【Check Point R80.40】インターフェース設定の基礎知識

ファイアウォール(UTM)
2021.05.17
スポンサーリンク

インターフェース設定

Gaia がサポートしているインターフェースタイプは以下の通り。

  • イーサネット物理インターフェース
  • エイリアス
    • さまざまなインターフェースタイプのセカンダリ IP アドレス
    • これは ClusterXL ではサポートされていません
  • VLAN
  • Bond (Link Aggregation)
  • Bridge
  • Loopback
  • 6in4 tunnel
  • PPPoE

インターフェース IP アドレスを追加、削除、または変更する場合、Security Gateway または Cluster オブジェクトの SmartConsole で [GetTopology] オプションを使用すると、誤ったトポロジが表示される可能性があります。 これが発生した場合は、Security Gateway または Cluster メンバーで「cpstop」コマンドを実行してから「cpstart」コマンドを実行します。

物理インターフェース

  • Gaia 動作中は、物理インターフェースカードを [追加/変更/削除] することはできません
  • Gaia は物理インターフェース(NIC)を自動的に識別します

■インターフェースカードの追加/取り外し手順

  1. Gaia を停止させます
    • Gaia ポータルの場合、Maintenance > Shut Down をクリックし、Halt をクリック
    • CLI の場合、halt を実行
  2. インターフェースカードを [追加/取り外し/交換] します
  3. Gaia を起動させます
  • Gaia は、新規または変更された物理インターフェースを自動的に識別し、インターフェース名を割り当てます
  • 物理インターフェースは、Gaia ポータルのリストに表示されます

■Gaia ポータルでのインターフェース設定

  1. ナビゲーションツリーで Network Management > Network Interfaces をクリック
  2. リストからインターフェースを選択し Edit をクリック
  • [Enable] オプションを選択して、インターフェース・ステータスを UP に設定
  • [Comment] フィールドに、任意にコメントテキスト(最大100文字)を入力
  • [IPv4] タブで、次のいずれかを実行
    • DHCPv4 サーバーから IPv4ア ドレスを取得するには、[Obtain IPv4 address automatically] を選択
    • 手動で IPv4 アドレスとサブネットマスクを入力
  • [Ethernet] タブ
    • [Auto Negotiation] を選択するか、リストからリンク speed と duplex 設定を選択
    • [Hardware Address] フィールドに、ハードウェア MAC アドレスを入力(NICから自動的に取得されない場合)
      • MAC アドレスが正しくないか、変更されていることが確実でない限り、MAC アドレスを手動で変更しないでください。 誤った MAC アドレスは、通信障害につながる可能性があります
    • [MTU] フィールドに、適切な最大伝送ユニット(MTU)値を入力します
      • 最小値は68、最大値は16000、デフォルト値は1500
    • 必要に応じて、Monitor Mode を選択
      • Monitor Mode の設定手順については次を参照:
        R80.40 Installation and Upgrade Guide > Chapter Special Scenarios for Security Gateways > Section Deploying a Security Gateway in Monitor Mode

■CLI (Clish) でのインターフェース設定

set interface <Name of Physical Interface>
      auto-negotiation {on | off}
      comments "Text"
      ipv4-address <IPv4 Address> {subnet-mask <Mask> | mask-length <Mask Length>}
      ipv6-address <IPv6 Address> mask-length <Mask Length>
      ipv6-autoconfig {on | off}
      link-speed {10M/half | 10M/full | 100M/half | 100M/full | 1000M/full | 10000M/full}
      mac-addr <MAC Address>
      monitor-mode {on | off}
      mtu <68-16000 | 1280-16000>
      rx-ringsize <0-4096>
      state {on | off}
      tx-ringsize <0-4096>

VLAN インターフェース

■Gaia ポータルでの Vlan インターフェース設定

  1. ナビゲーションツリーで Network Management > Network Interfaces をクリック
  2. VLAN インターフェースを追加する物理インターフェースに IP アドレスがないことを確認してください
  3. Add > VLAN をクリック
    • 既存の VLAN インターフェースを構成するには、VLAN インターフェースを選択し、「Edit」をクリック
  • [Add VLAN ](または[Edit VLAN])ウィンドウで、[Enable] オプションを選択して、VLAN インターフェースを UP に設定
  • [IPv4] タブで、IPv4 アドレスとサブネットマスクを入力
    • オプションで、[Obtain IPv4 Address automatically] オプションを選択できます
  • [VLAN] タブで、2〜4094 の VLAN ID(VLAN タグ)を入力または選択します
  • [Member Of] フィールドで、この VLAN を紐づける物理インターフェースを選択します

既存の VLAN インターフェースの VLAN ID または物理インターフェースを変更することはできません。 これらのパラメータを変更するには、VLAN インターフェースを削除してから、新しい VLAN インターフェースを作成します。

■CLI (Clish) での VLAN インターフェース設定

VLAN インターフェースを追加する物理インターフェースに IP アドレスがないことを確認してください。

●VLAN インターフェースの追加

add interface <Name of Physical Interface> vlan <VLAN ID>

●VLAN インターフェースの設定

set interface <Name of Physical Interface>.<VLAN ID>
      comments "Text"
      ipv4-address <IPv4 Address>
      subnet-mask <Mask>
      mask-length <Mask Length>
      ipv6-address <IPv6 Address> mask-length <Mask Length>
      ipv6-autoconfig {on | off}
      mtu <68-16000 | 1280-16000>
      state {on | off}

●VLAN インターフェースの削除

delete interface <Name of Physical Interface> vlan <VLAN ID>

Access Mode VLAN

  • スイッチポートをアクセスモードで設定する場合は、2 つの VLAN インターフェースをスレーブとして使用してブリッジインターフェースを作成します
  • VLAN translation の場合は、異なる番号の VLAN インターフェースを使用してブリッジインターフェースを作成します
  • 同じ Security Gateway 上に複数の VLAN translation ブリッジを構築できます
  1. 2 つの VLAN インターフェースを設定します
  2. ブリッジインターフェースを作成し、VLAN インターフェースをスレーブとして選択します

VLAN translation は、FONIC(Fail-Open NIC)のブリッジポートではサポートされていません。

Trunk Mode VLAN

  • スイッチポートを VLAN トランクとして設定する場合、Check Point Bridge インターフェースが VLAN に干渉しないようにする必要があります
  • VLAN トランクを使用してブリッジインターフェースを設定するには、スレーブとして 2 つの物理(非VLAN)インターフェースを使用してブリッジインターフェースを作成します
  • Security Gateway はタグ付きパケットを処理し、VLAN タグをパケットから削除しません
  • トラフィックは、元の VLAN タグとともに宛先に渡されます

VLAN translation は、トランクモードではサポートされていません。

Bond (Link Aggregation)

  • Check Point セキュリティデバイスは、複数の物理インターフェースを 1 つの仮想インターフェース(ボンドインターフェースと呼ばれる)に結合するテクノロジであるリンクアグリゲーションをサポートしています
  • Check Point デバイスは、動的リンクアグリゲーション用の IEEE 802.3ad リンクアグリゲーション制御プロトコル(LCAP)をサポートしています
  • ボンドインターフェースボンディンググループまたはボンドとも呼ばれます)は、そのボンド ID(例:bond1)によって識別され、IP アドレスが割り当てられます
  • ボンドに含まれる物理インターフェースはスレーブと呼ばれ、IP アドレスを持っていません
  • ボンドインターフェースのモードには以下の 2 つがあります
    • High Availability (Active/Backup)
    • Load Sharing (Active/Active)

ボンディングロードシェアリングモードでは、Security Gateway または各クラスターメンバーで SecureXL を有効にする必要があります。

Load Sharing ではさらに以下の 3 つのモードが選択できます。

  • Round Robin
    • アクティブなスレーブインターフェースを順番に選択します
  • 802.3ad
    • アクティブなスレーブインターフェースを動的に使用して、トラフィックの負荷を共有します
    • このモードでは、LACP プロトコルを使用します
  • XOR
    • UP 状態のすべてのスレーブインターフェースは、ロードシェアリングに対してアクティブです
    • トラフィックは、送信ハッシュポリシー(レイヤー2 情報(ハードウェア MAC アドレスのXOR)、またはレイヤー3 + 4 情報(IP アドレスとポート))に基づいてアクティブなスレーブインターフェースに割り当てられます

ボンドインターフェースでは、最大 8 つの物理スレーブインターフェースを設定できます。

■Gaia ポータルでのボンドインターフェース設定

  1. ナビゲーションツリーで Network Management > Network Interfaces をクリック
  2. ボンドインターフェースに追加したいスレーブインターフェースに IP アドレスがないことを確認してください
  3. Add > Bond をクリック(新規作成の場合)
    • 既存のボンドインターフェースを構成するには、ボンドインターフェースを選択し、「Edit」をクリック
  • [IPv4] タブで、IPv4 アドレスとサブネットマスクを入力
    • オプションで、[Obtain IPv4 Address automatically] オプションを選択できます
  • [Bond] タブ
    • ボンドグループ ID を選択または入力します(0 から 1024 までの整数)
    • Available Interfaces」リストからスレーブインターフェースを選択し、「Add」をクリック
      • スレーブインターフェースに IP アドレスまたはエイリアスが設定されていないことを確認してください
    • Operation Mode を選択します
      • Round Robin(デフォルト)
      • Active-Backup
      • XOR
      • 802.3ad
  • [Advanced] タブ
    • 必要に応じて MTU を設定
    • モニター間隔の設定
      • 各スレーブインターフェースのリンク障害をチェックするまでの待機時間
      • 範囲は 1〜5000 ミリ秒(デフォルトは 100 ミリ秒)
    • ダウン遅延の設定
      • スレーブインターフェースにモニター要求を送信した後、スレーブインターフェースをダウンさせるまでの待機時間
      • 範囲は 1〜5000 ミリ秒(デフォルトは 200 ミリ秒)
    • アップ遅延の設定
      • スレーブインターフェースにモニター要求を送信した後、スレーブインターフェースを起動するまでの待機時間
      • 範囲は 1〜5000 ミリ秒(デフォルトは 200 ミリ秒)
  • 選択した Operation Mode に応じて追加の設定ができます
    • Round Robin: 追加の設定はありません
    • Active-Backup: プライマリインターフェースを選択します
    • XOR: 送信ハッシュポリシーを選択します
      • これは、指定された TCP/IP 層に従ってスレーブインターフェースを選択するためのアルゴリズムです
      • レイヤ2(物理インターフェースMACアドレスのXORを使用)またはレイヤ3 + 4(レイヤ3およびレイヤ4プロトコルデータを使用)のいずれかを選択します
    • 802.3ad: 次の 2 つの手順を実行します
      1. 送信ハッシュポリシーを選択します
        • 指定された TCP/IP レイヤーに従ってスレーブインターフェースを選択するためのアルゴリズム
        • レイヤ2(物理インターフェースのMACアドレスのXORを使用)またはレイヤ3 + 4(IPアドレスとポートを使用)のいずれかを選択します
      2. LACP レートを選択します
        • LACP パートナーが LACPDU を送信する頻度
        • Slow(30秒ごと)または Fast(1秒ごと)のいずれかを選択します

■CLI (Clish) での VLAN インターフェース設定

Gaia Clish では、ボンドインターフェースはボンディンググループと呼ばれます。

●設定手順

  1. スレーブとする予定の物理インターフェースに IP アドレスがないことを確認してください
  2. 新しいボンディンググループを追加します
  3. 物理スレーブインターフェースの状態を UP に設定します
  4. ボンディンググループにスレーブインターフェースを追加します
  5. ボンドオペレーションモードを設定します
  6. その他のボンドパラメータ(プライマリインターフェース、メディアモニタリング、遅延率)を設定します
  7. 設定を save します

物理インターフェースで行うのと同じ方法で、ボンディンググループに IP アドレスを設定できます。

●ボンディンググループの新規追加

add bonding group <Bond Group ID>

setinterface state」コマンドを使用して、ボンドインターフェースの状態を手動で変更しないでください。 これは、ボンディングドライバーによって自動的に行われます。

●ボンディンググループへのスレーブインターフェースの追加

add bonding group <Bond Group ID> interface <Name of Slave Interface>

  • スレーブインターフェースには IPアドレスが割り当てられていてはなりません
  • スレーブインターフェースにはエイリアスが割り当てられていてはなりません
  • ボンドインターフェースには2〜8個のスレーブインターフェースを含めることができます

●ボンディンググループのオペレーションモード設定

set bonding group <Bond Group ID> mode
      active-backup [primary <Name of Slave Interface>]
      round-robin
      8023AD [lacp-rate {slow | fast}]
      xor xmit-hash-policy {layer2 | layer3+4}

  • Active-Backup モードでは、任意でプライマリスレーブインターフェース(primary)の設定が可能
  • 8023AD モードでは、任意で LACP パケット伝送速度(lacp-rate)の設定が可能
  • XOR モードでは、送信ハッシュポリシー(xmit-hash-policy)を設定する必要があります

●ボンディンググループのディレイタイム設定

set bonding group <Bond Group ID>
      up-delay <0-5000>
      down-delay <0-5000>

●ボンディンググループのモニタリングタイプ設定

set bonding group <Bond Group ID> monitoring-type
      arp arp-target-ip <IPv4 Address>
      mii mii-interval <0-5000>

●ボンディンググループからのスレーブインターフェースの削除

delete bonding group <Bond Group ID> [interface <Interface Name> | force-ignore-routes]

プライマリスレーブインターフェースを削除する前に、すべての非プライマリスレーブインターフェースを削除する必要があります。

●ボンディンググループの削除

delete bonding group <Bond Group ID>

  • ボンディンググループを削除する前に、ボンディンググループからすべてのスレーブインターフェースを削除する必要があります
  • プライマリスレーブインターフェースを削除する前に、すべての非プライマリスレーブインターフェースを削除する必要があります

●ボンディンググループ設定の表示

show bonding {group <Bond Group ID> | groups}

●ボンディンググループ機能の確認

エキスパートモードで以下コマンドを実行。

cat /proc/net/bonding/<Bond Group ID>

Bridge インターフェース

  • ブリッジインターフェイスは、2 つの異なるインターフェイス(ブリッジポート)を L2 で接続します
  • 2 つのインターフェイスをブリッジすると、一方のブリッジポートで受信されたすべてのイーサネットフレームがもう一方のポートに送信されます
    • したがって、2 つのブリッジポートは同じブロードキャストドメインに参加します(ルーターポートの動作とは異なります)
  • セキュリティポリシーは、ブリッジを通過するすべてのイーサネットフレームを検査します

1 つのブリッジインターフェイスで接続できるのは 2 つのインターフェイスのみであり、仮想 2 ポートスイッチを作成します。 物理デバイス、VLAN デバイス、またはボンドデバイスを指定することができます。

  • 1 つの Security Gateway またはクラスタを使用してブリッジモードを設定できます
  • ブリッジは、IP アドレスが割り当てられていなくても機能します
  • ブリッジイーサネットインターフェイス(アグリゲートインターフェイスを含む)は、物理ブリッジのポートのように機能します
  • SmartConsole でブリッジポートのトポロジを設定できます
  • 個別のネットワークまたはグループオブジェクトは、各ポートに接続するネットワークまたはサブネットを表します
  • Gaia OSは、ネイティブのレイヤ2ブリッジングを実装するブリッジインターフェイスをサポートしています
  • Gaia OSは、スパニングツリープロトコル(STP)ブリッジをサポートしていません
  • ボンドインターフェイスの一部であるスレーブインターフェイスをブリッジインターフェイスの一部にすることはできません
  • ブリッジインターフェイスは、レイヤ 2 アドレッシングでトラフィックを送信します
  • 同じデバイス上で、一部のインターフェイスをブリッジインターフェイスとして設定し、他のインターフェイスをレイヤ 3 インターフェイスとして機能させることができます
  • ブリッジインターフェイス間のトラフィックはレイヤ 2 で検査されます
  • 2 つのレイヤ 3 インターフェイス間、またはブリッジインターフェイスとレイヤ 3 インターフェイス間のトラフィックはレイヤ 3 で検査されます

■Gaia ポータルでのブリッジインターフェース設定

  1. ナビゲーションツリーで Network Management > Network Interfaces をクリック
  2. ブリッジインターフェイスに追加する予定のインターフェイスに IP アドレスが割り当てられていないことを確認してください
  3. Add > Bridge をクリック
    • 既存のブリッジインターフェイスを設定する場合は、ブリッジインターフェイスを選択し [Edit]をクリックします
  4. [Bridge] タブで、ブリッジグループ ID(1〜1024の一意の整数)を入力または選択します
  5. Available Interfaces」リストからインターフェースを選択し「Add」をクリック
  6. [IPv4] タブで、IPv4 アドレスとサブネットマスクを入力します
    • オプションで [Obtain IPv4 Address automatically] を選択できます
  7. OK をクリック

より詳しくは、R80.40 Installation and Upgrade Guide > Chapter Special Scenarios for Security Gateways > Section Deploying a Security Gateway or a ClusterXL in Bridge Mode を参照。

■CLI (Clish) でのブリッジインターフェース設定

Gaia Clishでは、ブリッジインターフェースはブリッジンググループと呼ばれます。

物理インターフェースで行うのと同じ方法で、ブリッジンググループに IP アドレスを設定できます。

●設定手順

  1. スレーブとする予定のインターフェースに IP アドレスがないことを確認します
  2. 新しいブリッジンググループを追加します
  3. ブリッジンググループにスレーブインターフェースを追加します
  4. ブリッジンググループに IP アドレスを設定します
  5. 設定を save します

●ブリッジンググループの新規追加

add bridging group <Bridge Group ID>

set interface state」コマンドを使用して、ブリッジインターフェイスの状態を手動で変更しないでください。 これは、ブリッジングドライバーによって自動的に行われます。

●ブリッジンググループへのスレーブインターフェース追加

add bridging group <Bridge Group ID> interface <Name of Slave Interface>

●ブリッジンググループへのフェールオープンインターフェイス追加

add bridging group <Bridge Group ID> fail-open-interfaces <Name of Slave Interface>

●ブリッジンググループの設定

set interface <Name of Bridge Interface>
      comments "Text"
      ipv4-address <IPv4 Address>
            subnet-mask <Mask>
            mask-length <Mask Length>
      ipv6-address <IPv6 Address> mask-length <Mask Length>
      ipv6-autoconfig {on | off}
      mac-addr <MAC Address>
      mtu <68-16000 | 1280-16000>
      rx-ringsize <0-4096>
      tx-ringsize <0-4096>

●ブリッジンググループからのスレーブインターフェース削除

delete bridging group <Bridge Group ID> interface <Name of Slave Interface>

●ブリッジンググループからのフェールオープンインターフェイス削除

delete bridging group <Bridge Group ID> fail-open-interfaces <Name of Slave Interface>

●ブリッジンググループの削除

delete bridging group <Bridge Group ID>

ブリッジンググループを削除する前に、ブリッジンググループからすべてのスレーブインターフェイスを削除する必要があります。

●ブリッジンググループの確認コマンド

show bridging group <Bridge Group ID>
show bridging groups

Loopback インターフェース

  • IPv4 または IPv6 アドレスを lo(ローカル)インターフェースに割り当てることにより、仮想ループバックインターフェースを定義できます
  • これは、テスト目的で、または番号なしインターフェイスのプロキシインターフェイスとして役立ちます

■Gaia ポータルでの Loopback インターフェース設定

  1. ナビゲーションツリーで Network Management > Network Interfaces をクリック
  2. ブリッジインターフェイスに追加する予定のインターフェイスに IP アドレスが割り当てられていないことを確認してください
  3. Add > Loopback をクリック
  4. Add loopback 画面次の設定を行います
    • ループバックインターフェイスのステータスを UP に設定するために [Enable] オプションを選択(デフォルトでON)
    • [Comment] フィールドに、任意でコメントテキスト(最大100文字)を入力
    • [IPv4] タブで、IPv4 アドレスとサブネットマスクを入力
      • 次の IPv4 アドレスは設定不可です
        • 0.x.x.x
        • 127.x.x.x
        • 224.x.x.x – 239.x.x.x (Class D)
        • 240.x.x.x – 255.x.x.x (Class E)
        • 255.255.255.255
  5. OK をクリック

新しいループバックインターフェイス名は、文字列「loop」にシーケンス番号を追加することで自動的に作成されます。 たとえば、最初のループバックインターフェイスの名前は loop00 です。 2番目のループバックインターフェイスは loop01 です。

■CLI (Clish) での Loopback インターフェース設定

●Loopback インターフェースの新規追加

add interface lo loopback <IPv4 Address>/<Mask Length>

●Loopback インターフェースの IP アドレス設定

set interface <Name of Loopback Interface> {ipv4-address <options> | ipv6-address <options>}

Loopback インターフェースについては、IPv4/IPv6 アドレスのみ設定可能です。

●Loopback インターフェースの削除

delete interface lo loopback <Name of Loopback Interface>

Gaia Management Interface

Gaia オペレーティングシステムに接続するためのメインインターフェイスです。

このインターフェイスは、Gaia 初期設定ウィザードで選択した管理インターフェースです。

■ Gaia ポータルで Management インターフェースを変更する

  1. ナビゲーションツリーで Network Management > Network Interfaces をクリック
  2. Management Interface セクションで Set Management Interface をクリック
    • このボタンの上に、現在の管理インターフェイスの名前が表示されます
  3. Management Interface フィールドで、管理インターフェースとするインターフェースを選択します
  4. OK をクリック

■ CLI (Clish) で Management インターフェースを変更する

set management interface <Name of Interface>

●Management インターフェースを確認するコマンド

show management interface

参考資料

―――――――――――――

Check Point アプライアンス設定用情報まとめ
基礎知識【LT 風】Check Point アプライアンス構築ロードマップ※以下は公式マニュアル等の内容のまとめ【Check Point R80.40】構築用メモ【基礎知識】【Check Point R...
nwengblog.com
2021.05.10
スポンサーリンク
タイトルとURLをコピーしました