【Check Point R81.10】Full High Availability クラスタ設定例

ファイアウォール(UTM)

作業環境

  • Check Point R81.10 Standalone x2(Full High Availability Cluster)
    • VMware 上にインストール

Full High Availability クラスタとは

Full High Availability クラスタ(Full HA クラスタ)とは、スタンドアロン構成(ゲートウェイ、管理サーバの両方がインストールされている構成)の Check Point アプライアンス 2 台が High Availability モードの ClusterXL で冗長化された構成であり、ゲートウェイと管理サーバの両方が冗長化されます

以下では、Full HA クラスタの初期構築例を記載します。

初期設定ウィザードでの設定内容

以下では Full HA クラスタに関わる設定項目についてのみ記載します。その他項目についてはこちらこちらの記事を確認してください。

プライマリ機での設定

Full HA クラスタのプライマリ機では、初期設定ウィザードの Products の画面の Clustering を以下のように設定します。

Clusetering 設定 (プライマリ機)
  • Unit is a part of a cluster, type:
    • チェックボックスにチェック ON
    • ClusterXL を選択
  • Define Security Management as:
    • Primary を選択

セカンダリ機での設定

Full HA クラスタのセカンダリ機では、初期設定ウィザードの Products の画面の Clustering を以下のように設定します。

Clusetering 設定 (セカンダリ機)
  • Unit is a part of a cluster, type:
    • チェックボックスにチェック ON
    • ClusterXL を選択
  • Define Security Management as:
    • Secondary を選択

また、セカンダリ機では SIC 認証用のワンタイムパスワードの設定が必要なため、以下画面で任意のパスワードを設定します。

Gaia OS の設定

初期設定ウィザードでの設定が完了したら、各機器について Gaia OS の設定をします。

ここでは最低限の設定として以下の設定をしておきます。

Gaia OS 設定
  • ホスト名(初期設定ウィザードで設定したものから変更はしない)
  • 時刻
  • DNS サーバ
  • インターフェース
  • スタティックルート

なお、ここでは以下の構成を想定して設定しました。

SmartConsole での設定

Gaia OS の設定ができたら、SmartConsole でクラスタオブジェクトの設定を行います。

事前準備として SmartConsole R81.10 を管理用端末にインストールしておきます。

プライマリ機の管理サーバにログインします。

クラスタオブジェクトの設定

SmartConsole にログインすると、以下のクラスタ設定画面が表示されます。

[次へ] をクリックします。

以下の画面ではクラスタオブジェクトの名前を設定しまします。任意の名前で OK です。

以下の画面ではセカンダリ機の情報を入力します。

  • Secondary Member Name:
    • セカンダリ機のホスト名を入力
  • Secondary Member IPv4 Address:
    • セカンダリ機の IP アドレスを入力
  • Activation Key:/Confirm Activation Key:
    • セカンダリ機の初期設定ウィザードで設定したワンタイムパスワードを入力

次の画面からは、インタフェースの設定画面が続きます。インタフェース毎に設定画面が表示され、インターフェースの役割と、VIP 有の場合は VIP を設定していきます。

以下の eth2 は同期用インターフェースとするため「Cluster Sync Interface」を選択します。

以下の eth1 は VIP 有のインターフェースとするため「Cluster Interface with Virtual IP」を選択し、VIP を入力します。

以下の eth2 についても VIP 有のインターフェースとするため「Cluster Interface with Virtual IP」を選択し、VIP を入力します。

インターフェース設定が完了すると以下の画面になります。チェックボックスにチェックを入れると、この後続けてクラスタオブジェクトのプロパティ画面が開きます。ここではチェックを入れてプロパティ設定もすることにします。

この後以下のオブジェクト間での IP 競合の警告が出ますが、無視して「はい」で問題ありません。

この後、以下のプロパティ画面が表示されます。

General Properties 画面では、各機能の ON/OFF ができます。デフォルトで IPsec VPN が有効になっていますがここでは必要ないのでチェックを外して無効にしておきます。

Network Management 画面では、インターフェース設定を確認できます。ここでは設定確認のみで設定変更は行わないでおきます。

NAT 画面では、内部ネットワークの IP をゲートウェイ IP に NAT するかを設定できます。デフォルトでは OFF ですが、ここでは後で通信確認をするために ON にしておきます。

ここではプロパティ設定については以上にして、画面右下の OK をクリックして画面を閉じます。

SmartConsole の GATEWAYS & SERVERS 画面で、クラスタオブジェクト及びそのメンバーのオブジェクトが表示されていることを確認します。現時点ではステータスは赤の×マークとなっていますがポリシーインストール前の状態としてはこれで問題ありません。

セキュリティポリシーの設定とポリシーインストール

この後はゲートウェイへのポリシーインストールを行いますが、その前に最低限のセキュリティポリシーの設定をしておきます。ゲートウェイへの管理アクセスの許可ポリシーは忘れずに設定してください。

ここでは以下のように内部ネットワークからインターネットへの通信を許可するポリシーと、ゲートウェイへの管理アクセスを許可するポリシーを設定します。

セキュリティポリシーの設定ができたら Publish を実行して設定変更を確定します。

Publish できたら、ゲートウェイへのポリシーインストールを行います。ここでは Threat Prevention 機能は特に使わないのでチェックを外しておきます。

ポリシーインストールを実行した後、管理サーバについてセカンダリ機への同期が開始されます。同期完了まではしばらく時間がかかります。

SmartConsole の下側のバーの中央にあるデータベースマークと IP アドレスの部分をクリックすると、High Availability Status 画面が表示されます。この画面で同期状態を確認できます。最初の同期が完了するまでは以下のような画面になっています。

同期タスクの状態は SmartConsole 画面左下のタスクリストで確認できます。

管理サーバの同期が完了すると High Availability Status 画面は以下のような表時になります。

ちなみに、Standby の管理サーバにも SmartConsole でログインできますが、その場合は読み取り専用モードになるため、設定変更はできません。

  • 以後、SmartConsole で Publish を実行したタイミング、及び何もしていなくても定期的な間隔で管理サーバの設定が Standby 機へ同期されます

ClusterXL の状態確認

ClusterXL の状態を CLI で確認します。

Clish での show cluster state または Clish/エキスパートモードでの cphaprob state で ClusterXL の状態を確認できます。

[Expert@CP8110-01:0]# cphaprob state

Cluster Mode:   High Availability (Active Up) with IGMP Membership

ID         Unique Address  Assigned Load   State          Name

1 (local)  10.0.1.1        100%            ACTIVE         CP8110-01
2          10.0.1.2        0%              STANDBY        CP8110-02


Active PNOTEs: None

Last member state change event:
   Event Code:                 CLUS-114904
   State change:               ACTIVE(!) -> ACTIVE
   Reason for state change:    Reason for ACTIVE! alert has been resolved
   Event time:                 Sun May  1 17:42:23 2022

Cluster failover count:
   Failover counter:           0
   Time of counter reset:      Sun May  1 16:24:09 2022 (reboot)

ClusterXL の状態確認コマンドはこの他にもいくつかありますが、詳しくは以下の記事を確認してください。

ClusterXL 動作検証

以下の構成で、端末からインターネットへ Ping をしつつ、Active 機をダウンさせて断時間を確認してみます。

端末のデフォルトゲートウェイは Check Point ゲートウェイの VIP である 192.168.75.13 としています。

Active 機の eth1 の State を OFF にしてフェイルオーバーを発生させてみます。

CP8110-01> set interface eth1 state off
CP8110-01>
CP8110-01> show cluster state

Cluster Mode:   High Availability (Active Up) with IGMP Membership

ID         Unique Address  Assigned Load   State          Name

1 (local)  10.0.1.1        0%              DOWN           CP8110-01
2          10.0.1.2        100%            ACTIVE         CP8110-02

Ping の結果としては以下の通りで、断時間は 2 秒程度でした。

参考資料

Understanding Full High Availability Cluster on Appliances
Installing Full High Availability Cluster
Synchronizing Active and Standby Servers


タイトルとURLをコピーしました