(O+P)ut

アウトプット



(O+P)ut

エンジニアのアウトプット

【Vyatta】config-syncに新たなルールを追加してconfig-sync errorを防ぐ

スポンサーリンク

やりたいこと

例えばファイアウォールのためにIPアドレスのグループを定義する以下の定義を

# set resources group address-group group-name { address address | description desc }

config-sync機能で同期をかけたい。

尚、同期設定は完了していることとする。

環境情報
  • Debian 4.19.150-0vyatta1

やり方

Config-syncを有効にした状態で新たなルールを有効化すると

# set system config-sync sync-map SYNC rule 4 action include
# set system config-sync sync-map SYNC rule 4 location 'resources group'

該当項目のルール追加時に同期がされる。

# set resources group address-group XX address 10.X.X.X/24

尚、削除時でも同様に同期が行われる。

# delete resources group address-group XX address 10.X.X.X/24

以下、補足です。

補足

設定を片側に同期をかけるも以下のようにエラーが出ることがあります。

# commit
syncing configuration to remote-router ..
config-sync error ..:Remote:..: edit_config_failed:[security firewall name VLANX-IN rule X destination address X]
Address group has not been configured
[[security firewall name VLANX-IN rule 10 destination address X]] failed.
Validate failed!

これはconfig-syncの同期項目に入っているものと入っていないものがあることが原因で起こります。

上の例ではaddress-groupを利用したfirewallの定義を片側に送るもaddress-group部分は同期がかからないため失敗しているため、解決策に記載の通りで同設定に関しても同期をかけるようにルールに追加する必要があります。

以上。