Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

従来の設定から現在の vSRX 仮想ファイアウォール アーキテクチャへの移行

IBM Cloud™ Juniper vSRX 仮想ファイアウォール構成を従来のアーキテクチャから現在のアーキテクチャに移行するには、慎重に検討する必要があります。

vSRX仮想ファイアウォール18.4の導入では、ほとんどの場合、現在のアーキテクチャを活用しています。これには、vSRX仮想ファイアウォール18.4 1G SR-IOV製品が含まれます。古い vSRX 仮想ファイアウォール 18.4 1G 標準製品は Linux ブリッジングをベースにしており、Ubuntu ホスト、KVM ハイパーバイザー、vSRX 仮想ファイアウォール構成でさまざまなネットワーク構成を行っています。ホストと KVM の設定では、自動化プロセスが構成変更を処理するため、特別な移行手順は必要ありません。ただし、vSRX 仮想ファイアウォールの構成を従来のアーキテクチャから現在の vSRX 仮想ファイアウォール構成にインポートする場合は、一部の構成を再組み込む必要があります。

1G vSRX 仮想ファイアウォール スタンドアロン構成の移行

スタンドアロン 18.4 1G パブリック+プライベート Linux ブリッジ(レガシー アーキテクチャ)インスタンスの vSRX 仮想ファイアウォール構成設定をスタンドアロン 18.4 1G パブリック+プライベート SR-IOV(現在のアーキテクチャ)インスタンスに変換する必要があるステップがいくつかあります。SR-IOV ベースの現在のアーキテクチャのデフォルト 構成の例 1G スタンドアロン SR-IOV パブリックおよびプライベート vSRX ゲートウェイのデフォルト構成例を見つけることができます。

次に、Linux Bridge(レガシー アーキテクチャ)のデフォルト設定例を示します。この例では、異なるデータセンターポッドでプロビジョニングされたvSRX仮想ファイアウォールインスタンスを示しています。その結果、トランジット VLAN(native-vlan-id)は異なります。

インターフェイスセクションの変換

上記の 1G Public+Private スタンドアロンの例では、現在のアーキテクチャでは、集約されたインターフェイス ae0 と ae1 が追加されています。これらは、従来のアーキテクチャが ge-0/0/0(private/ae0)と ge-0/0/1(public/ae1)と定義するものにマッピングする必要があります。さらに、新しいアーキテクチャでは ge-0/0/2 と ge-0/0/3 が追加され、vSRX 仮想ファイアウォール インターフェイス内の冗長性をサポートします。従来のアーキテクチャでは、ホスト(ハイパーバイザー)の結合インターフェース(bond0 private/bond1 public)に冗長性が存在していた。現在のアーキテクチャでは、冗長性のためにgeインターフェイスに直接マッピングされたSR-IOV VFが使用されています。

vSRX スタンドアロン インターフェイス(現在のアーキテクチャ)と vSRX スタンドアロン インターフェイス(レガシー アーキテクチャ)におけるこれらの vSRX 仮想ファイアウォール構成の違いを比較できます。

ge-0/0/0 用に事前に設定されたプライベート VLAN は、ae0 経由でルーティングする必要があります。さらに、ge-0/0/1用に設定したパブリックVLANはすべて、ae1を介してルーティングする必要があります。

[ゾーン] セクションの変換

以前 ge-0/0/0 と ge-0/0/1 を参照していたデフォルト セキュリティ ゾーンでは、ae0.0(SL-PRIVATE)および ae1.0(SL-PUBLIC)インターフェイスを使用するようになりました。ge-0/0/0 および ge-0/0/1 と以前に参照されていたゾーンにも、同じ変更が適用されます。

その他の変更点

  • 集約されたデバイス構成には、現在のアーキテクチャに以下の追加が必要です。

    set chassis aggregated-devices ethernet device-count 10

  • JWEB設定には、集約されたインターフェイスも含まれます。

    set system services web-management https interface ae1.0

    set system services web-management https interface ae0.0

1G vSRX 仮想ファイアウォールの高可用性構成の移行

高可用性の設定では、従来のアーキテクチャから現在のアーキテクチャに設定をインポートする場合、主なvSRX仮想ファイアウォールが変更され、インターフェイスマッピングのわずかな変更になります。

現在のアーキテクチャの 1G SR-IOV HA 構成では、ホスト(ハイパーバイザー)の結合インターフェイスを使用する代わりに、冗長性のために vSRX 仮想ファイアウォール インターフェイスを追加できます。ホストがvSRX仮想ファイアウォールインターフェイスに直接マッピングできるSR-IOV VFを使用することで、これが可能になります。レガシー アーキテクチャからエクスポートされた構成は、現在のアーキテクチャにインポートする場合、これを考慮する必要があります。

1G HA の現在のアーキテクチャ向け vSRX 仮想ファイアウォールの構成については、 vSRX 高可用性インターフェイス(現在のアーキテクチャ) と、1G HA 用のレガシー アーキテクチャの vSRX 仮想ファイアウォールの構成を参照してください。 vSRX 高可用性インターフェイス(レガシー アーキテクチャ)を参照してください。

ge-0/* および ge-7/* インターフェイスが追加され、従来のアーキテクチャと現在のアーキテクチャの両方に存在する既存の reth インターフェイスに関連付けされました。これにより、vSRX仮想ファイアウォール設定内の冗長性が確保されます。fabインターフェイスに対しても冗長性が設定されています。