異なるバージョン間の切替(パターン1)

利用中のファイアウォール(冗長構成)を新バージョンのファイアウォール(冗長構成)へ切替する手順をご説明します。
新バージョンのファイアウォールでは、旧バージョンのファイアウォールで使用していたIPアドレスを引き継がず、別のIPアドレスを設定する切替方法です。
弊社では、以下に示すバージョンの組み合わせで動作確認を行なっております。
旧バージョン 新バージョン
3.5R6S3 5.2R4
4.2R1S1 5.2R4

本ガイドで切替するシステム構成

以下のシステム構成をもとにファイアウォール(Brocade 5600 vRouter)におけるリプレース方法を説明します。
Vyatta GUI

前提条件

  • サービス説明書 に記載の通り、バージョンアップはできません。
  • 新旧バージョン間でのVRRPを組んでの切り替えはバージョンにより、動作が異なるため、旧FWのVRRP停止・新FWのVRRP設定追加により切替る手順としています。
  • 新バージョンでの機能確認はお客様にて事前に実施下さい。
  • 旧バージョンから新バージョンへの切替前・後で、お客様システムの通信に影響があるかどうかを含めたファイアウォールの動作確認は、お客様にて実施下さい。特に、新バージョンを5.2R4とする場合はパケットフィルタリング機能をステートフルに動作させるための設定をファイアウォール全体で有効にするオプション(global-state-policy)の動作仕様が変更されているため、このオプションを利用中のお客様は必ず事前に動作確認を実施ください。 変更内容に関しては Brocade Technical Bulletin(Version5.2R4)、または 動作確認済設定例(パケットフィルタリング機能をステートフルに動作させる設定) をご参照ください。
  • 本手順では下記に示す設定が入っている状態で動作確認を行なっています。

旧FW1の設定
#if_firewall設定
set interfaces dataplane dp0s4 firewall in 'IN_Internet'
set interfaces dataplane dp0s4 firewall out 'ACCEPT'
set interfaces dataplane dp0s5 firewall in 'IN_LAN'
set interfaces dataplane dp0s5 firewall out 'ACCEPT'

#VRRP設定
set interfaces dataplane dp0s4 vrrp vrrp-group 11 advertise-interval '20'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 priority '200'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 'rfc-compatibility'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 sync-group 'SG1'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 virtual-address '192.168.1.10'

set interfaces dataplane dp0s5 vrrp vrrp-group 12 advertise-interval '20'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 priority '200'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 'rfc-compatibility'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 sync-group 'SG1'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 virtual-address '192.168.2.10'

#nat設定
set service nat destination rule 10 destination address '1.X.X.1'
set service nat destination rule 10 inbound-interface 'dp0s4'
set service nat destination rule 10 translation address '192.168.2.100'
set service nat source rule 10 outbound-interface 'dp0s4'
set service nat source rule 10 source address '192.168.0.0/16'
set service nat source rule 10 translation address 'masquerade'

#firewall設定
set security firewall global-state-policy 'icmp'
set security firewall global-state-policy 'tcp'
set security firewall global-state-policy 'udp'
set security firewall name IN_Internet default-action 'drop'
set security firewall name IN_Internet 'default-log'
set security firewall name IN_Internet rule 10 action 'accept'
set security firewall name IN_Internet rule 10 source address 192.168.1.12
set security firewall name IN_Internet rule 11 action 'accept'
set security firewall name IN_Internet rule 11 destination address '1.X.X.1'
set security firewall name IN_Internet rule 11 destination port '80'
set security firewall name IN_Internet rule 11 protocol 'tcp'
set security firewall name IN_LAN default-action 'drop'
set security firewall name IN_LAN 'default-log'
set security firewall name IN_LAN rule 10 action 'accept'
set security firewall name IN_LAN rule 10 source address 192.168.2.12
set security firewall name IN_LAN rule 11 action 'accept'
set security firewall name IN_LAN rule 11 source port '80'
set security firewall name IN_LAN rule 11 protocol 'tcp'
set security firewall name ACCEPT default-action 'accept'
set security firewall name ACCEPT rule 10 action 'accept'
set security firewall name ACCEPT rule 10 state 'enable'
set security firewall session-log icmp new    #ver4.2以降はプロトコル名の次にオプション名が必須のため要修正
set security firewall session-log tcp syn-sent    #ver4.2以降はプロトコル名の次にオプション名が必須のため要修正
set security firewall session-log udp new    #ver4.2以降はプロトコル名の次にオプション名が必須のため要修正

#system設定
set system host-name 'FW1'
set system time-zone 'Asia/Tokyo'
set system login user user-admin authentication plaintext-password xxx
set system login user user-read authentication plaintext-password xxx

注釈

ver4.2R1S1以降のファイアウォールをご利用の方は、session-log設定をする際に
プロトコル名(icmp,tcp,udp等)の次にオプション名(new,syn-sent等)の追加設定が必須です。

旧FW2の設定
 #if_firewall設定
set interfaces dataplane dp0s4 firewall in 'IN_Internet'
set interfaces dataplane dp0s4 firewall out 'ACCEPT'
set interfaces dataplane dp0s5 firewall in 'IN_LAN'
set interfaces dataplane dp0s5 firewall out 'ACCEPT'

#VRRP設定
set interfaces dataplane dp0s4 vrrp vrrp-group 11 advertise-interval '20'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 priority '100'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 'rfc-compatibility'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 sync-group 'SG1'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 virtual-address '192.168.1.10'

set interfaces dataplane dp0s5 vrrp vrrp-group 12 advertise-interval '20'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 priority '100'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 'rfc-compatibility'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 sync-group 'SG1'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 virtual-address '192.168.2.10'

#nat設定
set service nat destination rule 10 destination address '1.X.X.1'
set service nat destination rule 10 inbound-interface 'dp0s4'
set service nat destination rule 10 translation address '192.168.2.100'
set service nat source rule 10 outbound-interface 'dp0s4'
set service nat source rule 10 source address '192.168.0.0/16'
set service nat source rule 10 translation address 'masquerade'

#firewall設定
set security firewall global-state-policy 'icmp'
set security firewall global-state-policy 'tcp'
set security firewall global-state-policy 'udp'
set security firewall name IN_Internet default-action 'drop'
set security firewall name IN_Internet 'default-log'
set security firewall name IN_Internet rule 10 action 'accept'
set security firewall name IN_Internet rule 10 source address 192.168.1.11
set security firewall name IN_Internet rule 11 action 'accept'
set security firewall name IN_Internet rule 11 destination address '1.X.X.1'
set security firewall name IN_Internet rule 11 destination port '80'
set security firewall name IN_Internet rule 11 protocol 'tcp'
set security firewall name IN_LAN default-action 'drop'

set security firewall name IN_LAN 'default-log'
set security firewall name IN_LAN rule 10 action 'accept'
set security firewall name IN_LAN rule 10 source address 192.168.2.11
set security firewall name IN_LAN rule 11 action 'accept'
set security firewall name IN_LAN rule 11 source port '80'
set security firewall name IN_LAN rule 11 protocol 'tcp'
set security firewall name ACCEPT default-action 'accept'
set security firewall name ACCEPT rule 10 action 'accept'
set security firewall name ACCEPT rule 10 state 'enable'
set security firewall session-log icmp new    #ver4.2以降はプロトコル名の次にオプション名が必須のため要修正
set security firewall session-log tcp syn-sent    #ver4.2以降はプロトコル名の次にオプション名が必須のため要修正
set security firewall session-log udp new    #ver4.2以降はプロトコル名の次にオプション名が必須のため要修正

#system設定
set system host-name 'FW2'
set system time-zone 'Asia/Tokyo'

set system login user user-admin authentication plaintext-password xxx
set system login user user-read authentication plaintext-password xxx

注釈

ver4.2R1S1以降のファイアウォールをご利用の方は、session-log設定をする際に
プロトコル名(icmp,tcp,udp等)の次にオプション名(new,syn-sent等)の追加設定が必須です。


切替作業のイメージ

ファイアウォール(Brocade 5600 vRouter)の切替作業のイメージを、以下に説明します。

1.ロジカルネットワーク1とロジカルネットワーク2で、それぞれVRRPを動作させていることが前提となります。
Vyatta GUI

2.新バージョンのファイアウォールインスタンスを作成し、旧ファイアウォールと同様にロジカルネットワークへ接続しておきます。同時にECL2.0カスタマーポータルから「VRRP通信設定の登録」を該当インタフェース設定します。
Vyatta GUI

3.新バージョンのファイアウォールに旧ファイアウォールと同様の設定を行います。(ただし、VRRP設定は除く)
Vyatta GUI

4.旧ファイアウォールのVRRPをdisableに設定し、VRRPを停止する。
※ VRRPをdeleteせず、disableとするのは、切戻しを容易にするためです。
Vyatta GUI

5.事前に準備した切替用のコンフィグを新ファイアウォールに適用し、VRRPを開始します。正常に切り替わることを確認します。
※ VRRPをdeleteせず、disableとするのは、切戻しを容易にするためです。
Vyatta GUI

注釈

「作業手順:5-1-4」の後に通信断が始まり、「作業手順:5-1-5」で新FW1でVRRP設定を適用後 60[advertise-interval*3] 秒 が経過した後、新FW1が MASTER に昇格し、通信回復します。

Brocade 5600 vRouter製品では、切替時にセッションは維持されないため、アプリケーションによっては再接続を行って頂く必要があります。



6-1.新ファイアウォールを経由した通信が安定したことを確認した後、旧ファイアウォールを削除します。
Vyatta GUI

6-2.新ファイアウォールを経由した通信がNGのまま回復しない場合、切戻しを行います。
Vyatta GUI


作業手順

1.事前確認

  • 1-1. 旧FW1のコンフィグを保存する。
 1-1-1.下記のコマンドを実行して、ファイアウォール(旧FW1)にログインします。
$ ssh user-admin@192.168.1.11
Welcome to Brocade vRouter
user-admin@192.168.1.11's password:

 1-1-2.下記のコマンドを実行して、ファイアウォール(旧FW1)のVRRPステータスを確認します。
 設定されたVRRPのStateがMASTER/BACKUPと表示されており、想定したStateと一致していることを確認して下さい。
user-admin@FW1:~$ show vrrp
                                 RFC        Addr   Last        Sync
Interface         Group  State   Compliant  Owner  Transition  Group
---------         -----  -----   ---------  -----  ----------  -----
dp0s4             11     MASTER  yes        no     1d6h2m50s   sg1
dp0s5             12     MASTER  yes        no     1d6h1m50s   sg1

 1-1-3.下記のコマンドを実行して、出力結果を、作業端末のテキストファイルに保存します。
 (コンフィグ管理 を参考にして、不要な設定は事前に削除してください。)
user-admin@FW1:~$ show configuration commands


  • 1-2. 旧FW2のコンフィグを保存する。
 1-2-1.下記のコマンドを実行して、ファイアウォール(旧FW2)にログインします。
$ ssh user-admin@192.168.1.12
Welcome to Brocade vRouter
user-admin@192.168.1.12's password:

 1-2-2.下記のコマンドを実行して、ファイアウォール(旧FW2)のVRRPステータスを確認します。
 設定されたVRRPのStateがMASTER/BACKUPと表示されており、想定したStateと一致していることを確認して下さい。
user-admin@FW2:~$ show vrrp
                                 RFC        Addr   Last        Sync
Interface         Group  State   Compliant  Owner  Transition  Group
---------         -----  -----   ---------  -----  ----------  -----
dp0s4             11     BACKUP  yes        no     1d6h1m2s   sg1
dp0s5             12     BACKUP  yes        no     1d6h1m3s   sg1

 1-2-3.下記のコマンドを実行して、出力結果を、作業端末のテキストファイルに保存します。
 (コンフィグ管理 を参考にして、不要な設定は事前に削除してください。)
user-admin@FW2:~$ show configuration commands


2.新FWの作成

  • 2-1. 新FW1を作成する。
 2-1-1.ECL2.0カスタマーポータルから、新規にファイアウォール(新FW1)を作成します。
 (ファイアウォール インスタンスの申込方法 を参考にして、ファイアウォールを作成して下さい。)

注釈

ファイアウォール(新FW1)の作成においては、「ゾーン/グループ」を、zone1-groupa に選択します。

 2-1-2.ECL2.0カスタマーポータルから、作成したファイアウォール(新FW1)にロジカルネットワークを接続します。
 (ロジカルネットワークの接続 を参考にして、インタフェースを接続して下さい。)

注釈

ロジカルネットワークと接続が必要なインターフェースは全て実行します。また、インターフェースのIPアドレス設定は、旧FWのアドレスと異なるアドレスで設定し、VRRP用仮想IPアドレスは、旧FWと同じIPアドレスで設定します。

 2-1-3.ECL2.0カスタマーポータルから、ファイアウォール(新FW1)のインターフェースにVRRP用通信設定を登録します。
 (VRRP用通信設定の登録 を参考にして、VRRP用通信設定を登録して下さい。)

 2-1-4.ECL2.0カスタマーポータルから、ファイアウォール(新FW1)のデフォルトゲートウェイを設定します。
 (ファイアウォール インスタンスの操作方法 を参考にして、デフォルトゲートウェイを設定して下さい。)

注釈

デフォルトゲートウェイの設定が不要な場合は、本作業手順は省略して下さい。

  • 2-2. 新FW2を作成する。
 2-2-1.ECL2.0カスタマーポータルから、新規にファイアウォール(新FW2)を作成します。
 (ファイアウォール インスタンスの申込方法 を参考にして、ファイアウォールを作成して下さい。)

注釈

ファイアウォール(新FW2)の作成においては、「ゾーン/グループ」を、zone1-groupb に選択します。

 2-2-2.ECL2.0カスタマーポータルから、作成したファイアウォール(新FW2)にロジカルネットワークを接続します。
 (ロジカルネットワークの接続 を参考にして、インタフェースを接続して下さい。)

注釈

ロジカルネットワークと接続が必要なインターフェースは全て実行します。また、インターフェースのIPアドレス設定は、旧FWのアドレスと異なるアドレスで設定し、VRRP用仮想IPアドレスは、旧FWと同じIPアドレスで設定します。

 2-2-3.ECL2.0カスタマーポータルから、ファイアウォール(新FW2)のインターフェースにVRRP用通信設定を登録します。
 (VRRP用通信設定の登録 を参考にして、VRRP用通信設定を登録して下さい。)

 2-2-4.ECL2.0カスタマーポータルから、ファイアウォール(新FW2)のデフォルトゲートウェイを設定します。
 (ファイアウォール インスタンスの操作方法 を参考にして、デフォルトゲートウェイを設定して下さい。)

注釈

デフォルトゲートウェイの設定が不要な場合は、本作業手順は省略して下さい。

3.新FWへの設定投入

  • 3-1. 新FW1へコンフィグを事前リストアする。
 3-1-1.下記のコマンドを実行して、ファイアウォール(新FW1)にログインします。
$ ssh user-admin@192.168.1.13
Welcome to Brocade vRouter
user-admin@192.168.1.13's password:

 3-1-2. コンフィグレーションモードに入るため下記のコマンドを実行して、プロンプトが#に変わったら、旧FW1のバックアップから作成した投入コンフィグをコンソールに貼り付けます。
 (貼り付けるコンフィグファイルにVRRP用の設定が含まれていないことを確認して下さい。)
user-admin@vyatta:~$ configure
[edit]
user-admin@vyatta#

注釈

旧FW1でパケットフィルタリング機能をステートフルに動作させるための設定をファイアウォール全体で有効にするオプション(global-state-policy)を利用されていたお客様で、新FWのバージョンを5.2R4にされる場合は、動作仕様が変更されているため適切に修正されたコンフィグを投入コンフィグとしてコンソールに貼り付けてください。

 3-1-3. 下記のコマンドを実行して、設定投入したコンフィグとの差分を確認して下さい。
user-admin@vyatta# compare

注釈

投入したコンフィグが多いときは、show configuration commands の結果と投入コンフィグを diff等のツールを利用してチェックして下さい。

 3-1-4. 下記のコマンドを実行して、設定を反映し、ファイアウォールのコンフィグを保存します。
user-admin@vyatta# commit;save


  • 3-2. 新FW2へコンフィグを事前リストアする。
 3-2-1.下記のコマンドを実行して、ファイアウォール(新FW2)にログインします。
$ ssh user-admin@192.168.1.14
Welcome to Brocade vRouter
user-admin@192.168.1.14's password:

 3-2-2. コンフィグレーションモードに入るため、下記のコマンドを実行して、プロンプトが#に変わったら、旧FW2のバックアップから作成した投入コンフィグをコンソールに貼り付けます。
 (貼り付けるコンフィグファイルにVRRP用の設定が含まれていないことを確認して下さい。)
user-admin@vyatta:~$ configure
[edit]
user-admin@vyatta#

注釈

旧FW2でパケットフィルタリング機能をステートフルに動作させるための設定をファイアウォール全体で有効にするオプション(global-state-policy)を利用されていたお客様で、新FWのバージョンを5.2R4にされる場合は、動作仕様が変更されているため適切に修正されたコンフィグを投入コンフィグとしてコンソールに貼り付けてください。

 3-2-3. 下記のコマンドを実行して、設定投入したコンフィグとの差分を確認して下さい。
user-admin@vyatta# compare

注釈

投入したコンフィグが多いときは、show configuration commands の結果と投入コンフィグを diff等のツールを利用してチェックして下さい。

 3-2-4. 下記のコマンドを実行して、設定を反映し、ファイアウォール(新FW2)のコンフィグを保存します。
user-admin@vyatta# commit;save


4.旧FWの通信停止

  • 4-1. 旧FW2(Backup系)の Virtual IPをdisable にする。
 4-1-1.下記のコマンドを実行して、ファイアウォール(旧FW2)にログインします。
$ ssh user-admin@192.168.1.12
Welcome to Brocade vRouter
user-admin@192.168.1.12's password:

 4-1-2. コンフィグレーションモードに入るため、下記のコマンドを実行して、プロンプトが#に変わったら、VRRP_disable用投入コンフィグを貼り付けます。
 (本ガイドの「8.投入コンフィグ例」から、旧FW2 VRRP_disable用投入コンフィグをご参照ください。)
user-admin@FW2:~$ configure
[edit]
user-admin@FW2#

 4-1-3. 下記のコマンドを実行して、設定を反映して、ファイアウォール(旧FW2)のコンフィグを保存します。
user-admin@FW2# commit;save


  • 4-2. 旧FW1(Master系)の Virtual IPをdisable にする。
 4-2-1.下記のコマンドを実行して、ファイアウォール(旧FW1)にログインします。
$ ssh user-admin@192.168.1.11
Welcome to Brocade vRouter
user-admin@192.168.1.11's password:

 4-2-2. コンフィグレーションモードに入るため、下記のコマンドを実行して、プロンプトが#に変わったら、VRRP_disable用投入コンフィグを貼り付けます。
 (本ガイドの「8.投入コンフィグ例」から、旧FW1 VRRP_disable用投入コンフィグをご参照ください。)
user-admin@FW1:~$ configure
[edit]
user-admin@FW1#

注釈

通信断を最小にするため、commit は行いません。(commit は、5.1.4 で実施します。)

 4-2-3. 下記のコマンドを実行して、設定投入したコンフィグが差分として表示されていることを確認します。
user-admin@FW1# compare


5.新FWの通信開始

  • 5-1. 新FW1(Master系)のVRRPを設定する。
 5-1-1.下記のコマンドを実行して、ファイアウォール(新FW1)にログインします。
$ ssh user-admin@192.168.1.13
Welcome to Brocade vRouter
user-admin@192.168.1.13's password:

 5-1-2. コンフィグレーションモードに入るため、下記のコマンドを実行して、プロンプトが#に変わったら、VRRP切替用投入コンフィグを貼り付けます。
 (本ガイドの「8.投入コンフィグ例」から、新FW1 VRRP切替用投入コンフィグをご参照ください。)
user-admin@FW1:~$ configure
[edit]
user-admin@FW1#

 5-1-3. 下記のコマンドを実行して、設定投入したコンフィグが差分として表示されていることを確認します。
user-admin@FW1# compare

 5-1-4. 下記のコマンドを実行して、設定を反映し、ファイアウォール(旧FW1)のコンフィグを保存します。
  (※本操作において、コマンドを実行する対象のファイアウォールは、旧FW1となります。)
user-admin@FW1# commit;save

注釈

「作業手順:5-1-4」の後に通信断が始まり、「作業手順:5-1-5」で新FW1でVRRP設定を適用後 60[advertise-interval*3] 秒 が経過した後、新FW1が MASTER に昇格し、通信回復します。

Brocade 5600 vRouter製品では、切替時にセッションは維持されないため、アプリケーションによっては再接続を行って頂く必要があります。


 5-1-5. 下記のコマンドを実行して、ファイアウォール(新FW1)の設定を反映します。
  (※本操作において、コマンドを実行する対象のファイアウォールは、新FW1となります。)
user-admin@FW1# commit

注釈

「作業手順:5-1-4」の後に通信断が始まり、「作業手順:5-1-5」で新FW1でVRRP設定を適用後 60[advertise-interval*3] 秒 が経過した後、新FW1が MASTER に昇格し、通信回復します。

Brocade 5600 vRouter製品では、切替時にセッションは維持されないため、アプリケーションによっては再接続を行って頂く必要があります。


 5-1-6. 下記のコマンドを実行して、ファイアウォール(新FW1)のVRRPステータスを確認します。
 Stateが、MASTER と表示されていることを確認して下さい。
user-admin@FW1# run show vrrp
                                 RFC        Addr   Last        Sync
Interface         Group  State   Compliant  Owner  Transition  Group
---------         -----  -----   ---------  -----  ----------  -----
dp0s4             11     MASTER  dp0vrrp1   no     1m23s       sg1
dp0s5             12     MASTER  dp0vrrp2   no     1m23s       sg1


  • 5-2. 通信確認を行います。
 5-2-1. ファイアウォールを経由する通信確認をして下さい(HTTP通信等)。

注釈

通信回復しない場合、切戻しを実施します。(具体的な切戻し手順は、本ガイド「7.切戻し手順」をご確認下さい。)

  • 5-3. 新FW2(Backup系)のVRRPを設定する。
 5-3-1.下記のコマンドを実行して、ファイアウォール(新FW2)にログインします。
$ ssh user-admin@192.168.1.14
Welcome to Brocade vRouter
user-admin@192.168.1.14's password:

 5-3-2. コンフィグレーションモードに入るため、下記のコマンドを実行して、プロンプトが#に変わったら、VRRP切替用投入コンフィグを貼り付けます。
 (本ガイドの「8.投入コンフィグ例」から、新FW2 VRRP切替用投入コンフィグをご参照ください。)
user-admin@FW2:~$ configure
[edit]
user-admin@FW2#

 5-3-3. 下記のコマンドを実行して、ファイアウォール(新FW2)の設定を反映します。
user-admin@FW2# commit

 5-3-4. 下記のコマンドを実行して、ファイアウォール(新FW2)のVRRPステータスを確認します。
 Stateが、BACKUP と表示されていることを確認して下さい。
user-admin@FW2# run show vrrp
                                 RFC        Addr   Last        Sync
Interface         Group  State   Compliant  Owner  Transition  Group
---------         -----  -----   ---------  -----  ----------  -----
dp0s4             11     BACKUP  dp0vrrp1   no     1m33s       sg1
dp0s5             12     BACKUP  dp0vrrp2   no     1m33s       sg1

  • 5-4. 新FWのコンフィグファイルを保存します。
 5-4-1.下記のコマンドを実行して、ファイアウォール(新FW1)のコンフィグを保存します。(エラーが表示されないこと)
user-admin@FW1# save

 5-4-2.下記のコマンドを実行して、ファイアウォール(新FW2)のコンフィグを保存します。(エラーが表示されないこと)
user-admin@FW2# save


6.旧FWの削除

 ※本手順は、切替後の通信が安定していることを確認した後に実施してください。

 6-1. ECL2.0カスタマーポータルから、「ネットワーク」→「ファイアウォール」へと進み、ファイアウォールの一覧を表示します。

 6-2. ECL2.0カスタマーポータルから、ファイアウォール(旧FW1)を削除します。
 (ファイアウォール インスタンスの削除方法 を参考にして、ファイアウォールを削除して下さい。)

注釈

削除対象のファイアウォール(旧FW1)が正しく選択されているか、再度確認して下さい。

 6-3. ECL2.0カスタマーポータルから、ファイアウォール(旧FW2)を削除します。
 (ファイアウォール インスタンスの削除方法 を参考にして、ファイアウォールを削除して下さい。)

注釈

旧FW1が削除されたことを確認後に、本作業を行なってください。
削除対象のファイアウォール(旧FW2)が正しく選択されているか、再度確認して下さい。


7.切戻し手順

  • 7-1. 新FW1(Master系)の Virtual IPをdisable にする。
 7-1-1.下記のコマンドを実行して、ファイアウォール(新FW1)にログインします。
$ ssh user-admin@192.168.1.13
Welcome to Brocade vRouter
user-admin@192.168.1.13's password:

 7-1-2. コンフィグレーションモードに入るため、下記のコマンドを実行して、プロンプトが#に変わったら、新FW1切戻用コンフィグを貼り付けます。
 (本ガイドの「8.投入コンフィグ例」から、新FW1切戻用コンフィグをご参照ください。)
user-admin@FW1:~$ configure
[edit]
user-admin@FW1#

 7-1-3. 下記のコマンドを実行して、ファイアウォール(新FW1)の設定を反映します。
user-admin@FW1# commit

 7-1-4. 下記のコマンドを実行して、ファイアウォール(新FW1)のVRRPステータスを確認します。
 VRRPのStateが、表示されないことを確認して下さい。
user-admin@FW1# run show vrrp
                                 RFC        Addr   Last        Sync
Interface         Group  State   Compliant  Owner  Transition  Group
---------         -----  -----   ---------  -----  ----------  -----


  • 7-2. 旧FW1(Master系)の Virtual IPをenable にする。
 7-2-1.下記のコマンドを実行して、ファイアウォール(旧FW1)にログインします。
$ ssh user-admin@192.168.1.11
Welcome to Brocade vRouter
user-admin@192.168.1.11's password:

 7-2-2. コンフィグレーションモードに入るため、下記のコマンドを実行して、プロンプトが#に変わったら、旧FW1切戻用コンフィグを貼り付けます。
 (本ガイドの「8.投入コンフィグ例」から、旧FW1切戻用コンフィグをご参照ください。)
user-admin@FW1:~$ configure
[edit]
user-admin@FW1#

 7-2-3. 下記のコマンドを実行して、ファイアウォール(旧FW1)の設定を反映します。
user-admin@FW1# commit

注釈

Virtual IPを経由した通信が回復します。

 7-2-4. 下記のコマンドを実行して、ファイアウォール(旧FW1)のVRRPステータスを確認します。
 Stateが、MASTER と表示されていることを確認して下さい。
user-admin@FW1# run show vrrp
                                 RFC        Addr   Last        Sync
Interface         Group  State   Compliant  Owner  Transition  Group
---------         -----  -----   ---------  -----  ----------  -----
dp0s4             11     MASTER  dp0vrrp1   no     1m10s       sg1
dp0s5             12     MASTER  dp0vrrp2   no     1m10s       sg1

 7-2-5. ファイアウォールを経由する通信確認をして下さい。(HTTP通信等)


  • 7-3. ファイアウォールのコンフィグファイルを保存する。
 7-3-1.下記のコマンドを実行して、ファイアウォール(旧FW1)のコンフィグを保存します。(エラーが表示されないこと)
user-admin@FW1# save

 7-3-2.下記のコマンドを実行して、ファイアウォール(新FW1)のコンフィグを保存します。(エラーが表示されないこと)
user-admin@FW1# save



8.投入コンフィグ例

上記作業で利用するコンフィグ例を以下に記載します。なお設定している値はマニュアル上での例であり、実際に切り替える際には適宜修正をお願い致します。


1. 新FW1事前リストアコンフィグ(例)
 #if_firewall設定
set interfaces dataplane dp0s4 firewall in 'IN_Internet'
set interfaces dataplane dp0s4 firewall out 'ACCEPT'
set interfaces dataplane dp0s5 firewall in 'IN_LAN'
set interfaces dataplane dp0s5 firewall out 'ACCEPT'

#nat設定
set service nat destination rule 10 destination address '1.X.X.1'
set service nat destination rule 10 inbound-interface 'dp0s4'
set service nat destination rule 10 translation address '192.168.2.100'
set service nat source rule 10 outbound-interface 'dp0s4'
set service nat source rule 10 source address '192.168.0.0/16'
set service nat source rule 10 translation address 'masquerade'

#firewall設定
set security firewall global-state-policy 'icmp'
set security firewall global-state-policy 'tcp'
set security firewall global-state-policy 'udp'
set security firewall name IN_Internet default-action 'drop'
set security firewall name IN_Internet 'default-log'
set security firewall name IN_Internet rule 10 action 'accept'
set security firewall name IN_Internet rule 10 source address 192.168.1.12
set security firewall name IN_Internet rule 11 action 'accept'
set security firewall name IN_Internet rule 11 destination address '1.X.X.1'
set security firewall name IN_Internet rule 11 destination port '80'
set security firewall name IN_Internet rule 11 protocol 'tcp'
set security firewall name IN_LAN default-action 'drop'
set security firewall name IN_LAN 'default-log'
set security firewall name IN_LAN rule 10 action 'accept'
set security firewall name IN_LAN rule 10 source address 192.168.2.12
set security firewall name IN_LAN rule 11 action 'accept'
set security firewall name IN_LAN rule 11 source port '80'
set security firewall name IN_LAN rule 11 protocol 'tcp'
set security firewall name ACCEPT default-action 'accept'
set security firewall name ACCEPT rule 10 action 'accept'
set security firewall name ACCEPT rule 10 state 'enable'
set security firewall session-log icmp new    #ver4.2以降はプロトコル名の次にオプション名が必須のため要修正
set security firewall session-log tcp syn-sent    #ver4.2以降はプロトコル名の次にオプション名が必須のため要修正
set security firewall session-log udp new    #ver4.2以降はプロトコル名の次にオプション名が必須のため要修正

#system設定
set system host-name 'FW1'
set system time-zone 'Asia/Tokyo'
set system login user user-admin authentication plaintext-password xxx
set system login user user-read authentication plaintext-password xxx

注釈

ver4.2R1S1以降のファイアウォールをご利用の方は、session-log設定をする際に
プロトコル名(icmp,tcp,udp等)の次にオプション名(new,syn-sent等)の追加設定が必須です。


2. 旧FW1 VRRP_disable用投入コンフィグ(例)
set interfaces dataplane dp0s4 vrrp vrrp-group 11 disable
set interfaces dataplane dp0s5 vrrp vrrp-group 12 disable


3. 新FW1 VRRP切替用投入コンフィグ(例)
#VRRP設定
set interfaces dataplane dp0s4 vrrp vrrp-group 11 priority '200'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 'rfc-compatibility'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 sync-group 'sg1'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 virtual-address '192.168.1.10'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 advertise-interval '20'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 preempt 'true'

set interfaces dataplane dp0s5 vrrp vrrp-group 12 priority '200'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 'rfc-compatibility'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 sync-group 'sg1'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 virtual-address '192.168.2.10'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 advertise-interval '20'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 preempt 'true'


4. 新FW2 事前リストア投入コンフィグ(例)
#if_firewall設定
set interfaces dataplane dp0s4 firewall in 'IN_Internet'
set interfaces dataplane dp0s4 firewall out 'ACCEPT'
set interfaces dataplane dp0s5 firewall in 'IN_LAN'
set interfaces dataplane dp0s5 firewall out 'ACCEPT'

#nat設定
set service nat destination rule 10 destination address '1.X.X.1'
set service nat destination rule 10 inbound-interface 'dp0s4'
set service nat destination rule 10 translation address '192.168.2.100'
set service nat source rule 10 outbound-interface 'dp0s4'
set service nat source rule 10 source address '192.168.0.0/16'
set service nat source rule 10 translation address 'masquerade'

#firewall設定
set security firewall global-state-policy 'icmp'
set security firewall global-state-policy 'tcp'
set security firewall global-state-policy 'udp'
set security firewall name IN_Internet default-action 'drop'
set security firewall name IN_Internet 'default-log'
set security firewall name IN_Internet rule 10 action 'accept'
set security firewall name IN_Internet rule 10 source address 192.168.1.11
set security firewall name IN_Internet rule 11 action 'accept'
set security firewall name IN_Internet rule 11 destination address '1.X.X.1'
set security firewall name IN_Internet rule 11 destination port '80'
set security firewall name IN_Internet rule 11 protocol 'tcp'
set security firewall name IN_LAN default-action 'drop'

set security firewall name IN_LAN 'default-log'
set security firewall name IN_LAN rule 10 action 'accept'
set security firewall name IN_LAN rule 10 source address 192.168.2.11
set security firewall name IN_LAN rule 11 action 'accept'
set security firewall name IN_LAN rule 11 source port '80'
set security firewall name IN_LAN rule 11 protocol 'tcp'
set security firewall name ACCEPT default-action 'accept'
set security firewall name ACCEPT rule 10 action 'accept'
set security firewall name ACCEPT rule 10 state 'enable'
set security firewall session-log icmp new    #ver4.2以降はプロトコル名の次にオプション名が必須のため要修正
set security firewall session-log tcp syn-sent    #ver4.2以降はプロトコル名の次にオプション名が必須のため要修正
set security firewall session-log udp new    #ver4.2以降はプロトコル名の次にオプション名が必須のため要修正

#system設定
set system host-name 'FW2'
set system time-zone 'Asia/Tokyo'

set system login user user-admin authentication plaintext-password xxx
set system login user user-read authentication plaintext-password xxx

注釈

ver4.2R1S1以降のファイアウォールをご利用の方は、session-log設定をする際に
プロトコル名(icmp,tcp,udp等)の次にオプション名(new,syn-sent等)の追加設定が必須です。


5. 旧FW2 VRRP_disable用投入コンフィグ(例)
set interfaces dataplane dp0s4 vrrp vrrp-group 11 disable
set interfaces dataplane dp0s5 vrrp vrrp-group 12 disable


6. 新FW2 VRRP用投入コンフィグ(例)
set interfaces dataplane dp0s4 vrrp vrrp-group 11 priority '100'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 'rfc-compatibility'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 sync-group 'sg1'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 virtual-address '192.168.1.10'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 advertise-interval '20'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 preempt 'true'

set interfaces dataplane dp0s5 vrrp vrrp-group 12 priority '100'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 'rfc-compatibility'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 sync-group 'sg1'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 virtual-address '192.168.2.10'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 advertise-interval '20'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 preempt 'true'
7. 新FW1 切戻用コンフィグ(例)
set interfaces dataplane dp0s4 vrrp vrrp-group 11 disable
set interfaces dataplane dp0s5 vrrp vrrp-group 12 disable
8. 旧FW1 切戻用コンフィグ(例)
delete interfaces dataplane dp0s4 vrrp vrrp-group 11 disable
delete interfaces dataplane dp0s5 vrrp vrrp-group 12 disable