はじめに
Check Point の Security Gateway にて ClusterXL
を使用して HA クラスター
を作成する例と、クラスターの各種オプション設定について記載します。
作業環境
- Security Management
- Gaia OS R80.40
- VMware Player 上の仮想マシン
- Security Gateway x2
- Gaia OS R80.40
- VMware Player 上の仮想マシン
■検証構成
【事前準備】cluster membership の有効化
Security Gateway で cluster membership
が有効化されていない場合は有効化しておく必要があります。
確認方法は、CLI で cpconfig
コマンドを実行します。
以下のように (6) Enable cluster membership for this gateway
と表示されている場合は cluster membership が有効化されていないため、6
を入力して有効化します。
CP-GW01> cpconfig
This program will let you re-configure
your Check Point products configuration.
Configuration Options:
----------------------
(1) Licenses and contracts
(2) SNMP Extension
(3) PKCS#11 Token
(4) Random Pool
(5) Secure Internal Communication
(6) Enable cluster membership for this gateway ← ★
(7) Check Point CoreXL
(8) Automatic start of Check Point Products
(9) Exit
Enter your choice (1-9) :
設定変更後は再起動が必要となるため reboot
します。
Enter your choice (1-9) :6
Enable cluster membership for this gateway...
==============================================
You have selected to enable cluster membership for this Security Gateway.
Are you sure? (y/n) [y] ? y
Cluster membership for this gateway was enabled successfully
Important: This change will take effect after reboot.
CP-GW01>
CP-GW01> reboot
Are you sure you want to reboot?(Y/N)[N]
y
再起動後、cpconfig
コマンドを実行し (6) Disable cluster membership for this gateway
という表示となったことを確認します。
CP-GW01> cpconfig
This program will let you re-configure
your Check Point products configuration.
Configuration Options:
----------------------
(1) Licenses and contracts
(2) SNMP Extension
(3) PKCS#11 Token
(4) Random Pool
(5) Secure Internal Communication
(6) Disable cluster membership for this gateway ← ★
(7) Enable Check Point Per Virtual System State
(8) Enable Check Point ClusterXL for Bridge Active/Standby
(9) Check Point CoreXL
(10) Automatic start of Check Point Products
(11) Exit
Enter your choice (1-11) :
クラスターオブジェクトを作成する
クラスターの設定は SmartConsole で行います。
クラスター設定の中でメンバーとなるゲートウェイオブジェクトを指定しますが、その指定方法としては以下の 2 つがあります。
- 既存のゲートウェイオブジェクトを指定
- 新規のゲートウェイオブジェクトを指定
ここでは、新規のゲートウェイオブジェクトを指定する方法で設定します。
ウィザードの表示
まずは、SmartConsole 左上の対象から その他のオブジェクトタイプ > ネットワークオブジェクト > ゲートウェイとサーバ > クラスタ > 新規クラスタ を選択します。
すると以下のモード選択画面が表示されるため、モードを選択します。
ここでは簡単に初期設定ができる Wizard Mode
を選択します。
Cluster General Properties
以下の画面が表示されるため、各項目を設定して次へ進みます。
- Cluster Name: SmartConsole 上での表示名を任意に指定
- Cluster IPv4: クラスターのメインとなる VIP を指定
- Cluster IPv6: 必要な場合のみ指定
- Choose the Cluster’s Solution:
- プルダウン: Check Point ClusterXL
- ラジオボタン: High Availability
Cluseter members’ properties
次の画面では、クラスターに含めるゲートウェイを指定します。ここでは新規ゲートウェイを追加するため、Add > New Cluster Member を選択します。
以下の画面が表示されるため、各項目を入力後、Initialize をクリックします。
- Name: 追加するゲートウェイのホスト名を入力
- IPv4 Address: 追加するゲートウェイの IP を入力 (通常はクラスターVIP に対する実IP が良いかと)
- IPv6 Address: 必要な場合のみ入力
- (Confirm) Activation Key: ゲートウェイの初期設定ウィザードで設定した Activation Key
- Trust State: 自動表示されるため何もしない
Initialize をクリック後、接続の確立に成功すると Trust State: 欄に Trust established
と表示されるため、この表示になったことを確認し OK をクリックします。
以下のようにゲートウェイがリストに追加されたことを確認します。
この後は、同様にクラスターに含めるゲートウェイをすべて追加して次へ進みます
Cluster Topology
以下の画面では次へ進みます。
この後は、ゲートウェイから自動検出されたインターフェースのセグメント情報に基づき、各セグメント(に属するインターフェース)のネットワークタイプ(ロール)を設定します。
選択できるロールは以下の 4 つです。
- Representing a cluster interface
- 通信用インターフェースで VIP を設定する
- Hello 送信あり
- 同期情報送信なし
- インターフェース監視あり
- Cluster Synchronization
- コネクション同期用インターフェース
- Hello 送信あり
- 同期情報送信あり
- インターフェース監視あり
- Private use of each member (don’t monitor members interfaces)
- Hello/同期情報送信なし、インターフェース監視あり
- Private use of each member (monitor members interfaces)
- Hello/同期情報送信なし、インターフェース監視なし
今回の例では、まず以下のように 192.168.200.0/24 セグメントの設定画面が表示されます。このインターフェースは管理用とするため Private use of each member (monitor members interfaces) を選択します。
続いて、192.168.75.0/24 セグメントについては Cluster + Sync
インターフェースとしますが、Wizard Mode の中では指定できないため、一旦 Cluster Synchronization とし、さらに Primary と設定します。
続いて、10.1.10.0/24 セグメントについては、Cluster + Sync
インターフェースとしますが、Wizard Mode の中では指定できないため、一旦 Representing a cluster interface を選択し、VIP として 10.1.10.33/24 を指定します。
Cluster Definition Wizard Complete
続いて以下の画面が表示されます。ウィザードでの設定は以上です。完了で閉じます。
オブジェクトの確認
ゲートウェイ & サーバ画面でリストにクラスターが追加されていることを確認します。
プロパティ画面での設定
ゲートウェイ & サーバ画面で、クラスターオブジェクト上で右クリックして編集を選択するとプロパティ画面を開くことができます。
ソフトウェアブレードの設定
ソフトウェアブレードの設定は General Properties 画面で行います。
メンバー Priority の設定
Cluster Members 画面では、メンバーの Priority
を設定できます。
リストの中から Priority を変更したいメンバーを選択した上で Increase Priority または Decrease Priority をクリックすることで Priority (優先順位) を変更することができます。
- リストの上に位置する方がより Priority が高いということになります
- Priority の情報としてはメンバーの優先順のみであり、数値設定はありません
メンバー復旧時の自動切り戻りと VMAC の設定
Priority の高いメンバーが障害から復旧したときに、自動的にそのメンバーをアクティブに切り戻すように設定することができます。
ClusterXL and VRRP 画面の Advanced Settings 内の Upon cluster member recovery で設定します。
- Maintain current active Cluster Member
- プライオリティが高いメンバーが復旧時も現在のアクティブ機は切り替えません
- デフォルト値
- Switch to higher priority Cluster Member
- プライオリティが高いメンバーが復旧時はそのメンバーにアクティブを自動で切り替えます
また VMAC(Virtual MAC)の設定は同じ画面の Use Virtual MAC のチェックボックスで行えます。
インターフェースのネットワークタイプの設定
インターフェースのネットワークタイプの設定は、Network Management 画面から行います。
Network Management 画面で、対象インターフェース上で右クリックし編集を選択します。
表示された画面の全般欄の Network Type 欄でネットワークタイプを設定できます。
プロパティ画面ではクラスター作成時の Wizard Mode では指定できない Cluster + Sync
タイプを指定できます。
Private
タイプである場合のインターフェース監視の有無の設定は Advanced 画面で行います。
インターフェースのトポロジの設定
トポロジを正確に設定しないとエラーとなり、プロパティ設定を完了できない場合があります。
Network Management 画面で、対象インターフェース上で右クリックし編集を選択します。
表示された画面で、トポロジ欄の変更をクリックします。
以下画面が表示されます。この画面で各種設定を行うことができます。
- 対象先(Leads To)
- このインターフェースの先にあるネットワークを指定します
- 「内部(internal)」の場合は、インターフェースアドレスによってか、またはルートから指定します
- セキュリティゾーン(Security Zone)
- ユーザ定義したゾーンか、またはトポロジから自動設定を指定します
- アンチスプーフィング(Anti-Spoofing)
- Perform Anti-Spoofing based on interface topology のチェックを外すとアンチスプーフィングを無効にできます。デフォルトでは有効です
- アクションを Prevent か Detect から指定できます
設定の公開とポリシーインストール
クラスター作成、およびプロパティ設定後は SmartConsole で設定の公開(確定)をした上で、各クラスターメンバーへのポリシーインストールを実施します。
ポリシーインストールをすることで初めてクラスターメンバーに設定が反映されます。
設定の公開
SmartConsole 画面上部の公開をクリックします。
ポリシーインストール
SmartConsole 画面左上のポリシーのインストールをクリックします。
オプションを確認した上でインストールをクリックします。
SmartConsole 画面左下にポリシーインストールのステータスが表示されます。詳細をクリックすると詳細画面を表示できます。
クラスター状態確認
SmartConsole
ゲートウェイ & サーバ 画面でクラスターおよび各メンバーの State がグリーンになっていれば正常です。
メンバーの CLI で確認
show cluster state
CP-GW01> show cluster state
Cluster Mode: High Availability (Active Up) with IGMP Membership
ID Unique Address Assigned Load State Name
1 (local) 10.1.10.31 100% ACTIVE CP-GW01
2 10.1.10.32 0% STANDBY CP-GW02
Active PNOTEs: None
Last member state change event:
Event Code: CLUS-114704
State change: STANDBY -> ACTIVE
Reason for state change: No other ACTIVE members have been found in the cluster
Event time: Thu May 20 15:48:11 2021
Last cluster failover event:
Transition to new ACTIVE: Member 2 -> Member 1
Reason: Incorrect configuration - Local cluster member has fewer cluster interfaces configured compared to other cluster member(s)
Event time: Thu May 20 15:48:11 2021
Cluster failover count:
Failover counter: 1
Time of counter reset: Thu May 20 15:27:31 2021 (reboot)
show cluster statistics sync
CP-GW01> show cluster statistics sync
Delta Sync Statistics
Sync status: OK
Drops:
Lost updates................................. 0
Lost bulk update events...................... 0
Oversized updates not sent................... 0
Sync at risk:
Sent reject notifications.................... 0
Received reject notifications................ 0
Sent messages:
Total generated sync messages................ 8424
Sent retransmission requests................. 0
Sent retransmission updates.................. 0
Peak fragments per update.................... 1
Received messages:
Total received updates....................... 330
Received retransmission requests............. 0
Sync Interface:
Name......................................... eth1
Link speed................................... 1000Mb/s
Rate......................................... 3910 [Bps]
Peak rate.................................... 3960 [Bps]
Link usage................................... 0%
Total........................................ 4744 [KB]
Queue sizes (num of updates):
Sending queue size........................... 512
Receiving queue size......................... 256
Fragments queue size......................... 50
Timers:
Delta Sync interval (ms)..................... 100
Reset on Thu May 20 15:28:14 2021 (triggered by fullsync).
―――――――――――――