1.4. 共通機能をファイアウォール経由で利用する際のNAT構成例

ファイアウォール配下のサーバセグメントから共通機能ゲートウェイを介し、共通機能プールへ接続する構成例を示します。今回のケースはNTPサーバへのアクセスを想定しています。

1.4.1. システム構成図

Server-01,02 がファイアウォールを経由し、共通機能プールのNTPサーバへアクセスできるよう構成しています。

• Server-01,02 のゲートウェイとして、FW-01,02 でVRRPを設定し冗長構成としています。
• Server-01,02 からNTPサーバへの通信をFWでSNATするよう構成しています。
• FW-01,02のインターフェイス(ge-0/0/0,ge-0/0/1)は内部ネットワークを想定したためゾーンをTrustとしています。

1.4.2. ファイアウォール設定の内容

ファイアウォールインターフェイス設定

注釈

vSRXへのインターフェイスへのIPアドレス設定前に、カスタマーポータル画面で利用インターフェイスとIPアドレス設定をお願いします。

• FW-01

# set interfaces ge-0/0/0 unit 0 family inet address 192.168.4.12/28
# set interfaces ge-0/0/1 unit 0 family inet address 169.254.0.5/17

• FW-02

# set interfaces ge-0/0/0 unit 0 family inet address 192.168.4.13/28
# set interfaces ge-0/0/1 unit 0 family inet address 169.254.0.6/17

VRRP設定

サーバセグメントの冗長設定を以下に示します。

VRRP設定前に、必ずカスタマーポータル上で 「許可されたアドレスペアの編集」 を実施いただく必要があります。

• FW-01

# set security zones security-zone trust host-inbound-traffic protocols all
# set interfaces ge-0/0/0 unit 0 family inet address 192.168.4.12/28 vrrp-group 4 virtual-address 192.168.4.11
# set interfaces ge-0/0/0 unit 0 family inet address 192.168.4.12/28 vrrp-group 4 priority 110
# set interfaces ge-0/0/0 unit 0 family inet address 192.168.4.12/28 vrrp-group 4 preempt
# set interfaces ge-0/0/0 unit 0 family inet address 192.168.4.12/28 vrrp-group 4 accept-data

• FW-02

# set security zones security-zone trust host-inbound-traffic protocols all
# set interfaces ge-0/0/0 unit 0 family inet address 192.168.4.13/28 vrrp-group 4 virtual-address 192.168.4.11
# set interfaces ge-0/0/0 unit 0 family inet address 192.168.4.13/28 vrrp-group 4 priority 90
# set interfaces ge-0/0/0 unit 0 family inet address 192.168.4.13/28 vrrp-group 4 preempt
# set interfaces ge-0/0/0 unit 0 family inet address 192.168.4.13/28 vrrp-group 4 accept-data

NAT設定(SNAT)

サーバの送信元IPアドレスを、ファイアウォールにて共通機能ゲートウェイセグメントのIPアドレスへSNATを行う設定を以下に示します。

• FW-01/FW-02

# set security nat source rule-set 1 from zone trust
# set security nat source rule-set 1 to interface ge-0/0/1.0
# set security nat source rule-set 1 rule 1 match source-address 192.168.4.4/30
# set security nat source rule-set 1 rule 1 then source-nat interface

設定内容の確認

前述の設定が正しく投入されている場合、以下出力が確認できます。

• FW-01/FW-02

security {
    nat {
        source {
            rule-set 1 {
                from zone trust;
                to interface ge-0/0/1.0;
                rule 1 {
                    match {
                        source-address 192.168.4.4/30;
                    }
                    then {
                        source-nat {
                            interface;
                        }
                    }
                }
            }
        }
    }
}

1.4.3. 通信の流れ

Server-01,02 は正常時、MasterであるFW-01を通過してNTPサーバへ通信を行います。

正常通信時の状態確認

正常通信時のファイアウォールの状態は以下のように確認できます。

• VRRPの状態

FW-01 が Master であること。

user01@FW-01> show vrrp
Interface     State       Group   VR state VR Mode   Timer    Type   Address
ge-0/0/0.0    up              4   master   Active      A  0.933 lcl    192.168.4.12
                                                                vip    192.168.4.11

FW-02 が Backup であること。

user01@FW-02> show vrrp
Interface     State       Group   VR state VR Mode   Timer    Type   Address
ge-0/0/0.0    up              4   backup   Active      D  2.719 lcl    192.168.4.13
                                                                vip    192.168.4.11
                                                                mas    192.168.4.12

• NAT変換の状態

FW-01 を通過する Server-01,02 の送信元IPアドレスが、設定通りSNATされていること。

user01@FW-01> show security flow session
Session ID: 4601, Policy name: default-permit/4, Timeout: 52, Valid
  In: 192.168.4.6/37534 --> 169.254.127.1/123;udp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 1, Bytes: 76,
  Out: 169.254.127.1/123 --> 169.254.0.5/22817;udp, Conn Tag: 0x0, If: ge-0/0/1.0, Pkts: 1, Bytes: 76,

Session ID: 4602, Policy name: default-permit/4, Timeout: 52, Valid
  In: 192.168.4.5/38655 --> 169.254.127.1/123;udp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 1, Bytes: 76,
  Out: 169.254.127.1/123 --> 169.254.0.5/30005;udp, Conn Tag: 0x0, If: ge-0/0/1.0, Pkts: 1, Bytes: 76,

 (省略)

注釈

FW-02 のVRRPは(backup)であるためサーバからの通信はありません。よってNATの変換ログはありません。

Serverでの同期確認

以下の通り、NTPサーバ（169.254.127.1）と同期が取れております。

NTPサーバアドレスの前に*または+が表示されれば時刻同期中の状態です。

• Server-01

[root@server01 user01]# chronyc sources
210 Number of sources = 1
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^* 169.254.127.1                 2   6    17    29   -156us[ -465us] +/-   36ms

• Server-02

[root@server02 user01]#   chronyc sources
210 Number of sources = 1
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^* 169.254.127.1                 2   6    17     1    -36us[ -130us] +/-   34ms

1.4.4. 障害発生時の通信の流れ

FW-01 にインスタンス障害が発生した場合、Server-01,02 はFW-02を通過してNTPサーバへ通信を行います。

注釈

インスタンス障害の試験方法として、FW-01 の VRRP IFを一時的に無効化する手法を採用しております。インターフェイスの無効化・有効化のコマンドは以下のとおりです。

• インターフェイス無効化の設定コマンド

  # set interfaces ge-0/0/0.0 disable

  # set interfaces ge-0/0/1.0 disable

• インターフェイス有効化の設定コマンド

  # delete interfaces ge-0/0/0.0 disable

  # delete interfaces ge-0/0/1.0 disable

障害発生時の状態確認

障害発生時のファイアウォールの状態は以下のように確認できます。

• VRRPの状態

FW-01 の VRRP が起動していないこと。

user01@FW-01> show vrrp
VRRP is not running

注釈

先ほどのインターフェイス無効化設定によりFW-01 のVRRPは停止中のため、状態は表示されません。

FW-02 が Master であること。

user01@FW-02> show vrrp
Interface     State       Group   VR state VR Mode   Timer    Type   Address
ge-0/0/0.0    up              4   master   Active      A  0.115 lcl    192.168.4.13
                                                                vip    192.168.4.11

• NAT変換の状態

FW-02 を通過する Server-01,02 の送信元IPアドレスが、設定通りSNATされていること。

user01@FW-02> show security flow session

 (中略)

Session ID: 4719, Policy name: default-permit/4, Timeout: 18, Valid
  In: 192.168.4.6/33963 --> 169.254.127.1/123;udp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 1, Bytes: 76,
  Out: 169.254.127.1/123 --> 169.254.0.6/8795;udp, Conn Tag: 0x0, If: ge-0/0/1.0, Pkts: 1, Bytes: 76,

Session ID: 4720, Policy name: default-permit/4, Timeout: 18, Valid
  In: 192.168.4.5/51084 --> 169.254.127.1/123;udp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 1, Bytes: 76,
  Out: 169.254.127.1/123 --> 169.254.0.6/10739;udp, Conn Tag: 0x0, If: ge-0/0/1.0, Pkts: 1, Bytes: 76,
Total sessions: 3

注釈

FW-01 のVRRPは停止中のため、通信はありません。よってNAT変換のログはありません。

Serverでの同期確認

ファイアウォール障害発生時でもServerの同期の確認が取れています。

※NTPサーバアドレスの前に*または+が表示されれば時刻同期中の状態です。

• Server-01 NTP同期確認ログ

[root@server01 user01]#  chronyc sources
210 Number of sources = 1
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^* 169.254.127.1                 2   6    17    10    +86us[ +882us] +/-   39ms

• Server-02　NTP同期確認ログ

[root@server02 user01]#  chronyc sources
210 Number of sources = 1
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^* 169.254.127.1                 2   6    77    56   -358us[-1294us] +/-   38ms

目次

1. システム構成例

• 1. 大規模基幹系システム
• 2. 中規模基幹系システム
• 3. 小規模基幹系システム
• 4. IT（Office）基盤系システム
• 5. インターネットGWシステム
• 6. 社外向けシステム
• 7. マルチクラウドマネジメント
• 8. SAP HANAを活用した基幹系システム

2. VMware各種ガイド

• 1. VMware環境構築ガイド

3. SAP HANA各種ガイド

• 1. SAP HANAサーバー HA構成設定ガイド
• 2. SAP HANAサーバーのシステムバックアップリストアガイド
• 3. SAP HANAサーバー スケールアップガイド

4. Hyper-V 各種クラスタガイド

• 1. クラスター構築シナリオ別ガイド
• 2. クラスター構築サンプルスクリプト別ガイド
• 3. クラスターアーキテクチャガイド

5. Oracle各種ガイド

• 1. Oracle RAC構築手順例
• 2. Oracle RAC構築支援ツール利用ガイド

7. Arcserve構成ガイド

• Arcserve UDP 7.0を用いたSmart Data Platform でのバックアップリストア運用例
• 1. Arcserve UDP v6.5 から 7.0 へのアップグレード手順
• 2. Arcserve UDP(旧バージョン) を用いたSmart Data Platformサーバーインスタンスへの移行例
• バックアップメニューのArcserveへの移行手順

8. Veeam Backup & Replication 構成ガイド

• 1. Veeam Backup & Replicationのレプリケーション機能を用いたDR/マイグレーションシステム構築ガイド(2020/4/30 サービス終了)

9. SD-Exchange構成ガイド

• 1. 同一リージョン内でコロケーションラックとAmazon Web Services(VPC)を接続する場合の構成例
• 2. 異なるリージョンのコロケーションラック同士を接続する場合の構成例
• 3. 異なるリージョンのコロケーションラックとSDPFサーバーインスタンスを接続する場合の構成例

10. Exchange構成ガイド

• 1. Exchange構築手順例

11. ファイアウォール(vSRX)構成ガイド

• 1. ファイアウォール(vSRX)構成ガイド

12. ロードバランサー(NetScaler VPX)構成ガイド

• 1. ロードバランサー(NetScaler VPX)構成ガイド

13. ファイアウォール(Brocade 5600 vRouter)からファイアウォール(vSRX)/Managed Firewallへの移行ガイド

• 1. ファイアウォール(Brocade 5600 vRouter)からファイアウォール(vSRX)/Managed Firewallへの移行ガイド

14. バックアップソリューション

• 1. バックアップソリューション　Flexible InterConnect/IaaS Powered by VMware/Wasabiオブジェクトストレージ/Arcserve

15. TIBCO Spotfire®︎構成ガイド

• 1. はじめに
• 2. Spotfire構築手順

16. 暗号化ソリューション

• 1. 暗号化ソリューション

17. 環境構築自動化・データ匿名化ソリューション

• 1. 環境構築自動化・匿名データ活用ソリューション　tasokarena/Terraform/Ansible

18. ログ蓄積・活用ソリューション

• 1. ログ蓄積・活用ソリューション　Flexible InterConnect/Wasabiオブジェクトストレージ/ログ管理ツール/Windows用S3互換ストレージマウントツール

19. バックアップソリューション

• 1. バックアップソリューション　Flexible InterConnect/サーバーインスタンス/Wasabiオブジェクトストレージ/Arcserve

20. ランサムウェア対策ソリューション

• 1. ランサムウェア対策ソリューション　Flexible InterConnect/Wasabiオブジェクトストレージ/Arcserve

21. M365バックアップソリューション

• 1. M365バックアップソリューション　Flexible InterConnect/Microsoft 365/Wasabiオブジェクトストレージ/Arcserve

22. FRAログ保存ソリューション

• 1. FRAログ保存ソリューション　Flexible Remote Access/Flexible InterConnect/Wasabiオブジェクトストレージ

23. バックアップ回線ソリューション

• 1. バックアップ回線ソリューション Flexible InterConnect/Super OCN Flexible Connect/Arcstar Universal One

24. IoT機器導入ソリューション【手動構築】

• 1. IoT機器導入ソリューション【手動構築】IoT Connect Mobile Type S/IoT Connect Gateway/Things Cloud/Hybrid Cloud with Microsoft Azure(Azure IoT Hub)/Wasabiオブジェクトストレージ

25. IoT機器導入ソリューション【自動構築】

• 1. IoT機器導入ソリューション【自動構築】IoT Connect Mobile Type S/IoT Connect Gateway/Things Cloud/Hybrid Cloud with Microsoft Azure(Azure IoT Hub/Azure DevOps)

26. IoT機器活用ソリューション

• 1. IoT機器活用ソリューション IoT Connect Mobile Type S/IoT Connect Gateway/Things Cloud/Wasabiオブジェクトストレージ

27. 操作ログ転送機能ログ一覧化手順

• 1. 操作ログ転送機能のログ一覧化手順

28. 改訂履歴

• 1. 改訂履歴

---

1.3. サイト間VPN構成例

1.5. グローバルIPアドレス1個を利用したインターネットゲートウェイ接続 (NAT＋上下VRRP冗長)