はじめに
Check Point アプライアンスの Security Gateway で、VRRP による HA クラスターを構築する設定方法について記載します。
検証環境
- Security Gateway x 2
- バージョン R81
- VMware Player 上にインストール
- Security Management
- バージョン R81
- VMware Player 上にインストール
構成図
- Security Gateway
- 内部側 IF:タイプ Cluster として VIP を持たせます
- 同期用 IF:タイプ Sync とします
- 外部側 IF:タイプ Cluster として VIP を持たせます
事前準備
Security Gateway の初期設定ウィザードでの設定
初期設定ウィザードの Products 画面で以下の通り設定しておきます。
- Unit is a part of a cluster にチェックを入れる
- プルダウンで VRRP を選択する
cluster membership の有効化
Security Gateway で cluster membership を有効化しておく必要があります。
設定および確認方法は、CLI で cpconfig コマンドを実行します。
以下のように (6) Enable cluster membership for this gateway と表示されている場合は cluster membership が有効化されていないため、6 を入力して有効化します。
CP-GW01> cpconfig
This program will let you re-configure
your Check Point products configuration.
Configuration Options:
----------------------
(1) Licenses and contracts
(2) SNMP Extension
(3) PKCS#11 Token
(4) Random Pool
(5) Secure Internal Communication
(6) Enable cluster membership for this gateway ← ★
(7) Check Point CoreXL
(8) Automatic start of Check Point Products
(9) Exit
Enter your choice (1-9) :設定変更後は再起動が必要となるため reboot します。
Enter your choice (1-9) :6
Enable cluster membership for this gateway...
==============================================
You have selected to enable cluster membership for this Security Gateway.
Are you sure? (y/n) [y] ? y
Cluster membership for this gateway was enabled successfully
Important: This change will take effect after reboot.
CP-GW01>
CP-GW01> reboot
Are you sure you want to reboot?(Y/N)[N]
y再起動後、cpconfig コマンドを実行し (6) Disable cluster membership for this gateway という表示となったことを確認します。
CP-GW01> cpconfig
This program will let you re-configure
your Check Point products configuration.
Configuration Options:
----------------------
(1) Licenses and contracts
(2) SNMP Extension
(3) PKCS#11 Token
(4) Random Pool
(5) Secure Internal Communication
(6) Disable cluster membership for this gateway ← ★
(7) Enable Check Point Per Virtual System State
(8) Enable Check Point ClusterXL for Bridge Active/Standby
(9) Check Point CoreXL
(10) Automatic start of Check Point Products
(11) Exit
Enter your choice (1-11) :Gaia ポータルでの VRRP 設定
まず、Security Gateway の Gaia ポータルで VRRP の設定を行います。
High Availability > VRRP 画面を開きます。
グローバル設定
まずは必要に応じてグローバルの設定をします。
- Cold Start Delay
- Security Gateway が仮想ルータに参加するまでの遅延時間を秒単位で設定
- デフォルト 0 秒
- Interface Delay
- これは VRRP の Preempt がオフの場合のみ設定
- VRRP マスターからの Hello パケットの受信を待機する時間を秒単位で設定
- デフォルト 0 秒
- Disable All Virtual Routers
- 定義されているすべての仮想ルータを無効にする場合にこのオプションを選択
- デフォルトでは、チェックオフ設定
- Monitor Firewall State
- このオプションを選択すると、VRRP が Security Gateway を監視し、適切なアクションを自動的に実行する
- デフォルトで有効
- ClusterXL を有効にして VRRP を使用する場合に推奨される設定
- ClusterXL を無効にして VRRP を使用する場合は、これを無効にする必要がある
- この設定を無効にすると、VRRP は、ブートプロセスを完了する前に、VRRP マスターステータスを Security Gateway に割り当てることができる。 これにより、仮想ルータ内の複数の Security Gateway が VRRP マスターステータスになる可能性がある
設定後、[Apply Global Settings] をクリックして適用します。
Virtual Routers 設定
続いて仮想ルータを設定します。Virtual Routers 欄の [Add] をクリックします。
以下の画面が表示されるため、各項目を設定します。
- Virtual Router ID
- 仮想ルータの固有 ID
- 1-255 の範囲から指定
- Priority
- Priority が高い機器が VRRP Master になる
- 1-254 の範囲から指定
- デフォルト 100
- Hello Interval
- VRRP アドバタイズメントの送信間隔
- 1-255 秒の範囲から指定
- デフォルト 1 秒
- VRRP を構成するすべての機器で同じ値にする必要がある
- ピアとの疎通が Hello Interval の 3 倍の時間だけ途切れると Master を引き継ぐ
- Preempt Mode
- 障害復旧時などに Priority の高い機器が自動で Master に切り替わる
- Authentication
- None:VRRP パケットの認証は無し
- Simple:プレーンテキストパスワードで VRRP パケットを認証する
- VRRP を構成するすべての機器で同じ設定にする必要がある
- Priority Delta
- インターフェース障害時に Priority から差し引く値
- 1-254 の範囲から指定
- デフォルト 10
- Auto-deactivation
- 障害発生により全てのメンバーの Priority が 0 になったときに Master として選出されないようにする
さらに、VIP を設定するために Backup Address 欄の [Add] をクリックします。
- IPv4 Address
- VIP を指定
- VMAC Mode
- 仮想ルータごとに、VIP に対応する仮想 MAC(VMAC)アドレスが割り当てられる。その方式を指定
- VRRP:標準の VRRP プロトコルを使用。すべての Security Gateway で同じ VMAC になる
- Interface:VMAC がローカル物理インターフェースの MAC になる
- Static:手動で VMAC を設定する
- Extended:Gaia が動的にランダムな VMAC を設定する
検証構成では以下の通り設定しました。
SmartConsole でクラスターオブジェクトを作成
次に SmartConsole でクラスターオブジェクトを作成します。
[対象 > その他のオブジェクトタイプ > ネットワークオブジェクト > ゲートウェイとサーバ > クラスタ > 新規クラスタ] を選択します。
以下の表示がされるため、ここではウィザードモードを選択します。
以下の画面では、クラスタ名とクラスタアドレス(VIP)を指定、クラスタソリューションとして Gaia VRRP を指定して次へ進みます。
以下画面ではクラスタメンバーを追加します。[Add > New Cluster Member] をクリックします。
以下画面が表示されるため、各項目を設定し [Initialize] をクリックします。Activation Key は Security Gateway 初期設定ウィザードで指定したパスワードを入力します。
以下のように Trust State 欄に Trust established と表示されたら成功です。[OK] をクリックします。
メンバーが追加されました。同様に 2 台目も追加します。
2 台目も追加できたら次へ進みます。
以下画面はそのまま次へ進みます。
192.168.75.0/24 セグメントのインターフェースについての設定画面となります。このインターフェースは同期用とするため Cluster Synchronization <Primary> を選択し、次へ進みます。
10.1.10.0/24 セグメントのインターフェースについての設定画面となります。このインターフェースは VIP を持たせるため、Representing a cluster interface を選択し VIP とサブネットマスクを指定して次へ進みます。
192.168.200.0/24 セグメントのインターフェースについての設定画面となります。このインターフェースは VIP を持たせるため、Representing a cluster interface を選択し VIP とサブネットマスクを指定して次へ進みます。
ウィザードはこれで終わりなため [完了] をクリックします。
クラスターオブジェクトが追加されたことを確認します。
クラスタープロパティの設定
必要に応じてトポロジなどのプロパティを設定します。
また通常は ClusterXL ブレードを有効にします。
アクセスコントロールポリシーの設定
VRRP パケット等を許可する必要があるためアクセスコントロールポリシーを設定します。
以下のようなポリシーを設定します。
- 送信元:VRRP クラスター IP
- 宛先:224.0.0.18
- サービス&アプリケーション:vrrp と igmp
- アクション:Accept
また、管理通信用の許可ポリシーも忘れずに追加します。
設定できたら公開とポリシーのインストールを実施します。
状態確認コマンド
show vrrp
C81-GW01> show vrrp
VRRP State
VRRP Router State: Up
Flags: On,MonitorFirewall
Interface enabled: 1
Virtual routers configured: 1
In Init state 0
In Backup state 0
In Master state 1
-----
C81-GW02> show vrrp
VRRP State
VRRP Router State: Up
Flags: On,MonitorFirewall
Interface enabled: 1
Virtual routers configured: 1
In Init state 0
In Backup state 1
In Master state 0show vrrp interfaces
C81-GW01> show vrrp interfaces
VRRP Interfaces
Interface eth0
Number of virtual routers: 1
Flags:
Authentication: NoAuthentication
VRID 10
State: Master Time since transition: 98
BasePriority: 105 Effective Priority: 105
Master transitions: 1 Flags:
Advertisement interval: 1 Router Dead Interval: 3
VMAC Mode: VRRP VMAC: 00:00:5e:00:01:0a
Primary address: 192.168.200.41
Number of Addresses: 1
192.168.200.43
-----
C81-GW02> show vrrp interfaces
VRRP Interfaces
Interface eth0
Number of virtual routers: 1
Flags:
Authentication: NoAuthentication
VRID 10
State: Backup Time since transition: 117
Master: 192.168.200.41
BasePriority: 100 Effective Priority: 100
Master transitions: 2 Flags:
Advertisement interval: 1 Router Dead Interval: 3
VMAC Mode: VRRP VMAC: 00:00:5e:00:01:0a
Primary address: 192.168.200.42
Master expire: 4
Number of Addresses: 1
192.168.200.43show vrrp stats
C81-GW01> show vrrp stats
VRRP Stats
Interface eth0
Rx IP Truncated: 0 Rx Checksum Error: 0
Rx Unknown Version: 0 Rx Unknown VRID: 0
Tx IP Truncated: 0
VRID 10
Rx Bad TTL: 0 Rx VRRP Truncated: 0
Rx Auth Mismatch: 0 Rx Auth Failure: 0
Rx Unknown Auth: 0 Rx Unknown Type: 0
Rx Bad Addr Intvl: 0 Rx Bad Addr List: 0
Rx Loopback: 0 Rx Bad Master: 0
Rx Advertisement: 4 Tx Advertisement: 139
-----
C81-GW02> show vrrp stats
VRRP Stats
Interface eth0
Rx IP Truncated: 0 Rx Checksum Error: 0
Rx Unknown Version: 0 Rx Unknown VRID: 0
Tx IP Truncated: 0
VRID 10
Rx Bad TTL: 0 Rx VRRP Truncated: 0
Rx Auth Mismatch: 0 Rx Auth Failure: 0
Rx Unknown Auth: 0 Rx Unknown Type: 0
Rx Bad Addr Intvl: 0 Rx Bad Addr List: 0
Rx Loopback: 0 Rx Bad Master: 0
Rx Advertisement: 470 Tx Advertisement: 109show cluster state- Sync インターフェースの状態が表示されます
C81-GW01> show cluster state
Cluster Mode: Sync only (OPSEC) with IGMP Membership
ID Unique Address Firewall State (*)
1 (local) 192.168.75.41 Active
2 192.168.75.42 Active
(*) FW-1 monitors only the sync operation and the security policy
Use OPSEC's monitoring tool to get the cluster status
-----
C81-GW02> show cluster state
Cluster Mode: Sync only (OPSEC) with IGMP Membership
ID Unique Address Firewall State (*)
1 192.168.75.41 Active
2 (local) 192.168.75.42 Active
(*) FW-1 monitors only the sync operation and the security policy
Use OPSEC's monitoring tool to get the cluster statusshow cluster members interfaces all
C81-GW01> show cluster members interfaces all
CCP mode: Manual (Multicast)
eth0 non sync(non secured)
eth1 non sync(non secured)
eth2 sync(secured), multicast
S - sync, LM - link monitor, HA/LS - bond type
Virtual cluster interfaces: 2
eth0 192.168.200.43
eth1 10.1.10.43
No VLANs are monitored on the member
-----
C81-GW02> show cluster members interfaces all
CCP mode: Manual (Multicast)
eth0 non sync(non secured)
eth1 non sync(non secured)
eth2 sync(secured), multicast
S - sync, LM - link monitor, HA/LS - bond type
Virtual cluster interfaces: 2
eth0 192.168.200.43
eth1 10.1.10.43
No VLANs are monitored on the member参考資料
