【Check Point R81】Security Gateway での VRRP 設定方法

ファイアウォール(UTM)

はじめに

Check Point アプライアンスの Security Gateway で、VRRP による HA クラスターを構築する設定方法について記載します。

検証環境

  • Security Gateway x 2
    • バージョン R81
    • VMware Player 上にインストール
  • Security Management
    • バージョン R81
    • VMware Player 上にインストール

構成図

  • Security Gateway
    • 内部側 IF:タイプ Cluster として VIP を持たせます
    • 同期用 IF:タイプ Sync とします
    • 外部側 IF:タイプ Cluster として VIP を持たせます

事前準備

Security Gateway の初期設定ウィザードでの設定

初期設定ウィザードの Products 画面で以下の通り設定しておきます。

  • Unit is a part of a cluster にチェックを入れる
  • プルダウンで VRRP を選択する

cluster membership の有効化

Security Gateway で cluster membership を有効化しておく必要があります。

設定および確認方法は、CLI で cpconfig コマンドを実行します。

以下のように (6) Enable cluster membership for this gateway と表示されている場合は cluster membership が有効化されていないため、6 を入力して有効化します。

CP-GW01> cpconfig
This program will let you re-configure
your Check Point products configuration.


Configuration Options:
----------------------
(1)  Licenses and contracts
(2)  SNMP Extension
(3)  PKCS#11 Token
(4)  Random Pool
(5)  Secure Internal Communication
(6)  Enable cluster membership for this gateway  ← ★
(7)  Check Point CoreXL
(8)  Automatic start of Check Point Products

(9) Exit

Enter your choice (1-9) :

設定変更後は再起動が必要となるため reboot します。

Enter your choice (1-9) :6



Enable cluster membership for this gateway...
==============================================

You have selected to enable cluster membership for this Security Gateway.
Are you sure? (y/n) [y] ? y

Cluster membership for this gateway was enabled successfully
Important: This change will take effect after reboot.

CP-GW01>
CP-GW01> reboot
Are you sure you want to reboot?(Y/N)[N]
y

再起動後、cpconfig コマンドを実行し (6) Disable cluster membership for this gateway という表示となったことを確認します。

CP-GW01> cpconfig
This program will let you re-configure
your Check Point products configuration.


Configuration Options:
----------------------
(1)  Licenses and contracts
(2)  SNMP Extension
(3)  PKCS#11 Token
(4)  Random Pool
(5)  Secure Internal Communication
(6)  Disable cluster membership for this gateway  ← ★
(7)  Enable Check Point Per Virtual System State
(8)  Enable Check Point ClusterXL for Bridge Active/Standby
(9)  Check Point CoreXL
(10) Automatic start of Check Point Products

(11) Exit

Enter your choice (1-11) :

Gaia ポータルでの VRRP 設定

まず、Security Gateway の Gaia ポータルで VRRP の設定を行います。

High Availability > VRRP 画面を開きます。

グローバル設定

まずは必要に応じてグローバルの設定をします。

  • Cold Start Delay
    • Security Gateway が仮想ルータに参加するまでの遅延時間を秒単位で設定
    • デフォルト 0 秒
  • Interface Delay
    • これは VRRP の Preempt がオフの場合のみ設定
    • VRRP マスターからの Hello パケットの受信を待機する時間を秒単位で設定
    • デフォルト 0 秒
  • Disable All Virtual Routers
    • 定義されているすべての仮想ルータを無効にする場合にこのオプションを選択
    • デフォルトでは、チェックオフ設定
  • Monitor Firewall State
    • このオプションを選択すると、VRRP が Security Gateway を監視し、適切なアクションを自動的に実行する
    • デフォルトで有効
    • ClusterXL を有効にして VRRP を使用する場合に推奨される設定
    • ClusterXL を無効にして VRRP を使用する場合は、これを無効にする必要がある
    • この設定を無効にすると、VRRP は、ブートプロセスを完了する前に、VRRP マスターステータスを Security Gateway に割り当てることができる。 これにより、仮想ルータ内の複数の Security Gateway が VRRP マスターステータスになる可能性がある

設定後、[Apply Global Settings] をクリックして適用します。

Virtual Routers 設定

続いて仮想ルータを設定します。Virtual Routers 欄の [Add] をクリックします。

以下の画面が表示されるため、各項目を設定します。

  • Virtual Router ID
    • 仮想ルータの固有 ID
    • 1-255 の範囲から指定
  • Priority
    • Priority が高い機器が VRRP Master になる
    • 1-254 の範囲から指定
    • デフォルト 100
  • Hello Interval
    • VRRP アドバタイズメントの送信間隔
    • 1-255 秒の範囲から指定
    • デフォルト 1 秒
    • VRRP を構成するすべての機器で同じ値にする必要がある
    • ピアとの疎通が Hello Interval の 3 倍の時間だけ途切れると Master を引き継ぐ
  • Preempt Mode
    • 障害復旧時などに Priority の高い機器が自動で Master に切り替わる
  • Authentication
    • None:VRRP パケットの認証は無し
    • Simple:プレーンテキストパスワードで VRRP パケットを認証する
    • VRRP を構成するすべての機器で同じ設定にする必要がある
  • Priority Delta
    • インターフェース障害時に Priority から差し引く値
    • 1-254 の範囲から指定
    • デフォルト 10
  • Auto-deactivation
    • 障害発生により全てのメンバーの Priority が 0 になったときに Master として選出されないようにする

さらに、VIP を設定するために Backup Address 欄の [Add] をクリックします。

  • IPv4 Address
    • VIP を指定
  • VMAC Mode
    • 仮想ルータごとに、VIP に対応する仮想 MAC(VMAC)アドレスが割り当てられる。その方式を指定
    • VRRP:標準の VRRP プロトコルを使用。すべての Security Gateway で同じ VMAC になる
    • Interface:VMAC がローカル物理インターフェースの MAC になる
    • Static:手動で VMAC を設定する
    • Extended:Gaia が動的にランダムな VMAC を設定する

検証構成では以下の通り設定しました。

SmartConsole でクラスターオブジェクトを作成

次に SmartConsole でクラスターオブジェクトを作成します。

[対象 > その他のオブジェクトタイプ > ネットワークオブジェクト > ゲートウェイとサーバ > クラスタ > 新規クラスタ] を選択します。

以下の表示がされるため、ここではウィザードモードを選択します。

以下の画面では、クラスタ名とクラスタアドレス(VIP)を指定、クラスタソリューションとして Gaia VRRP を指定して次へ進みます。

以下画面ではクラスタメンバーを追加します。[Add > New Cluster Member] をクリックします。

以下画面が表示されるため、各項目を設定し [Initialize] をクリックします。Activation Key は Security Gateway 初期設定ウィザードで指定したパスワードを入力します。

以下のように Trust State 欄に Trust established と表示されたら成功です。[OK] をクリックします。

メンバーが追加されました。同様に 2 台目も追加します。

2 台目も追加できたら次へ進みます。

以下画面はそのまま次へ進みます。

192.168.75.0/24 セグメントのインターフェースについての設定画面となります。このインターフェースは同期用とするため Cluster Synchronization <Primary> を選択し、次へ進みます。

10.1.10.0/24 セグメントのインターフェースについての設定画面となります。このインターフェースは VIP を持たせるため、Representing a cluster interface を選択し VIP とサブネットマスクを指定して次へ進みます。

192.168.200.0/24 セグメントのインターフェースについての設定画面となります。このインターフェースは VIP を持たせるため、Representing a cluster interface を選択し VIP とサブネットマスクを指定して次へ進みます。

ウィザードはこれで終わりなため [完了] をクリックします。

クラスターオブジェクトが追加されたことを確認します。

クラスタープロパティの設定

必要に応じてトポロジなどのプロパティを設定します。

また通常は ClusterXL ブレードを有効にします。

アクセスコントロールポリシーの設定

VRRP パケット等を許可する必要があるためアクセスコントロールポリシーを設定します。

以下のようなポリシーを設定します。

  • 送信元:VRRP クラスター IP
  • 宛先:224.0.0.18
  • サービス&アプリケーション:vrrp と igmp
  • アクション:Accept

また、管理通信用の許可ポリシーも忘れずに追加します。

設定できたら公開とポリシーのインストールを実施します。

状態確認コマンド

  • show vrrp
C81-GW01> show vrrp

VRRP State
    VRRP Router State: Up
    Flags: On,MonitorFirewall
    Interface enabled: 1
    Virtual routers configured: 1
        In Init state 0
        In Backup state 0
        In Master state 1

-----
C81-GW02> show vrrp

VRRP State
    VRRP Router State: Up
    Flags: On,MonitorFirewall
    Interface enabled: 1
    Virtual routers configured: 1
        In Init state 0
        In Backup state 1
        In Master state 0

  • show vrrp interfaces
C81-GW01> show vrrp interfaces

VRRP Interfaces
Interface eth0
    Number of virtual routers: 1
    Flags:
    Authentication: NoAuthentication
    VRID 10
            State:                    Master               Time since transition:    98
            BasePriority:             105                  Effective Priority:       105
            Master transitions:       1                    Flags:
            Advertisement interval:   1                    Router Dead Interval:     3
            VMAC Mode:                VRRP                 VMAC:                     00:00:5e:00:01:0a
        Primary address: 192.168.200.41
        Number of Addresses: 1
            192.168.200.43

-----
C81-GW02> show vrrp interfaces

VRRP Interfaces
Interface eth0
    Number of virtual routers: 1
    Flags:
    Authentication: NoAuthentication
    VRID 10
            State:                    Backup               Time since transition:    117
        Master: 192.168.200.41
            BasePriority:             100                  Effective Priority:       100
            Master transitions:       2                    Flags:
            Advertisement interval:   1                    Router Dead Interval:     3
            VMAC Mode:                VRRP                 VMAC:                     00:00:5e:00:01:0a
        Primary address: 192.168.200.42
        Master expire: 4
        Number of Addresses: 1
            192.168.200.43

  • show vrrp stats
C81-GW01> show vrrp stats

VRRP Stats
Interface eth0
        Rx IP Truncated:          0                Rx Checksum Error:        0
        Rx Unknown Version:       0                Rx Unknown VRID:          0
        Tx IP Truncated:          0
    VRID 10
            Rx Bad TTL:               0                    Rx VRRP Truncated:        0
            Rx Auth Mismatch:         0                    Rx Auth Failure:          0
            Rx Unknown Auth:          0                    Rx Unknown Type:          0
            Rx Bad Addr Intvl:        0                    Rx Bad Addr List:         0
            Rx Loopback:              0                    Rx Bad Master:            0
            Rx Advertisement:         4                    Tx Advertisement:         139

-----
C81-GW02> show vrrp stats

VRRP Stats
Interface eth0
        Rx IP Truncated:          0                Rx Checksum Error:        0
        Rx Unknown Version:       0                Rx Unknown VRID:          0
        Tx IP Truncated:          0
    VRID 10
            Rx Bad TTL:               0                    Rx VRRP Truncated:        0
            Rx Auth Mismatch:         0                    Rx Auth Failure:          0
            Rx Unknown Auth:          0                    Rx Unknown Type:          0
            Rx Bad Addr Intvl:        0                    Rx Bad Addr List:         0
            Rx Loopback:              0                    Rx Bad Master:            0
            Rx Advertisement:         470                  Tx Advertisement:         109

  • show cluster state
    • Sync インターフェースの状態が表示されます
C81-GW01> show cluster state

Cluster Mode:   Sync only (OPSEC) with IGMP Membership

ID         Unique Address  Firewall State (*)

1 (local)  192.168.75.41   Active
2          192.168.75.42   Active

(*) FW-1 monitors only the sync operation and the security policy
    Use OPSEC's monitoring tool to get the cluster status

-----
C81-GW02> show cluster state

Cluster Mode:   Sync only (OPSEC) with IGMP Membership

ID         Unique Address  Firewall State (*)

1          192.168.75.41   Active
2 (local)  192.168.75.42   Active

(*) FW-1 monitors only the sync operation and the security policy
    Use OPSEC's monitoring tool to get the cluster status

  • show cluster members interfaces all
C81-GW01> show cluster members interfaces all

CCP mode: Manual (Multicast)
eth0            non sync(non secured)
eth1            non sync(non secured)
eth2            sync(secured), multicast

S - sync, LM - link monitor, HA/LS - bond type

Virtual cluster interfaces: 2

eth0            192.168.200.43
eth1            10.1.10.43


No VLANs are monitored on the member

-----
C81-GW02> show cluster members interfaces all

CCP mode: Manual (Multicast)
eth0            non sync(non secured)
eth1            non sync(non secured)
eth2            sync(secured), multicast

S - sync, LM - link monitor, HA/LS - bond type

Virtual cluster interfaces: 2

eth0            192.168.200.43
eth1            10.1.10.43


No VLANs are monitored on the member

参考資料

Installing a VRRP Cluster
Preparing a VRRP Cluster


タイトルとURLをコピーしました