2.1.30.9. 共通機能をManaged FW経由で利用する際のNAT構成例

2.1.30.9.1. 前提条件

ファイアウォール配下のサーバセグメントから共通機能ゲートウェイを介し、共通機能プールへ接続する構成例を示します。
今回のケースはNTPサーバへのアクセスを想定しています。

2.1.30.9.2. 構成図

Server がManaged FWを経由し、共通機能プールのNTPサーバへアクセスできるよう構成しています。
Server のゲートウェイとして、Managed FW でVRRPを設定し冗長構成としています。
Server からNTPサーバへの通信をManaged FWでSNATするよう構成しています。
common-functiongw-structure

注釈

  • Managed FirewallおよびManaged UTMの対向側の機器でVRRPを使用する場合、互いに異なるVRRP IDを設定する必要があります。同じVRRP IDを使用すると正常に通信できません。

  • 下記のVRRP IDはManaged Firewall/UTMおよび隣接する機器のVRRP ID に使用できません。
    ID 11(仮想MACアドレス00:00:5e:00:01:0b)
    ID 51(仮想MACアドレス00:00:5e:00:01:33)
    ID 52(仮想MACアドレス00:00:5e:00:01:34)

  • ServerのOSは “CentOS 7.1.1503” を使用しております。

  • NTPクライアントは “chrony-1.29.1” を使用しております。

本構成では以下の手順で設定を行います。
手順① SNATの設定
手順② Firewall Policyの設定
手順③ インターフェースの設定

2.1.30.9.3. 手順① Source NATの設定

Sourrce NATの設定は Source NATの設定 をご覧ください。
コントロールパネル画面にログイン後、セキュリティをクリックし、Managed Firewall(Version2)のOperationをクリックください。
common-functiongw-securitymenu

デバイス管理からいずれかのデバイスを右クリックし、[コンフィグ]をクリックしてください
common-functiongw-device-management

画面左側のオブジェクト画面から Source NAT をクリックします。
オブジェクト ‣ NAT Object ‣ Source NAT
画面右側の Source NAT 画面で[追加]をクリックします。
common-functiongw-device-management-snat

設定値を入力して、[保存]をクリックします。
common-functiongw-device-management-snat-save

2.1.30.9.4. 手順② ファイアウォールポリシーの設定

ファイアウォールポリシーの設定は ファイアウォールポリシーの設定 をご覧ください。
コントロールパネル画面にログイン後、セキュリティをクリックし、Managed Firewall(Version2)のOperationをクリックください。
common-functiongw-securitymenu

デバイス管理からいずれかのデバイスを右クリックし、[コンフィグ]をクリックしてください
common-functiongw-device-management

画面左側のオブジェクト画面から Firewall Policy をクリックします。
オブジェクト ‣ Firewall Policy ‣ Firewall Policy
画面右側の Firewall Policy 画面で[追加]をクリックします。
common-functiongw-device-management-policy

サーバセグメント(Port9)からCFGセグメント(Port10)へのファイアウォールポリシーを入力します。
設定値を入力して、[保存]をクリックします。
common-functiongw-device-management-policy-save

2.1.30.9.5. 手順③ インターフェースの設定

M-FWのインターフェースの設定は HA構成のインターフェース設定 をご覧ください。
コントロールパネル画面にログイン後、
セキュリティをクリックし、Managed Firewall(Version2)のOperationをクリックください。
common-functiongw-securitymenu

[サービス] - [ワークフロー] - [Cluster Port Management]とクリックしてください。
common-functiongw-cluster-port-management

最新のお客さまネットワーク情報を参照可能にするため、設定対象のデバイスをクリックで選択して[Get Network Info]をクリックします。
Port Management

[タスク ステータス]が表示されます。Get Network Infoのタスクが「緑色」になれば正常終了です。[クローズ]で閉じてください。
Task Status

設定対象のHAペアをクリックで選択し、[Manage Interfaces]をクリックします。
デバイス選択

[Manage Interfaces]の画面が開きます。Port 2,3は[Manage Interfaces]の画面には表示されません。
設定対象のポートをクリックで選択して、[編集]をクリックします。
どのポート番号でクリックしても同じ画面が開きます。
common-functiongw-manage-interfaces-edit

[Enable Port]をチェックすると設定値を入力できます。
外部セグメント(Port9)の入力値は下記になります。
[保存]をクリックします。この画面で保存しただけではデバイスに適用されません。
common-functiongw-manage-interfaces-port9

FWセグメント(Port10) の入力値は下記になります。
[保存]をクリックします。この画面で保存しただけではデバイスに適用されません。
common-functiongw-manage-interfaces-port10

使用するポート設定が準備できたら、Manage Interfaces画面で[今実行]をクリックします。
ポート設定適用

[タスク ステータス]が表示されます。
ポート設定適用3

タスク ステータスの説明です。
タスクの色   タスクのステータス
Blue
(青) 実行中のタスク
Green
(緑) 正常終了したタスク
Red
(赤) 問題が発生したタスク

すべてのステータスが「緑色」になれば正常終了です。[×]で閉じてください。
ポート設定適用4

2.1.30.9.6. 正常性の確認

ServerからNTPサーバへの同期確認を行います。
common-functiongw-confirm

本ユースケースは以上です。
2.1.30.8. 送信先NAT+NAPT(HA構成)
2.1.31. IPsecVPN構成例