clusterxl分散構成設定ガイド check point r77...©2013 check point software technologies ltd....

©2013 Check Point Software Technologies Ltd.

ClusterXL分散構成設定ガイドCheck Point R77

チェック・ポイント・ソフトウェア・テクノロジーズ(株)

[Protected] For public distribution

2©2013 Check Point Software Technologies Ltd.

アジェンダ

1 ClusterXLとは

ネットワーク構成2

機器の準備3

冗長化構成の設定4



変更履歴

Rev1– R76ベースで作成

Rev2– R77ベースで作成

Rev2a– Cloning Groupの設定を追加



アジェンダ

1 ClusterXLとは


機器の準備3




ClusterXLとは

ClusterXLはCheck Pointが開発した、独自のソリューションです– ソフトウェアベースでGatewayの冗長化ソリューションを提供します

ClusterXLは次の機能を提供します– キープアライブ

– セッション同期

クラスタ・コントロール・プロトコル(CCP)を利用します– UDPポート8116を使用して冗長化を提供します

– CCPの許可をするためのファイアウォールのルールは必要ありません

ClusterXLを利用するためにはライセンスが必要です– Advanced Networking & Clustering Software Bladeのライセンスを保有しているか確認してください



アジェンダ

1 ClusterXLとは


機器の準備3




ネットワーク構成図


External:10.1.1.0/24

10.1.1.1

DMZ:192.168.254.0/24

Internal:172.16.1.0/24

VIP:10.1.1.100VIP:10.1.1.100

VIP:172.16.1.100VIP:172.16.1.100

VIP:192.168.254.100VIP:192.168.254.100

GW1:x.x.x.101GW2:x.x.x.102SYNC:192.168.1.0/24

MGMT:172.16.1.200

※このガイドで設定しているネットワーク構成です


ネットワーク構成(補足)

2台のSecurity Gatewayをインターネットとの境界に配置します– 2台のSecurity Gatewayを冗長化します

– インターネット側のポート、イントラネット側のポート、DMZのポート、セッション同期の全4ポートです

– それぞれのポートにバーチャルIPを設定しますが、セッション同期ポートには必要ありません

– セッション同期用には専用のポートを用意したほうがいいでしょう

Security Managementは内部ネットワークに配置します– Security ManagementをSecurity Gatewayと同居させ、2台で冗長化する場合は、Full-HA設定ガイドを参照してください

– Security Managementを独立させるとパフォーマンス面で有利です



設定情報のまとめ

Security Gateway(1台目)– Host名: gw1– eth0: 10.1.1.101(External)– eth1: 172.16.1.101(Internal)– eth2: 192.168.254.101(DMZ)– eth3: 192.168.1.101(Sync)– Default GW: 10.1.1.1

Security Gateway(2台目)– Host名: gw2– eth0: 10.1.1.102(External)– eth1: 172.16.1.102(Internal)– eth2: 192.168.254.102(DMZ)– eth3: 192.168.1.102(Sync)– Default GW: 10.1.1.1

Security Management– Host名: sm– eth0: 172.16.1.200– Default Gateway: 172.16.1.100


※サブネットはすべて24ビット


アジェンダ

1 ClusterXLとは


機器の準備3




Check Point R77(GAiA OS)のインストール

3台のマシンにバージョンR77をインストールします– 3台、共にインストールするISOイメージは同じものです

– インストール中の注意事項は次頁以降をご参照ください

R77のインストールガイドは別途用意があります



Security Gatewayのマネージメントポート

Security GatewayにR77をインストールする際、マネージメントポートのインターフェイスの設定があります

– マネージメントポートはSecurity Managementとの接続性が必要です

– 接続性がない場合、SICが確立できず制御出来ません

– Security ManagementからSecurity Gatewayへ接続できるネットワークインターフェースを選択し、設定してください

この説明書では、eth1をマネージメントポートとして設定しています



Security Gatewayサーバの準備

GAiAインストールガイドに従って、R77をインストールします

First Time Configuration Wizardのプロダクト選択では、Security Gatewayのみを選択し、「Unit is a part of a cluster」にチェックを入れ、typeにはClusterXLを選択します

引続き、インストールガイドに従ってインストールを完了します



Security Managementサーバの準備

GAiAインストールガイドに従って、R77をインストールします

First Time Configuration Wizardのプロダクト選択では、Security Managementのみを選択します

引続き、インストールガイドに従ってインストールを完了します



IPアドレスの設定(gw1)

インストール完了後、GAiAポータルにログインし、Network Interfacesに移動します

設定情報を元に、各インターフェースにIPアドレスを付与します



IPアドレスの設定(gw2)

gw1同様に、インストール完了後、GAiAポータルにログインし、Network Interfacesに移動します

設定情報を元に、各インターフェースにIPアドレスを付与します



その他設定(共通)

Default Gateway– Network Management -> IPv4 Static Routesにあります

– 正確なトポロジーを取得できるようにするためにも、設定することが望ましいです

システム時刻– System Management -> Timeにあります

– 2台のSecurity Gatewayを同期するにあたり、時間が狂っていると同期できなくなります

– なるべく正確な時間を得るためにも、NTPを使った時刻同期をお勧めします



Cloning Groupの設定(1)

Cloning Groupの機能を利用することで、GAiA OSの設定をクラスター間で同期させることが出来ます(本機能は必須ではありません)

– 左側のペインのSystem ManagementからCloning Groupを選択します

– Start Cloning Group Creation Wizardをクリックします




ウィザードが立ち上がります– Cloning group follows ClusterXLを選択し、Nextをクリックします




Cloning Group Nameに任意の名前をつけます

cadminユーザ(自動的に作成されます)のパスワードを設定します




Cloning Groupが作成されました– 同様の設定をgw2でも繰り返し行います




この時点では、ClusterXLの設定が終了していないため、Cloningが行われていない状態です

ClusterXLを使ったクラスターオブジェクトを作成のあとに、ポリシーインストール後にステータスを確認して下さい

Cloning Group機能によって同期する項目は、cadminユーザでログインし設定します(後述)

– Cloning Group機能によって同期する項目は、adminユーザからは変更できなくなります



アジェンダ

1 ClusterXLとは


機器の準備3




事前準備

SmartConsoleのインストール– SmartConsoleはメディアに含まれる他、GAiAのポータルからもダウンロードできます

– サポートしているOSはWindowsのみです

これから作成するClusterオブジェクトの情報を整理しておきます– オブジェクト名: gw-cluster– ExternalバーチャルIP: 10.1.1.100/24– InternalバーチャルIP: 172.16.1.100/24– DMZバーチャルIP: 192.168.254.100/24– セッション同期用Syncセグメント: 192.168.1.0/24



SmartDashboardの起動

Windowsのプログラムメニューから、Check Point R77にあるSmartDashboardを起動し、セットアップ時に入力したユーザ名、パスワード、Security ManagementのIPアドレスを入力します



SmartDashboardの起動(初回)

初めて、Windowsから接続する場合、Fingerprintの確認画面が表示されますので、Approveを押して継続します



評価ライセンスの確認

初期インストール後、15日間は評価期間としてフル機能がご利用いただけます

– 評価期間を過ぎますと、ログインできなくなりますのでご注意ください

– 引き続き評価を行いたい場合は、1ヶ月の猶予がある評価ライセンスをご利用ください

ダイアログを次回から表示しないようにするには、Don’t show this againにチェックを入れてOKを押します



Clusterオブジェクトの作成(1)

Network ObjectsのCheck Pointを右クリックし、Security Cluster -> Check Point Appliance/Open Serverと進みます




ここでは、ウィザードを使用してClusterオブジェクトを作成します

Clusterオブジェクト名とバーチャルIPを入力し、冗長化の方式にCheck Point ClusterXLを選択、HA構成を選択します




Clusterオブジェクトに参加させるGatewayを登録します

Addをクリックし、New Cluster Member…を選択します




1台目のSecurity Gatewayのオブジェクト名(ホスト名と同じが望ましい)とIPアドレス、セットアップ時に設定したSICのアクティベーションキーを入力し、SICをInitializeします

SICが確立出来れば、Trust establishedにステータスが変わります




1台目同様に、2台目もSICを確立させます

SICがうまく確立できない場合は、ManagementからGatewayへの接続性を確認してください




ClusterオブジェクトにGatewayが追加され、SICが確立された状態です

3台以上での冗長化を行う場合は、この作業を繰り返します




Gatewayに設定されているIPアドレスをもとに、ネットワークの利用方法を設定していきます

192.168.1.0/24は同期セグメントですので、同期の設定をします




192.168.254.0/24はDMZセグメントですので、バーチャルIPを入力しクラスターインターフェイスの設定を行います




172.16.1.0/24はInternalセグメントですので、DMZ同様にクラスターインターフェイスの設定を行います




10.1.1.0/24はExternalセグメントですので、DMZ同様にクラスターインターフェイスの設定を行います



Clusterオブジェクトの補足

Private use of each member (don’t monitor members interfaces)– VIPは使用しません(実機に設定したIPアドレスを使用)– Clusterメンバーの監視は行いません

– このインターフェイスが落ちたり、他のメンバーのインターフェイスが落ちたりしても、フェイルオーバーしません

Private use of each member (monitor members interfaces)– VIPは使用しません(実機に設定したIPアドレスを使用)– Clusterメンバーの監視は行います

– このインターフェイスが落ちたり、他のメンバーのインターフェイスが落ちたりした場合、フェイルオーバーします




Clusterオブジェクトの作成が終了しました



Firewallルールの作成

Firewallルールを作成しないとポリシーのインストールが出来ません– 最低限、Any/Any/Any/Dropのルールを作成しておきましょう

– 冗長化に必要な通信はImpliedルールで許可されていますので、追加のルールは必要ありません


TrackはLogに変更しましょう


ポリシーのインストール

ポリシーをインストールします– ポリシーをインストールしない限り設定は反映されません



ステータスの確認

SmartView Monitorでステータスの確認ができます



Cloning Groupの確認(設定した場合のみ)

GAiAポータルからログインし、Cloning Groupの状態を確認します– Synchronization Completedが出ていれば同期しています

– 同期される項目はadminユーザからは変更できなくなります



Cloning Groupの同期設定(1)

同期される項目の設定変更を行うためには、GAiAポータルにユーザ名cadmin、パスワードにCloning Groupを作成した時に入力したパスワードでログインします



Cloning Groupの同期設定(2)

cadminユーザでログインすると、同期される項目のみ表示され、設定変更が可能です(自動的にメンバー間で設定が同期されます)

同期する/同期しない項目はCloning Groupから変更可能です


チェックを外してSet Shard Featuresをクリックすると

同期対象から外れます


フェイルオーバーの動作確認

実際にケーブルを抜いたりして、フェイルオーバーさせて動作を確認します

SmartView Trackerにログ情報が残っていることを確認します



詳細設定

冗長化に関する詳細な設定はクラスターオブジェクトのプロパティから行えます



ネットワーク構成の変更

ネットワーク構成に追加や変更があった場合、必ずトポロジーを設定し直さなければなりません

クラスターオブジェクトのプロパティからTopologyを選択し、Editをクリックします



Topologyの編集

Editをクリックすると、定義されているTopologyの一覧が表示されます

– 事前にOS側の設定変更は完了させておきます

ネットワークの追加、変更、削除などを行います

作業が終了したら、ポリシーをインストールし変更内容を反映させます



トラブルシューティング

cphaprob state– クラスターの状態を確認します

cphaprob [-a] if– クラスターのインターフェイスの状態を確認します

cphaprob [-i[a]] [-e] list– クリティカル・デバイスの状態を確認します

SmartView Trackerのログを参照します– SmartView Trackerでクラスターに関するログを確認します


※ClusterXL Admin Guideを合わせてご参照ください

clusterxl分散構成設定ガイド check point r77...©2013 check point software technologies ltd....

Documents