2.1.31.11. 共通機能をManaged FW経由で利用する際のNAT構成例

2.1.31.11.1. 前提条件

ファイアウォール配下のサーバセグメントから共通機能ゲートウェイを介し、共通機能プールへ接続する構成例を示します。
今回のケースはNTPサーバへのアクセスを想定しています。

2.1.31.11.2. 構成図

Server がManaged FWを経由し、共通機能プールのNTPサーバへアクセスできるよう構成しています。
Server のゲートウェイとして、Managed FW でVRRPを設定し冗長構成としています。
Server からNTPサーバへの通信をManaged FWでSNATするよう構成しています。
common-functiongw-structure

注釈

  • Managed FirewallおよびManaged UTMの対向側の機器でVRRPを使用する場合、互いに異なるVRRP IDを設定する必要があります。同じVRRP IDを使用すると正常に通信できません。

  • 下記のVRRP IDはManaged Firewall/UTMおよび隣接する機器のVRRP ID に使用できません。
    ID 11(仮想MACアドレス00:00:5e:00:01:0b)
    ID 51(仮想MACアドレス00:00:5e:00:01:33)
    ID 52(仮想MACアドレス00:00:5e:00:01:34)

  • ServerのOSは “CentOS 7.1.1503” を使用しております。

  • NTPクライアントは “chrony-1.29.1” を使用しております。

本構成では以下の手順で設定を行います。
手順① SNATの設定
手順② Firewall Policyの設定
手順③ インターフェースの設定

2.1.31.11.3. 手順① Source NATの設定

Sourrce NATの設定は Source NATの設定 をご覧ください。
コントロールパネル画面にログイン後、セキュリティをクリックし、Managed Firewall(Version3)のOperationをクリックください。
common-functiongw-securitymenu

デバイス管理からいずれかのデバイスを右クリックし、[設定]をクリックしてください
common-functiongw-device-management
common-functiongw-device-management

画面左側のオブジェクト画面から Source NAT をクリックします。
NAT Object ‣ Source NAT
画面右側の Source NAT 画面で[オブジェクトを追加]をクリックします。
common-functiongw-device-management-snat

設定値を入力して、[保存]をクリックします。
common-functiongw-device-management-snat-save

2.1.31.11.4. 手順② ファイアウォールポリシーの設定

ファイアウォールポリシーの設定は ファイアウォールポリシーの設定 をご覧ください。
コントロールパネル画面にログイン後、セキュリティをクリックし、Managed Firewall(Version3)のOperationをクリックください。
common-functiongw-securitymenu

デバイス管理からいずれかのデバイスを右クリックし、[設定]をクリックしてください
common-functiongw-device-management
common-functiongw-device-management

画面左側のオブジェクト画面から Firewall Policy をクリックします。
Firewall Policy ‣ Firewall Policy
画面右側の Firewall Policy 画面で[オブジェクトを追加]をクリックします。
common-functiongw-device-management-policy

サーバセグメント(Port9)からCFGセグメント(Port10)へのファイアウォールポリシーを入力します。
設定値を入力して、[保存]をクリックします。
common-functiongw-device-management-policy-save
common-functiongw-device-management-policy-save2

2.1.31.11.5. 手順③ インターフェースの設定

M-FWのインターフェースの設定は HA構成のインターフェース設定 をご覧ください。
コントロールパネル画面にログイン後、
セキュリティをクリックし、Managed Firewall(Version3)のOperationをクリックください。
common-functiongw-securitymenu

[オートメーション] - [入力情報ベース] - [Cluster Port Management]とクリックしてください。
common-functiongw-cluster-port-management

最新のお客さまネットワーク情報を参照可能にするため、設定対象のデバイスにおいて[Get Network Info]をクリックします。
common-functiongw-get-nw

[Tasks]が表示されます。Get Network Infoのタスクが「緑色」になれば正常終了です。[×]で閉じてください。
common-functiongw-task-status

設定対象のHAペアをクリックで選択し、[Manage Interfaces]をクリックします。
common-functiongw-manage-interface.png

[Enable Port]をチェックすると設定値を入力できます。
外部セグメント(Port9)の入力値は下記になります。
common-functiongw-manage-interfaces-port9

FWセグメント(Port10) の入力値は下記になります。
common-functiongw-manage-interfaces-port10

使用するポート設定が準備できたら、Manage Interfaces画面で[実行]をクリックします。
common-functiongw-run

[Tasks]が表示されます。
common-functiongw-tasks

タスク ステータスの説明です。
タスクの色   タスクのステータス
Blue
(青) 実行中のタスク
Green
(緑) 正常終了したタスク
Red
(赤) 問題が発生したタスク

すべてのステータスが「緑色」になれば正常終了です。[×]で閉じてください。
common-functiongw-close

2.1.31.11.6. 正常性の確認

ServerからNTPサーバへの同期確認を行います。
common-functiongw-confirm

本ユースケースは以上です。
2.1.31.10. 送信先NAT(SSL-Offloadingあり/HA構成)
2.1.32. IPsecVPN構成例