2016年11月にAWS Marketplaceからジュニパーネットワークスの統合仮想ファイアウォールvSRX、および仮想ルーターvMXが利用可能となりました。 本資料では、AWS上のvSRXの概要と基本インストール手順をご説明いたします。 vSRXを利用することで、AWS上でファイアウォールやVPNとして活用できるのはもちろん、ローカルに仮想環境などがなくとも、SRXやJUNOSを試したいというときにも気軽に使用することが可能となります。ぜひ本資料を参考にお試しください。

1. はじめての
vSRX on AWS rev1.1
2017年3月
ジュニパーネットワークス株式会社

2. This statement of direction sets forth Juniper
Networks’ current intention and is subject to
change at any time without notice. No
purchases are contingent upon Juniper
Networks delivering any feature or
functionality depicted in this presentation
Legal Statement

3. アジェンダ
 はじめに
 vSRX on AWS概要
 vSRX on AWS 基本インストール 手順
1. AWS VPCの作成
2. vSRXインスタンスの起動
3. vSRXのログイン
4. vSRX設定
5. トラブルシューティングチップス

4. はじめに
 2016年11月にAWS Marketplaceから
vSRXおよびvMXが利用可能となりました。
 vSRXを利用することで、AWS上でファイ
アウォールやVPNとして活用できるのはも
ちろん、ローカルに仮想環境などがなくと
も、SRXやJUNOSを試したいというときに
も気軽に使用することが可能となります。

5. JUNIPER PORTFOLIO FOR HYBRID CLOUD
パブリッククラウド・IaaS
• vSRX/cSRX 仮想/コンテナセキュリティ
• vMX 仮想ルータ
• Contrail Networking SDN
• AppFormix スマートマネージメントプラットフォーム
For building public or XaaS clouds
PUBLIC CLOUD PORTFOLIO
オンプレミス・コロケーション・ホスティングデータセンタ
• SRX 次世代ファイアウォール/ルーティング・Security Director
• MX ルーティング
• QFX スイッチファブリック・Network Director
• Contrail Networking SDN
• AppFormix スマートマネージメントプラットフォーム
For virtual private cloud or virtual hosted infrastructure:
PRIVATE CLOUD PORTFOLIO

6. AWSとの接続ルーターとして
AWS VPN GatewayAWS Direct Connect
ともにサンプルコンフィグがダウンロードできる数少ないベンダのひとつ
※使用方法によって、一部設定変更が必要
AWSと接続するルータとして、セキュアルータであるSRXの
サンプルコンフィグがAWSポータルからダウンロード可能

7. vSRX on AWS概要

8. Unified Security
Wherever the Network Goes
シンプル & オートメーション
Point-and-Click GUI: Procure, Deploy, and Protect
統合セキュリティ
Portable Security: Defends Public Cloud Environment
フレキシブルプライス
BYOL & PAYG: Provides Agility for Changing Needs

9. Juniper vSRX on AWS Marketplace
Fastest Virtual Firewall Meets
Industry Leading Public Cloud
VPNやAdvanced Securityも含めた
オールインワン
統合管理と可視化
Powered by Security Director
柔軟でシンプルなライセンスモデル
60日間 または 30日間のフリートライアルライセンス
最速の仮想ファイアウォール
10G パフォーマンス in AWS

10. HYBRID CLOUD
SECURITY SOLUTION
1. 包括的なセキュリティ
2. セントラルマネージメント
3. マルチサイトVPN
4. キャリアクラススタック
5. TCOの削減

11. ジュニパーセキュリティ
ポートフォリオ
for AWSパブリッククラウド
UTM
IPS
vSRX APP
Secure
AWS
Juniper
Threat Defense
Spotlight Secure
Threat Intelligence
Security Director
Sky Advanced
Threat Prevention

12. 迅速な構築・運用をサポート (SDN統合と管理ポリシーの統合)
シンプル、拡張性、柔軟性を持つライセンス体系による
コストパフォーマンスの優位性
様々な利用要求に柔軟に対応 (DC・MSSP環境対応)
アドバンス・セキュリティと高性能ルーティングを兼ね備えた
オール・イン・ワン仮想アプライアンス
vSRX – 唯一無二の仮想環境のセキュリティ
業界最速の仮想ファイアウォール (1コアあたりのスループット)

13. vSRX – 仮想アプライアンスとしてのSRX
Junos ルーティングプロトコルとSDK(開発キット)
Junos アドバンスド・セキュリティ - 拡張性の高いセキュリティスタック
Junos Space – Security Director・Virtual Director・CLI・JWEB・SNMP・HA
Firewall
VPN
NAT
Routing
Anti-Virus
IPS
Web Filtering
Anti-Spam
AppID
AppFW
AppQoS
AppTrack
コアセキュリティ コンテンツセキュリティ アプリケーションセキュリティ

14. ユースケース1.ハイブリッドクラウド – セキュアコネクティビティ
Public
Access Subnet vSRX
インターネット
Client
Site C
Site AWeb ServerApp ServerWeb Server
App Server
App Server Web Server
Web ServerApp ServerWeb Server
Site B
SRX
VPC
Internet
Gateway
Security
Director
vSRX
- オンプレとパブリックともにSRXを利用してVPN接続
• VPC あたりの VPN接続数制限(10)を超える拠点と接続可能
• オンプレミスとおなじ操作感でVPN, policyの管理が可能
複数SRXを
一元管理

15. ユースケース2. AWSワークロードをよりセキュアに
ひとつのVPC環境でシンプルにvSRXを利用してセキュア環境に
ユーザファイアウォール
侵入防御
UTM
AppSecure
Sky ATP脅威防御
VPN終端

16. 複数VPC環境での包括的なAWS展開
ユースケース3. AWSワークロードの全体をよりセキュアに管理
専用NAT排除
専用VPN GW排除
VPCピアリング
モジュール排除
包括的な
セキュリティインテリジェンス
統合管理
オートメーション

17. 追加機能ライセンスを別途購入して適用するモデルです。
vSRXのライセンスはAWSマーケットプレイスからは課金されませ
ん。ライセンスおよびサポートを別途購入する必要があります。
購入を希望する場合は、弊社国内パートナーにお問い合わせくださ
い。https://www.juniper.net/jp/jp/partners/japan/
AWS プライスモデル
Bring Your
Own License
(BYOL)
追加機能ライセンスがインスタンスに含まれたモデルです。
時間単位でvSRXのライセンスは課金されます。AWSがメータリン
グ、課金、課金レポートを行います。サポートはオンラインによる
英語のみとなります。
Pay-As-You-Go
(PAYG)–Hourly
追加機能ライセンスがインスタンスに含まれたモデルです。
年単位でvSRXのライセンスは課金されます。AWSがメータリング、
課金、課金レポートを行います。サポートはオンラインによる英語の
みとなります。
Pay-As-You-Go
(PAYG)–Annual
vSRX Services Gateway (BYOL)を選択
vSRX Next-Generation Firewall Bundle1 or Bundle2(UTM含)を選択

18. vSRX on AWS 基本インストールステップ

19. 概要
 本資料は[vSRX Guide for AWS]を元に、vSRX(15.1X49-D60)を
AWS上で起動させるためのインストール手順を記します。
 AWSのアカウント作成方法やAWSに関する用語、および
SRX基本的なオペレーションについては記載しておりません。
必要に応じてそれぞれのドキュメントをご参照ください。
 将来のリリースにおいて動作は変更になる可能性があります。
詳細情報含め、必要に応じて、最新のドキュメントをご参照ください。
 AWSマーケットプレイスにあるvSRXには、BYOLの場合60日間の
無償ライセンスがあり、PAYGの場合は、30日間の無償ライセンスが
あります。

20.  vSRX Guide for AWS(英語)
 JUNOSハンズオントレーニング
SRXシリーズサービスゲートウェイコース(日本語)
 vSRX Documentation(英語)
http://www.juniper.net/techpubs/en_US/release-
independent/junos/information-products/pathway-
pages/srx-series/product/index.html
https://www.juniper.net/techpubs/en_US/vsrx15.1x49-d60/information-
products/pathway-pages/security-vsrx-aws-guide-pwp.html
 AWSアカウント作成方法
https://aws.amazon.com/jp/register-flow/http://www.juniper.net/assets/jp/jp/local/pdf/additional-
resources/junos-handson-training-srx.pdf
参考マニュアル

21. vSRX on AWS構成概要
管理用
vSRX_fxp0
10.0.1.0/24
外部向け
vSRX_data1
10.0.2.0/24
内部向け
vSRX_private1
10.0.3.0/24
VPC 10.0.0.0/16
 ひとつのVPC(Virtual Private Cloud)
でvSRXを動作させる構成を作成します。
 VPCを１つ作り、
その中で3つのサブネットを作成
します。各サブネットにvSRXのインタ
フェースが属することになります。
 1.管理用
 2.外部向け
 3.内部向け
 各サブネットに対し、ルーティング
テーブルを作り、各ルーティングテー
ブル毎に必要なスタティックルーティ
ングを設定します。

22. ネットワークトポロジー
EC2 Instance 1
10.0.3.10
Route Table
0.0.0.0/0 Internet gateway
Route Table
0.0.0.0/0 Internet gateway
Internet Gateway
EC2 Instance 2
10.0.3.11
VSRX on AWS
Route Table
0.0.0.0/0 EC2 eth2
ge-0/0/0 (EC2 eth1)
fxp0(EC2 eth0)
ge-0/0/1 (EC2 eth2)
管理用
vSRX_fxp0
10.0.1.0/24
外部向け
vSRX_data1
10.0.2.0/24
内部向け
vSRX_private1
10.0.3.0/24

23. 1.VPCの作成
1-1. 仮想ネットワークであるVPCの作成
AWSコンソールにログインし、VPCダッシュボードにログイン。
構成図に記載のあるVPCのCIDRブロック10.0.0.0/16を設定

24. 1.VPCの作成
1-2. インターネゲートウェイの作成
ゲートウェイを作成し、1-1.で作成したVPCにアタッチ。

25. 1.VPCの作成
1-3. サブネットの追加
構成図に記載のある３つのサブネットをそれぞれ作成。
(管理用:fxp0 10.0.1.0/24, 外部向け:data1 10.0.2.0/24, 内部向け:private1 10.0.3.0/24)
上記は管理用:fxp0用サブネット(10.0.1.0/24)の設定サンプル
各サブネットが作成できたことを確認

26. 1.VPCの作成
1-4. ルートテーブルの作成
デフォルトでは、各VPCにメインのルートテーブルがあるが、制御のため、各サブネットに対す
るルートテーブルを個別に作成する。
手順としてはルートテーブルをそれぞれ作成し、後に、各サブネットとマッピングする。
各サブネットに必要なルートテーブルを3つ作成

27. 1.VPCの作成
1-4. ルートテーブルエントリーの作成
外部用(data1)サブネットと管理用(fxp0)サブネットは、外部との通信が必要なため、
先ほど作成したインターネットゲートウェイ向けのデフォルトゲートウェイを作成。

28. 1.VPCの作成
1-5. ルートテーブルとサブネットのアサイン
3つのルートテーブルそれぞれに必要なサブネットを関連付ける。

29. 1.VPCの作成
1-6. セキュリティグループの作成
デフォルトでは各VPC毎にセキュリティグループが割り当てられている。
これを管理用(fxp0)のセキュリティグループと他のセキュリティグループをわけて設定する。
管理用のセキュリティグループのため、ssh,
http, httpsを許可するように追加
管理用(fxp0のセキュリティグループ)の設定

30. 1.VPCの作成
1-6. セキュリティグループの作成
他のサブネットについては、vSRX側でフィルタを行うため、全トラフィックを通過させるセキュ
リティグループを作成。尚、VPN用途の場合は、送信元をVPCのCIDRのみとする。

31. 2.vSRXの起動
現在vSRXがサポートしているインスタンスは複数あるため、ネットワークパフォーマンス、
使用インタフェース数、インタフェース毎の使用可能ip数などがから選択する。
各インスタンスタイプの使用料金はvSRXのマーケットプレイスからも確認可能。
インスタンス
タイプ
vCPU数 メモリ ネットワーク
パフォーマンス
最大インタ
フェース数
インタフェース
毎の最大IP数
c3.xlarge 4 7.5 Moderate 4 15
c3.2xlarge 8 15 High 4 15
c3.4xlarge 16 30 High 8 30
c3.8xlarge 32 60 10 Gigabit 8 30
c4.xlarge 4 7.5 Moderate 4 15
c4.2xlarge 8 15 High 4 15
c4.4xlarge 16 30 High 8 30
c4.8xlarge 36 60 10 Gigabit 8 30
m4.xlarge 4 16 High 4 15
m4.2xlarge 8 32 High 4 15
m4.4xlarge 16 64 High 8 30
m4.10xlarge 40 160 10 Gigabit 8 30
※EC2インスタンスは有償

32. 2.vSRXの起動
2-1. SSH Keyペアの作成
EC2のキーペアからインスタンスに必要なキーペアを作成。インスタンスのログイン時に使用す
る。既存のキーペアを使用する場合は、作成の必要はない。

33. 2.vSRXの起動
2-2. AMIの選択
vSRXのイメージをAWS Marketplaceから選択。
今回の手順は、BYOLイメージ(60日間無償)を利用する。

34. 2.vSRXの起動
2-3. インスタンスタイプの選択
c4.xlarge インスタンス以上が推奨となっているため、今回は、c4.xlargeを選択。

35. 2.vSRXの起動
2-4. インスタンス詳細設定
作成したVPCと管理用のサブネット(fxp0)を選択。
後ほどElastic IP(固定アドレス)を指定するため、パブリックIP割り当ては無効としている。
但し、Elastic IPは有償オプションのためvSRXやJUNOSを触ってみたいというのが目的の場合は、
特にElastic IPは必要ないため、ここでは、自動割り当てパブリックIPを”有効”としてもよい。
ストレージやタグの設定は
必要に応じて設定

36. 2.vSRXの起動
2-5.インスタンス詳細設定
管理用(fxp0)用に作成したセキュリティグループとキーペアを選択。

37. 2.vSRXの起動
2-6.インスタンスの起動確認
作成後正常起動まで数分時間を要す。
ステータスチェックの項目が、[ 2/2のチェックに合格しました ]となることを確認。

38. 2.vSRXの起動
2-7.インタフェースの追加
起動済みのインスタンスにはfxp0用の1つのインタフェース(eth0)しか作成されていないため、
必要なインタフェースを追加する。今回は、外部向け:data1と 内部向け:private1用にインタ
フェースを２つ作成する。また、関連するサブネットとセキュリティグループも選択する。
尚、最初に作成したインタフェースがSRXのge-0/0/0(EC2 eth1)となり、次に作成したものが
ge-0/0/1(EC2 eth2)となる。
※AWSは最大8つの
インタフェースをサポート

39. 2.vSRXの起動
2-7.インタフェースのアタッチ
作成したインタフェースをvSRXインスタンスにアタッチ。
外部用(data1)用と内部用(private1)用のインタフェースを
それぞれ選択し、アタッチ

40. 2.vSRXの起動
2-7.インタフェースの設定変更
各インタフェースに対して「送信元/送信先の変更チェック（Source/Dest Check）を無効化」
しておく。

41. 2.vSRXの起動
2-8.Elastic IPの取得
Deployment Guideの推奨は、外部用インタフェース(data1)と管理用インタフェース(fxp0)に対
し、Elastic IP(パブリックIP)を割り当てることを推奨。よって、それぞれにElastic IPを関連づ
けるため、まずはアドレスを２つ取得する。

42. 2.vSRXの起動
2-8.Elastic IPのアサイン
取得したアドレスを外部用インタフェース(data1)と管理用インタフェース(fxp0)にアサイン。

43. 2.vSRXの起動
2-９.デフォルトルート設定
内部用:private1のルーティングテーブルのデフォルトルートをvSRXの内部用インタフェース
(private1/ec2 eth2)とする。尚、内部用インタフェース名はプルダウンで選択できないため、
vSRXのインスタンスからインタフェース名を確認し、コピー&ペーストをする必要がある。
vSRXのprivate1/ec2 eth2の
インタフェース名を記載。

44. 2.vSRXの起動
2-９.デフォルトルート設定
内部用:private1のルーティングテーブルのデフォルトルートをvSRXの内部用インタフェース
(private1/ec2 eth2)とする。尚、内部用インタフェース名はプルダウンで選択できないため、
vSRXのインスタンスからインタフェース名を確認し、記載する。
vSRXのprivate1/ec2 eth2の
インタフェース名を確認し、記載。

45. 2.vSRXの起動
2-10.インスタンスの再起動
vSRXインスタンスの起動中にネットワークインタフェースは自動的に割り当てられないため、
インスタンスの再起動を行う。再起動には5分強時間を要す。

46. 3.vSRXのログイン
3-1.vSRXへのログイン
管理インタフェース(exp0 / EC2 eth0)に割り当てたElastic IPのアドレスに対し、
作成したキーペアを使用してログインする。デフォルトのUser nameは”root”。
ログイン後は、通常のvSRXと同等のオペレーションが可能です。詳細は、”JUNOS
ハンズオントレーニング SRXシリーズゲートウェイサービスコース”などを参照のこと。
※Windows Tera Termのサンプル
#chmod 400 <key-pair.pem>
#ssh –I <key-pair.pem> root@52.199.234.210

47. 3.vSRXのログイン
3-2.vSRXの設定
AWS Marketplaceからインストールした場合、以下の設定は自動的に作成されており、
ログインが可能となっている。
rootのauthentication設定後、Elastic IPに対しhttpアクセスすることで、
J-Web(GUI)のアクセスも可能
set system root-authentication ssh-rsa "ssh-rsa XXXRSA-KEYXXXXX”
set system services ssh no-passwords
set interfaces fxp0 unit 0 family inet address aws-ip-address
set routing-options static route 0.0.0.0/0 next-hop aws-ip-address
root@% cli
Root> configure
root# set system root-authentication plain-text-password
root# commit

48. 3.vSRXのログイン
3-3.ライセンスの確認
60日間のライセンスが使用できることが確認可能。
root> show system license
License usage:
Licenses Licenses Licenses Expiry
Feature name used installed needed
Virtual Appliance 1 1 0 59 days
Licenses installed:
License identifier: E420588955
License version: 4
Software Serial Number: 20150625
Customer ID: vSRX-JuniperEval
Features:
Virtual Appliance - Virtual Appliance
count-down, Original validity: 60 days

49. 3.vSRXのログイン
3-4.vSRXの基本設定
管理インタフェース(fxp0)のアドレスは自動的に設定されるが、他のインタフェースのアドレス
は手動で設定する必要がある。またsecurity zoneの設定も行う。
尚、Security zoneの設定概念や設定方法については、”JUNOSハンズオントレーニング SRXシ
リーズゲートウェイサービスコース”の”Firewallの設定”を参照のこと。
[edit]
root# set interfaces ge-0/0/0.0 family inet address 10.0.2.199/24
root# set interfaces ge-0/0/1.0 family inet address 10.0.3.210/24
root# set security zones security-zone untrust interfaces ge-0/0/0.0
root# set security zones security-zone trust interfaces ge-0/0/1.0
root#commit check
root#commit

50. 4.vSRX設定
 起動後は、通常のvSRXと同様の設定が可能となる。
AWSのベーシックなユースケースとしては、NATおよびIPsec VPNのため、
ここでは、サンプル設定のみを記す。
 尚、より詳細を把握したい場合は、ハンズオントレーニング資料やリファレンス
マニュアルを参照のこと。

51. 4.vSRX設定
4-1. NATサンプル設定
ge-0/0/1からge-0/0/0の通信の送信元アドレスをインタフェースアドレスに変換。
1.vSRXのデータインタフェースに対してIPアドレスを設定
#set interfaces ge-0/0/0 unit 0 family inet address 10.0.1.197/24
#set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.1/24
2.untrust security zoneの設定
#set security zone untrust host-inbound-traffic system-services https
#set security zone untrust host-inbound-traffic system-services ssh
#set security security-zone untrust interfaces ge-0/0/0.0
3.trust security zoneの設定
#set security zone trust host-inbound-traffic system-services https
#set security zone trust host-inbound-traffic system-services ssh
#set security zone trust host-inbound-traffic system-services ping
#set security security-zone trust interfaces ge-0/0/1.0
送受信を許可する
サービスを指定
送受信を許可する
サービスを指定

52. 4.vSRX設定
4-1. NATサンプル設定
4. セキュリティポリシーの設定 (all permit)
# set security policies from-zone trust to-zone untrust policy test match source-address any
# set security policies from-zone trust to-zone untrust policy test match destination-address any
# set security policies from-zone trust to-zone untrust policy test match application any
# set security policies from-zone trust to-zone untrust policy test then permit
5. NATの設定(sourse NAT)
# set security nat source rule-set SNAT_RuleSet from zone trust
# set security nat source rule-set SNAT_RuleSet to zone untrust
# set security nat source rule-set SNAT_RuleSet match source-address 0.0.0.0/0
# set security nat source rule-set SNAT_RuleSet then source-nat interface
# commit

53. 4.vSRX設定
4-2. IPsec VPNサンプル設定
ルートベースVPNとしてルーティングにマッチするトラフィックにVPNを適用。
対向のゲートウェイと
1.vSRXのデータインタフェースに対してIPアドレスを設定
#set interfaces ge-0/0/0 unit 0 family inet address 10.0.1.10/24
#set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.10/24
#set interfaces st0 unit 1 family inet address 10.0.250.20/24(トンネルインタフェース設定)
2.untrust security zoneの設定
# set security zones security-zone untrust screen untrust-screen
# set security zone trust host-inbound-traffic system-services https
# set security zone trust host-inbound-traffic system-services ssh
# set security security-zone trust interfaces ge-0/0/0.0
# set security security-zone trust interfaces
送受信を許可する
サービスを指定

54. 4.vSRX設定
4-2. IPsec VPNサンプル設定
3. Trust security zoneの設定
# set security zone untrust host-inbound-traffic system-services https
# set security zone untrust host-inbound-traffic system-services ssh
# set security zone untrust host-inbound-traffic system-services ping
# set security security-zone untrust interfaces ge-0/0/1.0
4.IKEの設定 (セキュリティ属性定義、ポリシー、対向のアドレス等)
# set security ike proposal AWS_IKE_Proposal authentication-method pre-shared-keys
# set security ike proposal AWS_IKE_Proposal dh-group group2
# set security ike proposal AWS_IKE_Proposal authentication-algorithm sha-256
# set security ike proposal AWS_IKE_Proposal encryption-algorithm aes-256-cbc
# set security ike proposal AWS_IKE_Proposal lifetime-seconds 1800
# set security ike policy AWS-R mode aggressive
# set security ike policy AWS-R proposals AWS_IKE_Proposal
# set security ike policy AWS-R pre-shared-key ascii-text preshared-key
# set security ike gateway AWS-R ike-policy AWS-R
# set security ike gateway AWS-R address 203.0.113.10(対向アドレス)
# set security ike gateway AWS-R local-identity user-at-hostname "dest@example.net"
# set security ike gateway AWS-R remote-identity user-at-hostname "source@example.net"
# set security ike gateway AWS-R external-interface ge-0/0/0
送受信を許可する
サービスを指定

55. 4.vSRX設定
4-2. IPsec VPNサンプル設定
5. IPsecの設定 (セキュリティ属性定義、ポリシー、トンネルインタフェース指定等)
# set security ipsec proposal AWS_IPSEC protocol esp
# set security ipsec proposal AWS_IPSEC authentication-algorithm hmac-sha1-96
# set security ipsec proposal AWS_IPSEC encryption-algorithm aes-256-cbc
# set security ipsec policy AWS_IPSEC_POL proposals AWS_IPSEC
# set security ipsec vpn aws-aws bind-interface st0.1
# set security ipsec vpn aws-aws ike gateway AWS-R
# set security ipsec vpn aws-aws ike ipsec-policy AWS_IPSEC_POL
# set security ipsec vpn aws-aws establish-tunnels immediately
6. Routingの設定
# set routing-instances aws instance-type virtual-router
# set routing-instances aws interface ge-0/0/0.0
# set routing-instances aws interface ge-0/0/1.0
# set routing-instances aws interface st0.1
# set routing-instances aws routing-options static route 0.0.0.0/0 next-hop 10.0.1.1
# set routing-instances aws routing-options static route 2.2.0.0/24 next-hop st0.1 (対向の経路を指定)
# commit

56. 5.トラブルシューティングチップス
• AWSコンソールにてインスタンスのステータスチェックし、
[ 2/2のチェックに合格しました ]となっているか確認する。
• 解決策
• ステータスが0/2の場合: AWSサポートに確認する。
• ステータスが1/2の場合:
• インスタンスへのping通信を確認。
• インストールログを確認。
インスタンス選択  右クリック  インスタンスの設定  システムログの取得
• インスタンスタイプがサポートされているタイプか確認。
• セキュリティグループやACL設定に間違いはないか確認。
• インスタンスの再起動を行う。
事象：インスタンスが起動しない

57. • AWSのインスタンスログインはRSAのキーペアを必要とする。
正しいキーペアを使用する必要がある。
• 解決方法
• キーペアが間違いないかの確認。プライベートキーがない場合は、再度インスタンスを作
成する必要がある。
• 正しいキーを使用している場合、キーのパーミッションの確認(chmod 400 for the key)
• 管理インタフェース fxp0のAWSセキュリティグループとネットワークACLに間違いがな
いか確認する。
事象: インスタンスにログインができない
5.トラブルシューティングチップス

58. • データ転送用のインタフェース(Revenue Interfaces)がupになり、トラフィックがvSRXを
通過する必要がある。
vSRXのフロートレースでトラフィックが確認できるかを確認する。
• 解決方法
• 「送信元/送信先の変更チェック（Source/Dest Check）」を無効化
• 各ルーティングテーブルのサブネットを確認し、間違いないかの確認
事象: トラフィックが転送されない。
5.トラブルシューティングチップス

59. その他
 vSRXがサポートしているのは、有償のインスタンスタイプのみとなる。
もし、JUNOS学習のために使用したい場合は、学習終了後は、
インスタンスを停止しておくことを推奨。
 SRXを再起動する場合は、CLIによる再起動は行わず、AWSのインスタンスの再起動を行う。
 ログインに必要な初期設定が設定されているため、初期状態にするload factory-defaultコマ
ンドは使用しない。
SRXの全機能がAWS上で動作するわけではない。
サポート状況はドキュメントを参照のこと。

60. Thank you