ファイアウォール (Brocade 5600 vrouter) とManaged Firewallから vsrxへの交換によるマイグレ実施方法 (HA 構成版 ) 第 1 版 Copyright NTT Communications Corporation. All right reserved.
更新履歴 更新日更新内容版数 2018/11/5 初版 1 Copyright Copyright NTT NTT Communications Communications Corporation. Corporation. All right All right reserved. reserved. 2 2
前提条件 Copyright NTT Communications Corporation. All right reserved. 3
前提条件 Managed Firewall( 以下 M-FW) とファイアウォール (Brocade 5600 vrouter)( 以下 vfw) からファイアウォール (vsrx) への交換によるマイグレ実施方法です Internet-GW, ロードバランサー, Web サーバーの設定変更 (Routing 変更等 ) は発生しないケースです ロードバランサーは ツーアーム構成のマイグレ実施方法です ワンアーム構成をご利用の場合はお客様環境にそって 読み替えて頂きますようお願い致します M-FW vfw で利用しているネットワークを vsrx へ接続します M-FW vfw で利用しているネットワークの接続解除から vsrx への付け替え時 通信断の時間が発生いたします vsrx の基本設定は下記リンクを参照頂けますよう よろしくお願いいたします https://ecl.ntt.com/documents/tutorials/rsts/vsrx/basic/basic.html vsrx のルーティング設定はお客様構成に応じて設定をお願い致します vsrx 作成時 インターフェイス (ge-0/0/0.0) は Trust ゾーンに設定されております 作成後 各インターフェイスはお客様環境にそって読み替えて設定頂きますようお願い致します vfw/vsrx 共に ステートフルインスペクション機能を利用します ステートレスファイアウォールをご利用の場合 お客様環境にそって読み替えて頂きますようお願い致します 事前検証を行ってから移行を実施ください Copyright NTT Communications Corporation. All right reserved. 4
構成および移行フロー Copyright NTT Communications Corporation. All right reserved. 5
移行前構成 (M-FW, vfw 構成 ) Client 180.xxx.xxx.xxx/32 InterNet 153.xxx.xxx.xxx/32 Internet-GW(act).249.248 Internet-GW(stb) 192.168.30.0/24 ( 外部セグメント ) VRID 1 VIP.250 VRID 10 Port 4.101 VIP.254 Port 4.102 M-FW-01 (First unit) M-FW-02 (Second unit) Port 5.101 VRID 20 Port 5.102 192.168.20.0/24(FWセグメント ) VIP.254 dp0s4.11 vfw-01 (Master) dp0s7.11 192.168.10.0/24(LB セグセグメント ) VRID 30 VIP.251 VRID 40 VIP.254 dp0s4.12 vfw-02 (Back up) dp0s7.12 1/1.6 LB-01(M) 1/2.6 172.16.10.0/24( サーバセグメント ) VRID 30 VIP.251 Web-server-01 Copyright NTT Communications Corporation. All right reserved. 6.1 1/1.7 LB-02(B) 1/2.7 http-vserver 172.16.100.10 https-vserver 172.16.100.20 M-FW ルールは外部セグメントからの通信は全て拒否し 特定の送信元からの HTTP/HTTPS 通信のみ許可しております LB の内部にバーチャルサーバーを設定しておきます
移行時構成 1 Client 180.xxx.xxx.xxx/32 InterNet 153.xxx.xxx.xxx/32 Internet-GW(act).249.248 Internet-GW(stb) 192.168.30.0/24 ( 外部セグメント ) VRID 1 VIP.250 VRID 10 Port 4.101 VIP.254 Port 4.102 M-FW-01 (First unit) Port 5.101 VRID 20 Port 5.102 192.168.20.0/24(FWセグメント ) VIP.254 vfw-01 (Master) dp0s7.11 192.168.10.0/24(LB セグセグメント ) M-FW-02 (Second unit) VRID 30 dp0s4.11 VIP.251 dp0s4.12 VRID 40 VIP.254 vfw-02 (Back up) dp0s7.12 vsrx-01 vsrx-02 1/1.6 LB-01(M) 1/2.6 172.16.10.0/24( サーバセグメント ) VRID 50 VIP.251 Web-server-01 Copyright NTT Communications Corporation. All right reserved. 7.1 1/1.7 LB-02(B) 1/2.7 http-vserver 172.16.100.10 https-vserver 172.16.100.20 手順 1 vsrx 申込み手順 2 vsrx 設定 1. ファイアウォール設定 2. DNAT 設定
移行時構成 2 Client 180.xxx.xxx.xxx/32 InterNet 153.xxx.xxx.xxx/32 Internet-GW(act).249.248 Internet-GW(stb) 192.168.30.0/24 ( 外部セグメント ) VRID 1 VIP.250 M-FW-01 (First unit) M-FW-02 (Second unit) Port 5.101 VRID 20 Port 5.102 192.168.20.0/24(FWセグメント ) VIP.254 VRID 30 dp0s4.11 VIP.251 dp0s4.12 vfw-01 (Master) vfw-02 (Back up) vsrx-01 vsrx-02 192.168.10.0/24(LB セグセグメント ) 1/1.6 LB-01(M) 1/2.6 172.16.10.0/24( サーバセグメント ) VRID 50 VIP.251 Web-server-01 Copyright NTT Communications Corporation. All right reserved. 8.1 1/1.7 LB-02(B) 1/2.7 http-vserver 172.16.100.10 https-vserver 172.16.100.20 手順 3 M-FW 設定 1. IF 切断 ( 通信断発生 ) 手順 4 vfw 設定 1. IF 切断 断時間 :40 分程度 ( 実測値 )
移行時構成 3 Client 180.xxx.xxx.xxx/32 InterNet 153.xxx.xxx.xxx/32 Internet-GW(act).249.248 Internet-GW(stb) 192.168.30.0/24 ( 外部セグメント ) VRID 1 VIP.250 VRID 10 VIP.254 M-FW-01 (First unit) M-FW-02 (Second unit) Port 5.101 VRID 20 Port 5.102 192.168.20.0/24(FWセグメント ) VIP.254 VRID 30 dp0s4.11 VIP.251 dp0s4.12 vfw-01 (Master) vfw-02 (Back up) ge-0/0/1.101 vsrx-01 (Master) ge-0/0/2.11 untrust zone trust zone ge-0/0/1.102 vsrx-02 (Back up) ge-0/0/2.12 192.168.10.0/24(LB セグセグメント ) VRID 40 VIP.254 1/1.6 LB-01(M) 1/2.6 172.16.10.0/24( サーバセグメント ) VRID 50 VIP.251 Web-server-01 Copyright NTT Communications Corporation. All right reserved. 9.1 1/1.7 LB-02(B) 1/2.7 http-vserver 172.16.100.10 https-vserver 172.16.100.20 手順 5 vsrx 設定 1. IF 接続 2. VRRP 設定 ( 通信断回復 ) 断時間 :40 分程度 ( 実測値 )
移行完了構成 Client 180.xxx.xxx.xxx/32 InterNet 153.xxx.xxx.xxx/32 Internet-GW(act).249.248 Internet-GW(stb) 192.168.30.0/24 ( 外部セグメント ) VRID 1 VIP.250 VRID 10 VIP.254 M-FW-01 (First unit) M-FW-02 (Second unit) Port 5.101 VRID 20 Port 5.102 192.168.20.0/24(FWセグメント ) VIP.254 VRID 30 dp0s4.11 VIP.251 dp0s4.12 vfw-01 (Master) vfw-02 (Back up) ge-0/0/1.101 vsrx-01 (Master) ge-0/0/2.11 untrust zone trust zone ge-0/0/1.102 vsrx-02 (Back up) ge-0/0/2.12 192.168.10.0/24(LB セグセグメント ) VRID 40 VIP.254 1/1.6 LB-01(M) 1/2.6 172.16.10.0/24( サーバセグメント ) VRID 50 VIP.251 1/1.7 LB-02(B) 1/2.7 http-vserver 172.16.100.10 https-vserver 172.16.100.20 Web-server-01 Copyright NTT Communications Corporation. All right reserved. 10.1
手順 1 vsrx 申し込み Copyright NTT Communications Corporation. All right reserved. 11
手順 1 vsrx 申込み 下記リンクを参照の上 vsrx のお申し込みをお願いいたします https://ecl.ntt.com/documents/tutorials/rsts/vsrx/instance/create.html コントロールパネル画面にログイン後 クラウドコンピューティングをクリックし ネットワーク ファイアウォール vsrx をクリックしてください Copyright NTT Communications Corporation. All right reserved. 12
手順 1 vsrx 申込み ファイアーウォール作成ボタンをクリックし 詳細 と インターフェース で必要な設定値を入力してください インターフェース設定では管理用 IP アドレスを入力してください 設定を入力後 ファイアウォールの作成 をクリックしてください Copyright NTT Communications Corporation. All right reserved. 13
手順 1 vsrx 申込み 同様の手順で vsrx-02 のお申込みをお願いいたします 14 Copyright NTT Communications Corporation. All right reserved. 14
手順 2-1 vsrx 設定 ( ファイアウォール設定 ) Copyright NTT Communications Corporation. All right reserved. 15
手順 2-1 vsrx 設定 ( ファイアウォール設定 ) ファイアウォールフィルターの設定は下記をご覧ください https://ecl.ntt.com/documents/tutorials/rsts/vsrx/fwfunction/zonebase/vsrx_zonebase.html ファイアウォールに論理的に ゾーン と呼ばれる領域を作成し インターフェイスをゾーンに所属させます 受信パケットに必要なポリシーをゾーンごとに設定するため ゾーンに属するインターフェイスに対して同一のポリシーを適用させることが可能になります ゾーンベースファイアウォールを設定には アドレスグループの設定 アプリケーションセットの設定 が必要になります Copyright NTT Communications Corporation. All right reserved. 16
手順 2-1 vsrx 設定 ( ファイアウォール設定 ) 下記 URL を参考にアドレスグループの設定をお願い致します https://ecl.ntt.com/documents/tutorials/rsts/vsrx/fwfunction/zonebase/vsrx_addressset.html パケットフィルタリングを設定する時に IP アドレスを条件にしたルールを設定することができ IP アドレスに簡易的な名称をつけてパケットフィルタリングの条件にすることが可能です 複数の IP アドレスをグループ化する場合 それぞれの IP アドレスに対してアドレスブックを作成し 複数のアドレスブックを含んだアドレスセットを作成して下さい 参考までに vsrx-01 の設定値は以下の通りです user@vsrx-01# set security address-book global address CLIENT_01 180.xxx.xxx.xxx/32 user@vsrx-01# set security address-book global address-set CLIENT_GROUP address CLIENT_01 user@vsrx-01# commit Copyright NTT Communications Corporation. All right reserved. 17
手順 2-1 vsrx 設定 ( ファイアウォール設定 ) 下記 URL を参考にアプリケーションセットの設定をお願い致します https://ecl.ntt.com/documents/tutorials/rsts/vsrx/fwfunction/zonebase/vsrx_applicationset.html vsrx にあらかじめ登録されているアプリケーションもしくは任意の名称をつけてアプリケーションを定義しパケットフィルタリングの条件にすることが可能です 参考までに vsrx-01 の設定値は以下の通りです user@vsrx-01# set applications application HTTP_DEF protocol tcp destination-port 80 user@vsrx-01# set applications application HTTPS_DEF protocol tcp destination-port 443 user@vsrx-01# set applications application-set HTTP_HTTPS_DEF application HTTP_DEF user@vsrx-01# set applications application-set HTTP_HTTPS_DEF application HTTPS_DEF user@vsrx-01# commit Copyright NTT Communications Corporation. All right reserved. 18
手順 2-1 vsrx 設定 ( ファイアウォール設定 ) 作成したアドレスセットとアプリケーションセットを送信元とする通信 ( パケット ) に関して許可して それ以外の通信 ( パケット ) はゾーンベースファイアウォールで遮断する設定を行います 外部セグメントからの通信は全て拒否し 特定の送信元 (180.xxx.xxx.xxx/32) からの HTTP/HTTPS 通信のみ許可する設定は 下記になります user@vsrx-01# set security policies from-zone untrust to-zone trust policy PERMIT_GROUP match sourceaddress CLIENT_GROUP user@vsrx-01# set security policies from-zone untrust to-zone trust policy PERMIT_GROUP match destination-address any user@vsrx-01# set security policies from-zone untrust to-zone trust policy PERMIT_GROUP match application HTTP_HTTPS_DEF user@vsrx-01# set security policies from-zone untrust to-zone trust policy PERMIT_GROUP then permit user@vsrx-01# commit Copyright NTT Communications Corporation. All right reserved. 19
手順 2-1 vsrx 設定 ( ファイアウォール設定 ) 同様の手順で vsrx-02 のファイアウォール設定をお願いいたします Copyright NTT Communications Corporation. All right reserved. 20
手順 2-2 vsrx 設定 (DNAT 設定 ) Copyright NTT Communications Corporation. All right reserved. 21
手順 2-2 vsrx 設定 (DNAT 設定 ) Destination NAT の設定は下記をご覧ください https://ecl.ntt.com/documents/tutorials/rsts/vsrx/network/nat/nat.html CLI でログイン後 シェルコマンドモード > オペレーションモード > コンフィグレーションモードへ移行します 宛先が 153.xxx.xxx.xxx/32 の HTTP/HTTPS 通信をロードバランサーの Virtual Server に変換致します 参考までに vsrx-01 の設定値を次ページに記載します Copyright NTT Communications Corporation. All right reserved. 22
手順 2-2 vsrx 設定 (DNAT 設定 ) ロードバランサーの Virtual Server へアクセスする為の IP アドレス変換設定は 下記になります user@vsrx-01# set security nat destination pool POOL1 address 172.16.100.10/24 port 80 user@vsrx-01# set security nat destination pool POOL2 address 172.16.100.20/24 port 443 user@vsrx-01# set security nat destination rule-set RULE1 from zone untrust user@vsrx-01# set security nat destination rule-set RULE1 rule RULE1-1 match destination-address 153.xxx.xxx.xxx/32 user@vsrx-01# set security nat destination rule-set RULE1 rule RULE1-1 match destination-port 80 user@vsrx-01# set security nat destination rule-set RULE1 rule RULE1-1 then destination-nat pool POOL1 user@vsrx-01# set security nat destination rule-set RULE1 rule RULE1-2 match destination-address 153.xxx.xxx.xxx/32 user@vsrx-01# set security nat destination rule-set RULE1 rule RULE1-2 match destination-port 443 user@vsrx-01# set security nat destination rule-set RULE1 rule RULE1-2 then destination-nat pool POOL2 user@vsrx-01# commit Copyright NTT Communications Corporation. All right reserved. 23
手順 2-2 vsrx 設定 (DNAT 設定 ) 同様の手順で vsrx-02 のファイアウォール設定をお願いいたします Copyright NTT Communications Corporation. All right reserved. 24
手順 3 M-FW の設定変更 ( インターフェースの切断 ) Copyright NTT Communications Corporation. All right reserved. 25
手順 3 M-FW の設定 ( インターフェースの切断 ) M-FW のインターフェースの設定が可能です https://ecl.ntt.com/documents/tutorials/security/rsts/security/operation/managed_firewall _utm/3110_interface_single.html コントロールパネル画面にログイン後 セキュリティをクリックし Managed Firewall の Operation をクリックください Copyright NTT Communications Corporation. All right reserved. 26
手順 3 M-FW の設定 ( インターフェースの切断 ) [Cluster Port Management] をクリックしてください Copyright NTT Communications Corporation. All right reserved. 27
手順 3 M-FW の設定 ( インターフェースの切断 ) 設定対象の HA ペアをクリックで選択し [Manage Interfaces] をクリックします どのポート番号でクリックしても同じ画面が開きます Copyright NTT Communications Corporation. All right reserved. 28
手順 3 M-FW の設定 ( インターフェースの切断 ) [Manage Interfaces] の画面が開きます Port 2,3 は [Manage Interfaces] の画面には表示されません 設定対象のポートをクリックで選択して [ 編集 ] をクリックします Copyright NTT Communications Corporation. All right reserved. 29
手順 3 M-FW の設定 ( インターフェースの切断 ) [Enable Port] のチェックを外してください [ 保存 ] をクリックします この画面で保存しただけではデバイスに適用されません Copyright NTT Communications Corporation. All right reserved. 30
手順 3 M-FW の設定 ( インターフェースの切断 ) Manage Interfaces 画面で [ 今実行 ] をクリックします 通信断が発生します Copyright NTT Communications Corporation. All right reserved. 31
手順 3 M-FW の設定 ( インターフェースの切断 ) [ ステータス ] や [ メッセージ ] が表示されている領域をクリックすると 履歴が表示され [Manage Interfaces] プロセスの開始時刻 進捗が表示されます Copyright NTT Communications Corporation. All right reserved. 32
手順 3 M-FW の設定 ( インターフェースの切断 ) すべてのステータスが 緑色 になれば正常終了になります Copyright NTT Communications Corporation. All right reserved. 33
手順 4 vfw の設定変更 ( インターフェースの切断 ) Copyright NTT Communications Corporation. All right reserved. 34
手順 4 vfw の設定変更 ( インターフェースの切断 ) ファイアウォールのロジカルネットワーク切断をお願いいたします コントロールパネル画面にログイン後 ネットワーク Brocade 5600 vrouter をクリックし 対象のファイアウォールを選択ください Copyright NTT Communications Corporation. All right reserved. 35
手順 4 vfw の設定変更 ( インターフェースの切断 ) 対象のインターフェースから VRRP 用通信設定の解除 をクリック VRRP 用通信設定の解除 をクリック Copyright NTT Communications Corporation. All right reserved. 36
手順 4 vfw の設定変更 ( インターフェースの切断 ) 対象のインターフェースから ロジカルネットワークの切断 をクリック ロジカルネットワークの切断 をクリック Copyright NTT Communications Corporation. All right reserved. 37
手順 4 vfw の設定変更 ( インターフェースの切断 ) 同様の手順で vfw-02 で LB セグメントのインターフェースの切断をお願いいたします Copyright NTT Communications Corporation. All right reserved. 38
手順 5-1 vsrx 設定 ( インターフェース接続 ) Copyright NTT Communications Corporation. All right reserved. 39
手順 5-1 vsrx 設定 ( インターフェース接続 ) vsrx に設定するインターフェイスに対して IP アドレスを設定し通信可能にするためには ECL2.0 のカスタマポータル上でインターフェイスと IP アドレスの設定を実行する必要があります vsrx のインターフェイスは ge-0/0/0 を除き初期状態でゾーンに所属させる設定がされておりません 通信するためには必ずゾーンベースファイアウォールのいずれかのゾーンに所属させる必要があります インターフェイスの IP アドレスに着信する通信を許可するためには host-inbound-traffic 配下で該当の通信を許可する設定が必要になります Copyright NTT Communications Corporation. All right reserved. 40
手順 5-1 vsrx 設定 ( インターフェース接続 ) 下記リンクを参照の上 ECL2.0 のカスタマポータル上で vsrx のインターフェース設定をお願いいたします https://ecl.ntt.com/documents/tutorials/rsts/vsrx/instance/update.html コントロールパネル画面にログイン後 クラウドコンピューティングをクリックし ネットワーク ファイアウォール vsrx をクリックしてください Copyright NTT Communications Corporation. All right reserved. 41
手順 5-1 vsrx 設定 ( インターフェース接続 ) 対象の vsrx で ファイアウォールインターフェイスの編集 をクリックして下さい Copyright NTT Communications Corporation. All right reserved. 42
編集したいインターフェイスタブを開き このインターフェイスを編集する にチェックを入れ 接続先ロジカルネットワークと固定 IP アドレスを指定して下さい 設定値を入力後 ファイアウォールインターフェイスの編集 をクリックして下さい このインターフェイスを編集する に必ずチェックを入れてください チェックを入れない場合 編集は反映されません 参考までに 以下は vsrx-01 の設定値となります 手順 5-1 vsrx 設定 ( インターフェース接続 ) Copyright NTT Communications Corporation. All right reserved. 43
手順 5-1 vsrx 設定 ( インターフェース接続 ) 下記リンクを参照の上 CLI で vsrx のインターフェース設定をお願いいたします https://ecl.ntt.com/documents/tutorials/rsts/vsrx/basic/basic.html#vsrx-cli-ssh CLI でログイン後 シェルコマンドモード > オペレーションモード > コンフィグレーションモードへ移行して下さい 参考までに CLI にて入力するコマンドは下記となります 本検証では host-inbound-traffic 設定にて ping を許可しております 追加で許可するサービスやプロトコルがある場合は 下記リンクを参照の上 ご利用の環境で必要に応じて設定をお願い致します https://ecl.ntt.com/documents/tutorials/rsts/vsrx/fwfunction/zonebase/vsrx_zoneconfig.html user@vsrx-01# set interfaces ge-0/0/1 unit 0 family inet address 192.168.30.101/24 user@vsrx-01# set security zones security-zone untrust interfaces ge-0/0/1.0 host-inboundtraffic system-services ping user@vsrx-01# set interfaces ge-0/0/2 unit 0 family inet address 192.168.10.11/24 user@vsrx-01# set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic system-services ping user@vsrx-01# commit Copyright NTT Communications Corporation. All right reserved. 44
手順 5-1 vsrx 設定 ( インターフェース接続 ) 同様の手順で vsrx-02 のインターフェース設定をお願いいたします Copyright NTT Communications Corporation. All right reserved. 45
手順 5-2 vsrx 設定 (VRRP 設定 ) Copyright NTT Communications Corporation. All right reserved. 46
手順 5-2 vsrx 設定 (VRRP 設定 ) 下記リンクを参照の上 ECL2.0 のカスタマポータル上で vsrx の VRRP 設定をお願いいたします https://ecl.ntt.com/documents/tutorials/rsts/vsrx/network/vrrp.html コントロールパネル画面にログイン後 クラウドコンピューティングをクリックし ネットワーク ファイアウォール vsrx をクリックしてください Copyright NTT Communications Corporation. All right reserved. 47
手順 5-2 vsrx 設定 (VRRP 設定 ) 対象の vsrx の 許可されたアドレスペアの編集 をクリックしてください Copyright NTT Communications Corporation. All right reserved. 48
手順 5-2 vsrx 設定 (VRRP 設定 ) 編集したいインターフェイスタブを開き アドレスペアの追加 をクリックして下さい 外部セグメントと FW セグメントのインターフェースでアドレスペアの設定をお願いいたします 設定値を入力後 許可されたアドレスペアの更新 をクリックして下さい 参考までに 以下は vsrx-01 の設定値となります Copyright NTT Communications Corporation. All right reserved. 49
手順 5-2 vsrx 設定 (VRRP 設定 ) 下記リンクを参照の上 CLI で vsrx の VRRP 設定をお願いいたします https://ecl.ntt.com/documents/tutorials/rsts/vsrx/network/vrrp.html#vrrp-vrrp CLI でログイン後 シェルコマンドモード > オペレーションモード > コンフィグレーションモードへ移行します 対象である全てのインターフェースに対して VRRP 設定を行った後 commit を入力してください 参考までに vsrx-01 の設定値を下記に記載します user@vsrx-01# set interfaces ge-0/0/1 unit 0 family inet address 192.168.30.101/24 vrrp-group 10 virtual-address 192.168.30.254 user@vsrx-01# set interfaces ge-0/0/1 unit 0 family inet address 192.168.30.101/24 vrrp-group 10 priority 120 user@vsrx-01# set interfaces ge-0/0/1 unit 0 family inet address 192.168.30.101/24 vrrp-group 10 preempt user@vsrx-01# set interfaces ge-0/0/1 unit 0 family inet address 192.168.30.101/24 vrrp-group 10 accept-data user@vsrx-01# set interfaces ge-0/0/1 unit 0 family inet address 192.168.30.101/24 vrrp-group 10 advertise-interval [ 任意の値 user@vsrx-01# set interfaces ge-0/0/2 unit 0 family inet address 192.168.10.11/24 vrrp-group 40 virtual-address 192.168.10.254 user@vsrx-01# set interfaces ge-0/0/2 unit 0 family inet address 192.168.10.11/24 vrrp-group 40 priority 120 user@vsrx-01# set interfaces ge-0/0/2 unit 0 family inet address 192.168.10.11/24 vrrp-group 40 preempt user@vsrx-01# set interfaces ge-0/0/2 unit 0 family inet address 192.168.10.11/24 vrrp-group 40 accept-data user@vsrx-01# set interfaces ge-0/0/2 unit 0 family inet address 192.168.10.11/24 vrrp-group 40 advertise-interval [ 任意の値 ] user@vsrx-01# commit Copyright NTT Communications Corporation. All right reserved. 50
手順 5-2 vsrx 設定 (VRRP 設定 ) VRRP 機能を利用するためには ゾーンベースファイアウォール設定で VRRP を設定したゾーンもしくはインターフェイスで VRRP パケットを許可しておく必要があります CLI でログイン後 シェルコマンドモード > オペレーションモード > コンフィグレーションモードへ移行します VRRP 設定をしている全てのインターフェースに対して ゾーン設定を行います 参考までに vsrx-01 の設定値を下記に記載します user@vsrx-01# set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic protocols vrrp user@vsrx-01# set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic protocols vrrp user@vsrx-01# commit VRRP 設定が完了すると 通信が回復します 下記コマンドで vsrx-01 の VRRP 状態が確認できます user@vsrx-01> show vrrp Interface State Group VR state VR Mode Timer Type Address ge-0/0/1.0 up 10 master Active A 1.151 lcl 192.168.30.101 vip 192.168.30.254 ge-0/0/2.0 up 40 master Active A 1.183 lcl 192.168.10.11 vip 192.168.10.254 Copyright NTT Communications Corporation. All right reserved. 51
手順 5-2 vsrx 設定 (VRRP 設定 ) 同様の手順で vsrx-02 の VRRP 設定をお願いいたします Copyright NTT Communications Corporation. All right reserved. 52