#Brocade 5400 vRouter config-syncの設定方法
Brocade 5400 vRouter(以下vyatta)でつまったので備忘録的に書きます。
基本この記事では、vyattaをVRRPでマスター・バックアップ2台構成されていること
念頭に記事を書いています、予めご了承ください。
##config-syncとは
vyattaの設定同期のための機能です、指定した設定のみ同期されます。
仮想的に1台に見せる機能ではなく、config-syncはあくまで設定同期を行うためだけの機能です。
冗長化の機能は別途VRRPが用意されています。
また、config-syncは設定によって
マスター・バックアップ関係なくどちらからでも設定反映させることもできます。
#config-sync事前設定
##https有効化
vyattaではconfig-syncはhttpsでやりとりされます。
そのためhttpsを有効化しなければconfig-syncは行なえません
※httpsを有効化=GUI有効化
コンフィグモードへ移行させ以下のコマンドを入力してください。
#set service https
これだけでconfig-syncの設定として大丈夫ですが、
このままだと、どのIPアドレスでもGUIでアクセスできてしまい
セキュリティ的にあまりよろしくありません。
ですので、以下のコマンドを入力すると特定IPアドレスをGUI用のアクセス先に設定できます。
#set service https listen-address <<IPアドレス>>
ここまでコマンド入力したら一旦設定を適用してください
#commit
※vyattaでは多くの設定を適用させようとすると、うまく適用されない場合があります。
念の為こまめに適用が安全です。
##config-sync用ユーザー作成
config-syncではユーザーアカウントが必要になります。
5400の仕様上パスワードが暗号化されないので
ログインユーザーとは別途用意した方がおすすめです。
以下のコマンドで設定を反映させたい機器にユーザーを作成してください。
#set system login user <<任意のユーザー>> authentication plaintext-password <<任意のパスワード>>
#commit
#config-sync
冒頭でも説明しましたが、config-syncでは任意にマスター・バックアップどちらからでも、
設定を反映させることができます。
ですので、要件に伴い
・マスター・バックアップ両方から設定反映
・マスター・バックアップ片方のみから設定反映
以上のことが実現できます。
##config-sync設定コマンド
設定の反映元としたい機器に以下のコマンドを入力してください。
#set system config-sync remote-router
#set system config-sync remote-router <<宛先IPアドレス>> username <<宛先機器ユーザー名>>
#set system config-sync remote-router <<宛先IPアドレス>> password <<宛先機器パスワード>>
#commit
※この際のIPアドレスは宛先機器にて[set service https listen-address ]コマンドを
設定した場合、指定したIPアドレスでなければ、反映が失敗します。ご注意ください。
##sync-map設定
config-syncではsync-mapで反映させたい設定を定義できます。
sync-mapでは以下の仕様があることを認識してください
・ACLのように[rule]のシーケンス番号の順序で設定の反映が動きます
・[action include]で反映させたい設定定義でき、[action exclude]で設定の反映除外できます
・定義させたい設定項目は[location]で設定できます。設定項目が小項目の場合で['']囲まないと適用できません。
・[location system]の場合、config-syncの設定まで反映はできません。
まず以下のコマンドでsync-map名を設定してください
#set system config-sync sync-map <<任意の名前>>
次に設定の順序と動作、項目を設定します。
#set system config-sync sync-map <<任意の名前>> rule 1 action [include/exclude]
#set system config-sync sync-map <<任意の名前>> rule 1 location <<任意の設定項目>>
#commit
ここで注意したいのが仕様上[location]で指定した項目はすべて反映されてしまいます。
例えば以下の設定例をご確認ください
#set system config-sync sync-map sample rule 1 action include
#set system config-sync sync-map sample rule 1 location service
#commit
この設定だと、大項目[service]の設定はすべて反映されてしまいます。
先程設定したhttpsの設定やsshの設定等まで全て反映されてしまうのです。
ですので設定を除外したい場合は[exclude]を使用して以下の例のようにします。
#set system config-sync sync-map sample rule 1 action exclude
#set system config-sync sync-map sample rule 1 location 'service https'
#set system config-sync sync-map sample rule 2 action exclude
#set system config-sync sync-map sample rule 2 location 'service ssh'
#set system config-sync sync-map sample rule 3 action include
#set system config-sync sync-map sample rule 3 location service
#commit
シーケンス番号順で設定の反映が動きますのでhttpsの設定やsshの設定を除外でき、
それ以外の設定を全て反映できます。
sync-mapを設定し終えたら最後に以下のコマンドでconfig-syncと紐付けてください。
#set system config-sync remote-router <<宛先IPアドレス>> sync-map <<sync-map名>>
#commit
#save
以上でconfig-syncの設定方法は終わりです。