ip clustering & check point ip appliance ステート同期 …³check point...

IP Clustering & Check Point IP Appliance ステート同期設定手順書 (IPSO 6.2 & Check Point R70)

2010 年 2 月株式会社アズジェント

文書番号： IPFW-00003-01

IP Clustering & Check Point IP Appliance ステート同期設定手順書目次

1 Copyright © 2010 Asgent, Inc. All rights reserved. IPFW-00003-01

目次はじめに................................................................................................................................... 2 第 1 章 Gateway Cluster オブジェクトの定義 ......................................................................... 6

1-1 ステート同期機能の有効化 ........................................................................................ 6 1-2 Gateway Cluster オブジェクトの作成 ....................................................................... 7 1-3 3rd Party Configuration の設定 ............................................................................. 9 1-4 Topology の設定 ..................................................................................................... 10

第 2 章 Clustering の設定 ................................................................................................... 13 2-1 Cluster ID と Cadmin Password の設定............................................................... 14 2-2 クラスタステータスの設定 ......................................................................................... 16 2-3 クラスタインタフェースの設定.................................................................................... 18 2-4 FireWall Related Cluster Configuration............................................................. 19 2-5 クラスタプロトコルの有効 .......................................................................................... 20 2-6 ノードの追加............................................................................................................ 21

第 3 章クラスタ状態の確認.................................................................................................... 23 3-1 IP Clustering の状態確認...................................................................................... 23 3-2 クラスタプロトコルの通信の確認................................................................................ 25

第 4 章 NTP の設定.............................................................................................................. 26 4-1 NTP を FireWall-1 ルールで許可する.................................................................... 26 4-2 NTP の設定 ............................................................................................................ 27

第 5 章ステート同期の動作確認............................................................................................ 28 5-1 ステート同期トラフィックの確認 ................................................................................. 28 5-2 ステートテーブル・エントリの確認.............................................................................. 29 5-3 VPN-1/FireWal-1 のステートの確認 ....................................................................... 29

本書で使用する製品名は各社の商標または登録商標です。本文中では、®、©マークは省略しています。 Copyright © 2010 Asgent, Inc. All rights reserved. 本書は株式会社アズジェントが権利を有します。本書に記載された事項は将来予告なしに変更することがあります。本書の作成には細心の注意を払っておりますが、本書の内容に起因する直接的および間接的な

損害の一切につき、株式会社アズジェントは何ら責任を負わないものとします。

IP Clustering & Check Point IP Appliance ステート同期設定手順書はじめに


はじめに

対象読者本文書は、Check Point IP Appliance / Check Point R70 のユーザを対象に書かれています。

したがって、読者が次の事項についての基本的な理解と実務知識を持つものと仮定します。・ TCP/IP ・システム管理・ UNIX および Windows OS の基礎的なオペレーション概要

本文書は、IP ClusteringとCheck Point R70のステート同期機能を併用する場合の設定方法

を説明したものです。 IP Clustering は、Check Point IP Appliance に搭載されている IPSO が独自に備えた

Active-Active 形式のクラスタプロトコルです。Check Point R70 のステート同期機能と統合するこ

とで、Security Gateway のロード・バランシングと高可用性を提供します。同じ冗長化ソリューショ

ンの VRRP（Active-Standby 形式）とは異なり、クラスタに参加する全てのノードが Active 状態で

動作するため、クラスタのリソースが限界に近づいても、ノードを更に追加してパフォーマンスを向

上させることができます。VRRP に比べ、障害発生時のフェールオーバ時間が短いのも特徴です。

IPSO6.2 Clustering は、IPSO4.2 以前の管理画面(Cluster Voyager)、Clustering Mode を

引き継いでおり、さらに、ノードを Standby 状態で待機させるなどの Cluster Topology が追加され

ています。対象バージョン対象バージョン： IPSO 6.2 GA 024 以降、Check Point R70 以降本文書のベース： IPSO 6.2 GA 024、Check Point R70 表記規則

AaBbCc123 画面表示を示します AaBbCc123 ユーザの入力を示します AaBbCc123 コメントを示します



コンポーネント呼称の変更について Check Point R70 からコンポーネントの呼称が変更されました。本文書でも R70 の呼称で記載

しています。 NGX R65 以前 → R70 以降 SmartCenter → Security Management VPN-1 Gateway → Security Gateway

注意事項

IP Clustering を構成する場合には、クラスタに参加する全てのノードの IPSO バージョンおよ

び Check Point のインストールコンポーネントを同一にしなければなりません。 Security Management をクラスタメンバにする事はできません。このため、IP Clustering で

は、必ずサンプル構成図のような分散構成になります。対向に設置するルータやホストのネクストホップは、IP Clustering の仮想 IP アドレス(Cluster

IP アドレス)に設定する必要があります。ステート同期のインタフェースをクラスタリングする場合は、クラスタメンバ間をハブまたは L2 ス

イッチで連結しなければなりません。クロスケーブルで直結した場合、一台のノードがリンクダウ

ンすると、もう一方もリンクダウンするため、通信ができなくなります。ステート同期のインタフェースをクラスタリングしない場合は、クラスタメンバ間をクロスケーブル

で直結することができます。ただし、クラスタリングをしないと、ステート同期のインタフェースがリ

ンクダウンしてもノードがクラスタから外れないため、セッションは維持できません。ステート同期のインタフェースは、100M/Full以上の通信速度にすることが推奨されます。また、

セキュリティ保護と同期の確実化のため、ステート同期セグメントに同期パケット以外のトラフィ

ックが流れないように構成する必要があります。 IPSO6.2/R70 の Forwarding Mode ではパケットがメンバに正しく転送されない不具合が確

認されています。Multicast Mode などの別のモードを選択するか、パッチを適用する必要が

あります。 IP150/IP152 は、ハードウェアの設計上 IP Clustering を使用することは推奨されません。

VRRP を使用するか、上位機種を検討する必要があります。



構成図次のネットワーク構成をサンプルとして設定手順を説明します。ホスト名インタフェース IP アドレス Cluster IP アドレス

外部 10.1.1.201 10.1.1.200 内部 192.168.0.201 192.168.0.200 クラスタ 172.16.0.201 172.16.0.200

FW01

ステート同期 172.16.1.201 172.16.1.200 外部 10.1.1.202 10.1.1.200 内部 192.168.0.202 192.168.0.200 クラスタ 172.16.0.202 172.16.0.200

FW02

ステート同期 172.16.1.202 172.16.1.200

内部ネットワーク

10.1.1.0/24

201 202

201 202

FW01 FW02

外部ネットワーク

192.168.0.0/24

Cluster ID=200

172.16.1.0/24

Cluster IPアドレス=200

172.16.0.0/24 IP Cluster用リンク

ステート同期用リンク

201

Cluster IPアドレス=200

Internet

Security Management

図 1 : ネットワーク構成図

201

202

202



要件二台の Security Gatewayでクラスタリングを構成し、Multicast Modeで使用する（クラス

タメンバ間で Cluster IP アドレスとマルチキャスト MAC アドレスを共有）対向スイッチにはマルチキャスト MAC を処理できる機器を置き、ARP テーブルにクラスタ

のマルチキャストアドレスを登録する Security Management を内部ネットワークに設置するクラスタメンバの参加と離脱は、Cluster ID で識別するステート同期機能を使用して、クラスタメンバが一台ダウンしても残りのノードがダウンしたノ

ードのセッションを引き継ぐクラスタメンバは外部の NTP サーバを参照して時刻を同期する

事前準備

クラスタに参加する Security Gateway、および Security Management は、以下のセットアッ

プが完了し、ポリシーがインストールできる状態にあるものとします。 (1) OS のインストール (2) ネットワーク設定（インタフェースへの IP アドレスの割り当て・ルーティング） (3) Check Point R70 のインストール (4) Check Point R70 の初期設定（cpconfig）

IP Clustering & Check Point IP Appliance ステート同期設定手順書第 1 章


第 1 章 Gateway Cluster オブジェクトの定義

1-1 ステート同期機能の有効化

Check Point R70 のステート同期機能が有効であることを確認します。各 Security Gateway で“cpconfig”コマンドを実行し、「Disable cluster membership for this gateway」と表示されることを確認してください。表示が正しければ、Exit します。

FW01[admin]# cpconfig This program will let you re-configure your Check Point products configuration. Configuration Options: ---------------------- (1) Licenses and contracts (2) SNMP Extension (3) Group Permissions (4) PKCS#11 Token (5) Random Pool (6) Secure Internal Communication (7) Disable cluster membership for this gateway (8) Disable Check Point SecureXL (9) Automatic start of Check Point Products (10) Exit Enter your choice (1-10) :

図 2 : cpconfig 画面

「Enable cluster membership for this gateway」と表示されている場合は、項目を選択して

機能を有効化します。



1-2 Gateway Cluster オブジェクトの作成

SmartDashboard で Security Management にログインして、Gateway Cluster オブジェクト

を作成します。＜手順＞ 1. [Network Objects] > [Check Point]を右クリックして、Security Cluster を選択

図 3 : Network Objects 作成画面

2. [General Properties]で設定する Gateway Cluster オブジェクトの[IP Address]欄に外部ネ

ットワークに属する Cluster IP アドレスを入力 3. Security Gateway で使用する機能にチェック

※このとき、[Cluster XL]のチェックははずすこと

図 4 : [General Properties]の設定



4. [Cluster Members]タブで、クラスタメンバを追加メンバを新規作成する場合⇒[Add]ボタン[New Cluster Member…]を選択して、

Gateway オブジェクトを新規作成、IP アドレス等の情報を入力して SIC を確立しますメンバを作成済みの場合⇒[Add]ボタン＞[Add Gateway to Cluster…]を選択して、対

象の Gateway オブジェクトをクラスタメンバのリストに追加します

図 5 : [Cluster Members]の設定

クラスタメンバの代表 IP アドレスが外部ネットワークに属している場合、Security Management に

ルーティングを追加する必要があります。本書のサンプル構成図の場合、以下のスタティックルートを追加します。

10.1.1.201/24(FW01/外部)宛ての通信は、192.168.0.201(FW01/内部)を経由 10.1.1.202/24(FW02/外部)宛ての通信は、192.168.0.202(FW02/内部)を経由

※ スタティックルートを追加しないと、FW02 の外部インタフェース宛の通信が FW01 を経由して

到達し、ポリシーインストール等の重要な通信が Anti-Spoofing で Drop されてしまいます。 ※ VPN を使用する場合は、クラスタメンバの代表 IP アドレスを外部ネットワークに属する IP アド

レスにする必要があります。 ※ クラスタメンバの代表 IP アドレスが内部ネットワークに属している場合は、ルーティングを追加

する必要はありません。



1-3 3rd Party Configuration の設定

クラスタモードに関する設定を行います。＜手順＞ 1. [3rd Party Configuration]を選択して、Cluster Mode に[Load Sharing]を選択 2. [3rd Party Solution]のプルダウンで、[Nokia IP Clustering]を選択

図 6 : [3rd Party Configuration]の設定

設定項目説明 Use State Synchronization クラスタメンバ間のテーブル同期の使用 Support non-sticky connections 非対象接続（行きと帰りで異なるクラスタメン

バを通過）のサポート ※対向の VPN デバイスが、Check Point 以

外は、チェックをはずして固定接続にします Hide Cluster Member’s outgoing traffic behind the Cluster’s IP Address

クラスタメンバが送信するパケットの送信元ア

ドレスを Cluster IP アドレスで NAT ※クラスタメンバの実 IP アドレスでの通信が

ある場合はチェックをはずします（例：NTP） Forward Cluster’s incoming traffic to Cluster Member’s IP Addresses

Cluster IP アドレス宛のパケットの送信先ア

ドレスをクラスタメンバで NAT



1-4 Topology の設定

クラスタを構成する IP アドレスを設定します。すべての Cluster IP アドレスを任意のインタフェ

ース名で登録し、Anti-Spoofing 属性を設定します。＜手順＞ 1. [Topology]タブを選択して、[Edit Topology]ボタンを押す

図 7 : Gateway Cluster オブジェクトの Topology の設定

2. 各クラスタメンバの[Get Topology]ボタンを押し、Topology 情報を取得

※ Topology 情報が自動取得できない場合は、各 Security Gateway オブジェクトの

[Interface Properties]ウィンドウを開いて、IP アドレスなどの情報を手動入力します。

図 8 : [Edit Topology]画面(1)



3. Gateway Cluster(Cluster01)の設定欄を右クリックして、[Edit Interface]を選択

図 9 : [Edit Topology]画面(2)

4. [Interface Properties]の[General]タブを選択して、インタフェース名と Cluster IP アドレス、

ネットマスクを入力

図 10 : [Interface Properties]の設定(1)

5. [Topology]タブを選択して、Perform Anti-Spoofing のチェックを確認

※ Topology の設定情報に誤りがあると、正当な通信であっても Spoofing（なりすまし）とみ

なされ Drop されることがあります。

図 11 : [Interface Properties]の設定(2)



6. [Network Objective]を設定

図 12 : Network Objective 設定

Network Objective 用途 Cluster クラスタネットワーク 1st Sync、2nd Sync、3rd Sync ステート同期専用のネットワーク Cluster+1st Sync Cluster+2nd Sync Cluster+3rd Sync

ステート同期をクラスタネットワークに含める

Private クラスタに関係のないネットワーク ※ステート同期のネットワークに他の内部通信(DMZ など)を混在させることは推奨されません

7. 設定が完了したら[OK]ボタンを押して、[Gateway Cluster Properties]ウインドウを閉じる 8. SmartDashboard のメニューの[File] > [Save]で設定を保存する以上でステート同期設定は完了です。次の章では、IPSO 側の Clustering 設定をします。



第 2 章 Clustering の設定

Clustering を以下のように設定します。

ホスト名 Cluster ID

Performance Rating

インタフェース

Cluster IP アドレス

Primary Secondary

外部 10.1.1.200 内部 192.168.0.200 クラスタ 172.16.0.200 ○

FW01 200 500

ステート同期 172.16.1.200 ○ 外部 10.1.1.200 内部 192.168.0.200 クラスタ 172.16.0.200 ○

FW02 200 500

ステート同期 172.16.1.200 ○

Clustering の設定は Voyager のナビゲーションツリーから [Configuration] > [High Availability] > [Clustering]を選択して、[Simplified Clustering Configuration]画面で行い

ます。

図 13 : [Clustering Configuration]画面



2-1 Cluster ID と Cadmin Password の設定

FW01（クラスタマスタ）の Voyager にログインして、「Cluster ID」と「Cadmin Password」を設

定します。

用語意味 Cluster ID 同じセグメント上に複数のクラスタ構成が存在するときに、

識別するための ID Cadmin Password Cluster Voyager (IP Clustering用のVoyager)にログイ

ンするときに使用するパスワード＜手順＞ 1. [Create IPSO Cluster]で[Cluster ID]を入力(0-65535) 2. [Cadmin Password]に cadmin ユーザのパスワードを入力

図 14 : [Create IPSO Cluster]画面

3. [Apply]ボタンを押す

※Cadmin Password は大文字/小文字/数字を混在させる必要があります。以下のエラーメッセ

ージが表示された場合は、文字列を再検討してください。

図 15 : Cadmin Password 設定エラー表示



4. [Cluster Configuration]＞[Manually Configure IPSO Cluster]のリンクをクリック

図 16 : [Cluster Configuration]のリンク



2-2 クラスタステータスの設定

続いて、FW01（クラスタマスタ）の状態を設定します。Topology, Cluster Mode, Work Assignment はメンバ間で同じ設定にしなければなりません。

図 17 : [Cluster Status]の設定

設定項目説明 Cluster ID クラスタメンバを識別するための ID Cluster Topology クラスタの形態

Load Balancing : 全てのノードが Active で動作します N+1 Cluster : N+1 の形でクラスタリングを構成します。N

は Active で動作するノードの数です。+1 のノードは Hot Standby で動作し、クラスタメンバがダウンすると、Activeに遷移します

Active/Hot Standby : 一台のノードは Active で、もう一

台のノードは、Hot Standby で動作。VRRP と似ています

が、仕組み上 VRRP よりもフェールオーバが早くなります



設定項目説明 Number of Active Nodes Active なノードの数 Cluster Protocol State クラスタプロトコルの状態

uninitialized : プロトコルが開始されていません initialized : プロトコルが開始されています joining : ノードがクラスタに参加しようとしています assert_master : マスタになろうとしています master : クラスタのマスタです member : クラスタのメンバです

Time Since Join クラスタに参加してから経過した時間 Number of Interfaces クラスタインタフェースの数 Cluster State クラスタ状態の設定

Up : クラスタプロトコルが有効です Down : クラスタプロトコルが無効です

Cluster Mode クラスタモードの選択 Multicast : 全てのメンバがパケットを受信し、ワークアサイ

ンされた一台のみが処理を継続します。Cluster IP アドレス

の MAC アドレスに、マルチキャスト MAC を使用します Multicast with IGMP : 全てのメンバがパケットを受信し、

ワークアサインされた一台のみが処理を継続します。

Cluster IP アドレスの MAC アドレスに IGMP を使用します Forwarding :マスタのみがパケットを受信し、自身で処理す

るかメンバにフォワードします。Cluster IP アドレスの MACアドレスに、ユニキャスト MAC を使用します

Unicast : 全てのメンバがパケットを受信し、ワークアサイン

された一台のみが処理を継続します。Cluster IP アドレスの

MAC アドレスに、ユニキャスト MAC を使用します Work Assignment クラスタメンバへのワークアサインメント

Static : 通信の振り分けを固定します Dynamic : 通信の振り分けを可変します

セキュリティサーバなどを使用する場合は Static にします Performance Rating ノードのパフォーマンス設定

この値によりワークアサインの配分が変わります Failure Interval クラスタがブレイクアップするまでの時間(単位はミリ秒)

離脱したノードは、このインターバル後に再度参加を試みます



2-3 クラスタインタフェースの設定

クラスタリングするインタフェースを選択し、Cluster IP アドレスおよびクラスタプロトコルを送信す

るインタフェースの Primary と Secondary を設定します。

図 18 : [Interface Configuration]の設定

設定項目説明 Interface ノード上の IP アドレスを持つインタフェース Status インタフェースの状態

Green : インタフェースは up しています Red : インタフェースは down しています Blue : デバイスがノード上に存在しません

Select クラスタリングするインタフェースを選択 Networks Connected インタフェースが属するネットワークセグメント Cluster IP Address クラスタリングするインタフェースの Cluster IP アドレス Primary IP Clustering 用の第一インタフェース

このインタフェースでクラスタプロトコルメッセージを交換します Secondary IP Clustering 用の第二インタフェース（予備） Hash Selection ワークアサインの決定に関わるオプション。クラスタ上で NAT を

する場合には、以下の設定が推奨されます内部インタフェース : ON_DSTIP 外部インタフェース : ON_SRCIP NAT を使用した DMZ : ON_DSTIP NAT を使用しない DMZ : ON_SRCIP 同期インタフェース : Default



2-4 FireWall Related Cluster Configuration

IPSO 上で動作するソフトウェアに関する追加設定をします。

図 19 : [FireWall Related Configuration]の設定

設定項目説明 Enable VPN-1/FW-1 Monitoring

Check Point プロセスの監視機能の有効/無効の設定。

チェックを入れると VPN-1/FireWall-1 の起動途中や異

常時はノード自らがクラスタから離脱します Enable non-Check Point Gateways And Clients

ピアの VPN デバイスが非 Check Point の場合にチェッ

クを入れます ※チェックを有効にすると以下の項目が表示されます。 Enable VPN Clients VPN Tunnel Information IP Pools Information

ここで一度、[Apply][Save]ボタンを順に押して設定を保存します。



2-5 クラスタプロトコルの有効

その後、クラスタプロトコルを有効にするために、 [Cluster State] で [Up] を選択し、

[Apply][Save]を順に押して設定を保存します。

図 20 : [Cluster State]の設定



2-6 ノードの追加

FW02（クラスタメンバ）の Voyager にログインして、クラスタに参加させます。＜手順＞ 1. Voyager メニューの[Simplified Clustering Configuration]を選択 2. [Cluster Topology]が FW01 と同一であることを確認（本書では Load Balancing を選択） 3. [Create IPSO Cluster]で[Cluster ID]と[Cadmin Password]を入力 4. [Configure IPSO Cluster]の[Provide a cluster member address]に FW01（クラスタマス

タ）の IP アドレスを入力 5. [Apply]ボタンを押す

図 21 : FW02（クラスタメンバ）の参加



6. Cluster State Information が表示されたら、内容を確認して[Save]ボタンを押す 7. Status が member と表示され、クラスタに参加したことを確認

図 22 : FW02（クラスタメンバ）の参加に成功

以上で Clustering の設定は完了です。



第 3 章クラスタ状態の確認

IP Clustering の状態とクラスタプロトコルの通信を確認します。

3-1 IP Clustering の状態確認

Cluster Voyager での確認方法＜手順＞ 1. クラスタメンバの Voyager にログインしている場合は、ログアウトする 2. ブラウザのアドレス欄に Cluster IP アドレスを入力

※いずれかのクラスタメンバの Voyager ログイン画面が表示されます 3. Voyager のログイン画面が表示されたら、ユーザ名“cadmin”と項番 2-1 で作成した Cadmin

Password を入力してログイン

図 23 : Cluster Voyager ログイン画面

4. ナビゲーションツリーから[Monitor] > [Clustering Monitor]を選択

図 24 : Clustering Monitor 画面

Cluster Members Table に FW01 と FW02 が表示されます



Cluster CLI（コマンドライン）での確認方法

telnet/ssh またはコンソールから“cadmin”ユーザでログイン。以下のコマンドを実行します。

NokiaCCLI:1 Cluster(200)> show clusters CLINFR0751 This feature is part of Cluster Management. CID 200 Cluster State : up Protocol State : master Member Id : 1 Cluster Mode : Multicast Work Assignment : dynamic Time Since Join : 0:00:48:02 Failure Interval : 500 Primary Network : 172.16.0.0/24 Secondary Network : 172.16.1.0/24 Number of Networks: 4 Network Configuration Network: 10.1.1.0/24 Cluster IP Address: 10.1.1.200 Hash: Default Network: 172.16.0.0/24 Cluster IP Address: 172.16.0.200 Hash: Default Network: 172.16.1.0/24 Cluster IP Address: 172.16.1.200 Hash: Default Network: 192.168.0.0/24 Cluster IP Address: 192.168.0.200 Hash: Default Cluster FireWall SetUp: Disable monitoring of FW-1/VPN-1(for setup only): No Support for non-Check Point VPN clients and gateways: Yes VPN Client Access: Enabled 172.16.0.202: Member Hostname : FW02 Platform : IP290 OS Release : 6.2-GA024 Member Id : 1 Protocol State : master Member Rating : 200 Time Since Join : 0:00:48:02 Protocol Network : 172.16.0.0/24 Work Load (%) : 100 172.16.0.201: Member Hostname : FW01 Platform : IP290 OS Release : 6.2-GA024 Member Id : 2 Protocol State : member Member Rating : 200 Time Since Join : 0:00:47:55 Protocol Network : 172.16.0.0/24 Work Load (%) : 0

必要に応じて、Security Gateway のクラスタインタフェースのケーブルを抜線するなどして、状態

の遷移を確認します。



3-2 クラスタプロトコルの通信の確認

tcpdump コマンドを使って、クラスタネットワークに設定したインタフェース上のパケットをトレース

します。下記のように IP Clustering の Keep Alive パケットが交換されている場合は、クラスタプロ

トコルのトラフィックが正常に流れています。確認できない場合は、Clustering 設定およびネットワ

ークを確認してください。

FW01[admin]# tcpdump -i eth3c0 ip proto 144 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth3c0, link-type EN10MB (Ethernet), capture size 96 bytes 14:01:15.294892 I IP 172.16.0.202 > 172.16.0.201: "200" CLIENT_KEEPALIVE Member=2, Seq=9350 14:01:15.296590 O IP 172.16.0.201 > 224.0.1.144: "200" KEEPALIVE 250mSec, Members=2, Seq=352593 14:01:15.545701 I IP 172.16.0.202 > 172.16.0.201: "200" CLIENT_KEEPALIVE Member=2, Seq=9351 14:01:15.547410 O IP 172.16.0.201 > 224.0.1.144: "200" KEEPALIVE 250mSec, Members=2, Seq=352594 14:01:15.796542 I IP 172.16.0.202 > 172.16.0.201: "200" CLIENT_KEEPALIVE Member=2, Seq=9352 14:01:15.798243 O IP 172.16.0.201 > 224.0.1.144: "200" KEEPALIVE 250mSec, Members=2, Seq=352595 14:01:16.047385 I IP 172.16.0.202 > 172.16.0.201: "200" CLIENT_KEEPALIVE Member=2, Seq=9353 14:01:16.049079 O IP 172.16.0.201 > 224.0.1.144: "200" KEEPALIVE 250mSec, Members=2, Seq=352596 14:01:16.298233 I IP 172.16.0.202 > 172.16.0.201: "200" CLIENT_KEEPALIVE Member=2, Seq=9354 14:01:16.299921 O IP 172.16.0.201 > 224.0.1.144: "200" KEEPALIVE 250mSec, Members=2, Seq=352597 14:01:16.549042 I IP 172.16.0.202 > 172.16.0.201: "200" CLIENT_KEEPALIVE Member=2, Seq=9355 14:01:16.550752 O IP 172.16.0.201 > 224.0.1.144: "200" KEEPALIVE 250mSec, Members=2, Seq=352598 14:01:16.799885 I IP 172.16.0.202 > 172.16.0.201: "200" CLIENT_KEEPALIVE Member=2, Seq=9356



第 4 章 NTP の設定

ステート同期のため、外部の NTP サーバを参照し、クラスタメンバの時刻を同期させます。

4-1 NTP を FireWall-1 ルールで許可する

SmartDashboard で NTP を許可するルールを作成し、ポリシーインストールをします。 Source Destination Service Action Gateway Cluster オブジェクト NTP_server ntp グループ accept

※ “NTP_server”のオブジェクトは、[Manage] > [Network Object]で作成します

図 25 : NTP サービスの許可

※ 本書では NTP ルールを明示していますが、Source が Gateway Cluster オブジェクトのパケッ

トは、デフォルトの Implied Rule で既に許可されています。Global Properties の以下のチェ

ックが有効である場合、クリーンアップルールの直前に Outgoing の許可ルールが内部に存在

していることになります。

図 26 : FireWall Implied Rules



4-2 NTP の設定

Cluster Voyager を使って、全てのクラスタメンバに一括設定します。＜手順＞ 1. Cluster Voyager にログインし、ナビゲーションツリーから[Configuration] > [Router

Service] > [NTP]を選択 2. [Cluster NTP Configuration]で[Enable NTP]にチェックを入れ、[Apply]ボタンを押す

(設定項目が追加されます)

図 27 : [Cluster NTP Configuration]画面

3. [Add New Server Address]欄に NTP サーバの IP アドレスを指定 4. [Apply][Save]ボタンを順に押して設定を保存

図 28 : NTP サーバの設定



第 5 章ステート同期の動作確認

5-1 ステート同期トラフィックの確認

tcpdump コマンドを使って、ステート同期ネットワークに設定したインタフェースのパケットをトレ

ースします。以下のように UDP/8116 のブロードキャストパケットが見られる場合はステート同期トラ

フィックが正常に流れています。確認できない場合は、Gateway Cluster オブジェクトの設定を再

確認してください。 FW01[admin]# tcpdump -i eth4c0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth4c0, link-type EN10MB (Ethernet), capture size 96 bytes 13:27:56.665220 O CPHA IP 0.0.0.0.8116 > 172.16.1.0.8116: ifc 0 smach 0 dmach 65534 op new-sync 13:27:56.730941 I CPHA IP 0.0.0.0.8116 > 172.16.1.0.8116: ifc 0 smach 1 dmach 65534 op new-sync 13:27:56.766180 O CPHA IP 0.0.0.0.8116 > 172.16.1.0.8116: ifc 0 smach 0 dmach 65534 op new-sync 13:27:56.831930 I CPHA IP 0.0.0.0.8116 > 172.16.1.0.8116: ifc 0 smach 1 dmach 65534 op new-sync 13:27:56.867158 O CPHA IP 0.0.0.0.8116 > 172.16.1.0.8116: ifc 0 smach 0 dmach 65534 op new-sync 13:27:56.932920 I CPHA IP 0.0.0.0.8116 > 172.16.1.0.8116: ifc 0 smach 1 dmach 65534 op new-sync 13:27:56.932924 I CPHA IP 0.0.0.0.8116 > 172.16.1.0.8116: ifc 0 smach 1 dmach 65534 op ifc-cfg-req 13:27:56.932940 O CPHA IP 0.0.0.0.8116 > 172.16.1.0.8116: ifc 0 smach 0 dmach 65535 op ifc-cfg-resp 13:27:56.968148 O CPHA IP 0.0.0.0.8116 > 172.16.1.0.8116: ifc 0 smach 0 dmach 65534 op new-sync 13:27:56.968149 O CPHA IP 0.0.0.0.8116 > 172.16.1.0.8116: ifc 0 smach 0 dmach 65534 op ifc-cfg-req 13:27:56.968309 I CPHA IP 0.0.0.0.8116 > 172.16.1.0.8116: ifc 0 smach 1 dmach 65535 op ifc-cfg-resp 13:27:57.033906 I CPHA IP 0.0.0.0.8116 > 172.16.1.0.8116: ifc 0 smach 1 dmach 65534 op new-sync 13:27:57.069127 O CPHA IP 0.0.0.0.8116 > 172.16.1.0.8116: ifc 0 smach 0 dmach 65534 op new-sync



5-2 ステートテーブル・エントリの確認

クラスタメンバ上で以下のコマンドを同時に実行し、ほぼ同一の#VALS 値が得られることを確認

します。異なる場合は、何回か繰り返し実行して確認してください。

FW01[admin]# fw tab -t connections -s

HOST NAME ID #VALS #PEAK #SLINKS

localhost connections 8158 1612 2248 1614

FW02[admin]# fw tab -t connections -s

HOST NAME ID #VALS #PEAK #SLINKS

localhost connections 8158 1609 2245 1611

5-3 VPN-1/FireWal-1 のステートの確認

クラスタメンバ上で以下のコマンドを実行し、ステート同期インタフェースの VPN-1/FireWall-1モジュールのステータスが Active であることを確認します。 FW01[admin]# cphaprob state Cluster Mode: Sync only (IPSO cluster) Number Unique Address Firewall State (*) 1 (local) 172.16.1.201 Active 2 172.16.1.202 Active (*) In IP Clustering/VRRP FW-1 also monitors the cluster status

以上

ip clustering & check point ip appliance ステート同期 …³check point...

Documents