物理IFにFirewall Ruleを適用すれば、その物理IF上の論理IF(VIF:VLANInterface）にも同じFirewall Ruleが適用されますか？

Question 1

Answer

適用されません。

物理IFに提供するFirewall Ruleと論理IF(VIF:VLANInterface)に適用するFirewall Rule は異なります。外部からの不用意な攻撃を防ぐためにも、論理IF(VIF:VLANInterface)作成後は論理IF(VIF:VLANInterface)に対してもFirewall Ruleを適用してください。

Config例

   interfaces{
        dataplane dp0s4 {
             address 172.16.30.3/24
             firewall {
                  in Firewall_Rule_A   ★★物理IFへのFirewall Rule適用
             }
             vif 100 {
                   address 172.16.100.100/24
                   firewall {
                     in Firewall_Rule_A   ★★論理IFへのFirewall Rule適用
                   }
             }
        }
    }

コマンド設定例
set interfaces dataplane dp0s4 address '172.16.30.3/24'
set interfaces dataplane dp0s4 firewall in 'Firewall_Rule_A' ★★物理IFへのFirewall Rule適用
set interfaces dataplane dp0s4 vif 100 address '172.16.100.100/24'
set interfaces dataplane dp0s4 vif 100 firewall in 'Firewall_Rule_A' ★★論理IFへのFirewall Rule適用
set security firewall name Firewall_Rule_A default-action 'drop'

(参考）Brocade vRouter5600のマニュアル
　
- Firewallの設定
- VIFの設定

このFAQは参考になりましたか？

参考になった参考にならなかった

Answer

本事象は、解消しました(2016/6/14)

事象の概要

VRRPを設定したファイアウォール間において、仮想IPアドレスへの通信がまれに不可となる事象が発生致します。この事象が起きた場合、バックアップルータ役のファイアウォールへ通信が切り替わることは無く、マスタルータ役のファイアウォールへの通信も自動的には回復いたしません。通信の回復はお客様にて、マスタルータ役のファイアウォールの再立ち上げが必要となります。

ご迷惑をおかけいたしますが、VRRPをご使用頂く際は、改修が完了するまでは上記の事象および下記の対処方法につきまして十分ご留意いただき、ご使用ください。

なお、ご使用頂く際には仮想IPアドレスへの通信許可設定が必要となりますので、サービス説明書(ファイアウォール(Brocade 5600 vRouter))をご参照いただき、設定作業を行ってください。

対処方法

Enterprise Cloud 2.0ポータルから、マスタルータ役のファイアウォールを再起動していただく必要がございます。

ページを開く

Answer

本事象は全て解消いたしました。(2017/1/17)

事象概要

VRRPを設定した複数のファイアウォール(Brocade 5600 vRouter)を全て同時に削除すると、下記の事象が発生する可能性がございます。

VRRPの仮想IPアドレスとして割り当てたIPアドレスの再利用が出来なくなる
ファイアウォール(Brocade 5600 vRouter)に接続していたロジカルネットワークを削除出来なくなる

ご迷惑をおかけいたしますが、VRRPを設定したファイアウォール(Brocade 5600 vRouter)を削除する際は、上記の事象および下記の対処方法につきまして十分ご留意ください。

対処方法

本事象を回避するためには、ファイアウォール(Brocade 5600 vRouter)を１つずつ削除して頂く必要がございます。PortalもしくはAPIでの削除完了確認後、次のファイアウォール(Brocade 5600 vRouter)を削除頂くように御願い致します。
もし本事象が発生した場合、チケットにてお問い合わせ下さい。弊社にて、上記事象の復旧作業を実施致します。

ページを開く

Answer

事象概要

VRRP構成を設定した場合に、下記の事象が発生する可能性がございます。

マスタールーターとバックアップルーターの意図しない切替わりがまれに発生する
VRRPを利用する一部アプライアンスによっては正常な切替わりが行われない

ご迷惑をおかけいたしますが、VRRPを利用したシステムを構成する際は、上記の事象にご留意の上、対処方法に記載する設定を実施ください。

対処方法

2点目の「VRRP Advertisementの送信間隔を 20sec に設定する」につきましては、2017年8月31日時点より対応不要でございます。詳細は制約事項(https://eclkc-lab3ec.gcv-cloud.com/documents/service-descriptions/firewall/firewall.html#id29) の冗長化（VRRP）関連をご覧ください。

なお、対処方法「ロジカルネットワークのDHCP設定を有効にする」につきましては、引き続きご対応をお願い致します。

ロジカルネットワークのDHCP設定を有効にする

DHCP設定が「無効」の場合には、弊社ネットワークにおいてソースのアドレスが0.0.0.0でARPリクエストが実施されます。
この場合、一部アプライアンスでARPリプライしないことが確認されています。このため、VRRP構成時はvrrp設定するロジカルNWのDHCP設定を「有効」としていただくようお願いします。DHCPを有効にした場合、本機能の利用としてIPアドレスを１つ消費しますので、ご注意ください。

【対処不要】VRRP Advertisementの送信間隔を 20sec に設定する

初期設定では基盤側において、VRRP通信がまれに不安定になることが確認されております。この場合、アプライアンスの仕様によっては、切替わりにより通信断となることがありますが、上記の値に設定いただくことで回避できます。

※ECL2.0の対象サービス：ファイアウォール(Brocade 5600 vRouter) ファイアウォールの詳しい設定方法は、「チュートリアルBrocade 5600 vRouter Configuration ガイド」をご確認ください。
BackupがMasterをDOWNと判定するのに要する時間は、20sec×3の60secとなります。

ページを開く

Answer

事象概要

ファイアウォール(Brocade 5600 vRouter)メニューにおいて、下記のカスタマーポータル操作時にステータスが「エラー」となる事象が発生する場合がございます。

ファイアウォールの新規作成
ファイアウォールのプラン変更
ロジカルネットワークへのインタフェースの接続および、インタフェースの切断
カスタマーポータルからの再起動

対処方法

ステータスが「エラー」となった場合、お客様にてファイアウォール(Brocade 5600 vRouter)を削除・再作成して頂く必要がございます。また、バージョン3.5R6S3に比べてバージョン4.2R1S1では、システムの安定性が向上しており、本エラー事象の発生頻度は低減されております。

なお、ファイアウォール(Brocade 5600 vRouter)メニューをご利用頂く際は、必ずコンフィグのバックアップを取得して下さい。

ページを開く

Answer

Brocade 5600 vRouterの以下機能において、パケットフィルタリングなどパケット単位での
ログを取得する場合、トラフィック量が増加すると通信に影響が出ることが確認されています。
対象となるパケット単位でのログオプションは以下です。

・Packet Filtering(firewall)
・NAT
・Policy-based Routing
・QoS

これはBrocade 5600 vRouter のLogオプションがパケットごとにログファイルへ
書込みを行う仕様であるため、トラフィック量が増加すると書込み処理も増加し、
その処理のために通信に影響を及ぼしているためです。

Brocade社より、Logオプションを利用される際にはログ取得対象を必要最低限に
留めることを推奨するとの報告を受けております。
Logオプションをご利用の際にはBrocade 5600 vRouterへのトラフィック状況を
ご考慮の上、性能への影響確認を事前に実施してください。

性能影響は、お客さまの利用状況によってことなります。
お客さまの利用状況を加味いただき、Monitoringサービスや、Brocade 5600 vRouter
でのStatistics機能を参考にしてください。

参考：

Brocade社からのログ取得時の注意事項ドキュメント（Technical Bulletin)

各機能におけるLogオプション設定とは以下を指します（version4.2R1を例に記
載）。
********************************************************
1.Packet Filtering(firewall)

set security firewall name FWNAME default-log
set security firewall name FWNAME rule NUMBER log

マニュアル：
https://eclkc-lab3ec.gcv-cloud.com/files/firewall/4.2/brocade-5600-vrouter-firewall-4.2r1-v01.pdf

2.NAT

set service nat destination rule NUMBER log
set service nat source rule NUMBER log

マニュアル：
https://eclkc-lab3ec.gcv-cloud.com/files/firewall/4.2/brocade-5600-vrouter-nat-4.2r1-v01.pdf

3.Policy-based Routing

set policy route pbr PBRNAME rule NUMBER log

マニュアル：
https://eclkc-lab3ec.gcv-cloud.com/files/firewall/4.2/brocade-5600-vrouter-policy-based-routing-4.2r1-v01.pdf

4.QoS

set policy qos name QOSNAME shaper class CLASSID match RULENAME log

マニュアル：
https://eclkc-lab3ec.gcv-cloud.com/files/firewall/4.2/brocade-5600-vrouter-qos-4.2r1-v01.pdf

5．Monitoring
チュートリアル
https://eclkc-lab3ec.gcv-cloud.com/documents/tutorials/rsts/Monitoring/index.html

6．Web　GUI
マニュアル：
https://eclkc-lab3ec.gcv-cloud.com/files/firewall/4.2/brocade-5600-vrouter-qsg-4.2r1-v01.pdf

このFAQは参考になりましたか？

参考になった参考にならなかった

ページを開く

Question 2

ファイアウォールにおいて、VRRPを設定した際の事象ファイアウォール (Brocade 5600 vRouter)

Question 3

VRRPを設定した複数のファイアウォールを同時削除した時の事象ファイアウォール (Brocade 5600 vRouter)

Question 4

VRRPを構成した際の設定についてネットワーク型セキュリティ, ファイアウォール (Brocade 5600 vRouter), ロードバランサー, 仮想サーバー

Question 5

ファイアウォールのカスタマーポータル操作時にエラーとなる事象についてファイアウォール (Brocade 5600 vRouter)

Question 6

Brocade 5600 vRouterでログを取得する際の注意事項はありますか？ECL2.0, ファイアウォール (Brocade 5600 vRouter)

よくある質問

物理IFにFirewall Ruleを適用すれば、その物理IF上の論理IF(VIF:VLANInterface）にも同じFirewall Ruleが適用されますか？

サポート情報

Enterprise Cloud 2.0

Enterprise Cloud 1.0

サービスの改善にご協力をお願いいたします

ありがとうございました