10.2.8. コンフィグ管理

注釈

・下記にご案内する内容はBrocade 5600 vRouter GUIでは実施頂くことが出来ません。

10.2.8.1. コンフィグ保存

1. ログインする
 下記のコマンドを実行して、ファイアウォールにログインします。
$ ssh user-admin@192.168.1.10
Welcome to Brocade vRouter
user-admin@192.168.1.10's password:

注釈

ここでは、コンフィグを保存するファイアウォールのアドレスは、192.168.1.10です。

2. コンフィグを保存する
 下記のコマンドを実行して、出力結果をコピーし、作業端末のテキストファイルに保存します。
$ user-admin@vyatta:~$ show configuration commands
 出力結果の例
set interfaces dataplane 'dp0s3'
set interfaces dataplane dp0s4 address '192.168.1.7/24'
set interfaces dataplane dp0s5 address '192.168.2.7/24'
set interfaces dataplane 'dp0s6'
set interfaces dataplane 'dp0s7'
set interfaces dataplane dp0s8 address '192.168.5.3/24'
set interfaces dataplane dp0s9 address '192.168.6.3/24'
set interfaces dataplane 'dp0s10'
set interfaces dataplane 'dp0s11'
set interfaces loopback 'lo'
set protocols static route '0.0.0.0/0'
set protocols static route 192.168.3.0/24 next-hop '192.168.2.9'
set security firewall name 'IN_DUMMY'
set security firewall name 'IN_PROVIDER_MGMT'
set security firewall name 'OUT_DUMMY'
set security firewall name 'OUT_PROVIDER_MGMT'
set service 'https'
set service snmp community '1gjiYVzLXbHeJvt5'
set service 'ssh'
set system config-management commit-revisions '20'
set system login user 'provider-ctrl'
set system login user 'provider-dev'
set system login user 'provider-ope'
set system login user user-admin authentication encrypted-password '********'
set system login user user-read authentication encrypted-password '********'
set system login user user-read level 'operator'
set system syslog global facility all level 'warning'

10.2.8.2. コンフィグリストアの事前準備

上記で保存したコンフィグファイルをファイアウォールにリストアするために事前の準備を行います。

1. コンフィグを加工(削除)する。

 保存したコンフィグにおいて、ユーザーからの設定を禁止しているコマンド行を削除します。
//1.IF名のみ設定している行
//2.addressを設定している行
set interfaces dataplane 'dp0s3'
set interfaces dataplane dp0s4 address '192.168.1.7/24'
set interfaces dataplane dp0s5 address '192.168.2.7/24'
set interfaces dataplane 'dp0s6'
set interfaces dataplane 'dp0s7'
set interfaces dataplane dp0s8 address '192.168.5.3/24'
set interfaces dataplane dp0s9 address '192.168.6.3/24'
set interfaces dataplane 'dp0s10'
set interfaces dataplane 'dp0s11'
set interfaces loopback 'lo'

//3.default routeを設定している行
set protocols static route '0.0.0.0/0'


//4.以下の特定のfirewall rule nameを設定している行
set security firewall name 'IN_DUMMY'
set security firewall name 'IN_PROVIDER_MGMT'
set security firewall name 'OUT_DUMMY'
set security firewall name 'OUT_PROVIDER_MGMT'

//5.https,snmp,sshのservice設定の行
set service 'https'
set service snmp community '1gjiYVzLXbHeJvt5'
set service 'ssh'

//6.以下の特定のlogin userの設定の行
set system login user 'provider-ctrl'
set system login user 'provider-dev'
set system login user 'provider-ope'
2. コンフィグを加工(修正)する。

 ユーザーアカウントのパスワード設定に該当するコマンド行を修正します。
 user-admin,user-readのそれぞれに対して、「encrypted-password」を「plaintext-password」に修正し、アスタリスクの箇所を設定パスワードに修正します。
//変更前のイメージ
set system login user user-admin authentication encrypted-password '********'
set system login user user-read authentication encrypted-password '********'

//変更後のイメージ(パスワードを"abcdefg","hijklmn"に指定)
set system login user user-admin authentication plaintext-password abcdefg
set system login user user-read authentication plaintext-password hijklmn

10.2.8.3. コンフィグリストア

1. ログインする

 下記のコマンドを実行して、ファイアウォールにログインします。
$ ssh user-admin@192.168.1.10
Welcome to Brocade vRouter
user-admin@192.168.1.10's password:

注釈

・コンフィグファイルをリストアするファイアウォールは新規で作成し、インタフェースがロジカルネットワークに接続されていることを想定しています。
・本リストア手順では、保存したコンフィグ設定で上書き投入することを前提としており、古いコンフィグ等が残っている場合は適宜、削除・修正して下さい。
・192.168.1.20など別アドレスで作成したい場合には、ファイアウォールルール等変更したアドレスに関連する設定箇所を事前に修正してください。
2. 保存したコンフィグの貼り付け

 コンフィグレーションモードに入るため、下記のコマンドを実行して、プロンプトが#に変わったら保存したコンフィグファイルを貼り付けます。
user-admin@vyatta:~$ configure
[edit]
user-admin@vyatta#

注釈

コンフィグの貼り付けをした時、以下のエラーが出力された場合は、お客様が設定できないコマンドが含まれていることを示していますので再度設定を見直して下さい。

Configuration path: 「該当するコマンド」 is not valid access denied Set failed
3. コンフィグ差分を確認する。

 下記のコマンドを実行して、設定投入したコンフィグが差分として表示されていることを確認します。
user-admin@vyatta# compare
 出力結果の例
user-admin@vyatta# compare
[edit protocols static]
+route 192.168.2.0/24 {
+       next-hop 192.168.1.100
+}
[edit protocols static]
-route 192.168.3.0/24 {
-       next-hop 192.168.1.101
-}
[edit]
user-admin@vyatta#

注釈

・compareコマンドの実行により、前回保存されたコンフィグと現在のコンフィグとの差分が表示されます。+は追加されたコマンドを、-は削除されたコマンドを表示します。
・意図しない差分が表示されている場合はコンフィグ内容を見直してください。
・設定投入したコンフィグに一部抜けがあった場合、正常にコマンドが実施できない可能性があります。この場合は、再度、設定投入するか、exit discardコマンドでコンフィグレーションモードを一旦抜けてリストア作業を一旦リセットしてください。
4. コンフィグを反映する。

 下記のコマンドを実行して、設定を反映します。
user-admin@vyatta# commit

注釈

・commitコマンドの実行により、2.で貼り付けたコンフィグの内容が、ファイアウォールのメモリ上に反映されます。
・commitに失敗した場合には失敗した原因を特定し、修正を行ってください。
・事業者側の設定を変更するコマンドを実行し、commitした場合には「Commit failed!」と表示されますのでペーストしたいコンフィグ内容を再確認ください。
・コンフィグの保存前であれば、ファイアウォールを再起動することで変更前のコンフィグに戻れます。
5.コンフィグを保存する。

 下記のコマンドを実行して、ファイアウォールのコンフィグを保存します。
user-admin@vyatta# save

注釈

・saveコマンドの実行より、メモリ上の設定内容がファイアウォール起動時に読み込まれるコンフィグファイルに保存されます。
・saveコマンドを実行せずにファイアウォールを再起動した場合、変更前のコンフィグに戻ります。