SSG5を使おう


はじめに

SSGとは

Juniper社が販売しているSecure Service Gatewayという箱。ファイアーウォールやVPNルーターとしても使用できる便利なやつです。中身はScreenOSで、基本的にWebブラウザを用いた設定画面でポチポチやるだけで設定ができ、初心者も安心である。

SSG5は、小規模支店、在宅勤務環境、社内配備に適したセキュリティ専用ポート固定型プラットフォームです。ステートフル・ファイアウォールトラフィック160Mbps、IPsec VPNスループット40Mbpsを実現します。

SSGシリーズ セキュア・サービス・ゲートウェイ - Juniper Networks

SSGのラインナップ

SSG 5/20/140/320M/350M/520M/550M というシリーズがあり、だんだんと能力が上がっていきスループットが増える。写真はSSG140、ここから1Uサイズになる。

なお、同じSSG5でも幾つかのモデルが有り、それぞれ微妙な差異がある。今回用いたものはワイヤレス(802.11 b/g/a)がついたSSG-5-SH-BTWというモデルである。その他にも無線なしモデルや、メモリ容量が少ないモデルなどがある。ちなみに、ワイヤレスモデルはファン有りで、そうでないモデルはファンレスと思われる。

SSG5を使う理由

  1. まず入手性が良い。某競売サイトで比較的安価に潤沢に流れている。ただし上記モデル種類やOSバージョンに注意が必要である。
  2. 様々な機能。BPG/OSPFなどのL3機能に加えUTM等のセキュリティ機能が豊富。
  3. 程々の能力。最大同時8000セッションやファイアーウォールパフォーマンス90Mbpsなど。

なお、SSG5を使いたくない理由もある。

  1. FastEthernet で100Mbpsまでしか対応していない。しかし、よく考えると常時100Mbps以上の帯域が必要な通信をしているとISPに怒られそうであるので、FEで問題ない。
  2. VLANが10個しか無い。しかし、SSG5は最も上流にあれば良いと考えて、あとは他のL2スイッチやルーティングで何とかすればいいので致命的ではない。

最も簡単なNAPT箱としての設定

SSGにNATを設定するには次の2つの方法がある。

  1. インターフェースにNATを指定する
  2. ポリシーを設定する

ここでは簡単な1.のインターフェースベースのNAT設定を紹介する。
なお、デフォルトではfe-0/0がUntrust, fe-0/1がDMZ, fe-0/2-6(bgroup0)がTrustと設定されているので、以降ではこのポート割り当てを前提に話を進める。
Network>Interfaces>Listでfe-0/0の設定に入り、"Interface Mode"を"NAT"にする。
この設定によりfe-0/0を入出力するパケットは他のポリシーがない場合NAPTされる。
同様にbgroup0の設定に入り、"Interface Mode"を"Route"にする。
これは通常のL3ポートとして扱う設定である。

以上でいわゆるブロードバンドルーターのような一つのグローバルIPを家庭内でわけあって使えるようになった。

おわりに

次回はもう少し詳しいNATの設定や、ファイアーウォール機能の設定を紹介したい。
なお、フタを開けたのに内部の写真を取るのを忘れたことを後悔している。