- 管理セッションのアイドルタイムアウト時間の設定
- Telnet アクセスを許可する設定
- CLI でのログをすべてまとめて出力する
- アップデートパッチの適用について
- GUI と CLI の Gaia コンフィグの食い違い
- 勝手に入るコンフィグ、消せないコンフィグ
- CPUSE の設定項目は Deployment Agent に依存
- GAiA なのか Gaia なのかはっきりしない
- SmartConsole はポータブル版もある
- NTP 同期が遅い
- Gaia のシステムバックアップの対象ファイル
- SIC を再認証すると初期化される設定がある
- SmartConsole にはバグが少なくない
- 【R81.10】clusterXLFailover のトラップが飛ばない
管理セッションのアイドルタイムアウト時間の設定
Gaia Portal のタイムアウト時間の設定
Clish で以下コマンドで設定可能。
set web session-timeout <1-720>- タイムアウト時間を分単位で指定
- デフォルトは 10 分 (コマンドヘルプには 15 と記載だが実際の設定値は 10)
set web session-timeout 720CLI のタイムアウト時間の設定
Clish で以下コマンドで設定可能。
set inactivity-timeout <1-720>- タイムアウト時間を分単位で指定
- デフォルトは 10 分
set inactivity-timeout 720各タイムアウト時間を Gaia Portal で設定する場合は、[System Management > Session] 画面で設定できます。
Telnet アクセスを許可する設定
デフォルトでは Telnet アクセスは拒否となっている。
Clish で以下コマンドで設定可能。
set net-access telnet <on | off>
set net-access telnet onGaia Portal で設定する場合は、[System Management > Network Access] 画面で設定できます。
CLI でのログをすべてまとめて出力する
CLI でコマンドを実行したときに -- More -- を表示しないですべてまとめて出力させる設定。
Clish で以下コマンドで設定可能。
set clienv rows 0
set clienv rows 0※このコマンドを実行したセッションでのみ有効
アップデートパッチの適用について
余計なパッチは適用してはならない(戒め)
Gaia ポータルの CPUSE 画面でアップデートのチェックを行うと、利用可能なアップデートパッチがいくつか表示されますが、対象案件の設計で明示的に適用することになっているパッチのみを適用するようにしてください。
余計なパッチを適用すると後々困ることになります。
というのも、機器 A でGaia のシステムバックアップを取得して、別の機器 B に対してリストアをしようとしたときに、機器 A と機器 B のパッチ適用状況が全く同じでないとリストア実行時にエラーとなりリストアできないからです。
構築から数年後、機器リプレイスを行うときに、検証環境で本番環境機器のバックアップからリストアをして設定を再現する場合があるかと思いますが、そのときにリストアができずに問題になる(切り分け等のために余計な工数がかかることになる)可能性が高いです。
また、CPUSE で取得できるパッチは最新バージョンのパッチのみのため、中間バージョンのパッチは機器ベンダへ依頼して取り寄せるしかありません。このためパッチ適用状況を合わせようとしても手間がかかり、場合によっては不可能な場合もあるかもしれません。
SmartConsole のパッチは適用したら元に戻せないため注意
Gaia の Jumbo Hotfix Accumulator などは、インストール後にアンインストールすることで、パッチ適用前の状態に戻すことができます。
しかし、SmartConsole のパッチについては、そうはいきません。
SmartConsole のパッチは Gaia ポータルでダウンロードできるインストーラに該当します。
Gaia デフォルトでは初期バージョンの SmartConsole のインストーラが組み込まれていますが、SmartConsole のパッチを適用すると、そのインストーラがインストールしたパッチのバージョンのインストーラに置き換わります。
パッチ適用後、そのパッチをアンインストールした場合、Gaia 上には SmartConsole のインストーラが存在しない状態(Gaia ポータルでインストーラをダウンロードできない状態)になってしまいます。
元の状態に戻すには Factory Defaults > revert to Gaia RXX で工場出荷状態に初期化するしかありません。
このため、SmartConsole のパッチは対象案件の設計で明示的に適用することになっている場合のみ適用するようにしてください。
なお、SmartConsole のパッチについても、前項目で記載しているシステムリストア時のパッチ適用状況チェックの対象になります。
GUI と CLI の Gaia コンフィグの食い違い
GUI と CLI でコンフィグの表示が違う場合があります。
以下のような事象に遭遇したことがあります。
- SNMP > V1 / V2 Settings
- GUI では設定値が入っているのに、CLI のコンフィグでは表示されない
- バックアップからリストアした際に発生(特定機器でのみ発生)
- GUI では設定値が入っているのに、CLI のコンフィグでは表示されない
- Upgrades (CPUSE) > Software Updates Policy > Check for updates period
- GUI では 6 hours 表示だが、CLI コンフィグでは 3 hours
- 設定値がデフォルトの 3 hours の場合のみ、GUI では 6 hours と表示される模様
- CLI の
show installer policyの表示結果とshow configurationの表示で食い違いshow installer policyでは 6 hours と表示、show configurationでは 3 hours と表示- R81・R80.20 のある Smart-1 製品(Security Management)で本事象の発生を確認
- R81 のある Gateway 製品(Security Gateway)では表示の食い違いはないことを確認
- R80.20 のある Gateway 製品では本事象の発生を確認
- デフォルト値は 3 hours (Deployment Agent のビルドNo.に依存している可能性もある)
- GUI では 6 hours 表示だが、CLI コンフィグでは 3 hours
Gateway01> set installer policy check-for-updates-period
Set the period, in hours, between check for available packages in the cloud (defaults to 3 hours, 0 to disable)勝手に入るコンフィグ、消せないコンフィグ
CLI の show configuration の表示に勝手にコンフィグが入る場合があります。また一度入ると削除できない(表示を消せない)コンフィグがあります。
- スナップショットスケジュールのコンフィグが勝手に入り、その後削除できない
- 初期状態では
scheduled-snapshot is not configured.と表示 - 勝手に
set snapshot-scheduled~の設定が入り、その後コンフィグから表示を消せない - Gaia ポータルの Maintenance > Snapshot Management 画面を開いたタイミングでこのコンフィグが勝手に入る可能性が高い
- 初期状態では
勝手に入るスナップショットスケジュール設定
set snapshot-scheduled settings snapshot-name-prefix snap description default_snapshot target lvm
set snapshot-scheduled activation disabled
set snapshot-scheduled retention-policy max-snapshots-to-keep 9999
set snapshot-scheduled retention-policy min-snapshots-to-keep 1
set snapshot-scheduled retention-policy keep-disk-space-above-in-GB 22.00
set snapshot-scheduled recurrence weekly days 1 time 1:00- Gaia ポータルの Maintenance > Snapshot Management 画面を開いたタイミング、または CLI で
show snapshot-scheduledを実行したタイミングで以下のコンフィグが勝手に入るset snapshot-scheduled recurrence weekly days 1 time 1:00- Gaia ポータルでいうと以下の設定が勝手に入る
- Gaia ポータルからであればこの設定を削除できる
- インターフェースの State を一度 ON にすると、CLI コンフィグ表示に
auto-negotiationとmtuの設定表示が入り、その後削除できない
set interface ethN auto-negotiation on
set interface ethN mtu 1500同様に link-speed 設定も勝手に入るが、これは対象インターフェースで auto-negotiation を一旦 OFF にした後、ON に戻すと表示が消える。
set interface ethN link-speed 1000M/full- 他の機器に SSH 接続した場合リモートホストの SSH 公開鍵情報がコンフィグに表示される
add ssh hba ipv4-address~という設定delete ssh hba known-host <IPアドレス>で削除可能
add ssh hba ipv4-address localhost public-key access-mode standalone encoded-data AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBKzzY9TwN13yW1Gx47S0hjJrluWyha34o9yc35/LQR/4Kxu0qiUMxOxZJnGnKrsjhGc4JwYO4Nq5FuhMLKvcCps=
R81-GW01> delete ssh hba known-host localhostCPUSE の設定項目は Deployment Agent に依存
CPUSE の設定項目(GUI だと Upgrades (CPUSE) の設定項目、CLI だと set installer)は、Deployment Agent のバージョンに依存しています。Gaia のバージョンには依存していないようです。
つまり Deployment Agent のバージョンアップを行うと関連する設定項目の表示が変わる場合があります。
GAiA なのか Gaia なのかはっきりしない
Check Point 公式でも GAiA と Gaia の両方の表記を使っているため、どちらを使うのが適切なのかがわからない。
SmartConsole はポータブル版もある
SmartConsole は Windows にインストールして使用するほか、ダウンロードしてローカルに解凍するだけで使えるポータブル版もあります。
異なるビルド番号の SmartConsole を使いたい場合などにポータブル版を利用できます。
NTP 同期が遅い
NTP 同期設定をしている場合に、NTP サーバとネットワーク接続できる環境にしてから NTP 同期に成功したステータスになるまで 10 分くらいかかります。気長に待ちましょう。
◆NTP 同期状態確認コマンド
Gateway01> show ntp current
primary and secondary servers are not synchronized上は同期できていない時の表示。同期できている時は NTP サーバの IP アドレスが表示される。
Gaia のシステムバックアップの対象ファイル
Gaia のシステムバックアップでは、システムのすべてのファイルがバックアップされるわけではなく、設定ファイルで指定されているディレクトリ・ファイルが対象になります。
そのため、デフォルトでバックアップ対象に含まれていないディレクトリやファイルをバックアップに含めたい場合は設定ファイルに対象パスを追記する必要があります。
詳細は以下ページ参照。
SIC を再認証すると初期化される設定がある
SmartConsole のゲートウェイオブジェクトの設定で、SIC 認証をリセットすることができます。SIC 認証をリセットした場合、再度 SIC 認証することになりますが、その再認証を行うと、ゲートウェイオブジェクトの設定の中で設定値が初期化される項目がある可能性があります。
例えば、R81 の仮想アプライアンスで SIC 再認証をした場合、ゲートウェイオブジェクトのトポロジが検出しなおされ、Anti-Spoofing 設定の [Perform Anti-Spoofing based on interface topology] が初期化されることを確認しています。この設定値はデフォルトでチェック ON であり、チェック OFF に設定しているときに SIC 再認証するとチェック ON に変わってしまうため注意してください。
この他にも SIC 再認証することで初期化される設定項目が存在する可能性があるため、安易に SIC 認証のリセット/再認証は行わないことを推奨します。
SmartConsole にはバグが少なくない
SmartConsole にはバグが少なくなく、同じバージョンでもバグ修正されたビルドが公開されています。中には、設定値が実際と異なる値で表示されたりなどのクリティカルなバグも存在するため、常に最新のビルドをチェックし、最新版を使用することを推奨します。
R81 の場合は以下ページからリリース情報の確認、及び最新ビルドのダウンロードが可能です。
【R81.10】clusterXLFailover のトラップが飛ばない
これは R81.10 において確認した事象です。
Gaia で設定できる SNMP トラップの一つに clusterXLFailover というトラップがあります。このトラップを有効化すると ClusterXL のフェイルオーバが発生した際にトラップを飛ばせるようになります。
しかし、R81.10 においては実際の動作は以下のようになり、意図したとおりに動作しないことを確認しています。
- リンクダウンをトリガーとするフェイルオーバ時にはトラップが飛ばない
clusterXL_admin downコマンドで手動フェイルオーバを実施した際にはトラップが飛ぶ
この事象は R81.10 のバグと思われ、解決方法は見つかっていません。
