【Check Point R80.40】ClusterXL の設定方法

ClusterXL の設定方法
クラスター関連確認コマンド
参考資料

ClusterXL の設定方法

Load Sharing Multicast、Load Sharing Unicast、および High Availability モードを最初から設定する方法について記載します。

SmartConsole クラスターオブジェクトまたはクラスター作成ウィザードでのモード選択を除けば、これらのモードの設定方法は同様です。

構成イメージ

内部NW 10.10.2.0/24 上の端末は、デフォルトゲートウェイを 10.10.2.100 と設定します
外部NW 192.168.2.0/24 上の端末は、デフォルトゲートウェイを 192.168.2.100 と設定します

Cluster Control Protocol (CCP) 設定

クラスターでは、すべてのクラスターメンバーを同じ方法で設定する必要があります。

R80.40 では、CCP は常にユニキャストモードで動作します。

クラスターメンバーでは Cluster Control Protocol（CCP）モードが自動的に設定されます
クラスターメンバーで Cluster Control Protocol（CCP）暗号化を設定できます

■CCP 暗号化の設定

#Clish で設定
set cluster member ccpenc {off | on}

#Expert モードで設定
cphaconf ccp_encrypt {off | on}
cphaconf ccp_encrypt_key <Key String>

クラスターオブジェクトとメンバーの設定

次のいずれかの方法でクラスターオブジェクトとそのメンバーを設定できます。

Simple Mode (Wizard)
- 新しいクラスターを素早く作成し、いくつかの基本的なクラスタープロパティを設定できます
  - クラスターのプロパティと仮想 IP アドレス
  - クラスターメンバーのプロパティとトポロジ
  - 同期インターフェースと IP アドレス
Classic Mode
- [Cluster Gateway Properties] 画面を開きます
- この画面では、クラスターを手動で作成し、そのプロパティを設定します

[Cluster Gateway Properties] 画面では、次のことができます。

クラスターのソフトウェアブレードを有効にして設定します
Wizard では設定できないクラスタープロパティを設定する
既存のクラスターのプロパティを変更する

SmartConsole で Wizard モードを使用する

以下の 2 つの Wizard が含まれています。

Check Point Appliances and Open Servers
Check Point Small Office Appliances
- Check Point 3000 シリーズ以下で使用

Wizard: Check Point Appliances or Open Servers

Cluster Wizard は、すべての Check Point アプライアンス（3000シリーズよりも下のモデルを除く）および Open Server プラットフォームに推奨されます。

■Wizard モードでのクラスター作成手順

SmartConsole で [Objects メニュー > More object types > Network Object > Gateways and Servers > Cluster > New Cluster] をクリック
[Check Point Security Gateway Cluster Creation] 画面で [Wizard Mode] をクリック
[Cluster General Properties] 画面で次の通り設定
- [Cluster Name] でクラスターオブジェクトの名前を入力
- [Cluster IPv4 Address] でクラスターVIPv4 を入力
- [Cluster IPv6 Address] でクラスターVIPv6 を入力 (オプション)
- [Choose the Cluster’s Solution] で次のいずれかを選択
  - Check Point ClusterXL
    - High Availability
    - Load Sharing
  - Gaia VRRP
[Cluster member’s properties] 画面で、クラスターメンバーごとに次の通り設定
- ※以下の方法はクラスタメンバーとなるゲートウェイオブジェクトが SmartConsole に未追加の状態から設定する前提となっています。既存のゲートウェイオブジェクトをメンバーに指定することも可能です
- [Add > New Cluster Member] をクリック
- [Cluster Name] でクラスタメンバーオブジェクトの名前を入力
- [Cluster IPv4 Address] でクラスターメンバー VIPv4 を入力
- [Cluster IPv6 Address] でクラスターメンバー VIPv6 を入力
- [Activation Key] と [Confirm Activation Key] では、このメンバーの初期設定ウィザードで設定したワンタイムパスワードを入力
- [Initialize] をクリック
  - 管理サーバーは、クラスターメンバーとの SIC の確立を試みます
  - [Trust State] に Trust established と表示されます
- [OK] をクリック
[Cluster Topology] 画面で各クラスターインターフェイスのネットワークタイプ（ネットワークロール）を定義し、クラスター仮想 IP アドレスを定義し（Cluster タイプのみ）、[Next] をクリック
- 各クラスターネットワークのサブネットが自動的に計算され、各クラスターメンバーの該当するインターフェイスに割り当てられます
- 計算されたサブネットは、画面上部に表示されます
[Cluster Definition Wizard Complete] で [Finish] をクリック

ネットワークロール（network role）には次があります。

Representing a cluster interface
- 通信用インターフェースで VIP を設定する
- Hello 送信あり
- 同期情報送信なし
- インターフェース監視あり
Cluster Synchronization
- コネクション同期用インターフェース
- Hello 送信あり
- 同期情報送信あり
- インターフェース監視あり
Private use of each member (don’t monitor members interfaces)
- Hello/同期情報送信なし、インターフェース監視あり
Private use of each member (monitor members interfaces)
- Hello/同期情報送信なし、インターフェース監視なし

※Cluster + Sync タイプにしたい場合は Wizard 設定完了後にクラスターのプロパティで設定します

Wizard が完了したら、クラスターオブジェクトを開いて次の設定をします。

各インターフェイスに Anti-Spoofing プロパティを定義します
必要に応じて、各インターフェイスのトポロジ設定を変更します
ネットワークタイプを定義する
必要に応じて、他のソフトウェアブレード、機能、およびプロパティを設定します

SmartConsole で Classic モードを使用する

左側のナビゲーションパネルで、[Gateways & Servers] をクリック
次のいずれかの方法で新しい Cluster オブジェクトを作成
- 上部のツールバーから、New > Cluster > Cluster をクリック
- 左上隅で、Objects メニュー > More object types > Network Object > Gateways and Servers > Cluster > New Cluster をクリック
- 右上隅で、Objects ペイン > New > More > Network Object > Gateways and Servers > Cluster > Cluster をクリック
Check Point Security Gateway Creation 画面で Classic Mode をクリック
- Gateway Cluster Properties 画面が表示される
General Properties ページ > Machine セクション で次の通り設定
- Name で ClusterXL オブジェクトに設定された名前が表示されていることを確認
- IPv4 Address と IPv6 Address で、管理サーバの初期設定ウィザードの Management Connection で設定したのと同じアドレスを設定
General Properties ページ > Platform セクション でオプションを選択
- Hardware でアプライアンス・シリーズを選択
- Version でバージョンを選択
- OS で Gaia を選択
General Properties ページで次の通り設定
- Network Security タブで ClusterXL ソフトウェアブレードが選択されていることを確認
- [Network Security] タブと [Threat Prevention] タブで、該当する追加のソフトウェアブレードを有効にする
Cluster Members ページで次の通り設定
- Add > New Cluster Member をクリック
  - Cluster Member Properties 画面が表示される
- Name でクラスターメンバーオブジェクトの名前を入力
- このクラスターメンバーオブジェクトのメインの物理 IP アドレスを設定
  - IPv4 Address と IPv6 Address で、クラスターメンバーの初期設定ウィザードの Management Connection で設定したものと同じ IPv4/IPv6 アドレスを設定
- Communication をクリック
- One-time password とConfirm one-time password では、クラスターメンバーの初期設定ウィザードで設定したワンタイムパスワードを入力
- Initialize をクリック
- Close をクリック
- OK をクリック
- クラスターメンバーの数だけ上記と同様の設定を行う
ClusterXL and VRRP ページで次の通り設定
- Select the cluster mode and configuration で次のいずれかを選択
  - High Availability > ClusterXL
  - Load Sharing
    - Multicast
    - Unicast
- Tracking でオプションを選択
- Advanced Settings で設定
  - High Availability モードの場合
    - [推奨] Use State Synchronization を選択
    - [オプション] Use Virtual MAC を選択
    - クラスターメンバーの復旧メソッドを選択
  - Load Sharing モードの場合: 省略
Network Management ページで次の通り設定
- 各インターフェースを選択し、Edit をクリック
- 左側のツリーから General をクリック
- General > Network Type でネットワークタイプを次から選択
  - Cluster Interface
  - Cluster Sync Interface
  - Private
- Member IPs で IPv4 とサブネットマスクが正しいことを確認
- Topology で
  - Leads To と Security Zone の設定が正しいことを確認
  - Anti-Spoofing が enable であることを確認
OK をクリック
SmartConsole セッションを Publish します

SmartConsole でクラスターオブジェクトの設定を変更する

クラスターオブジェクトの [Cluster Gateway Properties] 画面には、さまざまな ClusterXL プロパティのほか、Security Gateway とソフトウェアブレードの機能に関連するその他のプロパティが含まれています。

一般的なプロパティを設定する

クラスターオブジェクトの名前
IPv4/IPv6 アドレス
ハードウェアプラットフォーム
バージョン
OS
クラスタータイプ
ソフトウェアブレード

クラスタートポロジの操作

インターフェースのネットワークタイプ
Topology
- Leads To
  - Internet (External) または This Network (Internal)
- Security Zone
  - User defined または According to topology (ExternalZone または InternalZone)
- Anti-Spoofing
  - Detect または Prevent
QoS
- Bandwidth
  - Inbound Active
  - Outbound Active
- DiffServ and Low Latency classes
Advanced
- Multicast Restrictions
- Interfaces Names

Synchronization Interface の変更

Synchronization Interface の IP アドレスの変更
Synchronization Interface を別のインターフェースへ変更

クラスター関連確認コマンド

show cluster state
show cluster members pnotes {all | problem}
show cluster members interfaces {all | secured | virtual | vlans}
show cluster bond {all | name <bond_name>}
show cluster failover [reset {count | history}]
show cluster release
show cluster statistics sync [reset]
show cluster statistics transport [reset]
show cluster members interfaces virtual
show cluster members igmp
show cluster members ips
show cluster members idmode
show ospf interfaces [detailed]
show cluster roles
show cluster members ccpenc
show cluster members mvc

■Clish コマンド

show cluster
      bond
            all
            name <Name of Bond>
      failover
      members
            ccpenc
            idmode
            igmp
            interfaces
                  all
                  secured
                  virtual
                  vlans
            ips
            mvc
            pnotes
                  all
                  problem
      release
      roles
      state
      statistics
            sync [reset]
            transport [reset]

■Expert モードでのコマンド

cphaprob [-vs <VSID>] state
cphaprob [-reset {-c | -h}] [-l <count>] show_failover
cphaprob names
cphaprob [-reset] [-a] syncstat
cphaprob [-reset] ldstat
cphaprob [-l] [-i[a]] [-e] list
cphaprob [-vs all] [-a] [-m] if
cphaprob latency
cphaprob show_bond [<bond_name>]
cphaprob show_bond_groups
cphaprob igmp
cphaprob fcustat
cphaprob tablestat
cphaprob routedifcs
cphaprob role
cphaprob release
cphaprob ccp_encrypt
cphaprob [{-d | -f | -s}] corr

参考資料

【PDF】ClusterXL R80.40 Administration Guide

―――――――――――――