異なるバージョン間の切替(パターン2)

利用中のファイアウォール(冗長構成)を新バージョンのファイアウォール(冗長構成)へ切替する手順をご説明します。
新バージョンのファイアウォールでは、旧バージョンのファイアウォールで使用していたIPアドレスを引き継ぎ、同じIPアドレスを設定する切替方法です。
弊社では、以下に示すバージョンの組み合わせで動作確認を行なっております。
旧バージョン 新バージョン
3.5R6S3 5.2R4
4.2R1S1 5.2R4

本ガイドで切替するシステム構成

以下のシステム構成をもとにファイアウォール(Brocade 5600 vRouter)におけるリプレース方法を説明します。
Vyatta GUI

前提条件

  • サービス説明書 に記載の通り、バージョンアップはできません。
  • 新旧バージョン間でのVRRPを組んでの切り替えはバージョンにより、動作が異なるため、旧FWのVRRP停止・新FWのVRRP設定追加により切替る手順としています。
  • 新バージョンでの機能確認はお客様にて事前に実施下さい。
  • 旧バージョンから新バージョンへの切替前・後で、お客様システムの通信に影響があるかどうかを含めたファイアウォールの動作確認は、お客様にて実施下さい。特に、新バージョンを5.2R4とする場合はパケットフィルタリング機能をステートフルに動作させるための設定をファイアウォール全体で有効にするオプション(global-state-policy)の動作仕様が変更されているため、このオプションを利用中のお客様は必ず事前に動作確認を実施ください。 変更内容に関しては Brocade Technical Bulletin(Version5.2R4) 、または 動作確認済設定例(パケットフィルタリング機能をステートフルに動作させる設定) をご参照ください。
  • 本切替手順はパターン1と比較して、冗長化が解除される時間が長くなります。
  • 本切替手順はパターン1と比較して、インターフェースの接続、切断が必須のため、切り戻しが発生した場合の切り戻し所要時間が長くなります。
  • 旧バージョンのファイアウォールから新バージョンのファイアウォールのインターフェースへIPアドレスを引き継いでも、MACアドレスは変更されており、通信経路上及び対抗機器のARPテーブルに旧MACアドレス情報が残っていると通信できない可能性がございます。その場合は、お客様にて更新していただく必要がございます。
  • 本手順では下記に示す設定が入っている状態で動作確認を行っています。

旧FW1の設定
#if_firewall設定
set interfaces dataplane dp0s4 firewall in 'IN_Internet'
set interfaces dataplane dp0s4 firewall out 'ACCEPT'
set interfaces dataplane dp0s5 firewall in 'IN_LAN'
set interfaces dataplane dp0s5 firewall out 'ACCEPT'

#VRRP設定
set interfaces dataplane dp0s4 vrrp vrrp-group 11 advertise-interval '20'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 priority '200'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 'rfc-compatibility'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 sync-group 'SG1'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 virtual-address '192.168.1.10'

set interfaces dataplane dp0s5 vrrp vrrp-group 12 advertise-interval '20'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 priority '200'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 'rfc-compatibility'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 sync-group 'SG1'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 virtual-address '192.168.2.10'

#nat設定
set service nat destination rule 10 destination address '1.X.X.1'
set service nat destination rule 10 inbound-interface 'dp0s4'
set service nat destination rule 10 translation address '192.168.2.100'
set service nat source rule 10 outbound-interface 'dp0s4'
set service nat source rule 10 source address '192.168.0.0/16'
set service nat source rule 10 translation address 'masquerade'

#firewall設定
set security firewall global-state-policy 'icmp'
set security firewall global-state-policy 'tcp'
set security firewall global-state-policy 'udp'
set security firewall name IN_Internet default-action 'drop'
set security firewall name IN_Internet 'default-log'
set security firewall name IN_Internet rule 10 action 'accept'
set security firewall name IN_Internet rule 10 source address 192.168.1.12
set security firewall name IN_Internet rule 11 action 'accept'
set security firewall name IN_Internet rule 11 destination address '1.X.X.1'
set security firewall name IN_Internet rule 11 destination port '80'
set security firewall name IN_Internet rule 11 protocol 'tcp'
set security firewall name IN_LAN default-action 'drop'
set security firewall name IN_LAN 'default-log'
set security firewall name IN_LAN rule 10 action 'accept'
set security firewall name IN_LAN rule 10 source address 192.168.2.12
set security firewall name IN_LAN rule 11 action 'accept'
set security firewall name IN_LAN rule 11 source port '80'
set security firewall name IN_LAN rule 11 protocol 'tcp'
set security firewall name ACCEPT default-action 'accept'
set security firewall name ACCEPT rule 10 action 'accept'
set security firewall name ACCEPT rule 10 state 'enable'
set security firewall session-log icmp new    #ver4.2以降はプロトコル名の次にオプション名が必須のため要修正
set security firewall session-log tcp syn-sent    #ver4.2以降はプロトコル名の次にオプション名が必須のため要修正
set security firewall session-log udp new    #ver4.2以降はプロトコル名の次にオプション名が必須のため要修正

#system設定
set system host-name 'FW1'
set system time-zone 'Asia/Tokyo'
set system login user user-admin authentication plaintext-password xxx
set system login user user-read authentication plaintext-password xxx

注釈

ver4.2R1S1以降のファイアウォールをご利用の方は、session-log設定をする際に
プロトコル名(icmp,tcp,udp等)の次にオプション名(new,syn-sent等)の追加設定が必須です。

旧FW2の設定
#if_firewall設定
set interfaces dataplane dp0s4 firewall in 'IN_Internet'
set interfaces dataplane dp0s4 firewall out 'ACCEPT'
set interfaces dataplane dp0s5 firewall in 'IN_LAN'
set interfaces dataplane dp0s5 firewall out 'ACCEPT'

#VRRP設定
set interfaces dataplane dp0s4 vrrp vrrp-group 11 advertise-interval '20'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 priority '100'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 'rfc-compatibility'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 sync-group 'SG1'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 virtual-address '192.168.1.10'

set interfaces dataplane dp0s5 vrrp vrrp-group 12 advertise-interval '20'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 priority '100'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 'rfc-compatibility'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 sync-group 'SG1'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 virtual-address '192.168.2.10'

#nat設定
set service nat destination rule 10 destination address '1.X.X.1'
set service nat destination rule 10 inbound-interface 'dp0s4'
set service nat destination rule 10 translation address '192.168.2.100'
set service nat source rule 10 outbound-interface 'dp0s4'
set service nat source rule 10 source address '192.168.0.0/16'
set service nat source rule 10 translation address 'masquerade'

#firewall設定
set security firewall global-state-policy 'icmp'
set security firewall global-state-policy 'tcp'
set security firewall global-state-policy 'udp'
set security firewall name IN_Internet default-action 'drop'
set security firewall name IN_Internet 'default-log'
set security firewall name IN_Internet rule 10 action 'accept'
set security firewall name IN_Internet rule 10 source address 192.168.1.11
set security firewall name IN_Internet rule 11 action 'accept'
set security firewall name IN_Internet rule 11 destination address '1.X.X.1'
set security firewall name IN_Internet rule 11 source port '80'
set security firewall name IN_Internet rule 11 protocol 'tcp'
set security firewall name IN_LAN default-action 'drop'

set security firewall name IN_LAN 'default-log'
set security firewall name IN_LAN rule 10 action 'accept'
set security firewall name IN_LAN rule 10 source address 192.168.2.11
set security firewall name IN_LAN rule 11 action 'accept'
set security firewall name IN_LAN rule 11 source port '80'
set security firewall name IN_LAN rule 11 protocol 'tcp'
set security firewall name ACCEPT default-action 'accept'
set security firewall name ACCEPT rule 10 action 'accept'
set security firewall name ACCEPT rule 10 state 'enable'
set security firewall session-log icmp new    #ver4.2以降はプロトコル名の次にオプション名が必須のため要修正
set security firewall session-log tcp syn-sent    #ver4.2以降はプロトコル名の次にオプション名が必須のため要修正
set security firewall session-log udp new    #ver4.2以降はプロトコル名の次にオプション名が必須のため要修正

#system設定
set system host-name 'FW2'
set system time-zone 'Asia/Tokyo'

set system login user user-admin authentication plaintext-password xxx
set system login user user-read authentication plaintext-password xxx

注釈

ver4.2R1S1以降のファイアウォールをご利用の方は、session-log設定をする際に
プロトコル名(icmp,tcp,udp等)の次にオプション名(new,syn-sent等)の追加設定が必須です。


切替作業のイメージ

ファイアウォール(Brocade 5600 vRouter)の切替作業のイメージを、以下に説明します。

1.ロジカルネットワーク1とロジカルネットワーク2で、それぞれVRRPを動作させていることが前提となります。
Vyatta GUI

2.新バージョンのファイアウォールインスタンス(新FW1,2)を作成します。この時点では、ロジカルネットワークへ接続しません。
Vyatta GUI

3.旧バージョンのファイアウォール(旧FW2)でインターフェースの切断を行います。新バージョンのファイアウォール(新FW2)へ旧FW2と同一IPアドレスでインターフェースの接続及びVRRP通信設定の登録を行います。新バージョンのファイアウォール(新FW2)にて設定をリストアします。まだcommit は行いません。
Vyatta GUI

4.旧バージョンのファイアウォール(旧FW1)のVRRPをdisableに設定し、VRRPを停止します。
※ VRRPをdeleteせず、disableとするのは、切戻しを容易にするためです。

次に、新バージョンのファイアウォール(新FW2)にて手順3にて投入した設定をcommitします。 VRRP1が有効になり、新バージョンのファイアウォール(新FW2)のステータスがマスターになっていることを確認します。

Vyatta GUI

5-1.新バージョンのファイアウォール(新FW2)を経由した通信が安定したことを確認した後、事前に準備した切替用のコンフィグを新バージョンのファイアウォール(新FW1)に適用します。
Vyatta GUI

5-2.新バージョンのファイアウォール(新FW2)を経由した通信がNGのまま回復しない場合、新FW1、旧FW1の設定を戻し、切り戻しを行います。なお復旧の目処が立たない場合は、新FW2、旧FW2の設定を戻し、更なる切り戻しを行います。
Vyatta GUI

6-1.新バージョンのファイアウォール(新FW1)のVRRPのステータスがMasterに切り替わることを確認します。新バージョンのファイアウォール(新FW1)を経由した通信が安定したことを確認した後、新バージョンのファイアウォールインスタンス(旧FW1,2)を削除します。
Vyatta GUI

作業手順

1.事前確認

  • 1-1. 旧FWのコンフィグを保存する。
 1-1-1.下記のコマンドを実行して、ファイアウォール(旧FW1)にログインします。
$ ssh user-admin@192.168.1.11
Welcome to Brocade vRouter
user-admin@192.168.1.11's password:

 1-1-2.下記のコマンドを実行して、ファイアウォール(旧FW1)のVRRPステータスを確認します。
 設定されたVRRPのStateがMASTER/BACKUPと表示されており、想定したStateと一致していることを確認して下さい。
user-admin@FW1:~$ show vrrp
                                 RFC        Addr   Last        Sync
Interface         Group  State   Compliant  Owner  Transition  Group
---------         -----  -----   ---------  -----  ----------  -----
dp0s4             11     MASTER  yes        no     1d6h2m50s   sg1
dp0s5             12     MASTER  yes        no     1d6h1m50s   sg1

 1-1-3.下記のコマンドを実行して、出力結果を、作業端末のテキストファイルに保存します。
 (コンフィグ管理 を参考にして、不要な設定は事前に削除してください。)
user-admin@FW1:~$ show configuration commands


  • 1-2. 旧FW2のコンフィグを保存する。
 1-2-1.下記のコマンドを実行して、ファイアウォール(旧FW2)にログインします。
$ ssh user-admin@192.168.1.12
Welcome to Brocade vRouter
user-admin@192.168.1.12's password:

 1-2-2.下記のコマンドを実行して、ファイアウォール(旧FW2)のVRRPステータスを確認します。
 設定されたVRRPのStateがMASTER/BACKUPと表示されており、想定したStateと一致していることを確認して下さい。
user-admin@FW2:~$ show vrrp
                                 RFC        Addr   Last        Sync
Interface         Group  State   Compliant  Owner  Transition  Group
---------         -----  -----   ---------  -----  ----------  -----
dp0s4             11     BACKUP  yes        no     1d6h1m2s   sg1
dp0s5             12     BACKUP  yes        no     1d6h1m3s   sg1

 1-2-3.下記のコマンドを実行して、出力結果を、作業端末のテキストファイルに保存します。
 (コンフィグ管理 を参考にして、不要な設定は事前に削除してください。)
user-admin@FW2:~$ show configuration commands


2.新FWの作成

  • 2-1. 新FW1を作成する。
 2-1-1.ECL2.0カスタマーポータルから、新規にファイアウォール(新FW1)を作成します。
 (ファイアウォール インスタンスの申込方法 を参考にして、ファイアウォールを作成して下さい。)

注釈

ファイアウォール(新FW1)の作成においては、「ゾーン/グループ」を、zone1-groupa に選択します。
  • 2-2. 新FW2を作成する。
 2-2-1.ECL2.0カスタマーポータルから、新規にファイアウォール(新FW2)を作成します。
 (ファイアウォール インスタンスの申込方法 を参考にして、ファイアウォールを作成して下さい。)

注釈

ファイアウォール(新FW2)の作成においては、「ゾーン/グループ」を、zone1-groupb に選択します。

3.新旧FW2のインターフェース切替えを行う

  • 3-1. 旧FW2のインターフェース切断を行う。

 3-1-1.ECL2.0カスタマーポータルから、VRRPが設定されている旧FW2のインターフェースを選択し、VRRP用通信設定を解除します。
 (旧FW2の名前をクリックし、VRRPが設定されているインターフェースの右側 ▼ をクリックして「VRRP用通信設定の解除」を選択します。)

 3-1-2.ECL2.0カスタマーポータルから、3-1-1でVRRP用通信設定を解除したインターフェースを選択し、ロジカルネットワークの切断を行います。
 (旧FW2の名前をクリックし、インターフェースの右側 ▼ をクリックして「ロジカルネットワークの切断」を選択します。)

注釈

本作業以降、ファイアウォールは冗長構成が解除され、シングル構成での動作となります。
  • 3-2. 新FW2のインターフェース接続を行う。

 3-2-1.ECL2.0カスタマーポータルから、作成したファイアウォール(新FW2)にロジカルネットワークを接続します。
 (ロジカルネットワークの接続 を参考にして、インタフェースを接続して下さい。)

注釈

ロジカルネットワークと接続が必要なインターフェースは全て実行します。

 3-2-2.ECL2.0カスタマーポータルから、ファイアウォール(新FW2)のインターフェースにVRRP用通信設定を登録します。
 (VRRP用通信設定の登録 を参考にして、VRRP用通信設定を登録して下さい。)

4.新FWの通信開始

  • 4-1. 旧FW1のVRRPをdisableにする。

 4-1-1.下記のコマンドを実行して、ファイアウォール(旧FW1)にログインします。
$ ssh user-admin@192.168.1.11
Welcome to Brocade vRouter
user-admin@192.168.1.11’s password:

 4-1-2. コンフィグレーションモードに入るため、下記のコマンドを実行して、プロンプトが#に変わったら、VRRP_disable用投入コンフィグを貼り付けます。
 (本ガイドの「8.投入コンフィグ例」から、旧FW1 VRRP_disable用投入コンフィグ(例)をご参照ください。)
user-admin@FW1:~$ configure
[edit]
user-admin@FW1#

注釈

通信断を最小にするため、commit は行いません。(commit は、4.3.1 で実施します。)

 4-1-3. 下記のコマンドを実行して、設定投入したコンフィグが差分として表示されていることを確認します。
user-admin@FW1# compare
  • 4-2. 新FW2へコンフィグを事前リストアする。

 4-2-1. 下記のコマンドを実行して、ファイアウォール(新FW2)にログインします。
$ ssh user-admin@192.168.1.12
Welcome to Brocade vRouter
user-admin@192.168.1.12’s password:

注釈

SSH接続で、「 @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ 」 と 警告メッセージが表示される場合、下記のコマンド等を実行して、再度SSH接続を試して下さい。(旧FWのキャッシュがknown_hostsに残っていることが原因となるため、キャッシュのクリアを行います。)

(例)$ ssh-keygen -R 192.168.1.12


 4-2-2. コンフィグレーションモードに入るため、下記のコマンドを実行して、プロンプトが#に変わったら、旧FW2のバックアップから作成した投入コンフィグをコンソールに貼り付けます。
user-admin@vyatta:~$ configure
[edit]
user-admin@vyatta#

注釈

旧FW2でパケットフィルタリング機能をステートフルに動作させるための設定をファイアウォール全体で有効にするオプション(global-state-policy)を利用されていたお客様で、新FWのバージョンを5.2R4にされる場合は、動作仕様が変更されているため適切に修正されたコンフィグを投入コンフィグとしてコンソールに貼り付けてください。

 4-2-3. 下記のコマンドを実行して、設定投入したコンフィグが差分として表示されていることを確認します。
user-admin@vyatta# compare
  • 4-3. VRRP切替えを実行する

 4-3-1. 下記のコマンドを実行して、ファイアウォール(旧FW1)の設定を反映、保存します。
user-admin@FW1# commit
user-admin@FW1# save

注釈

「作業手順:4-3-1」の後に通信断が始まり、「作業手順:4-3-2」で新FW2でVRRP設定を適用後 60[advertise-interval*3] 秒 が経過した後、新FW2が MASTER に昇格し、通信回復します。

Brocade 5600 vRouter製品では、切替時にセッションは維持されないため、アプリケーションによっては再接続を行って頂く必要があります。

 4-3-2. 下記のコマンドを実行して、ファイアウォール(新FW2)の設定を反映します。
user-admin@vyatta# commit

注釈

「作業手順:4-3-1」の後に通信断が始まり、「作業手順:4-3-2」で新FW2でVRRP設定を適用後 60[advertise-interval*3] 秒 が経過した後、新FW2が MASTER に昇格し、通信回復します。

Brocade 5600 vRouter製品では、切替時にセッションは維持されないため、アプリケーションによっては再接続を行って頂く必要があります。

 4-3-3. 下記のコマンドを実行して、ファイアウォール(新FW2)のVRRPステータスを確認します。
 Stateが、MASTER と表示されていることを確認して下さい。
user-admin@vyatta# run show vrrp
                                  RFC        Addr   Last        Sync
 Interface         Group  State   Compliant  Owner  Transition  Group
 ---------         -----  -----   ---------  -----  ----------  -----
 dp0s4             11     MASTER  dp0vrrp1   no     1m23s       sg1
 dp0s5             12     MASTER  dp0vrrp2   no     1m23s       sg1
  • 4-4. 通信を確認する

 4-4-1. FWを経由する通信を確認してください。(HTTP通信等)。

注釈

通信回復しない場合、切戻しを実施します。(具体的な切戻し手順は、本ガイド「7.切戻し手順」をご確認下さい。)
  • 4-5. ファイアウォール(新FW2)の設定を保存します。

 4-5-1. 下記のコマンドを実行して、ファイアウォール(新FW2)の設定を保存します。
user-admin@vyatta# save

5.新旧FW1のインターフェース切替えを行う

  • 5-1. 旧FW1のインターフェース切断を行う。

 5-1-1.ECL2.0カスタマーポータルから、VRRPが設定されている旧FW1のインターフェースを選択し、VRRP用通信設定を解除します。
 (旧FW1の名前をクリックし、VRRPが設定されているインターフェースの右側 ▼ をクリックして「VRRP用通信設定の解除」を選択します。)

 5-1-2.ECL2.0カスタマーポータルから、5-1-1でVRRP用通信設定を解除したインターフェースを選択し、ロジカルネットワークの切断を行います。
 (旧FW1の名前をクリックし、インターフェースの右側 ▼ をクリックして「ロジカルネットワークの切断」を選択します。)
  • 5-2. 新FW1のインターフェース接続を行う。

 5-2-1.ECL2.0カスタマーポータルから、作成したファイアウォール(新FW1)にロジカルネットワークを接続します。
 (ロジカルネットワークの接続 を参考にして、インタフェースを接続して下さい。)

注釈

ロジカルネットワークと接続が必要なインターフェースは全て実行します。

 5-2-2.ECL2.0カスタマーポータルから、ファイアウォール(新FW1)のインターフェースにVRRP用通信設定を登録します。
 (VRRP用通信設定の登録 を参考にして、VRRP用通信設定を登録して下さい。)
  • 5-3. 新FW1へコンフィグを事前リストアする。

 5-3-1. 下記のコマンドを実行して、ファイアウォール(新FW1)にログインします。
$ ssh user-admin@192.168.1.11
Welcome to Brocade vRouter
user-admin@192.168.1.11’s password:

注釈

SSH接続で、「 @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ 」と警告メッセージが表示される場合、下記のコマンド等を実行して、再度SSH接続を試して下さい。(旧FWのキャッシュがknown_hostsに残っていることが原因となるため、キャッシュのクリアを行います。)

$ ssh-keygen -R 192.168.1.11


 5-3-2. コンフィグレーションモードに入るため、下記のコマンドを実行して、プロンプトが#に変わったら、旧FW1のバックアップから作成した投入コンフィグをコンソールに貼り付けます。
user-admin@vyatta:~$ configure
[edit]
user-admin@vyatta#

注釈

旧FW1でパケットフィルタリング機能をステートフルに動作させるための設定をファイアウォール全体で有効にするオプション(global-state-policy)を利用されていたお客様で、新FWのバージョンを5.2R4にされる場合は、動作仕様が変更されているため適切に修正されたコンフィグを投入コンフィグとしてコンソールに貼り付けてください。

 5-3-3. 下記のコマンドを実行して、設定投入したコンフィグが差分として表示されていることを確認します。
user-admin@vyatta# compare

注釈

投入したコンフィグが多いときは、show configuration commands の結果と投入コンフィグを diff等のツールを利用してチェックして下さい。

 5-3-4. 下記のコマンドを実行して、ファイアウォール(新FW1)の設定を反映します。
user-admin@vyatta# commit

注釈

「作業手順:5-3-4」の後に瞬断が発生する可能性がございます。
 5-3-5. 下記のコマンドを実行して、新FW1及び2のVRRPステータスを確認します。
 新FW1のStateがMASTER、新FW2のStateがBACKUP と表示されていることを確認して下さい。
user-admin@vyatta# run show vrrp

 5-3-6. 下記のコマンドを実行してファイアウォール(新FW1)の設定を保存します。
user-admin@vyatta# save

6.旧FWの削除

 ※本手順は、切替後の通信が安定していることを確認した後に実施してください。

 6-1. ECL2.0カスタマーポータルから、「ネットワーク」→「ファイアウォール」へと進み、ファイアウォールの一覧を表示します。

 6-2. ECL2.0カスタマーポータルから、ファイアウォール(旧FW1)を削除します。
 (ファイアウォール インスタンスの削除方法 を参考にして、ファイアウォールを削除して下さい。)

注釈

削除対象のファイアウォール(旧FW1)が正しく選択されているか、再度確認して下さい。

 6-3. ECL2.0カスタマーポータルから、ファイアウォール(旧FW2)を削除します。
 (ファイアウォール インスタンスの削除方法 を参考にして、ファイアウォールを削除して下さい。)

注釈

旧FW1が削除されたことを確認後に、本作業を行なってください。
削除対象のファイアウォール(旧FW2)が正しく選択されているか、再度確認して下さい。


7.切戻し手順

  • 7-1. 新FW2の VRRP をdisable にする。
 7-1-1.下記のコマンドを実行して、ファイアウォール(新FW2)にログインします。
$ ssh user-admin@192.168.1.12
Welcome to Brocade vRouter
user-admin@192.168.1.12’s password:

 7-1-2. コンフィグレーションモードに入るため、下記のコマンドを実行して、プロンプトが#に変わったら、新FW2切戻用コンフィグを貼り付けます。
 (本ガイドの「8.投入コンフィグ例」から、新FW2切戻用コンフィグをご参照ください。)
user-admin@FW2:~$ configure
[edit]
user-admin@FW2#

 7-1-3. 下記のコマンドを実行して、ファイアウォール(新FW2)の設定を反映します。
user-admin@FW2# commit

 7-1-4. 下記のコマンドを実行して、ファイアウォール(新FW2)のVRRPステータスを確認します。
 VRRPのStateが、表示されないことを確認して下さい。
user-admin@FW2# run show vrrp
                                 RFC        Addr   Last        Sync
Interface         Group  State   Compliant  Owner  Transition  Group
---------         -----  -----   ---------  -----  ----------  -----


  • 7-2. 旧FW1(Master系)の VRRP をenable にする。
 7-2-1.下記のコマンドを実行して、ファイアウォール(旧FW1)にログインします。
$ ssh user-admin@192.168.1.11
Welcome to Brocade vRouter
user-admin@192.168.1.11's password:

 7-2-2. コンフィグレーションモードに入るため、下記のコマンドを実行して、プロンプトが#に変わったら、旧FW1切戻用コンフィグを貼り付けます。
 (本ガイドの「8.投入コンフィグ例」から、旧FW1切戻用コンフィグをご参照ください。)
user-admin@FW1:~$ configure
[edit]
user-admin@FW1#

 7-2-3. 下記のコマンドを実行して、ファイアウォール(旧FW1)の設定を反映します。
user-admin@FW1# commit

注釈

Virtual IPを経由した通信が回復します。

 7-2-4. 下記のコマンドを実行して、ファイアウォール(旧FW1)のVRRPステータスを確認します。
 Stateが、MASTER と表示されていることを確認して下さい。
user-admin@FW1# run show vrrp
                                 RFC        Addr   Last        Sync
Interface         Group  State   Compliant  Owner  Transition  Group
---------         -----  -----   ---------  -----  ----------  -----
dp0s4             11     MASTER  dp0vrrp1   no     1m10s       sg1
dp0s5             12     MASTER  dp0vrrp2   no     1m10s       sg1

 7-2-5. ファイアウォールを経由する通信確認をして下さい。(HTTP通信等)


  • 7-3. ファイアウォールのコンフィグファイルを保存する。
 7-3-1.下記のコマンドを実行して、ファイアウォール(旧FW1)のコンフィグを保存します。(エラーが表示されないこと)
user-admin@FW1# save

 7-3-2.下記のコマンドを実行して、ファイアウォール(新FW2)のコンフィグを保存します。(エラーが表示されないこと)
user-admin@FW2# save



8.投入コンフィグ例

上記作業で利用するコンフィグ例を以下に記載します。なお設定している値はマニュアル上での例であり、実際に切り替える際には適宜修正をお願い致します。


1. 新FW1事前リストアコンフィグ(例)
#if_firewall設定
set interfaces dataplane dp0s4 firewall in 'IN_Internet'
set interfaces dataplane dp0s4 firewall out 'ACCEPT'
set interfaces dataplane dp0s5 firewall in 'IN_LAN'
set interfaces dataplane dp0s5 firewall out 'ACCEPT'

#VRRP設定
set interfaces dataplane dp0s4 vrrp vrrp-group 11 advertise-interval '20'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 priority '200'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 'rfc-compatibility'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 sync-group 'SG1'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 virtual-address '192.168.1.10'

set interfaces dataplane dp0s5 vrrp vrrp-group 12 advertise-interval '20'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 priority '200'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 'rfc-compatibility'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 sync-group 'SG1'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 virtual-address '192.168.2.10'

#nat設定
set service nat destination rule 10 destination address '1.X.X.1'
set service nat destination rule 10 inbound-interface 'dp0s4'
set service nat destination rule 10 translation address '192.168.2.100'
set service nat source rule 10 outbound-interface 'dp0s4'
set service nat source rule 10 source address '192.168.0.0/16'
set service nat source rule 10 translation address 'masquerade'

#firewall設定
set security firewall global-state-policy 'icmp'
set security firewall global-state-policy 'tcp'
set security firewall global-state-policy 'udp'
set security firewall name IN_Internet default-action 'drop'
set security firewall name IN_Internet 'default-log'
set security firewall name IN_Internet rule 10 action 'accept'
set security firewall name IN_Internet rule 10 source address 192.168.1.12
set security firewall name IN_Internet rule 11 action 'accept'
set security firewall name IN_Internet rule 11 destination address '1.X.X.1'
set security firewall name IN_Internet rule 11 destination port '80'
set security firewall name IN_Internet rule 11 protocol 'tcp'
set security firewall name IN_LAN default-action 'drop'
set security firewall name IN_LAN 'default-log'
set security firewall name IN_LAN rule 10 action 'accept'
set security firewall name IN_LAN rule 10 source address 192.168.2.12
set security firewall name IN_LAN rule 11 action 'accept'
set security firewall name IN_LAN rule 11 source port '80'
set security firewall name IN_LAN rule 11 protocol 'tcp'
set security firewall name ACCEPT default-action 'accept'
set security firewall name ACCEPT rule 10 action 'accept'
set security firewall name ACCEPT rule 10 state 'enable'
set security firewall session-log icmp new    #ver4.2以降はプロトコル名の次にオプション名が必須のため要修正
set security firewall session-log tcp syn-sent    #ver4.2以降はプロトコル名の次にオプション名が必須のため要修正
set security firewall session-log udp new    #ver4.2以降はプロトコル名の次にオプション名が必須のため要修正

#system設定
set system host-name 'FW1'
set system time-zone 'Asia/Tokyo'
set system login user user-admin authentication plaintext-password xxx
set system login user user-read authentication plaintext-password xxx

注釈

ver4.2R1S1以降のファイアウォールをご利用の方は、session-log設定をする際に
プロトコル名(icmp,tcp,udp等)の次にオプション名(new,syn-sent等)の追加設定が必須です。


2. 旧FW1 VRRP_disable用投入コンフィグ(例)
set interfaces dataplane dp0s4 vrrp vrrp-group 11 disable
set interfaces dataplane dp0s5 vrrp vrrp-group 12 disable


3. 新FW2 事前リストア投入コンフィグ(例)
#if_firewall設定
set interfaces dataplane dp0s4 firewall in 'IN_Internet'
set interfaces dataplane dp0s4 firewall out 'ACCEPT'
set interfaces dataplane dp0s5 firewall in 'IN_LAN'
set interfaces dataplane dp0s5 firewall out 'ACCEPT'

#VRRP設定
set interfaces dataplane dp0s4 vrrp vrrp-group 11 advertise-interval '20'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 priority '100'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 'rfc-compatibility'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 sync-group 'SG1'
set interfaces dataplane dp0s4 vrrp vrrp-group 11 virtual-address '192.168.1.10'

set interfaces dataplane dp0s5 vrrp vrrp-group 12 advertise-interval '20'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 priority '100'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 'rfc-compatibility'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 sync-group 'SG1'
set interfaces dataplane dp0s5 vrrp vrrp-group 12 virtual-address '192.168.2.10'

#nat設定
set service nat destination rule 10 destination address '1.X.X.1'
set service nat destination rule 10 inbound-interface 'dp0s4'
set service nat destination rule 10 translation address '192.168.2.100'
set service nat source rule 10 outbound-interface 'dp0s4'
set service nat source rule 10 source address '192.168.0.0/16'
set service nat source rule 10 translation address 'masquerade'

#firewall設定
set security firewall global-state-policy 'icmp'
set security firewall global-state-policy 'tcp'
set security firewall global-state-policy 'udp'
set security firewall name IN_Internet default-action 'drop'
set security firewall name IN_Internet 'default-log'
set security firewall name IN_Internet rule 10 action 'accept'
set security firewall name IN_Internet rule 10 source address 192.168.1.11
set security firewall name IN_Internet rule 11 action 'accept'
set security firewall name IN_Internet rule 11 destination address '1.X.X.1'
set security firewall name IN_Internet rule 11 source port '80'
set security firewall name IN_Internet rule 11 protocol 'tcp'
set security firewall name IN_LAN default-action 'drop'

set security firewall name IN_LAN 'default-log'
set security firewall name IN_LAN rule 10 action 'accept'
set security firewall name IN_LAN rule 10 source address 192.168.2.11
set security firewall name IN_LAN rule 11 action 'accept'
set security firewall name IN_LAN rule 11 source port '80'
set security firewall name IN_LAN rule 11 protocol 'tcp'
set security firewall name ACCEPT default-action 'accept'
set security firewall name ACCEPT rule 10 action 'accept'
set security firewall name ACCEPT rule 10 state 'enable'
set security firewall session-log icmp new    #ver4.2以降はプロトコル名の次にオプション名が必須のため要修正
set security firewall session-log tcp syn-sent    #ver4.2以降はプロトコル名の次にオプション名が必須のため要修正
set security firewall session-log udp new    #ver4.2以降はプロトコル名の次にオプション名が必須のため要修正

#system設定
set system host-name 'FW2'
set system time-zone 'Asia/Tokyo'

set system login user user-admin authentication plaintext-password xxx
set system login user user-read authentication plaintext-password xxx

注釈

ver4.2R1S1以降のファイアウォールをご利用の方は、session-log設定をする際に
プロトコル名(icmp,tcp,udp等)の次にオプション名(new,syn-sent等)の追加設定が必須です。


4. 新FW2切戻用コンフィグ(例)
set interfaces dataplane dp0s4 vrrp vrrp-group 11 disable
set interfaces dataplane dp0s5 vrrp vrrp-group 12 disable


5. 旧FW1切戻用コンフィグ(例)
delete interfaces dataplane dp0s4 vrrp vrrp-group 11 disable
delete interfaces dataplane dp0s5 vrrp vrrp-group 12 disable