設定の保存と復元について

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Backing Up and Restoring Configurations
https://live.paloaltonetworks.com/t5/Featured-Articles/Backing-Up-and-Restoring-Configurations/ta-p/...

 

パロアルトネットワークス次世代ファイアウォールのバックアップからの設定情報の復元方法、保存とコミットの違い、Device > Setup > Operations > Configuration Management配下の様々なアクションについて学びます。

 

 

2016-09-20_14-32-17.jpg

 

 

保存とコミットの違い

 

変更を設定情報ファイルに保存することと、変更をファイルにコミットすることは大きな違いがあります。パロアルトネットワークスは管理者が将来利用目的で、変更したり、それらを保存したりすることができます。しかしながら、管理者が変更を設定ファイルにコミットした場合、変更は、実行中の設定に上書きされ、即有効となります。

 

それゆえに、設定変更を加える前に、 実行中の設定を保存することをお勧めします。シリアスな設定ミスをして、バックアップを取得しておかなかったために、変更を戻したり、前回の設定に引き戻しすることが困難になります。

 

設定の保存、リストアについて

パロアルトネットワークスのオペレーティングシステムは管理者に以下のオプションを提供します:

 

 

検証

候補設定の検証

戻す

最後に保存した設定に戻す

 

実行中の設定に戻す

保存

名前付き設定スナップショットの保存

 

候補設定の保存

ロード

名前付き設定スナップショットのロード

 

設定バージョンのロード

エクスポート

名前付き設定スナップショットのエクスポート

 

設定バージョンのエクスポート

 

デバイス状態のエクスポート

インポート

名前付き設定スナップショットのインポート

 

デバイス状態のインポート

 

検証候補設定の検証

 

候補設定のエラーをチェックします。パロアルトネットワークスOSでは、管理者がコミットしていない、保存した設定ファイルの検証をすることができます。検証プロセスでは、設定情報上の、可能性のあるエラー、競合を精査します。管理者には出力結果が提示されます。この機能は、設定ミスや、間違った設定情報ファイルをロードすることを避けるのに、役立ちます。

 

戻す

 

もし設定情報の間違いをしてしまった場合に、オペレーティングシステムは最後に保存した設定情報、実行中の設定に即座に戻すことができます。最後に保存した設定情報、実行中の設定に違いがある場合、これらの2つのオプションは、ワンクリック復元と呼びます。どのファイルから復元するかは選択できません。両方のオプションは、2つの違う情報ソースから設定を復元します:

 

  • 保存した設定情報から戻すのは、xmlファイルから復元します。
  • 実行中の設定から戻すのは、running-config.xmlファイルから復元します。

 

最後の保存した設定情報に戻す

 

戻すオプションは、ローカル装置上の最後に保存した候補設定から復元します。現在の候補設定は上書きされます。

候補設定が保存されていない場合、エラーが発生します。重要な装置を設定している際に、素早く復元する便利な機能です。

 

これは最初に表示されるプロンプトで、復元を継続していいか聞いています。

2016-09-20_14-33-41.jpg

 

2個目のメッセージでは、どのファイルから復元したか通知します。

 

2016-09-20_14-35-23.jpg

 

パロアルトネットワークスの装置は、実行中の設定のスナップショットを生成し、ハードディスク上に保存します。実行中の設定の新しいバージョンは、変更したり、コミットした際に毎回作られます。これはとても便利な機能で、管理者が意図していない変更を加えた場合に素早く設定情報を以前の状態に戻すことができます。

 

実行中の設定に戻す

 

このオプションは、running-config.xmlから設定を復元します。現状の実行中の設定は上書きされます。

 

これは最初に表示されるプロンプトで、復元を継続していいか聞いています。

 

4.png

 

2個目のメッセージでは、どのファイルから復元したか通知します。

 

5.png

 

 

設定ファイルを保存する

 

設定ファイルを保存する方法は2つあります。

 

  • 名前付き設定スナップショットを保存する。
  • 候補設定を保存する。

 

これらはどういう違いがあって、なぜ2つのオプションがあるのでしょうか?

 

名前付き設定スナップショットの保存オプションは候補設定をファイルに保存します。保存している設定情報ファイルは実行中の設定に上書きされません。この機能は、バックアップファイルを作成したり、将来的に変更、もしくはラボ環境で試験をするためにダウンロードされた試験用の設定情報ファイルとして利用するのにとても便利です。ファイルに名前付けすることも、既存のファイルに上書きすることも可能です。注意:実行中の設定(running-config.xml)には上書きできません。

 

候補設定を保存

候補設定をフラッシュメモリ(ページトップにある、Saveをクリックするのと同様の意味)に保存します。

 

名前付き設定スナップショットのロード

 

候補設定を実行中の設定(running-config.xml)もしくは、以前インポートされた、保存された設定情報からロードします。ロードすべきファイルを選択します。現行の候補設定は上書きされます。

 

設定バージョンのロード

特定バージョンの設定情報をロードします。

 

名前付きされた設定スナップショットのエクスポート

実行中の設定情報(running-config.xml)もしくは過去に保存、インポートされた設定情報をエクスポートします。エクスポートすべきファイルを選択します。ファイルを開く、もしくはネットワーク上のロケーションに保存します。

 

設定情報バージョンのエクスポート

特定バージョンの設定情報をエクスポートします。

 

Panoramaおよびデバイスの設定バンドルのエクスポート(Panoramaのみ)

Panoramaと管理している各々のファイアウォールの最新バージョンの実行中の設定情報バックアップを手動で生成、エクスポートします。自動的に生成、エクスポートするバンドル設定情報を日次でSCPもしくはFTPサーバに保存する方法については“Scheduling Configuration Exports"を参照ください。

 

デバイス状態のエクスポート(ファイアウォールのみ)

この機能は設定情報と動的情報をGlobalProtectポータルにて、大規模なVPN機能を有効設定しているファイアウォールからエクスポートする場合に使われます。もしポータルが失敗に遭遇している場合に、エクスポートされたファイルをインポートすることによって、ポータルの設定や、動的情報を復元することができます。

 

エクスポートされたファイルには、ポータルが管理しているサテライトデバイスリストや、エクスポートされたタイミングでの実行中の設定情報、そして、全ての証明書情報(Root CA, サーバ情報、サテライト証明書)が含まれます。

 

重要 : 手動で、機器ステートのエクスポートを走らせるか、ファイルをリモートサーバにエクスポートするスケジュールされたXML APIスクリプトを作成する必要があります。サテライト証明書がしばしば変更になる可能性があるため、これは定期的に実施する必要があります。

 

デバイス状態ファイルをCLIから作成するためには、設定モードから、デバイス状態の保存を実行する必要があります。

ファイル名はdevice_state_cfg.tgzとなり、/opt/pancfg/mgmt/device-stateディレクトリに保存されます。ファイルをエクスポートするオペレーショナルコマンドは、scp export device-state(tftp export device-stateも利用可能)です。XML APIを使用した情報については、XML API Usage Guideを参照ください。

 

名前付き設定スナップショットのインポート

設定情報ファイルをネットワークのロケーションからインポートします。Browseをクリックし、設定すべき設定情報ファイルを選んでください。

 

デバイス状態のインポート (ファイアウォールのみ)

エクスポートオプションを使ってエクスポートされたデバイス状態をインポートします。これは、実行中の設定、Panoramaテンプレート、共有のポリシーを含みます。もし装置がGlobal Protectポータル設定がある場合、エクスポートされたファイルは、証明局(CA)情報、サテライト装置のリスト、そしてそれらの認証情報を含みます。

 

著者: rchougale