Juniperのネットワーク機器は、NetScreenOSというOSで、独自コマンドを使っている。

その中で、ファイヤーウォールの機能としてポリシーの設定がある。

どこどこからの通信は、あそこにだけ許可するよ、という設定。

 

今回は、「既に許可設定されてあるポリシーを変更したい場合、定義の更新すれば良いよ。」という話。

 

【アドレスブック(ただの定義)】

set address Untrust AAA 100.100.100.100 255.255.255.255

→機器の中でUntrust(外部)のネットワークとしてAAAという名前が存在するよ、そいつのグローバルIPは100.100.100.100だよ、という設定。

set address trust BBB 192.168.1.1 255.255.255.0

→機器の中でTrust(内部)のネットワークBBBでIPは192.168.1.1だよ、という設定。

set address trust CCC 192.168.2.1 255.255.255.0

→同じくCCCが存在するよ、という設定。

set address trust DDD 192.168.3.1 255.255.255.0

→同じくDDDが存在するよ、という設定。

 

【Policy ID 1】

policy id 1 from WAN to trust AAA BBB ANY permit

set policy id 1

set dst-address CCC

set dst-address DDD

 

上記の様に、外部NWと定義したAAAから、内部NWと定義したBBB・CCC・DDDへの通信許可がされていたとする。

 

これが何かしらの変更(事務所の階の移動とかIPの整理とか)で、CCCのローカルIPが、

192.168.2.1/24　→　192.168.10.1/24　に変更しなければならない場合。

 

この

set address trust CCC 192.168.2.1 255.255.255.0

設定を、

set address trust CCC 192.168.10.1 255.255.255.0

と上書きすれば良い。

アドレスブックの更新だけで済む。

アドレスブックが大量にある場合、ブラウザでマウス操作で行うよりも、エクセルなりテキストなりで大量にコマンドを作って流し込んだ方が早いし検証も楽。

 

だがこういうのは大抵”並行期間”が発生する場合が多い。

”1か月だけ変更前と変更後の両方使える様にしたい”というケース。

 

その際は、新たにアドレスブックを作成し、そのアドレスブックをPolicyに追加する。

不要になったタイミングで、古いアドレスブックを削除する。

 

set address trust EEE 192.168.10.1 255.255.255.0

→新たな定義EEEを作成。

set policy id 1

→対象のPolicy編集モードへ。

set dst-address EEE

→新定義を宛先アドレスとして追加。

unset dst-address CCC

→古い定義を削除。

 

とする必要がある。

 

コマンドは投入した時点で有効になる為、慎重に操作を行う必要がある。

文字にするとややこしいかもしれないが、やってみると数分で終わる作業です。

はい。