Palo Alto におけるコンフィグの種類
Palo Alto ファイアウォールでは以下の 2 種類のコンフィグがあります。
running config- 現在稼働中のコンフィグ
- 機器起動時に読み込まれるコンフィグ
candidate config- 設定変更時にメモリに保存される、設定変更中のコンフィグ
- 機器動作へは影響しない
設定変更とコミット
Palo Alto ファイアウォールで設定変更を行った場合、その設定変更は candidate config に反映されます。candidate config が変更されただけでは機器の動作は変わりません。機器の動作に反映させる、つまり running config に設定変更を反映させるためには、コミットという操作を行う必要があります。コミットを行うことで candidate config の内容が running config に上書きされ、機器動作に反映されます。
コミットの実行方法
コミットは GUI と CLI のどちらからでも実行できます。
GUI で行う場合は、画面右上のコミットをクリックすることで実行できます。
CLI で行う場合は、コンフィギュレーションモードで commit コマンドを実行します。
admin@PA-200# commitなお Palo Alto ファイアウォールのコミット処理には 1,2 分単位で時間を要するのでこの点留意してください。
candidate config と running config の差分確認
以下のコマンドで、candidate config と running config の差分を表示できます。
- オペレーショナルモードで実行する場合
show config diff
- コンフィギュレーションモードで実行する場合
run show config diff
admin@PA-200# run show config diff
Addr_10.10.1.1_32 {
ip-netmask 10.10.1.1/32;
}
- Addr_10.11.1.100_32 {
- ip-netmask 10.11.1.100/32;
- }
Addr_10.1.2.0_24 {
ip-netmask 10.1.2.0/24;
}
Addr_10.1.3.0_24 {
ip-netmask 10.1.3.0/24;
}
+ Addr_10.20.30.0_24 {
+ ip-netmask 10.20.30.0/24;
+ }
}
}
}
[edit]行頭に「-」と表示されている行は削除された設定、「+」と表示されている行が追加された設定です。
candidate config の削除(設定変更の取り消し)
candidate config に行った設定変更を取り消し、現在の running config と同じ内容まで戻すことができます。
GUI で設定変更を取り消す場合は、画面右上の [Config → 設定を元に戻す] から実行できます。
CLI で設定変更を取り消す場合は、コンフィギュレーションモードで revert config コマンドを実行します。
admin@PA-200# revert config
All changes were reverted from configuration
[edit]
コメント