clusterxl分散構成設定ガイド check point r77...©2013 check point software technologies ltd....
TRANSCRIPT
©2013 Check Point Software Technologies Ltd.
ClusterXL分散構成設定ガイドCheck Point R77
チェック・ポイント・ソフトウェア・テクノロジーズ(株)
[Protected] For public distribution
2©2013 Check Point Software Technologies Ltd.
アジェンダ
1 ClusterXLとは
ネットワーク構成2
機器の準備3
冗長化構成の設定4
[Protected] For public distribution
3©2013 Check Point Software Technologies Ltd.
変更履歴
Rev1– R76ベースで作成
Rev2– R77ベースで作成
Rev2a– Cloning Groupの設定を追加
[Protected] For public distribution
4©2013 Check Point Software Technologies Ltd.
アジェンダ
1 ClusterXLとは
ネットワーク構成2
機器の準備3
冗長化構成の設定4
[Protected] For public distribution
5©2013 Check Point Software Technologies Ltd.
ClusterXLとは
ClusterXLはCheck Pointが開発した、独自のソリューションです– ソフトウェアベースでGatewayの冗長化ソリューションを提供します
ClusterXLは次の機能を提供します– キープアライブ
– セッション同期
クラスタ・コントロール・プロトコル(CCP)を利用します– UDPポート8116を使用して冗長化を提供します
– CCPの許可をするためのファイアウォールのルールは必要ありません
ClusterXLを利用するためにはライセンスが必要です– Advanced Networking & Clustering Software Bladeのライセンスを保有しているか確認してください
[Protected] For public distribution
6©2013 Check Point Software Technologies Ltd.
アジェンダ
1 ClusterXLとは
ネットワーク構成2
機器の準備3
冗長化構成の設定4
[Protected] For public distribution
7©2013 Check Point Software Technologies Ltd.
ネットワーク構成図
[Protected] For public distribution
External:10.1.1.0/24
10.1.1.1
DMZ:192.168.254.0/24
Internal:172.16.1.0/24
VIP:10.1.1.100VIP:10.1.1.100
VIP:172.16.1.100VIP:172.16.1.100
VIP:192.168.254.100VIP:192.168.254.100
GW1:x.x.x.101GW2:x.x.x.102SYNC:192.168.1.0/24
MGMT:172.16.1.200
※このガイドで設定しているネットワーク構成です
8©2013 Check Point Software Technologies Ltd.
ネットワーク構成(補足)
2台のSecurity Gatewayをインターネットとの境界に配置します– 2台のSecurity Gatewayを冗長化します
– インターネット側のポート、イントラネット側のポート、DMZのポート、セッション同期の全4ポートです
– それぞれのポートにバーチャルIPを設定しますが、セッション同期ポートには必要ありません
– セッション同期用には専用のポートを用意したほうがいいでしょう
Security Managementは内部ネットワークに配置します– Security ManagementをSecurity Gatewayと同居させ、2台で冗長化する場合は、Full-HA設定ガイドを参照してください
– Security Managementを独立させるとパフォーマンス面で有利です
[Protected] For public distribution
9©2013 Check Point Software Technologies Ltd.
設定情報のまとめ
Security Gateway(1台目)– Host名: gw1– eth0: 10.1.1.101(External)– eth1: 172.16.1.101(Internal)– eth2: 192.168.254.101(DMZ)– eth3: 192.168.1.101(Sync)– Default GW: 10.1.1.1
Security Gateway(2台目)– Host名: gw2– eth0: 10.1.1.102(External)– eth1: 172.16.1.102(Internal)– eth2: 192.168.254.102(DMZ)– eth3: 192.168.1.102(Sync)– Default GW: 10.1.1.1
Security Management– Host名: sm– eth0: 172.16.1.200– Default Gateway: 172.16.1.100
[Protected] For public distribution
※サブネットはすべて24ビット
10©2013 Check Point Software Technologies Ltd.
アジェンダ
1 ClusterXLとは
ネットワーク構成2
機器の準備3
冗長化構成の設定4
[Protected] For public distribution
11©2013 Check Point Software Technologies Ltd.
Check Point R77(GAiA OS)のインストール
3台のマシンにバージョンR77をインストールします– 3台、共にインストールするISOイメージは同じものです
– インストール中の注意事項は次頁以降をご参照ください
R77のインストールガイドは別途用意があります
[Protected] For public distribution
12©2013 Check Point Software Technologies Ltd.
Security Gatewayのマネージメントポート
Security GatewayにR77をインストールする際、マネージメントポートのインターフェイスの設定があります
– マネージメントポートはSecurity Managementとの接続性が必要です
– 接続性がない場合、SICが確立できず制御出来ません
– Security ManagementからSecurity Gatewayへ接続できるネットワークインターフェースを選択し、設定してください
この説明書では、eth1をマネージメントポートとして設定しています
[Protected] For public distribution
13©2013 Check Point Software Technologies Ltd.
Security Gatewayサーバの準備
GAiAインストールガイドに従って、R77をインストールします
First Time Configuration Wizardのプロダクト選択では、Security Gatewayのみを選択し、「Unit is a part of a cluster」にチェックを入れ、typeにはClusterXLを選択します
引続き、インストールガイドに従ってインストールを完了します
[Protected] For public distribution
14©2013 Check Point Software Technologies Ltd.
Security Managementサーバの準備
GAiAインストールガイドに従って、R77をインストールします
First Time Configuration Wizardのプロダクト選択では、Security Managementのみを選択します
引続き、インストールガイドに従ってインストールを完了します
[Protected] For public distribution
15©2013 Check Point Software Technologies Ltd.
IPアドレスの設定(gw1)
インストール完了後、GAiAポータルにログインし、Network Interfacesに移動します
設定情報を元に、各インターフェースにIPアドレスを付与します
[Protected] For public distribution
16©2013 Check Point Software Technologies Ltd.
IPアドレスの設定(gw2)
gw1同様に、インストール完了後、GAiAポータルにログインし、Network Interfacesに移動します
設定情報を元に、各インターフェースにIPアドレスを付与します
[Protected] For public distribution
17©2013 Check Point Software Technologies Ltd.
その他設定(共通)
Default Gateway– Network Management -> IPv4 Static Routesにあります
– 正確なトポロジーを取得できるようにするためにも、設定することが望ましいです
システム時刻– System Management -> Timeにあります
– 2台のSecurity Gatewayを同期するにあたり、時間が狂っていると同期できなくなります
– なるべく正確な時間を得るためにも、NTPを使った時刻同期をお勧めします
[Protected] For public distribution
18©2013 Check Point Software Technologies Ltd.
Cloning Groupの設定(1)
Cloning Groupの機能を利用することで、GAiA OSの設定をクラスター間で同期させることが出来ます(本機能は必須ではありません)
– 左側のペインのSystem ManagementからCloning Groupを選択します
– Start Cloning Group Creation Wizardをクリックします
[Protected] For public distribution
19©2013 Check Point Software Technologies Ltd.
Cloning Groupの設定(2)
ウィザードが立ち上がります– Cloning group follows ClusterXLを選択し、Nextをクリックします
[Protected] For public distribution
20©2013 Check Point Software Technologies Ltd.
Cloning Groupの設定(3)
Cloning Group Nameに任意の名前をつけます
cadminユーザ(自動的に作成されます)のパスワードを設定します
[Protected] For public distribution
21©2013 Check Point Software Technologies Ltd.
Cloning Groupの設定(4)
Cloning Groupが作成されました– 同様の設定をgw2でも繰り返し行います
[Protected] For public distribution
22©2013 Check Point Software Technologies Ltd.
Cloning Groupの設定(5)
この時点では、ClusterXLの設定が終了していないため、Cloningが行われていない状態です
ClusterXLを使ったクラスターオブジェクトを作成のあとに、ポリシーインストール後にステータスを確認して下さい
Cloning Group機能によって同期する項目は、cadminユーザでログインし設定します(後述)
– Cloning Group機能によって同期する項目は、adminユーザからは変更できなくなります
[Protected] For public distribution
23©2013 Check Point Software Technologies Ltd.
アジェンダ
1 ClusterXLとは
ネットワーク構成2
機器の準備3
冗長化構成の設定4
[Protected] For public distribution
24©2013 Check Point Software Technologies Ltd.
事前準備
SmartConsoleのインストール– SmartConsoleはメディアに含まれる他、GAiAのポータルからもダウンロードできます
– サポートしているOSはWindowsのみです
これから作成するClusterオブジェクトの情報を整理しておきます– オブジェクト名: gw-cluster– ExternalバーチャルIP: 10.1.1.100/24– InternalバーチャルIP: 172.16.1.100/24– DMZバーチャルIP: 192.168.254.100/24– セッション同期用Syncセグメント: 192.168.1.0/24
[Protected] For public distribution
25©2013 Check Point Software Technologies Ltd.
SmartDashboardの起動
Windowsのプログラムメニューから、Check Point R77にあるSmartDashboardを起動し、セットアップ時に入力したユーザ名、パスワード、Security ManagementのIPアドレスを入力します
[Protected] For public distribution
26©2013 Check Point Software Technologies Ltd.
SmartDashboardの起動(初回)
初めて、Windowsから接続する場合、Fingerprintの確認画面が表示されますので、Approveを押して継続します
[Protected] For public distribution
27©2013 Check Point Software Technologies Ltd.
評価ライセンスの確認
初期インストール後、15日間は評価期間としてフル機能がご利用いただけます
– 評価期間を過ぎますと、ログインできなくなりますのでご注意ください
– 引き続き評価を行いたい場合は、1ヶ月の猶予がある評価ライセンスをご利用ください
ダイアログを次回から表示しないようにするには、Don’t show this againにチェックを入れてOKを押します
[Protected] For public distribution
28©2013 Check Point Software Technologies Ltd.
Clusterオブジェクトの作成(1)
Network ObjectsのCheck Pointを右クリックし、Security Cluster -> Check Point Appliance/Open Serverと進みます
[Protected] For public distribution
29©2013 Check Point Software Technologies Ltd.
Clusterオブジェクトの作成(2)
ここでは、ウィザードを使用してClusterオブジェクトを作成します
Clusterオブジェクト名とバーチャルIPを入力し、冗長化の方式にCheck Point ClusterXLを選択、HA構成を選択します
[Protected] For public distribution
30©2013 Check Point Software Technologies Ltd.
Clusterオブジェクトの作成(3)
Clusterオブジェクトに参加させるGatewayを登録します
Addをクリックし、New Cluster Member…を選択します
[Protected] For public distribution
31©2013 Check Point Software Technologies Ltd.
Clusterオブジェクトの作成(4)
1台目のSecurity Gatewayのオブジェクト名(ホスト名と同じが望ましい)とIPアドレス、セットアップ時に設定したSICのアクティベーションキーを入力し、SICをInitializeします
SICが確立出来れば、Trust establishedにステータスが変わります
[Protected] For public distribution
32©2013 Check Point Software Technologies Ltd.
Clusterオブジェクトの作成(5)
1台目同様に、2台目もSICを確立させます
SICがうまく確立できない場合は、ManagementからGatewayへの接続性を確認してください
[Protected] For public distribution
33©2013 Check Point Software Technologies Ltd.
Clusterオブジェクトの作成(6)
ClusterオブジェクトにGatewayが追加され、SICが確立された状態です
3台以上での冗長化を行う場合は、この作業を繰り返します
[Protected] For public distribution
34©2013 Check Point Software Technologies Ltd.
Clusterオブジェクトの作成(7)
Gatewayに設定されているIPアドレスをもとに、ネットワークの利用方法を設定していきます
192.168.1.0/24は同期セグメントですので、同期の設定をします
[Protected] For public distribution
35©2013 Check Point Software Technologies Ltd.
Clusterオブジェクトの作成(8)
192.168.254.0/24はDMZセグメントですので、バーチャルIPを入力しクラスターインターフェイスの設定を行います
[Protected] For public distribution
36©2013 Check Point Software Technologies Ltd.
Clusterオブジェクトの作成(9)
172.16.1.0/24はInternalセグメントですので、DMZ同様にクラスターインターフェイスの設定を行います
[Protected] For public distribution
37©2013 Check Point Software Technologies Ltd.
Clusterオブジェクトの作成(10)
10.1.1.0/24はExternalセグメントですので、DMZ同様にクラスターインターフェイスの設定を行います
[Protected] For public distribution
38©2013 Check Point Software Technologies Ltd.
Clusterオブジェクトの補足
Private use of each member (don’t monitor members interfaces)– VIPは使用しません(実機に設定したIPアドレスを使用)– Clusterメンバーの監視は行いません
– このインターフェイスが落ちたり、他のメンバーのインターフェイスが落ちたりしても、フェイルオーバーしません
Private use of each member (monitor members interfaces)– VIPは使用しません(実機に設定したIPアドレスを使用)– Clusterメンバーの監視は行います
– このインターフェイスが落ちたり、他のメンバーのインターフェイスが落ちたりした場合、フェイルオーバーします
[Protected] For public distribution
39©2013 Check Point Software Technologies Ltd.
Clusterオブジェクトの作成(11)
Clusterオブジェクトの作成が終了しました
[Protected] For public distribution
40©2013 Check Point Software Technologies Ltd.
Firewallルールの作成
Firewallルールを作成しないとポリシーのインストールが出来ません– 最低限、Any/Any/Any/Dropのルールを作成しておきましょう
– 冗長化に必要な通信はImpliedルールで許可されていますので、追加のルールは必要ありません
[Protected] For public distribution
TrackはLogに変更しましょう
41©2013 Check Point Software Technologies Ltd.
ポリシーのインストール
ポリシーをインストールします– ポリシーをインストールしない限り設定は反映されません
[Protected] For public distribution
42©2013 Check Point Software Technologies Ltd.
ステータスの確認
SmartView Monitorでステータスの確認ができます
[Protected] For public distribution
43©2013 Check Point Software Technologies Ltd.
Cloning Groupの確認(設定した場合のみ)
GAiAポータルからログインし、Cloning Groupの状態を確認します– Synchronization Completedが出ていれば同期しています
– 同期される項目はadminユーザからは変更できなくなります
[Protected] For public distribution
44©2013 Check Point Software Technologies Ltd.
Cloning Groupの同期設定(1)
同期される項目の設定変更を行うためには、GAiAポータルにユーザ名cadmin、パスワードにCloning Groupを作成した時に入力したパスワードでログインします
[Protected] For public distribution
45©2013 Check Point Software Technologies Ltd.
Cloning Groupの同期設定(2)
cadminユーザでログインすると、同期される項目のみ表示され、設定変更が可能です(自動的にメンバー間で設定が同期されます)
同期する/同期しない項目はCloning Groupから変更可能です
[Protected] For public distribution
チェックを外してSet Shard Featuresをクリックすると
同期対象から外れます
46©2013 Check Point Software Technologies Ltd.
フェイルオーバーの動作確認
実際にケーブルを抜いたりして、フェイルオーバーさせて動作を確認します
SmartView Trackerにログ情報が残っていることを確認します
[Protected] For public distribution
47©2013 Check Point Software Technologies Ltd.
詳細設定
冗長化に関する詳細な設定はクラスターオブジェクトのプロパティから行えます
[Protected] For public distribution
48©2013 Check Point Software Technologies Ltd.
ネットワーク構成の変更
ネットワーク構成に追加や変更があった場合、必ずトポロジーを設定し直さなければなりません
クラスターオブジェクトのプロパティからTopologyを選択し、Editをクリックします
[Protected] For public distribution
49©2013 Check Point Software Technologies Ltd.
Topologyの編集
Editをクリックすると、定義されているTopologyの一覧が表示されます
– 事前にOS側の設定変更は完了させておきます
ネットワークの追加、変更、削除などを行います
作業が終了したら、ポリシーをインストールし変更内容を反映させます
[Protected] For public distribution
50©2013 Check Point Software Technologies Ltd.
トラブルシューティング
cphaprob state– クラスターの状態を確認します
cphaprob [-a] if– クラスターのインターフェイスの状態を確認します
cphaprob [-i[a]] [-e] list– クリティカル・デバイスの状態を確認します
SmartView Trackerのログを参照します– SmartView Trackerでクラスターに関するログを確認します
[Protected] For public distribution
※ClusterXL Admin Guideを合わせてご参照ください