作業環境
- Check Point R81.10 Standalone x2(Full High Availability Cluster)
- VMware 上にインストール
ClusterXL 状態確認コマンド
古いバージョンでは ClusterXL 状態確認のために Clish/エキスパートモードでの cphaprob コマンドのみ使用できましたが、R81.10 の場合は、cphaprob に加えて、Clish にて cphaprob と同じ内容を表示できる show cluster コマンドを使用することができます。ただし、show cluster コマンドでは表示できない内容もあります。
クラスタ・同期リンクの状態を表示
- show cluster:
show cluster state - cphaprob:
cphaprob state
クラスタ自体及び同期リンクの状態を確認することができます。クラスタで同期リンクを 2 つ以上設定している場合でも、インタフェース ID の最も小さいインタフェースについてのみ表示されます。さらにクラスタメンバの状態変化履歴も表示されます。
- Active 側で実行した場合
CP8110-01> show cluster state
Cluster Mode: High Availability (Active Up) with IGMP Membership
ID Unique Address Assigned Load State Name
1 (local) 10.0.2.40 100% ACTIVE CP8110-01
2 10.0.2.41 0% STANDBY CP8110-02
Active PNOTEs: None
Last member state change event:
Event Code: CLUS-114704
State change: STANDBY -> ACTIVE
Reason for state change: No other ACTIVE members have been found in the cluster
Event time: Thu Apr 28 16:54:34 2022
Last cluster failover event:
Transition to new ACTIVE: Member 2 -> Member 1
Reason: ADMIN_DOWN PNOTE
Event time: Thu Apr 28 16:54:34 2022
Cluster failover count:
Failover counter: 2
Time of counter reset: Thu Apr 28 14:07:17 2022 (reboot)- Standby 側で実行した場合
CP8110-02> show cluster state
Cluster Mode: High Availability (Active Up) with IGMP Membership
ID Unique Address Assigned Load State Name
1 10.0.2.40 100% ACTIVE CP8110-01
2 (local) 10.0.2.41 0% STANDBY CP8110-02
Active PNOTEs: None
Last member state change event:
Event Code: CLUS-114802
State change: DOWN -> STANDBY
Reason for state change: There is already an ACTIVE member in the cluster (member 1)
Event time: Thu Apr 28 16:54:58 2022
Last cluster failover event:
Transition to new ACTIVE: Member 2 -> Member 1
Reason: ADMIN_DOWN PNOTE
Event time: Thu Apr 28 16:54:34 2022
Cluster failover count:
Failover counter: 2
Time of counter reset: Thu Apr 28 14:07:17 2022 (reboot)インターフェース状態及び VIP の表示
- show cluster: なし
- cphaprob:
cphaprob -a if
cphaprob -a if では各インターフェースの状態やロール、インターフェースごとの VIP の確認をすることができます。
- Active 側で実行した場合
[Expert@CP8110-01:0]# cphaprob -a if
CCP mode: Manual (Unicast)
Required interfaces: 4
Required secured interfaces: 1
Interface Name: Status:
eth0 UP
eth1 UP
eth2 UP
eth3 (S) UP
S - sync, LM - link monitor, HA/LS - bond type
Virtual cluster interfaces: 3
eth1 192.168.247.42
eth2 10.0.1.42
eth3 10.0.2.42- Standby 側で実行した場合
[Expert@CP8110-02:0]# cphaprob -a if
CCP mode: Manual (Unicast)
Required interfaces: 4
Required secured interfaces: 1
Interface Name: Status:
eth0 UP
eth1 UP
eth2 UP
eth3 (S) UP
S - sync, LM - link monitor, HA/LS - bond type
Virtual cluster interfaces: 3
eth1 192.168.247.42
eth2 10.0.1.42
eth3 10.0.2.42クラスタメンバのロールの表示
- show cluster:
show cluster roles - cphaprob:
cphaprob role
各クラスタメンバのロールの確認ができます。以下の出力例のように Active 側ではロールが Master、Standby 側ではロールが Non-Master と表示されます。
- Active 側で実行した場合
CP8110-01> show cluster roles
ID Role
1 (local) Master
2 Non-Master- Standby 側で実行した場合
CP8110-02> show cluster roles
ID Role
1 Master
2 (local) Non-Masterクラスタメンバの IP アドレス一覧を表示
- show cluster: なし
- cphaprob:
cphaprob tablestat
cphaprob tablestat では各クラスタメンバの各インターフェースの IP アドレスを一覧で表示できます。ただし、対向メンバのプライベートインターフェースの IP アドレスは表示されません。
- Active 側で実行した場合
[Expert@CP8110-01:0]# cphaprob tablestat
---- Unique IP's Table ----
Member Interface IP-Address MAC-Address
----------------------------------------------------------------------
(Local)
0 1 192.168.159.40 00:0c:29:6a:1d:00
0 2 192.168.247.40 00:0c:29:6a:1d:0a
0 3 10.0.1.40 00:0c:29:6a:1d:14
0 4 10.0.2.40 00:0c:29:6a:1d:1e
1 1 192.168.159.41 00:0c:29:d9:f0:66
1 2 192.168.247.41 00:0c:29:d9:f0:70
1 3 10.0.1.41 00:0c:29:d9:f0:7a
1 4 10.0.2.41 00:0c:29:d9:f0:84
----------------------------------------------------------------------- Standby 側で実行した場合
[Expert@CP8110-02:0]# cphaprob tablestat
---- Unique IP's Table ----
Member Interface IP-Address MAC-Address
----------------------------------------------------------------------
0 1 192.168.159.40 00:0c:29:6a:1d:00
0 2 192.168.247.40 00:0c:29:6a:1d:0a
0 3 10.0.1.40 00:0c:29:6a:1d:14
0 4 10.0.2.40 00:0c:29:6a:1d:1e
(Local)
1 1 192.168.159.41 00:0c:29:d9:f0:66
1 2 192.168.247.41 00:0c:29:d9:f0:70
1 3 10.0.1.41 00:0c:29:d9:f0:7a
1 4 10.0.2.41 00:0c:29:d9:f0:84
----------------------------------------------------------------------同期に関する統計情報の表示
- show cluster:
show cluster statistics sync - cphaprob:
cphaprob syncstat
同期に関する統計情報などを表示できます。
CP8110-01> show cluster statistics sync
Delta Sync Statistics
Sync status: OK
Drops:
Lost updates................................. 0
Lost bulk update events...................... 0
Oversized updates not sent................... 0
Sync at risk:
Sent reject notifications.................... 0
Received reject notifications................ 0
Sent messages:
Total generated sync messages................ 10067
Sent retransmission requests................. 0
Sent retransmission updates.................. 0
Peak fragments per update.................... 1
Received messages:
Total received updates....................... 2492
Received retransmission requests............. 0
Sync Interface:
Name......................................... eth3
Link speed................................... 00000007 (7)
Rate......................................... 6220 [Bps]
Peak rate.................................... 6730 [Bps]
Link usage................................... 0%
Total........................................ 44421 [KB]
Queue sizes (num of updates):
Sending queue size........................... 512
Receiving queue size......................... 256
Fragments queue size......................... 50
Timers:
Delta Sync interval (ms)..................... 100
Reset on Thu Apr 28 15:34:57 2022 (triggered by fullsync).トランスポート・レイヤに関する統計情報の表示
- show cluster:
show cluster statistics transport - cphaprob:
cphaprob ldstat
同期に関する統計情報などを表示できます。
CP8110-01> show cluster statistics transport
Operand Calls Bytes Average Ratio %
----------------------------------------------------------
ERROR 0 0 0 0
SET 543 122176 225 29
RENAME 0 0 0 0
REFRESH 1801 93652 52 22
DELETE 579 20844 36 4
SLINK 387 24768 64 5
UNLINK 0 0 0 0
MODIFYFIELDS 1952 156160 80 37
RECORD DATA CONN 0 0 0 0
COMPLETE DATA CONN 0 0 0 0
GHTAB SYNC 0 0 0 0
Total bytes sent: 438648 (0 MB) in 1888 packets. Average 232フェイルオーバー情報の表示
- show cluster:
show cluster failover - cphaprob:
cphaprob show_failover
クラスタの直近のフェイルオーバー情報、フェイルオーバーカウント、フェイルオーバー履歴を表示できます。
CP8110-01> show cluster failover
Last cluster failover event:
Transition to new ACTIVE: Member 2 -> Member 1
Reason: ADMIN_DOWN PNOTE
Event time: Thu Apr 28 16:54:34 2022
Cluster failover count:
Failover counter: 2
Time of counter reset: Thu Apr 28 14:07:17 2022 (reboot)
Cluster failover history (last 20 failovers since reboot/reset on Thu Apr 28 14:07:17 2022):
No. Time: Transition: CPU: Reason:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1 Thu Apr 28 16:54:34 2022 Member 2 -> Member 1 17 ADMIN_DOWN PNOTE
2 Thu Apr 28 16:34:24 2022 Member 1 -> Member 2 32 Interface eth0 is down (disconnected / link down)ClusterXL 監視項目の表示
- show cluster: なし
- cphaprob:
cphaprob -l list
cphaprob -l list では ClusterXL で監視している各項目の状態を確認できます。これらの項目の内一つでも状態が NG となった場合はフェイルオーバーが発生します。
[Expert@CP8110-01:0]# cphaprob -l list
Built-in Devices:
Device Name: Interface Active Check
Current state: OK
Device Name: Recovery Delay
Current state: OK
Device Name: CoreXL Configuration
Current state: OK
Registered Devices:
Device Name: Fullsync
Registration number: 0
Timeout: none
Current state: OK
Time since last report: 7661.5 sec
Device Name: Policy
Registration number: 1
Timeout: none
Current state: OK
Time since last report: 7661.5 sec
Device Name: routed
Registration number: 2
Timeout: none
Current state: OK
Time since last report: 2937.6 sec
Device Name: cxld
Registration number: 3
Timeout: 30 sec
Current state: OK
Time since last report: 12809.5 sec
Process Status: UP
Device Name: fwd
Registration number: 4
Timeout: 30 sec
Current state: OK
Time since last report: 12808.4 sec
Process Status: UP
Device Name: cphad
Registration number: 5
Timeout: 30 sec
Current state: OK
Time since last report: 7697.3 sec
Process Status: UP
Device Name: Init
Registration number: 6
Timeout: none
Current state: OK
Time since last report: 7697.1 sec
Device Name: Local Probing
Registration number: 7
Timeout: none
Current state: OK
Time since last report: 4124.1 secClusterXL を手動でフェイルオーバーさせるコマンド
ClusterXL ではコマンドを使用して手動でフェイルオーバーさせることができます。
使用するコマンドはエキスパートモードでの以下コマンドです。
ClusterXL 手動フェイルオーバーコマンド
clusterXL_admin downclusterXL_admin up
上記コマンドは Active 機にて実行します。
[Expert@CP8110-01:0]# clusterXL_admin down
This command does not survive reboot. To make the change permanent, run either the 'set cluster member admin {down|up} permanent' command in Gaia Clish, or the 'clusterXL_admin {down|up} -p' command in Expert mode
Setting member to administratively down state ...
Member current state is DOWNclusterXL_admin down を実行すると、以下のように名前が admin_down で状態が problem の監視対象デバイスが追加され、それによってクラスタメンバとしての状態が Down となり、結果としてフェイルオーバーが発生します。
[Expert@CP8110-01:0]# cphaprob -l list
.
.
.
Device Name: admin_down
Registration number: 8
Timeout: none
Current state: problem
Time since last report: 21.5 secclusterXL_admin down を実行した後の各クラスタメンバの状態は以下の通りです。
clusterXL_admin downを実行した機器側
[Expert@CP8110-01:0]# cphaprob state
Cluster Mode: High Availability (Active Up) with IGMP Membership
ID Unique Address Assigned Load State Name
1 (local) 10.0.2.40 0% DOWN CP8110-01
2 10.0.2.41 100% ACTIVE CP8110-02
.
.
.- Standby だった機器側
[Expert@CP8110-02:0]# cphaprob state
Cluster Mode: High Availability (Active Up) with IGMP Membership
ID Unique Address Assigned Load State Name
1 10.0.2.40 0% DOWN CP8110-01
2 (local) 10.0.2.41 100% ACTIVE CP8110-02
.
.
.フェイルオーバーしたことを確認後は、clusterXL_admin down を実行した機器上で clusterXL_admin up を実行します。
[Expert@CP8110-01:0]# clusterXL_admin up
This command does not survive reboot. To make the change permanent, run either the 'set cluster member admin {down|up} permanent' command in Gaia Clish, or the 'clusterXL_admin {down|up} -p' command in Expert mode
Setting member to normal operation ...
Member current state is STANDBYclusterXL_admin up を実行すると、clusterXL_admin down によって作成された、名前が admin_down で状態が problem の監視対象デバイスが削除されます。
clusterXL_admin up を実行するとクラスタメンバの状態は Down から Standby になります。
[Expert@CP8110-01:0]# cphaprob state
Cluster Mode: High Availability (Active Up) with IGMP Membership
ID Unique Address Assigned Load State Name
1 (local) 10.0.2.40 0% STANDBY CP8110-01
2 10.0.2.41 100% ACTIVE CP8110-02
.
.
.参考資料
ClusterXL Monitoring Commands
sc1.checkpoint.com
Initiating Manual Cluster Failover
sc1.checkpoint.com
Best Practices - Manual fail-over in ClusterXL
supportcenter.checkpoint.com
