JNCIA-SEC合格前の私の知識・技術力

まず最初にJNCIA-SEC勉強前の私のスキル・技術力を簡単に紹介します。

私はCisco社の認定資格であるCCIE R&Sを取得しておりましたので、一定のネットワーク知識は持っておりました。
又は、本試験を受験する前にJunosに関する試験(JNCIA-Junos)に合格しておりましたので、Junosに関する基礎知識はございました。
しかし、実務ではCisco社の機器を中心に扱っておりましたので、Juniper機器の実務経験は一切ない状態で勉強を開始しました。

JNCIA-SECの受験記

では受験期を紹介いたします！
結論、私は約1ヶ月間かけてSRXを中心とするJuniper セキュリティについて勉強を進めて、
無事1度目の受験で無事合格する事が出来ました。
[br num=”1″]
本試験を合格するにはSRXのみではなくその他Juniperのセキュリティ製品不可欠なので、しっかり勉強出来た事が合格に繋がったと考えております。
[br num=”1″]
ご参考までにスコアは以下の通りです。

[br num=”1″]
本試験はIPsecなどネットワークセキュリティの基礎知識を問う問題も出題されますが、Juniperセキュリティに関する基礎知識(SRX/ATP Cloud/J-webなど)に関する知識が必須になります。
Cisco社の資格を保持していても、しっかりと勉強しないと合格は難しいと実感しました。
[br num=”1″]
※上記の通りNATの部分の点数が悪い理由は、
Juniper独自の仕様(NAT,ACLの処理順序等)をしっかり理解していなかった事が考えられます。

JNCIA-SECの問題数と合格点

次に「JNCIA-SECの問題数と合格点」について紹介します！
[br num=”1″]
まず問題数ですが、Juniper公式ページにも明記されている通り65問でした。
また、合格点は非公開のようですね。
※ご参考までですが、私が試験後にレポートを見た際は合格点は64点と表示されてました。
　正直合格点が低くて驚きましたが、Juniper公式ページ上は非公開とされており、出題される問題の難易度?によって多少前後する可能性もありますのでご参考レベルでお願いします。

JNCIA-SECの受験言語

次に「JNCIA-SECの受験言語」について紹介します！
[br num=”1″]
残念ながら、本試験は英語での受験になります。(2020年現在)
※これはキツイですね。。

しかし、ポジティブに考えると、英語を勉強できる良い機会ですね。
※ネットワークに関わらずITの技術書の第一発信元は英文で記載されている事が多いですし。

JNCIA-SECの試験対策で利用した参考書

具体的な勉強方法や活用したJuniper公式コンテンツは別記事で纏めておりますので、興味のある方は以下をご確認ください。

ご参考までですが、Junosに関する知識が身に付けたい方は以下の参考書はオススメです！
ご参考にしてください！

Junos設定＆管理 完全Bible

created by Rinker

• Kindle
• Amazon
• 楽天市場

はじめてのJUNOS

created by Rinker

• Amazon
• 楽天市場

まとめ

最後までお読み頂きましてありがとうございます。

JNCIA-SEC試験を取得する事により、Juniperのセキュリティ製品に関する基本知識を身に付ける事が出来ます。
ぜひ頑張ってみて下さい！
[br num=”1″]

本記事ではJNCIA-SECに合格した実体験に基づき、JNCIA-SECの効率的な勉強方法について紹介させて頂きます。

JNCIA-SECの勉強前に知って欲しい事

本試験の勉強を開始する前に理解して頂きたい2点をお伝えします。
※勉強方法のみを知りたい場合は飛ばしてくださいね。
[br num=”1″]

[br num=”1″]
では、上記2点についてそれぞれ解説していきます。

Juniper機器独自の知識を身に付ける必要がある

本件当たり前な事ですが、本試験はJuniperの試験なのでJuniper機器独自の知識を身に付ける必要がございます。
※基本的にCisco社の資格も持っていても、1からしっかり勉強する必要がございます。
[br num=”1″]
もちろん、セキュリティの基礎知識を問う問題も出題されますが、
Juniperのセキュリティ製品の基礎知識(SRX/ATPCloudなど)やJunosの独自仕様(各種NAT/ACL処理の順序)に関する知識が必須になります。
Cisco社の資格を保持していても、しっかりと勉強しないと合格は難しいと実感しました。

一定の英語力が必要になる

私たちのような日本人には残念ですが、本試験は「英語のみ」です。(2020年現在)
また、私の勉強方法も一定の英語力がある前提の試験手法になりますので、予めご理解お願いします。

JNCIA-SECの勉強方法

早速ですが、筆者が実施したJNCIA-SECに合格出来た勉強方法を紹介させて頂きます。

JNCIA-SEC 具体的な勉強方法

筆者は以下の3ステップで勉強を進め無事合格する事ができました。

[br num=”1″]
では、上記①〜③について具体的に解説していきます。

①はじめてのJUNOSにてJunosに関する基本知識を身に付ける

まず最初にはじめてのJUNOSにてJunosについて勉強される事をオススメします。
[br num=”1″]
本書は古い本という事もあり少し古い情報がございますが、Junosに関して日本語で勉強出来る数少ない実用書です。Juniper機器やJunos、Cisco社のOSとの違いなどについて、学ぶ事が出来ます。
[br num=”1″]
※Juniperの基礎部分であるJunosを全く知らずにSRXを勉強するのはハードルが高いと思います。
Junosの基本知識がある方はスキップして下さい。
[br num=”1″]

はじめてのJUNOS

created by Rinker

• Amazon
• 楽天市場

もし、Junosに特化した試験を受験されたい方は以下の記事をご確認下さい！

②Juniper社公式の無料動画コンテンツ(Junos Genius)で学習

Junosに関する基本知識を身につけた後に「Junos Genius」で本試験で必要な知識を身に付けました。
[br num=”1″]
Junos GeniusとはJuniper社公式の資格取得に向けた無料動画コンテンツです。
無料でアカウントを作成出来ますし、非常に有益なコンテンツでしたので皆さんもご活用ください！
※ただし英語ですが、非常に有益です！
[br num=”1″]
SRXだけではなくJNCIA-SECで必要となるJuniperのセキュリティ製品に関する知識を身に付ける事が出来ます。
また、動画内で分かりにくい部分はJuniper社の技術ドキュメントで知識を補完しましょう！

③Juniper社公式の無料ラボ(vLabs)でJunosに慣れる

最後にJunosに関する知識を定着させる為に「vlab」を活用しました。
[br num=”1″]
Juniper社のvlabというJuniper機器を無料で操作できる無料コンテンツがございます。
本コンテンツを利用する事によってJunosに関する知識を深める事が出来、試験対策にも有効です。
※エンジニアにとっては非常に有益なツールですね！
[br num=”1″]
もちろん、SRXも気軽に操作出来ますので、一通り設定してみましょう！
[br num=”1″]
本件の詳細は別記事で纏めておりますので、ご興味のある方はご覧下さい。

参考 JNCIA-SECの受験記について

JNCIA-Junosの受験記について別記事で纏めておりますので、興味のある方はご覧下さい！

まとめ

最後までお読み頂きましてありがとうございます。
[br num=”1″]
Junos機器は通信プロバイダーなどの高信頼性が必要となるネットワークで多く利用されております。
ネットワークエンジニアとして成長出来ると思いますので、ぜひ頑張ってみて下さい！

【SRX IPsecVPN 検証】検証内容

設定要件及び検証ネットワークは以下の通りです。

ネットワーク図

本検証のネットワーク環境は以下の通りです。

設定要件

以下の要件に基づきIPsecVPNの設定を実装します。

【SRX IPsecVPN 検証】事前設定 ※興味ない方は飛ばしてOKです。

IPアドレス等の基本設定は設定済です。
事前設定の詳細は以下をご確認下さい。
興味のない方は「4章：設定変更作業から」をクリックして下さい。

・FW1の設定内容

set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24
set interfaces ge-0/0/1 unit 0 family inet address 10.100.12.1/24

・FW2の設定内容

set interfaces ge-0/0/0 unit 0 family inet address 10.100.22.1/24
set interfaces ge-0/0/1 unit 0 family inet address 10.100.12.2/24

・PC1の設定内容

set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.2/24
set routing-options static route 10.100.12.0/24 next-hop 10.100.11.1
set routing-options static route 10.100.22.0/24 next-hop 10.100.11.1

・PC2の設定内容

set interfaces ge-0/0/0 unit 0 family inet address 10.100.22.2/24
set routing-options static route 10.100.12.0/24 next-hop 10.100.22.1
set routing-options static route 10.100.11.0/24 next-hop 10.100.22.1

【SRX IPsecVPN 検証】設定変更作業

では、以下の手順でIPsecVPNの設定を実装していきます。

①トンネルインターフェースを設定する

以下の通り、FW1/FW2にてIPsecVPN用のトンネルインターフェース(st0)を作成します。

testuser@FW1# set interfaces st0 unit 0 family inet address 10.100.200.1/24

testuser@FW2# set interfaces st0 unit 0 family inet address 10.100.200.2/24

②Staticルートを設定する

FW1/FW2にてIPsecVPN用のStaticルートを作成します。
以下の通り、宛先ネットワークへのネクストホップとしてトンネルインターフェースを指定します。

testuser@FW1# set routing-options static route 10.100.22.0/24 next-hop st0.0

testuser@FW2# set routing-options static route 10.100.11.0/24 next-hop st0.0

③アドレスブックを設定する

FW1/FW2にて内部ネットワークのアドレスブックを作成します。
以下の通り、お互いのFWとPC間のネットワークアドレスを指定します。

testuser@FW1# set security address-book Site-A address FW1-Seg 10.100.11.0/24
testuser@FW1# set security address-book Site-A attach zone trust
testuser@FW1# set security address-book Site-B address FW2-Seg 10.100.22.0/24
testuser@FW1# set security address-book Site-B attach zone VPN

testuser@FW2# set security address-book Site-A address FW1-Seg 10.100.11.0/24
testuser@FW2# set security address-book Site-A attach zone VPN
testuser@FW2# set security address-book Site-B address FW2-Seg 10.100.22.0/24
testuser@FW2# set security address-book Site-B attach zone trust

④セキュリティゾーンの設定をする

FW1/FW2にてセキュリティゾーンの設定をします。
以下の通り、trust・untrust・VPNゾーンに各インターフェースを割り当てます。

testuser@FW1# set security zones security-zone trust interfaces ge-0/0/0.0
testuser@FW1# set security zones security-zone trust host-inbound-traffic system-services all
testuser@FW1# set security zones security-zone untrust interfaces ge-0/0/1.0
testuser@FW1# set security zones security-zone untrust host-inbound-traffic system-services ike
testuser@FW1# set security zones security-zone VPN interfaces st0.0

testuser@FW2# set security zones security-zone trust interfaces ge-0/0/0.0
testuser@FW2# set security zones security-zone trust host-inbound-traffic system-services all
testuser@FW2# set security zones security-zone untrust host-inbound-traffic system-services ike
testuser@FW2# set security zones security-zone untrust interfaces ge-0/0/1.0
testuser@FW2# set security zones security-zone VPN interfaces st0.0

⑤セキュリティゾーンの設定をする

FW1/FW2にてセキュリティゾーンの設定をします。
以下の通り、IPsecVPNを通すネットワークアドレスをアドレスブックで指定します。

testuser@FW1# set security policies from-zone trust to-zone VPN policy To-VPN match source-address FW1-Seg
testuser@FW1# set security policies from-zone trust to-zone VPN policy To-VPN match destination-address FW2-Seg
testuser@FW1# set security policies from-zone trust to-zone VPN policy To-VPN match application any
testuser@FW1# set security policies from-zone trust to-zone VPN policy To-VPN then permit

testuser@FW1# set security policies from-zone VPN to-zone trust policy From-VPN match source-address FW2-Seg
testuser@FW1# set security policies from-zone VPN to-zone trust policy From-VPN match destination-address FW1-Seg
testuser@FW1# set security policies from-zone VPN to-zone trust policy From-VPN match application any
testuser@FW1# set security policies from-zone VPN to-zone trust policy From-VPN then permit

testuser@FW2# set security policies from-zone trust to-zone VPN policy To-VPN match source-address FW2-Seg
testuser@FW2# set security policies from-zone trust to-zone VPN policy To-VPN match destination-address FW1-Seg
testuser@FW2# set security policies from-zone trust to-zone VPN policy To-VPN match application any
testuser@FW2# set security policies from-zone trust to-zone VPN policy To-VPN then permit

testuser@FW2# set security policies from-zone VPN to-zone trust policy From-VPN match source-address FW1-Seg
testuser@FW2# set security policies from-zone VPN to-zone trust policy From-VPN match destination-address FW2-Seg
testuser@FW2# set security policies from-zone VPN to-zone trust policy From-VPN match application any
testuser@FW2# set security policies from-zone VPN to-zone trust policy From-VPN then permit

⑥IPsecVPN(Phase1)を設定する

FW1/FW2にてIPsecVPN(Phase1)を予め定義されているstandardパラメータにて設定します。
※Standardを設定すると、Preshared key, dh-groupはgroup2, authentication-algorithmは3DES, encryption-algorithmはSHA1が指定されます。
また、本検証ではMainモード、Preshared keyは「srxtest01」とします。

testuser@FW1# set security ike proposal standard authentication-method pre-shared-keys

testuser@FW1# set security ike policy IKE-Policy mode main
testuser@FW1# set security ike policy IKE-Policy proposals standard
testuser@FW1# set security ike policy IKE-Policy pre-shared-key ascii-text "srxtest01"

testuser@FW1# set security ike gateway IKE-GW ike-policy IKE-Policy
testuser@FW1# set security ike gateway IKE-GW address 10.100.12.2
testuser@FW1# set security ike gateway IKE-GW external-interface ge-0/0/1

testuser@FW2# set security ike proposal standard authentication-method pre-shared-keys

testuser@FW2# set security ike policy IKE-Policy mode main
testuser@FW2# set security ike policy IKE-Policy proposals standard
testuser@FW2# set security ike policy IKE-Policy pre-shared-key ascii-text "srxtest01"

testuser@FW2# set security ike gateway IKE-GW ike-policy IKE-Policy
testuser@FW2# set security ike gateway IKE-GW address 10.100.12.1
testuser@FW2# set security ike gateway IKE-GW external-interface ge-0/0/1

⑦IPsecVPN(Phase2)を設定する

FW1/FW2にてIPsecVPN(Phase2)を予め定義されているstandardパラメータを指定します。
また、IPsecVPN(Phase1)と紐付けの設定をします。

testuser@FW1# set security ipsec proposal standard
testuser@FW1# set security ipsec policy IPsec-Policy proposals standard
testuser@FW1# set security ipsec vpn To-FW2 bind-interface st0.0
testuser@FW1# set security ipsec vpn To-FW2 ike gateway IKE-GW
testuser@FW1# set security ipsec vpn To-FW2 ike ipsec-policy IPsec-Policy

testuser@FW2# set security ipsec proposal standard
testuser@FW2# set security ipsec policy IPsec-Policy proposals standard
testuser@FW2# set security ipsec vpn To-FW1 bind-interface st0.0
testuser@FW2# set security ipsec vpn To-FW1 ike gateway IKE-GW
testuser@FW2# set security ipsec vpn To-FW1 ike ipsec-policy IPsec-Policy

【SRX IPsecVPN 検証】正常性確認

では以下の3点について確認してみましょう！

【正常性確認①】IPsecVPN(Phase1)が確立される事

FW1/FW2の間で正常にIPsecVPN(Phase1)が確立されている事を確認します。
[br num=”1″]
IPsecVPN(Phase1)が正常に確立されている事を確認する場合は、「show security ike security-associations」で確認できます。
[br num=”1″]

▼ IPsecVPN(Phase1)の確立確認 ▼

testuser@FW1> show security ike security-associations                                        
Index   State  Initiator cookie  Responder cookie  Mode           Remote Address   
761929  UP     a6a0a5fb910b4d8a  e623daf2401c96e9  Main           10.100.12.2     

testuser@FW2> show security ike security-associations 
Index   State  Initiator cookie  Responder cookie  Mode           Remote Address   
729672  UP     a6a0a5fb910b4d8a  e623daf2401c96e9  Main           10.100.12.1  

[br num=”1″]
さらに細かい情報を確認したい場合は、「show security ike security-associations detail」で確認できます。

【正常性確認②】IPsecVPN(Phase2)が確立される事

FW1/FW2の間で正常にIPsecVPN(Phase2)が確立されている事を確認します。
[br num=”1″]
IPsecVPN(Phase2)が正常に確立されている事を確認する場合は、「show security ipsec security-associations」で確認できます。
[br num=”1″]

▼ IPsecVPN(Phase2)の確立確認 ▼

testuser@FW1> show security ipsec security-associations 
  Total active tunnels: 1     Total Ipsec sas: 1
  ID    Algorithm       SPI      Life:sec/kb  Mon lsys Port  Gateway   
  <131073 ESP:3des/sha1 f5656876 1672/ unlim   -   root 500   10.100.12.2     
  >131073 ESP:3des/sha1 efa83ee3 1672/ unlim   -   root 500   10.100.12.2    

testuser@FW2> show security ipsec security-associations 
  Total active tunnels: 1     Total Ipsec sas: 1
  ID    Algorithm       SPI      Life:sec/kb  Mon lsys Port  Gateway   
  <131073 ESP:3des/sha1 efa83ee3 1620/ unlim   -   root 500   10.100.12.1     
  >131073 ESP:3des/sha1 f5656876 1620/ unlim   -   root 500   10.100.12.1    

さらに細かい情報を確認したい場合は、「show security ipsec security-associations detail 」で確認可能です。

【正常性確認③】PC1からPC2へPingが通る事

再度にPC1からPC2への疎通試験を実施します。

まず最初にFW1にてIPsec通信の統計情報を確認します。
現時点ではIPsecトンネルを通る通信が記録されていない事を確認します。

testuser@FW1> show security ipsec statistics                    
ESP Statistics:
  Encrypted bytes:                0
  Decrypted bytes:                0
  Encrypted packets:              0
  Decrypted packets:              0
AH Statistics:
  Input bytes:                    0
  Output bytes:                   0
  Input packets:                  0
  Output packets:                 0
Errors:
  AH authentication failures: 0, Replay errors: 0
  ESP authentication failures: 0, ESP decryption failures: 0
  Bad headers: 0, Bad trailers: 0   

ではPC1からPC2へpingを実行しましょう！
以下の通り、正常に疎通できている事を確認出来ます。

testuser@PC1> ping 10.100.22.2 rapid count 100 
PING 10.100.22.2 (10.100.22.2): 56 data bytes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!

また、IPsecトンネル経由で通信できる事をtracerouteで確認します！
以下の通り、トンネルインターフェース(10.100.200.0/24)経由で通信できる事を確認出来ました。

testuser@PC1> traceroute 10.100.22.2    
traceroute to 10.100.22.2 (10.100.22.2), 30 hops max, 52 byte packets
 1  10.100.11.1 (10.100.11.1)  2.424 ms  1.211 ms  0.987 ms
 2  10.100.200.2 (10.100.200.2)  1.843 ms  0.981 ms  1.035 ms
 3  10.100.22.2 (10.100.22.2)  3.125 ms  2.083 ms  1.990 ms

最後にFW1にてIPsec通信の統計情報を確認します。
以下の通り、ESP Statistics部分のカウントが上昇している事を確認しましょう！

testuser@FW1> show security ipsec statistics    
ESP Statistics:
  Encrypted bytes:            11968
  Decrypted bytes:             7392
  Encrypted packets:             88
  Decrypted packets:             88
AH Statistics:
  Input bytes:                    0
  Output bytes:                   0
  Input packets:                  0
  Output packets:                 0
Errors:
  AH authentication failures: 0, Replay errors: 0
  ESP authentication failures: 0, ESP decryption failures: 0
  Bad headers: 0, Bad trailers: 0

まとめ

最後までお読み頂きましてありがとうございます。
[br num=”1″]
Juniperに関する記事は以下にまとめております。
ご興味のある方は是非ご覧ください。