vSRX 가상 방화벽 기본 구성으로 작업
vSRX 가상 방화벽 기본 구성 이해
IBM Cloud™ Juniper vSRX 가상 방화벽 디바이스에는 다음과 같은 기본 구성이 함께 제공됩니다.
SSH 및 Ping은 vSRX 가상 방화벽 퍼블릭 및 프라이빗 게이트웨이 IP 주소 모두에서 허용됩니다.
Juniper 웹 관리(J-Web) UI 액세스는 퍼블릭 및 프라이빗 게이트웨이 IP 주소 모두에 대해 HTTPS 포트 8443에서 허용됩니다.
주소 설정 서비스는 IBM 서비스 네트워크를 위해 사전 정의되어 있습니다.
두 가지 보안 영역: SL-PRIVATE 및 SL-PUBLIC이 사전 정의되어 있습니다.
영역 SL-PRIVATE에서 IBM이 제공하는 모든 서비스에 대한 액세스가 가능하며 주소 설정 서비스는 허용됩니다.
기타 모든 네트워크 액세스가 거부됨
구성된 이중화 그룹 두 가지는 아래에 설명되어 있습니다.
이중화 그룹 |
이중화 그룹 기능 |
---|---|
이중화 그룹 0 |
컨트롤 플레인을 위한 이중화 그룹 |
이중화 그룹 1 |
데이터 플레인을 위한 이중화 그룹 |
중복 그룹의 우선 순위는 활성화된 vSRX 가상 방화벽 노드를 결정합니다. 기본적으로 노드 0은 컨트롤 플레인과 데이터 플레인 모두에 대해 활성화됩니다.
vSRX 가상 방화벽 구성 가져오기 및 내보내기
IBM Cloud™ Juniper vSRX 가상 방화벽 업그레이드 프로세스는 필요한 재로드가 한 번에 하나씩 수행되는 한 전체 프로세스에 걸쳐 vSRX 가상 방화벽 원래 구성을 유지합니다. 그러나 업그레이드를 시작하기 전에 vSRX 가상 방화벽 구성 설정을 내보내고 백업하는 것이 좋습니다.
독립형 서버에 대한 업그레이드 프로세스가 완료되면 복원하려는 경우 저장한 원래 구성을 가져와야 합니다. 고가용성 구성의 경우 업그레이드가 실패하거나 아키텍처 간에 이동하는 경우에만 내보낸 파일에서 구성을 수동으로 복원해야 합니다. 1G 구성을 레거시 아키텍처에서 현재 아키텍처로 마이그레이션하는 것에 대한 자세한 내용은 레거시 구성을 현재 vSRX 아키텍처로 마이그레이션하기를 참조하세요.
고려 사항
독립형 및 고가용성(HA)의 업그레이드 프로세스는 다릅니다. vSRX 업그레이드를 참조하십시오.
J-Web 인터페이스를 사용하면 Junos OS CLI를 사용하지 않고도 현재 구성을 빠르고 쉽게 표시, 편집 및 업로드할 수 있습니다. 자세한 내용은 J-Web에서 SRX 시리즈 설명서를 참조하십시오.
vSRX 가상 방화벽 15.1 릴리스에서 19.4와 같은 최신 vSRX 가상 방화벽 릴리스로 업그레이드하면 구성 파일의 vSRX 가상 방화벽 인터페이스 매핑이 변경됩니다. 따라서 원래 vSRX 가상 방화벽 설정을 가져올 때 새 "인터페이스" 섹션이 수정되지 않았는지 확인합니다. 이를 수행하는 방법에는 두 가지가 있습니다. "인터페이스" 섹션 이외의 하위 섹션을 가져오거나 전체 구성을 가져오고 19.4 SR-IOV 인터페이스를 수동으로 복원합니다.
Linux 브리지와 SR-IOV 모두에 대한 새로운 vSRX 가상 방화벽 기본 인터페이스 구성은 구성을 가져온 후 보존되어야 합니다. 예를 들어 SR-IOV의 경우 GE 인터페이스는 SR-IOV를 활성화하기 위해 보존해야 하는 호스트에 대한 특정 매핑을 가지고 있습니다. 이러한 인터페이스는 명령 표시 구성 인터페이스를 사용하여 CLI에서 발견됩니다. SR-IOV 매핑에 대한 자세한 내용은 vSRX 기본 구성 섹션을 참조하십시오. 레거시 아키텍처에서 현재 아키텍처로 1G 구성을 마이그레이션하는 자세한 내용은 레거시 구성을 현재 vSRX 아키텍처로 마이그레이션하기를 참조하십시오.
Junos OS CLI를 사용하는 것을 선호할 경우, 다음 내용은 전체 구성을 내보내거나 가져올지 또는 전체 구성의 일부인지에 따라 구성 설정을 내보내고 가져오는 다른 방법을 제공합니다. 구성 설정을 관리하려면 CLI 모드를 입력한 다음 명령을 실행하여 구성 모드를 입력합니다. 그런 다음 변경 사항을 커밋하려면 명령 커밋을 실행합니다.
vSRX 가상 방화벽 구성의 일부 내보내기
vSRX 가상 방화벽 구성의 일부만 내보내기 위해 다음을 수행합니다.
구성 모드를 입력하고 구성 트리의 맨 위에 있는지 확인합니다. 편집 다음 맨 위
그런 다음 명령을 실행
show <section>
하여 중괄호로 묶인 현재 구성을 가져옵니다.예를 들어, show interfaces를 실행하여 모든 인터페이스 구성을 표시할 수 있습니다. 또는 설정 모드에서 출력을 표시하기를 원한다면 명령을 실행합니다
show <section> | display set
.출력은 다음과 유사해야 합니다.
# show interfaces | display set set interfaces ge-0/0/0 description PRIVATE_VLANs set interfaces ge-0/0/0 flexible-vlan-tagging set interfaces ge-0/0/0 native-vlan-id 925 set interfaces ge-0/0/0 mtu 9000 ... [edit]
팁:세트 모드는 구성을 다시 생성하는 데 필요한 일련의 구성 모드 명령으로 구성을 표시합니다. 이는 구성 모드 명령을 사용하는 방법에 익숙하지 않거나 표시된 구성을 잘라내기, 붙여넣기 및 편집하려는 경우 유용합니다.
나중에 사용하기 위해 출력을 복사하여 로컬 작업 공간에 저장합니다.
전체 vSRX 가상 방화벽 구성 가져오기
Linux 브리지와 SR-IOV 모두에 대한 새로운 vSRX 가상 방화벽 기본 인터페이스 구성은 구성을 가져온 후 보존되어야 합니다. 예를 들어 SR-IOV의 경우 GE 인터페이스는 SR-IOV를 활성화하기 위해 보존해야 하는 호스트에 대한 특정 매핑을 가지고 있습니다. 이러한 인터페이스는 명령을 사용하여 show configuration interfaces
CLI에서 발견됩니다. SR-IOV 매핑에 대한 자세한 내용은 vSRX 기본 구성을 참조하십시오.
전체 vSRX 가상 방화벽 구성을 가져오려면 다음을 수행합니다.
vSRX 가상 방화벽 업그레이드한 후 앞서 저장된 구성 파일을 /var/tmp 폴더로 복사합니다.
구성 모드에서 로드 재정의 /var/tmp/backup.txt를 실행하여 전체 현재 구성을 /var/tmp 폴더 아래에 저장된 내용으로 대체합니다.
vSRX 가상 방화벽 구성의 일부 가져오기
Linux 브리지와 SR-IOV 모두에 대한 새로운 vSRX 가상 방화벽 기본 인터페이스 구성은 구성을 가져온 후 보존되어야 합니다. 예를 들어 SR-IOV의 경우 GE 인터페이스는 SR-IOV를 활성화하기 위해 보존해야 하는 호스트에 대한 특정 매핑을 가지고 있습니다. 이러한 인터페이스는 명령을 사용하여 show configuration interfaces
CLI에서 발견됩니다. SR-IOV 매핑에 대한 자세한 내용은 vSRX 기본 구성을 참조하십시오.
vSRX 가상 방화벽 구성의 일부만 가져오려면 다음을 수행합니다.
구성 모드에서 을(를) 실행
edit <section>
하여 원하는 구성 트리 수준으로 이동합니다.저장한 구성 설정을 복사하고 명령 로드 병합 터미널을 실행하여 구성을 현재 터미널과 병합합니다.
컨텐츠를 붙여넣고 Enter 키를 쳐 새로운 줄로 이동한 다음 Control + D를 입력하여 입력을 종료합니다.
출력은 다음과 유사해야 합니다.
# load merge terminal relative [Type ^D at a new line to end input] family inet { filter { input PROTECT-IN; } } load complete [edit interfaces lo0 unit 0]
또는 다음을 수행할 수도 있습니다.
구성을 병합하는 대신 이 구성 트리 수준에서 명령 삭제로 먼저 삭제한 다음 이전 구성을 복사하여 붙여넣기 위해 로드 병합 터미널을 수행하여 구성을 대체합니다.
로드 병합 터미널 상대 대신 로드 세트 터미널을 실행하여 설정 모드에서 구성을 편집합니다. 그런 다음 세트 모드에서 저장한 내용을 복사하여 붙여 넣습니다.
참고:항상 맨 위에서 실행
load set terminal
해야 합니다.