異なるバージョン間の切替 (パターン1)¶
利用中のファイアウォール (冗長構成) を新バージョンのファイアウォール (冗長構成) へ切替する手順をご説明します。新バージョンのファイアウォールでは、旧バージョンのファイアウォールで使用していたIPアドレスを引き継がず、別のIPアドレスを設定する切替方法です。
弊社では、以下に示すバージョンの組み合わせで動作確認を行なっております。
| 旧バージョン | 新バージョン |
| 15.1X49-D105.1 | 19.2R1.8 |
| 19.2R1.8 | 20.4R2 |
前提条件¶
- 詳細情報 に記載の通り、バージョンアップはできません。
- 新旧バージョンでVRRPを組んで旧FWから新FWへ切替する手順としています。
- 新バージョンでの機能確認はお客様にて事前に実施下さい。
- 本切替手順はパターン2と比較すると、切戻しが発生した場合の切戻し所要時間が短くなります。
- 旧バージョンから新バージョンへの切替前・後で、お客様システムの通信に影響があるかどうかを含めたファイアウォールの動作確認は、お客様にて実施下さい。
- 本ドキュメントではPublicIPが「203.0.113.1」であるものとして記載致します。
- 本ドキュメントでは管理用NWが「10.0.0.0/24」、管理用IF(ge-0/0/0.0)のIPアドレスはそれぞれ、旧FW1:10.0.0.101、旧FW2:10.0.0.102として記載します。
- 本手順では下記に示す設定が入っている状態で動作確認を行なっています。
旧FW1の設定
#vrrp設定
set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.101/24 vrrp-group 10 virtual-address 10.0.10.100
set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.101/24 vrrp-group 10 priority 200
set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.101/24 vrrp-group 10 preempt
set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.101/24 vrrp-group 10 accept-data
set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.101/24 vrrp-group 100 virtual-address 192.168.1.100
set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.101/24 vrrp-group 100 priority 200
set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.101/24 vrrp-group 100 preempt
set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.101/24 vrrp-group 100 accept-data
#address-group設定
set security address-book global address SV01 192.168.1.11/32
#nat設定
set security nat source rule-set RULE from zone trust
set security nat source rule-set RULE to zone untrust
set security nat source rule-set RULE rule 10 match source-address 192.168.0.0/16
set security nat source rule-set RULE rule 10 then source-nat interface
set security nat destination pool POOL1 address 192.168.1.11/32
set security nat destination rule-set RULE from zone untrust
set security nat destination rule-set RULE rule 10 match destination-address 203.0.113.1/32
set security nat destination rule-set RULE rule 10 then destination-nat pool POOL1
#firewall設定
set security policies from-zone trust to-zone untrust policy rule_10 match source-address any
set security policies from-zone trust to-zone untrust policy rule_10 match destination-address any
set security policies from-zone trust to-zone untrust policy rule_10 match application HTTP_PING
set security policies from-zone trust to-zone untrust policy rule_10 then permit
set security policies from-zone trust to-zone untrust policy rule_10 then log session-init
set security policies from-zone trust to-zone untrust policy rule_10 then log session-close
set security policies from-zone untrust to-zone trust policy rule_10 match source-address any
set security policies from-zone untrust to-zone trust policy rule_10 match destination-address SV01
set security policies from-zone untrust to-zone trust policy rule_10 match application HTTP_PING
set security policies from-zone untrust to-zone trust policy rule_10 then permit
set security policies from-zone untrust to-zone trust policy rule_10 then log session-init
set security policies from-zone untrust to-zone trust policy rule_10 then log session-close
#zone設定
set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic protocols vrrp
set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic protocols vrrp
#application-set設定
set applications application HTTP application-protocol http
set applications application PING protocol icmp
set applications application-set HTTP_PING application HTTP
set applications application-set HTTP_PING application PING
#system設定
set system host-name FW1
set system time-zone Asia/Tokyo
旧FW2の設定
#vrrp設定
set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.102/24 vrrp-group 10 virtual-address 10.0.10.100
set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.102/24 vrrp-group 10 priority 100
set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.102/24 vrrp-group 10 preempt
set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.102/24 vrrp-group 10 accept-data
set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.102/24 vrrp-group 100 virtual-address 192.168.1.100
set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.102/24 vrrp-group 100 priority 100
set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.102/24 vrrp-group 100 preempt
set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.102/24 vrrp-group 100 accept-data
#address-group設定
set security address-book global address SV01 192.168.1.11/32
#nat設定
set security nat source rule-set RULE from zone trust
set security nat source rule-set RULE to zone untrust
set security nat source rule-set RULE rule 10 match source-address 192.168.0.0/16
set security nat source rule-set RULE rule 10 then source-nat interface
set security nat destination pool POOL1 address 192.168.1.11/32
set security nat destination rule-set RULE from zone untrust
set security nat destination rule-set RULE rule 10 match destination-address 203.0.113.1/32
set security nat destination rule-set RULE rule 10 then destination-nat pool POOL1
#firewall設定
set security policies from-zone trust to-zone untrust policy rule_10 match source-address any
set security policies from-zone trust to-zone untrust policy rule_10 match destination-address any
set security policies from-zone trust to-zone untrust policy rule_10 match application HTTP_PING
set security policies from-zone trust to-zone untrust policy rule_10 then permit
set security policies from-zone trust to-zone untrust policy rule_10 then log session-init
set security policies from-zone trust to-zone untrust policy rule_10 then log session-close
set security policies from-zone untrust to-zone trust policy rule_10 match source-address any
set security policies from-zone untrust to-zone trust policy rule_10 match destination-address SV01
set security policies from-zone untrust to-zone trust policy rule_10 match application HTTP_PING
set security policies from-zone untrust to-zone trust policy rule_10 then permit
set security policies from-zone untrust to-zone trust policy rule_10 then log session-init
set security policies from-zone untrust to-zone trust policy rule_10 then log session-close
#zone設定
set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic protocols vrrp
set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic protocols vrrp
#application-set設定
set applications application HTTP application-protocol http
set applications application PING protocol icmp
set applications application-set HTTP_PING application HTTP
set applications application-set HTTP_PING application PING
#system設定
set system host-name FW2
set system time-zone Asia/Tokyo
切替作業イメージ¶
ファイアウォール (vSRX) の切替作業のイメージを、以下に説明します。
1. ロジカルネットワーク1とロジカルネットワーク2で、それぞれVRRPを動作させていることが前提となります。
2. 新バージョンのファイアウォールインスタンスを作成し、旧バージョンのファイアウォールと同様にロジカルネットワークへ接続しておきます。
同時にSDPFカスタマーポータルからVRRP通信設定の登録を該当インターフェースに実施します。
3. 新バージョンのファイアウォールで管理用インターフェースを設定し、事前に準備したコンフィグレーションファイルの転送を行います。
4. 新バージョンのファイアウォールに旧バージョンのファイアウォールと同様の設定を行います。
※ ただし、VRRP設定は除く
5. 新バージョンのファイアウォールでVRRPを設定し、旧バージョンで動作しているVRRPに参加させます。
6. 事前に準備した切替用のコンフィグを新バージョンのファイアウォール1号機 (新FW1) に適用し、VRRP Masterを新FW1に切替ます。正常に切替することを確認します。
注釈
vSRX の仕様として、VRRPの切替時間について、デフォルト設定でAdvertise Interval×3回に加え約4秒程度必要とするため、トラフィックの切替完了までに約7秒程度 (ICMP通信で測定) 必要です。
注釈
新FW1を経由した通信が安定したことを確認した後に新バージョンのファイアウォール2号機 (新FW2) のVRRP Priority値を変更します。新バージョンのファイアウォールを経由した通信が安定していることを確認します。 新FW1を経由した通信がNGのまま回復しない場合、具体的な切戻し手順は、本ガイド「9. 切戻し手順」をご確認ください。
7. 新バージョンのファイアウォールを経由した通信が安定したことを確認した後、旧バージョンのファイアウォールを削除します。
8. 新バージョンのファイアウォールのVRRP Priority値を旧バージョンのファイアウォールのVRRP Priority値と同一の値に設定します。
9. 新バージョンのファイアウォールを経由した通信がNGのまま回復しない場合、切戻しを行います。
作業手順¶
1. 事前確認¶
1-1. 旧FWのコンフィグを保存する。
1-1-1. 下記のコマンドを実行して、旧バージョンのファイアウォール (旧FW1) にログインします。
ubuntu@ubuntu:~$ ssh user@10.0.0.101
Password:
Last login: Fri Feb 7 16:07:30 2020 from 10.0.0.254
--- JUNOS 15.1X49-D105.1 built 2018-03-28 00:45:38 UTC
1-1-2. 下記のコマンドを実行して、旧FW1のVRRPステータスを確認します。設定されたVRRPのStateがMASTER/BACKUPと表示されており、想定したStateと一致していることを確認して下さい。
user@FW1> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 10 master Active A 15.236lcl 10.0.10.101
vip 10.0.10.100
ge-0/0/2.0 up 100 master Active A 1.739 lcl 192.168.1.101
vip 192.168.1.100
1-1-3. 設定を保存します。
(コンフィグレーションの保存_リストア を参考にして、設定コンフィグの保存を実施して下さい。)
また、以下の下記のコマンドを実行して、出力された設定をファイルに保存して下さい。
user@FW1> show configuration | display set | no-more
注釈
保存したコンフィグレーションファイルでホスト名、IPアドレス設定、VRRP設定等、お客様環境に応じて設定変更を行ってください。 本手順では、以下のように変更しております。
また、事業者が設定するコンフィグレーションは各インスタンス固有の値となりますので、 (事業者が設定するコンフィグレーションの説明 を参考にして保存時に削除するようにお願いします。)
<新FW1に投入するためのコンフィグを以下のように作成>
set system host-name FW3
set system time-zone Asia/Tokyo
set security address-book global address SV01 192.168.1.11/32
set security nat source rule-set RULE from zone trust
set security nat source rule-set RULE to zone untrust
set security nat source rule-set RULE rule 10 match source-address 192.168.0.0/16
set security nat source rule-set RULE rule 10 then source-nat interface
set security nat destination pool POOL1 address 192.168.1.11/32
set security nat destination rule-set RULE from zone untrust
set security nat destination rule-set RULE rule 10 match destination-address 203.0.113.1/32
set security nat destination rule-set RULE rule 10 then destination-nat pool POOL1
set security policies from-zone trust to-zone untrust policy rule_10 match source-address any
set security policies from-zone trust to-zone untrust policy rule_10 match destination-address any
set security policies from-zone trust to-zone untrust policy rule_10 match application HTTP_PING
set security policies from-zone trust to-zone untrust policy rule_10 then permit
set security policies from-zone trust to-zone untrust policy rule_10 then log session-init
set security policies from-zone trust to-zone untrust policy rule_10 then log session-close
set security policies from-zone untrust to-zone trust policy rule_10 match source-address any
set security policies from-zone untrust to-zone trust policy rule_10 match destination-address SV01
set security policies from-zone untrust to-zone trust policy rule_10 match application HTTP_PING
set security policies from-zone untrust to-zone trust policy rule_10 then permit
set security policies from-zone untrust to-zone trust policy rule_10 then log session-init
set security policies from-zone untrust to-zone trust policy rule_10 then log session-close
set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic protocols vrrp
set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic protocols vrrp
set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.111/24
set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.111/24
set applications application HTTP application-protocol http
set applications application PING protocol icmp
set applications application-set HTTP_PING application HTTP
set applications application-set HTTP_PING application PING
1-1-4. 下記のコマンドを実行して、旧バージョンのファイアウォール (旧FW2) にログインします。
ubuntu@ubuntu:~$ ssh user@10.0.0.102
Password:
Last login: Fri Feb 7 16:07:30 2020 from 10.0.0.254
--- JUNOS 15.1X49-D105.1 built 2018-03-28 00:45:38 UTC
1-1-5. 下記のコマンドを実行して、旧FW2のVRRPステータスを確認します。設定されたVRRPのStateがMASTER/BACKUPと表示されており、想定したStateと一致していることを確認して下さい。
user@FW2> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 10 backup Active D 55.187lcl 10.0.10.102
vip 10.0.10.100
mas 10.0.10.101
ge-0/0/2.0 up 100 backup Active D 44.710lcl 192.168.1.102
vip 192.168.1.100
mas 192.168.1.101
1-1-6. 設定を保存します。
(コンフィグレーションの保存_リストア を参考にして、設定コンフィグの保存を実施して下さい。)
また、以下の下記のコマンドを実行して、出力された設定をファイルに保存して下さい。
user@FW2> show configuration | display set | no-more
注釈
保存したコンフィグレーションファイルでホスト名、IPアドレス設定、VRRP設定等、お客様環境に応じて設定変更を行ってください。 本手順では、以下のように変更しております。
また、事業者が設定するコンフィグレーションは各インスタンス固有の値となりますので、 (事業者が設定するコンフィグレーションの説明 を参考にして保存時に削除するようにお願いします。)
<新FW2に投入するためのコンフィグを以下のように作成>
set system host-name FW4
set system time-zone Asia/Tokyo
set security address-book global address SV01 192.168.1.11/32
set security nat source rule-set RULE from zone trust
set security nat source rule-set RULE to zone untrust
set security nat source rule-set RULE rule 10 match source-address 192.168.0.0/16
set security nat source rule-set RULE rule 10 then source-nat interface
set security nat destination pool POOL1 address 192.168.1.11/32
set security nat destination rule-set RULE from zone untrust
set security nat destination rule-set RULE rule 10 match destination-address 203.0.113.1/32
set security nat destination rule-set RULE rule 10 then destination-nat pool POOL1
set security policies from-zone trust to-zone untrust policy rule_10 match source-address any
set security policies from-zone trust to-zone untrust policy rule_10 match destination-address any
set security policies from-zone trust to-zone untrust policy rule_10 match application HTTP_PING
set security policies from-zone trust to-zone untrust policy rule_10 then permit
set security policies from-zone trust to-zone untrust policy rule_10 then log session-init
set security policies from-zone trust to-zone untrust policy rule_10 then log session-close
set security policies from-zone untrust to-zone trust policy rule_10 match source-address any
set security policies from-zone untrust to-zone trust policy rule_10 match destination-address SV01
set security policies from-zone untrust to-zone trust policy rule_10 match application HTTP_PING
set security policies from-zone untrust to-zone trust policy rule_10 then permit
set security policies from-zone untrust to-zone trust policy rule_10 then log session-init
set security policies from-zone untrust to-zone trust policy rule_10 then log session-close
set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic protocols vrrp
set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic protocols vrrp
set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.112/24
set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.112/24
set applications application HTTP application-protocol http
set applications application PING protocol icmp
set applications application-set HTTP_PING application HTTP
set applications application-set HTTP_PING application PING
2. 新FWの作成¶
2-1. 新FW1を作成する。
2-1-1. SDPFカスタマーポータルから、新規に新FW1を作成します。
(ファイアウォール インスタンスの申込方法 を参考にして、ファイアウォール作成して下さい。)
また、必要に応じてデフォルトゲートウェイを設定して下さい。
(デフォルトルート設定 を参考にして、デフォルトゲートウェイを設定して下さい。)
注釈
- デフォルトゲートウェイはファイアウォール作成時にのみカスタマーポータルで設定が可能です。
- ファイアウォールを作成するゾーンおよびグループを選択してください。また、指定したゾーン/グループを記録してください。
2-1-2. SDPFカスタマーポータルから、作成した新FW1にロジカルネットワークを接続します。
(カスタマーポータルからの申込操作方法 を参考にして、インターフェースを接続して下さい。)
注釈
ロジカルネットワークと接続が必要なインターフェースは全て実行します。また、インターフェースのIPアドレス設定は、旧バージョンのファイアウォールと異なるIPアドレスを設定し、VRRP用仮想IPアドレスは、旧バージョンのファイアウォールと同一のIPアドレスを設定します。
2-1-3. SDPFカスタマーポータルから、新FW1のインターフェースにVRRP用通信設定を登録します。
(VRRP用通信設定の登録 を参考にして、VRRP用通信設定を登録して下さい。)
2-2. 新FW2を作成する。
2-2-1. SDPFカスタマーポータルから、新規に新FW2を作成します。
(ファイアウォール インスタンスの申込方法 を参考にして、ファイアウォールを作成して下さい。)
注釈
- デフォルトゲートウェイはファイアウォール作成時にのみカスタマーポータルで設定が可能です。
- 新FW2作成時に選択するゾーン/グループは、新FW1と異なるゾーン/グループを選択してください。
2-2-2. SDPFカスタマーポータルから、作成した新FW2にロジカルネットワークを接続します。
(カスタマーポータルからの申込操作方法 を参考にして、インターフェースを接続して下さい。)
注釈
ロジカルネットワークと接続が必要なインターフェースは全て実行します。また、インターフェースのIPアドレス設定は、旧バージョンのファイアウォールと異なるIPアドレスを設定し、VRRP用仮想IPアドレスは、旧バージョンのファイアウォールと同一のIPアドレスを設定します。
2-2-3. SDPFカスタマーポータルから、新FW2のインターフェースにVRRP用通信設定を登録します。
(VRRP用通信設定の登録 を参考にして、VRRP用通信設定を登録して下さい。)
3. 設定の保存とSCP転送¶
3-1. 作成した新FW1の設定コンフィグをSCP転送
3-1-1. 下記のコマンドを実行して、新FW1にログインします。
ubuntu@ubuntu:~$ ssh user@10.0.0.111
Password:
Last login: Fri Feb 7 16:07:30 2020 from 10.0.0.254
--- JUNOS 15.1X49-D105.1 built 2018-03-28 00:45:38 UTC
3-1-2. 下記のコマンドを実行して、SCP接続用の管理用IFの設定を実施します。
user> configure
Entering configuration mode
[edit]
user# set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services ssh
user# set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services ping
user# set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.111/24
3-1-3. 下記のコマンドを実行して、設定投入したコンフィグとの差分を確認して下さい。
user# show | compare
注釈
SCP転送先ディレクトリ (/var/home/user/) は弊社検証時に使用したものになります。お客様が本手順を実施の際にはお客様の環境に合わせてコンフィグレーションファイルを転送してください。
3-1-4. 下記のコマンドを実行して、設定を反映し、ファイアウォールのコンフィグを取り込みます。
user# commit check
configuration check succeeds
user# commit
commit complete
3-1-5. SCP転送端末から新FW1の設定コンフィグを移動します。
[server ~]# scp /home/user/ChangeToDifferentVersion_PTN1_vSRX01.conf user@10.0.0.111:/var/home/user/
注釈
弊社検証時にはLinux端末でSCPファイル転送を行っております。お客様が本手順を実施の際にはお客様の環境に合わせてコンフィグレーションファイルを転送してください。
3-1-6. 下記のコマンドを実行して、上記手順にて取得したファイルを確認します。
user> file show ?
Possible completions:
<filename> Filename to show
ChangeToDifferentVersion_PTN1_vSRX01.conf Size: 2345, Last changed: Feb 14 14:52:11
encoding Encode file contents
rollback-config_20200207 Size: 6963, Last changed: Feb 07 11:15:12
user> file show ChangeToDifferentVersion_PTN1_vSRX01.conf | no-more
set system host-name FW3
set system time-zone Asia/Tokyo
set security address-book global address SV01 192.168.1.11/32
set security nat source rule-set RULE from zone trust
set security nat source rule-set RULE to zone untrust
set security nat source rule-set RULE rule 10 match source-address 192.168.0.0/16
set security nat source rule-set RULE rule 10 then source-nat interface
set security nat destination pool POOL1 address 192.168.1.11/32
set security nat destination rule-set RULE from zone untrust
set security nat destination rule-set RULE rule 10 match destination-address 203.0.113.1/32
set security nat destination rule-set RULE rule 10 then destination-nat pool POOL1
set security policies from-zone trust to-zone untrust policy rule_10 match source-address any
set security policies from-zone trust to-zone untrust policy rule_10 match destination-address any
set security policies from-zone trust to-zone untrust policy rule_10 match application HTTP_PING
set security policies from-zone trust to-zone untrust policy rule_10 then permit
set security policies from-zone trust to-zone untrust policy rule_10 then log session-init
set security policies from-zone trust to-zone untrust policy rule_10 then log session-close
set security policies from-zone untrust to-zone trust policy rule_10 match source-address any
set security policies from-zone untrust to-zone trust policy rule_10 match destination-address SV01
set security policies from-zone untrust to-zone trust policy rule_10 match application HTTP_PING
set security policies from-zone untrust to-zone trust policy rule_10 then permit
set security policies from-zone untrust to-zone trust policy rule_10 then log session-init
set security policies from-zone untrust to-zone trust policy rule_10 then log session-close
set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic protocols vrrp
set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic protocols vrrp
set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.111/24
set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.111/24
set applications application HTTP application-protocol http
set applications application PING protocol icmp
set applications application-set HTTP_PING application HTTP
set applications application-set HTTP_PING application PING
3-2. 作成した新FW2の設定コンフィグをSCP転送
3-2-1. 下記のコマンドを実行して、新FW2にログインします。
ubuntu@ubuntu:~$ ssh user@10.0.0.112
Password:
Last login: Fri Feb 7 16:07:30 2020 from 10.0.0.254
--- JUNOS 15.1X49-D105.1 built 2018-03-28 00:45:38 UTC
3-2-2. 下記のコマンドを実行して、SCP接続用の管理用IFの設定を実施します。
user> configure
Entering configuration mode
[edit]
user# set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services ssh
user# set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services ping
user# set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.112/24
3-2-3. 下記のコマンドを実行して、設定投入したコンフィグとの差分を確認して下さい。
user# show | compare
注釈
SCP転送先ディレクトリ (/var/home/user/) は弊社検証時に使用したものになります。お客様が本手順を実施の際にはお客様の環境に合わせてコンフィグレーションファイルを転送してください。
3-2-4. 下記のコマンドを実行して、設定を反映し、ファイアウォールのコンフィグを取り込みます。
user# commit check
configuration check succeeds
user# commit
commit complete
3-2-5. SCP転送端末から新FW2の設定コンフィグを移動します。
[server ~]# scp /home/user/ChangeToDifferentVersion_PTN1_vSRX02.conf user@10.0.0.112:/var/home/user/
注釈
弊社検証時にはLinux端末でSCPファイル転送を行っております。お客様が本手順を実施の際にはお客様の環境に合わせてコンフィグレーションファイルを転送してください。
3-2-6. 下記のコマンドを実行して、上記手順にて取得したファイルが正しく保存されているかを確認します。
user> file show ?
Possible completions:
<filename> Filename to show
ChangeToDifferentVersion_PTN1_vSRX02.conf Size: 2345, Last changed: Feb 14 14:52:30
PTN2_vSRX02-CONFIG.conf Size: 2549, Last changed: Feb 12 14:15:52
encoding Encode file contents
rollback-config_20200207 Size: 6963, Last changed: Feb 07 11:15:49
user> file show ChangeToDifferentVersion_PTN1_vSRX02.conf |no-more
set system host-name FW4
set system time-zone Asia/Tokyo
set security address-book global address SV01 192.168.1.11/32
set security nat source rule-set RULE from zone trust
set security nat source rule-set RULE to zone untrust
set security nat source rule-set RULE rule 10 match source-address 192.168.0.0/16
set security nat source rule-set RULE rule 10 then source-nat interface
set security nat destination pool POOL1 address 192.168.1.11/32
set security nat destination rule-set RULE from zone untrust
set security nat destination rule-set RULE rule 10 match destination-address 203.0.113.1/32
set security nat destination rule-set RULE rule 10 then destination-nat pool POOL1
set security policies from-zone trust to-zone untrust policy rule_10 match source-address any
set security policies from-zone trust to-zone untrust policy rule_10 match destination-address any
set security policies from-zone trust to-zone untrust policy rule_10 match application HTTP_PING
set security policies from-zone trust to-zone untrust policy rule_10 then permit
set security policies from-zone trust to-zone untrust policy rule_10 then log session-init
set security policies from-zone trust to-zone untrust policy rule_10 then log session-close
set security policies from-zone untrust to-zone trust policy rule_10 match source-address any
set security policies from-zone untrust to-zone trust policy rule_10 match destination-address SV01
set security policies from-zone untrust to-zone trust policy rule_10 match application HTTP_PING
set security policies from-zone untrust to-zone trust policy rule_10 then permit
set security policies from-zone untrust to-zone trust policy rule_10 then log session-init
set security policies from-zone untrust to-zone trust policy rule_10 then log session-close
set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic protocols vrrp
set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic protocols vrrp
set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.112/24
set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.112/24
set applications application HTTP application-protocol http
set applications application PING protocol icmp
set applications application-set HTTP_PING application HTTP
set applications application-set HTTP_PING application PING
4. 新FWへの設定投入 (VRRP以外)¶
4-1. 新FW1へコンフィグをリストアする。
4-1-1. 下記のコマンドを実行して、新FW1にログインします。
ubuntu@ubuntu:~$ ssh user@10.0.0.111
Password:
Last login: Fri Feb 7 16:07:30 2020 from 10.0.0.254
--- JUNOS 15.1X49-D105.1 built 2018-03-28 00:45:38 UTC
4-1-2. コンフィグレーションモードに入るため下記のコマンドを実行して、プロンプトが#に変わったら、旧FW1のバックアップから作成した投入コンフィグをロードさせます。
(コンフィグレーションの保存リストア を参考にして、コンフィグレーションの保存・リストアを実施して下さい。)
注釈
また、投入するコンフィグは内容が新FW1用に修正されていることを確認して下さい。 詳細は1-1-3の記載を確認して下さい。
user> configure
Entering configuration mode
[edit]
user# load set ChangeToDifferentVersion_PTN1_vSRX01.conf
load complete
4-1-3. 下記のコマンドを実行して、設定投入したコンフィグとの差分を確認して下さい。
user# show | compare
注釈
投入したコンフィグが多いときは、show configuration | display set の結果と投入コンフィグを diff等のツールを利用してチェックして下さい。
4-1-4. 下記のコマンドを実行して、設定を反映し、ファイアウォールのコンフィグを取り込みます。
user# commit check
configuration check succeeds
user# commit
commit complete
4-2. 新FW2へコンフィグをリストアする。
4-2-1. 下記のコマンドを実行して、新FW2にログインします。
ubuntu@ubuntu:~$ ssh user@10.0.0.112
Password:
Last login: Fri Feb 7 16:07:30 2020 from 10.0.0.254
--- JUNOS 15.1X49-D105.1 built 2018-03-28 00:45:38 UTC
4-2-2. コンフィグレーションモードに入るため下記のコマンドを実行して、プロンプトが#に変わったら、旧FW2のバックアップから作成した投入コンフィグをロードさせます。
(コンフィグレーションの保存リストア を参考にして、コンフィグレーションの保存・リストアを実施して下さい。)
注釈
また、投入するコンフィグは内容が新FW2用に修正されていることを確認して下さい。 詳細は1-1-7の記載を確認して下さい。
user> configure
Entering configuration mode
[edit]
user# load set ChangeToDifferentVersion_PTN1_vSRX02.conf
load complete
4-2-3. 下記のコマンドを実行して、設定投入したコンフィグとの差分を確認して下さい。
user# show | compare
注釈
投入したコンフィグが多いときは、show configuration | display set の結果と投入コンフィグを diff等のツールを利用してチェックして下さい。
4-2-4. 下記のコマンドを実行して、設定を反映し、ファイアウォールのコンフィグを取り込みます。
user# commit check
configuration check succeeds
user# commit
commit complete
5. 新FWのVRRP設定追加¶
5-1. 新FW1のVRRPを設定する。
5-1-1. 下記のコマンドを実行して、新FW1にログインします。
ubuntu@ubuntu:~$ ssh user@10.0.0.111
Password:
Last login: Fri Feb 7 16:07:30 2020 from 10.0.0.254
--- JUNOS 15.1X49-D105.1 built 2018-03-28 00:45:38 UTC
5-1-2. コンフィグレーションモードに入るため、下記のコマンドを実行して、プロンプトが#に変わったら、VRRP設定投入コンフィグを貼り付けます。
#VRRP設定
user> configure
Entering configuration mode
[edit]
user@FW3# set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.111/24 vrrp-group 10 virtual-address 10.0.10.100
user@FW3# set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.111/24 vrrp-group 10 priority 50
user@FW3# set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.111/24 vrrp-group 10 preempt
user@FW3# set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.111/24 vrrp-group 10 accept-data
user@FW3# set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.111/24 vrrp-group 100 virtual-address 192.168.1.100
user@FW3# set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.111/24 vrrp-group 100 priority 50
user@FW3# set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.111/24 vrrp-group 100 preempt
user@FW3# set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.111/24 vrrp-group 100 accept-data
5-1-3. 下記のコマンドを実行して、設定投入したコンフィグが差分として表示されていることを確認します。
user@FW3# show | compare
5-1-4. 下記のコマンドを実行して、設定を反映し、新FW1のコンフィグを取り込みます。
user@FW3# commit check
configuration check succeeds
user@FW3# commit
commit complete
5-1-5. 下記のコマンドを実行して、ファイアウォール (新、旧FW1,2) のVRRPステータスを確認します。
user@FW3> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 10 backup Active D 56.722lcl 10.0.10.111
vip 10.0.10.100
mas 10.0.10.101
ge-0/0/2.0 up 100 backup Active D 48.733lcl 192.168.1.111
vip 192.168.1.100
mas 192.168.1.101
5-2. 新FW2 のVRRPを設定する。
5-2-1. 下記のコマンドを実行して、新FW2にログインします。
ubuntu@ubuntu:~$ ssh user@10.0.0.112
Password:
Last login: Fri Feb 7 16:07:30 2020 from 10.0.0.254
--- JUNOS 15.1X49-D105.1 built 2018-03-28 00:45:38 UTC
5-2-2. コンフィグレーションモードに入るため、下記のコマンドを実行して、プロンプトが#に変わったら、VRRP設定投入コンフィグを貼り付けます。
#VRRP設定
user> configure
Entering configuration mode
[edit]
user@FW4# set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.112/24 vrrp-group 10 virtual-address 10.0.10.100
user@FW4# set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.112/24 vrrp-group 10 priority 40
user@FW4# set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.112/24 vrrp-group 10 preempt
user@FW4# set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.112/24 vrrp-group 10 accept-data
user@FW4# set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.112/24 vrrp-group 100 virtual-address 192.168.1.100
user@FW4# set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.112/24 vrrp-group 100 priority 40
user@FW4# set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.112/24 vrrp-group 100 preempt
user@FW4# set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.112/24 vrrp-group 100 accept-data
5-2-3. 下記のコマンドを実行して、設定投入したコンフィグが差分として表示されていることを確認します。
user@FW4# show | compare
5-2-4. 下記のコマンドを実行して、新FW2の設定を反映します。
user@FW4# commit check
configuration check succeeds
user@FW4# commit
commit complete
5-2-5. 下記のコマンドを実行して、ファイアウォール (新、旧FW1,2) のVRRPステータスを確認します。
user@FW4> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 10 backup Active D 58.078lcl 10.0.10.112
vip 10.0.10.100
mas 10.0.10.101
ge-0/0/2.0 up 100 backup Active D 57.727lcl 192.168.1.112
vip 192.168.1.100
mas 192.168.1.101
6. FWの切替¶
6-1. 新FW1のPriority値を変更する。
6-1-1. 下記のコマンドを実行して、新FW1にログインします。
ubuntu@ubuntu:~$ ssh user@10.0.0.111
Password:
Last login: Fri Feb 7 16:07:30 2020 from 10.0.0.254
--- JUNOS 15.1X49-D105.1 built 2018-03-28 00:45:38 UTCs
6-1-2. コンフィグレーションモードに入るため、下記のコマンドを実行して、プロンプトが#に変わったら、VRRP切替用投入コンフィグを貼り付けます。
#VRRP設定
user> configure
Entering configuration mode
[edit]
user@FW3# set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.111/24 vrrp-group 10 priority 250
user@FW3# set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.111/24 vrrp-group 100 priority 250
6-1-3. 下記のコマンドを実行して、設定投入したコンフィグが差分として表示されていることを確認します。
user@FW3# show | compare
6-1-4. 下記のコマンドを実行して設定を反映、新FW1のコンフィグを取り込みます。
user@FW3# commit check
configuration check succeeds
user@FW3# commit
commit complete
6-1-5. 下記のコマンドを実行して、ファイアウォール (新、旧FW1,2) のVRRPステータスを確認します。
user@FW3> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 10 master Active A 12.716lcl 10.0.10.111
vip 10.0.10.100
ge-0/0/2.0 up 100 master Active A 12.645lcl 192.168.1.111
vip 192.168.1.100
6-1-6. ファイアウォールを経由する通信確認をして下さい (HTTP通信等)
注釈
通信がNGのまま戻らない場合、切戻しを実施します。 (具体的な切戻し手順は、本ガイド9.切戻し手順をご確認下さい。)
6-2. 新FW2のPriority値を変更する。
6-2-1. 下記のコマンドを実行して、新FW2にログインします。
ubuntu@ubuntu:~$ ssh user@10.0.0.112
Password:
Last login: Fri Feb 7 16:07:30 2020 from 10.0.0.254
--- JUNOS 15.1X49-D105.1 built 2018-03-28 00:45:38 UTC
6-2-2. コンフィグレーションモードに入るため、下記のコマンドを実行して、プロンプトが#に変わったら、VRRP_切替用投入コンフィグを貼り付けます。
#VRRP設定
user> configure
Entering configuration mode
[edit]
user@FW4# set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.112/24 vrrp-group 10 priority 240
user@FW4# set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.112/24 vrrp-group 100 priority 240
6-2-3. 下記のコマンドを実行して、設定投入したコンフィグが差分として表示されていることを確認します。
user@FW4# show | compare
6-2-4. 下記のコマンドを実行して設定を反映、新FW2のコンフィグを取り込みます。
user@FW4# commit check
configuration check succeeds
user@FW4# commit
commit complete
注釈
vSRX の仕様として、VRRPの切替時間について、デフォルト設定でAdvertise Interval×3回に加え約4秒程度必要とするため、トラフィックの切替完了までに約7秒程度 (ICMP通信で測定) 必要です。
6-2-5. 下記のコマンドを実行して、ファイアウォール (新FW1,2) のVRRPステータスを確認します。
user@FW4> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 10 backup Active D 44.764lcl 10.0.10.112
vip 10.0.10.100
mas 10.0.10.111
ge-0/0/2.0 up 100 backup Active D 46.600lcl 192.168.1.112
vip 192.168.1.100
mas 192.168.1.111
6-2-6. ファイアウォールを経由する通信確認をして下さい (HTTP通信等)
7. 旧FWの削除¶
※本手順は、切替後の通信が安定していることを確認した後に実施して下さい。
7-1-1. SDPFカスタマーポータルから、ネットワーク→ファイアウォールへと進み、ファイアウォールの一覧を表示します。
7-2-1. SDPFカスタマーポータルから、旧FW1を削除します。 | (ファイアウォール インスタンスの削除方法 を参考にして、ファイアウォールを削除して下さい。)
注釈
削除対象の旧FW1が正しく選択されているか、再度確認して下さい。
7-3-1. SDPFカスタマーポータルから、旧FW2を削除します。
(ファイアウォール インスタンスの削除方法 を参考にして、ファイアウォールを削除して下さい。)
注釈
旧FW1が削除されたことを確認後に、本作業を行なって下さい。 削除対象の旧FW2が正しく選択されているか、再度確認して下さい。
注釈
正常実行時の作業手順は以上となります。
以下に切戻し手順、投入コンフィグ例を記載します。
8. 新FWのPriority値変更¶
8-1. 新FW2のPriority値を旧FW2と同一の値へ変更する。
8-1-1. 下記のコマンドを実行して、新FW2にログインします。
ubuntu@ubuntu:~$ ssh user@10.0.0.112
Password:
Last login: Fri Feb 7 16:07:30 2020 from 10.0.0.254
--- JUNOS 15.1X49-D105.1 built 2018-03-28 00:45:38 UTC
8-1-2. コンフィグレーションモードに入るため、下記のコマンドを実行して、プロンプトが#に変わったら、VRRP Priority変更用投入コンフィグを貼り付けます。
#VRRP設定
user> configure
Entering configuration mode
[edit]
user@FW4# set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.112/24 vrrp-group 10 priority 100
user@FW4# set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.112/24 vrrp-group 100 priority 100
8-1-3. 下記のコマンドを実行して、設定投入したコンフィグが差分として表示されていることを確認します。
user@FW4# show | compare
8-1-4. 下記のコマンドを実行して設定を反映、新FW2のコンフィグを取り込みます。
user@FW4# commit check
configuration check succeeds
user@FW4# commit
commit complete
注釈
vSRX の仕様として、VRRPの切替時間について、デフォルト設定でAdvertise Interval×3回に加え約4秒程度必要とするため、トラフィックの切替完了までに約7秒程度 (ICMP通信で測定) 必要です。
8-1-5. 下記のコマンドを実行して、ファイアウォール (新FW1,2) のVRRPステータスを確認します。
user@FW4> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 10 backup Active D 44.764lcl 10.0.10.112
vip 10.0.10.100
mas 10.0.10.111
ge-0/0/2.0 up 100 backup Active D 46.600lcl 192.168.1.112
vip 192.168.1.100
mas 192.168.1.111
8-1-6. ファイアウォールを経由する通信確認をして下さい (HTTP通信等)
8-2. 新FW1のPriority値を旧FW1と同一の値へ変更する。
8-2-1. 下記のコマンドを実行して、新FW1にログインします。
ubuntu@ubuntu:~$ ssh user@10.0.0.111
Password:
Last login: Fri Feb 7 16:07:30 2020 from 10.0.0.254
--- JUNOS 15.1X49-D105.1 built 2018-03-28 00:45:38 UTCs
8-2-2. コンフィグレーションモードに入るため、下記のコマンドを実行して、プロンプトが#に変わったら、VRRP Priority変更用投入コンフィグを貼り付けます。
#VRRP設定
user> configure
Entering configuration mode
[edit]
user@FW3# set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.111/24 vrrp-group 10 priority 200
user@FW3# set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.111/24 vrrp-group 100 priority 200
8-2-3. 下記のコマンドを実行して、設定投入したコンフィグが差分として表示されていることを確認します。
user@FW3# show | compare
8-2-4. 下記のコマンドを実行して設定を反映、新FW1のコンフィグを取り込みます。
user@FW3# commit check
configuration check succeeds
user@FW3# commit
commit complete
8-2-5. 下記のコマンドを実行して、ファイアウォール (新FW1,2) のVRRPステータスを確認します。
user@FW3> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 10 master Active A 12.716lcl 10.0.10.111
vip 10.0.10.100
ge-0/0/2.0 up 100 master Active A 12.645lcl 192.168.1.111
vip 192.168.1.100
8-2-6. ファイアウォールを経由する通信確認をして下さい (HTTP通信等)
9. 切戻し手順¶
9-1. 新FW1のVRRPを設定する。
9-1-1. 下記のコマンドを実行して、新FW1にログインします。
ubuntu@ubuntu:~$ ssh user@10.0.0.111
Password:
Last login: Fri Feb 7 16:07:30 2020 from 10.0.0.254
--- JUNOS 15.1X49-D105.1 built 2018-03-28 00:45:38 UTCs
9-1-2. コンフィグレーションモードに入るため、下記のコマンドを実行して、プロンプトが#に変わったら、新FW1切戻し用コンフィグを貼り付けます。
新FW1 切戻し用コンフィグ (例)
user> configure
Entering configuration mode
[edit]
user@FW3# set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.111/24 vrrp-group 10 priority 50
user@FW3# set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.111/24 vrrp-group 100 priority 50
9-1-3. 下記のコマンドを実行して、設定投入したコンフィグが差分として表示されていることを確認します。
user@FW3# show | compare
9-1-4. 下記のコマンドを実行して、新FW1の設定を反映します。
user@FW3# commit check
configuration check succeeds
user@FW3# commit
commit complete
9-1-5. 下記のコマンドを実行して、ファイアウォール (新、旧FW1,2) のVRRPステータスを確認します。
user@FW3> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 10 backup Active D 56.722lcl 10.0.10.111
vip 10.0.10.100
mas 10.0.10.101
ge-0/0/2.0 up 100 backup Active D 48.733lcl 192.168.1.111
vip 192.168.1.100
mas 192.168.1.101
9-1-6. ファイアウォールを経由する通信確認をして下さい。 (HTTP通信等)