enter]
3Alarm LEDが点灯する理由は? 理由の確認や消灯の方法は?
最終更新日 : 2005-02-22
初版 : 2005-02-07
ver : 1.0.1

NetScreen-25より上位モデルのフロントパネルに付属しているAlarm LEDは、次に示すイベントを理由として赤や橙で点灯します。
赤色で点灯する理由ハードウエアコンポーネントの故障ソフトウエアモジュールの故障EmergencyまたはAlertレベルの外部攻撃の検知橙色で点灯するおもな理由メモリ使用率がしきい値を超過 (デフォルト95 %)CPU使用率がしきい値を超過 (デフォルト90 %)セッション数がしきい値を超過(デフォルト90 %)システムログがいっぱいになったときVPNトンネル数が上限に達したときCriticalレベルの外部攻撃の検知点灯した原因を確認する方法次のCLIコマンドでイベントログを確認してください。


get alarm traffic [Enter]
get event level <メッセージレベル> [Enter]

<メッセージレベル> には、emergency・alert・criticalのレベルを示す文字列をひとつずつ入力してください。
点灯したAlarm LEDを消灯する方法点灯したAlarm LEDは、そのまま放置しても自動では消灯しません。次のCLIコマンドで消灯することができます。


clear alarm event [Enter]
clear led alarm [Enter]
4ScreenOS 5.1.0でサポートするセッション数は変わりましたか?
最終更新日 : 2005-01-31
初版 : 2005-01-31
ver : 1.0.0


ScreenOS 5.1.0から、NetScreen-208 / NetScreen-204で毎秒ごとの新規セッション数が増加し、NetScreen-25では同時セッション数が増加しました。

ScreenOS 5.0.0と5.1.0のセッション数の詳細を以下の表に示します。

NetScreen-208 / NetScreen-204におけるScreenOS 5.0.0と5.1.0の新規セッション数/秒比較表


デバイス 5.0.0 5.1.0
NetScreen-208 9,000 11,500
NetScreen-204 9,000 11,500

NetScreen-25におけるScreenOS 5.0.0と5.1.0の同時セッション数比較表

デバイス 5.0.0 5.1.0
NetScreen-25 16,000 32,000
5.ScreenOS 5.1.0でサポートするVPNトンネル数は変わりましたか?
最終更新日 : 2005-01-31
初版 : 2005-01-31
ver : 1.0.0


ScreenOS 5.1.0では、特定のデバイスにおいてSite-to-Siteで作成可能なVPNトンネル数が増えました。

ScreenOS 5.0.0から5.1.0でSite-to-Site VPNトンネル数が増加したデバイスとトンネル数の比較表を以下に示します。

ScreenOS 5.0.0と5.1.0のSite-to-Site VPNトンネル数比較表


デバイス 5.0.0 5.1.0
NetScreen-25 25 125
NetScreen-50 100 500