https://yokohama539.hatenablog.com/entry/2025/01/11/154946

新年早々にJuniperのSRX320を入手しました。

家の宅内ルーターの予備機として運用しようと思い、入手しました。
SRX seriesを触るのは初めてで、宅内ルーターとして動作するか試行錯誤しながら設定してみます。
(万一、うまく動かなかったら検証用として使い倒す覚悟で…)

まず、自宅のルーターで必要な機能の洗い出しをします。
我が家はPPPoE方式でグローバルIPアドレスが払い出されているのでPPPoEの設定は必須になります。
(OCNを契約しており、OCNバーチャルコネクトはSRX320は対応しておらず…。
対応してても機能がサポートされてるOS イメージの調達が必須なので、事実上不可能ですが…)
また、配下に接続するLAN端末に対して、DHCPサーバー機能でIPアドレス情報の払い出しを行います。
Wireless APも接続していてSSIDを2種類使っています。なのでSSIDに応じた疎通性の確保とIPアドレス情報を払い出す必要があります。
さらに、外部公開サーバーがありインターネットからのアクセスで通信できるようにしたいです。
おおまかな物理ポートとパラメーターを決めて図に示すとこんな感じです。

1機能ずつ設定していきます。
なお、今回Firewall周りの設定はほぼ省略しています。
Default設定から変更していません(Security周りは次回やりたい…)

PPPoEの設定

SRX320がインターネット接続できるようにします。
ポイントとしてはpp0.0向けのデフォルトルートを設定しないといけないところでしょうか。

set interfaces ge-0/0/0 unit 0 encapsulation ppp-over-ether
set interfaces pp0 unit 0 ppp-options chap local-name "xxx@xxx.ocn.ne.jp"                      //ISPから通知されたユーザーID
set interfaces pp0 unit 0 ppp-options chap default-chap-secret xxx                             //ISPから通知されたパスワード
set interfaces pp0 unit 0 ppp-options chap passive
set interfaces pp0 unit 0 pppoe-options underlying-interface ge-0/0/0.0
set interfaces pp0 unit 0 pppoe-options auto-reconnect 10
set interfaces pp0 unit 0 pppoe-options client
set interfaces pp0 unit 0 family inet mtu 1454
set interfaces pp0 unit 0 family inet negotiate-address
set routing-options rib inet.0 static route 0.0.0.0/0 next-hop pp0.0
set security zones security-zone untrust interfaces pp0.0

PPPoEが張れたか確認します。
Local addressおよびPrimary DNS(Secondary DNS)のIPアドレスが払い出されれば張れています。

lab@SRX320# run show ppp interface pp0.0 extensive | no-more
  Session pp0.0, Type: PPP, Phase: Network
    LCP
      State: Opened
      Last started: 2025-01-11 14:32:21 JST
      Last completed: 2025-01-11 14:32:21 JST
      Negotiated options:
        Authentication protocol: CHAP, Authentication algorithm: MD5, Magic number: xxx,
        Local MRU: 1454
    Authentication: CHAP
      State: Success
      Last completed: 2025-01-11 14:32:22 JST
    IPCP
      State: Opened
      Last started: 2025-01-11 14:32:28 JST
      Last completed: 2025-01-11 14:32:28 JST
      Negotiated options:
        Local address: xxx.xxx.xxx.xxx, Remote address: 153.xxx.xxx.xxx, Primary DNS: 202.xxx.xxx.xxx,
        Secondary DNS: 221.xxx.xxx.xxx

LANインターフェイスの設定

次に自身のLANのIPアドレスの設定をします。
IRB(irb.1)にLAN用IPアドレスを設定し、irb.1とVLAN 1を紐づけてge-0/0/1～ge-0/0/4はSwitching-Hubとして機能するよう、VLAN 1にアサインさせます。
図にてge-0/0/5、VLAN 51向けの設定もする必要がありますが、後ほどやります。

set interfaces irb unit 1 family inet address 192.168.1.1/24
set vlans VLAN-DEFAULT vlan-id 1
set vlans VLAN-DEFAULT l3-interface irb.1
set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 192.168.1.0/24
set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members VLAN-DEFAULT
set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members VLAN-DEFAULT
set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members VLAN-DEFAULT
set interfaces ge-0/0/4 unit 0 family ethernet-switching vlan members VLAN-DEFAULT
set security zones security-zone trust interfaces irb.1

　
確認します。静的にIPアドレス設定をした端末を接続すれば、192.168.1.1宛のPingが飛ぶはずです(やってませんが…)

lab@SRX320# run show interfaces terse | grep irb.1
irb.1                   up    up   inet     192.168.1.1/24

lab@SRX320# run show vlans

Routing instance        VLAN name             Tag          Interfaces
default-switch          VLAN-DEFAULT          1
                                                           ge-0/0/1.0
                                                           ge-0/0/2.0
                                                           ge-0/0/3.0
                                                           ge-0/0/4.0*

DHCPサーバーの設定

LANへ接続した端末に対し、動的にIPアドレスを払い出す設定をします。
ポイントとしては、DNS Proxy設定を行う必要があります。この設定がないとLAN端末が名前解決できません。
こちらも、VLAN 51向けの設定もする必要がありますが、後ほどやります。

set access address-assignment pool DHCP-DEFAULT family inet network 192.168.1.0/24
set access address-assignment pool DHCP-DEFAULT family inet range RANGE low 192.168.1.101
set access address-assignment pool DHCP-DEFAULT family inet range RANGE high 192.168.1.200
set access address-assignment pool DHCP-DEFAULT family inet dhcp-attributes name-server 192.168.1.1
set access address-assignment pool DHCP-DEFAULT family inet dhcp-attributes router 192.168.1.1
set system services dhcp-local-server group DHCP-GROUP1 interface irb.1
set system services dns dns-proxy interface irb.1

　
DHCPクライアントな端末を接続し、払い出し確認をします。
また、端末からインターネットへ通信できるようになります。

lab@SRX320# run show dhcp server binding
IP address        Session Id  Hardware address   Expires     State      Interface
192.168.1.101     1           e0:0a:f6:xx:xx:xx  83746       BOUND      irb.1

Wireless AP向けの設定

Wireless APとその配下(Wi-Fiでつないだ端末)がインターネット通信できるようにしていきます。
ポイントとしては、ge-0/0/5はTagged-VLANが処理できるようTrunkポート設定にし、VLAN 1がUntagged-VLANなのでNative VLAN設定をします。
併せて、VLAN 51向けのインターフェイス作成とDHCPサーバー設定を行います。

set vlans VLAN-WORK vlan-id 51
set interfaces irb unit 51 family inet address 192.168.51.1/24
set vlans VLAN-WORK l3-interface irb.51
set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 192.168.51.0/24
set interfaces ge-0/0/5 native-vlan-id 1
set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members VLAN-DEFAULT
set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members VLAN-WORK
set security zones security-zone trust interfaces irb.51

set access address-assignment pool DHCP-WORK family inet network 192.168.51.0/24
set access address-assignment pool DHCP-WORK family inet range RANGE low 192.168.51.101
set access address-assignment pool DHCP-WORK family inet range RANGE high 192.168.51.200
set access address-assignment pool DHCP-WORK family inet dhcp-attributes name-server 192.168.51.1
set access address-assignment pool DHCP-WORK family inet dhcp-attributes router 192.168.51.1
set system services dhcp-local-server group DHCP-GROUP51 interface irb.51
set system services dns dns-proxy interface irb.51

各種確認をします。
また、Wi-Fi配下の端末からインターネットへ通信できるようになります。

//irb.51の確認
lab@SRX320# run show interfaces terse | grep irb.51
irb.51                  up    up   inet     192.168.51.1/24

//VLANアサインの確認
lab@SRX320# run show vlans

Routing instance        VLAN name             Tag          Interfaces
default-switch          VLAN-DEFAULT          1
                                                           ge-0/0/1.0
                                                           ge-0/0/2.0
                                                           ge-0/0/3.0
                                                           ge-0/0/4.0*
                                                           ge-0/0/5.0*
default-switch          VLAN-WORK             51
                                                           ge-0/0/5.0*

//Trunkポートの確認
lab@SRX320# run show interfaces ge-0/0/5.0
  Logical interface ge-0/0/5.0 (Index 81) (SNMP ifIndex 532)
    Flags: Up SNMP-Traps 0x0 Encapsulation: Ethernet-Bridge
    Input packets : 442
    Output packets: 9292
    Security: Zone: Null
    Protocol eth-switch, MTU: 1514
      Flags: Trunk-Mode

//VLAN 51におけるアドレス情報払い出し確認
lab@SRX320# run show dhcp server binding
192.168.51.102    7           6c:f6:da:xx:xx:xx  86341       BOUND      irb.51

　
最後はサーバーの外部公開ですが、長くなりましたのでいったんここまで。
また続き書きます。

参考資料

イーサネットを介したポイントツーポイントプロトコルの設定 |Junos OS |ジュニパーネットワークス
 DHCP サーバーの設定 |Junos OS |ジュニパーネットワークス