11.3.4. 共通機能をファイアウォール経由で利用する際のNAT構成例

動作確認バージョン:vSRX Version15.1X49-D105.1
ファイアウォール配下のサーバセグメントから共通機能ゲートウェイを介し、共通機能プールへ接続する構成例を示します。今回のケースはNTPサーバへのアクセスを想定しています。

11.3.4.1. システム構成図

Server-01,02 がファイアウォールを経由し、共通機能プールのNTPサーバへアクセスできるよう構成しています。

  • Server-01,02 のゲートウェイとして、FW-01,02 でVRRPを設定し冗長構成としています。
  • Server-01,02 からNTPサーバへの通信をFWでSNATするよう構成しています。
  • FW-01,02のインターフェイス(ge-0/0/0,ge-0/0/1)は内部ネットワークを想定したためゾーンをTrustとしています。
vsrx_usecase_fig1

11.3.4.2. ファイアウォール設定の内容

ファイアウォールインターフェイス設定

注釈

vSRXへのインターフェイスへのIPアドレス設定前に、カスタマーポータル画面で利用インターフェイスとIPアドレス設定をお願いします。

  • FW-01
# set interfaces ge-0/0/0 unit 0 family inet address 192.168.4.12/28
# set interfaces ge-0/0/1 unit 0 family inet address 169.254.0.5/17
  • FW-02
# set interfaces ge-0/0/0 unit 0 family inet address 192.168.4.13/28
# set interfaces ge-0/0/1 unit 0 family inet address 169.254.0.6/17

VRRP設定

サーバセグメントの冗長設定を以下に示します。
VRRP設定前に、必ずカスタマーポータル上で「許可されたアドレスペアの編集」を実施いただく必要があります。
  • FW-01
# set security zones security-zone trust host-inbound-traffic protocols all
# set interfaces ge-0/0/0 unit 0 family inet address 192.168.4.12/28 vrrp-group 4 virtual-address 192.168.4.11
# set interfaces ge-0/0/0 unit 0 family inet address 192.168.4.12/28 vrrp-group 4 priority 110
# set interfaces ge-0/0/0 unit 0 family inet address 192.168.4.12/28 vrrp-group 4 preempt
# set interfaces ge-0/0/0 unit 0 family inet address 192.168.4.12/28 vrrp-group 4 accept-data
  • FW-02
# set security zones security-zone trust host-inbound-traffic protocols all
# set interfaces ge-0/0/0 unit 0 family inet address 192.168.4.13/28 vrrp-group 4 virtual-address 192.168.4.11
# set interfaces ge-0/0/0 unit 0 family inet address 192.168.4.13/28 vrrp-group 4 priority 90
# set interfaces ge-0/0/0 unit 0 family inet address 192.168.4.13/28 vrrp-group 4 preempt
# set interfaces ge-0/0/0 unit 0 family inet address 192.168.4.13/28 vrrp-group 4 accept-data

NAT設定(SNAT)

サーバの送信元IPアドレスを、ファイアウォールにて共通機能ゲートウェイセグメントのIPアドレスへSNATを行う設定を以下に示します。

  • FW-01/FW-02
# set security nat source rule-set 1 from zone trust
# set security nat source rule-set 1 to interface ge-0/0/1.0
# set security nat source rule-set 1 rule 1 match source-address 192.168.4.4/30
# set security nat source rule-set 1 rule 1 then source-nat interface

設定内容の確認

前述の設定が正しく投入されている場合、以下出力が確認できます。

  • FW-01/FW-02
security {
    nat {
        source {
            rule-set 1 {
                from zone trust;
                to interface ge-0/0/1.0;
                rule 1 {
                    match {
                        source-address 192.168.4.4/30;
                    }
                    then {
                        source-nat {
                            interface;
                        }
                    }
                }
            }
        }
    }
}

11.3.4.3. 通信の流れ

Server-01,02 は正常時、MasterであるFW-01を通過してNTPサーバへ通信を行います。

vsrx_usecase4_fig2

正常通信時の状態確認

正常通信時のファイアウォールの状態は以下のように確認できます。

  • VRRPの状態

FW-01 が Master であること。

user01@FW-01> show vrrp
Interface     State       Group   VR state VR Mode   Timer    Type   Address
ge-0/0/0.0    up              4   master   Active      A  0.933 lcl    192.168.4.12
                                                                vip    192.168.4.11

FW-02 が Backup であること。

user01@FW-02> show vrrp
Interface     State       Group   VR state VR Mode   Timer    Type   Address
ge-0/0/0.0    up              4   backup   Active      D  2.719 lcl    192.168.4.13
                                                                vip    192.168.4.11
                                                                mas    192.168.4.12
  • NAT変換の状態

FW-01 を通過する Server-01,02 の送信元IPアドレスが、設定通りSNATされていること。

user01@FW-01> show security flow session
Session ID: 4601, Policy name: default-permit/4, Timeout: 52, Valid
  In: 192.168.4.6/37534 --> 169.254.127.1/123;udp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 1, Bytes: 76,
  Out: 169.254.127.1/123 --> 169.254.0.5/22817;udp, Conn Tag: 0x0, If: ge-0/0/1.0, Pkts: 1, Bytes: 76,

Session ID: 4602, Policy name: default-permit/4, Timeout: 52, Valid
  In: 192.168.4.5/38655 --> 169.254.127.1/123;udp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 1, Bytes: 76,
  Out: 169.254.127.1/123 --> 169.254.0.5/30005;udp, Conn Tag: 0x0, If: ge-0/0/1.0, Pkts: 1, Bytes: 76,

 (省略)

注釈

FW-02 のVRRPは(backup)であるためサーバからの通信はありません。よってNATの変換ログはありません。

Serverでの同期確認

以下の通り、NTPサーバ(169.254.127.1)と同期が取れております。
NTPサーバアドレスの前に*または+が表示されれば時刻同期中の状態です。
  • Server-01
[root@server01 user01]# chronyc sources
210 Number of sources = 1
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^* 169.254.127.1                 2   6    17    29   -156us[ -465us] +/-   36ms
  • Server-02
[root@server02 user01]#   chronyc sources
210 Number of sources = 1
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^* 169.254.127.1                 2   6    17     1    -36us[ -130us] +/-   34ms

11.3.4.4. 障害発生時の通信の流れ

FW-01 にインスタンス障害が発生した場合、Server-01,02 はFW-02を通過してNTPサーバへ通信を行います。

vsrx_usecase4_fig3

注釈

インスタンス障害の試験方法として、FW-01 の VRRP IFを一時的に無効化する手法を採用しております。インターフェイスの無効化・有効化のコマンドは以下のとおりです。
  • インターフェイス無効化の設定コマンド

    # set interfaces ge-0/0/0.0 disable
    # set interfaces ge-0/0/1.0 disable
  • インターフェイス有効化の設定コマンド

    # delete interfaces ge-0/0/0.0 disable
    # delete interfaces ge-0/0/1.0 disable

障害発生時の状態確認

障害発生時のファイアウォールの状態は以下のように確認できます。

  • VRRPの状態

FW-01 の VRRP が起動していないこと。

user01@FW-01> show vrrp
VRRP is not running

注釈

先ほどのインターフェイス無効化設定によりFW-01 のVRRPは停止中のため、状態は表示されません。

FW-02 が Master であること。

user01@FW-02> show vrrp
Interface     State       Group   VR state VR Mode   Timer    Type   Address
ge-0/0/0.0    up              4   master   Active      A  0.115 lcl    192.168.4.13
                                                                vip    192.168.4.11
  • NAT変換の状態

FW-02 を通過する Server-01,02 の送信元IPアドレスが、設定通りSNATされていること。

user01@FW-02> show security flow session

 (中略)

Session ID: 4719, Policy name: default-permit/4, Timeout: 18, Valid
  In: 192.168.4.6/33963 --> 169.254.127.1/123;udp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 1, Bytes: 76,
  Out: 169.254.127.1/123 --> 169.254.0.6/8795;udp, Conn Tag: 0x0, If: ge-0/0/1.0, Pkts: 1, Bytes: 76,

Session ID: 4720, Policy name: default-permit/4, Timeout: 18, Valid
  In: 192.168.4.5/51084 --> 169.254.127.1/123;udp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 1, Bytes: 76,
  Out: 169.254.127.1/123 --> 169.254.0.6/10739;udp, Conn Tag: 0x0, If: ge-0/0/1.0, Pkts: 1, Bytes: 76,
Total sessions: 3

注釈

FW-01 のVRRPは停止中のため、通信はありません。よってNAT変換のログはありません。

Serverでの同期確認

ファイアウォール障害発生時でもServerの同期の確認が取れています。
※NTPサーバアドレスの前に*または+が表示されれば時刻同期中の状態です。
  • Server-01 NTP同期確認ログ
[root@server01 user01]#  chronyc sources
210 Number of sources = 1
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^* 169.254.127.1                 2   6    17    10    +86us[ +882us] +/-   39ms
  • Server-02 NTP同期確認ログ
[root@server02 user01]#  chronyc sources
210 Number of sources = 1
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^* 169.254.127.1                 2   6    77    56   -358us[-1294us] +/-   38ms