異なるバージョン間の切替 (パターン2)¶
利用中のファイアウォール (冗長構成) を新バージョンのファイアウォール (冗長構成) へ切替する手順をご説明します。新バージョンのファイアウォールでは、旧バージョンのファイアウォールで使用していたIPアドレスを引き継ぎ、同じIPアドレスを設定する切替方法です。
弊社では、以下に示すバージョンの組み合わせで動作確認を行なっております。
| 旧バージョン | 新バージョン |
| 15.1X49-D105.1 | 19.2R1.8 |
| 19.2R1.8 | 20.4R2 |
前提条件¶
- 詳細情報 に記載の通り、バージョンアップはできません。
- 新旧バージョンでVRRPを組んで旧FWから新FWへ切替する手順としています。
- 新バージョンでの機能確認はお客様にて事前に実施下さい
- 本切替手順はパターン1と比較すると、切戻しが発生した場合の切戻し所要時間が長くなります。
- 本切替手順はパターン1と比較して、インターフェースの接続、切断が必須のため、切戻しが発生した場合の切戻し所要時間が長くなります。
- 旧バージョンから新バージョンへの切替前・後で、お客様システムの通信に影響があるかどうかを含めたファイアウォールの動作確認は、お客様にて実施下さい。
- 本ドキュメントではPublicIPが「203.0.113.1」であるものとして記載致します。
- 本手順では下記に示す設定が入っている状態で動作確認を行なっています。
旧FW1の設定
#vrrp設定
set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.101/24 vrrp-group 10 virtual-address 10.0.10.100
set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.101/24 vrrp-group 10 priority 200
set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.101/24 vrrp-group 10 preempt
set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.101/24 vrrp-group 10 accept-data
set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.101/24 vrrp-group 100 virtual-address 192.168.1.100
set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.101/24 vrrp-group 100 priority 200
set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.101/24 vrrp-group 100 preempt
set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.101/24 vrrp-group 100 accept-data
#address-group設定
set security address-book global address SV01 192.168.1.11/32
#nat設定
set security nat source rule-set RULE from zone trust
set security nat source rule-set RULE to zone untrust
set security nat source rule-set RULE rule 10 match source-address 192.168.0.0/16
set security nat source rule-set RULE rule 10 then source-nat interface
set security nat destination pool POOL1 address 192.168.1.11/32
set security nat destination rule-set RULE from zone untrust
set security nat destination rule-set RULE rule 10 match destination-address 203.0.113.1/32
set security nat destination rule-set RULE rule 10 then destination-nat pool POOL1
#firewall設定
set security policies from-zone trust to-zone untrust policy rule_10 match source-address any
set security policies from-zone trust to-zone untrust policy rule_10 match destination-address any
set security policies from-zone trust to-zone untrust policy rule_10 match application HTTP_PING
set security policies from-zone trust to-zone untrust policy rule_10 then permit
set security policies from-zone trust to-zone untrust policy rule_10 then log session-init
set security policies from-zone trust to-zone untrust policy rule_10 then log session-close
set security policies from-zone untrust to-zone trust policy rule_10 match source-address any
set security policies from-zone untrust to-zone trust policy rule_10 match destination-address SV01
set security policies from-zone untrust to-zone trust policy rule_10 match application HTTP_PING
set security policies from-zone untrust to-zone trust policy rule_10 then permit
set security policies from-zone untrust to-zone trust policy rule_10 then log session-init
set security policies from-zone untrust to-zone trust policy rule_10 then log session-close
#zone設定
set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic protocols vrrp
set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic protocols vrrp
#application-set設定
set applications application HTTP application-protocol http
set applications application PING protocol icmp
set applications application-set HTTP_PING application HTTP
set applications application-set HTTP_PING application PING
#system設定
set system host-name FW1
set system time-zone Asia/Tokyo
旧FW2の設定
#vrrp設定
set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.102/24 vrrp-group 10 virtual-address 10.0.10.100
set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.102/24 vrrp-group 10 priority 100
set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.102/24 vrrp-group 10 preempt
set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.102/24 vrrp-group 10 accept-data
set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.102/24 vrrp-group 100 virtual-address 192.168.1.100
set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.102/24 vrrp-group 100 priority 100
set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.102/24 vrrp-group 100 preempt
set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.102/24 vrrp-group 100 accept-data
#address-group設定
set security address-book global address SV01 192.168.1.11/32
#nat設定
set security nat source rule-set RULE from zone trust
set security nat source rule-set RULE to zone untrust
set security nat source rule-set RULE rule 10 match source-address 192.168.0.0/16
set security nat source rule-set RULE rule 10 then source-nat interface
set security nat destination pool POOL1 address 192.168.1.11/32
set security nat destination rule-set RULE from zone untrust
set security nat destination rule-set RULE rule 10 match destination-address 203.0.113.1/32
set security nat destination rule-set RULE rule 10 then destination-nat pool POOL1
#firewall設定
set security policies from-zone trust to-zone untrust policy rule_10 match source-address any
set security policies from-zone trust to-zone untrust policy rule_10 match destination-address any
set security policies from-zone trust to-zone untrust policy rule_10 match application HTTP_PING
set security policies from-zone trust to-zone untrust policy rule_10 then permit
set security policies from-zone trust to-zone untrust policy rule_10 then log session-init
set security policies from-zone trust to-zone untrust policy rule_10 then log session-close
set security policies from-zone untrust to-zone trust policy rule_10 match source-address any
set security policies from-zone untrust to-zone trust policy rule_10 match destination-address SV01
set security policies from-zone untrust to-zone trust policy rule_10 match application HTTP_PING
set security policies from-zone untrust to-zone trust policy rule_10 then permit
set security policies from-zone untrust to-zone trust policy rule_10 then log session-init
set security policies from-zone untrust to-zone trust policy rule_10 then log session-close
#zone設定
set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic protocols vrrp
set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic protocols vrrp
#application-set設定
set applications application HTTP application-protocol http
set applications application PING protocol icmp
set applications application-set HTTP_PING application HTTP
set applications application-set HTTP_PING application PING
#system設定
set system host-name FW2
set system time-zone Asia/Tokyo
切替作業イメージ¶
ファイアウォール (vSRX) の切替作業のイメージを、以下に説明します。
1. ロジカルネットワーク1とロジカルネットワーク2でそれぞれVRRPを設定していることが前提となります。
2. 新バージョンのファイアウォールインスタンスを作成します。この時点では管理用インターフェースのみロジカルネットワークへ接続します。
※ 管理用インターフェース以外のインターフェースはロジカルネットワークへ接続しません。
3. 新バージョンのファイアウォールで管理用インターフェースを設定し、事前に準備したコンフィグレーションファイルの転送を行います。
4. 旧バージョンのファイアウォール (旧FW2) でインターフェースの切断を行います。
5. 新バージョンのファイアウォール (新FW2) でインターフェースの接続及びVRRP通信設定の登録を行います。新バージョンのファイアウォールに旧バージョンのファイアウォールと同様の設定を行います。
※ ただし、VRRP設定は除く
6. 新バージョンのファイアウォールのVRRPを設定し、旧バージョンで設定しているVRRPに参加させます。
7. 事前に準備した切替用のコンフィグを新FW2に適用し、VRRP Masterを旧バージョンのファイアウォール (旧FW1) から新FW2に切替ます。正常に切り替わることを確認します。
注釈
vSRX の仕様として、VRRPの切替え時間について、デフォルト設定でAdvertise Interval×3回に加え約4秒程度必要とするため、トラフィックの切替完了までに約7秒程度 (ICMP通信で測定) 必要です。 新FW2を経由した通信がNGのまま回復しない場合、具体的な切戻し手順は、本ガイド「13. 切戻し手順」をご確認下さい。
8. 通信に問題が無い場合は、旧FW1でインターフェースの切断を行います。
9. 新バージョンのファイアウォール (新FW1) でインターフェースの接続及びVRRP通信設定の登録を行い、
新バージョンのファイアウォールに旧バージョンのファイアウォールと同様の設定を行います。
※ ただし、VRRP設定は除く
10. 新バージョンのファイアウォールのVRRPを設定し、新FW2で設定しているVRRPに参加させます。
11. 事前に準備した切替用のコンフィグを新FW1に適用し、VRRP Masterを新FW2から新FW1にMaster系を切替ます。正常に切り替わることを確認します。
注釈
vSRX の仕様として、VRRPの切替え時間について、デフォルト設定でAdvertise Interval×3回に加え約4秒程度必要とするため、トラフィックの切替完了までに約7秒程度 (ICMP通信で測定) 必要です。
12. 新FW1を経由した通信が安定したことを確認した後、旧バージョンのファイアウォールインスタンス (旧FW1,2) を削除します。
13. 新バージョンのファイアウォールを経由した通信がNGのまま回復しない場合、切戻しを行います。
新FW2でインターフェースの切断を行います。
旧FW2でインターフェース接続を行い、旧バージョンのファイアウォールのVRRPを設定し、旧FW1で設定しているVRRPに参加させます。
作業手順¶
1. 事前確認¶
1-1. 旧FW1のコンフィグを保存する。
1-1-1. 下記のコマンドを実行して、旧FW1にログインします。
ubuntu@ubuntu:~$ ssh user@10.0.0.101
Password:
Last login: Wed Feb 12 15:16:33 2020 from 10.0.0.254
--- JUNOS 15.1X49-D105.1 built 2018-03-28 00:45:38 UTC
1-1-2. 下記のコマンドを実行して、旧FW1のVRRPステータスを確認します。設定されたVRRPのStateがMASTER/BACKUPと表示されており、想定したStateと一致していることを確認して下さい。
user@FW1> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 10 master Active A 8.893 lcl 10.0.10.101
vip 10.0.10.100
ge-0/0/2.0 up 100 master Active A 10.864lcl 192.168.1.101
vip 192.168.1.100
1-1-3. 設定を保存します。
(コンフィグレーションの保存_リストア を参考にして、設定コンフィグの保存を実施して下さい。)
また、以下の下記のコマンドを実行して、出力された設定をファイルに保存して下さい。
user@FW1> show configuration | display set | no-more
注釈
保存したコンフィグレーションファイルでホスト名、IPアドレス設定、VRRP設定等、お客様環境に応じて設定変更を行ってください。 本手順では、以下のように変更しております。
<新FW1に投入するためのコンフィグを以下のように作成>
set system host-name FW3
set system time-zone Asia/Tokyo
set security address-book global address SV01 192.168.1.11/32
set security nat source rule-set RULE from zone trust
set security nat source rule-set RULE to zone untrust
set security nat source rule-set RULE rule 10 match source-address 192.168.0.0/16
set security nat source rule-set RULE rule 10 then source-nat interface
set security nat destination pool POOL1 address 192.168.1.11/32
set security nat destination rule-set RULE from zone untrust
set security nat destination rule-set RULE rule 10 match destination-address 203.0.113.1/32
set security nat destination rule-set RULE rule 10 then destination-nat pool POOL1
set security policies from-zone trust to-zone untrust policy rule_10 match source-address any
set security policies from-zone trust to-zone untrust policy rule_10 match destination-address any
set security policies from-zone trust to-zone untrust policy rule_10 match application HTTP_PING
set security policies from-zone trust to-zone untrust policy rule_10 then permit
set security policies from-zone trust to-zone untrust policy rule_10 then log session-init
set security policies from-zone trust to-zone untrust policy rule_10 then log session-close
set security policies from-zone untrust to-zone trust policy rule_10 match source-address any
set security policies from-zone untrust to-zone trust policy rule_10 match destination-address SV01
set security policies from-zone untrust to-zone trust policy rule_10 match application HTTP_PING
set security policies from-zone untrust to-zone trust policy rule_10 then permit
set security policies from-zone untrust to-zone trust policy rule_10 then log session-init
set security policies from-zone untrust to-zone trust policy rule_10 then log session-close
set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic protocols vrrp
set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic protocols vrrp
set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.101/24
set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.101/24
set applications application HTTP application-protocol http
set applications application PING protocol icmp
set applications application-set HTTP_PING application HTTP
set applications application-set HTTP_PING application PING
1-2. 旧FW2のコンフィグを保存する。
1-2-1. 下記のコマンドを実行して、旧FW2にログインします。
ubuntu@ubuntu:~$ ssh user@10.0.0.102
Password:
Last login: Wed Feb 12 15:17:26 2020 from 10.0.0.254
--- JUNOS 15.1X49-D105.1 built 2018-03-28 00:45:38 UTC
1-2-2. 下記のコマンドを実行して、旧FW2のVRRPステータスを確認します。設定されたVRRPのStateがMASTER/BACKUPと表示されており、想定したStateと一致していることを確認して下さい。
user@FW2> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 10 backup Active D 59.186lcl 10.0.10.102
vip 10.0.10.100
mas 10.0.10.101
ge-0/0/2.0 up 100 backup Active D 60.251lcl 192.168.1.102
vip 192.168.1.100
mas 192.168.1.101
1-2-3. 設定を保存します。
(コンフィグレーションの保存_リストア を参考にして、設定コンフィグの保存を実施して下さい。)
また、以下の下記のコマンドを実行して、出力された設定をファイルに保存して下さい。
user@FW2> show configuration | display set | no-more
注釈
保存したコンフィグレーションファイルでホスト名、IPアドレス設定、VRRP設定等、お客様環境に応じて設定変更を行ってください。 本手順では、以下のように変更しております。
また、事業者が設定するコンフィグレーションは各インスタンス固有の値となりますので、 (事業者が設定するコンフィグレーションの説明 を参考にして保存時に削除するようにお願いします。)
<新FW2に投入するためのコンフィグを以下のように作成>
set system host-name FW4
set system time-zone Asia/Tokyo
set security address-book global address SV01 192.168.1.11/32
set security nat source rule-set RULE from zone trust
set security nat source rule-set RULE to zone untrust
set security nat source rule-set RULE rule 10 match source-address 192.168.0.0/16
set security nat source rule-set RULE rule 10 then source-nat interface
set security nat destination pool POOL1 address 192.168.1.11/32
set security nat destination rule-set RULE from zone untrust
set security nat destination rule-set RULE rule 10 match destination-address 203.0.113.1/32
set security nat destination rule-set RULE rule 10 then destination-nat pool POOL1
set security policies from-zone trust to-zone untrust policy rule_10 match source-address any
set security policies from-zone trust to-zone untrust policy rule_10 match destination-address any
set security policies from-zone trust to-zone untrust policy rule_10 match application HTTP_PING
set security policies from-zone trust to-zone untrust policy rule_10 then permit
set security policies from-zone trust to-zone untrust policy rule_10 then log session-init
set security policies from-zone trust to-zone untrust policy rule_10 then log session-close
set security policies from-zone untrust to-zone trust policy rule_10 match source-address any
set security policies from-zone untrust to-zone trust policy rule_10 match destination-address SV01
set security policies from-zone untrust to-zone trust policy rule_10 match application HTTP_PING
set security policies from-zone untrust to-zone trust policy rule_10 then permit
set security policies from-zone untrust to-zone trust policy rule_10 then log session-init
set security policies from-zone untrust to-zone trust policy rule_10 then log session-close
set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic protocols vrrp
set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic protocols vrrp
set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.102/24
set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.102/24
set applications application HTTP application-protocol http
set applications application PING protocol icmp
set applications application-set HTTP_PING application HTTP
set applications application-set HTTP_PING application PING
2. 新FWの作成¶
2-1. 新FW1を作成
2-1-1. SDPFカスタマーポータルから、新規に新FW1を作成します。
(ファイアウォール インスタンスの申込方法 を参考にして、ファイアウォール作成して下さい。)
また、必要に応じてデフォルトゲートウェイを設定して下さい。
(デフォルトルート設定 を参考にして、デフォルトゲートウェイを設定して下さい。)
注釈
- デフォルトゲートウェイはファイアウォール作成時にのみカスタマーポータルで設定が可能です。
- ファイアウォールを作成するゾーンおよびグループを選択してください。また、指定したゾーン/グループを記録してください。
2-1-2. SDPFカスタマーポータルから、作成した新FW1のge-0/0/0.0とロジカルネットワークを接続します。
(カスタマーポータルからの申込操作方法 を参考にして、インターフェースを接続して下さい。)
注釈
本ガイド「3. 設定の保存とSCP転送」で管理用IFへ接続するため、管理用IF (ここではge-0/0/0.0を使用する) のみ接続して下さい。
2-2. 新FW2を作成する。
2-2-1. SDPFカスタマーポータルから、新規に新FW2を作成します。
(ファイアウォール インスタンスの申込方法 を参考にして、ファイアウォールを作成して下さい。)
また、必要に応じてデフォルトゲートウェイを設定して下さい。
(デフォルトルート設定 を参考にして、デフォルトゲートウェイを設定して下さい。)
注釈
- デフォルトゲートウェイはファイアウォール作成時にのみカスタマーポータルで設定が可能です。
- 新FW2作成時に選択するゾーン/グループは、新FW1と異なるゾーン/グループを選択してください。
2-2-2. SDPFカスタマーポータルから、作成した新FW2のge-0/0/0.0とロジカルネットワークを接続します。
(カスタマーポータルからの申込操作方法 を参考にして、インターフェースを接続して下さい。)
注釈
本ガイド「3. 設定の保存とSCP転送」で管理用IFへ接続するため、管理用IF (ここではge-0/0/0.0を使用する) のみ接続して下さい。
3. 設定の保存とSCP転送¶
3-1. 作成した新FW1の設定コンフィグをSCP転送
3-1-1. 新FW1へコンソール接続を実施します。
注釈
本手順ではvSRX作成時に管理用アドレスとして10.0.0.111を登録します。
3-1-2. 下記のコマンドを実行して、SCP接続用に管理用IFの設定を実施します。
user> configure
Entering configuration mode
[edit]
user# set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services ssh
user# set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services ping
user# set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.111/24
3-1-3. 下記のコマンドを実行して、設定投入したコンフィグが差分として表示されていることを確認します。
user# show | compare
3-1-4. 下記のコマンドを実行して設定を反映します。
user# commit check
configuration check succeeds
user# commit
commit complete
3-1-5. vSRX周辺機器にて下記のコマンドを実行して、SCPにてvSRXへファイルを移動します。
[server ~]# scp /home/user/ChangeToDifferentVersion_PTN2_vSRX01.conf user@10.0.0.111:/var/home/user/
注釈
弊社検証時にはLinux端末でSCPファイル転送を行っております。お客様が本手順を実施の際には SCP転送先ディレクトリ (/var/home/user/)など、お客様の環境に合わせてコンフィグレーションファイルを転送してください。
3-1-6. 再度vSRXへ接続後、下記のコマンドを実行してSCPにて移動したファイルを確認します。
user> file show ?
Possible completions:
<filename> Filename to show
PTN1-loadset_20200207 Size: 4683, Last changed: Feb 07 08:41:42
ChangeToDifferentVersion_PTN2_vSRX01.conf Size: 2549, Last changed: Feb 12 05:16:08
encoding Encode file contents
rollback-config_20200207 Size: 6963, Last changed: Feb 07 02:15:12
user> file show ChangeToDifferentVersion_PTN2_vSRX01.conf
set system host-name FW3
set system time-zone Asia/Tokyo
set security address-book global address SV01 192.168.1.11/32
set security nat source rule-set RULE from zone trust
set security nat source rule-set RULE to zone untrust
set security nat source rule-set RULE rule 10 match source-address 192.168.0.0/16
set security nat source rule-set RULE rule 10 then source-nat interface
set security nat destination pool POOL1 address 192.168.1.11/32
set security nat destination rule-set RULE from zone untrust
set security nat destination rule-set RULE rule 10 match destination-address 203.0.113.1/32
set security nat destination rule-set RULE rule 10 then destination-nat pool POOL1
set security policies from-zone trust to-zone untrust policy rule_10 match source-address any
set security policies from-zone trust to-zone untrust policy rule_10 match destination-address any
set security policies from-zone trust to-zone untrust policy rule_10 match application HTTP_PING
set security policies from-zone trust to-zone untrust policy rule_10 then permit
set security policies from-zone trust to-zone untrust policy rule_10 then log session-init
set security policies from-zone trust to-zone untrust policy rule_10 then log session-close
set security policies from-zone untrust to-zone trust policy rule_10 match source-address any
set security policies from-zone untrust to-zone trust policy rule_10 match destination-address SV01
set security policies from-zone untrust to-zone trust policy rule_10 match application HTTP_PING
set security policies from-zone untrust to-zone trust policy rule_10 then permit
set security policies from-zone untrust to-zone trust policy rule_10 then log session-init
set security policies from-zone untrust to-zone trust policy rule_10 then log session-close
set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic protocols vrrp
set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic protocols vrrp
set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.101/24
set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.101/24
set applications application HTTP application-protocol http
set applications application PING protocol icmp
set applications application-set HTTP_PING application HTTP
set applications application-set HTTP_PING application PING
3-2. 作成した新FW2の設定コンフィグをSCP転送
3-2-1. 新FW2へコンソール接続を実施します。
注釈
本手順ではvSRX作成時に管理用アドレスとして10.0.0.112を登録します。
3-2-2. 下記のコマンドを実行して、SCP接続用に管理用IFの設定を実施します。
user> configure
Entering configuration mode
[edit]
user# set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services ssh
user# set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services ping
user# set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.112/24
3-2-3. 下記のコマンドを実行して、設定投入したコンフィグが差分として表示されていることを確認します。
user@FW4# show | compare
3-2-4. 下記のコマンドを実行して設定を反映します。
user# commit check
configuration check succeeds
user# commit
commit complete
3-2-5. vSRX周辺機器にて下記のコマンドを実行して、SCPにてvSRXへファイルを移動します。
[server ~]# scp /home/user/ChangeToDifferentVersion_PTN2_vSRX02.conf user@10.0.0.112:/var/home/user/
注釈
弊社検証時にはLinux端末でSCPファイル転送を行っております。お客様が本手順を実施の際には SCP転送先ディレクトリ (/var/home/user/)など、お客様の環境に合わせてコンフィグレーションファイルを転送してください。
3-2-6. 再度vSRXへ接続後、下記のコマンドを実行してSCPにて移動したファイルを確認します。
user> file show ?
Possible completions:
<filename> Filename to show
ChangeToDifferentVersion_PTN2_vSRX02.conf Size: 2549, Last changed: Feb 12 05:15:52
encoding Encode file contents
rollback-config_20200207 Size: 6963, Last changed: Feb 07 02:15:49
user> file show ChangeToDifferentVersion_PTN2_vSRX02.conf
set system host-name FW4
set system time-zone Asia/Tokyo
set security address-book global address SV01 192.168.1.11/32
set security nat source rule-set RULE from zone trust
set security nat source rule-set RULE to zone untrust
set security nat source rule-set RULE rule 10 match source-address 192.168.0.0/16
set security nat source rule-set RULE rule 10 then source-nat interface
set security nat destination pool POOL1 address 192.168.1.11/32
set security nat destination rule-set RULE from zone untrust
set security nat destination rule-set RULE rule 10 match destination-address 203.0.113.1/32
set security nat destination rule-set RULE rule 10 then destination-nat pool POOL1
set security policies from-zone trust to-zone untrust policy rule_10 match source-address any
set security policies from-zone trust to-zone untrust policy rule_10 match destination-address any
set security policies from-zone trust to-zone untrust policy rule_10 match application HTTP_PING
set security policies from-zone trust to-zone untrust policy rule_10 then permit
set security policies from-zone trust to-zone untrust policy rule_10 then log session-init
set security policies from-zone trust to-zone untrust policy rule_10 then log session-close
set security policies from-zone untrust to-zone trust policy rule_10 match source-address any
set security policies from-zone untrust to-zone trust policy rule_10 match destination-address SV01
set security policies from-zone untrust to-zone trust policy rule_10 match application HTTP_PING
set security policies from-zone untrust to-zone trust policy rule_10 then permit
set security policies from-zone untrust to-zone trust policy rule_10 then log session-init
set security policies from-zone untrust to-zone trust policy rule_10 then log session-close
set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic protocols vrrp
set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic protocols vrrp
set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.102/24
set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.102/24
set applications application HTTP application-protocol http
set applications application PING protocol icmp
set applications application-set HTTP_PING application HTTP
set applications application-set HTTP_PING application PING
4. 旧FW2のインターフェースの切断¶
注釈
作業後、ファイアウォールは冗長構成が解除され、シングル構成での動作となります。
4-1. 旧FW2のロジカルネットワークとの接続を切断する。
4-1-1. SDPFカスタマーポータルから、旧FW2のインターフェースでVRRP用通信設定を解除します。
(VRRP用通信設定の登録 を参考にして、VRRP用通信設定の登録を解除して下さい。)
4-1-2. SDPFカスタマーポータルから、旧FW2をロジカルネットワークから切断します。
(カスタマーポータルからの申込操作方法 を参考にして、インターフェースを切断して下さい。)
5. 新FW2の接続及び、設定投入¶
5-1. 新FWを接続する。
5-1-1. SDPFカスタマーポータルから、作成した新FW2にロジカルネットワークを接続します。
(カスタマーポータルからの申込操作方法 を参考にして、インターフェースを接続して下さい。)
注釈
ロジカルネットワークと接続が必要なインターフェースは全て実行します。また、インターフェースのIPアドレス設定は、旧FWのアドレスと同様のアドレスで設定し、VRRP用仮想IPアドレスは、旧FWと同じIPアドレスで設定します。
5-1-2. SDPFカスタマーポータルから、新FW2のインターフェースにVRRP用通信設定の登録を該当インターフェースに実施します。
(VRRP用通信設定の登録 を参考にして、VRRP用通信設定を登録して下さい。)
5-2. 新FWへ設定を投入する。
5-2-1. 下記のコマンドを実行して、新FW2にログインします。
ubuntu@ubuntu:~$ ssh user@10.0.0.112
Password:
Last login: Wed Feb 12 07:43:43 2020 from 10.0.0.254
--- JUNOS 19.2R1.8 Kernel 64-bit JNPR-11.0-20190517.f0321c3_buil
5-2-2. コンフィグレーションモードに入るため下記のコマンドを実行して、プロンプトが#に変わったら、旧FW2のバックアップから作成した投入コンフィグをロードさせます。
(コンフィグレーションの保存リストア を参考にして、コンフィグレーションの保存・リストアを実施して下さい。)
注釈
投入するコンフィグは内容が新FW2用に修正されていることを確認して下さい。
user> configure
Entering configuration mode
[edit]
user# load set ChangeToDifferentVirsion_PTN2_vSRX02.conf
|load complete
[edit]
5-2-3. 下記のコマンドを実行して、設定投入したコンフィグとの差分を確認して下さい。
user# show | compare
注釈
投入したコンフィグが多いときは、show configuration | display set の結果と投入コンフィグを diff等のツールを利用してチェックして下さい。
5-2-4. 下記のコマンドを実行して、設定を反映し、新FW2のコンフィグを取り込みます。
user# commit check
configuration check succeeds
user# commit
commit complete
6. 新FWのVRRP設定追加¶
6-1. 新FW2のVRRPを設定する。
6-1-1. 下記のコマンドを実行して、新FW2にログインします。
ubuntu@ubuntu:~$ ssh user@10.0.0.112
Password:
Last login: Fri Feb 7 16:07:30 2020 from 10.0.0.254
--- JUNOS 15.1X49-D105.1 built 2018-03-28 00:45:38 UTC
6-1-2. コンフィグレーションモードに入るため、下記のコマンドを実行して、プロンプトが#に変わったら、VRRP設定投入コンフィグを貼り付けます。
#VRRP設定
user@FW4> configure
Entering configuration mode
[edit]
user@FW4# set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.102/24 vrrp-group 10 virtual-address 10.0.10.100
user@FW4# set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.102/24 vrrp-group 10 priority 100
user@FW4# set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.102/24 vrrp-group 10 preempt
user@FW4# set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.102/24 vrrp-group 10 accept-data
user@FW4# set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.102/24 vrrp-group 100 virtual-address 192.168.1.100
user@FW4# set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.102/24 vrrp-group 100 priority 100
user@FW4# set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.102/24 vrrp-group 100 preempt
user@FW4# set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.102/24 vrrp-group 100 accept-data
6-1-3. 下記のコマンドを実行して、設定投入したコンフィグが差分として表示されていることを確認します。
user@FW4# show | compare
6-1-4. 下記のコマンドを実行して、新FW2の設定を反映します。
user@FW4# commit check
configuration check succeeds
user@FW4# commit
commit complete
6-1-5. 下記のコマンドを実行して、ファイアウォール (旧FW1,新FW2) のVRRPステータスを確認します。
user@FW1> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 10 master Active A 2.621 lcl 10.0.10.101
vip 10.0.10.100
ge-0/0/2.0 up 100 master Active A 14.442lcl 192.168.1.101
vip 192.168.1.100
user@FW4> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 10 backup Active D 55.385lcl 10.0.10.102
vip 10.0.10.100
mas 10.0.10.101
ge-0/0/2.0 up 100 backup Active D 48.355lcl 192.168.1.102
vip 192.168.1.100
mas 192.168.1.101
7. FWの切替¶
7-1. 旧FW1のPriorityを変更する。
7-1-1.下記のコマンドを実行して、旧FW1にログインします。
ubuntu@ubuntu:~$ ssh user@10.0.0.101
Password:
Last login: Wed Feb 12 16:59:20 2020 from 10.0.0.254
--- JUNOS 15.1X49-D105.1 built 2018-03-28 00:45:38 UTC
7-1-2. 下記のコマンドを実行して、ファイアウォール (旧FW1,新2) のVRRPステータスを確認します。
user@FW1> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 10 master Active A 16.776lcl 10.0.10.101
vip 10.0.10.100
ge-0/0/2.0 up 100 master Active A 8.133 lcl 192.168.1.101
vip 192.168.1.100
7-1-3. コンフィグレーションモードに入るため、下記のコマンドを実行して、プロンプトが#に変わったら、VRRP切替用投入コンフィグを貼り付けます。
#VRRP設定
user@FW1> configure
Entering configuration mode
[edit]
user@FW1#set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.101/24 vrrp-group 10 priority 50
user@FW1#set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.101/24 vrrp-group 100 priority 50
7-1-4. 下記のコマンドを実行して、設定投入したコンフィグが差分として表示されていることを確認します。
user@FW1# show | compare
7-1-5. 下記のコマンドを実行して設定を反映、旧FW1のコンフィグを取り込みます。
user@FW1# commit check
configuration check succeeds
user@FW1# commit
commit complete
注釈
vSRX の仕様として、VRRPの切替え時間について、デフォルト設定でAdvertise Interval×3回に加え約4秒程度必要とするため、トラフィックの切替完了までに約7秒程度 (ICMP通信で測定) 必要です。
7-1-6. 下記のコマンドを実行して、ファイアウォール (旧FW1,新FW2) のVRRPステータスを確認します。
user@FW1> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 10 backup Active D 47.035lcl 10.0.10.101
vip 10.0.10.100
mas 10.0.10.102
ge-0/0/2.0 up 100 backup Active D 46.588lcl 192.168.1.101
vip 192.168.1.100
mas 192.168.1.102
user@FW4> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 10 master Active A 3.097 lcl 10.0.10.102
vip 10.0.10.100
ge-0/0/2.0 up 100 master Active A 0.262 lcl 192.168.1.102
vip 192.168.1.100
7-1-7. ファイアウォールを経由する通信確認をして下さい (HTTP通信等)
注釈
通信がNGのまま戻らない場合、切戻しを実施します。 (具体的な切戻し手順は、本ガイド13.切戻し手順をご確認下さい。)
8. 旧FW1の接続の切断¶
注釈
作業後、ファイアウォールは冗長構成が解除され、シングル構成での動作となります。
8-1. 旧FW1のロジカルネットワークとの接続を切断する。
8-1-1. SDPFカスタマーポータルから、旧FW1のインターフェースにVRRP用通信設定を解除します。
(VRRP用通信設定の登録 を参考にして、VRRP用通信設定の登録を解除して下さい。)
8-1-2. SDPFカスタマーポータルから、旧FW1のロジカルネットワークを切断します。
(カスタマーポータルからの申込操作方法 を参考にして、インターフェースを切断して下さい。)
9. 新FW1の接続及び、設定投入¶
9-1. 新FWを接続する。
9-1-1. SDPFカスタマーポータルから、作成した新FW1にロジカルネットワークを接続します。
(カスタマーポータルからの申込操作方法 を参考にして、インターフェースを接続して下さい。)
注釈
ロジカルネットワークと接続が必要なインターフェースは全て実行します。また、インターフェースのIPアドレス設定は、旧FWのアドレスと同様のアドレスで設定し、VRRP用仮想IPアドレスは、旧FWと同じIPアドレスで設定します。
9-1-2. SDPFカスタマーポータルから、新FW1のインターフェースにVRRP用通信設定の登録を該当インターフェースに実施します。
(VRRP用通信設定の登録 を参考にして、VRRP用通信設定を登録して下さい。)
9-2. 新FWへ設定を投入する。
9-2-1. 下記のコマンドを実行して、新FW1にログインします。
ubuntu@ubuntu:~$ ssh user@10.0.0.111
Password:
Last login: Fri Feb 7 16:07:30 2020 from 10.0.0.254
--- JUNOS 15.1X49-D105.1 built 2018-03-28 00:45:38 UTC
9-2-2. コンフィグレーションモードに入るため下記のコマンドを実行して、プロンプトが#に変わったら、旧FW1のバックアップから作成した投入コンフィグをロードさせます。
(コンフィグレーションの保存リストア を参考にして、コンフィグレーションの保存・リストアを実施して下さい。)
注釈
投入するコンフィグは内容が新FW1用に修正されていることを確認して下さい。
user> configure
Entering configuration mode
[edit]
user# load set ChangeToDifferentVirsion_PTN2_vSRX01.conf
load complete
9-2-3. 下記のコマンドを実行して、設定投入したコンフィグとの差分を確認して下さい。
user# show | compare
注釈
投入したコンフィグが多いときは、show configuration | display set の結果と投入コンフィグを diff等のツールを利用してチェックして下さい。
9-2-4. 下記のコマンドを実行して、設定を反映し、ファイアウォールのコンフィグを取り込みます。
user# commit check
configuration check succeeds
user# commit
commit complete
10. 新FWのVRRP設定追加¶
10-1. 新FW1のVRRPを設定する。
10-1-1. 下記のコマンドを実行して、新FW1にログインします。
ubuntu@ubuntu:~$ ssh user@10.0.0.111
Password:
Last login: Fri Feb 7 16:07:30 2020 from 10.0.0.254
--- JUNOS 15.1X49-D105.1 built 2018-03-28 00:45:38 UTC
10-1-2. コンフィグレーションモードに入るため、下記のコマンドを実行して、プロンプトが#に変わったら、VRRP設定投入コンフィグを貼り付けます。
#VRRP設定
user@FW3> configure
Entering configuration mode
[edit]
user@FW3# set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.101/24 vrrp-group 10 virtual-address 10.0.10.100
user@FW3# set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.101/24 vrrp-group 10 priority 50
user@FW3# set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.101/24 vrrp-group 10 preempt
user@FW3# set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.101/24 vrrp-group 10 accept-data
user@FW3# set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.101/24 vrrp-group 100 virtual-address 192.168.1.100
user@FW3# set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.101/24 vrrp-group 100 priority 50
user@FW3# set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.101/24 vrrp-group 100 preempt
user@FW3# set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.101/24 vrrp-group 100 accept-data
10-1-3. 下記のコマンドを実行して、設定投入したコンフィグが差分として表示されていることを確認します。
user@FW3# show | compare
10-1-4. 下記のコマンドを実行して、設定を反映し、新FW1のコンフィグを取り込みます。
user@FW3# commit check
configuration check succeeds
user@FW3# commit
commit complete
10-1-5. 下記のコマンドを実行して、ファイアウォール (新FW1,2) のVRRPステータスを確認します。
user@FW3> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 10 backup Active D 56.216lcl 10.0.10.101
vip 10.0.10.100
mas 10.0.10.102
ge-0/0/2.0 up 100 backup Active D 57.452lcl 192.168.1.101
vip 192.168.1.100
mas 192.168.1.102
user@FW4> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 10 master Active A 3.260 lcl 10.0.10.102
vip 10.0.10.100
ge-0/0/2.0 up 100 master Active A 16.428lcl 192.168.1.102
vip 192.168.1.100
11. FWの切替¶
11-1. 新FW1のPriorityを変更する。
11-1-1. 下記のコマンドを実行して、新FW1にログインします。
ubuntu@ubuntu:~$ ssh user@10.0.0.111
Password:
Last login: Fri Feb 7 16:07:30 2020 from 10.0.0.254
--- JUNOS 15.1X49-D105.1 built 2018-03-28 00:45:38 UTCs
11-1-2. コンフィグレーションモードに入るため、下記のコマンドを実行して、プロンプトが#に変わったら、VRRP切替用投入コンフィグを貼り付けます。
#VRRP設定
user@FW3> configure
Entering configuration mode
[edit]
user@FW3# set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.101/24 vrrp-group 10 priority 200
user@FW3# set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.101/24 vrrp-group 100 priority 200
11-1-3. 下記のコマンドを実行して、設定投入したコンフィグが差分として表示されていることを確認します。
user@FW3# show | compare
11-1-4. 下記のコマンドを実行して設定を反映、新FW1のコンフィグを取り込みます。
user@FW3# commit check
configuration check succeeds
user@FW3# commit
commit complete
11-1-5. 下記のコマンドを実行して、ファイアウォール (新FW1,2) のVRRPステータスを確認します。
user@FW3> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 10 master Active A 4.333 lcl 10.0.10.101
vip 10.0.10.100
ge-0/0/2.0 up 100 master Active A 0.555 lcl 192.168.1.101
vip 192.168.1.100
user@FW4> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 10 backup Active D 56.716lcl 10.0.10.102
vip 10.0.10.100
mas 10.0.10.101
ge-0/0/2.0 up 100 backup Active D 52.935lcl 192.168.1.102
vip 192.168.1.100
mas 192.168.1.101
11-1-6. ファイアウォールを経由する通信確認をして下さい (HTTP通信等)
12. 旧FWの削除¶
本手順は、切替後の通信が安定していることを確認した後に実施してください。
12-1. SDPFカスタマーポータルから、ネットワーク→ファイアウォールへと進み、ファイアウォールの一覧を表示します。
12-2. SDPFカスタマーポータルから、ファイアウォール (旧FW1) を削除します。
(ファイアウォール インスタンスの削除方法 を参考にして、ファイアウォールを削除して下さい。)
注釈
削除対象のファイアウォール (旧FW1) が正しく選択されているか、再度確認して下さい。
12-3. SDPFカスタマーポータルから、ファイアウォール (旧FW2) を削除します。
(ファイアウォール インスタンスの削除方法 を参考にして、ファイアウォールを削除して下さい。)
注釈
旧FW1が削除されたことを確認後に、本作業を行なってください。 削除対象のファイアウォール (旧FW2) が正しく選択されているか、再度確認して下さい。
注釈
正常実行時の作業手順は以上となります。
以下に切戻し手順、投入コンフィグ例を記載します。
13. 切戻し手順¶
13-1. 旧FW1のPriorityを変更する。
13-1-1. 下記のコマンドを実行して、旧FW1にログインします。
ubuntu@ubuntu:~$ ssh user@10.0.0.101
Password:
Last login: Fri Feb 7 16:07:30 2020 from 10.0.0.254
--- JUNOS 15.1X49-D105.1 built 2018-03-28 00:45:38 UTCs
13-1-2. コンフィグレーションモードに入るため、下記のコマンドを実行して、プロンプトが#に変わったら、VRRP切戻し用投入コンフィグを貼り付けます。
旧FW1 切戻し用投入コンフィグ
user> configure
Entering configuration mode
[edit]
user@FW1# set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.101/24 vrrp-group 10 priority 200
user@FW1# set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.101/24 vrrp-group 100 priority 200
13-1-3. 下記のコマンドを実行して、設定投入したコンフィグが差分として表示されていることを確認します。
user@FW1# show | compare
13-1-4. 下記のコマンドを実行して設定を反映、旧FW1のコンフィグを取り込みます。
user@FW1# commit check
configuration check succeeds
user@FW1# commit
commit complete
13-1-5. 下記のコマンドを実行して、ファイアウォール (旧FW1、新FW2) のVRRPステータスを確認します。
user@FW1> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 10 master Active A 8.893 lcl 10.0.10.101
vip 10.0.10.100
ge-0/0/2.0 up 100 master Active A 10.864lcl 192.168.1.101
vip 192.168.1.100
user@FW4> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 10 backup Active D 56.716lcl 10.0.10.102
vip 10.0.10.100
mas 10.0.10.101
ge-0/0/2.0 up 100 backup Active D 52.935lcl 192.168.1.102
vip 192.168.1.100
mas 192.168.1.101
13-1-6. ファイアウォールを経由する通信確認をして下さい (HTTP通信等)
注釈
VRRPを経由した通信が回復します。
13-2. 新FW2のインターフェースを切断する。
注釈
作業後、ファイアウォールは冗長構成が解除され、シングル構成での動作となります。
13-2-1. 新FW2のロジカルネットワークとの接続を切断する。
13-2-2. SDPFカスタマーポータルから、新FW2のインターフェースでVRRP用通信設定を解除します。
(VRRP用通信設定の登録 を参考にして、VRRP用通信設定の登録を解除して下さい。)
13-2-3. SDPFカスタマーポータルから、新FW2をロジカルネットワークから切断します。
(カスタマーポータルからの申込操作方法 を参考にして、インターフェースを切断して下さい。)
13-3. 旧FW2を接続する。
13-3-1. SDPFカスタマーポータルから、旧FW2にロジカルネットワークを接続します。
(カスタマーポータルからの申込操作方法 を参考にして、インターフェースを接続して下さい。)
注釈
ロジカルネットワークと接続が必要なインターフェースは全て実行します。
13-3-2. SDPFカスタマーポータルから、旧FW2のインターフェースにVRRP用通信設定の登録を該当インターフェースに実施します。
(VRRP用通信設定の登録 を参考にして、VRRP用通信設定を登録して下さい。)
13-3-3. 下記のコマンドを実行して、ファイアウォール (旧FW1、旧FW2) のVRRPステータスを確認します。
user@FW1> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 10 master Active A 8.893 lcl 10.0.10.101
vip 10.0.10.100
ge-0/0/2.0 up 100 master Active A 10.864lcl 192.168.1.101
vip 192.168.1.100
user@FW2> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/1.0 up 10 backup Active D 59.186lcl 10.0.10.102
vip 10.0.10.100
mas 10.0.10.101
ge-0/0/2.0 up 100 backup Active D 60.251lcl 192.168.1.102
vip 192.168.1.100
mas 192.168.1.101
13-3-4. ファイアウォールを経由する通信確認をして下さい (HTTP通信等)