vSRX 仮想ファイアウォールのデフォルト設定を使用する |vSRX |ジュニパーネットワークス

vSRX仮想ファイアウォールのデフォルト設定について

IBM Cloud™ Juniper vSRX 仮想ファイアウォールデバイスのデフォルト設定は次のとおりです。

ssh と Ping は、vSRX 仮想ファイアウォールのパブリックゲートウェイとプライベートゲートウェイの両方の IP アドレスで許可されています。
Juniper Web Management(J-Web)UI アクセスは、HTTPS ポート 8443 でパブリックゲートウェイとプライベートゲートウェイの両方の IP アドレスに対して許可されます。
アドレスセットサービスは、IBMサービス・ネットワークに対して事前定義されている
2 つのセキュリティゾーン:SL-PRIVATE と SL-PUBLIC が事前に定義されています。
ゾーンSL-PRIVATEからすべてのサービスへのアクセスはIBMによって提供され、アドレスセットサービスは許可されます
その他のネットワークアクセスは拒否されます

以下に、2 つの冗長性グループを設定しています。

リダンダンシーグループ	冗長グループ機能
redundancy-group 0	制御プレーンの冗長性グループ
redundancy-group 1	データプレーンの冗長性グループ

冗長性グループの優先度は、アクティブな vSRX 仮想ファイアウォールノードを決定します。デフォルトでは、ノード0はコントロールプレーンとデータプレーンの両方でアクティブです。

デフォルト設定サンプルの参照

vSRX 仮想ファイアウォール設定のインポートとエクスポート

IBM Cloud™ Juniper vSRX 仮想ファイアウォールのアップグレードプロセスでは、必要なリロードが 1 度に 1 回行われている限り、プロセス全体を通して vSRX 仮想ファイアウォールの元の設定が保持されます。ただし、アップグレードを開始する前に、vSRX 仮想ファイアウォールの構成設定をエクスポートおよびバックアップすることを強くお勧めします。

スタンドアロンサーバーのアップグレードプロセスが完了したら、復元する場合は、保存した元の構成をインポートする必要があります。高可用性の構成では、アップグレードに失敗した場合やアーキテクチャ間の移行が失敗した場合にのみ、エクスポートファイルから手動で設定を復元する必要があります。1G 構成を従来のアーキテクチャから現在のアーキテクチャに移行する方法の詳細については、「従来の設定から現在の vSRX アーキテクチャへの移行」を参照してください。

考慮事項

スタンドアロンと HA(高可用性)のアップグレードプロセスは異なります。 vSRXのアップグレードを参照してください。
J-Web インターフェイスを使用すると、Junos OS CLI を使用せずに、現在の設定をすばやく簡単に表示、編集、アップロードできます。詳細については、 SRXシリーズのJ-Webドキュメントを参照してください。
vSRX仮想ファイアウォール15.1リリースから新しいvSRX仮想ファイアウォールリリース(19.4など)にアップグレードすると、設定ファイル内のvSRX仮想ファイアウォールインターフェイスマッピングが変更されます。その結果、元のvSRX仮想ファイアウォール設定をインポートするときは、新しい「インターフェイス」セクションが変更されていないことを確認してください。この操作には 2 つの方法があります。「インターフェイス」セクション以外のサブセクションをインポートするか、設定全体をインポートして 19.4 SR-IOV インターフェイスを手動で復元します。

LinuxブリッジとSR-IOVの両方の新しいvSRX仮想ファイアウォールのデフォルトインターフェイス設定は、設定のインポート後に保持する必要があります。たとえば、SR-IOV の場合、GE インターフェイスは、SR-IOV を有効にするために保持する必要があるホストへの特定のマッピングを持っています。これらのインターフェイスは、コマンド show configuration interfaces を使用した CLI にあります。SR-IOV マッピングの詳細については、 vSRX のデフォルト設定のセクションを参照してください。1G 構成を従来のアーキテクチャから現在のアーキテクチャに移行する方法の詳細については、「従来の設定を現在のvSRXアーキテクチャに移行する」を参照してください。

Junos OS CLI の使用を希望する場合は、設定全体をエクスポートするかインポートするか、構成の一部だけをインポートするかによって、以下のコンテンツからさまざまな方法で構成設定をエクスポートおよびインポートできます。設定を管理するには、CLI モードを入力し、コマンド「設定」を実行して設定モードに入ります。変更をコミットするには、コマンドコミットを実行します。

vSRX 仮想ファイアウォール構成の一部のエクスポート

vSRX 仮想ファイアウォール構成の一部のみをエクスポートするには、以下の手順にしたがっています。

コンフィギュレーション・モードに入り、コンフィギュレーション・ツリーの一番上にいられるようにしてください:編集してから、上部に
次に、コマンドを show <section> 実行して、中括弧で囲まれた現在の設定を取得します。

例えば、show interfacesを実行して、すべてのインターフェイス設定を表示できます。または、セットモードで出力を表示する場合は、コマンドを show <section> | display set 実行します。

出力は次のようになります。
ヒント：
セットモードでは、設定を再作成するのに必要な一連の設定モードコマンドとして設定が表示されます。これは、設定モードコマンドの使用方法に精通していない場合や、表示された設定を切り取り、貼り付け、編集したい場合に便利です。
出力をコピーして、後で使用するためにローカルワークスペースに保存します。

vSRX 仮想ファイアウォール構成全体のインポート

LinuxブリッジとSR-IOVの両方の新しいvSRX仮想ファイアウォールのデフォルトインターフェイス設定は、設定のインポート後に保持する必要があります。たとえば、SR-IOV の場合、GE インターフェイスは、SR-IOV を有効にするために保持する必要があるホストへの特定のマッピングを持っています。これらのインターフェイスは、コマンドを使用してCLIで show configuration interfaces 見つけることができます。SR-IOV マッピングの詳細については、 vSRX のデフォルト設定を参照してください。

vSRX 仮想ファイアウォール設定全体をインポートするには、以下の手順にしたがっています。

vSRX仮想ファイアウォールをアップグレードした後、以前に保存した設定ファイルを/var/tmpフォルダにコピーします。
設定モードでロードオーバーライド/var/tmp/backup.txtを実行し、現在の設定全体を/var/tmpフォルダに保存したコンテンツに置き換えます。

vSRX 仮想ファイアウォール構成の一部のインポート

LinuxブリッジとSR-IOVの両方の新しいvSRX仮想ファイアウォールのデフォルトインターフェイス設定は、設定のインポート後に保持する必要があります。たとえば、SR-IOV の場合、GE インターフェイスは、SR-IOV を有効にするために保持する必要があるホストへの特定のマッピングを持っています。これらのインターフェイスは、コマンドを使用してCLIで show configuration interfaces 見つけることができます。SR-IOV マッピングの詳細については、 vSRX のデフォルト設定を参照してください。

vSRX 仮想ファイアウォール構成の一部のみをインポートするには、以下の手順にしたがっています。

設定モードから、を実行 edit <section> して、必要な設定ツリーレベルに移動します。
保存したコンフィギュレーション設定をコピーし、コンフィギュレーションと現在のコンフィギュレーションをマージする相対コマンドロードマージターミナルを実行します。

コンテンツを貼り付け、Enterキーを押して新しい行に移動し、「Control + D」と入力して入力を終了します。

出力は次のようになります。

または、以下も可能です。

このコンフィギュレーション・ツリー・レベルでまずコマンド delete を使用してコンフィギュレーションを削除してから、以前のコンフィギュレーションをコピーアンドペーストする相対的な負荷マージ端末を実行することで、コンフィギュレーションをマージするのではなく、コンフィギュレーションを置き換えてください。
マージ端末の相対読み込みではなく、ロード・セット端末を実行して、セット・モードでコンフィギュレーションを編集します。次に、保存したコンテンツをセットモードでコピーアンドペーストします。

メモ：
必ず上部を load set terminal 実行してください。