ClusterXL 管理ガイド R75.40VS - Check Point
ClusterXL 管理ガイド R75.40VS - Check Point
ClusterXL 管理ガイド R75.40VS - Check Point
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>ClusterXL</strong><br />
<strong>R75.40VS</strong><br />
管 理 ガイド<br />
Classification: [Protected]
© 2012 <strong>Check</strong> <strong>Point</strong> Software Technologies Ltd.<br />
All rights reserved. 本 製 品 および 関 連 ドキュメントは 著 作 権 法 によって 保 護 されており、その 使 用 、 複 写 、 逆 コン<br />
パイルを 制 限 するライセンス 契 約 に 基 づいて 配 布 されています。 本 製 品 または 関 連 ドキュメントのいかなる 部 分 も、<br />
チェック・ポイントの 書 面 による 事 前 承 諾 を 得 ない 限 り、いかなる 形 態 や 方 法 によっても 複 製 することはできません。<br />
本 マニュアルを 製 作 するにあたっては 細 心 の 注 意 が 払 われていますが、チェック・ポイントはいかなる 誤 りまたは<br />
欠 落 に 対 しても 一 切 責 任 を 負 いません。 本 マニュアルおよびその 記 述 内 容 は、 予 告 なく 変 更 される 場 合 があり<br />
ます。<br />
権 利 の 制 限<br />
米 国 政 府 による 本 製 品 の 使 用 、 複 写 、または 開 示 は、DFARS( 連 邦 国 防 調 達 規 定 )252.227-7013 および FAR<br />
( 連 邦 調 達 規 定 )52.227-19 の 技 術 データおよびコンピュータ・ソフトウェアに 関 する 権 利 条 項 (c)(1)(ii)により 制 限<br />
されます。<br />
商 標<br />
チェック・ポイントの 商 標 の 一 覧 は、こちら<br />
サード・パーティの 商 標 および 著 作 権 については、こちら<br />
を 参 照 してください。
ドキュメントに 関 する 情 報<br />
最 新 版 ソフトウェア<br />
最 新 版 ソフトウェアには、 機 能 や 安 定 性 の 向 上 、セキュリティの 拡 張 、 新 たな 脅 威 や 進 化 する 攻 撃 に 対 処 する 最 新<br />
の 保 護 機 能 が 備 えられているため、 最 新 版 をインストールすることをお 勧 めします。<br />
関 連 情 報<br />
このドキュメントの 最 新 バージョンについては、 次 を 参 照 してください。<br />
http://supportcontent.checkpoint.com/documentation_download?ID=21983<br />
チェック・ポイント 製 品 の 詳 細 な 技 術 情 報 については、チェック・ポイントのサポート・センター<br />
(http://supportcenter.checkpoint.com)を 参 照 してください。<br />
改 訂 履 歴<br />
日 付<br />
説 明<br />
2012 年 12 月 28 日 初 版<br />
ドキュメントに 関 するご 意 見<br />
チェック・ポイントは、わかりやすいマニュアルの 作 成 に 日 々 取 り 組 んでいます。ご 意 見 やご 要 望 がありましたら、<br />
ぜひ 以 下 の 宛 先 までお 送 りください。<br />
cp_techpub_feedback@checkpoint.com
目 次<br />
ドキュメントに 関 する 情 報 ...................................................................................... 3<br />
<strong>ClusterXL</strong> について .............................................................................................. 8<br />
ゲートウェイ・クラスタの 必 要 性 .................................................................................... 8<br />
<strong>ClusterXL</strong> ゲートウェイ・クラスタ・ソリューション ............................................................ 8<br />
<strong>ClusterXL</strong> の 動 作 ...................................................................................................... 9<br />
クラスタ・コントロール・プロトコル ............................................................................. 9<br />
インストールとサポートされているプラットフォーム ........................................................ 9<br />
<strong>ClusterXL</strong> ライセンス .................................................................................................. 9<br />
<strong>ClusterXL</strong> でのクロックの 同 期 .................................................................................. 10<br />
クラスタの 定 義 と 用 語 ............................................................................................... 10<br />
クラスタ 間 での 接 続 情 報 の 同 期 .......................................................................... 11<br />
チェック・ポイントのステート 同 期 ソリューション ............................................................ 11<br />
同 期 ネットワーク .................................................................................................. 11<br />
ステート 同 期 の 動 作 ............................................................................................. 12<br />
同 期 不 要 なサービス ............................................................................................ 12<br />
同 期 の 不 要 なサービスの 設 定 .............................................................................. 12<br />
継 続 時 間 が 制 限 された 同 期 .................................................................................. 13<br />
非 対 称 通 信 ......................................................................................................... 13<br />
非 対 称 通 信 の 例 : TCP 3 ウェイ・ハンドシェーク .................................................... 14<br />
非 対 称 通 信 の 同 期 ............................................................................................... 14<br />
WAN を 介 したクラスタの 同 期 ............................................................................... 15<br />
同 期 クラスタの 制 限 .............................................................................................. 15<br />
ステート 同 期 の 設 定 .................................................................................................. 15<br />
サービスを 非 同 期 に 設 定 する 方 法 ........................................................................ 15<br />
同 期 バージョンと 非 同 期 バージョンの 作 成 ............................................................. 16<br />
継 続 時 間 が 制 限 された 同 期 の 設 定 ....................................................................... 16<br />
対 称 通 信 ........................................................................................................... 17<br />
対 称 通 信 について .................................................................................................... 17<br />
対 称 判 定 機 能 .......................................................................................................... 17<br />
負 荷 共 有 構 成 でのサード・パーティ 製 ピアとの VPN トンネル ....................................... 18<br />
ハブ・アンド・スポーク 型 トポロジでのサード・パーティ 製 ゲートウェイ ................................. 18<br />
対 称 判 定 機 能 の 設 定 ............................................................................................... 19<br />
ハブ・アンド・スポーク 型 トポロジでサード・パーティ 製 ゲートウェイをスポークとして 確 立 する 方 法<br />
............................................................................................................................... 20<br />
<strong>ClusterXL</strong> における HA と 負 荷 共 有 .................................................................... 21<br />
HA(ハイ・アベイラビリティ)と 負 荷 共 有 について ......................................................... 21<br />
負 荷 共 有 ............................................................................................................. 21<br />
<strong>ClusterXL</strong> トポロジの 例 ............................................................................................ 22<br />
クラスタ・メンバの IP アドレスの 定 義 ..................................................................... 23<br />
クラスタの 仮 想 IP アドレスの 定 義 ......................................................................... 24<br />
同 期 ネットワーク .................................................................................................. 24<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 4
異 なるサブネット 上 のクラスタ・アドレスの 設 定 ........................................................24<br />
<strong>ClusterXL</strong> のモード .................................................................................................. 24<br />
負 荷 共 有 マルチキャスト・モード ............................................................................25<br />
負 荷 共 有 ユニキャスト・モード ................................................................................26<br />
HA(ハイ・アベイラビリティ)モード ..........................................................................27<br />
各 モードの 比 較 表 ................................................................................................28<br />
フェイルオーバー ...................................................................................................... 28<br />
フェイルオーバーはいつ 発 生 するか ......................................................................29<br />
ゲートウェイが 復 帰 した 場 合 の 処 理 .......................................................................29<br />
復 帰 したクラスタ・メンバがセキュリティ・ポリシーを 取 得 する 方 法 .............................29<br />
導 入 計 画 における 注 意 事 項 ...................................................................................... 30<br />
HA または 負 荷 共 有 .............................................................................................30<br />
負 荷 共 有 モードの 選 択 .........................................................................................30<br />
IP アドレスの 移 行 ................................................................................................30<br />
ハードウェア 要 件 、 互 換 性 、Cisco の 例 ...................................................................... 30<br />
<strong>ClusterXL</strong> のハードウェア 要 件 ..............................................................................30<br />
<strong>ClusterXL</strong> のハードウェアの 互 換 性 ......................................................................32<br />
Cisco Catalyst ルーティング・スイッチの 設 定 例 .....................................................32<br />
チェック・ポイントのソフトウェアの 互 換 性 .................................................................... 33<br />
サポートするオペレーティング・システム ................................................................33<br />
<strong>ClusterXL</strong> の 互 換 性 (IPS を 除 く) ..........................................................................34<br />
<strong>ClusterXL</strong> の IPS との 互 換 性 ...............................................................................35<br />
転 送 レイヤ ..........................................................................................................35<br />
クラスタ・トポロジの 設 定 ............................................................................................ 36<br />
<strong>ClusterXL</strong> の 設 定 .............................................................................................. 37<br />
クラスタ・メンバの 準 備 .............................................................................................. 37<br />
クライアント・マシンのルーティング 設 定 ...................................................................... 38<br />
クラスタ・メンバでの CCP トランスポート・モードの 選 択 ............................................... 38<br />
クラスタ・オブジェクトとメンバの 設 定 .......................................................................... 38<br />
ウィザードの 使 用 .................................................................................................39<br />
クラシック・モードの 設 定 .......................................................................................39<br />
IPv6 に 対 する <strong>ClusterXL</strong> の HA ................................................................................ 41<br />
<strong>ClusterXL</strong> の HA .................................................................................................41<br />
IPv6 クラスタの 設 定 .............................................................................................41<br />
OPSEC 認 定 クラスタ 製 品 の 使 用 ........................................................................ 43<br />
OPSEC 認 定 クラスタ 製 品 について ........................................................................... 43<br />
OPSEC 認 定 クラスタ 製 品 の 設 定 .............................................................................. 43<br />
スイッチの 準 備 とルーティングの 設 定 ....................................................................43<br />
クラスタ・メンバ・マシンの 準 備 ...............................................................................43<br />
OPSEC クラスタに 対 する SmartDashboard の 設 定 ..............................................44<br />
OPSEC クラスタにおける CPHA コマンド・ラインの 動 作 ............................................. 45<br />
OPSEC クラスタにおける cphastart コマンドと cphastop コマンド ...........................46<br />
OPSEC クラスタにおける cphaprob コマンド .........................................................46<br />
ゲートウェイ・クラスタの 監 視 とトラブルシューティング ......................................... 47<br />
クラスタの 正 常 動 作 を 確 認 する 方 法 ........................................................................... 47<br />
cphaprob コマンド ................................................................................................47<br />
クラスタの 状 態 監 視 ..............................................................................................48<br />
クラスタ・インタフェースの 監 視 ..............................................................................50<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 5
クリティカル・デバイスの 監 視 ................................................................................ 51<br />
クリティカル・デバイスの 登 録 ................................................................................ 52<br />
ファイルにリストされているクリティカル・デバイスの 登 録 ......................................... 52<br />
クリティカル・デバイスの 登 録 削 除 ......................................................................... 53<br />
<strong>ClusterXL</strong> へのクリティカル・デバイス 状 態 報 告 ..................................................... 53<br />
cphaprob スクリプトの 例 ...................................................................................... 53<br />
SmartConsole クライアントを 使 用 したクラスタ 状 態 監 視 ............................................. 53<br />
SmartView Monitor ............................................................................................. 53<br />
SmartView Tracker ............................................................................................. 54<br />
<strong>ClusterXL</strong> 設 定 コマンド ............................................................................................ 56<br />
cphaconf コマンド ................................................................................................ 56<br />
cphastart コマンドと cphastop コマンド .................................................................. 57<br />
フェイルオーバーの 開 始 方 法 .................................................................................... 57<br />
クラスタ・メンバの 停 止 .......................................................................................... 57<br />
クラスタ・メンバの 起 動 .......................................................................................... 57<br />
同 期 の 監 視 (fw ctl pstat) ......................................................................................... 58<br />
同 期 のトラブルシューティング .................................................................................... 60<br />
cphaprob [-reset] syncstat の 概 要 ....................................................................... 60<br />
cphaprob [-reset] syncstat の 出 力 ....................................................................... 60<br />
同 期 のトラブルシューティング・オプション ............................................................... 67<br />
<strong>ClusterXL</strong> のエラー・メッセージ ................................................................................. 69<br />
<strong>ClusterXL</strong> の 一 般 的 なエラー・メッセージ ............................................................... 69<br />
SmartView Tracker のアクティブ・モード・メッセージ .............................................. 70<br />
同 期 関 連 のエラー・メッセージ ............................................................................... 70<br />
TCP Out-of-State エラー・メッセージ ..................................................................... 71<br />
プラットフォーム 固 有 のエラー・メッセージ ............................................................... 72<br />
メンバの 再 起 動 の 失 敗 ............................................................................................. 72<br />
<strong>ClusterXL</strong> の 高 度 な 設 定 .................................................................................... 74<br />
VPN とクラスタの 使 用 .............................................................................................. 74<br />
VPN とクラスタの 設 定 .......................................................................................... 74<br />
別 の Security Management サーバでの VPN ピア・クラスタの 定 義 ........................ 75<br />
NAT とクラスタの 使 用 .............................................................................................. 75<br />
クラスタのフォールドとクラスタの 隠 蔽 .................................................................... 75<br />
ゲートウェイ・クラスタ 上 での NAT 設 定 .................................................................. 75<br />
クラスタ・メンバ 上 での NAT 設 定 .......................................................................... 76<br />
VLAN とクラスタの 使 用 ............................................................................................ 76<br />
<strong>ClusterXL</strong> の VLAN サポート ................................................................................ 76<br />
同 一 VLAN への 複 数 クラスタの 接 続 ..................................................................... 76<br />
インタフェースのリンク 状 態 監 視 ................................................................................ 78<br />
インタフェースのリンク 状 態 監 視 の 有 効 化 .............................................................. 79<br />
リンク・アグリゲーションとクラスタ .............................................................................. 79<br />
概 要 .................................................................................................................... 79<br />
リンク・アグリゲーション - HA モード ...................................................................... 80<br />
リンク・アグリゲーション - 負 荷 共 有 モード ............................................................. 84<br />
インタフェース・ボンディングでの VLAN の 定 義 ...................................................... 86<br />
リンク・アグリゲーションのためのパフォーマンス・ガイドライン ................................. 86<br />
インタフェース・ボンディング 用 の <strong>ClusterXL</strong> のコマンド ........................................... 87<br />
ボンディングされたインタフェースのトラブルシューティング ...................................... 88<br />
高 度 なクラスタ 設 定 .................................................................................................. 89<br />
ゲートウェイ 設 定 パラメータの 設 定 方 法 ................................................................. 89<br />
ゲートウェイを 起 動 時 に 有 効 にする 設 定 方 法 ......................................................... 90<br />
6 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
モジュール 変 数 の IPSO 6.1 以 降 での 設 定 ...........................................................90<br />
クラスタリング・タイマと 同 期 タイマの 制 御 ...............................................................90<br />
高 負 荷 状 態 での 新 しい 接 続 の 遮 断 .......................................................................91<br />
SmartView Tracker のアクティブ・モードの 使 用 .....................................................92<br />
処 理 待 ちパケット 数 の 削 減 ...................................................................................92<br />
完 全 同 期 詳 細 オプションの 設 定 ............................................................................92<br />
Disconnected インタフェースの 定 義 .......................................................................... 93<br />
Unix での Disconnected インタフェースの 定 義 ......................................................93<br />
Windows での Disconnected インタフェースの 定 義 ...............................................93<br />
ポリシー 更 新 タイムアウトの 設 定 ............................................................................... 93<br />
TCP3 ウェイ・ハンドシェーク 実 施 の 強 化 .................................................................... 94<br />
異 なるサブネット 上 のクラスタ・アドレスの 設 定 ............................................................ 94<br />
異 なるサブネット 上 のクラスタ・アドレスについて .....................................................94<br />
異 なるサブネット 上 のクラスタ・アドレスの 設 定 ........................................................94<br />
異 なるサブネット 上 のクラスタ・アドレスの 例 ...........................................................95<br />
異 なるサブネット 上 のクラスタ・アドレスの 制 限 事 項 .................................................96<br />
単 一 ゲートウェイから <strong>ClusterXL</strong> クラスタへの 移 行 ..................................................... 98<br />
単 一 ゲートウェイ・マシンの 設 定 ............................................................................98<br />
マシン「B」の 設 定 .................................................................................................98<br />
マシン「B」に 対 する SmartDashboard での 設 定 ....................................................98<br />
マシン「A」の 設 定 .................................................................................................98<br />
マシン「A」に 対 する SmartDashboard での 設 定 ....................................................99<br />
既 存 クラスタへの 別 メンバの 追 加 .............................................................................. 99<br />
クラスタの ISP 冗 長 性 の 設 定 .................................................................................... 99<br />
クラスタ 構 成 でのダイナミック・ルーティング・プロトコルの 有 効 化 ................................ 100<br />
システムのコンポーネント ................................................................................... 100<br />
<strong>ClusterXL</strong> のダイナミック・ルーティング ............................................................... 101<br />
HA Legacy モード ............................................................................................ 102<br />
HA Legacy モードについて ..................................................................................... 102<br />
Legacy モード 構 成 の 例 .......................................................................................... 102<br />
共 有 インタフェースの IP アドレスと MAC アドレスの 設 定 ...................................... 103<br />
同 期 インタフェース ............................................................................................. 103<br />
導 入 計 画 時 の 注 意 事 項 .......................................................................................... 103<br />
IP アドレスの 移 行 .............................................................................................. 103<br />
Security Management サーバの 場 所 ................................................................. 103<br />
ルーティングの 設 定 ............................................................................................ 103<br />
スイッチ(レイヤ 2 転 送 )に 関 する 注 意 事 項 .......................................................... 104<br />
HA Legacy モードの 設 定 ........................................................................................ 104<br />
ルーティングの 設 定 ............................................................................................ 104<br />
SmartDashboard の 設 定 ................................................................................... 104<br />
HA Legacy モードからの 移 行 ( 簡 易 的 方 法 ) ............................................................ 106<br />
ゲートウェイでの 設 定 ......................................................................................... 106<br />
SmartDashboard からの 設 定 ............................................................................. 107<br />
HA Legacy モードからの 移 行 (ダウンタイムを 最 小 限 にする 方 法 ) ............................. 107<br />
cphaprob スクリプトの 例 ................................................................................... 109<br />
関 連 情 報 ............................................................................................................... 109<br />
clusterXL_monitor_process スクリプト .................................................................... 109<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 7
第 1 章<br />
<strong>ClusterXL</strong> について<br />
この 章 の 構 成<br />
ゲートウェイ・クラスタの 必 要 性 8<br />
<strong>ClusterXL</strong> ゲートウェイ・クラスタ・ソリューション 8<br />
<strong>ClusterXL</strong> の 動 作 9<br />
インストールとサポートされているプラットフォーム 9<br />
<strong>ClusterXL</strong> ライセンス 9<br />
<strong>ClusterXL</strong> でのクロックの 同 期 10<br />
クラスタの 定 義 と 用 語 10<br />
ゲートウェイ・クラスタの 必 要 性<br />
ゲートウェイと VPN の 接 続 は、ビジネスに 欠 かせないデバイスです。セキュリティ・ゲートウェイや VPN 接 続 に 障 害<br />
が 発 生 すると、 有 効 な 接 続 が 切 断 され、 重 要 なデータへのアクセスを 失 う 原 因 となります。 組 織 と 外 部 との 間 のゲー<br />
トウェイは、どのような 状 況 においても 常 に 動 作 している 必 要 があります。<br />
<strong>ClusterXL</strong> ゲートウェイ・クラスタ・ソリューション<br />
<strong>ClusterXL</strong> クラスタは、<strong>Check</strong> <strong>Point</strong> Security Gateway が 同 じグループになったもので、1 台 が 故 障 するともう 1 台<br />
がすぐに 置 き 換 わるように 接 続 されています。<br />
<strong>ClusterXL</strong> は、ソフトウェア・ベースの 負 荷 共 有 および HA ソリューションです。 冗 長 構 成 の Security Gateway のクラ<br />
スタ 間 にネットワーク・トラフィックを 分 散 し、クラスタ 内 のマシン 間 で 透 過 的 にフェイルオーバーを 行 います。<br />
<br />
<br />
HA クラスタは、 障 害 が 起 きた 場 合 、 透 過 的 なフェイルオーバーをバックアップ・ゲートウェイに 供 給 するこ<br />
とによって、ゲートウェイと VPN に 冗 長 性 を 確 保 します。<br />
負 荷 共 有 のクラスタは 信 頼 性 を 提 供 し、すべてのクラスタ・メンバがアクティブな 場 合 には、 性 能 を 向 上 さ<br />
せます。<br />
8 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
<strong>ClusterXL</strong> の 動 作<br />
<strong>ClusterXL</strong> は、クラスタ・メンバに 対 しては 固 有 の 物 理 IP アドレスと MAC アドレスを 使 用 し、クラスタ 自 身 を 表 すには<br />
仮 想 IPアドレスを 使 用 します。 仮 想 IPアドレスは、 実 際 のマシン・インタフェース( 後 述 する High Availability Legacy<br />
モードを 除 く)に 属 しません。<br />
<strong>ClusterXL</strong> は、 各 クラスタ・メンバが、ほかのメンバを 経 由 する 接 続 を 認 識 できるようにして、 不 具 合 があってもデータ<br />
が 失 われないようにするためのインフラストラクチャを 提 供 します。クラスタ・メンバ 間 の 接 続 およびその 他 の<br />
Security Gateway の 状 態 について 情 報 をやり 取 りすることを「ステート 同 期 」と 呼 びます。<br />
Security Gateway クラスタはまた、OPSEC 認 定 の HA および 負 荷 共 有 の 製 品 を 使 用 して 構 築 できます。OPSEC<br />
認 定 のクラスタ 製 品 は、<strong>ClusterXL</strong> と 同 じステート 同 期 インフラストラクチャを 使 用 します。<br />
注 - このガイドは、Security Gateway モードにおける <strong>ClusterXL</strong> のみについて 言 及 しています。<br />
VSX モードの 詳 細 は、『<strong>R75.40VS</strong> VSX Administration Guide』<br />
(http://supportcontent.checkpoint.com/solutions?id=sk76540)を 参 照 してください。<br />
クラスタ・コントロール・プロトコル<br />
クラスタ・コントロール・プロトコル(CCP)は、<strong>Check</strong> <strong>Point</strong> Gateway Cluster 内 のマシンを 互 いにリンクします。CCP<br />
トラフィックは 通 常 のネットワーク・トラフィックとは 区 別 され、ネットワーク・スニッファを 使 用 して 表 示 できます。<br />
CCP は UDP ポート 8116 上 で 動 作 し、 以 下 の 機 能 があります。<br />
<br />
<br />
keep-alive パケットを 送 信 して、クラスタ・メンバが 自 分 自 身 の 状 態 を 報 告 し、ほかのメンバの 状 態 を 把 握<br />
できるようにする 機 能 (<strong>ClusterXL</strong> クラスタ 利 用 時 のみ)<br />
ステート 同 期<br />
<strong>Check</strong> <strong>Point</strong> CCP は、OPSEC クラスタのみならず、 全 ての <strong>ClusterXL</strong> モードでも 使 用 されます。しかし、このプロト<br />
コルによって 実 行 されるタスクとタスクの 実 施 方 法 は、クラスタのタイプによって 異 なる 可 能 性 があります。<br />
注 - CCP を 許 可 するセキュリティ・ポリシー・ルール・ベースにルールを 追 加 する 必 要 はあり<br />
ません。<br />
インストールとサポートされているプラットフォーム<br />
<strong>ClusterXL</strong> は、SmartCenter サーバとクラスタ・メンバが 別 のマシン 上 にある 分 散 構 成 にインストールする 必 要 が<br />
あります。<strong>ClusterXL</strong> は Security Gateway 標 準 インストールの 一 部 です。<br />
インストール 方 法 については『<strong>R75.40VS</strong> Installation and Upgrade Guide』<br />
(http://supportcontent.checkpoint.com/solutions?id=sk76540)を 参 照 してください。<br />
<strong>ClusterXL</strong> のサポート・プラットフォームについては『<strong>R75.40VS</strong> Release Notes』<br />
(http://supportcontent.checkpoint.com/solutions?id=sk76540)を 参 照 してください。<br />
<strong>ClusterXL</strong> ライセンス<br />
HA 用 に <strong>ClusterXL</strong> を 使 用 する 場 合 、 構 成 の 各 ゲートウェイは、 通 常 のゲートウェイ・ライセンスを 持 つ 必 要 があり、<br />
管 理 マシンは 各 クラスタにライセンスを 定 義 する 必 要 があります。<br />
負 荷 共 有 用 に <strong>ClusterXL</strong> を 使 用 する 場 合 、 構 成 の 各 ゲートウェイは、 通 常 のゲートウェイ・ライセンスを 持 つ 必 要 が<br />
あり、 管 理 マシンは 各 クラスタにライセンスを 定 義 し、さらに Cluster-1 のプリミティブ・ライセンスが 1 つ 必 要 です。<br />
クラスタに 含 まれているゲートウェイの 数 は 重 要 ではありません。 適 切 なライセンスがインストールされていない 場 合 、<br />
インストール・ポリシーの 操 作 は 失 敗 します。<br />
ライセンスの 詳 細 は、チェック・ポイントのサポート・センター(http://usercenter.checkpoint.com)を 参 照 してく<br />
ださい。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 9
<strong>ClusterXL</strong> でのクロックの 同 期<br />
<strong>ClusterXL</strong> を 使 用 する 場 合 、クラスタ・メンバのすべてのクロックを 同 期 してください。 手 作 業 で 設 定 するか、NTP な<br />
どのプロトコルを 使 用 して 同 期 させることができます。VPN などの 機 能 は、すべてのクラスタ・メンバのクロックが 同<br />
期 している 場 合 にのみ 正 常 に 動 作 します。<br />
クラスタの 定 義 と 用 語<br />
ゲートウェイ・クラスタ、ハイ・アベイラビリティ、 負 荷 共 有 に 関 連 する 用 語 の 意 味 は、ベンダーによって 異 なる 場 合 が<br />
あります。チェック・ポイントでは、クラスタについて 説 明 する 際 には、 以 下 の 定 義 と 用 語 を 使 用 します。<br />
アクティブ・アップ - アクティブであった HA マシンに 障 害 が 発 生 し、そのマシンが 再 び 使 用 可 能 になった 場 合 、アク<br />
ティブ・マシンとしてではなく、クラスタ 内 のスタンバイ・マシンの 1 つとしてクラスタに 復 帰 します。<br />
クラスタ - 負 荷 共 有 または HA を 提 供 するために 一 緒 に 動 作 する 複 数 のマシンで 構 成 されるグループ。<br />
クリティカル・デバイス - 管 理 者 が、クラスタ・メンバの 動 作 にとって 重 要 と 定 義 したデバイス。クリティカル・デバイス<br />
は 問 題 通 知 (pnote)とも 呼 ばれます。クリティカル・デバイスは 常 時 監 視 されます。クリティカル・デバイスが 動 作 を<br />
停 止 した 場 合 、デバイスの 障 害 と 見 なされます。デバイスは、ハードウェアでもプロセスでも 構 いません。fwd プロセ<br />
スと cphad プロセスは、デフォルトでクリティカル・デバイスとして 事 前 に 定 義 されています。セキュリティ・ポリシーも<br />
クリティカル・デバイスとして 事 前 に 定 義 されています。 管 理 者 は、cphaprob コマンドを 使 用 してクリティカル・デバ<br />
イスの 一 覧 に 追 加 できます。<br />
障 害 - マシンがパケットをフィルタリングできなくなる 原 因 となるハードウェアまたはソフトウェアの 問 題 。アクティブな<br />
マシンに 障 害 が 発 生 すると、フェイルオーバーが 発 生 します。<br />
フェイルオーバー - クラスタ 内 で、 障 害 が 発 生 したマシンに 代 わって、 別 のマシンがパケットのフィルタリングを 引 き<br />
継 ぐこと。<br />
ハイ・アベイラビリティ(HA) - 障 害 が 発 生 した 場 合 に、クラスタ 内 の 別 マシンに 接 続 を 引 き 継 がせることによって 接<br />
続 を 維 持 する 機 能 。パケットのフィルタリングを 行 うのはアクティブ・マシンのみです。クラスタ 内 の 1 つのマシンがア<br />
クティブ・コンピュータとして 設 定 されます。アクティブ・マシンで 障 害 が 発 生 した 場 合 、クラスタ 内 のほかのマシンの 1<br />
つがその 処 理 を 引 き 継 ぎます。<br />
ホット・スタンバイ - アクティブ/スタンバイとも 呼 ばれます。HA と 同 じ 意 味 を 持 ちます。<br />
負 荷 共 有 - 負 荷 共 有 のゲートウェイ・クラスタでは、クラスタにあるすべてのマシンがパケットをフィルタにかけます。<br />
負 荷 共 有 は HA を 実 現 し、 障 害 が 発 生 した 場 合 、クラスタ 内 のほかのマシンに 透 過 的 なフェイルオーバーを 行 い、 信<br />
頼 性 とパフォーマンスを 向 上 させます。 負 荷 共 有 はアクティブ/アクティブとも 呼 ばれます。<br />
マルチキャスト 負 荷 共 有 - <strong>ClusterXL</strong> の 負 荷 共 有 マルチキャスト・モードでは、クラスタのすべてのメンバが、クラス<br />
タ IP アドレスに 送 信 されたすべてのパケットを 受 信 します。ルータまたはレイヤ 3 スイッチは、マルチキャストを 使 用<br />
してパケットをすべてのクラスタ・メンバに 転 送 します。すべてのクラスタ・メンバ 上 にある <strong>ClusterXL</strong> 決 定 アルゴリズ<br />
ムによって、パケットに 対 してエンフォースメント 処 理 を 行 うクラスタ・メンバが 決 定 されます。<br />
ユニキャスト 負 荷 共 有 - <strong>ClusterXL</strong> の 負 荷 共 有 ユニキャスト・モードでは、1 台 のマシン(ピボット)がすべてのトラフィ<br />
ックをユニキャスト 設 定 でルータから 受 信 し、パケットをクラスタ 内 にあるほかのマシンに 再 配 分 します。ピボット・マ<br />
シンは、<strong>ClusterXL</strong> によって 自 動 的 に 選 択 されます。<br />
10 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
第 2 章<br />
クラスタ 間 での 接 続 情 報 の 同 期<br />
この 章 の 構 成<br />
チェック・ポイントのステート 同 期 ソリューション 11<br />
ステート 同 期 の 設 定 15<br />
チェック・ポイントのステート 同 期 ソリューション<br />
ファイアウォールに 障 害 が 発 生 すると、 組 織 と 外 部 との 接 続 は 直 ちに 切 断 されます。 金 融 取 引 など、これらの 接 続 の<br />
多 くはミッション・クリティカルであり、これらが 切 断 されると 重 要 なデータが 失 われてしまいます。<strong>ClusterXL</strong> は、 各 ゲ<br />
ートウェイ・クラスタ・メンバがほかのメンバを 経 由 する 接 続 を 認 識 できるようにして、 障 害 が 発 生 してもデータが 失 わ<br />
れないインフラストラクチャを 提 供 します。 接 続 とほかの Security Gateway の 状 態 に 関 する 情 報 をクラスタ・メンバ<br />
間 で 受 け 渡 すことを「ステート 同 期 」を 呼 びます。<br />
Security Gateway によって 認 識 されるすべての IP ベースのサービス(TCP や UDP を 含 む)は 同 期 されます。<br />
ステート 同 期 は、<strong>ClusterXL</strong> ソリューションとサード・パーティの OPSEC 認 定 クラスタ 製 品 の 両 方 で 使 用 されます。<br />
<strong>ClusterXL</strong> 負 荷 共 有 構 成 内 のマシンは 同 期 させる 必 要 があります。<strong>ClusterXL</strong> HA(ハイ・アベイラビリティ) 構 成 内<br />
のマシンは 同 期 させる 必 要 はありませんが、 同 期 していないとフェイルオーバー 時 に 接 続 が 失 われます。<br />
同 期 ネットワーク<br />
同 期 ネットワークは、 接 続 とクラスタ・メンバ 間 のほかの Security Gateway の 状 態 に 関 する 同 期 情 報 を 転 送 する 際<br />
に 使 用 します。<br />
同 期 ネットワークは 最 も 重 要 なセキュリティ・ポリシー 情 報 を 組 織 内 に 送 信 するため、 悪 質 な 脅 威 および 不 意 の 脅 威<br />
にさらされないように 保 護 する 必 要 があります。 次 の 方 法 のうち 1 つを 実 行 して 同 期 インタフェースを 保 護 することを<br />
お 勧 めします。<br />
<br />
<br />
専 用 の 同 期 ネットワークを 使 用 する。<br />
クロスケーブルを 使 用 して、クラスタ・メンバの 物 理 ネットワーク・インタフェースを 直 接 接 続 する。3 つ 以 上<br />
のメンバを 含 むクラスタでは、 専 用 のハブまたはスイッチを 使 用 してください。<br />
注 - WAN を 介 してメンバを 同 期 することが 可 能 です。 詳 細 については、15ページの「WAN を<br />
介 したクラスタの 同 期 」を 参 照 してください。<br />
これらの 推 奨 方 法 に 従 うことによって、ほかのネットワークが 同 期 情 報 を 送 信 しないため、 同 期 ネットワークの 安 全<br />
性 が 保 証 されます。<br />
バックアップのために 複 数 の 同 期 ネットワークを 定 義 できます。バックアップも 専 用 ネットワークにすることをお 勧 めし<br />
ます。<br />
Cluster XL では、 同 期 ネットワークは VLAN インタフェースの 最 も 小 さい VLAN タグでサポートされます。たとえば、<br />
タグ 10、20、および 30 の 3 つの VLAN がインタフェース eth1 に 構 成 されている 場 合 には、インタフェース eth1.10<br />
が 同 期 に 使 用 され 非 対 称 の 通 信 の 同 期<br />
ます。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 11
ステート 同 期 の 動 作<br />
同 期 は 以 下 の 2 つのモードで 動 作 します。<br />
<br />
<br />
完 全 同 期 では、クラスタ・メンバ 間 ですべての Security Gateway カーネル・テーブル 情 報 が 転 送 されます。<br />
完 全 同 期 は、 暗 号 化 された TCP 接 続 を 使 用 して、fwd デーモンによって 処 理 されます。<br />
差 分 同 期 では、クラスタ・メンバ 間 でカーネル・テーブルの 変 更 情 報 が 転 送 されます。 差 分 同 期 は、ポート<br />
8116 で UDP マルチキャストまたはブロードキャストを 使 用 して、Security Gateway カーネルによって 処<br />
理 されます。<br />
完 全 同 期 は、 何 千 もの 接 続 について、 状 態 情 報 の 初 期 転 送 に 使 用 されます。クラスタ・メンバがダウン 後 に 起 動 した<br />
場 合 、 完 全 同 期 を 実 行 します。すべてのメンバが 同 期 したら、 更 新 情 報 のみが 差 分 同 期 によって 転 送 されます。 差<br />
分 同 期 は 完 全 同 期 より 遥 かに 高 速 です。<br />
ステート 同 期 トラフィックは 通 常 、すべてのクラスタ・コントロール・プロトコル(CCP)トラフィックの 約 90 %を 占 めます。<br />
ステート 同 期 パケットは、UDP データ・ヘッダ 内 の opcode によって 残 りの CCP トラフィックと 区 別 されます。<br />
注 - CCP パケットの 送 信 元 MAC アドレスは 変 更 できます。<br />
同 期 不 要 なサービス<br />
ゲートウェイ・クラスタ 内 では、 通 常 、すべてのクラスタ・メンバに 対 するすべての 接 続 がクラスタ 間 で 同 期 されます。<br />
ゲートウェイ・クラスタを 通 るすべてのサービスが 同 期 されなくても 構 いません。<br />
<br />
<br />
<br />
TCP、UDP、その 他 の 種 類 のサービスを 同 期 しないように 指 定 できます。デフォルトでは、これらのサー<br />
ビスはすべて 同 期 されます。<br />
VRRP と IPクラスタ・コントロール・プロトコル、および IGMP プロトコルは、デフォルトでは 同 期 されません<br />
(これらのプロトコルに 対 して 同 期 をオンにすることはできます)。クラスタ・メンバ 間 のみで 実 行 しているプ<br />
ロトコルは、 同 期 させる 必 要 はありません。 同 期 させることは 可 能 ですが、 同 期 するようにクラスタを 設 定<br />
しても 利 点 がありません。 同 期 情 報 はフェイルオーバーの 際 には 役 立 たないため、この 場 合 は 関 係 あり<br />
ません。したがって、IGMP、VRRP、IP クラスタリング、その 他 の OPSEC クラスタ・コントロール・プロトコ<br />
ルは、デフォルトでは 同 期 されません。<br />
ブロードキャストとマルチキャストは 同 期 されず、また 同 期 することができません。<br />
サービスに 対 して 同 期 サービス 定 義 と 非 同 期 サービス 定 義 の 両 方 を 設 定 し、ルール・ベースで 選 択 的 に 定 義 を 使 用<br />
できます。<br />
同 期 の 不 要 なサービスの 設 定<br />
同 期 を 行 うには、パフォーマンスに 多 少 の 負 荷 がかかります。 以 下 の 条 件 が 当 てはまる 場 合 、サービスを 同 期 しな<br />
いように 設 定 できます。<br />
<br />
<br />
<br />
<br />
クラスタを 通 っているトラフィックの 大 部 分 が 特 定 のサービスを 使 用 します。サービスを 同 期 しないようにすると、<br />
同 期 トラフィックの 量 が 減 るため、クラスタ・パフォーマンスが 向 上 します。<br />
通 常 、サービスは 短 時 間 の 接 続 を 行 い、 接 続 が 失 われたかどうかが 通 知 されません。DNS(UDP 上 )と HTTP<br />
は 通 常 、ほとんどの 接 続 に 関 係 していますが、 非 常 に 寿 命 が 短 く、アプリケーション・レベルで 接 続 を 回 復 でき<br />
ます。FTP などの、 一 般 的 に 長 時 間 の 接 続 を 確 立 するサービスは、 必 ず 同 期 させる 必 要 があります。<br />
すべての 接 続 に 対 して 双 方 向 対 称 性 を 保 証 する 構 成 では、(HA を 維 持 するためだけに) 同 期 を 行 う 必 要 はあ<br />
りません。そのような 構 成 には 以 下 が 含 まれます。<br />
HA モードのクラスタ( 例 : <strong>ClusterXL</strong> New HA または IPSO VRRP)<br />
非 暗 号 化 接 続 での 負 荷 共 有 モードの <strong>ClusterXL</strong>(VPN またはスタティック NAT を 除 く)<br />
完 全 対 称 性 を 保 証 する OPSEC クラスタ(OPSEC クラスタのマニュアルを 参 照 )<br />
<br />
負 荷 共 有 モードで <strong>ClusterXL</strong> クラスタを 通 過 する VPN とスタティック NAT 接 続 (マルチキャストまたはユニ<br />
キャスト)は 双 方 向 の 対 称 性 を 維 持 しません。このような 環 境 では、ステート 同 期 をオンにする 必 要 があります。<br />
12 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
継 続 時 間 が 制 限 された 同 期<br />
一 部 の TCP サービス(HTTPなど)には、 継 続 時 間 が 非 常 に 短 いという 特 徴 があります。これらの 接 続 を 同 期 化 する<br />
と、ゲートウェイ・リソースを 消 費 しフェイルオーバーが 発 生 する 時 までに 接 続 が 終 了 してしまうため、 同 期 化 は 意 味<br />
がありません。<br />
GUI で 定 義 される[Protocol Type]が[HTTP]または[None]のすべての TCP サービスの 場 合 には、このオプション<br />
を 使 用 して Security Gateway への 接 続 情 報 の 通 知 を 遅 らせ、 接 続 開 始 x 秒 後 に 接 続 がまだ 存 在 する 場 合 にのみ<br />
接 続 を 同 期 するように 設 定 できます。この 機 能 を 使 用 するには、「Delayed Notifications」をサポートする SecureXL<br />
デバイスと Performance Pack with <strong>ClusterXL</strong> LS Multicast などの 最 新 のクラスタ 構 成 が 必 要 です。<br />
この 機 能 は、SecureXL 対 応 デバイスが、 接 続 が 通 過 する Security Gateway にインストールされている 場 合 にのみ<br />
使 用 可 能 です。<br />
接 続 テンプレートが <strong>ClusterXL</strong> 対 応 デバイスからオフロードされていない 場 合 、この 設 定 は 無 視 されます。 詳 細 につ<br />
いては、SecureXL のマニュアルを 参 照 してください。<br />
非 対 称 通 信<br />
すべてのパケットが 1 つのクラスタ・メンバにより 処 理 される 場 合 、 通 信 は「 対 称 」であると 呼 ばれます。 非 対 称 通 信<br />
では、 返 信 パケットは 元 のパケットと 別 のゲートウェイを 経 由 して 返 される 場 合 があります。<br />
同 期 メカニズムでは、 非 対 称 通 信 を 適 切 に 処 理 できます。 非 対 称 通 信 では、クラスタ・メンバ・ゲートウェイは<br />
out-of-state パケットを 受 信 できます。ただし、 一 般 的 に out-of-state パケットにはセキュリティ・リスクがあるため、<br />
Security Gateway はこのパケットを 廃 棄 します。<br />
負 荷 共 有 構 成 ではすべてのクラスタ・メンバがアクティブで、スタティック NAT 接 続 と 暗 号 化 接 続 では 発 信 元 IP アド<br />
レスと 宛 先 IP アドレスが 変 更 されます。したがって、 負 荷 共 有 クラスタを 経 由 するスタティック NAT 接 続 と 暗 号 化 接<br />
続 は、 非 対 称 になることがあります。 非 対 称 性 は Hide NAT でも 発 生 する 可 能 性 がありますが、<strong>ClusterXL</strong> はそれら<br />
を 正 しく 処 理 するメカニズムを 備 えています。<br />
ハイ・アベイラビリティ(HA) 構 成 では、すべてのパケットがアクティブなマシンに 到 達 するため、 非 対 称 通 信 は 発 生 し<br />
ません。 通 信 の 確 立 中 にフェイルオーバーが 発 生 した 場 合 、 通 信 は 失 われますが、 同 期 は 後 で 実 行 できます。<br />
ほかのメンバが 非 対 称 通 信 について 知 らない 場 合 には、パケットは out-of-state となり、 通 信 はセキュリティ 上 の 理<br />
由 から 切 断 されます。ただし、 同 期 メカニズムにより、ほかのメンバに 通 信 を 通 知 できます。したがって、 同 期 メカニ<br />
ズムは、 有 効 であるが 非 対 称 の 通 信 で out-of-state パケットが 発 生 するのを 防 ぎ、これらの 非 対 称 通 信 が 許 可 され<br />
ます。<br />
ネットワーク 管 理 者 が、 返 信 パケットが 元 のパケットと 別 のゲートウェイを 経 由 して 返 される 非 対 称 ルーティングを 設<br />
定 した 場 合 にも、 非 対 称 通 信 が 発 生 します。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 13
非 対 称 通 信 の 例 : TCP 3 ウェイ・ハンドシェーク<br />
すべての TCP 接 続 を 開 始 する 3 ウェイ・ハンドシェークは、 多 くの 場 合 、 非 対 称 ( 非 対 称 ルーティング) 通 信 になりま<br />
す。 以 下 の 状 況 が 発 生 する 可 能 性 があります。<br />
クライアント A は SYN パケットをサーバ B に 送 信 して 接 続 を 開 始 します。SYN はゲートウェイ C を 経 由 しますが、<br />
SYN/ACK 応 答 はゲートウェイ D を 経 由 して 返 されます。これは、 返 答 パケットが 元 のパケットと 異 なるゲートウェイを<br />
経 由 して 返 されるため、 非 対 称 通 信 です。<br />
ゲートウェイ D には、 同 期 ネットワーク 経 由 で 通 知 されます。サーバ B から 送 信 された SYN/ACK パケットがゲート<br />
ウェイ D に 届 く 前 にこのマシンが 更 新 された 場 合 は、 通 信 は 正 常 に 処 理 されます。 同 期 が 遅 れ、SYN フラグが 更 新<br />
される 前 に SYN/ACK パケットがゲートウェイ D で 受 信 された 場 合 は、ゲートウェイは SYN/ACK パケットを<br />
out-of-state として 処 理 し、 通 信 を 切 断 します。<br />
この 問 題 には、 高 度 な 3 ウェイ TCP ハンドシェークの 実 施 を 設 定 して 対 応 することができます(94ページの「 高 度 な 3<br />
ウェイ TCP ハンドシェークの 実 施 」を 参 照 )。<br />
非 対 称 通 信 の 同 期<br />
同 期 メカニズムは、 有 効 であるが 非 対 称 の 通 信 で、out-of-state パケットの 発 生 を 防 ぎます。すべての TCP データ 通<br />
信 を 開 始 する 3 ウェイ・ハンドシェークの 例 を 参 考 にすると、 同 期 メカニズムの 処 理 方 法 を 理 解 できます。3 ウェイ・ハ<br />
ンドシェークは 以 下 のように 行 われます。<br />
1. SYN(クライアントからサーバへ)<br />
2. SYN/ACK(サーバからクライアントへ)<br />
3. ACK(クライアントからサーバへ)<br />
4. データ(クライアントからサーバへ)<br />
out-of-state パケットの 発 生 を 防 ぐために、 以 下 のシーケンス(「Flush and Ack」と 呼 ばれます)が 発 生 します。<br />
1. クラスタ・メンバは 接 続 の 最 初 のパケット(SYN)を 受 信 します。<br />
2. 通 信 が 非 対 称 でないかを 確 認 します。<br />
3. SYN パケットを 保 持 します。<br />
4. すべてのクラスタ・メンバに(このパケットに 関 するすべての 変 更 を 含 む) 保 持 中 の 同 期 アップデートを 送 信 します。<br />
5. ほかのすべてのクラスタ・メンバが、SYN パケット 内 の 情 報 に 対 して 肯 定 応 答 するのを 待 ちます。<br />
6. 保 持 中 の SYN パケットを 解 放 します。<br />
7. すべてのクラスタ・メンバが SYN-ACK に 対 してレディになります。<br />
14 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
WAN を 介 したクラスタの 同 期<br />
組 織 では、 物 理 的 に 離 れた 場 所 にあるクラスタ・メンバを 検 索 する 必 要 がある 場 合 があります。 典 型 的 な 例 が、 障 害<br />
回 復 のために 遠 隔 地 に 配 置 された 複 製 用 のデータ・センターです。そのような 設 定 においては、クロス・ケーブルを<br />
同 期 ネットワークとして 使 用 するのは 明 らかに 実 行 不 可 能 です。<br />
同 期 ネットワークはリモート・サイトに 拡 大 できるため、 地 理 的 に 分 散 したクラスタを 簡 単 に 導 入 できます。この 機 能<br />
には 以 下 の 2 つの 制 限 があります。<br />
1. 同 期 ネットワークは、100 ms 以 下 の 待 ち 時 間 と 5% 以 下 のパケット・ロスを 保 証 する 必 要 があります。<br />
2. 同 期 ネットワークにはスイッチとハブのみを 含 めることができます。ルータはクラスタ・コントロール・プロトコル・<br />
パケットを 廃 棄 するため、 同 期 ネットワークでは 使 用 できません。<br />
地 理 的 に 分 散 したクラスタを 監 視 してトラブシューティングを 実 行 するには、コマンド・ラインを 使 用 できます(60ペー<br />
ジの「 同 期 のトラブルシューティング」を 参 照 )。<br />
同 期 クラスタの 制 限<br />
クラスタ・メンバの 同 期 には 以 下 の 制 限 があります。<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
同 じプラットフォーム 上 で 実 行 されているクラスタ・メンバのみを 同 期 させることができます。<br />
すべてのクラスタ・メンバは 同 じチェック・ポイントのソフトウェア・バージョンを 使 用 する 必 要 があります。<br />
クラスタ・メンバを 通 過 するユーザ 認 証 接 続 は、クラスタ・メンバがダウンすると 失 われます。 同 期 している<br />
ほかのクラスタ・メンバは 接 続 を 再 開 できません。<br />
ただし、クライアント 認 証 接 続 またはセッション 認 証 接 続 は 失 われません。<br />
このような 制 限 は、ユーザ 認 証 状 態 が Security Server で 保 持 され、これがプロセスであるために、マシ<br />
ン 間 でのカーネル・データの 同 期 と 同 様 には 同 期 ができないことによるものです。ただし、セッション 同 期<br />
とクライアント 同 期 の 状 態 はカーネル・テーブルに 保 存 されるため、 同 期 させることができます。<br />
「リソース」を 使 用 する 接 続 の 状 態 は Security Server で 維 持 されるため、ユーザ 認 証 接 続 を 同 期 させる<br />
ことができないのと 同 じ 理 由 でこれらの 接 続 は 同 期 させることができません。<br />
アカウンティング 情 報 は 各 クラスタ・メンバに 蓄 積 され、 個 別 に Security Management サーバに 送 信 、 集<br />
計 されます。フェイルオーバーの 場 合 、 障 害 が 発 生 したメンバに 蓄 積 されたが、Security Management<br />
サーバに 送 信 されなかったアカウンティング 情 報 は 失 われます。この 問 題 を 最 小 限 にするには、アカウン<br />
ティング 情 報 を「フラッシュする」 期 間 を 短 くできます。これを 実 行 するには、クラスタ・オブジェクトの[Logs<br />
and Masters]→[Additional Logging]ページで[Update Account Log every:] 属 性 を 設 定 します。<br />
ステート 同 期 の 設 定<br />
<strong>ClusterXL</strong> と OPSEC 認 定 クラスタ 製 品 の 設 定 プロセスの 一 部 として、ステート 同 期 を 設 定 します。 以 下 の 手 順 でス<br />
テート 同 期 の 設 定 をします。<br />
1. ゲートウェイ・クラスタの 同 期 ネットワークのセットアップ<br />
2. Security Gateway のインストールと、 設 定 段 階 での 同 期 機 能 の 有 効 化<br />
3. クラスタ・オブジェクトの[<strong>ClusterXL</strong>]ページでステ―ト 同 期 を 有 効 化<br />
設 定 手 順 については、「<strong>ClusterXL</strong>」(37ページの「<strong>ClusterXL</strong> の 設 定 」)のセクションと「OPSEC 認 定 クラスタ 製 品 」<br />
(43ページの「OPSEC 認 定 クラスタ 製 品 の 設 定 」)のセクションを 参 照 してください。<br />
サービスを 非 同 期 に 設 定 する 方 法<br />
サービスを 非 同 期 に 設 定 するには<br />
1. オブジェクト・ツリーの[Services]ブランチで、 同 期 させたくない TCP、UDP、またはその 他 のサービスをダブル<br />
クリックします。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 15
2. [Service Properties]ウィンドウで[Advanced]をクリックして[Advanced Services Properties]ウィンドウを 表<br />
示 します。<br />
3. [Synchronize connections on the cluster]チェック・ボックスをオフにします。<br />
同 期 バージョンと 非 同 期 バージョンの 作 成<br />
サービスに 対 して 同 期 サービス 定 義 と 非 同 期 サービス 定 義 の 両 方 を 設 定 し、セキュリティ・ルール・ベースで 選 択 的<br />
に 定 義 を 使 用 できます。<br />
1. 新 しい TCP、UDP、およびその 他 のサービスを 定 義 します。 既 存 のサービスと 異 なる 名 前 を 付 けます。<br />
2. 既 存 のサービスのすべての 定 義 を、 新 しいサービスの[Advanced Service Properties]ウィンドウにコピーしま<br />
す。<br />
3. 新 しいサービスで[Advanced]をクリックして、[Advanced Services Properties]ウィンドウを 表 示 します。<br />
4. 既 存 のサービスのすべての 定 義 を、 新 しいサービスの[Advanced Service Properties]ウィンドウにコピーしま<br />
す。<br />
5. 既 存 のサービスの 設 定 と 異 なるように、 新 しいサービスの[Synchronize connections on the cluster]を 設 定 し<br />
ます。<br />
継 続 時 間 が 制 限 された 同 期 の 設 定<br />
継 続 時 間 が 制 限 された 同 期 の 設 定 を 行 う 前 に、まず 基 本 的 な 情 報 を 理 解 しておいてください(13ページの「 継 続 時<br />
間 が 制 限 された 同 期 」)。<br />
注 - この 機 能 は HTTP ベースのサービスに 限 られているため、[Start synchronizing]チェッ<br />
ク・ボックスのオプションは、ほかのサービスでは 表 示 されません。<br />
継 続 時 間 が 制 限 された 同 期 の 設 定 方 法<br />
1. オブジェクト・ツリーの[Services]ブランチで、 同 期 させる TCP、UDP、またはその 他 のサービスをダブルクリッ<br />
クします。<br />
2. [Service Properties]ウィンドウで[Advanced]をクリックして[Advanced Services Properties]ウィンドウを 表<br />
示 します。<br />
3. [Start synchronizing x seconds after connection initiation]を 選 択 します。<br />
4. 接 続 開 始 後 、[seconds]フィールドに 同 期 を 遅 らせる 秒 数 を 入 力 するか、リストから 秒 数 を 選 択 します。<br />
16 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
第 3 章<br />
対 称 通 信<br />
この 章 の 構 成<br />
対 称 通 信 について 17<br />
対 称 判 定 機 能 17<br />
負 荷 共 有 構 成 でのサード・パーティ 製 ピアとの VPN トンネル 18<br />
ハブ・アンド・スポーク 型 トポロジでのサード・パーティ 製 ゲートウェイ 18<br />
対 称 判 定 機 能 の 設 定 19<br />
ハブ・アンド・スポーク 型 トポロジでサード・パーティ 製 ゲートウェイをスポークとして<br />
確 立 する 方 法 20<br />
対 称 通 信 について<br />
通 信 のすべてのパケットが、いずれかの 方 向 において 1 つのクラスタ・メンバによって 処 理 される 場 合 、 通 信 は 対 称<br />
です。すべての 通 信 が 同 じクラスタ・メンバ 経 由 でルーティングされるハイ・アベイラビリティ・モードはこれに 該 当 す<br />
るため、 対 称 です。VPN ピア、スタティック NAT ルール、または SIP 通 信 がない 負 荷 共 有 モードもこれに 該 当 し<br />
ます。<br />
ただし、 負 荷 共 有 モードでは、 場 合 によっては 特 定 のクラスタ・メンバで 開 始 した 通 信 が、 両 方 向 とも 引 き 続 き 同 じク<br />
ラスタ・メンバによって 処 理 されるようにする 必 要 があります。そのためには、 対 称 判 定 機 能 (Sticky Decision<br />
Function)を 有 効 にして、 特 定 の 通 信 を 対 称 にすることができます。<br />
注 - 対 象 接 続 要 求 機 能 についての 最 新 情 報 は『<strong>R75.40VS</strong> Release Notes』<br />
(http://supportcontent.checkpoint.com/solutions?id=sk76540)を 参 照 してください。<br />
対 称 判 定 機 能<br />
対 称 判 定 機 能 により、 特 定 のサービスを 負 荷 共 有 構 成 で 動 作 させることができます。たとえば、L2TP トラフィックや、<br />
クラスタがサード・パーティ 製 ピアとのサイト・ツー・サイト VPN トンネルに 関 与 している 場 合 は、この 機 能 が 必 要<br />
です。<br />
対 称 判 定 機 能 を 有 効 すると、 以 下 のサービスと 通 信 タイプがサポートされます。<br />
<br />
<br />
サード・パーティ 製 の VPN ピアとの VPN 構 成<br />
SecureClient ビジター・モードを 含 む SecureClient/SecuRemote/SSL Network Extender 暗 号 化 接 続<br />
対 称 判 定 機 能 には 以 下 の 制 限 があります。<br />
<br />
<br />
Performance Pack またはハードウェアベースのアクセラレータ・カードを 使 用 している 場 合 、 対 称 判 定 機<br />
能 はサポートされません。 対 称 判 定 機 能 を 有 効 にすると、これらのアクセラレータ 製 品 を 使 用 できなくなり<br />
ます。<br />
対 称 判 定 機 能 を VPN と 一 緒 に 使 用 すると、クラスタ・メンバは 特 定 のピアに 対 して 複 数 の 通 信 を 開 けなく<br />
なります。 別 の 通 信 を 開 くと 別 の SA が 生 成 され、 多 くの 場 合 、サード・パーティ 製 のピアはそれを 処 理 で<br />
きません。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 17
負 荷 共 有 構 成 でのサード・パーティ 製 ピアとの VPN トンネル<br />
チェック・ポイントは、サード・パーティ・ベンダーのゲートウェイを VPN-1ゲートウェイのピアにすることによって、サー<br />
ド・パーティ・ベンダーのゲートウェイとの 相 互 互 換 性 を 提 供 しています。 特 別 な 場 合 として、 特 定 のサード・パーティ<br />
製 ピア(Microsoft LT2P、Nokia Symbian、および Cisco ゲートウェイとクライアント)は、 負 荷 共 有 モードで<br />
<strong>ClusterXL</strong> ゲートウェイとの VPN トンネルの 確 立 を 試 みます。これらのピアでは、SA の 保 存 能 力 に 限 界 があります。<br />
つまり、あるクラスタ・メンバで 開 始 され、 負 荷 共 有 のために 別 のクラスタ・メンバ 経 由 のリターン・トリップ 上 にルーテ<br />
ィングされた VPN セッションは、 認 識 されずに 廃 棄 されます。<br />
以 下 の 図 に 例 を 示 します。<br />
このシナリオの 場 合 :<br />
<br />
<br />
サード・パーティ 製 ピア(ゲートウェイまたはクライアント)は VPN トンネルの 作 成 を 試 みます。<br />
クラスタ・メンバ A と B は、 負 荷 共 有 モードで <strong>ClusterXL</strong> ゲートウェイに 属 します。<br />
サード・パーティ 製 ピアは、 複 数 の SA セットを 保 存 する 機 能 がないため、 複 数 のクラスタ・メンバと VPN トンネルをネ<br />
ゴシエートできません。したがって、クラスタ・メンバはルーティング・トランザクションを 完 了 できません。<br />
特 定 のサード・パーティ 製 ピアまたは 1 つの SA セットしか 保 存 できないゲートウェイの 場 合 は、 通 信 を 対 称 にするこ<br />
とによってこの 問 題 を 解 決 できます。 対 称 判 定 機 能 を 有 効 にすると、 同 一 のサード・パーティ 製 ゲートウェイで 開 始 さ<br />
れたすべての VPN セッションは 1 つのクラスタ・メンバによって 処 理 されるように 設 定 されます。<br />
対 称 判 定 機 能 を 有 効 にするには<br />
1. SmartDashboard でクラスタ・オブジェクトを 編 集 し[<strong>ClusterXL</strong>]ページ→[Advanced]を 選 択 します。<br />
2. [Use Sticky Decision Function]プロパティを 有 効 にします。<br />
ハブ・アンド・スポーク 型 トポロジでのサード・パーティ 製 ゲートウェイ<br />
負 荷 共 有 モードで 対 称 判 定 機 能 が 必 要 なケースとして、 特 定 のサード・パーティ 製 ゲートウェイをハブ・アンド・スポ<br />
ーク 型 に 構 成 する 場 合 があります。サード・パーティ 製 ゲートウェイは、 複 数 の SA セットを 保 存 する 機 能 がないため、<br />
重 複 SA を 避 けるために、1 つのクラスタ・メンバ 上 で VPN トンネルを 保 持 する 必 要 があります。<br />
18 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
以 下 の 図 にこの 構 成 を 示 します。<br />
このシナリオの 場 合 :<br />
<br />
<br />
<br />
<br />
この 構 成 の 目 的 は、スポーク A の 後 ろにあるホストが、スポーク B の 後 ろにあるホストと 通 信 できるように<br />
することです。<br />
<strong>ClusterXL</strong> ゲートウェイは 負 荷 共 有 モードでクラスタ・メンバ A と B で 構 成 され、VPN ハブとして 機 能 して<br />
います。<br />
スポーク A はサード・パーティ 製 ゲートウェイで、ハブを 経 由 する VPN トンネルによってスポーク B と 接 続<br />
されています。<br />
スポーク B は、 別 のサード・パーティ 製 ゲートウェイまたはチェック・ポイント・ゲートウェイのどちらでも 構<br />
いません。<br />
スポーク A と B は、 常 に 同 じクラスタ・メンバを 使 用 して 通 信 するように 設 定 する 必 要 があります。 対 称 判 定 機 能 を 有<br />
効 にすると、 一 方 のサード・パーティ 製 ゲートウェイで 開 始 されたすべての VPN セッションは 1 つのクラスタ・メンバに<br />
よって 処 理 されるため、この 問 題 の 一 部 は 解 決 されます。<br />
スポークAとB 間 のすべての 通 信 が 常 に 同 じクラスタ・メンバを 使 用 して 実 行 されるようにするには、user.defファイル<br />
を 多 少 変 更 することによって、 両 方 のサード・パーティ 製 ゲートウェイは 常 に 同 じクラスタ・メンバに 接 続 するように 設<br />
定 できるため、トンネルの 整 合 性 が 保 持 され、この 問 題 を 回 避 できます(20ページの「ハブ・アンド・スポーク 型 トポロ<br />
ジでサード・パーティ 製 ゲートウェイを 確 立 する 方 法 」を 参 照 )。<br />
対 称 判 定 機 能 の 設 定<br />
対 称 判 定 機 能 を 設 定 するには<br />
1. クラスタ・オブジェクトを[Network Object]ツリーから 選 択 します。<br />
2. ツリーから <strong>ClusterXL</strong> を 選 択 し、[Advanced]をクリックします。<br />
3. [Advanced Load Sharing]ウィンドウで、 以 下 のいずれかを 選 択 します。<br />
<br />
<br />
<br />
[IPs, Ports, SPIs (default)]: 最 適 な 負 荷 分 散 で、 推 奨 設 定 です。 最 も「 対 称 性 」が 低 い 共 有 分 散 設 定 とな<br />
ります。<br />
[IPs, Ports]: 同 じ 発 信 元 と IP アドレスを 持 っている IPSec パケットを 複 数 のマシンに 分 散 する 際 に 問 題 が<br />
生 じた 場 合 にのみ 使 用 します。<br />
[IPs]: 同 じ 発 信 元 と IP アドレスを 持 っている IPSec パケットまたは 異 なるポート・パケットを 複 数 のマシン<br />
に 分 散 する 際 に 問 題 が 生 じた 場 合 にのみ 使 用 します。 最 も「 対 称 性 」が 高 い 共 有 分 散 設 定 となります。<br />
4. [Sticky Decision Function]オプションをオンにして 機 能 を 有 効 にする、またはオフにして 無 効 にします。デフォ<br />
ルトでは、[Sticky Decision Function]の 機 能 は 無 効 になっています。<br />
有 効 な 場 合 、 接 続 の 着 信 と 発 信 の 両 方 向 で 1 つのクラスタ・メンバを 通 過 します。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 19
ハブ・アンド・スポーク 型 トポロジでサード・パーティ 製 ゲートウェイを<br />
スポークとして 確 立 する 方 法<br />
ハブ・アンド・スポーク 型 トポロジでサード・パーティ 製 ゲートウェイをスポークとして 確 立 するには、Security<br />
Management サーバで 以 下 の 手 順 を 実 行 します。<br />
1. 対 称 判 定 機 能 を 有 効 にします。SmartDashboard でクラスタ・オブジェクトを 編 集 し、[<strong>ClusterXL</strong>]ページ→<br />
[Advanced]を 選 択 し、[Use Sticky Decision Function]プロパティを 有 効 にします。<br />
2. 特 定 のピアからのトラフィックを 処 理 するトンネル・グループを 作 成 します。テキスト・エディタを 使 用 して、<br />
$FWDIR/lib/user.def ファイルを 編 集 し、 以 下 の 行 を 追 加 します。<br />
all@{member1,member2} vpn_sticky_gws = {, };<br />
この 設 定 のエレメントは 以 下 のとおりです。<br />
エレメント<br />
All<br />
説 明<br />
クラスタ・ゲートウェイのすべてのインタフェースを 表 します。<br />
member1,member2 SmartDashboard 内 のクラスタ・メンバの 名 前 。<br />
vpn_sticky_gws テーブルの 名 前 。<br />
10.10.10.1 スポーク A の IP アドレス。<br />
20.20.20.1 スポーク B の IP アドレス。<br />
;1 トンネル・グループ 識 別 子 。これらの IP アドレスからのトラフィックは、 同 じクラス<br />
タ・メンバによって 処 理 する 必 要 があることを 示 します。<br />
3. 前 述 と 同 じ 書 式 で IP アドレスを 入 力 して、ほかのピアをトンネル・グループに 追 加 できます。スポーク C を 追 加 す<br />
るには、 以 下 のように 入 力 します。<br />
all@{member1,member2} vpn_sticky_gws = {,<br />
,};<br />
トンネル・グループ 識 別 子 ;1 は 同 じままです。これは、 表 示 されたピアは 常 に 同 じクラスタ・メンバを 経 由 して 通<br />
信 することを 意 味 します。<br />
注 - クラスタ・メンバよりも 多 い 数 のトンネル・グループを 定 義 することもできます。<br />
つまり、この 手 順 を 実 行 すると、 影 響 を 受 ける 通 信 の 負 荷 共 有 がオフになります。 複 数 のサード・パーティ 製 ゲ<br />
ートウェイ・セットが 相 互 に 通 信 するように 実 装 する 場 合 は、ゲートウェイ・ペアが 特 定 のクラスタ・メンバと 並 行 し<br />
て 動 作 するように 設 定 して、 負 荷 共 有 を 実 現 できます。たとえば、ほかの 2 つのスポーク(C と D) 間 の 接 続 をセ<br />
ットアップするには、 単 に IP アドレスを 行 に 追 加 して、トンネル・グループ 識 別 子 を;1 から;2 に 置 き 換 えます。こ<br />
の 場 合 、 行 は 以 下 のようになります。<br />
all@{member1,member2} vpn_sticky_gws = {,<br />
,,,};<br />
;1 と;2 の 2 つのピア 識 別 子 があることに 注 意 してください。これで、スポーク A と B は 1 つのクラスタ・メンバを<br />
経 由 して 接 続 し、スポーク C と D は 別 のクラスタ・メンバを 経 由 して 接 続 します。<br />
注 - トンネル・グループは、アクティブなクラスタ・メンバ 間 で 分 散 されます。クラスタの<br />
状 態 が 変 化 (フェイルオーバーやメンバのアタッチ/ 切 り 離 しなど)した 場 合 、 新 しい 状 態 に<br />
従 って 再 割 り 当 てが 行 われます。<br />
20 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
第 4 章<br />
<strong>ClusterXL</strong> における HA と 負 荷 共 有<br />
この 章 の 構 成<br />
HA(ハイ・アベイラビリティ)と 負 荷 共 有 について 21<br />
<strong>ClusterXL</strong> トポロジの 例 22<br />
<strong>ClusterXL</strong> のモード 24<br />
フェイルオーバー 28<br />
導 入 計 画 における 注 意 事 項 30<br />
ハードウェア 要 件 、 互 換 性 、Cisco の 例 30<br />
チェック・ポイントのソフトウェアの 互 換 性 33<br />
クラスタ・トポロジの 設 定 36<br />
HA(ハイ・アベイラビリティ)と 負 荷 共 有 について<br />
<strong>ClusterXL</strong> は、 冗 長 構 成 の Security Gateways のクラスタ 間 でネットワーク・トラフィックを 分 散 するソフトウェア・ベー<br />
スの 負 荷 共 有 および HA ソリューションです。<br />
<strong>ClusterXL</strong> は 以 下 の 機 能 を 提 供 します。<br />
<br />
マシン 障 害 時 の 透 過 的 なフェイルオーバー<br />
ミッション・クリティカルな 環 境 でのダウンタイムの 解 消 (ステート 同 期 使 用 時 )<br />
スループットの 向 上 ( 負 荷 共 有 モード 時 )<br />
<br />
透 過 的 なアップグレード<br />
クラスタ 内 のすべてのマシンは、ほかの 各 マシンを 経 由 する 接 続 を 認 識 します。クラスタ・メンバは、 安 全 な 同 期 ネッ<br />
トワークを 介 して 接 続 とステータス 情 報 を 同 期 します。<br />
クラスタ・コントロール・プロトコル(CCP)は、<strong>ClusterXL</strong> クラスタ 内 のマシンを 結 合 し、クラスタ・メンバ 間 で 同 期 情 報<br />
やその 他 の 情 報 を 受 け 渡 します。<br />
負 荷 共 有<br />
<strong>ClusterXL</strong> 負 荷 共 有 はゲートウェイのクラスタ 内 でトラフィックを 分 散 し、 複 数 のマシンの 全 体 的 なスループットを 向<br />
上 させます。<br />
負 荷 共 有 構 成 ではクラスタ 内 で 動 作 中 のすべてのマシンがアクティブであり、ネットワーク・トラフィックを 処 理 します<br />
(アクティブ/アクティブ 動 作 )。<br />
クラスタ 内 のチェック・ポイント・ゲートウェイがアクセス 不 能 になった 場 合 、 残 りの 動 作 中 のマシンに 対 して 透 過 的 な<br />
フェイルオーバーが 行 われ、HA が 実 現 します。すべての 接 続 が 中 断 されることなく 残 りのゲートウェイ 間 で 共 有 され<br />
ます。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 21
HA(ハイ・アベイラビリティ)<br />
HA 機 能 を 使 用 すると、クラスタ・メンバで 障 害 が 発 生 した 場 合 でも、クラスタ・メンバ 間 で 負 荷 共 有 がなくても 接 続 を<br />
維 持 できます。HAクラスタ 内 では、1つのマシンのみがアクティブになります(アクティブ/スタンバイ 動 作 )。アクティブ<br />
なクラスタ・メンバがアクセス 不 能 になった 場 合 、すべての 接 続 は 中 断 されることなく 指 定 されたスタンバイ・クラスタ・<br />
メンバにリダイレクトされます。 同 期 クラスタ 内 では、スタンバイ・クラスタ・メンバはアクティブなクラスタ・メンバの 接<br />
続 状 態 を 使 用 して 更 新 されます。<br />
HAクラスタ 内 では、 各 マシンに 優 先 順 位 が 与 えられます。 通 常 、 最 も 優 先 順 位 の 高 いマシンがゲートウェイとして 機<br />
能 します。このマシンに 障 害 が 発 生 した 場 合 、 次 に 優 先 順 位 が 高 いマシンに 制 御 が 渡 されます。そのマシンに 障 害<br />
が 発 生 した 場 合 、その 次 に 優 先 順 位 が 高 いマシンに 制 御 が 引 き 継 がれます。<br />
ゲートウェイが 復 帰 した 場 合 、 現 在 のアクティブなゲートウェイを 維 持 する(アクティブ・アップ)か、 最 も 優 先 順 位 の 高<br />
いゲートウェイに 切 り 替 える(プライマリ・アップ)ことができます。<br />
アクティブ・アップ 設 定 で、セキュリティ・ポリシーの 変 更 とインストールはメンバ 間 のフェイルオーバーの 原 因 になり<br />
ます。 別 のメンバをアクティブ・マシンとして 選 択 することができます。ポリシーのインストール 時 、メンバは <strong>ClusterXL</strong><br />
を 再 度 初 期 化 し、クラスタに 既 にアクティブ・メンバーがあるかどうかを 確 認 します。ない 場 合 は、アクティブになりま<br />
す。この 処 理 は、メンバの <strong>ClusterXL</strong> インストール・ハンドシェークです。<br />
<strong>ClusterXL</strong> トポロジの 例<br />
<strong>ClusterXL</strong> は、クラスタ・メンバに 対 しては 固 有 の 物 理 IP と MAC アドレスを 使 用 し、クラスタ 自 身 を 表 すには 仮 想 IP<br />
アドレスを 使 用 します。クラスタ・インタフェース・アドレスは、どの 実 マシン・インタフェースにも 属 しません。<br />
下 記 の 図 は 2 つのメンバから 成 る <strong>ClusterXL</strong> クラスタを 示 し、クラスタの 仮 想 IP アドレスとクラスタ・メンバの 物 理 IP<br />
アドレスを 対 比 しています。この 章 では、この 構 成 を 基 にした 例 を 多 くあげて 説 明 しています。<br />
各 クラスタ・メンバは、 外 部 インタフェース、 内 部 インタフェース、および 同 期 用 インタフェースの 3 つのインタフェース<br />
を 持 っています。 各 方 向 のクラスタ・メンバ・インタフェースは、スイッチ、ルータ、または VLAN スイッチを 介 して 接 続<br />
されています。<br />
同 じ 方 向 のすべてのクラスタ・メンバ・インタフェースは、 同 じネットワーク 内 にある 必 要 があります。たとえば、クラス<br />
タ・メンバ 間 にルータを 置 くことはできません。<br />
Security Management サーバはどこにでも 配 置 できますが、 内 部 または 外 部 クラスタ・アドレスのいずれかにルー<br />
ティング 可 能 である 必 要 があります。<br />
後 続 のセクションで、<strong>ClusterXL</strong> 構 成 の 説 明 として 例 を 紹 介 していきます。<br />
22 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
注<br />
1. HA Legacy モードでは 別 のトポロジを 使 用 します。102ページの「HA Legacy モード」を 参 照 し<br />
てください。<br />
2. このセクションと 後 続 のセクションの 例 では、RFC 1918 プライベート・アドレスである、<br />
192.168.0.0~192.168.255.255 のアドレス 範 囲 を 使 用 して、ルーティング 可 能 な(パブリ<br />
ック)IP アドレスを 表 します。<br />
クラスタ・メンバの IP アドレスの 定 義<br />
各 クラスタ・メンバ・マシンを 構 成 するためのガイドラインは 以 下 のとおりです。<br />
クラスタ 内 のすべてのマシンは、 少 なくとも 以 下 の 3 つのインタフェースを 持 っている 必 要 があります。<br />
外 部 クラスタ・インタフェースを 介 してインターネットに 接 続 されるインタフェース<br />
内 部 クラスタ・インタフェースを 介 して 内 部 ネットワークに 接 続 されるインタフェース<br />
同 期 に 使 用 するインタフェース<br />
同 じ 方 向 へ 向 かうインタフェースはすべて 同 一 のネットワークに 接 続 する 必 要 があります。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 23
たとえば、 前 に 示 した 図 の 構 成 では Member_A と Member_B の 2 つのクラスタ・メンバがあります。 各 メンバには IP<br />
アドレスが 割 り 当 てられており、ハブまたはスイッチを 介 してインターネットに 接 続 します。これは、Member_A に<br />
192.168.10.1、Member_B に 192.168.10.2 の IP アドレスが 割 り 当 てられた 外 部 インタフェースで、クラスタの 外 部<br />
インタフェースからはこのインタフェースは 透 過 的 です。<br />
注 - このリリースには、メンバごとに 外 部 インタフェースと 内 部 インタフェースの 2 つのインタフェ<br />
ースのみを 使 用 し、 内 部 インタフェース 経 由 で 同 期 を 実 行 するオプションがあります。この 構 成 は<br />
お 勧 めしません。バックアップの 場 合 にのみ 使 用 してください。 詳 細 は11ページの「クラスタ 間 で<br />
の 接 続 情 報 の 同 期 」を 参 照 してください。<br />
クラスタの 仮 想 IP アドレスの 定 義<br />
前 の 図 の 説 明 では、クラスタの IP アドレスは 192.168.10.100 です。<br />
クラスタは 外 部 仮 想 IP アドレスと 内 部 仮 想 IP アドレスをそれぞれ 1 つずつ 持 っています。 外 部 IP アドレスは、<br />
192.168.10.100 で、 内 部 IP アドレスは、10.10.0.100 です。<br />
同 期 ネットワーク<br />
クラスタ・メンバのステート 同 期 により、フェイルオーバーが 発 生 しても 障 害 の 発 生 したマシンで 処 理 されていた 接 続<br />
は 維 持 されます。 同 期 ネットワークは、クラスタ・メンバ 間 で 接 続 同 期 情 報 とその 他 の 状 態 情 報 を 受 け 渡 すために 使<br />
用 されます。つまり、このネットワークは 組 織 の 最 も 重 要 なセキュリティ・ポリシー 情 報 を 送 信 するため、ネットワーク<br />
を 安 全 に 保 護 する 必 要 があります。バックアップのために 複 数 の 同 期 ネットワークを 定 義 できます。<br />
同 期 インタフェースを 保 護 するには、クロスケーブルで 直 接 接 続 するか、メンバが 3 つ 以 上 のクラスタの 場 合 には 専<br />
用 ハブまたはスイッチを 使 用 して 接 続 する 必 要 があります。<br />
負 荷 共 有 クラスタのマシンは、 通 常 のトラフィック・フローで 同 期 が 使 用 されているため 同 期 させる 必 要 があります。<br />
HA クラスタ 内 のコンピュータは 同 期 させる 必 要 はありませんが、 同 期 していない 場 合 はフェイルオーバー 時 に 接 続<br />
が 失 われます。<br />
前 の 図 は、 各 マシンに 固 有 の IP アドレスが 割 り 当 てられた 同 期 インタフェースを 示 しています。Member_A には<br />
10.0.10.1、Member_B には 10.0.10.2 が 割 り 当 てられています。<br />
異 なるサブネット 上 のクラスタ・アドレスの 設 定<br />
インターネットに 接 続 するクラスタ・インタフェースの 場 合 、<strong>ClusterXL</strong>クラスタ 内 でルーティング 可 能 な IPアドレスが 1<br />
つだけ 必 要 です。すべてのクラスタ・メンバの 物 理 IP アドレスはルーティングできなくても 構 いません。<br />
クラスタ IP アドレスとメンバ・アドレスに 対 して 別 のサブネットを 設 定 すると、 以 下 が 可 能 になります。<br />
<br />
<br />
新 しいアドレスをクラスタ・メンバに 割 り 当 てなくても、 複 数 マシンのクラスタが 構 成 済 みのネットワーク 内<br />
の 単 一 マシン・ゲートウェイと 置 き 換 わる。<br />
組 織 が <strong>ClusterXL</strong> ゲートウェイ・クラスタの 唯 一 のルーティング 可 能 なアドレスを 使 用 する。これによりル<br />
ーティング 可 能 なアドレスが 節 約 されます。<br />
<strong>ClusterXL</strong> のモード<br />
<strong>ClusterXL</strong> には 以 下 の 4 つの 実 行 モードがあります。このセクションでは、 各 モードとその 相 対 的 な 利 点 と 欠 点 につ<br />
いて 説 明 します。<br />
<br />
<br />
<br />
<br />
負 荷 共 有 マルチキャスト・モード<br />
負 荷 共 有 ユニキャスト・モード<br />
HA New モード<br />
HA Legacy モード<br />
24 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
HA Legacy 機 能 の 詳 細 については、 付 録 (102ページの「HA Legacy モード」)を 参 照 してください。 下 位 互 換 性 の 問<br />
題 を 回 避 するためには、HA New モードを 使 用 することをお 勧 めします。<br />
注 - このセクションの 多 くの 例 は、<strong>ClusterXL</strong> の 例 (22ページの「<strong>ClusterXL</strong>Topology の 例 」)の<br />
構 成 に 基 づいています。<br />
負 荷 共 有 マルチキャスト・モード<br />
負 荷 共 有 により、クラスタ・メンバ 間 でネットワーク・トラフィックを 分 散 することができます。HA では 一 度 に 1 つのメン<br />
バのみがアクティブになるのに 対 して、 負 荷 共 有 ソリューションではすべてのクラスタ・メンバがアクティブになりクラ<br />
スタが 各 メンバにトラフィックを 割 り 当 てます。この 割 り 当 ては 判 定 機 能 によって 実 行 され、クラスタを 通 過 する 各 パ<br />
ケットを 調 べてどのメンバがそのパケットを 処 理 するかを 決 定 します。このように、 負 荷 共 有 クラスタはすべてのクラ<br />
スタ・メンバを 利 用 するため、 通 常 は 合 計 スループットが 向 上 します。<br />
<strong>ClusterXL</strong> 負 荷 共 有 をステート 同 期 と 組 み 合 わせることにより、 完 全 な HA も 実 現 できます。すべてのクラスタ・メン<br />
バがアクティブな 場 合 、トラフィックはマシン 間 で 均 等 に 分 散 されます。メンバの 1 つで 問 題 が 発 生 してフェイルオー<br />
バー・イベントが 発 生 した 場 合 、 故 障 したマシンによって 処 理 されていたすべての 接 続 の 処 理 は 直 ちにほかのメンバ<br />
に 引 き 継 がれます。<br />
<strong>ClusterXL</strong> は、マルチキャストとユニキャストの 2 種 類 の 負 荷 共 有 ソリューションを 提 供 します。この 2 つのモードで<br />
は、クラスタに 送 信 されたパケットをメンバが 受 信 する 方 法 が 異 なります。このセクションでは、マルチキャスト・モー<br />
ドについて 説 明 します。<br />
イーサネットのネットワーク 層 で 提 供 されるマルチキャスト・メカニズムを 使 用 することにより、 複 数 のインタフェースを<br />
1 つの 物 理 (MAC)アドレスに 対 応 させることができます。 同 じサブネット 内 のすべてのインタフェースを 1 つのアドレ<br />
スにバインドするブロードキャスト、と 異 なり、マルチキャストではネットワーク 内 のでグループ 化 が 可 能 です。つまり、<br />
特 定 の MAC アドレスに 送 信 されたパケットを 受 信 する 1 つのサブネット 内 のインタフェースを 選 択 できます。<br />
<strong>ClusterXL</strong> は、マルチキャスト・メカニズムを 使 用 して 仮 想 クラスタ IP アドレスをすべてのクラスタ・メンバに 対 応 させ<br />
ます。これらの IP アドレスを 1 つのマルチキャスト MAC アドレスにバインドすることにより、ゲートウェイとして 機 能 す<br />
るクラスタに 送 信 されたすべてのパケットはクラスタ 内 のすべてのメンバに 到 達 します。 各 メンバはパケットを 処 理 す<br />
るかどうかを 判 定 します。この 判 断 は 負 荷 共 有 メカニズムの 主 要 な 機 能 です。 少 なくとも、1 つのメンバが 各 パケット<br />
を 処 理 し(トラフィックがブロックされないようにし)、かつ 2 つのメンバが 同 じパケットを 処 理 しない(トラフィックが 重 複<br />
しない)ようにする 必 要 があります。<br />
判 定 機 能 のもう 1 つの 要 件 は、 各 接 続 が 1 つのゲートウェイを 経 由 するようにルーティングし、1 つの 接 続 に 属 する<br />
パケットは 必 ず 同 じメンバによって 処 理 されるようにすることです。この 要 件 が 常 に 満 たされるとは 限 らず、 場 合 によ<br />
っては 同 じ 接 続 のパケットが 異 なるメンバによって 処 理 されることがあります。<strong>ClusterXL</strong> は、ステート 同 期 メカニズ<br />
ムを 使 用 してすべてのクラスタ・メンバ 上 の 接 続 をミラーリングすることによりこれらの 状 況 を 処 理 します。<br />
例<br />
この 例 では、 負 荷 共 有 マルチキャスト・モードに 設 定 されたファイアウォール・クラスタの 背 後 にある Web サーバにユ<br />
ーザがインターネットからログインする 場 合 について 説 明 します。<br />
1. ユーザは 192.168.10.78(ユーザのコンピュータ)から 10.10.0.34(Web サーバ)への 接 続 を 要 求 します。<br />
2. 192.168.10.x ネットワーク 上 のルータは、192.168.10.100(クラスタの 仮 想 IP アドレス)を 10.10.0.x ネットワークへ<br />
のゲートウェイとして 認 識 します。<br />
3. ルータは 192.168.10.100 に 対 して ARP 要 求 を 発 行 します。<br />
4. アクティブ・メンバの 1 つはこの ARP 要 求 を 傍 受 し、クラスタ IP アドレス 192.168.10.100 に 割 り 当 てられたマル<br />
チキャスト MAC アドレスで 応 答 します。<br />
5. Web サーバはユーザの 要 求 に 応 答 する 場 合 、10.10.0.100 をインターネットへのゲートウェイとして 認 識 し<br />
ます。<br />
6. Web サーバは 10.10.0.100 に 対 して ARP 要 求 を 発 行 します。<br />
7. アクティブ・メンバの 1 つはこの ARP 要 求 を 傍 受 し、クラスタ IP アドレス 10.10.0.100 に 割 り 当 てられたマルチ<br />
キャスト MAC アドレスで 応 答 します。<br />
8. ユーザと Web サーバ 間 で 送 信 されたすべてのパケットはすべてのクラスタ・メンバに 到 達 し、 各 クラスタ・メンバ<br />
は 各 パケットを 処 理 するか 破 棄 するかを 判 定 します。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 25
9. フェイルオーバーが 発 生 するとクラスタ・メンバの 1 つがダウンします。この 場 合 でも、トラフィックはすべてのアク<br />
ティブなクラスタ・メンバに 到 達 しているためネットワークの ARP ルーティングを 変 更 する 必 要 はありません。 変<br />
更 が 行 われるのはクラスタの 判 定 機 能 のみです。 判 定 機 能 はメンバの 新 しい 状 態 を 考 慮 に 入 れます。<br />
負 荷 共 有 ユニキャスト・モード<br />
負 荷 共 有 ユニキャスト・モードは、マルチキャスト・イーサネットが 動 作 できない 環 境 に 対 応 する 負 荷 共 有 ソリューショ<br />
ンを 提 供 します。このモードでは、「ピボット」と 呼 ばれる1つのクラスタ・メンバにクラスタの 仮 想 IPアドレスが 割 り 当 て<br />
られ、これがクラスタに 送 信 されたパケットを 受 信 する 唯 一 のメンバになります。ピボットはほかのクラスタ・メンバに<br />
パケットを 送 信 する 役 割 を 果 たし、 負 荷 共 有 メカニズムを 構 築 します。 分 散 は、 負 荷 共 有 マルチキャスト・モードと 同<br />
様 に、 各 パケットに 判 定 機 能 を 適 用 することによって 行 われます。 異 なる 点 は、1つのメンバのみがこの 選 択 を 行 うと<br />
いう 点 です。ピボット 以 外 のメンバは、 転 送 されたパケットを 受 信 すると 判 定 機 能 を 適 用 せずにパケットを 処 理 します。<br />
ピボット 以 外 のメンバは 依 然 として「アクティブ」と 見 なされることに 注 意 してください。これは、これらのメンバも 分 担 し<br />
ているトラフィックについて( 判 定 は 行 いませんが)ルーティングとFirewall 作 業 を 行 っているためです。<br />
ピボット・メンバは 判 定 プロセスを 担 当 しますが、 同 時 に Security Gateway としてパケットの 処 理 も 行 います(たとえ<br />
ば、ローカル・マシン 上 でパケットを 処 理 するために 判 定 を 行 う 場 合 もあります)。ただし、このような 作 業 をピボット・<br />
メンバに 追 加 すると 時 間 がかかる 可 能 性 があるため、 通 常 ピボット・メンバには 全 負 荷 のうちの 小 さな 部 分 のみを 割<br />
り 当 てます。<br />
ピボット 以 外 のメンバにフェイルオーバー・イベントが 発 生 すると、そのメンバが 処 理 していた 接 続 はアクティブなクラ<br />
スタ・メンバに 再 配 分 され、HA New モードや 負 荷 共 有 マルチキャストと 同 等 の HA 機 能 が 提 供 されます。ピボット・メ<br />
ンバに 問 題 が 発 生 した 場 合 は、 通 常 のフェイルオーバー・イベントが 発 生 し、さらに 別 のメンバが 新 たにピボットの 役<br />
割 を 引 き 継 ぎます。ピボット・メンバは 常 に 最 も 高 い 優 先 順 位 を 持 つアクティブ・メンバです。これは、 前 のピボットが<br />
回 復 した 場 合 に 以 前 の 役 割 を 保 持 することを 意 味 します。<br />
例<br />
この 例 では、 負 荷 共 有 ユニキャスト・クラスタをユーザのコンピュータと Web サーバの 間 のゲートウェイとして 使 用 し<br />
ています。<br />
1. ユーザは 192.168.10.78(ユーザのコンピュータ)から 10.10.0.34(Web サーバ)への 接 続 を 要 求 します。<br />
2. 192.168.10.x ネットワーク 上 のルータは、192.168.10.100(クラスタの 仮 想 IP アドレス)を 10.10.0.x ネットワー<br />
クへのゲートウェイとして 認 識 します。<br />
3. ルータは 192.168.10.100 に 対 して ARP 要 求 を 発 行 します。<br />
4. ピボット・メンバはこの ARP 要 求 を 傍 受 し、 自 分 の 固 有 IP アドレス 192.168.10.1 に 対 応 する MAC アドレスで<br />
応 答 します。<br />
5. Web サーバはユーザの 要 求 に 応 答 する 場 合 、10.10.0.100 をインターネットへのゲートウェイとして 認 識 し<br />
ます。<br />
6. Web サーバは 10.10.0.100 に 対 して ARP 要 求 を 発 行 します。<br />
7. ピボット・メンバはこの ARP 要 求 を 傍 受 し、 自 分 の 固 有 IP アドレス 10.10.0.1 に 対 応 する MAC アドレスで 応 答<br />
します。<br />
8. ユーザの 要 求 パケットは、インタフェース 192.168.10.1 上 のピボット・メンバに 到 達 します。<br />
9. ピボットは 2 番 目 のメンバにこのパケットを 処 理 させることを 決 定 し、パケットを 192.168.10.2 へ 転 送 します。<br />
10. 2 番 目 のメンバは、そのパケットを 転 送 されたパケットとして 認 識 して 処 理 します。<br />
11. それ 以 降 のパケットはピボット・メンバによって 処 理 されるか、 転 送 されてこの 2 番 目 のメンバによって 処 理 され<br />
ます。<br />
12. ピボットでフェイルオーバーが 発 生 すると 2 番 目 のメンバがピボットの 役 割 を 引 き 継 ぎます。<br />
13. 新 しいピボット・メンバは、192.168.10.x ネットワークと 10.10.0.x ネットワークの 両 方 に 余 分 に ARP 要 求 を 送 信<br />
します。これらの 要 求 は、 仮 想 IP アドレス 192.168.10.100 を 固 有 の IP アドレス 192.168.10.2 に 対 応 する MAC<br />
アドレスに 関 連 付 け、 仮 想 IP アドレス 10.10.0.100 を 固 有 の IP アドレス 10.10.0.2 に 対 応 する MAC アドレスに<br />
関 連 付 けます。<br />
14. このクラスタに 送 信 されたトラフィックは 新 しいピボットによって 受 信 され、そのローカル・マシンによって 処 理 され<br />
ます(これは、 現 時 点 ではこのマシンがクラスタ 内 で 唯 一 のアクティブなマシンであるためです)。<br />
26 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
15. 最 初 のマシンが 復 帰 すると、クラスタの IP アドレスを 自 分 の 固 有 MAC アドレスに 関 連 付 けてピボットの 役 割 を<br />
再 開 します。<br />
HA(ハイ・アベイラビリティ)モード<br />
HA(ハイ・アベイラビリティ)モードは、クラスタ 環 境 で 基 本 的 なHAを 提 供 します。これは、スタンドアロン・モジュール<br />
上 で 発 生 した 場 合 に 完 全 に 接 続 が 失 われるような 問 題 がクラスタ 上 で 発 生 しても、クラスタはファイアウォール・サー<br />
ビスを 提 供 できることを 意 味 します。<strong>ClusterXL</strong> HAをチェック・ポイントのステート 同 期 と 組 み 合 わせて 使 用 すると、<br />
フェイルオーバー・イベントが 発 生 してもユーザに 気 付 かれない 方 法 で 接 続 が 維 持 されるため、 接 続 性 に 全 く 影 響 は<br />
ありません。このように、HAはバックアップ・メカニズムを 提 供 します。 組 織 はこのバックアップ・メカニズムを 利 用 して、<br />
特 にミッション・クリティカルな 環 境 (たとえば、インターネットを 経 由 した 電 子 商 取 引 が 発 生 するような 環 境 )で 予 期 せ<br />
ぬダウンタイムが 発 生 する 危 険 性 を 軽 減 することができます。<br />
この 目 的 を 遂 行 するために、<strong>ClusterXL</strong> の HA New モードではクラスタ・メンバの 1 つをアクテイブ・マシンとして 指 定<br />
して、 残 りのメンバをスタンバイ・モードに 設 定 します。クラスタの 仮 想 IP アドレスは、アクティブ・マシンの 物 理 ネット<br />
ワーク・インタフェースに 関 連 付 けます( 仮 想 IP アドレスを 該 当 するインタフェースの 固 有 の MAC アドレスに 一 致 さ<br />
せます)。このようにして、クラスタへのすべてのトラフィックはアクティブ・メンバによって 実 際 にルーティング(さらに<br />
フィルタリング)されます。 各 クラスタ・メンバの 役 割 はその 優 先 順 位 に 従 って 選 択 され、アクティブ・メンバが 最 高 の<br />
優 先 順 位 を 持 つメンバになります。メンバの 優 先 順 位 は、[Gateway Cluster Properties]ウィンドウの[Cluster<br />
Members]ページに 表 示 される 順 序 に 対 応 します。 最 上 部 に 表 示 されたメンバが 最 高 の 優 先 順 位 を 持 ちます。この<br />
優 先 順 位 はいつでも 変 更 することができます。<br />
アクティブ・メンバは、ファイアウォール・ゲートウェイとしての 役 割 のほかに 自 分 の 接 続 テーブルと 状 態 テーブルに<br />
対 して 行 われた 変 更 のすべてをスタンバイ・メンバに 通 知 することにより、 現 在 クラスタを 通 過 しているトラフィックに<br />
関 する 最 新 情 報 をメンバに 提 供 する 役 割 も 持 っています。<br />
クラスタはフェイルオーバー・イベントが 発 生 するような 重 大 な 問 題 をアクティブ・メンバで 検 出 すると、アクティブ・メン<br />
バの 役 割 をスタンバイ・マシンの 1 つ(その 時 点 で 最 高 の 優 先 順 位 を 持 っているメンバ)に 引 き 渡 します。ステート 同<br />
期 が 適 用 されている 場 合 は、 開 始 されているすべての 接 続 を 新 しいアクティブ・マシンが 認 識 し、 直 前 の 既 知 状 態 に<br />
従 って 処 理 します。より 高 い 優 先 順 位 を 持 つメンバが 復 帰 した 際 には、ユーザの 設 定 によってアクティブ・マシンの<br />
役 割 がそのメンバに 切 り 替 えられる 場 合 と 切 り 替 えられない 場 合 があります。<br />
クラスタはスタンバイ・マシンで 問 題 を 検 出 する 場 合 もあります。この 場 合 、 問 題 が 発 生 したマシンはフェイルオーバ<br />
ー 発 生 時 にアクティブ・メンバの 役 割 を 引 き 継 ぐことができるとは 見 なさ れません。<br />
例<br />
この 例 では、ファイアウォール・クラスタの 背 後 にある Web サーバにユーザがインターネットからログインする 場 合 に<br />
ついて 説 明 します。<br />
1. ユーザは 192.168.10.78(ユーザのコンピュータ)から 10.10.0.34(Web サーバ)への 接 続 を 要 求 します。<br />
2. 192.168.10.x ネットワーク 上 のルータは、192.168.10.100(クラスタの 仮 想 IP アドレス)を 10.10.0.x ネット<br />
ワークへのゲートウェイとして 認 識 します。<br />
3. ルータは 192.168.10.100ARP に 対 して ARP 要 求 を 発 行 します。<br />
4. アクティブ・メンバはこの ARP 要 求 を 傍 受 し、 自 分 の 固 有 IP アドレス 192.168.10.1 に 対 応 する MAC アドレスで<br />
応 答 します。<br />
5. Web サーバはユーザの 要 求 に 応 答 する 場 合 、10.10.0.100 をインターネットへのゲートウェイとして 認 識 し<br />
ます。<br />
6. Web サーバは 10.10.0.100 に 対 して ARP 要 求 を 発 行 します。<br />
7. アクティブ・メンバはこの ARP 要 求 を 傍 受 し、 自 分 の 固 有 IP アドレス 10.10.0.1 に 対 応 する MAC アドレスで 応<br />
答 します。<br />
8. ユーザと Web サーバ 間 のすべてのトラフィックは、アクティブ・メンバを 経 由 してルーティングされるようになりま<br />
す。<br />
9. フェイルオーバーが 発 生 すると、スタンバイ・メンバは 障 害 の 発 生 したアクティブ・メンバに 置 き 換 わる 必 要 があ<br />
ると 判 断 します。<br />
10. スタンバイ・メンバは、192.168.10.x ネットワークと 10.10.0.x ネットワークの 両 方 に Gratuitous ARP 要 求 を 送 信<br />
します。これらの 要 求 は、 仮 想 IP アドレス 192.168.10.100 を 固 有 の IP アドレス 192.168.10.2 に 対 応 する MAC<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 27
アドレスに 関 連 付 け、 仮 想 IP アドレス 10.10.0.100 を 固 有 の IP アドレス 10.10.0.2 に 対 応 する MAC アドレスに<br />
関 連 付 けます。<br />
11. スタンバイ・メンバはアクティブ・メンバの 役 割 を 持 つように 切 り 替 えられ、このクラスタを 経 由 するすべてのトラフ<br />
ィックはこのマシンを 経 由 してルーティングされます。<br />
12. 以 前 のアクティブ・メンバは「ダウン」したと 見 なされ、フェイルオーバー・イベントを 発 生 させた 問 題 からの 復 帰 待<br />
ち 状 態 になります。<br />
各 モードの 比 較 表<br />
以 下 の 表 に、 各 <strong>ClusterXL</strong> モードの 共 通 点 と 相 違 点 をまとめます。<br />
各 <strong>ClusterXL</strong> モードの 比 較 表<br />
HA Legacy モード HA New モード<br />
負 荷 共 有<br />
マルチキャスト<br />
負 荷 共 有<br />
ユニキャスト<br />
HA ○ ○ ○ ○<br />
負 荷 共 有 × × ○ ○<br />
パフォーマンス 良 い 良 い 優 秀 非 常 に 良 い<br />
ハードウェア・<br />
サポート<br />
すべて すべて サポートされていない<br />
ルータあり<br />
すべて<br />
SecureXL サポート ○ ○ 可 能 (Performance<br />
Pack または SecureXL<br />
Turbocard を 使 用 )<br />
○<br />
ステート 同 期 の<br />
必 要 性<br />
VLAN タグ 付 けの<br />
サポート<br />
× × ○ ○<br />
○ ○ ○ ○<br />
注 - VLAN タグ 付 けのサポートについての 詳 細 は、『<strong>R75.40VS</strong> Release Notes』<br />
(http://supportcontent.checkpoint.com/solutions?id=sk76540)を 参 照 してください。 .<br />
フェイルオーバー<br />
フェイルオーバーは、ゲートウェイが 指 定 された 機 能 を 実 行 できなくなったときに 発 生 します。フェイルオーバーが 発<br />
生 すると、クラスタ 内 の 別 のゲートウェイが 障 害 が 発 生 したゲートウェイの 役 割 を 引 き 継 ぎます。<br />
負 荷 共 有 構 成 では、ゲートウェイのクラスタ 内 にある 1 つの VPN1 ゲートウェイがダウンすると 接 続 は 残 りのゲート<br />
ウェイに 分 散 されます。 負 荷 共 有 構 成 ではすべてのゲートウェイが 同 期 されているため、どの 接 続 も 中 断 されま<br />
せん。<br />
HA 構 成 では、 同 期 クラスタ 内 の 1 つのゲートウェイがダウンすると 別 のゲートウェイがアクティブになり、 障 害 が 発<br />
生 したゲートウェイの 接 続 を「 引 き 継 ぎ」ます。ステート 同 期 を 使 用 していない 場 合 、フェイルオーバーが 発 生 すると<br />
既 存 の 接 続 は 切 断 されます。ただし 新 しい 接 続 を 開 始 できます。<br />
ほかのゲートウェイが 稼 動 して 機 能 していることを 各 クラスタ・メンバに 知 らせるため、<strong>ClusterXL</strong> のクラスタ・コン<br />
トロール・プロトコルではクラスタ・メンバ 間 でハート・ビートが 常 時 やり 取 りされています。 所 定 の 時 間 が 経 過 しても<br />
あるクラスタ・メンバからメッセージが 受 信 できない 場 合 、このクラスタ・メンバがダウンしフェイルオーバーが 発 生 し<br />
た 可 能 性 があります。この 時 点 で 別 のクラスタ・メンバが 自 動 的 に 障 害 の 起 きたクラスタ・メンバの 役 割 を 引 き 継 ぎ<br />
ます。<br />
28 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
クラスタ 内 で 上 記 のいずれかのチェックに 失 敗 した 場 合 、 障 害 が 発 生 したメンバはクラスタ・メンバとして 機 能 できな<br />
いと 判 断 し、たとえクラスタ・マシンがまだ 機 能 している 可 能 性 があったとしてもフェイルオーバーを 開 始 します。<br />
フェイルオーバー・イベントを 発 生 させるような 問 題 が 複 数 のクラスタ・メンバで 起 こる 場 合 があります。すべてのクラ<br />
スタ・メンバでこのような 問 題 が 発 生 した 場 合 、<strong>ClusterXL</strong> は 1 つのメンバを 選 択 して 動 作 を 継 続 しようとします。 選 択<br />
されたメンバの 状 態 は、「アクティブ・アテンション」として 報 告 されます。この 状 況 は 別 のメンバが 完 全 に 復 帰 するま<br />
で 続 きます。たとえば、クラスタ・メンバを 接 続 するクロス・ケーブルが 故 障 した 場 合 、 両 方 のメンバがインタフェース<br />
の 問 題 を 検 出 します。 一 方 が「ダウン」 状 態 に 変 化 し、もう 一 方 が「アクティブ・アテンション」に 変 化 します。<br />
フェイルオーバーはいつ 発 生 するか<br />
フェイルオーバーはアクティブなクラスタ・メンバで 以 下 のいずれかが 生 じたときに 発 生 します。<br />
<br />
<br />
<br />
<br />
クリティカル・デバイス(たとえば、fwd)の 障 害 。クリティカル・デバイスとはクラスタ・メンバで 動 作 するプロ<br />
セスで、クラスタ・メンバがメンバとして 機 能 できなくなった 場 合 にほかのクラスタ・メンバに 通 知 することを<br />
可 能 にします。クリティカル・デバイスは 自 分 の 現 在 の 状 態 について <strong>ClusterXL</strong> メカニズムに 報 告 します。<br />
報 告 に 失 敗 した 場 合 、<strong>ClusterXL</strong> はフェイルオーバーが 発 生 してほかのクラスタ・メンバが 引 き 継 いだと<br />
判 断 します。<br />
インタフェースまたはケーブルの 障 害<br />
マシンのクラッシュ<br />
セキュリティ・ポリシーのアンインストール。セキュリティ・ポリシーがアンインストールされると、ゲートウェ<br />
イはファイアウォールとして 機 能 できなくなります。ファイアウォールとして 機 能 できない 場 合 、クラスタ・メ<br />
ンバとして 機 能 できなくなりフェイルオーバーが 発 生 します。 通 常 、ポリシーが 自 動 的 にアンインストール<br />
されることはなくユーザによってアンインストールされます。フェイルオーバーの 詳 細 は、sk62570<br />
(http://supportcontent.checkpoint.com/solutions?id=sk62570)を 参 照 してください。<br />
ゲートウェイが 復 帰 した 場 合 の 処 理<br />
負 荷 共 有 構 成 では、クラスタ 内 の 障 害 が 発 生 したゲートウェイが 復 帰 した 場 合 、すべての 接 続 はすべてのアクティ<br />
ブ・メンバ 間 で 再 配 分 されます。<br />
HA 構 成 では、クラスタ 内 の 障 害 が 発 生 したゲートウェイが 復 帰 した 場 合 、 復 帰 方 法 はクラスタ 設 定 によって 異 なりま<br />
す。 選 択 肢 は 以 下 のとおりです。<br />
[Maintain Current Active Gateway]を 選 択 すると、 優 先 順 位 の 低 いマシンに 制 御 が 引 き 継 がれた 場 合 、<br />
優 先 順 位 の 低 いアクティブ・マシンに 障 害 が 発 生 した 場 合 にだけ 制 御 が 優 先 順 位 の 高 いマシンに 戻 りま<br />
す。すべてのメンバが 同 じトラフィック 処 理 能 力 を 備 えている 場 合 は、フェイルオーバー・イベントの 発 生 を<br />
最 小 限 にするためこのモードを 使 用 することをお 勧 めします。<br />
[Switch to Higher Priority Gateway]を 選 択 すると、 優 先 順 位 の 低 いマシンに 制 御 が 引 き 継 がれた 場 合 、<br />
優 先 順 位 の 高 いマシンが 復 帰 すると 制 御 は 優 先 順 位 の 高 いマシンに 戻 ります。1 つのメンバがほかのメ<br />
ンバよりも 高 い 接 続 処 理 能 力 を 持 っている 場 合 は、このモードを 選 択 することをお 勧 めします。そのメン<br />
バはデフォルト・ゲートウェイになります。<br />
復 帰 したクラスタ・メンバがセキュリティ・ポリシーを 取 得 する 方 法<br />
管 理 者 はセキュリティ・ポリシーをクラスタ・メンバごとにではなく、クラスタにインストールします。ポリシーは 自 動 的<br />
にすべてのクラスタ・メンバにインストールされます。ポリシーは、クラスタ・メンバ・オブジェクトの[General<br />
Properties]ページで 定 義 された IP アドレスに 送 信 されます。<br />
障 害 が 発 生 したクラスタ・メンバが 復 帰 すると、まずほかのクラスタ・メンバのいずれかからポリシーを 取 得 しようとし<br />
ます。これは、ほかのクラスタ・メンバが 新 しいポリシーを 持 っていることを 前 提 としています。 成 功 しなかった 場 合 、<br />
復 帰 したメンバは 自 分 のローカル・ポリシーを Security Management サーバにあるポリシーと 比 較 します。Security<br />
Management サーバのポリシーが 自 分 のポリシーよりも 新 しい 場 合 は、Security Management サーバのポリシー<br />
を 取 り 込 みます。クラスタ・メンバがローカル・ポリシーを 持 っていない 場 合 、Security Management サーバからポリ<br />
シーを 取 り 込 みます。これにより、すべてのクラスタ・メンバは 常 に 同 じポリシーを 使 用 することになります。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 29
導 入 計 画 における 注 意 事 項<br />
HA または 負 荷 共 有<br />
負 荷 共 有 (アクティブ/アクティブ) 構 成 と HA(アクティブ/スタンバイ) 構 成 のどちらを 選 択 するかは、 組 織 の 要 件 によ<br />
って 決 まります。HA ゲートウェイ・クラスタは、 組 織 にフェイルセーフな 接 続 性 を 保 証 します。 負 荷 共 有 には、これに<br />
パフォーマンスが 向 上 するという 利 点 があります。<br />
注 - 同 期 ネットワークの 動 作 では、 一 般 的 なトラフィック 用 に 使 用 される NIC の 帯 域 幅 と 同 じ<br />
帯 域 幅 で NIC を 使 用 することをお 勧 めします。<br />
負 荷 共 有 モードの 選 択<br />
負 荷 共 有 マルチキャスト・モードは、 負 荷 がすべてのクラスタ・メンバ 間 で 最 適 に 分 散 されるため 高 い 負 荷 を 効 率 的<br />
に 処 理 できます。ただし、 一 部 のルータは 負 荷 共 有 マルチキャスト・モードで 使 用 できません。 負 荷 共 有 マルチキャ<br />
スト・モードでは、マルチキャスト MAC アドレスを 各 ユニキャスト・クラスタ IP アドレスに 関 連 付 けます。これにより、ク<br />
ラスタへのトラフィックはすべてのメンバによって 受 信 されます。したがって、クラスタ・メンバが 送 信 する ARP 応 答 に<br />
は、マルチキャスト MAC アドレスを 介 してクラスタ IP アドレスに 到 達 可 能 であることが 示 されます。<br />
一 部 のルーティング 機 器 はこのような ARP 応 答 を 受 け 付 けません。 一 部 のルータでは、ルーティング 機 器 上 でクラ<br />
スタ IP アドレスにスタティックな ARP エントリを 追 加 してこの 問 題 を 解 決 します。ほかのルータは、この 種 のスタティック<br />
な ARP エントリを 受 け 付 けません。<br />
もう 1 つの 注 意 事 項 は、 無 差 別 モードで 動 作 するインタフェースを 持 つルーティング 機 器 が 導 入 環 境 に 含 まれている<br />
かどうかです。 同 じネットワーク・セグメント 上 にそのようなルータ 2 台 と 負 荷 共 有 マルチキャスト・モードの <strong>ClusterXL</strong><br />
ゲートウェイが 存 在 する 場 合 、 一 方 のルータから 生 成 されたクラスタへのトラフィックは、もう 一 方 のルータによって<br />
処 理 される 可 能 性 もあります。<br />
このような 場 合 は 負 荷 共 有 ユニキャスト・モードを 使 用 します。このモードではクラスタ・アドレスに 対 してマルチキャ<br />
ストを 使 用 する 必 要 はありません。<br />
IP アドレスの 移 行<br />
既 存 の 単 一 ゲートウェイ 構 成 に HA 機 能 または 負 荷 共 有 機 能 を 追 加 する 場 合 、 現 在 のゲートウェイから 既 存 の IP ア<br />
ドレスを 取 り 出 してクラスタ・アドレス(クラスタの 仮 想 アドレス)にすることをお 勧 めします。こうすることにより、 多 くの<br />
場 合 、 現 在 の IPSec エンドポイント 識 別 情 報 を 変 更 せずに Hide NAT 設 定 もそのまま 維 持 することができます。<br />
ハードウェア 要 件 、 互 換 性 、Cisco の 例<br />
<strong>ClusterXL</strong> のハードウェア 要 件<br />
ゲートウェイ・クラスタは 通 常 、スイッチやルータなどのほかのネットワーク 機 器 が 存 在 する 環 境 に 配 置 されます。こ<br />
れらの 機 器 とゲートウェイは、ネットワークの 接 続 性 を 保 証 するために 相 互 動 作 する 必 要 があります。このセクション<br />
では、 周 辺 のネットワーク 環 境 に 対 する <strong>ClusterXL</strong> の 要 件 について 説 明 します。<br />
HA New モードと 負 荷 共 有 ユニキャスト・モード<br />
マルチキャスト・モードは、HA New モードと 負 荷 共 有 ユニキャスト・モード(および 負 荷 共 有 マルチキャスト・モード)<br />
におけるデフォルトの CCP(クラスと・コントロール・プロトコル)モード です。<br />
30 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
マルチキャスト・モードで CCP を 使 用 する 場 合 は、スイッチを 以 下 のように 設 定 する 必 要 があります。<br />
HA New モードと 負 荷 共 有 に 対 するスイッチの 設 定<br />
スイッチの 設 定<br />
IGMP と<br />
スタティック CAM<br />
マルチキャスト<br />
制 限 の 無 効 化<br />
内 容<br />
<strong>ClusterXL</strong> は IGMP の 登 録 (「IGMP スヌーピング」とも 呼 ばれます)をサポートしていま<br />
せん。スイッチ 関 連 の IGMP 登 録 が 出 来 ないのは、IGMP パケットのポート 設 定 か、<br />
<strong>ClusterXL</strong> 上 の IGMP 登 録 可 能 にしてあるか、どちらかに 依 存 していることが 原 因 で<br />
す。IGMPの 登 録 を 無 効 にできない 場 合 には、 特 定 のポートでマルチキャスト・トラフィッ<br />
クを 許 可 するためにスタティック CAM を 設 定 する 必 要 があります。<br />
一 部 のスイッチでは、ブロードキャスト・ストームを 防 ぐために 通 過 できるブロードキャス<br />
トとマルチキャストに 上 限 を 設 けています。 通 常 この 制 限 は 全 インタフェース 帯 域 に 対<br />
する 割 合 (%)です。<br />
ブロードキャスト・ストーム 制 御 をオフにするか、 高 レベルのブロードキャストまたはマル<br />
チキャストに 対 してスイッチの 通 過 を 許 可 することができます。<br />
接 続 するスイッチにこのような 設 定 機 能 がない 場 合 には、 効 率 は 下 がりますがスイッチ<br />
がブロードキャストを 使 用 してトラフィックを 転 送 したり、クラスタ・メンバを 設 定 してブロ<br />
ードキャスト CCP を 使 用 することができます(38ページの「クラスタ・メンバでの CCP ト<br />
ランスポート・モードの 選 択 」を 参 照 )。<br />
ルータを 以 下 のように 設 定 します。<br />
HA New モードと 負 荷 共 有 ユニキャスト・モードに 対 するルータの 設 定<br />
ルータの 設 定<br />
ユニキャスト MAC<br />
内 容<br />
クラスタが HA Legacyモード、HA New モード、および 負 荷 共 有 ユニキャスト・モードで<br />
動 作 する 場 合 、クラスタの IP アドレスは 通 常 の MAC アドレス(アクティブ・メンバの<br />
MAC アドレス)にマッピングされます。ルータは 通 常 の ARP メッセージからこの MAC<br />
アドレスを 認 識 できる 必 要 があります。<br />
負 荷 共 有 マルチキャスト・モード<br />
負 荷 共 有 マルチキャスト・モードで 動 作 している 場 合 、スイッチの 設 定 は 以 下 のとおりです。<br />
負 荷 共 有 マルチキャスト・モードに 対 するスイッチの 設 定<br />
スイッチの 設 定<br />
マルチキャスト・<br />
モードでの CCP<br />
内 容<br />
マルチキャスト・モードは、 負 荷 共 有 マルチキャストにおけるデフォルトのクラスタ・コン<br />
トロール・プロトコル・モードです。<br />
ポート・ミラーリング <strong>ClusterXL</strong> では、ユニキャスト MAC アドレスでポート・ミラーリングを 行 ってマルチキャ<br />
スト 負 荷 共 有 ソリューションを 実 現 することはできません。<br />
負 荷 共 有 マルチキャスト・モードで 動 作 している 場 合 、ルータはマルチキャスト MAC アドレスを 使 用 したユニキャスト<br />
IP パケットの 送 信 をサポートする 必 要 があります。これは 必 須 であるため、すべてのクラスタ・メンバがデータ・パ<br />
ケットを 受 信 します。<br />
ルータのモデルによっては、このモードをサポートするために 以 下 のように 設 定 する 必 要 があります。<br />
負 荷 共 有 マルチキャスト・モードに 対 するルータの 設 定<br />
ルータの 設 定<br />
スタティック MAC<br />
内 容<br />
ほとんどのルータは、 自 動 的 に ARP メカニズムを 使 用 してユニキャスト IP とマルチキ<br />
ャスト MAC を 含 む ARP メカニズムを 認 識 できます。ルータが 動 的 にこの 種 のマッピン<br />
グを 認 識 する 機 能 を 持 っていない 場 合 は、スタティックな MAC エントリを 設 定 する 必<br />
要 があります。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 31
ルータの 設 定<br />
IGMP とスタティック<br />
CAM<br />
マルチキャスト 制 限<br />
の 無 効 化<br />
ルータへのマルチ<br />
キャスト・トラフィッ<br />
ク 転 送 の 無 効 化<br />
内 容<br />
一 部 のルータは、マルチキャスト MACアドレスを 使 用 したユニキャスト IPパケットの 送<br />
信 をサポートするために、IGMP スヌーピングを 無 効 にするかスティック CAM を 設 定<br />
する 必 要 があります。<br />
一 部 のルータでは、ブロードキャスト・ストームを 防 ぐために 通 過 できるブロードキャス<br />
トとマルチキャストに 上 限 を 設 けています。 通 常 この 制 限 は 全 インタフェース 帯 域 に 対<br />
する 割 合 (%)です。<br />
ブロードキャスト・ストーム 制 御 をオフにするか 高 レベルのブロードキャストまたはマル<br />
チキャストに 対 してルータの 通 過 を 許 可 することができます。<br />
一 部 のルータは、ルータ 自 身 にマルチキャスト・トラフィックを 送 信 します。これにより、<br />
ネットワーク 全 体 でパケット・ストームが 発 生 する 可 能 性 があるため 転 送 を 無 効 にする<br />
必 要 があります。<br />
<strong>ClusterXL</strong> のハードウェアの 互 換 性<br />
以 下 のルータとスイッチは、すべての <strong>ClusterXL</strong> モードと 互 換 性 があります。<br />
ルータ<br />
<br />
<br />
Cisco 7200 シリーズ<br />
Cisco 1600、2600、3600 シリーズ<br />
ルーティング・スイッチ<br />
Extreme Networks Blackdiamond(IGMP スヌーピングを 無 効 化 )<br />
Extreme Networks Alpine 3800 シリーズ(IGMP スヌーピングを 無 効 化 )<br />
<br />
<br />
スイッチ<br />
Foundry Network Bigiron 4000 シリーズ<br />
Nortel Networks Passport 8600 シリーズ<br />
Cisco Catalyst 6500 シリーズ(IGMP スヌーピングを 無 効 化 、マルチキャスト MAC を 手 動 設 定 )<br />
<br />
Cisco Catalyst 2900、3500 シリーズ<br />
Nortel BayStack 450<br />
<br />
Alteon 180e<br />
Dell PowerConnect 3248 と PowerConnect 5224<br />
Cisco Catalyst ルーティング・スイッチの 設 定 例<br />
以 下 の 例 では、Cisco Catalyst 6500 シリーズ・ルーティング・スイッチで <strong>ClusterXL</strong> をサポートするために 必 要 な 設<br />
定 コマンドの 実 行 方 法 を 示 します。 詳 細 またはほかのネットワーキング 機 器 の 手 順 については、 各 機 器 のマニュア<br />
ルを 参 照 してください。<br />
IGMP スヌーピングの 無 効 化<br />
IGMP スヌーピングを 無 効 にするには、 以 下 のコマンドを 実 行 します。<br />
no ip igmp snooping<br />
32 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
スタティック CAM エントリの 定 義<br />
モジュール 1(ポート 1)とモジュール 2(ポート 1、3、および 8~12)に 対 する 永 続 マルチキャスト・エントリ<br />
をテーブルに 追 加 するには、 以 下 のコマンドを 入 力 します。<br />
1. Console> (enable) set cam permanent 01-40-5e-28-0a-64 1/1,2/1,2/3,2/8-12<br />
2. Permanent multicast entry added to CAM table.<br />
3. Console> (enable)<br />
設 定 が 必 要 な MAC アドレスを 決 定 するには<br />
1. クラスタ IP アドレスが x.y.z.w のネットワーク 上 では 以 下 のようになります。<br />
<br />
<br />
y127 の 場 合 、マルチキャスト MAC アドレスは 01:00:5e:(y-128):z::w です。たとえば、クラスタ IP アドレス<br />
が 192.168.10.100 の 場 合 、MAC アドレスは 01:00:5e:28:0A:64 です(168-128=40 で、16 進 数 の「28」)。<br />
2. 同 期 などのクラスタ IP アドレスを 持 たないネットワーク x.y.z.0 の 場 合 の 手 順 は 同 じですが、MAC アドレスの 最<br />
後 のオクテット 0 の 代 わりに fa を 使 用 します。<br />
<br />
たとえば、10.0.0.X ネットワークの 場 合 、01:00:5e:00:00:fa です。<br />
マルチキャスト 制 限 の 無 効 化<br />
マルチキャスト 制 限 を 無 効 にするには、 以 下 のコマンドを 実 行 します。<br />
no storm-control multicast level<br />
ルータでのスタティック ARP エントリの 設 定<br />
スタティック ARP エントリを 定 義 するには<br />
1. MAC アドレスを 決 定 します(33ページの「スタティック CAM エントリの 定 義 」を 参 照 )。<br />
2. arp arpa を 実 行 します。<br />
マルチキャスト・パケットがルータに 到 達 できないようにする 方 法<br />
マルチキャスト・パケットがルータに 到 達 できないようにするには<br />
1. MAC アドレスを 決 定 します(33ページの「スタティック CAM エントリの 定 義 」を 参 照 )。<br />
2. set cam static module/port を 実 行 します。<br />
チェック・ポイントのソフトウェアの 互 換 性<br />
サポートするオペレーティング・システム<br />
以 下 の 表 で 示 すオペレーティング・システムが <strong>ClusterXL</strong> でサポートされています。ただし 以 下 の 注 記 に 示 す 制 限 が<br />
あります。これらのオペレーティング・システムのサポートされているバージョンの 詳 細 に 関 しては、『<strong>R75.40VS</strong><br />
Release Notes』(http://supportcontent.checkpoint.com/solutions?id=sk76540)を 参 照 してください。<br />
<strong>ClusterXL</strong> がサポートするオペレーティング・システム<br />
OS 負 荷 共 有 HA(ハイ・アベイラビリティ)<br />
<strong>Check</strong> <strong>Point</strong> SecurePlatform サポート サポート<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 33
注 記<br />
1. VLAN はすべてのインタフェースでサポートされます。<br />
<strong>ClusterXL</strong> の 互 換 性 (IPS を 除 く)<br />
以 下 の 表 と 注 は、<strong>ClusterXL</strong> の 負 荷 共 有 と HA の OPSEC 認 定 クラスタ 製 品 (43ページの「OPSEC 認 定 クラスタ 製<br />
品 の 使 用 」を 参 照 )に 対 する 互 換 性 を 示 したものです。 一 部 のチェック・ポイントの 製 品 や 機 能 は、<strong>ClusterXL</strong> での 使<br />
用 がサポートされていない、または 一 部 のみサポートされています( 詳 細 は 脚 注 を 参 照 )。<br />
<strong>ClusterXL</strong> が 完 全 にはサポートしていない 製 品 と 機 能<br />
機 能 または 製 品 機 能 負 荷 共 有 HA( 高 可 用 性 )<br />
セキュリティ 管 理 いいえ いいえ<br />
ファイアウォール 認 証 /セキュリティ・サーバ はい(1) はい(1)<br />
ファイアウォール ACE サーバと SecurID はい はい<br />
ファイアウォール<br />
Application Intelligence プ<br />
ロトコル・インスペクション<br />
(2)<br />
はい(3)<br />
はい<br />
ファイアウォール シーケンス・ベリファイア はい(4) はい(1)<br />
ファイアウォール UDP カプセル 化 はい はい<br />
ファイアウォール SAM はい はい<br />
ファイアウォール ISP の 冗 長 性 はい はい<br />
VPN<br />
サード・パーティ 製 VPN<br />
ピア<br />
はい<br />
はい<br />
Endpoint Security クライアント<br />
ソフトウェア 配 布 サーバ<br />
(SDS)<br />
いいえ<br />
いいえ<br />
Endpoint Security クライアント<br />
オフィス・モードのユーザ<br />
ごとの IP<br />
はい<br />
はい<br />
SecureXL ハードウェア・アクセラレータ<br />
または Performance Pack<br />
はい<br />
はい<br />
<strong>Check</strong> <strong>Point</strong> QoS はい(4)(5) はい<br />
SmartProvisioning<br />
SmartLSM セキュリティ・<br />
ゲートウェイ<br />
いいえ<br />
いいえ<br />
<strong>Check</strong> <strong>Point</strong> Security Gateway はい はい<br />
1. フラグメントの 受 信 中 にフェイルオーバーが 発 生 するとパケットは 失 われます。<br />
2. フェイルオーバーが 発 生 した 場 合 は 救 済 されません。<br />
3. 単 方 向 の 対 称 性 が 必 要 です。これは、すべての 外 部 パケットを 同 一 のメンバが 受 信 し、すべての 内 部 パケットを<br />
同 一 のメンバが 受 信 しなければならないが 内 部 パケットと 外 部 パケットの 両 方 を 同 一 のメンバが 受 信 する 必 要<br />
はないことを 意 味 します。<br />
4. 双 方 向 の 接 続 対 称 性 が 必 要 です。<br />
5. 次 のセクションで 説 明 する 転 送 レイヤを 使 用 します。<br />
34 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
<strong>ClusterXL</strong> の IPS との 互 換 性<br />
以 下 の IPS の 機 能 は、 注 に 記 載 された 制 限 付 きで、<strong>ClusterXL</strong> によってサポートされます。<br />
<strong>ClusterXL</strong> の IPS との 互 換 性<br />
機 能 負 荷 共 有 HA<br />
フラグメント・サニティ・チェック はい(1、3) はい(1)<br />
パターン・マッチング はい(2、3) はい(2)<br />
シーケンス・ベリファイア はい(2、4) はい(2)<br />
FTP、HTTP、SMTP のセキュリティ・サーバ はい(2、5) はい(2)<br />
1. フラグメントの 受 信 中 にフェイルオーバーが 発 生 するとパケットは 失 われます。<br />
2. フェイルオーバーが 発 生 した 場 合 は 救 済 されません。<br />
3. 単 方 向 の 対 称 性 が 必 要 です。これは、すべての 外 部 パケットを 同 一 のメンバが 受 信 し、すべての 内 部 パケットを<br />
同 一 のメンバが 受 信 しなければならないが 内 部 パケットと 外 部 パケットの 両 方 を 同 一 のメンバが 受 信 する 必 要<br />
はないことを 意 味 します。<br />
4. 双 方 向 の 接 続 対 称 性 が 必 要 です。<br />
5. 次 のセクションで 説 明 する 転 送 レイヤを 使 用 します。<br />
注 記<br />
1. フラグメントの 受 信 中 にフェイルオーバーが 発 生 するとパケットは 失 われます。<br />
2. フェイルオーバーが 発 生 した 場 合 は 救 済 されません。<br />
3. 単 方 向 の 対 称 性 が 必 要 です。これは、すべての 外 部 パケットを 同 一 のメンバが 受 信 し、すべての 内 部 パケットを<br />
同 一 のメンバが 受 信 しなければならないが 内 部 パケットと 外 部 パケットの 両 方 を 同 一 のメンバが 受 信 する 必 要<br />
はないことを 意 味 します。<br />
4. 双 方 向 の 接 続 対 称 性 が 必 要 です。<br />
5. 次 のセクションで 説 明 する 転 送 レイヤを 使 用 します。<br />
転 送 レイヤ<br />
転 送 レイヤとは、ファイアウォールがローカルで 検 査 した 後 のパケットをクラスタ・メンバがほかのメンバに 渡 すことが<br />
できるようにする <strong>ClusterXL</strong> のメカニズムです。この 機 能 により、クラスタ・メンバから 外 部 ホストへの 接 続 を 開 始<br />
できます。<br />
クラスタ・メンバを 発 信 元 とするパケットは、クラスタの 仮 想 IP の 背 後 に 隠 されます。したがって、 外 部 ホストからの 応<br />
答 は 直 接 発 信 元 メンバには 送 信 されずクラスタに 送 信 されます。これが 原 因 で 以 下 の 状 況 下 で 問 題 が 発 生 する 可<br />
能 性 があります。<br />
<br />
クラスタが HA New モードで 動 作 中 にスタンバイ・マシンから 接 続 が 開 始 された 場 合 。 外 部 ホストからの<br />
パケットはすべてスタンバイ・マシンではなくアクティ ブ・マシンによって 処 理 されます。<br />
クラスタが 負 荷 共 有 モードで 動 作 中 に 判 定 機 能 がこの 接 続 を 処 理 するメンバとして 別 のメンバを 選 択 した 場 合 。<br />
これは、クラスタ IP 宛 てのパケットもほかの 接 続 と 同 様 にクラスタ・メンバ 間 で 分 散 されるためです。<br />
メンバが、ファイアウォールの 検 査 プロセス 完 了 後 にパケットが 別 のクラスタ・メンバ 宛 てであると 判 断 した 場 合 、メン<br />
バは 転 送 レイヤを 使 用 してパケットをその 宛 先 に 渡 すことができます。これは、セキュリティで 保 護 されたネットワー<br />
ク( 同 期 ネットワークとして 指 定 されたサブネット)を 介 して 直 接 宛 先 メンバにパケットを 送 信 することによって 行 われ<br />
ます。 暗 号 化 されたパケットは 検 査 プロセスで 復 号 され( 暗 号 化 されていない)クリアテキスト・データとして 転 送 され<br />
るため、セキュリティで 保 護 されたネットワークのみを 使 用 することが 重 要 です。<br />
転 送 レイヤ 上 で 送 信 されるパケットは、 特 別 な 発 信 元 MACアドレスを 使 用 して 別 の Security Gatewayによってパケ<br />
ットの 検 査 が 完 了 していることを 受 信 側 メンバに 通 知 します。したがって、 受 信 側 メンバは 受 け 取 ったパケットをロー<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 35
カル・オペレーティング・システムに 再 検 査 せずに 安 全 に 転 送 できます。 同 期 ネットワークは 常 に( 専 用 ネットワーク<br />
を 使 用 して)ほかのネットワークから 隔 離 されているためこのプロセスは 安 全 です。<br />
クラスタ・トポロジの 設 定<br />
1. [Topology]ページで、[Edit Topology]をクリックして、 仮 想 のクラスタ IP アドレス、および 少 なくとも 1 つの 同 期<br />
ネットワークを 定 義 します。<br />
2. [Edit Topology]ウィンドウで 以 下 を 行 います。<br />
a) 各 メンバ・インタフェースのトポロジを 定 義 します。メンバ・インタフェースで 事 前 に 定 義 されたすべての 設 定<br />
を 自 動 的 に 読 み 込 むには、[Copy topology to cluster interfaces]をクリックします。<br />
b) [Network Objective]カラムで、リストから 各 ネットワークに 目 的 を 選 択 します。オプションについては、オン<br />
ライン・ヘルプを 参 照 してください。 新 しいネットワークを 定 義 するには、[Add Network]をクリックします。<br />
3. 各 仮 想 クラスタ・インタフェースのトポロジを 定 義 します。 仮 想 クラスタ・インタフェース・セルを 右 クリックして[Edit<br />
Interface]を 選 択 します。[Interface Properties]ウィンドウが 開 きます。<br />
a) [General]タブで、 仮 想 インタフェースに[Name]を 付 けて、[IP Address]を 定 義 します。<br />
b) [Topology]タブでインタフェースが 内 部 か 外 部 かどうかを 定 義 し、アンチスプーフィング 機 能 を 設 定 します。<br />
c) [Member Networks]タブで、メンバ・ネットワークとネットマスク( 必 要 な 場 合 )を 定 義 します。 詳 細 オプション<br />
は、 異 なるサブネット 上 のクラスタ・アドレスの 設 定 を 参 照 してください。<br />
36 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
第 5 章<br />
<strong>ClusterXL</strong> の 設 定<br />
この 章 の 構 成<br />
クラスタ・メンバの 準 備 37<br />
クライアント・マシンのルーティング 設 定 38<br />
クラスタ・メンバでの CCP トランスポート・モードの 選 択 38<br />
クラスタ・オブジェクトとメンバの 設 定 38<br />
IPv6 に 対 する <strong>ClusterXL</strong> の HA 41<br />
この 手 順 では、 負 荷 共 有 マルチキャスト・モード、 負 荷 共 有 ユニキャスト・モード、および HA New モードの 設 定 方 法<br />
について 説 明 します。 設 定 はすべてのモードで 同 じですが、SmartDashboard ゲートウェイ・クラスタ・オブジェクトの<br />
モードの 選 択 またはゲートウェイ・クラスタの 作 成 ウィザードでは 異 なります。<br />
HA Legacy モードを 使 用 している 場 合 には、102ページの「HA Legacy モード」を 参 照 してください。<br />
クラスタ・メンバの 準 備<br />
クラスタ・メンバを 準 備 するには<br />
1. <strong>ClusterXL</strong> の 主 要 なライセンスを 取 得 して、Security Management サーバにインストールします。<br />
2. すべてのクラスタ・メンバに <strong>Check</strong> <strong>Point</strong> Security Gateway をインストールして 設 定 します。 各 メンバは、 同<br />
じバージョンとビルドを 使 用 します。インストールと 初 期 設 定 処 理 に 関 しては、『<strong>R75.40VS</strong> Installation and<br />
Upgrade Guide』(http://supportcontent.checkpoint.com/solutions?id=sk76540)を 参 照 してください。<br />
a) インストール 処 理 の 間 、Secure Platform および Solaris メンバのために[Enable cluster membership for<br />
this gateway]を 選 択 することによって <strong>ClusterXL</strong>とステート 同 期 を 有 効 にするか、Windows を 使 用 している<br />
メンバのために[This Gateway is part of a cluster]を 有 効 にします。<br />
インストール 中 にこの 処 理 を 実 行 しなかった 場 合 は、 後 ほど cpconfig を 使 用 することでいつでも 同 じ 処 理 が<br />
できます。コマンドラインから cpconfig を 実 行 し、 適 切 なオプションを 選 択 してそのメンバのためにクラスタ<br />
の 能 力 を 有 効 にします。メンバを 再 起 動 させる 必 要 があるかもしれません。<br />
3. すべてのメンバにおいて 各 インタフェースの IP アドレスを 定 義 します。<br />
4. VPN クラスタ・メンバにおいては、 同 期 メンバがお 互 いの 間 で 1 秒 以 内 に 正 確 に 時 間 を 計 ります。 常 に 稼 動 して<br />
いるクラスタ・メンバでは、 通 常 は 時 刻 を 一 度 設 定 するだけで 十 分 です。NPT や、オペレーティング・システムが<br />
提 供 するその 他 の 時 刻 同 期 サービスを 使 用 すると、より 信 頼 性 の 高 い 同 期 を 実 現 できます。クラスタ・メンバの<br />
時 計 同 期 は 非 VPN クラスタ 機 能 とは 関 係 ありません。<br />
5. スイッチを 介 してクラスタ・ネットワーク・マシンを 接 続 します。 同 期 インタフェースの 場 合 はクロスケーブルまたは<br />
専 用 スイッチを 使 用 してください。 各 ネットワーク( 内 部 、 外 部 、 同 期 、DMZ など)が 別 々の VLAN、スイッチ、また<br />
はハブ 上 に 構 成 されていることを 確 認 します。<br />
注 – WAN を 介 して 同 期 することもできます(15ページの「WAN を 介 したクラスタの 同 期 」<br />
を 参 照 )。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 37
クライアント・マシンのルーティング 設 定<br />
クライアント・マシンにルーティングを 設 定 するには<br />
1. 内 部 ネットワークとの 通 信 が 外 部 のクラスタ IP アドレスを 使 用 するように、ルーティングを 設 定 します。たとえば、<br />
内 部 ネットワーク 10.10.0.0 に 192.168.10.100 経 由 で 到 達 するように、スタティック・ルートを 設 定 します。<br />
2. 外 部 ネットワークとの 通 信 が 内 部 のクラスタ IP アドレスを 使 用 するように、ルーティングを 設 定 します。たとえば、<br />
内 部 ネットワーク IP アドレス 10.10.0.100 を、 各 コンピュータのデフォルトのゲートウェイとしてルータ 内 部 に 定 義<br />
します。<br />
クラスタ・メンバでの CCP トランスポート・モードの 選 択<br />
マルチキャストの 方 がブロードキャストよりも 効 率 が 良 いため、クラスタ・メンバの <strong>ClusterXL</strong>(クラスタ・コントロール・<br />
プロトコル)はデフォルトでマルチキャストを 使 用 します。 接 続 するスイッチがマルチキャスト・トラフィックを 転 送 できな<br />
い 場 合 、 効 率 は 下 がりますが、スイッチにブロードキャストを 使 わせてトラフィックを 転 送 できます。<br />
ブロードキャストとマルチキャスト 間 で CCP モードを 切 り 替 えるには<br />
各 クラスタ・メンバに 対 して、コマンド・ラインで 以 下 のコマンドを 実 行 します。<br />
cphaconf set_ccp broadcast/multicast<br />
クラスタ・オブジェクトとメンバの 設 定<br />
クラスタ・オブジェクトの[Topology]ページを 使 用 してクラスタ・オブジェクトとクラスタ・メンバの 両 方 のトポロジを 設<br />
定 します。クラスタ IP アドレスは 仮 想 で、 物 理 インタフェースに 属 していません。1 つ 以 上 の 同 期 ネットワーク・インタ<br />
フェースを 各 クラスタ・メンバに 割 り 当 てます。<br />
次 に 示 す 図 は 代 表 的 な <strong>ClusterXL</strong> 構 成 です。この 章 では、この 構 成 を 基 にした 例 をあげて 説 明 しています。<br />
新 しいゲートウェイ・クラスタ・オブジェクトを 定 義 するには<br />
1. Network Objects のツリーを 右 クリックして、[<strong>Check</strong> <strong>Point</strong>]→[Security Cluster]を 選 択 します。<br />
2. [Security Gateway Cluster Creation]ウィンドウが 表 示 されたら、 以 下 のいずれかのメソッドを 選 択 して 新 しい<br />
クラスタ・オブジェクトを 作 成 します。<br />
<br />
シンプル・モード(ウィザード): 表 示 される 手 順 に 従 って、 設 定 プロセスを 実 行 します。 詳 細 はオンラインの<br />
ヘルプ・アシスタントをご 参 照 ください。<br />
38 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
クラシック・モード: 次 の 項 の 説 明 を 参 照 してください。<br />
ウィザードの 使 用<br />
クラシック・モードの 設 定<br />
設 定 手 順<br />
[General Properties]の 設 定 39<br />
クラスタ・メンバの 定 義 39<br />
<strong>ClusterXL</strong> プロパティの 設 定 40<br />
クラスタ・トポロジの 設 定 40<br />
定 義 の 完 了 41<br />
[General Properties]の 設 定<br />
クラスタの[General Properties]を 設 定 するには<br />
1. 指 定 されたフィールドで、このクラスタ・オブジェクトに 固 有 な 名 前 を 入 力 します。<br />
2. メイン・クラスタ IP アドレスを 入 力 します。<br />
3. クラスタにインストールされた 製 品 として <strong>ClusterXL</strong> をオンにします。<br />
4. <strong>ClusterXL</strong> を 有 効 化 し、 適 切 な 場 合 、その 他 のネットワーク・セキュリティのソフトウェア・ブレードも 有 効 化 し<br />
ます。<br />
クラスタ・メンバの 定 義<br />
クラスタ・メンバを 設 定 するには<br />
1. [Cluster Members]ページで、[Add]→[New Cluster Member]をクリックします。<br />
2. [Cluster Members Properties]ウィンドウの[General]タブで、メンバの[Name]と 物 理 [IP Address]<br />
(Security Management サーバからルーティング 可 能 なもの)を 入 力 します。 内 部 アドレス、 外 部 アドレス、 専 用<br />
管 理 インタフェースのいずれでも 構 いません。<br />
3. [Communication]をクリックして、SIC(Secure Internal Communication)トラストを 初 期 化 します。<br />
4. 必 要 に 応 じて 適 切 なタブ 上 で、[NAT]と[VPN]を 設 定 します。 詳 細 は、『<strong>R75.40VS</strong> Security Management<br />
Administration Guide』(http://supportcontent.checkpoint.com/solutions?id=sk76540)を 参 照 してください。<br />
メンバとして 既 存 のゲートウェイを 追 加<br />
既 存 のゲートウェイをクラスタ・メンバとして 加 えるには、[Add]→[Add Gateway to Cluster]を[Cluster Members<br />
ページで 選 択 し、[Add Gateway to Cluster]ウィンドウのリストからゲートウェイを 選 択 します。<br />
メンバの 削 除<br />
クラスタからゲートウェイを 削 除 するには、[Cluster Members]ページで[Remove]をクリックして[Detach Member<br />
from Cluster]を 選 択 するか、[Network Objects]ツリーのクラスタ・メンバを 右 クリックして[Detach from Cluster]を<br />
選 択 します。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 39
<strong>ClusterXL</strong> プロパティの 設 定<br />
<strong>ClusterXL</strong> プロパティを 設 定 するには<br />
1. HA 構 成 の 場 合 、[High Availability]オプションを 有 効 にし、 次 を 実 行 します。<br />
a) 以 下 のモードのいずれかを 選 択 します。<br />
• New(デフォルト)<br />
• Legacy<br />
b) プライマリ・メンバ 回 復 で 行 う 動 作 を 選 択 してください。<br />
• 現 在 のアクティブなクラスタ・メンバの 維 持<br />
• より 高 い 優 先 順 位 のクラスタ・メンバに 切 り 替 え<br />
2. 負 荷 共 有 構 成 の 場 合 、[Load Sharing]オプションを 有 効 にして、ルータの 機 能 に 従 って、 以 下 のモードのいず<br />
れかを 選 択 します。<br />
<br />
<br />
マルチキャスト(デフォルト)<br />
ユニキャスト<br />
3. [Use State Synchronization]オプションを 有 効 にします。<br />
a) 負 荷 共 有 の 設 定 にはステ―ト 同 期 が 必 要 です。このオプションはデフォルトで 有 効 になっており、 無 効 にで<br />
きません。<br />
b) HA New 構 成 の 場 合 、ステート 同 期 はオプションですが、デフォルトで 有 効 になっています。ステート 同 期 を<br />
無 効 にした 場 合 、クラスタ・メンバは 同 期 されなくなり、フェイルオーバーの 発 生 時 に 障 害 が 発 生 したゲート<br />
ウェイ 上 の 既 存 の 接 続 は 切 断 されます。<br />
4. リストから 追 跡 オプションを 選 択 します。<br />
クラスタ・トポロジの 設 定<br />
1. [Topology]ページで、[Edit Topology]をクリックして、 仮 想 のクラスタ IP アドレス、および 少 なくとも 1 つの 同 期<br />
ネットワークを 定 義 します。<br />
2. [Edit Topology]ウィンドウで 以 下 を 行 います。<br />
a) 各 メンバ・インタフェースのトポロジを 定 義 します。メンバ・インタフェースで 事 前 に 定 義 されたすべての 設 定<br />
を 自 動 的 に 読 みこむには、[Copy topology to cluster interfaces]をクリックします。<br />
b) [Network Objective]カラムで、リストから 各 ネットワークに 目 的 を 選 択 します。オプションについては、オン<br />
ライン・ヘルプを 参 照 してください。 新 しいネットワークを 定 義 するには、[Add Network]をクリックします。<br />
3. 各 仮 想 クラスタ・インタフェースのトポロジを 定 義 します。 仮 想 クラスタ・インタフェース・セルを 右 クリックして[Edit<br />
Interface]を 選 択 します。[Interface Properties]ウィンドウが 開 きます。<br />
40 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
a) [General]タブで、 仮 想 インタフェースに[Name]を 付 けて、[IP Address]を 定 義 します。<br />
b) [Topology]タブでインタフェースが 内 部 か 外 部 かどうかを 定 義 し、アンチスプーフィング 機 能 を 設 定 します。<br />
c) [Member Networks]タブで、メンバ・ネットワークとネットマスク( 必 要 な 場 合 )を 定 義 します。 詳 細 オプション<br />
は、 異 なるサブネット 上 のクラスタ・アドレスの 設 定 を 参 照 してください。<br />
定 義 の 完 了<br />
1. 必 要 に 応 じて、クラスタ・オブジェクトの 他 のページ([NAT]、[VPN]、[Remote Access]ページなど)を 定 義 し<br />
ます。<br />
2. セキュリティ・ポリシーをクラスタにインストールします。<br />
IPv6 に 対 する <strong>ClusterXL</strong> の HA<br />
<strong>R75.40VS</strong> <strong>ClusterXL</strong> は IPv6 向 けの HA クラスタをサポートしています。フェイルオーバーが 発 生 すると、すべての<br />
IPv6 ステート 情 報 が 同 期 され、IPv6 クラスタ 化 のメカニズムが 有 効 になります。<br />
<strong>R75.40VS</strong> <strong>ClusterXL</strong>(IPv4 と 同 様 )を 使 用 する 場 合 、<strong>ClusterXL</strong> は、ステート 同 期 とクラスタ 化 の 両 方 を 実 行 します。<br />
SmartDashboard では、クラスタ 化 された 各 インタフェースに IPv6 クラスタ・アドレスを 定 義 する 必 要 があります。<br />
<strong>ClusterXL</strong> の HA<br />
<strong>R75.40VS</strong> <strong>ClusterXL</strong> を 使 う 場 合 、ステート 同 期 と HA クラスタで <strong>ClusterXL</strong> が 使 われます。フェイルオーバーの 間 、<br />
HA クラスタは 通 常 Gratuitous ARP 要 求 パケットを 送 信 し、 仮 想 クラスタ IPv4 アドレスに 新 しい MAC アドレスをアド<br />
バタイズすることで、クラスタ・インタフェースに 接 続 されたホスト/ルータの ARP キャッシュをアップデートします。<br />
<strong>R75.40VS</strong> <strong>ClusterXL</strong> には、フェイルオーバーの 間 に IPv6 ネットワークをアップデートできる 機 能 が 備 えられていま<br />
す。Cluster XL は、Neighbor Advertisement のメッセージを 送 信 し、 仮 想 クラスタ IPv6 アドレスに 新 しい MAC アド<br />
レスをアドバタイズすることで、ネイバ・キャッシュ(IPv4 の ARP キャッシュに 相 当 します)をアップデートします.さらに、<br />
<strong>ClusterXL</strong> は、 仮 想 クラスタ IPv6 のアドレスに 等 しいターゲット・アドレスにより Neighbor Solicitation に 応 答 します。<br />
注 - <strong>ClusterXL</strong> のフェイルオーバー・イベントの 検 出 は、IPv4 のプロービングに 基 づいていま<br />
す。ステート 移 行 の 間 、IPv4 ドライバは、IPv6 ドライバに 対 して IPv6 ネットワークの HA クラス<br />
タへの 接 続 性 を 再 確 立 するよう 指 示 します。<br />
IPv6 クラスタの 設 定<br />
IPv6 の 機 能 をインタフェースに 有 効 にするためには、 適 切 なインタフェースに 対 する IPv6 アドレスをクラスタと 各 メン<br />
バに 定 義 する 必 要 があります。IPv6 アドレスによって 設 定 されたすべてのインタフェースが、 対 応 する IPv4 アドレス<br />
を 持 っている 必 要 があります。インタフェースが IPv6 を 必 要 としない 場 合 、IPv4 定 義 アドレスのみが 必 要 になりま<br />
す。<br />
注 - IPv4 アドレスのみで 同 期 インタフェースを 設 定 します。これは、 同 期 メカニズムが IPv4 だ<br />
けを 使 用 して 動 作 するためです。すべての IPv6 の 情 報 とステートは、このインタフェースを 使<br />
用 して 同 期 します。<br />
クラスタ・インタフェースとクラスタ・メンバに IPv6 を 設 定 するには<br />
1. SmartDashboard で、 新 しいクラスタ・オブジェクトを 作 成 するか、または 既 存 のクラスタ・オブジェクトをダブルク<br />
リックします。<br />
2. ナビゲーション・ツリーで、[<strong>ClusterXL</strong>]を 選 択 します。<br />
3. [High Availability]を 選 択 します。<br />
4. [Topology]→[Edit]をクリックします。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 41
5. [Edit Topology]ウィンドウで、[Add Network]をクリックします。<br />
6. クラスタ・インタフェースとメンバ 情 報 を 適 切 なフィールドに 入 力 します(IPv4 アドレス、Net Mask、IPv6 アドレス、<br />
プレフィックス 長 )。<br />
情 報 を 入 力 するには、セルを 選 択 して[Edit]をクリックします。<br />
注 - クラスタ・メンバは、クラスタ・インタフェースと 同 じ IPv6 アドレス・プレフィックスを 持 つ 必<br />
要 があります。 異 なったプレフィックスはサポートされません。<br />
7. 変 更 を 保 存 するには、[OK]をクリックします。<br />
cphaprob stat または cphaprob -a のみが IPv4 アドレス 情 報 を 表 示 します。これは、<strong>ClusterXL</strong> のメカニズ<br />
ムが IPv4 に 基 づいているためです。cphaprob stat が、IPv4 アドレスがアクティブであることを 示 すと、IPv6 アド<br />
レスもアクティブであることを 意 味 します。<br />
42 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
第 6 章<br />
OPSEC 認 定 クラスタ 製 品 の 使 用<br />
この 章 の 構 成<br />
OPSEC 認 定 クラスタ 製 品 について 43<br />
OPSEC 認 定 クラスタ 製 品 の 設 定 43<br />
OPSEC クラスタにおける CPHA コマンド・ラインの 動 作 45<br />
OPSEC 認 定 クラスタ 製 品 について<br />
多 くの OPSEC 認 定 製 品 が HA 機 能 (「ホット・スタンバイ」とも 呼 ばれます)と 負 荷 共 有 機 能 (「ロード・バランシング」<br />
とも 呼 ばれます)を 提 供 しています。これらの 製 品 を 使 用 して、 可 用 性 の 高 い Security Gateway クラスタを 構 築 し、<br />
クラスタ 化 されたゲートウェイ 間 で 均 等 にトラフィックを 分 散 させることができます。<br />
各 OPSEC 認 定 クラスタリング・アプリケーションは、 監 視 、 管 理 、またはパフォーマンスにおいて、それぞれ 固 有 の<br />
強 みと 能 力 を 持 っています。これらのクラスタリング・アプリケーションの 役 割 は 以 下 のとおりです。<br />
1. 各 通 信 を 処 理 するクラスタ・メンバを 決 定 する。<br />
2. ヘルス・チェックを 行 う。これには、クラスタ・メンバの 状 態 チェック(Active/Standby/Down など)と、メンバ・インタ<br />
フェースの 状 態 チェックが 含 まれます。<br />
3. フェイルオーバーを 実 行 する。<br />
OPSEC 認 定 クラスタ 製 品 は、チェック・ポイントの ステート 同 期 メカニズム(11ページの「クラスタ 間 での 接 続 情 報<br />
の 同 期 」を 参 照 )を 使 用 して、クラスタ・メンバ 間 で 通 信 情 報 やその 他 の 状 態 情 報 の 交 換 と 更 新 を 行 います。<br />
ここでは、OPSEC 認 定 クラスタ 製 品 を 使 用 する 際 の 一 般 的 なガイドラインについて 説 明 します。 設 定 の 詳 細 は、クラ<br />
スタ 製 品 ごとに 異 なりますので、OPSEC 製 品 に 添 付 されているマニュアルに 従 ってください。<br />
OPSEC 認 定 クラスタ 製 品 の 設 定<br />
ここでは、OPSEC 認 定 Security Gateway のクラスタ・ソリューションの 設 定 方 法 を 説 明 します。<br />
スイッチの 準 備 とルーティングの 設 定<br />
以 下 については、クラスタ 製 品 マニュアルの 説 明 に 従 ってください。<br />
<br />
<br />
スイッチとルータの 準 備<br />
ルーティングの 設 定<br />
クラスタ・メンバ・マシンの 準 備<br />
クラスタ・メンバ・マシンを 準 備 するには<br />
1. すべてのクラスタ・メンバ 上 で、すべてのインタフェースの IP アドレスを 定 義 します。<br />
2. スイッチを 介 してクラスタ・ネットワーク・マシンを 接 続 します。 同 期 インタフェースの 場 合 は、クロスケーブルまた<br />
は 専 用 スイッチを 使 用 してください。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 43
注 - WAN を 介 して 同 期 を 実 行 できます。 詳 細 は、15ページの「WAN を 介 したクラスタの<br />
同 期 」を 参 照 してください。<br />
3. IPSO クラスタに 関 しては、<strong>Check</strong> <strong>Point</strong> Security Gateway をインストールする 前 に VRRP もしくは IP クラスタリ<br />
ングを 設 定 します。<br />
4. OPSEC 認 定 クラスタの 場 合 は、ベンダーの 推 奨 方 法 に 従 ってください。<br />
インストールが 終 了 したら、Nokia 設 定 マネージャで[Enable VPN-1/FW-1 monitoring]が[Enable]に 設 定 さ<br />
れていることを 確 認 します。これにより、IPSO はファイアウォールの 状 態 の 変 化 を 監 視 するようになります。<br />
IPSO 3.8.2 以 降 の VRRP と IP クラスタリング 機 能 の 場 合 、フェイルオーバーのためにファイアウォールの 状 態<br />
が IPSO クラスタに 報 告 されます。<br />
5. すべてのクラスタ・メンバに <strong>Check</strong> <strong>Point</strong> Security Gateway をインストールします。 設 定 段 階 で(または 後 で<br />
cpconfig 設 定 ツールを 使 用 して) 以 下 を 行 います。<br />
<br />
<br />
各 クラスタ・メンバに <strong>Check</strong> <strong>Point</strong> Security Gateway のためのライセンスをインストールします。OPSEC 認<br />
定 製 品 を Security Gateway と 共 に 動 作 させるための 特 別 なライセンスは 不 要 です。<br />
設 定 段 階 で、Unix マシンで[Enable cluster membership for this gateway]、または Windows で[This<br />
Gateway is part of a cluster]を 選 択 して、ステート 同 期 を 有 効 にします。<br />
OPSEC クラスタに 対 する SmartDashboard の 設 定<br />
SmartDashboard を 使 用 して、ゲートウェイ・クラスタ・オブジェクトを 作 成 します。 新 しいゲートウェイ・クラスタ・オブ<br />
ジェクトを 定 義 するには、[Network Objects]ツリーを 右 クリックして、[New <strong>Check</strong> <strong>Point</strong>]→[Gateway Cluster…]<br />
を 選 択 します。ゲートウェイ・クラスタ・オブジェクトの 設 定 は、 以 下 のいずれかのモードを 使 用 して 実 行 できます。<br />
<br />
<br />
シンプル・モード(ウィザード): 表 示 される 手 順 に 従 って、 設 定 プロセスを 実 行 します。 詳 細 については、<br />
オンライン・ヘルプを 参 照 してください。<br />
クラシック・モード: 以 下 で 説 明 します。<br />
クラシック・モードの 設 定<br />
OPSEC でクラシック・モードを 使 うには<br />
1. ゲートウェイ・クラスタ・オブジェクトの[General Properties]ページで、クラスタの 全 体 IP アドレスを 定 義 します。<br />
通 常 は、クラスタの 外 部 仮 想 IP アドレスを 使 用 します。<br />
[<strong>Check</strong> <strong>Point</strong> Products]のリストで、<strong>ClusterXL</strong> が 選 択 されていないことを 確 認 します。<br />
2. [Cluster Members]ページで、[Add]→[New Cluster Member]を 選 択 して、クラスタ・メンバをクラスタに 追 加<br />
します。クラスタ・メンバはゲートウェイ・クラスタ・オブジェクト 内 にのみ 存 在 します。 各 クラスタ・メンバに 対 して 以<br />
下 の 操 作 を 行 います。<br />
<br />
<br />
<br />
[Cluster Members Properties]→[General] タブで、[Name]と[IP Address]を 定 義 します。セキュリ<br />
ティ・ポリシーをインストールできるように、Security Management サーバからルーティング 可 能 な IP アドレ<br />
スを 選 択 します。 内 部 アドレス、 外 部 アドレス、 専 用 管 理 インタフェースのいずれでも 構 いません。<br />
[Communication]をクリックして、SIC(Secure Internal Communication)を 初 期 化 します。<br />
必 要 に 応 じて[NAT]タブと[VPN]タブを 定 義 します。<br />
既 存 のゲートウェイをクラスタ・メンバとして 追 加 するには、[Cluster Members]ページで[Add]→[Add<br />
Gateway to Cluster]を 選 択 し、[Add Gateway to Cluster]ウィンドウのリストからゲートウェイを 選 択 します。<br />
クラスタからゲートウェイを 削 除 するには、[Cluster Members]ページで[Remove]をクリックして[Detach<br />
Member from Cluster]を 選 択 するか、[Network Objects]ツリーのクラスタ・メンバを 右 クリックして[Detach<br />
from Cluster]を 選 択 します。<br />
3. [3rd Party Configuration]ページで、クラスタの 動 作 モードを 指 定 し、[3rd Party Solution]に OPSEC を 指 定 し<br />
て、[Use State Synchronization]をオンにします。<br />
4. [Topology]ページを 使 用 して、 仮 想 クラスタ IP アドレスとクラスタ・メンバ・アドレスを 定 義 します。<br />
各 クラスタ・メンバに 対 して、 各 メンバのインタフェースを 定 義 します。<br />
OPSEC 認 定 製 品 の 場 合 、 一 部 の 製 品 では 仮 想 クラスタ IP の 設 定 は 必 須 ですが、ほかの 製 品 では 設 定 は 禁 止<br />
されています。 詳 細 については、クラスタ 製 品 のマニュアルを 参 照 してください。<br />
44 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
同 期 ネットワークを 定 義 します。OPSEC の 実 装 方 法 によっては、OPSEC 設 定 がすでに 定 義 されていれば、<br />
OPSEC 設 定 から 同 期 ネットワークを「 取 得 」できます。 特 定 の OPSEC 製 品 でこの 機 能 が 実 装 されているかどう<br />
か 確 認 するには、OPSEC のマニュアルを 参 照 してください。<br />
5. [3rd Party Configuration]ページに 戻 ります。<br />
非 対 称 通 信 は、クライアントからサーバへのパケットとサーバからクライアントへのパケットが 異 なるクラスタ・メ<br />
ンバを 通 過 する 通 信 です。 非 対 称 通 信 では、 状 態 の 一 致 しないパケットをクラスタ・メンバが 受 信 する 可 能 性 が<br />
あるため 問 題 となります。Security Gateway は、 有 効 な 通 信 に 属 するパッケージであっても out-of-state パケッ<br />
トであれば 拒 否 します。<br />
このような 通 信 がクラスタを 通 過 するのを Security Gateway に 許 可 させるには、 同 期 メカニズムまたは OPSEC<br />
認 定 クラスタ 製 品 のどちらかが、 有 効 な 非 対 称 通 信 を 識 別 できる 必 要 があります。<br />
OPSEC 認 定 クラスタ 製 品 が 有 効 な 非 対 称 通 信 を 識 別 できるかどうかを 確 認 します。<br />
<br />
<br />
クラスタ 製 品 が 有 効 な 非 対 称 通 信 を 識 別 できない 場 合 には、 代 わりに 同 期 メカニズムで 識 別 できます。その<br />
場 合 、[Support non-sticky connections]をオンにします。<br />
クラスタ 製 品 が 有 効 な 非 対 称 通 信 を 識 別 できる 場 合 、 同 期 メカニズムはこの 処 理 を 行 う 必 要 はありません。<br />
その 場 合 、[Support non-sticky connections]をオフにします。HA ソリューション( 負 荷 共 有 ではなく)では、<br />
このオプションをオフにしたほうがセキュリティ 上 安 全 です。このオプションをオフにすると、 通 信 確 立 の 速 度<br />
も 少 し 向 上 します。<br />
[Hide Cluster Members outgoing traffic behind the Clusters IP Address]オプションをオンにする 場 合 は、<br />
(OPSEC クラスタ 製 品 のマニュアルで 特 に 指 示 されていない 限 り) [Support non-sticky connections]も<br />
オンにして、スタンバイ・マシンからの 発 信 通 信 をサポートする 必 要 があります。<br />
6. 多 くのゲートウェイ・クラスタは 物 理 クラスタ・メンバ・インタフェース・アドレスのほかに、クラスタ・オブジェクトの<br />
[Topology]ページで 定 義 された 仮 想 クラスタ IP アドレスを 持 っています。 仮 想 クラスタ IP アドレスを 使 用 すると、<br />
[3rd Party Configuration]ページの 設 定 に 影 響 を 与 えます。<br />
クラスタ・メンバからインターネットへの 発 信 通 信 を 確 立 する 場 合 、 発 信 パケット 内 の 発 信 元 アドレスは 通 常 、クラ<br />
スタ・メンバ・インタフェースの 物 理 IP アドレスになります。 仮 想 クラスタ IP アドレスを 使 用 している 場 合 、クラスタ<br />
製 品 は 通 常 、 発 信 元 IP アドレスを、クラスタの 外 部 仮 想 IP アドレスを 使 用 した 発 信 元 IP アドレスに(NAT を 使<br />
用 して) 変 換 します。<br />
この 動 作 は、[Hide Cluster Members' outgoing traffic behind the Cluster's IP address]がオンになっている<br />
場 合 のデフォルト 設 定 に 対 応 します。<br />
クライアントがクラスタの 外 部 仮 想 アドレスに 対 して 着 信 通 信 を 確 立 する 場 合 、クラスタ 製 品 は 宛 先 IP アドレスを、<br />
クラスタ・メンバの 1 つの 物 理 外 部 アドレスを 使 用 した 宛 先 IP アドレスに(NAT を 使 用 して) 変 換 します。<br />
この 動 作 は、[Forward Cluster's incoming traffic to Cluster Members' IP addresses]がオンになっている 場<br />
合 のデフォルト 設 定 に 対 応 します。[Topology]ページで、 各 メンバのインタフェースを 定 義 します。ほとんどの<br />
OPSEC ソリューションでは、クラスタ IP アドレスを 各 メンバの[Topology]タブに 追 加 する 必 要 はありません。 詳<br />
細 については、クラスタ 製 品 のマニュアルを 参 照 してください。<br />
7. 必 要 に 応 じて、クラスタ・オブジェクトの 他 のページ([NAT]、[VPN]、[Remote Access]ページなど)を 定 義 し<br />
ます。<br />
8. セキュリティ・ポリシーをクラスタにインストールします。<br />
注 - IPSO VRRP または IPSO バージョン 3.9 以 降 の IP クラスタを 定 義 する 場 合 monitor<br />
fw state 機 能 は 最 初 のポリシーのインストール 前 に 無 効 化 しておきます。 無 効 にしないと、<br />
クラスタ IP アドレスの 設 定 ができなくなり、その 結 果 、[Gateway Cluster Properties]ウィン<br />
ドウの[Topology]セクションでの[Get Interfaces] 操 作 は 失 敗 します。ポリシーのインス<br />
トール 後 、monitor fw state 機 能 を 再 び 有 効 にすることができます。<br />
OPSEC クラスタにおける CPHA コマンド・ラインの 動 作<br />
このセクションでは、OPSEC クラスタでの 特 定 のコマンド・ラインの 働 きについて 説 明 します。<br />
注 - cpha コマンド・ラインの 詳 細 は、「ゲートウェイ・クラスタの 監 視 とトラブルシューティング」<br />
(47ページ)を 参 照 してください。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 45
OPSEC クラスタにおける cphastart コマンドと cphastop コマンド<br />
<strong>ClusterXL</strong> における cphastart および cphasstop コマンドの 動 作 については、57ページの「cphastart コマンドと<br />
cphastop コマンド」を 参 照 してください。<br />
OPSEC クラスタでは、cphastart コマンドでクラスタ・メンバが 起 動 されない 場 合 があります。IPSO クラスタでは、<br />
cphastart コマンドの 働 きは <strong>ClusterXL</strong> クラスタの 場 合 と 同 じです。<br />
OPSEC クラスタでは、cphastop コマンドがフェイルオーバーを 発 生 させない 場 合 があります。IPSO IP クラスタリン<br />
グ・クラスタ(VRRP クラスタでは 異 なります)では、cphastop コマンドの 働 きは <strong>ClusterXL</strong> クラスタの 場 合 と 同 じです。<br />
<strong>ClusterXL</strong> クラスタの 場 合 と 同 様 、これらのコマンドは Security Gateway によってのみ 実 行 され、ユーザは 直 接 実<br />
行 しません。<br />
OPSEC クラスタにおける cphaprob コマンド<br />
クラスタとクラスタ・メンバが 正 常 に 動 作 していることを 確 認 するには、cphaprob コマンドを 使 用 します。このコマンド<br />
は、IPSO IP クラスタリングと IPSO VRRP にのみ 関 係 します。<br />
IPSO 以 外 の OPSEC クラスタでは、 出 力 に 何 も 表 示 されないか、コマンドを 実 行 しても 何 も 起 こりません。<br />
cphaprob の 使 い 方 を 印 刷 して 使 用 可 能 なすべてのコマンドを 確 認 するには、コマンド・ラインに「cphaprob」と 入 力<br />
して、Enter キーを 押 します。 各 コマンドの 意 味 を 以 下 のセクションで 説 明 します。<br />
cphaprob -d -t -s [-p] register<br />
cphaprob -f register<br />
cphaprob -d [-p] unregister<br />
cphaprob -d -s report<br />
cphaprob [-i[a]] [-e] list<br />
cphaprob state<br />
cphaprob [-a] if<br />
cphaprob state: マシン 状 態 はチェック・ポイントの 状 態 だけであり、 実 際 にはマシン 状 態 ではありません。 完 全<br />
同 期 の 正 常 終 了 と、ポリシーが 正 常 にインストールされたかどうかを 監 視 します。IP クラスタリングの 場 合 、 状 態 は<br />
正 確 で、IPSO Cluster の 状 態 も 含 めてレポートされます。VRRP の 場 合 、 状 態 はファイアウォールについては 正 確<br />
ですが、IPSO マシンの 状 態 は 正 確 には 反 映 されません(たとえば、インタフェースの 障 害 は 検 出 されません)。<br />
cphaprob [-a] if: 関 連 情 報 のみを 表 示 します(インタフェース 名 と、 同 期 インタフェースであるかどうか)。<br />
「Multicast」/「Broadcast」はクラスタ・コントロール・プロトコルを 意 味 し、 同 期 インタフェースにのみ 関 係 します。イン<br />
タフェースの 状 態 は 監 視 されていないため、 表 示 されません(これは IPSO マシンの 場 合 も 同 様 です)。<br />
46 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
第 7 章<br />
ゲートウェイ・クラスタの<br />
監 視 とトラブルシューティング<br />
この 章 の 構 成<br />
クラスタの 正 常 動 作 を 確 認 する 方 法 47<br />
SmartConsole クライアントを 使 用 したクラスタ 状 態 監 視 53<br />
<strong>ClusterXL</strong> 設 定 コマンド 56<br />
フェイルオーバーの 開 始 方 法 57<br />
同 期 の 監 視 (fw ctl pstat) 58<br />
同 期 のトラブルシューティング 60<br />
<strong>ClusterXL</strong> のエラー・メッセージ 69<br />
メンバの 再 起 動 の 失 敗 72<br />
クラスタの 正 常 動 作 を 確 認 する 方 法<br />
cphaprob コマンド<br />
クラスタとクラスタ・メンバが 正 常 に 動 作 していることを 確 認 したり、クリティカル・デバイスを 定 義 する 場 合 は、<br />
cphaprob コマンドを 使 用 します。クリティカル・デバイスとはクラスタ・メンバで 動 作 するプロセスで、クラスタ・メンバ<br />
がメンバとして 機 能 できなくなった 場 合 にほかのクラスタ・メンバに 通 知 することを 可 能 にします。クリティカル・デバイ<br />
スは 自 分 の 現 在 の 状 態 について <strong>ClusterXL</strong> メカニズムに 報 告 します。 報 告 に 失 敗 した 場 合 、<strong>ClusterXL</strong> はフェイル<br />
オーバーが 発 生 してほかのクラスタ・メンバが 引 き 継 いだと 判 断 します。クリティカル・デバイス( 問 題 通 知 または<br />
pnote とも 呼 ばれます)に 障 害 が 発 生 した 場 合 、クラスタ・メンバに 障 害 が 発 生 したと 見 なされます。<br />
多 くの 組 み 込 みクリティカル・デバイスがあり、さらに 管 理 者 がクリティカル・デバイスを 追 加 定 義 することもできます。<br />
デフォルトのクリティカル・デバイスは 以 下 のとおりです。<br />
<br />
<br />
<br />
<br />
<br />
クラスタ・メンバ 上 のクラスタ・インタフェース<br />
Synchronization — 完 全 同 期 の 正 常 終 了<br />
Filter — セキュリティ・ポリシーおよびセキュリティ・ポリシーがロードされたかどうか<br />
cphad — cphamcset と 呼 ばれる <strong>ClusterXL</strong> プロセスの 次 に 実 行 されるプロセス<br />
fwd — Security Gateway デーモン.<br />
これらのコマンドは、スクリプトに 記 述 することにより 自 動 的 に 実 行 できます。<br />
cphaprob の 使 い 方 を 印 刷 して 使 用 可 能 なすべてのコマンドを 確 認 するには、コマンド・ラインに「cphaprob」と 入 力<br />
して、Enter キーを 押 します。 各 コマンドの 意 味 を 以 下 のセクションで 説 明 します。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 47
cphaprob -d -t -s [-p] register<br />
cphaprob -f register<br />
cphaprob -d [-p] unregister<br />
cphaprob -d -s report<br />
cphaprob [-i[a]] [-e] list<br />
cphaprob state<br />
cphaprob [-a] if<br />
クラスタの 状 態 監 視<br />
単 一 または 複 数 のクラスタ・メンバのステータスを 確 認 するには<br />
以 下 のコマンドを 実 行 します。<br />
cphaprob state<br />
このコマンドは、クラスタをセットアップした 後 、およびクラスタの 状 態 を 監 視 する 場 合 に 実 行 します。<br />
cphaprob state の 出 力 例 を 以 下 に 示 します。<br />
cphaprob state<br />
Cluster mode:<br />
Load sharing (Multicast)<br />
Number<br />
Unique Address State<br />
<br />
1 (local) 30.0.0.1 active<br />
2 30.0.0.2 active<br />
<br />
<br />
<br />
<br />
Cluster mode に 表 示 される 内 容 には、 以 下 のとおりです。<br />
Load Sharing(Multicast)<br />
Load Sharing(Unicast)<br />
High Availability New Mode(Primary Upまたは Active Up)(HA Newモード(プライマリ・アップまたはアク<br />
ティブ・アップ))<br />
High Availability Legacy Mode(Primary Up または Active Up)<br />
サード・パーティ 製 クラスタ 製 品 : Service (10ページの「クラスタの 定 義 と 用 語 」を 参 照 )<br />
<br />
<br />
メンバの 番 号 は、 負 荷 共 有 の 場 合 はメンバ ID を、HA の 場 合 は 優 先 順 位 を、それぞれ 表 します。<br />
負 荷 共 有 構 成 の 場 合 、 完 全 に 機 能 しているクラスタ 内 ではすべてのマシンが Active になります。HA 構 成 の<br />
場 合 、 正 常 に 機 能 しているクラスタ 内 では 1 つのマシンのみが Active になり、ほかのマシンは Standby 状<br />
態 になります。<br />
サード・パーティ 製 のクラスタ 製 品 の 場 合 は、メンバの 1 つがスタンバイ 状 態 であっても Active/Active と 表 示 さ<br />
れます。これは、このコマンドが 完 全 同 期 プロセスの 状 態 のみを 報 告 するためです。IPSO VRRP の 場 合 、この<br />
コマンドはファイアウォールそのものの 状 態 を 表 示 しますが、クラスタ・メンバの 状 態 は 表 示 しません(たとえば、<br />
メンバが 正 常 に 動 作 していない 場 合 でも、ファイアウォールの 状 態 はアクティブになります)。<br />
クラスタ・メンバの 状 態 を 調 べる 際 は、そのメンバがパケットの 転 送 中 かどうか、およびパケットの 転 送 を 妨 げるよう<br />
な 問 題 が 発 生 しているかどうかを 確 認 する 必 要 があります。 各 状 態 には、クリティカル・デバイスでのテスト 結 果 が 反<br />
映 されます。このリストは 可 能 なクラス・ステートと、 問 題 に 対 処 が 可 能 か 否 かを 表 しています。.<br />
48 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
クラスタの 状 態<br />
状 態 内 容 パケットが 転 送 中 か<br />
どうか<br />
問 題 の 有 無<br />
アクティブ すべてが 正 常 な 状 態 です。 はい いいえ<br />
アクティブ・<br />
アテンション<br />
問 題 が 検 出 されましたが、このクラスタ・メンバがクラスタ<br />
内 で 唯 一 のマシンであるか、クラスタ 内 にほかのアクティ<br />
ブ・マシンが 存 在 しないため、パケットの 転 送 を 継 続 してい<br />
ます。これ 以 外 の 状 況 では、マシンの 状 態 はダウンとなり<br />
ます。<br />
はい<br />
はい<br />
ダウン クリティカル・デバイスの 1 つがダウンしています。 いいえ はい<br />
レディ<br />
Ready(レディ) 状 態 の 意 味 は、マシン 自 身 がクラスタの 一<br />
部 と 認 識 し、ただちにアクションの 実 行 準 備 に 入 っている<br />
が、 設 計 により 何 らかの 原 因 でアクションが 実 行 されてい<br />
ない 状 態 のことをいいます。マシンがアクティブでない 原<br />
因 としては、 以 下 が 考 えられます。<br />
いいえ<br />
いいえ<br />
1. 必 要 なソフトウェア・コンポーネントが 読 み 込 まれてい<br />
ない/ 初 期 化 されていない 状 態 、もしくは、 設 定 手 順 が<br />
すべて 完 了 していない 状 態 。クラスタ・メンバがアクテ<br />
ィブになる 前 に、クラスタ 内 のほかのメンバにメッセー<br />
ジを 送 信 し、ほかのクラスタ・メンバからアクティブにな<br />
ることを 了 承 する 確 認 メッセージを 受 信 するのを 待 っ<br />
ています。HA モードでは、アクティブなメンバが 既 に<br />
存 在 するかのチェックを 行 い、 負 荷 共 有 ユニキャス<br />
ト・モードでは、ピボット・メンバが 存 在 するかどうかをチ<br />
ェックします。 残 りのクラスタ・メンバからの 応 答 を 受 け<br />
取 るまでは「Ready」 状 態 になり、 受 信 後 に、 次 の 状 態<br />
(Active、Standby、Pivot、non-Pivot)を 決 定 します。<br />
2. このメンバにインストールしたソフトウェアのバージョン<br />
が、このクラスタ 内 のほかのメンバより 新 しいバージョ<br />
ンである 場 合 。たとえば、クラスタがある <strong>Check</strong> <strong>Point</strong><br />
Security Gateway バージョンから 新 しいバージョンに<br />
アップグレードされ、クラスタ・メンバの <strong>Check</strong> <strong>Point</strong><br />
Security Gateway バージョンが 異 なる 場 合 、 新 しいバ<br />
ージョンのクラスタ・メンバは「Ready」(レディ) 状 態 と<br />
なり、 前 バージョンのメンバは「Active/Active<br />
Attention」(アクティブ/アクティブ・アテンション) 状 態 に<br />
なります。<br />
3. すべてのクラスタ・メンバにインストールされたソフトウ<br />
ェアに CoreXL が 含 まれる 場 合 (バージョン R70 以 降<br />
ではデフォルトでインストールされます)、「Ready」(レ<br />
ディ) 状 態 のメンバには、ほかのメンバより 多 くの<br />
CoreXL インスタンスがある 可 能 性 があります。 詳 細<br />
は sk42096 を 参 照 してください。<br />
スタンバイ<br />
HA 設 定 にのみ 適 用 されます。アクティブ・マシンに 障 害 が<br />
発 生 した 場 合 にパケット 転 送 を 開 始 できるよう、 待 機 して<br />
いることを 意 味 します。<br />
いいえ<br />
いいえ<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 49
状 態 内 容 パケットが 転 送 中 か<br />
どうか<br />
問 題 の 有 無<br />
初 期 化 中<br />
クラスタ・メンバは 初 期 の 過 渡 的 状 態 にあります。クラス<br />
タ・メンバが 起 動 中 で、<strong>ClusterXL</strong> 製 品 はすでに 動 作 して<br />
いますが、Security Gateway はまだ 準 備 ができていま<br />
せん。<br />
いいえ<br />
いいえ<br />
ClusterX が<br />
非 アクティブ<br />
またはマシ<br />
ンがダウンし<br />
ている<br />
ローカル・マシンは、このクラスタ・メンバから 何 も 受 信 でき<br />
ません。<br />
不 明<br />
はい<br />
クラスタ・インタフェースの 監 視<br />
クラスタ・メンバ・インタフェースとバーチャル・クラスタ・インタフェースの 状 態 を 確 認 するには<br />
クラスタ・メンバ 上 で、 以 下 のコマンドを 実 行 します。<br />
cphaprob [-a] if<br />
このコマンドの 出 力 は、クラスタ・オブジェクトの[Topology]ページの 設 定 と 同 じでなければなりません。<br />
以 下 に 例 を 示 します。<br />
cphaprob -a if<br />
Required interfaces:4<br />
Required secured interfaces:1<br />
qfe4 UP (secured, unique, multicast)<br />
qfe5 UP (non secured, unique, multicast)<br />
qfe6 DOWN (4810.2 secs) (non secured, unique, multicast)<br />
qfe7 UP (non secured, unique, multicast)<br />
Virtual cluster interfaces:2<br />
qfe5 30.0.1.130<br />
qfe6 30.0.2.130<br />
これらのインタフェースは <strong>ClusterXL</strong> のクリティカル・デバイスです。<strong>ClusterXL</strong> は 正 常 なインタフェースの 数 を 確 認 し、<br />
Required interfaces の 値 として、 直 前 の 再 起 動 以 後 に 検 出 された 正 常 インタフェースの 最 大 値 を 設 定 します。 正 常<br />
なインタフェース 数 が Required 数 より 少 ない 場 合 、<strong>ClusterXL</strong> はフェイルオーバーを 開 始 します。secured<br />
interfaces でも 同 様 に、 正 常 な 同 期 インタフェースだけがカウントされます。<br />
インタフェースは 以 下 のように 表 示 されます。<br />
<br />
<br />
Non-secured( 信 頼 できない)または Secured( 信 頼 できる)。 安 全 に 保 護 されたインタフェースは 同<br />
期 インタフェースです。<br />
Shared( 共 有 )または Unique( 固 有 )。 共 有 インタフェースは、HA Legacy モードにのみ 適 用 されます。<br />
50 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
Multicast(マルチキャスト)または Broadcast(ブロードキャスト)。クラスタ 内 で 使 用 されるクラスタ・コント<br />
ロール・プロトコル(CCP)モード。CCP を 変 更 してブロードキャストを 使 用 することができます。これらの 2<br />
つのモードを 切 り 替 えるには、cphaconf set_ccp コマンドを 使 用 します。<br />
IPSO IP クラスタリングを 除 くサード・パーティ 製 クラスタ 製 品 の 場 合 、<br />
cphaprob -a if は 常 に 仮 想 クラスタ IP アドレスを 示 します。<br />
インタフェースに「DOWN」と 表 示 された 場 合 は、インタフェースが CCPパケットの 送 受 信 のどちらかまたはその 両 方<br />
ができないことを 意 味 します。これはインタフェースが 誤 作 動 した 場 合 、 正 しくないサブネットに 接 続 された 場 合 、マル<br />
チキャスト・イーサネット・パケットを 取 り 出 せない 場 合 などに 発 生 します。また、インタフェースが CCP パケットの 受<br />
信 はできるが 送 信 ができない 場 合 もあります。この 場 合 、 状 態 フィールドが 読 み 取 られます。 表 示 される 時 間 は、イ<br />
ンタフェースが 最 後 に CCP パケットを 受 信 または 送 信 してから 経 過 した 秒 数 です。<br />
詳 細 については、93ページの「Disconnected インタフェースの 定 義 」を 参 照 してください。<br />
クリティカル・デバイスの 監 視<br />
クリティカル・デバイスに 障 害 が 発 生 すると、クラスタ・メンバに 障 害 が 発 生 したと 見 なされます。クラスタ・メンバ 上 の<br />
クリティカル・デバイスとクラスタ 内 のほかのすべてのマシンのリストを 表 示 するには、クラスタ・メンバ 上 で 以 下 のコ<br />
マンドを 実 行 します。<br />
cphaprob [-i[a]] [-e] list<br />
多 くの 組 み 込 みクリティカル・デバイスがあり、さらに 管 理 者 がクリティカル・デバイスを 追 加 定 義 することもできます。<br />
デフォルトのクリティカル・デバイスは 以 下 のとおりです。<br />
<br />
<br />
<br />
<br />
<br />
クラスタ・メンバ 上 のクラスタ・インタフェース<br />
Synchronization — 完 全 同 期 の 正 常 終 了<br />
Filter — Security Policy およびセキュリティ・ポリシーがロードされたかどうか<br />
cphad — cphamcset と 呼 ばれる <strong>ClusterXL</strong> プロセスの 次 に 実 行 されるプロセス<br />
fwd — Security Gateway デーモン<br />
IPSO クラスタリングの 場 合 、 出 力 は <strong>ClusterXL</strong> 負 荷 共 有 の 場 合 と 同 じです。ほかのサード・パーティ 製 品 の 場 合 は、<br />
このコマンドの 出 力 はありません。 以 下 の 出 力 例 は、fwd プロセスがダウンしたことを 示 しています。<br />
cphaprob list<br />
Built-in Devices:<br />
Device Name:Interface Active <strong>Check</strong><br />
Current state:OK<br />
Registered Devices:<br />
Device Name:Synchronization<br />
Registration number:0<br />
Timeout: none<br />
Current state:OK<br />
Time since last report:15998.4 sec<br />
Device Name:Filter<br />
Registration number:1<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 51
Timeout: none<br />
Current state:OK<br />
Time since last report:15644.4 sec<br />
Device Name: fwd<br />
Registration number:3<br />
Timeout:2 sec<br />
Current state: problem<br />
Time since last report:4.5 sec<br />
クリティカル・デバイスの 登 録<br />
cphaprob -d -t -s [-p] register<br />
ユーザ 定 義 のクリティカル・デバイスを、クリティカル・デバイスのデフォルト・リストに 追 加 できます。このコマンドを 使<br />
用 してをクリティカル・プロセスとして 登 録 し、クラスタ・メンバがアクティブとして 見 なされるために 動 作 して<br />
いなければならないデバイスのリストに 追 加 します。に 障 害 が 発 生 すると、クラスタ・メンバに 障 害 が 発 生 し<br />
たと 見 なされます。<br />
が 秒 以 内 にクラスタ・メンバへのコンタクトに 失 敗 すると、に 障 害 が 発 生 したとみなさ<br />
れます。タイムアウトを 使 用 しない 場 合 は、 値 0 を 指 定 します。<br />
登 録 時 に <strong>ClusterXL</strong> に 報 告 されるの 状 態 を 定 義 します。 初 期 状 態 として、 以 下 のいずれかを 指 定 でき<br />
ます。<br />
ok — は 動 作 中 。<br />
<br />
init — は 初 期 化 中 。マシンはダウンしています。この 状 態 はマシンがアクティブになるのを<br />
防 止 します。<br />
problem — に 障 害 が 発 生 。<br />
[-p]はこれらの 変 更 を 固 定 します。 再 起 動 後 または Security Gateway(たとえば、Linux または IPSO で)を 削 除 後 に<br />
再 アタッチした 場 合 でも、このフラグ 付 きで 登 録 したクリティカル・デバイスの 状 態 は 保 存 されます。<br />
ファイルにリストされているクリティカル・デバイスの 登 録<br />
cphaprob -f register<br />
にリストされているユーザ 定 義 のクリティカル・デバイスをすべて 登 録 します。は ASCII ファイルであり、<br />
各 デバイスは 個 別 のラインにある 必 要 があります。 各 行 には、 以 下 のように 3 つのパラメータを 記 述 し、 各 パラメータ<br />
は 少 なくとも 1 個 のスペースまたはタブで 区 切 る 必 要 があります。<br />
<br />
<br />
<br />
<br />
— クリティカル・デバイスの 名 前 。15 文 字 以 内 で、スペースを 含 むことはできません。<br />
— が 秒 以 内 にクラスタ・メンバへのコンタクトに 失 敗 すると、に<br />
障 害 が 発 生 したとみなされます。タイムアウトを 使 用 しない 場 合 は、 値 0 を 指 定 します。<br />
— 以 下 のいずれかを 指 定 します。<br />
ok — は 動 作 中 。<br />
<br />
init — は 初 期 化 中 。マシンはダウンしています。この 状 態 はマシンがアクティブになるのを 防 止 しま<br />
す。<br />
problem — に 障 害 が 発 生 。<br />
52 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
クリティカル・デバイスの 登 録 削 除<br />
cphaprob -d [-p] unregister<br />
ユーザ 定 義 のをクリティカル・プロセス 登 録 から 削 除 します。このデバイスはクリティカルと 見 なされなくなり<br />
ます。クリティカル・デバイス(つまりクラスタ・メンバ)を「problem」として 登 録 した 後 でこのコマンドを 実 行 した 場 合 、<br />
このコマンド 実 行 後 のクラスタの 状 態 は、 残 りのクリティカル・デバイスにのみ 依 存 します。<br />
[-p]を 指 定 すると、これらの 変 更 が 固 定 されます。すなわち、 再 起 動 後 またはカーネル(たとえば Linux または IPSO<br />
で)を 削 除 後 に 再 アタッチした 場 合 でも、これらのクリティカル・デバイスは 未 登 録 の 状 態 になります。<br />
<strong>ClusterXL</strong> へのクリティカル・デバイス 状 態 報 告<br />
cphaprob -d -s report<br />
ユーザ 定 義 のクリティカル・デバイスの 状 態 を <strong>ClusterXL</strong> に 報 告 するには、このコマンドを 使 用 します。<br />
は、クラスタ・メンバがアクティブと 見 なされるために 動 作 していなければならないデバイスです。<br />
に 障 害 が 発 生 すると、クラスタ・メンバに 障 害 が 発 生 したと 見 なされます。<br />
報 告 される 状 態 は、 以 下 のいずれかです。<br />
ok — は 動 作 中 。<br />
init — は 初 期 化 中 。マシンはダウンしています。この 状 態 はマシンがアクティブになるのを 防 止 します。<br />
problem — に 障 害 が 発 生 。この 状 態 が <strong>ClusterXL</strong> に 報 告 されると、クラスタ・メンバは 直 ちに 別 のクラス<br />
タ・メンバにフェイルオーバーします。<br />
登 録 時 に 定 義 されたタイムアウト 時 間 以 内 にがクラスタ・メンバとコンタクトできなかった 場 合 、その<br />
、つまりクラスタ・メンバに 障 害 が 発 生 したと 見 なされます。これは、タイムアウトを 定 義 されたクリティカル・<br />
デバイスにのみ 当 てはまります。クリティカル・デバイスが-t 0 パラメータを 指 定 して 登 録 されている 場 合 はタイムア<br />
ウトは 発 生 せず、デバイスから 何 らかの 状 態 が 報 告 されるまで、 最 後 に 報 告 された 状 態 のままであると 見 なされ<br />
ます。<br />
cphaprob スクリプトの 例<br />
事 前 定 義 済 みの cphaprob スクリプトは$FWDIR/bin にあります。 以 下 の 2 つのスクリプトを 利 用 できます。<br />
clusterXL_monitor_ips<br />
clusterXL_monitor_process<br />
付 録 の 章 である109ページの「cphaprob スクリプトの 例 」に 記 載 されている clusterXL_monitor_ips スクリプトは、ル<br />
ータやほかのネットワーク・デバイスに 対 するエンド・ツー・エンド 接 続 を 確 認 する 手 段 を 提 供 し、ping に 失 敗 した 場<br />
合 にフェイルオーバーを 発 生 させるように 設 計 されています。clusterXL_monitor_process スクリプトは、 特 定 のプロ<br />
セスの 存 在 を 監 視 して、プロセスが 動 作 停 止 した 場 合 にフェイルオーバーを 発 生 させます。このスクリプトは pnote<br />
のメカニズムを 使 用 します。<br />
SmartConsole クライアントを 使 用 したクラスタ 状 態 監 視<br />
SmartView Monitor<br />
SmartView Monitorは、 企 業 内 のすべての<strong>ClusterXL</strong>クラスタ・メンバのスナップショットを 表 示 し、リアルタイムの 監<br />
視 と 警 告 を 可 能 にします。 各 クラスタ・メンバについて、 状 態 変 化 とクリティカル・デバイスの 問 題 通 知 が 表 示 され<br />
ます。SmartView Monitorを 使 用 すると、クラスタ・メンバの 状 態 が 変 わったときの 処 置 を 指 定 することもできます。<br />
たとえば、Security Gatewayで 警 告 を 表 示 して、 管 理 者 に 疑 わしいアクティビティを 通 知 することもできます。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 53
SmartView Monitor を 使 用 した <strong>ClusterXL</strong> の 起 動 と 停 止<br />
マシン 上 の <strong>ClusterXL</strong> を 停 止 させてほかのマシンへのフェイルオーバーを 発 生 させるには、SmartView Monitor を<br />
開 いてクラスタ・オブジェクトをクリックます。メンバ・ゲートウェイ・ブランチの 1 つを 選 択 し、クラスタ・メンバを 右 クリッ<br />
クして[Down]を 選 択 します。<br />
<strong>ClusterXL</strong> を 再 起 動 するには、SmartView Monitor を 開 いてクラスタ・オブジェクトをクリックします。メンバ・ゲート<br />
ウェイ・ブランチの 1 つを 選 択 し、クラスタ・メンバを 右 クリックして[Up]を 選 択 します。<br />
注 - SmartView Monitor は、 完 全 同 期 を 開 始 しないため、 一 部 の 接 続 が 失 われる 可 能 性 が<br />
あります。 完 全 同 期 を 開 始 するには、cpstart を 実 行 します。<br />
SmartView Tracker<br />
クラスタ・メンバの 状 態 の 変 化 はすべて、クラスタ・オブジェクトの[<strong>ClusterXL</strong>]ページの[Fail-Over Tracking]オプシ<br />
ョンの 設 定 に 従 って SmartView Tracker に 記 録 されます。<br />
<strong>ClusterXL</strong> のログ・メッセージ<br />
このセクションでは、 以 下 の 表 記 法 を 使 用 します。<br />
1. 大 括 弧 はプレース・ホルダを 表 し、 実 際 のログ・メッセージが 発 行 されるときに 関 連 データで 置 き 換 えられます<br />
(たとえば、[NUMBER]は 数 値 で 置 き 換 えられます)。<br />
2. 角 括 弧 は 選 択 肢 を 表 し、 実 際 のログ・メッセージにこれらの 選 択 肢 の 1 つが 使 用 されます。 個 々の 選 択 肢 は 垂<br />
直 線 で 区 切 られます( 例 えば、は「up」または「down」を 使 用 することを 表 します)。<br />
3. 以 下 のプレース・ホルダは、 頻 繁 に 使 用 されます。<br />
<br />
<br />
<br />
<br />
<br />
全 体 ログ<br />
ID: 「1」から 始 まる 固 有 のクラスタ・メンバ 識 別 子 。これは、メンバがクラスタ・オブジェクトの GUI 上 に 表 示<br />
される 順 序 に 対 応 します。<br />
IP: メンバに 属 する 固 有 の IP アドレス。<br />
MODE: クラスタ・モード(たとえば、HA New モード、 負 荷 共 有 マルチキャスト・モードなど)。<br />
STATE: メンバの 状 態 (たとえば、アクティブ、ダウン、スタンバイなど)。<br />
DEVICE: pnote デバイスの 名 前 (たとえば、fwd、Interface Active <strong>Check</strong> など)。<br />
Starting .<br />
報 告 しているメンバ 上 で <strong>ClusterXL</strong>(サード・パーティ・クラスタの 場 合 はステート 同 期 )が 正 常 に 起 動 されたことを 表<br />
します。このメッセージは、 通 常 、メンバ 起 動 後 、または cphastart の 明 示 的 な 呼 び 出 し 後 に 発 行 されます。<br />
Stopping .<br />
<strong>ClusterXL</strong>(またはステート 同 期 )がこのマシン 上 で 非 アクティブ 化 されたことを 通 知 します。 設 定 に 関 係 なく、<br />
<strong>ClusterXL</strong> が 再 起 動 されるまで、マシンはクラスタに 属 さなくなります。<br />
Unconfigured cluster Machines changed their MAC Addresses. Please reboot the cluster<br />
so that the changes take affect.<br />
このメッセージは、 通 常 、マシンがシャット・ダウンされたとき、または cphastop の 明 示 的 な 呼 び 出 しの 後 に 発 行 さ<br />
れます。<br />
状 態 ログ<br />
Mode inconsistency detected: member [ID] ([IP]) will change its mode to [MODE].Please<br />
re-install the security policy on the cluster.<br />
このメッセージが 出 力 されることはほとんどありません。このメッセージは、ローカル・メンバが 知 らないクラスタ・モー<br />
ドをほかのクラスタ・メンバが 報 告 したことを 示 します。このメッセージは、 通 常 、セキュリティ・ポリシーを 全 クラスタ・<br />
54 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
メンバにインストールするのに 失 敗 した 場 合 に 発 生 します。この 問 題 を 解 決 するには、セキュリティ・ポリシーを 再 イ<br />
ンストールしてください。<br />
注 - クラスタ・モードの 不 一 致 が 検 出 された 後 でも、 報 告 しているマシンのモードをほかのクラ<br />
スタ・メンバに 合 致 するように 変 更 すれば、クラスタは 動 作 を 継 続 します。ただし、できるだけ 早<br />
くポリシーを 再 インストールしてください。<br />
State change of member [ID] ([IP]) from [STATE] to [STATE] was cancelled, since all<br />
other members are down.Member remains [STATE].<br />
メンバが 自 分 の 状 態 を 変 更 する 必 要 がある 場 合 (たとえば、アクティブ・メンバに 問 題 が 発 生 して 自 分 自 身 をダウン<br />
させる 必 要 がある 場 合 )、 最 初 にほかのメンバの 状 態 を 問 い 合 わせます。ほかのすべてのメンバがダウンしている<br />
場 合 、このメンバは 自 分 の 状 態 を 非 アクティブな 状 態 に 変 更 できません( 変 更 すると、すべてのメンバがダウンし、ク<br />
ラスタは 機 能 しなくなります)。そのため、 報 告 しているメンバは、 問 題 があったとしても 機 能 し 続 けます(ただし、 通 常<br />
は 自 分 の 状 態 を「アクティブ・アテンション」として 報 告 します)。<br />
member [ID] ([IP]) ([REASON]).<br />
このメッセージはクラスタ・メンバが 自 分 の 状 態 を 変 更 するときに 必 ず 発 行 されます。ログ・テキストには、メンバの 新<br />
しい 状 態 が 示 されます。<br />
Pnote ログ<br />
PNote ログ・メッセージは、pnote デバイスが 自 分 の 状 態 を 変 更 したときに 発 行 されます。<br />
<br />
[DEVICE] on member [ID] ([IP]) status OK ([REASON]).<br />
pnote デバイスは 正 常 に 動 作 しています。<br />
<br />
[DEVICE] on member [ID] ([IP]) detected a problem ([REASON]).<br />
pnote デバイスによりエラーが 検 出 されたか、デバイスが 自 分 の 状 態 を 一 定 時 間 (pnote の「timeout」オプション<br />
で 設 定 された 秒 数 ) 報 告 していないことを 示 します。<br />
<br />
[DEVICE] on member [ID] ([IP]) is initializing ([REASON]).<br />
デバイスは pnote メカニズムを 使 用 してデバイス 自 身 を 登 録 しましたが、その 状 態 がまだ 確 定 していないことを<br />
示 します。<br />
<br />
[DEVICE] on member [ID] ([IP]) is in an unknown state ([STATE ID]) ([REASON]).<br />
このメッセージは、 通 常 は 表 示 されません。チェック・ポイントのサポートにお 問 い 合 わせください。<br />
インタフェース・ログ<br />
<br />
interface [INTERFACE NAME] of member [ID] ([IP]) is up.<br />
このインタフェースが 正 常 に 動 作 していることを 示 します。つまり、インタフェースは 所 定 のサブネット 上 でパケッ<br />
トを 送 受 信 できます。<br />
<br />
interface [INTERFACE NAME] of member [ID] ([IP]) is down (receive , transmit<br />
).<br />
このメッセージは、パケットの 受 信 または 送 信 中 にインタフェースに 問 題 が 発 生 した 場 合 に 必 ず 発 行 されます。<br />
この 場 合 、インタフェースは OS に 関 する 限 り 正 常 に 動 作 を 続 行 できますが、クラスタ 設 定 が 正 しくないためにほ<br />
かのクラスタ・メンバと 通 信 することはできません。<br />
<br />
interface [INTERFACE NAME] of member [ID] ([IP]) was added.<br />
新 しいインタフェースが Security Gateway により 登 録 されたこと(すなわち、このインタフェースに 到 着 するパケ<br />
ットはファイアウォールでフィルタリングされること)をユーザに 通 知 します。 通 常 、このメッセージはインタフェー<br />
スを 起 動 したとき(たとえば UNIX システムで ifconfig up コマンドを 発 行 したときなど)に 発 行 されます。 以 後 、<br />
インタフェースは <strong>ClusterXL</strong> の 報 告 に 含 まれるようになります(たとえば、SmartView Monitor に 表 示 されたり、<br />
cphaprob -a if で 出 力 されたりします)。ただし、<strong>ClusterXL</strong> で「Disconnected」と 設 定 されている 場 合 は、イ<br />
ンタフェースがそのように 報 告 される 場 合 があります。<br />
<br />
interface [INTERFACE NAME] of member [ID] ([IP}) was removed<br />
インタフェースが Security Gateway から 切 り 離 されたため、<strong>ClusterXL</strong> から 監 視 できなくなったことを 示 します。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 55
SecureXL ログ<br />
<br />
SecureXL device was deactivated since it does not support CPLS.<br />
このメッセージは、 負 荷 共 有 をサポートしていないアクセラレーション・デバイスを 使 用 して、 負 荷 共 有 マルチキャ<br />
スト・モードで Security Gateways 上 に <strong>ClusterXL</strong> を 設 定 しようとした 場 合 に 出 力 されます。この 結 果 、アクセラ<br />
レーションは 停 止 しますが、クラスタはチェック・ポイント 負 荷 共 有 モード(CPLS)で 動 作 します。<br />
理 由 を 表 す 文 字 列<br />
<br />
member [ID] ([IP]) reports more interfaces up.<br />
このメッセージは pnote ログ・メッセージに 含 まれることがあり、 問 題 の 理 由 を 示 します。 別 のメンバが、ローカ<br />
ル・メンバより 多 くの 動 作 中 のインタフェースを 持 っていることを 報 告 しています。これは、ローカル・メンバのイン<br />
タフェースに 障 害 が 発 生 していること、および 相 手 のメンバのほうがクラスタ・メンバとしてより 良 い 機 能 を 提 供 で<br />
きることを 意 味 します。したがって、ローカル・メンバはダウンし、メッセージで 指 定 されたメンバにトラフィックの 処<br />
理 が 委 ねられます。<br />
<br />
member [ID] ([IP]) has more interfaces - check your disconnected interfaces configuration in the<br />
.<br />
このメッセージは、 同 じクラスタ 内 のメンバが 持 っているインタフェースの 数 が 異 なる 場 合 に 発 行 されます。クラス<br />
タ 内 の 最 大 数 よりインタフェースの 数 が 少 ないメンバ( 報 告 しているメンバ)は、 正 常 に 動 作 していない 可 能 性 が<br />
あります。これは、クラスタ IP アドレス、または 同 期 ネットワークに 対 して 動 作 するために 必 要 なインタフェースが<br />
欠 けているためです。ほかのクラスタ・メンバのインタフェースの 一 部 が 冗 長 で、<strong>ClusterXL</strong> から 監 視 するべきで<br />
はない 場 合 、これらは 明 示 的 に「Disconnected」として 指 定 する 必 要 があります。この 指 定 を 行 うには、ファイル<br />
$FWDIR/conf/discntd.if(UNIX システムの 場 合 )、または Windows のレジストリを 使 用 します。<br />
<br />
[NUMBER] interfaces required, only [NUMBER] up.<br />
<strong>ClusterXL</strong> が、 監 視 している 1 つ 以 上 のインタフェースで 問 題 を 検 出 しました。このメッセージは、 必 ずしもメンバ<br />
がダウンすることを 意 味 しません。ほかのメンバが 持 つ 動 作 中 のインタフェースの 方 が 少 ない 場 合 があるためで<br />
す。このような 条 件 では、もっとも 多 くの 動 作 中 のインタフェースを 持 つメンバが 動 作 を 続 行 し、その 他 はダウンし<br />
ます。<br />
<strong>ClusterXL</strong> 設 定 コマンド<br />
cphaconf コマンド<br />
説 明<br />
cphaconf コマンドによって <strong>ClusterXL</strong> を 設 定 します。<br />
重 要 – このコマンドは 実 行 しないことをお 勧 めします。Security Gateway で 自 動 的 に 実 行 す<br />
る、またはチェック・ポイント・サポートによって 実 行 します。このコマンドを 実 行 する 例 外 として<br />
は、 以 下 に 説 明 するように、set_cpp オプションとともに 実 行 する 場 合 のみです。<br />
使 用 方 法<br />
cphaconf [-i ] [-p ] [-b ] [-n ][-c<br />
] [-m ]<br />
[-t ...] start<br />
cphaconf [-t ...] [-d ...] add<br />
cphaconf clear-secured<br />
cphaconf clear-disconnected<br />
cphaconf stop<br />
cphaconf init<br />
cphaconf forward <br />
cphaconf debug <br />
cphaconf set_ccp <br />
cphaconf mc_reload<br />
cphaconf debug_data<br />
cphaconf stop_all_vs<br />
構 文<br />
56 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
パラメータ<br />
set_ccp<br />
<br />
説 明<br />
クラスタ・コントロール・プロトコル(CCP)パケットをブロードキャスト/<br />
マルチキャストの 宛 先 MAC アドレスで 送 信 するかどうか 設 定 しま<br />
す。このコマンドを 使 用 して 行 った 設 定 は、 再 起 動 しても 保 持 されま<br />
す。.<br />
すべてのクラスタ・メンバで、 同 じ 値 を 設 定 してください(ブロードキャ<br />
スト/マルチキャストに 関 わらず)。<br />
stop_all_vs<br />
VSX ゲートウェイのすべてのバーチャル・システムのクラスタ 製 品 を<br />
停 止 します。<br />
cphastart コマンドと cphastop コマンド<br />
クラスタ・メンバで cphastart を 実 行 すると、そのメンバ 上 で <strong>ClusterXL</strong> が 起 動 されます。 完 全 同 期 は 開 始 されません。<br />
クラスタ・メンバを 起 動 する 場 合 は cpstart の 使 用 をお 勧 めします。<br />
クラスタ・メンバで cphastop を 実 行 すると、クラスタ・メンバのトラフィック 転 送 が 停 止 されます。ステート 同 期 も 停 止 さ<br />
れます。ただし、クラスタ・メンバに 対 して 直 接 通 信 を 開 始 することは 可 能 です。HA Legacy モードでは、cphastop を<br />
実 行 するとクラスタ 全 体 の 機 能 が 停 止 する 場 合 があります。<br />
これらのコマンドは 通 常 Security Gateway によってのみ 実 行 し、 管 理 者 が 直 接 実 行 しないでください。<br />
フェイルオーバーの 開 始 方 法<br />
クラスタ・メンバの 状 態 を 手 動 で 制 御 することにより、クラスタ・メンバを 停 止 させることができます。 負 荷 共 有 の 場 合 、<br />
クラスタ・メンバを 停 止 させるとほかのクラスタ・メンバ(1 つまたは 複 数 )へのフェイルオーバーが 開 始 され、HA の 場<br />
合 は、 次 に 高 い 優 先 順 位 を 持 つクラスタ・メンバにフェイルオーバーが 開 始 されます。<br />
クラスタ・メンバの 停 止<br />
マシン 上 の <strong>ClusterXL</strong> を 停 止 させて 別 のマシンにフェイルオーバーを 発 生 させるには<br />
1. コマンド cphaprob -d faildevice -t 0 -s ok register を 使 用 してダミーのクリティカル・デバイス(faildevice など)<br />
を 登 録 します。<br />
2. 次 のコマンドを 実 行 してクリティカル・デバイス faildevice に 問 題 が 発 生 していることを <strong>ClusterXL</strong> に 報 告 します。<br />
cphaprob -d faildevice -s problem report<br />
別 のクラスタ・メンバへのフェイルオーバーが 直 ちに 発 生 します。<br />
または、 以 下 の 手 順 を 実 行 します。<br />
1. SmartView Monitor を 開 いて、クラスタ・オブジェクトをクリックします。<br />
2. メンバ・ゲートウェイ・ブランチの 1 つを 選 択 します。<br />
3. クラスタ・メンバを 右 クリックして、Down を 選 択 します。<br />
クラスタ・メンバの 起 動<br />
クラスタ・メンバ 上 で Security Gateway が 起 動 (cpstart)されると、<strong>ClusterXL</strong> が 自 動 的 に 起 動 します。<br />
<strong>ClusterXL</strong> を 再 起 動 するには<br />
<br />
<br />
<br />
cphaprob -d faildevice -s problem report コマンドを 使 用 してクラスタ・メンバがダウンした 場 合 は、 以 下 の<br />
コマンドのどちらかを 実 行 して 再 度 アクティブにします。<br />
cphaprob -d faildevice -s ok report<br />
cphaprob -d faildevice unregister<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 57
または、 以 下 の 手 順 を 実 行 します。<br />
1. SmartView Monitor を 開 いて、クラスタ・オブジェクトをクリックします。<br />
2. 「Down」と 表 示 されているメンバ・ゲートウェイ・ブランチを 選 択 します。<br />
3. クラスタ・メンバを 右 クリックして Up を 選 択 します。<br />
注 - SmartView Monitor からクラスタ・メンバを 起 動 しても 完 全 同 期 は 開 始 されないため、 通<br />
信 の 一 部 が 失 われる 場 合 があります。 完 全 同 期 を 開 始 するには、cpstart コマンドを 実 行<br />
します。<br />
同 期 の 監 視 (fw ctl pstat)<br />
<strong>ClusterXL</strong> またはサード・パーティ OPSEC 認 定 クラスタ 製 品 上 の 同 期 メカニズムを 監 視 するには<br />
<br />
クラスタ・メンバ 上 で 次 のコマンドを 実 行 します。fw ctl pstat<br />
このコマンドを 実 行 すると、Security Gateway の 統 計 データの 長 いリストが 出 力 されます。リストの 最 後 には、<br />
「Synchronization」というセクションがあり、ゲートウェイ・クラスタ・ メンバに 適 用 されます。 統 計 データのほとんどは<br />
カウント・アップ 専 用 のカウンタです。 標 準 的 な 出 力 を 以 下 に 示 します。<br />
Version: new<br />
Status:Able to Send/Receive sync packets<br />
Sync packets sent:<br />
total :3976, retransmitted :0, retrans reqs :58, acks :97<br />
Sync packets received:<br />
total :4290, were queued :58, dropped by net :47<br />
retrans reqs :0, received 0 acks<br />
retrans reqs for illegal seq :0<br />
Callback statistics: handled 3 cb, average delay :1, max delay :2<br />
Delta Sync memory usage: currently using XX KB mem<br />
Callback statistics: handled 322 cb, average delay :2, max delay :8<br />
Number of Pending packets currently held:1<br />
Packets released due to timeout:18<br />
このプリント 出 力 の 各 行 の 意 味 を 以 下 に 示 します。<br />
Version: new<br />
同 期 が 設 定 された 場 合 は、この 行 は 必 ず 表 示 されます。この 行 は、(バージョン 4.1 の 旧 同 期 ではなく) 新 しい 同 期<br />
が 動 作 中 であることを 示 します。<br />
Status:Able to Send/Receive sync packets<br />
同 期 がパケットを 送 信 または 受 信 できない 場 合 、 問 題 が 発 生 しています。 起 動 中 であれば、 同 期 は 一 時 的 にパケッ<br />
トを 送 受 信 できなくなる 場 合 がありますが、 通 常 の 動 作 で 送 受 信 できなくなることはありません。 完 全 同 期 の 実 行 時<br />
は、 同 期 パケットの 受 信 が 中 断 される 場 合 があります。<br />
Sync packets sent:<br />
total :3976, retransmitted :0, retrans reqs :58, acks :97<br />
送 信 された 同 期 パケットの 合 計 数 が 表 示 されます。 同 期 パケットの 合 計 数 はゼロ 以 外 の 数 値 であり、 増 加 します。<br />
同 期 パケットの 受 信 順 序 が 正 しくない 場 合 、クラスタ・メンバは 再 送 要 求 を 送 信 します。この 数 値 は 負 荷 があると 増<br />
加 します。<br />
58 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
ほかのクラスタ・メンバによって 確 認 応 答 が 要 求 されると、 受 信 した 同 期 パケットに 対 して 送 信 された 確 認 応 答 が<br />
Acks として 示 されます。<br />
Sync packets received:<br />
total :4290, were queued :58, dropped by net :47<br />
受 信 された 同 期 パケットの 合 計 数 が 表 示 されます。 以 下 のいずれかの 条 件 に 該 当 する 同 期 パケットが 受 信 されると、<br />
「queued」で 示 されるパケット 数 が 増 加 します。<br />
1. 受 信 された 同 期 パケットのシーケンス 番 号 が、 前 に 処 理 された 同 期 パケットのシーケンス 番 号 と 連 続 してい<br />
ない。<br />
2. 同 期 パケットがフラグメント 化 している。これは MTU 制 限 を 解 消 するために 発 生 しています。<br />
この 数 値 は 減 少 することはありません。ゼロ 以 外 の 数 値 が 表 示 されても 問 題 を 示 しているわけではありません。<br />
dropped by net の 数 値 は、ネットワーク 輻 輳 を 示 している 場 合 があります。 負 荷 がある 場 合 、この 数 値 はゆっくりと<br />
増 加 します。この 数 値 が 急 速 に 増 加 する 場 合 は、ネットワーク・エラーが 同 期 プロトコルを 阻 害 している 可 能 性 があり<br />
ます。この 場 合 は、ネットワークを 確 認 してください。<br />
retrans reqs :0, received 0 acks<br />
retrans reqs for illegal seq :0<br />
Callback statistics: handled 3 cb, average delay :1, max delay :2<br />
前 述 のメッセージが 送 信 された 再 送 要 求 の 数 を 示 しているのに 対 し、このメッセージは 受 信 された 再 送 要 求 の 数 を<br />
示 します。この 数 値 が 急 速 に 増 加 する 場 合 は、マシンの 負 荷 が 高 くなりすぎて 同 期 が 処 理 できなくなっている 可 能 性<br />
があります。<br />
Acks は、「cb request」 同 期 パケット、つまり 確 認 応 答 要 求 付 きの 同 期 パケットに 対 して 受 信 された 確 認 応 答 の 数 を<br />
示 します。<br />
Retrans reqs for illegal seq は、このメンバに 存 在 していないパケットに 対 する 再 送 要 求 数 を 示 します。この 値 は、<br />
同 期 に 問 題 があることを 示 している 場 合 があります。<br />
Callback statistics は、Flush and Ack を 呼 び 出 す 受 信 パケットに 関 連 する 値 を 示 します。この 統 計 は、ゼロ 以 外 の<br />
値 に 対 してのみ 表 示 されます。<br />
コールバックの callback average delay は、メンバがほかのすべてのメンバから ACK を 受 信 したときに、パケットが<br />
開 放 される 前 にこのメンバで 生 じた 遅 延 を 示 します。 遅 延 が 生 じるのは、ほかのすべてのクラスタ・メンバから 同 期<br />
パケットを 受 信 したことを 示 す 確 認 応 答 が 返 されるまでパケットが 保 持 されるためです。<br />
この 値 はパケット 数 で 測 定 されます。 通 常 、これは 小 さい 値 (1~5 程 度 )でなければなりません。この 値 が 大 きい 場<br />
合 、 同 期 トラフィックの 過 負 荷 を 表 している 可 能 性 があります。この 場 合 、 同 期 の 確 認 応 答 を 要 求 する 通 信 に 若 干 の<br />
遅 延 が 生 じます。<br />
dropped updates as a result of sync overload:0<br />
負 荷 の 大 きいシステムでは、クラスタ・メンバはほかのクラスタ・メンバから 送 信 された 同 期 アップデートを 破 棄 する<br />
場 合 があります。<br />
Delta Sync memory usage: currently using XX KB mem<br />
Delta Sync memory usage は、ゼロ 以 外 の 値 に 対 してのみ 表 示 されます。 差 分 同 期 では、 完 全 同 期 が 発 生 し<br />
ている 間 のみメモリが 必 要 です。 完 全 同 期 が 発 生 するのは、 再 起 動 後 にシステムが 立 ち 上 がったときなどです。ほ<br />
かの 場 合 は、 差 分 同 期 のアップデートは 即 座 に 適 用 されるため、 差 分 同 期 ではメモリは 消 費 されません。 差 分 同 期<br />
の 詳 細 は、12ページの「ステート 同 期 の 動 作 」を 参 照 してください。<br />
Number of Pending packets currently held:1<br />
Packets released due to timeout:18<br />
Number of Pending packets currently held は、ゼロ 以 外 の 値 に 対 してのみ 表 示 されます。<strong>ClusterXL</strong> は、 非 対 称<br />
通 信 で 状 態 に 合 致 しないパケットが 発 生 するのを 防 止 します。これを 行 うために、ほかのすべてのアクティブなクラ<br />
スタ・メンバから SYN-ACK が 受 信 されるまで、パケットが 保 持 されます。 何 らかの 理 由 で SYN-ACK が 受 信 されな<br />
い 場 合 、クラスタ・メンバ 上 の Security Gateway はパケットを 解 放 しないため、 通 信 は 確 立 されません。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 59
Packets released due to timeout は、ゼロ 以 外 の 値 に 対 してのみ 表 示 されます。 処 理 待 ちパケット 数 が 多 い 場 合<br />
(Number of Pending Packets の 値 が 100 を 超 える 場 合 )で、かつ Packets released due to timeout(タ<br />
イムアウトにより 開 放 されるパケット 数 )が 小 さい 場 合 、 処 理 待 ちパケット 数 を 減 らす 処 置 を 行 う 必 要 があります。こ<br />
の 問 題 の 対 処 法 については、92ページの「 処 理 待 ちパケット 数 の 削 減 」を 参 照 してください。<br />
同 期 のトラブルシューティング<br />
cphaprob [-reset] syncstat の 概 要<br />
負 荷 の 高 いクラスタと 地 理 的 に 隔 離 されているメンバを 持 つクラスタには 特 別 な 処 置 が 必 要 です。 高 速 な 通 信 速 度<br />
およびメンバ 間 の 距 離 によって、クラスタの 動 作 に 影 響 を 与 える 遅 延 が 生 じる 可 能 性 があります。<br />
cphaprob [-reset] syncstat コマンドは、 高 負 荷 の 分 散 クラスタにおいて、ステート 同 期 の 動 作 を 監 視 するツールで<br />
す。このツールは、<strong>ClusterXL</strong> とサード・パーティ OPSEC 認 定 クラスタ 製 品 の 両 方 で 使 用 できます。<br />
トラブルシューティング 手 順 を 以 下 に 示 します。<br />
1. cphaprob syncstat コマンドを 実 行 します。<br />
2. 出 力 される 統 計 データを 調 査 して 理 解 します。<br />
3. 関 連 する 同 期 のグローバル 設 定 パラメータを 調 整 します。<br />
4. コマンドを 再 実 行 します。このとき、-reset オプションを 使 用 して 統 計 カウンタをリセットします。<br />
cphaprob -reset syncstat<br />
5. 出 力 される 統 計 データを 調 査 して、 問 題 が 解 決 されているかどうかを 確 認 します。<br />
60ページの「cphaprob [-reset] syncstat の 出 力 」で、 各 出 力 パラメータおよび 出 力 に 問 題 がある 場 合 について 説 明<br />
します。<br />
認 識 した 問 題 は、「 同 期 のトラブルシューティング・オプション」(67ページ)で 説 明 する 1 つまたは 複 数 のヒントを 実 施<br />
することで 解 決 できます。<br />
cphaprob [-reset] syncstat の 出 力<br />
cphaprob syncstat コマンドの 出 力 パラメータを 以 下 に 示 します。 出 力 される 値 ( 記 載 されていません)を 調 べること<br />
で、 同 期 ネットワークの 状 態 と 特 徴 が 分 かります。 各 パラメータと 発 生 する 可 能 性 のある 値 の 意 味 については、 次 の<br />
セクションで 説 明 します。<br />
60 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
パラメータ:<br />
Sync Statistics (IDs of F&A Peers - 1): 61<br />
Other Member Updates 61<br />
Sent Retransmission Requests 61<br />
Avg |Missing Updates per Request 62<br />
Old or too-new Arriving Updates 62<br />
Unsynced Missing Update 62<br />
Lost Sync Connection 62<br />
Timed out Sync Connection 63<br />
Local Updates 63<br />
Total generated updates 63<br />
Recv Retransmission requests 63<br />
Recv Duplicate Retrans request 63<br />
Blocking Scenarios 63<br />
Blocked packets 64<br />
Max Length of Sending Queue 64<br />
Avg Length of Sending Queue 65<br />
Hold Pkts eventskts Events 65<br />
Unhold Pkt Events 65<br />
Not held due to no members 65<br />
Max Held Duration (ticks) 66<br />
Avg held duration (ticks) 66<br />
Timers: 66<br />
Sync tick(ms) 66<br />
CPHA tick(ms) 66<br />
Queues: 67<br />
Sending Queue Size 67<br />
Receiving Queue Size 67<br />
Sync Statistics (IDs of F&A Peers - 1):<br />
これらの 統 計 はステート 同 期 メカニズムに 関 連 します。F&A(Flush and Ack)ピアは、このメンバがクラスタの 一 部 と<br />
して 認 識 するクラスタ・メンバです。ID は、cphaprob state コマンドによって 生 成 される ID と IP アドレスに 対 応 してい<br />
ます。<br />
Other Member Updates<br />
このセクションの 統 計 は、ほかのクラスタ・メンバによって 生 成 されたアップデート、またはほかのメンバから 受 信 され<br />
たものではないアップデートに 関 連 します。アップデートにより、クラスタ・メンバによって 処 理 された 通 信 の 変 更 につ<br />
いて 通 知 されます。アップデートはメンバ 間 で 送 受 信 されます。アップデートはシーケンス 番 号 で 識 別 されます。<br />
Sent Retransmission Requests<br />
このメンバによって 送 信 された 再 送 要 求 の 数 です。 再 送 要 求 は、 送 信 しているメンバはすでに 次 のシーケンスを 持<br />
つアップデートを 受 信 しているにも 関 わらず、( 指 定 されたシーケンス 番 号 を 持 つ) 特 定 のパケットがない 場 合 に 送 信<br />
されます。<br />
この 値 が 高 い 場 合 は、 通 信 に 問 題 がある 可 能 性 があります。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 61
注 - 再 送 要 求 の 数 をほかのメンバの Total Regenerated Updates と 比 較 します(63ページの<br />
「Total Generated Updates」を 参 照 )。<br />
この 値 が 過 度 に 高 い(ほかのメンバの Total Generated Updates の 30%を 超 える) 場 合 は、<br />
全 出 力 およびネットワーク・トポロジと 設 定 に 関 する 詳 細 な 説 明 を 準 備 して、テクニカル・サ<br />
ポートに 問 い 合 わせてください。<br />
Avg |Missing Updates per Request<br />
各 再 送 要 求 では、 最 大 32 個 の 欠 落 している 連 続 したパケットを 含 むことができます。このフィールドの 値 は、 再 送 要<br />
求 ごとに 要 求 されるシーケンスの 平 均 数 です。<br />
各 再 送 要 求 に 20 個 を 超 える 連 続 したシーケンスが 欠 落 している 場 合 は、 通 信 に 問 題 がある 可 能 性 があります。<br />
注 - この 値 が 過 度 に 高 い 場 合 は、 全 出 力 およびネットワーク・トポロジと 設 定 に 関 する 詳 細 な<br />
説 明 を 準 備 して、テクニカル・サポートに 問 い 合 わせてください。<br />
Old or too-new Arriving Updates<br />
到 着 する 同 期 アップデートの 中 でシーケンス 番 号 が 小 さすぎるアップデートの 数 です。これは、アップデートが 古 い<br />
転 送 に 属 していることを 示 します。または、シーケンス 番 号 が 大 きすぎて 新 しい 転 送 に 属 せないアップデートの 数<br />
です。<br />
この 値 が 大 きい 場 合 は、 通 信 に 問 題 があることを 示 しています。<br />
注 - 67ページの「 受 信 キューの 拡 張 」を 参 照 して、この 値 が 異 常 に 高 い( 送 信 されたアップデ<br />
ートの 10% 以 上 ) 場 合 は、 全 体 の 出 力 とネットワーク・トポロジと 設 定 に 関 する 詳 細 な 説 明 を<br />
準 備 して、テクニカル・サポートに 問 い 合 わせてください。<br />
Unsynced Missing Updates<br />
受 信 しているメンバが 待 機 を 中 断 した、 失 われた 同 期 アップデートの 数 です。 新 しく 到 着 するアップデートと 失 われた<br />
アップデートのシーケンス 番 号 の 差 が 受 信 キューの 長 さを 超 える 場 合 に、メンバは 待 機 を 中 断 します。<br />
この 値 は 通 常 はゼロです。ただし、 失 われたアップデートの 数 が 生 成 された 全 アップデートの 1%に 満 たない 場 合 は、<br />
アップデートの 一 部 が 失 われていても 許 容 されます。<br />
注 - 失 われたアップデートの 数 を 減 らすには、 受 信 キューの 容 量 を 拡 張 します。67ページの<br />
「 受 信 キューの 拡 張 」を 参 照 してください。<br />
Lost Sync Connection (num of events)<br />
ほかのメンバへのセキュリティ・ポリシーのインストール、または 期 待 されるシーケンス 番 号 と 受 信 したシーケンス 番<br />
号 の 違 いが 大 きいために、ほかのメンバとの 同 期 が 失 われてから 再 取 得 されたイベントの 数 です。<br />
この 値 は 通 常 はゼロです。この 値 が 正 の 数 の 場 合 は、 通 信 に 問 題 があることを 示 します。<br />
注 - 同 期 メカニズムがシーケンス 番 号 の 大 きな 違 いを 処 理 できるようにするには、 受 信 キュ<br />
ーの 容 量 を 拡 張 します。67ページの「 受 信 キューの 拡 張 」を 参 照 してください 。<br />
62 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
Timed out Sync Connection<br />
ほかのメンバが 接 続 されていないことをメンバが 宣 言 したイベントの 数 です。 一 定 時 間 (1 秒 間 )ACK パケットがその<br />
メンバから 受 信 されなかったため、そのメンバのために Flush and Ack パケットが 保 持 されていますが、メンバは 切<br />
断 されていると 判 断 されます。<br />
この 値 は 通 常 はゼロです。 同 期 ネットワークのラウンド・トリップ・タイムが 100 ミリ 秒 の 場 合 でも、1 秒 あれば ACK を<br />
受 信 するには 充 分 であると 考 えられます。この 値 が 正 の 数 の 場 合 は、 通 信 に 問 題 があることを 示 します。<br />
注 - 同 期 タイマを 大 きくしてみてください(68ページの「 同 期 タイマの 拡 張 」を 参 照 )。ただし、<br />
全 出 力 およびネットワーク・トポロジと 設 定 に 関 する 詳 細 な 説 明 を 準 備 して、テクニカル・サポ<br />
ートに 連 絡 する 必 要 がある 可 能 性 があります。<br />
Local Updates<br />
このセクションの 統 計 データは、ローカル・クラスタ・メンバによって 生 成 されたアップデートに 関 連 します。アップデー<br />
トにより、クラスタ・メンバによって 処 理 された 通 信 の 変 更 について 通 知 されます。アップデートはメンバ 間 で 送 受 信 さ<br />
れます。アップデートはシーケンス 番 号 で 識 別 されます。<br />
Total generated updates<br />
<br />
<br />
前 回 統 計 がリセットされてから、 同 期 メカニズムによって 生 成 された 同 期 アップデート・パケットの 数 です。この<br />
値 は、-reset オプションを 適 用 したときのシーケンス 番 号 と 現 在 のシーケンス 番 号 の 差 に 等 しくなります。<br />
この 値 には 範 囲 は 定 められていません。<br />
Recv Retransmission requests<br />
<br />
<br />
受 信 した 再 送 要 求 の 数 です。すでに 受 信 したシーケンス 番 号 よりも 小 さいシーケンス 番 号 を 持 つ 指 定 されたパ<br />
ケットが 失 われている 場 合 に、メンバは 再 送 を 要 求 します。<br />
この 値 が 高 い 場 合 は、 通 信 に 問 題 がある 可 能 性 があります。<br />
注 - この 値 が 過 度 に 高 い( 送 信 された 全 アップデートの 30%を 超 える) 場 合 は、 全 出 力 およ<br />
びネットワーク・トポロジと 設 定 に 関 する 詳 細 な 説 明 を 準 備 して、テクニカル・サポートに 問 い<br />
合 わせてください。<br />
Recv Duplicate Retrans request<br />
<br />
<br />
メンバによって 受 信 された 重 複 する 再 送 要 求 の 数 です。 重 複 する 要 求 はすでに 処 理 されているため 破 棄 され<br />
ます。<br />
この 値 が 大 きい 場 合 は、ネットワーク 上 の 問 題 または 同 期 ネットワーク 上 にストームが 発 生 している 可 能 性 が<br />
あります。<br />
注 - この 値 が 過 度 に 高 い( 送 信 された 全 アップデートの 30%を 超 える) 場 合 は、 全 出 力 およ<br />
びネットワーク・トポロジと 設 定 に 関 する 詳 細 な 説 明 を 準 備 して、テクニカル・サポートに 問 い<br />
合 わせてください。<br />
Blocking Scenarios<br />
極 度 の 高 負 荷 状 態 では、クラスタは 新 しい 通 信 を 阻 止 します。このパラメータは、 同 期 の 負 荷 が 大 きすぎるために、<br />
クラスタ・メンバが 新 しい 接 続 の 遮 断 を 開 始 した 回 数 を 示 します。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 63
送 信 キューが 容 量 のしきい 値 に 達 すると、メンバは 通 信 を 阻 止 し 始 めます。 容 量 のしきい 値 は、 現 在 のシーケンス 番<br />
号 とほかのすべての 動 作 中 のメンバからメンバが 受 信 した ACK のシーケンス 番 号 の 差 の 80%として 計 算 されます。<br />
この 値 が 正 の 数 の 場 合 は、 負 荷 が 高 すぎることを 示 します。この 場 合 は、Blocked Packets に 従 って 阻 止 されたパ<br />
ケット 数 を 確 認 します。 破 棄 されたパケット 1 個 につき、1 つの 通 信 が 阻 止 されたことを 意 味 します。<br />
このパラメータが 計 測 されるのは、 新 しい 接 続 の 遮 断 メカニズム(91ページの「 高 負 荷 状 態 での 新 しい 接 続 の 遮 断 」<br />
を 参 照 )がアクティブな 場 合 のみです。<br />
新 しい 接 続 の 遮 断 のメカニズムを 有 効 にするには<br />
<br />
fw ctl set int fw_sync_block_new_conns 0 コマンドをすべてのクラスタ・メンバに 適 用 します。<br />
注 - 通 信 阻 止 に 関 する 深 刻 な 問 題 に 対 処 する 最 良 の 方 法 は、 送 信 キューを 拡 張 することです。<br />
「 送 信 キューの 拡 張 」(67ページ)を 参 照 してください。<br />
ほかの 対 処 方 法 としては、メンバが ACK を 開 始 した 後 のタイムアウトを 減 少 させる 方 法 がありま<br />
す。「 確 認 応 答 タイムアウトの 再 設 定 」(68ページ)を 参 照 してください。これにより、 送 信 キューの<br />
容 量 をより 正 確 にアップデートして、 阻 止 プロセスをより 厳 密 に 実 施 することができます。<br />
Blocked packets<br />
クラスタ・メンバがすべての 新 しい 通 信 を 阻 止 していたために 阻 止 されたパケット 数 です(「Blocked Scenarios」を 参<br />
照 )。 阻 止 されたパケット 数 は、 通 常 、 新 しい 通 信 が 試 行 されるごとに 1 パケットです。<br />
送 信 キューの 値 が 5%より 高 い 場 合 (65ページの「Avg length of sending queue」を 参 照 ) 接 続 性 に 問 題 がある 可<br />
能 性 があります。あるいは、ACK の 送 信 頻 度 が 低 いことを 示 している 可 能 性 があります。<br />
このパラメータが 計 測 されるのは、 新 しい 接 続 の 遮 断 メカニズム(91ページの「 高 負 荷 状 態 での 新 しい 接 続 の 遮 断 」<br />
を 参 照 )がアクティブな 場 合 のみです。<br />
新 しい 接 続 の 遮 断 のメカニズムを 有 効 にするには<br />
<br />
fw ctl set int fw_sync_block_new_conns 0 コマンドをすべてのクラスタ・メンバに 適 用 します。<br />
注 - 通 信 阻 止 に 関 する 深 刻 な 問 題 に 対 処 する 最 良 の 方 法 は、 送 信 キューを 拡 張 することで<br />
す。「 送 信 キューの 拡 張 」(67ページ)を 参 照 してください。<br />
ほかの 対 処 方 法 としては、メンバが ACK を 開 始 した 後 のタイムアウトを 減 少 させる 方 法 があり<br />
ます。「 確 認 応 答 タイムアウトの 再 設 定 」(68ページ)を 参 照 してください。これにより、 送 信<br />
キューの 容 量 をより 正 確 にアップデートして、 阻 止 プロセスをより 厳 密 に 実 施 することができ<br />
ます。<br />
Max Length of Sending Queue<br />
送 信 キューのサイズは 固 定 されています。デフォルトでは、これは 512 個 の 同 期 アップデートです。シーケンス 番 号<br />
の 大 きい 新 しいアップデートがキューに 入 ると、シーケンス 番 号 の 小 さい 古 いアップデートはキューから 破 棄 されま<br />
す。 古 いアップデートは、メンバがほかのすべてのメンバからそのアップデートに 関 する ACK を 受 信 する 前 にキュー<br />
から 破 棄 される 場 合 があります。<br />
このパラメータは、 現 在 の 同 期 シーケンス 番 号 とメンバがほかのすべてのメンバから 該 当 する ACK を 受 信 した 最 後<br />
のシーケンス 番 号 との 差 です。このため、このパラメータの 値 は 512 を 上 回 ることがあります。<br />
このパラメータの 値 は 512 未 満 でなければなりません。512 を 上 回 る 場 合 でも、 必 ずしも 同 期 に 問 題 があるとは 限 り<br />
ません。ただし、メンバは、キューに 存 在 しないアップデートに 対 する 再 送 要 求 に 応 えることができなくなります。<br />
このパラメータが 計 測 されるのは、 新 しい 接 続 の 遮 断 メカニズム(91ページの「 高 負 荷 状 態 での 新 しい 接 続 の 遮 断 」<br />
を 参 照 )がアクティブな 場 合 のみです。<br />
64 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
新 しい 接 続 の 遮 断 のメカニズムを 有 効 にするには<br />
<br />
fw ctl set int fw_sync_block_new_conns 0 コマンドを 全 クラスタメンバに 申 請 します。<br />
注 - 送 信 キューを 拡 張 して、この 値 より 大 きい 値 に 変 更 します。67ページの「 送 信 キューの<br />
拡 張 」を 参 照 してください。<br />
Avg Length of Sending Queue<br />
再 起 動 または 同 期 統 計 がリセットされて 以 降 の、[Max Length of Sending Queue]パラメータの 平 均 値 です。<br />
この 値 は、 最 大 で 送 信 キューのサイズの 80%です。<br />
このパラメータが 計 測 されるのは、 新 しい 接 続 の 遮 断 メカニズム(91ページの「 高 負 荷 状 態 での 新 しい 接 続 の 遮 断 」<br />
を 参 照 )がアクティブな 場 合 のみです。<br />
新 しい 接 続 の 遮 断 のメカニズムを 有 効 にするには<br />
<br />
fw ctl set int fw_sync_block_new_conns 0 コマンドをすべてのクラスタ・メンバに 適 用 します。<br />
注 - 送 信 キューを 拡 張 して、この 値 が 新 しいキューのサイズの 80%を 上 回 らないようにしま<br />
す。67ページの「 送 信 キューの 拡 張 」を 参 照 してください。<br />
Hold Pkts eventskts Events<br />
同 期 アップデートが Flush and Ack を 必 要 とし、 動 作 中 のその 他 すべてのメンバから ACK が 到 着 するまでシステム<br />
内 に 保 持 された 回 数 です。<br />
Unhold Pkt Events の 数 値 を 同 じでなければなりません。<br />
注 - 全 出 力 およびネットワーク・トポロジと 設 定 に 関 する 詳 細 な 説 明 を 準 備 して、テクニカル・<br />
サポートに 問 い 合 わせてください。<br />
Unhold Pkt Events<br />
動 作 中 のほかのメンバから 要 求 されたすべての ACK をメンバが 受 信 した 回 数 です。<br />
Hold Pkts Events の 数 値 を 同 じでなければなりません。<br />
注 - この 値 が 過 度 に 高 い( 送 信 された 全 アップデートの 30%を 超 える) 場 合 は、 全 出 力 および<br />
ネットワーク・トポロジと 設 定 に 関 する 詳 細 な 説 明 を 準 備 して、テクニカル・サポートに 問 い 合<br />
わせてください。<br />
Not held due to no members<br />
ほかに 動 作 中 のメンバがなかったために、システム 内 に 保 持 すべきであったにも 関 わらず 開 放 されたパケット 数<br />
です。<br />
クラスタに 最 低 2 つのアクティブなメンバがある 場 合 は、 通 常 、この 値 は 0 です。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 65
注 ‐ クラスタに 接 続 の 問 題 があります。パラメータの 値 を 調 査 する 必 要 があります。62ページ<br />
の「Lost Sync Connection」と63ページの「Timed out sync connection」を 参 照 して、メンバ<br />
が 唯 一 のクラスタ・メンバであると 判 断 した 原 因 を 調 査 してください。<br />
また、 全 出 力 およびネットワーク・トポロジと 設 定 に 関 する 詳 細 な 説 明 を 準 備 して、テクニカル・<br />
サポートに 問 い 合 わせてください。<br />
Max Held Duration (ticks)<br />
Flush and Ack のために 保 持 されているパケットがシステム 内 で 遅 延 した 最 大 時 間 ( 単 位 はティック。1 ティックは<br />
100 ミリ 秒 )です。<br />
一 定 時 間 後 に 保 持 されているパケットを 開 放 する 処 理 待 ちタイムアウト・メカニズムのため、この 値 は 50(5 秒 )より<br />
小 さい 値 でなければなりません。デフォルトでは、 開 放 するまでのタイムアウトは 50 ティックです。この 値 が 高 い 場 合<br />
は、メンバ 間 で 通 信 上 の 問 題 が 発 生 していることを 示 します。<br />
注 - 必 要 に 応 じて、fwldbcast_pending_timeout グローバル 値 を 変 更 して、デフォルトのタイ<br />
ムアウトを 変 更 してください。89ページの「 高 度 なクラスタ 設 定 」と92ページの「 処 理 待 ちパケッ<br />
トの 数 の 削 減 」を 参 照 してください。<br />
さらに、63ページの「Timed out sync connection」のパラメータを 検 査 して、パケットが 長 時 間<br />
保 持 された 原 因 を 確 認 してください。<br />
また、 全 出 力 およびネットワーク・トポロジと 設 定 に 関 する 詳 細 な 説 明 を 準 備 して、テクニカル・<br />
サポートに 問 い 合 わせてください。<br />
Avg held duration (ticks)<br />
Flush and Ack のために 保 持 されているパケットがシステム 内 で 遅 延 した 平 均 時 間 ( 単 位 はティック。1 ティックは<br />
100 ミリ 秒 )です。<br />
平 均 時 間 は、 同 期 ネットワークのラウンドトリップ 時 間 とほぼ 同 じです。この 値 が 大 きい 場 合 は、 通 信 に 問 題 があるこ<br />
とを 示 します。<br />
注 - この 値 が 大 きい 場 合 は、 問 題 の 原 因 を 調 査 するために、 全 出 力 およびネットワーク・トポ<br />
ロジと 設 定 に 関 する 詳 細 な 説 明 を 準 備 して、テクニカル・サポートに 問 い 合 わせてください。<br />
Timers:<br />
Sync タイマと CPHA タイマは、 同 期 とクラスタに 関 連 する 処 理 を 一 定 時 間 ごとに 実 施 します。<br />
Sync tick(ms)<br />
同 期 タイマは、クラスタに 関 連 する 処 理 を 一 定 時 間 ごとに 実 施 します。デフォルトでは、 同 期 タイマの 間 隔 は 100 ミリ<br />
秒 です。 基 本 となる 時 間 単 位 は 100 ミリ 秒 (または 1 ティック)で、これが 最 小 値 です。<br />
CPHA tick(ms)<br />
CPHA タイマは、クラスタに 関 連 する 処 理 を 一 定 時 間 ごとに 実 施 します。デフォルトでは、CPHA タイマの 間 隔 は 100<br />
ミリ 秒 です。 基 本 となる 時 間 単 位 は 100 ミリ 秒 (または 1 ティック)で、これが 最 小 値 です。<br />
66 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
Queues:<br />
各 クラスタ・メンバには 2 つのキューがあります。 送 信 キューと 受 信 キューです。<br />
Sending Queue Size<br />
クラスタ・メンバ 上 の 送 信 キューには、ローカルで 生 成 された 同 期 アップデートが 格 納 されます。 送 信 キュー 内 のアッ<br />
プデートは、より 最 新 のアップデートに 置 き 換 えられます。このため、 負 荷 の 高 いクラスタでは、アップデートは 短 時<br />
間 しか 保 持 されません。アップデートを 再 送 信 するようにメンバに 要 求 があった 場 合 、アップデートが 送 信 キューにあ<br />
る 場 合 にのみ 送 信 できます。このキューのデフォルト・サイズ( 最 小 値 と 同 じ)は 512 です。 各 メンバには 1 つの 送 信<br />
キューがあります。<br />
Receiving Queue Size<br />
クラスタ・メンバ 上 の 受 信 キューは、アップデートのシーケンスをすべて 受 信 し 終 えるまで、 各 クラスタ・メンバからの<br />
アップデートを 保 持 します。このキューのデフォルト・サイズ( 最 小 値 と 同 じ)は 256 です。 各 メンバは、ピア・メンバご<br />
とに 受 信 キューを 保 持 します。<br />
同 期 のトラブルシューティング・オプション<br />
以 下 のオプションでは、 利 用 可 能 なトラブルシューティング・オプションを 明 記 します。 各 オプションでは、グローバル・<br />
システム 設 定 パラメータを 編 集 して、デフォルトとは 異 なる 値 にシステムを 再 設 定 します。<br />
送 信 キューの 拡 張<br />
クラスタ・メンバ 上 の 送 信 キューには、ローカルで 生 成 された 同 期 アップデートが 格 納 されます。 送 信 キュー 内 のアッ<br />
プデートは、より 最 新 のアップデートに 置 き 換 えられます。このため、 負 荷 の 高 いクラスタでは、アップデートは 短 時<br />
間 しか 保 持 されません。アップデートを 再 送 信 するようにメンバに 要 求 があった 場 合 、アップデートが 送 信 キューにあ<br />
る 場 合 にのみ 送 信 できます。このキューのデフォルト・サイズ( 最 小 値 と 同 じ)は 512 です。 各 メンバには 1 つの 送 信<br />
キューがあります。<br />
送 信 キューのサイズを 拡 張 するには<br />
1. グローバル・パラメータ fw_sync_sending_queue_size の 値 を 変 更 します。89ページの「 高 度 なクラスタ 設<br />
定 」を 参 照 してください。<br />
2. 必 要 なキュー・サイズが、オペレーティング・システムの 起 動 時 に 変 更 されないことも 確 認 してください。90ページ<br />
の「ゲートウェイの 設 定 を 起 動 時 に 有 効 にする 方 法 」を 参 照 してください。<br />
このキューを 拡 張 すると、このメンバはほかのメンバからのアップデートをより 多 く 保 存 できるようになります。ただし、<br />
保 存 された 各 アップデートはメモリを 消 費 することに 注 意 してください。この 変 数 を 変 更 する 場 合 は、メモリへの 影 響<br />
を 考 慮 してください。 変 更 は、 再 起 動 後 に 適 用 されます。<br />
受 信 キューの 拡 張<br />
クラスタ・メンバ 上 の 受 信 キューは、アップデートのシーケンスをすべて 受 信 し 終 えるまで、 各 クラスタ・メンバからの<br />
アップデートを 保 持 します。 受 信 キューのデフォルト・サイズ( 最 小 値 と 同 じ)は 256 です。 各 メンバは、ピア・メンバご<br />
とに 受 信 キューを 保 持 します。<br />
受 信 キューのサイズを 拡 張 するには<br />
1. グローバル・パラメータ fw_sync_recv_queue_size の 値 を 変 更 します。89ページの「 高 度 なクラスタ 設 定 」を<br />
参 照 してください。<br />
2. 必 要 なキュー・サイズが、オペレーティング・システムの 起 動 時 に 変 更 されないことも 確 認 してください。90ページ<br />
の「ゲートウェイの 設 定 を 起 動 時 に 有 効 にする 方 法 」を 参 照 してください。<br />
このキューを 拡 張 すると、このメンバはほかのメンバからのアップデートをより 多 く 保 存 できるようになります。ただし、<br />
保 存 された 各 アップデートはメモリを 消 費 することに 注 意 してください。この 変 数 を 変 更 する 場 合 は、メモリへの 影 響<br />
を 考 慮 してください。 変 更 は、 再 起 動 後 に 適 用 されます。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 67
同 期 タイマの 拡 張<br />
同 期 タイマは、 同 期 に 関 連 する 処 理 を 一 定 時 間 ごとに 実 施 します。デフォルトでは、 同 期 タイマの 間 隔 は 100 ミリ 秒<br />
です。 基 本 となる 時 間 単 位 は 100 ミリ 秒 (または 1 ティック)で、これが 最 小 値 です。<br />
同 期 タイマの 拡 張 方 法<br />
<br />
グローバル・パラメータ fwha_timer_sync_res の 値 を 変 更 します。89ページの「 高 度 なクラスタ 設 定 」を 参 照<br />
してください。この 変 数 の 値 は、システムの 動 作 中 に 変 更 できます。 再 起 動 は 必 要 ありません。<br />
デフォルトでは、fwha_timer_sync_res は 1 の 値 を 保 持 しており、 同 期 タイマは 基 本 の 時 間 単 位 (100 ミリ 秒 )ごと<br />
に 動 作 します。この 値 を n に 変 更 すると、タイマは n*100 ミリ 秒 ごとに 動 作 します。<br />
CPHA タイマの 拡 張<br />
CPHA タイマは、クラスタに 関 連 する 処 理 を 一 定 時 間 ごとに 実 施 します。デフォルトでは、CPHA タイマの 間 隔 は 100<br />
ミリ 秒 です。 基 本 となる 時 間 単 位 は 100 ミリ 秒 (または 1 ティック)で、これが 最 小 値 です。<br />
クラスタ・メンバがお 互 いに 地 理 的 に 離 れた 場 所 にある 場 合 、CPHA タイマを 同 期 ネットワークのラウンドトリップ 遅<br />
延 の 約 10 倍 に 設 定 します。<br />
この 値 を 拡 張 すると、フェイルオーバーの 検 出 にかかる 時 間 が 長 くなります。たとえば、インタフェース 障 害 の 検 出 に<br />
0.3 秒 かかるときに、タイマが 2 倍 の 200 ミリ 秒 に 設 定 された 場 合 、インタフェース 障 害 の 検 出 に 必 要 な 時 間 は 2 倍<br />
の 0.6 秒 になります。<br />
CPHA タイマの 拡 張<br />
<br />
グローバル・パラメータ fwha_timer_sync_res の 値 を 変 更 します。89ページの「 高 度 なクラスタ 設 定 」を 参 照<br />
してください。この 変 数 の 値 は、システムの 動 作 中 に 変 更 できます。 再 起 動 は 必 要 ありません。<br />
デフォルトでは、fwha_timer_cpha_res は 1 の 値 を 保 持 しており、CPHA タイマは 基 本 の 時 間 単 位 (100 ミリ 秒 )ご<br />
とに 動 作 します。この 値 を n に 変 更 すると、タイマは n*100 ミリ 秒 ごとに 動 作 します。<br />
確 認 応 答 タイムアウトの 再 設 定<br />
クラスタ・メンバは、 定 期 的 に 送 信 キューからのアップデートを 削 除 します。(67ページの「Sending Queue Size」を<br />
参 照 )。これにより、キュー 内 のスペースを 開 放 し、より 最 新 のアップデートを 格 納 できます。<br />
ピア・メンバからアップデートに 関 する ACK を 受 信 すると、クラスタ・メンバはこのキューからのアップデートを 削 除 し<br />
ます。<br />
ピア・メンバは、 新 しい 接 続 の 遮 断 メカニズム(91ページの「 高 負 荷 状 態 での 新 しい 接 続 の 遮 断 」を 参 照 )が 有 効 な 場<br />
合 は、 以 下 の 2 つの 状 況 のどちらかに 当 てはまる 場 合 に ACK を 送 信 します。<br />
特 定 数 のアップデートの 受 信 後 。<br />
<br />
一 定 時 間 ACK を 送 信 していない 場 合 。これは、 同 期 ネットワークの 回 線 で 大 きな 遅 延 が 発 生 している 場 合 に<br />
重 要 です。これはクラスタ・メンバがお 互 いに 地 理 的 に 離 れた 場 所 にある 場 合 に 発 生 する 可 能 性 があります。<br />
メンバが ACK を 送 信 した 後 にタイムアウトを 再 設 定 するには<br />
<br />
グローバル・パラメータ fw_sync_ack_time_gap の 値 を 変 更 します。89ページの「 高 度 なクラスタ 設 定 」を 参<br />
照 してください。この 変 数 の 値 は、システムの 動 作 中 に 変 更 できます。 再 起 動 は 必 要 ありません。<br />
この 変 数 のデフォルト 値 は 10 ティック(10*100 ミリ 秒 )です。このため、メンバが 1 秒 間 ACK を 送 信 していない 場 合 、<br />
受 信 したアップデートに 対 して ACK を 送 信 します。<br />
テクニカル・サポートへの 問 い 合 わせ<br />
ここで 紹 介 したトラブルシューティングを 実 行 しても 問 題 が 解 決 しない 場 合 は、テクニカル・サポートにお 問 い 合 わせ<br />
ください。<br />
68 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
<strong>ClusterXL</strong> のエラー・メッセージ<br />
このセクションでは、<strong>ClusterXL</strong> のエラー・メッセージについて 説 明 します。その 他 のあまり 一 般 的 でないエラー・メッ<br />
セージについては、SecureKnowledge の sk23642<br />
(http://supportcontent.checkpoint.com/solutions?id=sk23642)を 参 照 してください。<br />
<strong>ClusterXL</strong> の 一 般 的 なエラー・メッセージ<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
FW-1: changing local mode from to because of ID <br />
このログ・メッセージは、クラスタ・メンバ 間 で 動 作 モードが 統 一 されていない 場 合 、たとえば、1 つのマシンが HA<br />
で 動 作 し、 別 のマシンが 負 荷 共 有 マルチキャストまたはユニキャスト・モードで 動 作 しているような 場 合 に 出 力 さ<br />
れます。この 場 合 、<strong>ClusterXL</strong> の 内 部 メカニズムは 動 作 モードを 最 も 低 い 共 通 モードに 変 更 することにより、クラ<br />
スタ・メンバ 間 の 設 定 を 同 期 化 しようとします。 動 作 モードの 優 先 順 位 は( 最 高 から 最 低 の 順 )、1. 同 期 のみ、2.<br />
負 荷 共 有 、3.HA (アクティブ・アップ)、4.HA (プライマリ・アップ)の 順 になります。<br />
CPHA: Received confirmations from more machines than the cluster size<br />
このログ・メッセージは、クラスタにポリシーをインストールするときに 出 力 されます。このメッセージは、クラスタ<br />
内 に 重 大 な 設 定 上 の 問 題 があることを 意 味 します。ほかのクラスタに 同 一 のパラメータがすでに 設 定 されており、<br />
両 クラスタが 共 通 のネットワークを 持 っていることが 考 えられます。<br />
fwldbcast_timer: peer X probably stopped...<br />
このログ・メッセージは、このメッセージを 出 力 したメンバが、 特 定 の 種 類 のメッセージをメンバ X から 受 信 待 ちし<br />
なくなった 場 合 に 出 力 されます。cphaprob state ですべてのメンバがアクティブとして 表 示 されており、fw ctl<br />
pstat に 同 期 が 正 しく 設 定 されていて、なおかつすべてのメンバ 上 で 正 常 に 動 作 しているかを 確 認 してください。<br />
このような 場 合 、 一 時 的 に 通 信 上 の 問 題 が 発 生 した 後 、しばらくして 問 題 が 解 消 したことが 考 えられます。2 つの<br />
メンバ 間 で 一 時 的 な 同 期 上 の 問 題 が 発 生 したために、 複 数 の 接 続 で 問 題 が 発 生 した 可 能 性 があります。また、<br />
このメッセージはほかのメンバが 実 際 にダウンしていることを 示 している 可 能 性 があります。<br />
FW-1:fwha_notify_interface:there are more than 4 IPs on interface notifying<br />
only the first ones<br />
報 告 しているマシンと 同 一 クラスタ 内 にあるメンバが、 同 一 のインタフェース 上 に 3 つを 超 える 仮 想 IP アドレスを<br />
定 義 していることを 意 味 します。この 設 定 はサポートされていないため、<strong>ClusterXL</strong> の 機 能 を 使 用 できなくなる 可<br />
能 性 があります。<br />
Sync could not start because there is no sync license<br />
ライセンス・エラー・メッセージです。Security Gateway ライセンスを 持 っていれば、 同 期 もライセンスが 許 可 され<br />
ます。cplic print と cplic check を 使 用 して、Security Gateway の 基 本 ライセンスを 調 べてください。<br />
FW-1: h_slink: an attempt to link to a link<br />
kbuf id not found<br />
fw_conn_post_inspect: fwconn_init_links failed<br />
完 全 同 期 セッションでは、 完 全 同 期 プロセス 中 に 接 続 の 開 設 と 切 断 が 行 われると、このような 問 題 が 発 生 する<br />
場 合 があります。 完 全 同 期 はある 程 度 は 自 動 的 に 行 われますが、パフォーマンス 上 の 理 由 で 完 全 には 自 動 化<br />
されていません。gateway は 完 全 同 期 サーバとして 機 能 している 間 もトラフィックを 処 理 し 続 けます。このため、<br />
接 続 が 2 回 削 除 されたり、 既 存 のリンクにリンクされたりするなどの 軽 度 の 問 題 が 発 生 する 場 合 があります。 通<br />
信 が 失 われたり、セキュリティ 上 の 問 題 が 発 生 したりすることはありません。<br />
Error SEP_IKE_owner_outbound: other cluster member packet in outbound<br />
クラスタが 同 期 化 されていません。 一 般 に、OPSEC 認 定 サード・パーティ 負 荷 共 有 製 品 で、クラスタ・オブジェク<br />
トの[3rd Party Configuration]ページの[Support non-sticky connections]がオフになっている 場 合 に 出 力 さ<br />
れます。<br />
FW-1: fwha_pnote_register: too many registering members, cannot register<br />
クリティカル・デバイス(Problem Notification または pnote とも 呼 ばれます)メカニズムに 保 存 できる 異 なるデバ<br />
イス 数 は 最 大 16 個 です。17 個 目 のデバイスを(cphaprob.conf ファイルを 編 集 するか cphaprob -d ... register<br />
コマンドを 使 用 することにより) 設 定 しようとすると、このメッセージが 出 力 されます。<br />
FW-1: fwha_pnote_register: already registered (# )<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 69
pnote メカニズムに 登 録 する 各 デバイスには、 固 有 の 名 前 を 付 ける 必 要 があります。このメッセージは、 新 しい<br />
pnote デバイスを 登 録 するときに 出 力 され、デバイスは pnote 番 号 ですでに 登 録 されて<br />
いることを 示 します。<br />
<br />
<br />
<br />
FW-1: fwha_pnote_unregister: attempting to unregister an unregistered device <br />
現 在 登 録 されていないデバイスの 登 録 を 削 除 しようとしたことを 示 します。<br />
FW-1: alert_policy_id_mismatch: failed to send a log<br />
2 つ 以 上 のメンバ 間 に 異 なるポリシーID が 存 在 することを 示 すログが 送 信 されませんでした。すべてのクラスタ・<br />
メンバが 同 一 のポリシーを 持 っていることを 確 認 してください(fw stat を 使 用 )。ポリシーの 再 インストールをお 勧<br />
めします。<br />
FW-1: fwha_receive_fwhap_msg: received incomplete HAP packet (read bytes)<br />
このメッセージは、<strong>ClusterXL</strong> がバージョン 4.1 のクラスタの CCP パケットを 受 信 した 場 合 に 出 力 されることがあ<br />
ります。この 場 合 、メッセージを 無 視 しても 問 題 ありません。<br />
SmartView Tracker のアクティブ・モード・メッセージ<br />
以 下 のエラー・メッセージは、SmartView Tracker Active モードで 表 示 されることがあります。これらのエラーは、エ<br />
ントリの 一 部 が 正 常 に 処 理 されていないため、クラスタ・メンバ 上 の 同 期 情 報 が 失 われ、SmartView Tracker で 不 正<br />
確 な 報 告 が 行 われる 可 能 性 があることを 示 します。<br />
<br />
FW-1:fwlddist_adjust_buf: record too big for sync. update Y for table failed. fwlddist_state=<br />
クラスタ 化 されたマシン 上 で 設 定 上 の 問 題 が 発 生 したことを 示 します。 同 期 の 設 定 が 正 しくないか、 同 期 インタフ<br />
ェースで 転 送 されているパケットに 問 題 があります。 問 題 の 原 因 に 関 する 情 報 を 入 手 するには、 以 下 のいずれ<br />
かを 実 行 します。<br />
fw ctl pstat を 実 行 します(58ページの「 同 期 の 監 視 (fw ctl pstat)」を 参 照 )。<br />
<strong>ClusterXL</strong> のクラスタで、cphaprob -a if を 実 行 し、インタフェースの 状 態 を 取 得 します(50ページを 参 照 )。<br />
この 問 題 を 解 決 するには、92ページの「SmartView Tracker のアクティブ・モードの 使 用 」を 参 照 してください。<br />
<br />
FW-1: fwldbcast_flush: active connections is currently enabled and due to high load it is making<br />
sync too slow to function properly. X active updates were dropped<br />
同 期 機 能 を 維 持 するために、クラスタ 化 されたマシンが SmartView Tracker のアクティブ・モードのアップデート<br />
を 破 棄 したことを 示 します。この 問 題 を 解 決 するには、92ページの「SmartView Tracker のアクティブ・モードの<br />
使 用 」を 参 照 してください。<br />
同 期 関 連 のエラー・メッセージ<br />
<br />
FW-1:fwldbcast_retreq: machine sent a retrans request for seq <br />
which is no longer in my possession (current seq )<br />
このメッセージは、 送 信 ウィンドウに 存 在 しないシーケンス 番 号 に 対 する 再 送 要 求 をローカル・メンバが 受 信 した<br />
ときに 表 示 されます。 送 信 しているメンバが 要 求 されたシーケンスを 受 信 していない 場 合 、 同 期 上 の 問 題 を 示 し<br />
ている 可 能 性 があります。<br />
FW-1:fwlddist_save: WARNING: this member will not be fully synchronized !<br />
FW-1:fwlddist_save: current delta sync memory during full sync has reached the maximum of<br />
MB<br />
FW-1:fwlddist_save:it is possible to set a different limit by changing<br />
fw_sync_max_saved_buf_mem value<br />
<br />
これらのメッセージは 完 全 同 期 時 にのみ 表 示 されます。 完 全 同 期 の 実 行 中 は、 差 分 同 期 アップデートは 保 存 さ<br />
れ、 完 全 同 期 プロセスが 完 了 した 後 に 適 用 されます。 差 分 同 期 アップデートの 保 存 に 使 用 されるメモリを 制 限 す<br />
るには、fw_sync_max_saved_buf_mem 変 数 に 制 限 値 を 設 定 します。<br />
FW-1:fwldbcast_flush: fwlddist_buf_ldbcast_unread is not being reset fast enough<br />
(ur=,fwlddist_buflen=)<br />
このメッセージは、 同 期 バッファが 読 み 取 られるよりも 早 く 満 たされたために 負 荷 が 高 くなった 場 合 に 表 示 される<br />
ことがあります。 考 えられる 解 決 策 は、92ページの「SmartView Tracker のアクティブ・モードの 使 用 」で 説 明 す<br />
るように fwlddist_buf_size を 拡 張 することです。<br />
70 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
FW-1: fwlddist_mode_change: Failed to send trap requesting full sync<br />
このメッセージは、 完 全 同 期 プロセスの 開 始 上 の 問 題 のために 表 示 されている 可 能 性 があり、 深 刻 な 問 題 であ<br />
ることを 示 します。テクニカル・サポートに 問 い 合 わせてください。<br />
FW-1: State synchronization is in risk. Please examine your synchronization network to avoid<br />
further problems!<br />
このメッセージは、 負 荷 が 極 度 に 高 い 場 合 に 出 力 され、 同 期 アップデートが 恒 久 的 に 失 われたことを 示 します。<br />
アップデート 発 生 元 の 送 信 キューに 同 期 アップデートが 存 在 しないために 再 送 が 不 可 能 になった 場 合 、 同 期 アッ<br />
プデートは 恒 久 的 に 失 われたとみなされます。この 状 況 は Security Gatewayが 誤 作 動 する 可 能 性 があることを<br />
意 味 しているのではなく、 潜 在 的 な 問 題 があることを 意 味 します。 失 われた 同 期 アップデートが 非 暗 号 化 (クリ<br />
ア) 接 続 の 場 合 のように 1 つのメンバ 上 でのみ 実 行 される 接 続 に 対 するものであれば、この 潜 在 的 な 問 題 は 実<br />
害 がありません(ただし、フェイルオーバーの 場 合 は、ほかのメンバがこのアップデートを 必 要 とします)。<br />
失 われた 同 期 アップデートが、 暗 号 化 接 続 の 場 合 のように 非 対 称 な 通 信 (13ページの「 非 対 称 通 信 」を 参 照 )に<br />
関 するものであった 場 合 、この 潜 在 的 な 問 題 により 実 害 が 発 生 する 可 能 性 があります。この 場 合 、ほかのクラス<br />
タ・メンバがこの 通 信 に 関 するパケットを 破 棄 し 始 め、 通 常 、TCP out of state エラー・メッセージを 出 力 します<br />
(71ページの「TCP Out-of-State エラー・メッセージ」を 参 照 )。この 場 合 、91ページの「 高 負 荷 状 態 での 新 しい 接<br />
続 の 遮 断 」で 説 明 するように、 高 負 荷 のもとで 新 しい 接 続 をブロックすることが 重 要 です。<br />
以 下 のエラー・メッセージはこの 問 題 に 関 連 しています。<br />
FW-1:fwldbcast_recv: delta sync connection with member was lost and<br />
regained. updates were lost.<br />
FW-1:fwldbcast_recv: received sequence (fragm , index<br />
), last processed seq<br />
これらのメッセージは、 一 時 的 な 同 期 上 の 問 題 が 発 生 したために、 同 期 アップデートの 一 部 がメンバ 間 で 同 期 で<br />
きなかった 場 合 に 出 力 されます。この 結 果 として、 通 信 の 一 部 はフェイルオーバーによって 失 われる 可 能 性 があ<br />
ります。<br />
前 述 のエラー・メッセージはこの 問 題 に 関 連 しています。<br />
FW-1: The use of the non_sync_ports table is not recommended anymore. Refer to the user<br />
guide for configuring selective sync instead<br />
以 前 のバージョンが non_sync_ports というカーネル・テーブルを 使 用 して 選 択 同 期 を 実 施 しました。これは 同 期<br />
する 必 要 がないサービスを 選 択 する 方 法 です。これ 以 降 は、 選 択 同 期 は SmartDashboard から 設 定 できます。<br />
12ページの「 同 期 の 不 要 なサービスの 設 定 」を 参 照 してください。<br />
TCP Out-of-State エラー・メッセージ<br />
同 期 メカニズムに 負 荷 がかかると、TCP packet out-of-state エラー・メッセージが SmartView Tracker の<br />
[Information]カラムに 表 示 されます。このセクションでは、 各 エラーを 解 決 する 方 法 を 説 明 します。<br />
<br />
<br />
TCP packet out of state - first packet isn't SYN tcp_flags: FIN-ACK<br />
TCP packet out of state - first packet isn't SYN tcp_flags: FIN-PUSH-ACK<br />
これらのメッセージは、 通 信 テーブルからの 通 信 が 削 除 された 後 で FIN パケットが 再 送 された 場 合 に 出 力 されま<br />
す。この 問 題 を 解 決 するには、SmartDashboard の[Global properties]の[Stateful Inspection]で、[TCP<br />
end timeout]を 20 秒 から 60 秒 に 増 加 させます。 必 要 に 応 じて、 通 信 テーブルも 大 きくし、 満 杯 にならないように<br />
します。<br />
SYN packet for established connection<br />
このメッセージは、 確 立 された 通 信 で SYN が 受 信 され、シーケンス・ベリファイアが 停 止 した 場 合 に 出 力 されま<br />
す。シーケンス・ベリファイアは、クラスタ 内 (または SecureXL 内 )の 非 対 称 通 信 に 対 しては 停 止 します。アプリ<br />
ケーションによっては、(ポートを 再 利 用 するため)RST パケットで 通 信 を 切 断 するものがあります。この 問 題 を<br />
解 決 するには、 特 定 のポートまたはすべてのポートについて、この 動 作 を 有 効 にします。たとえば、 以 下 のコマ<br />
ンドを 実 行 します。<br />
fw ctl set int fw_trust_rst_on_port <br />
これは 1 つのポートでは 十 分 ではない 場 合 、Security Gateway がどのポートから 入 ってくる RST も 信 用 するこ<br />
とを 意 味 します。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 71
プラットフォーム 固 有 のエラー・メッセージ<br />
IPSO 固 有 のエラー・メッセージ<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
FW-1: fwha_nok_get_mc_mac_by_ip: received a NULL query<br />
FW-1: fwha_nok_get_mc_mac_by_ip: nokcl_get_clustermac returned unknown type <br />
これらのメッセージは、Static NAT 設 定 の 自 動 プロキシ ARP のエントリが 適 切 にインストールされていないこと<br />
を 意 味 します。<br />
FW-1: fwha_nokcl_sync_rx_f: received NULL mbuf from ipso. Packet dropped.<br />
FW-1: fwha_nokcl_sync_rx_f: received packet with illegal flag=. drop packet.<br />
これらのメッセージは、 不 正 な CPHA パケットが 受 信 されたため 破 棄 することを 意 味 します。 起 動 時 にこの 状 況<br />
が 何 度 も 発 生 する 場 合 、クラスタが 誤 作 動 しています。<br />
FW-1: fwha_nokcl_reregister_rx: unregister old magic mac values with IPSO.<br />
FW-1: fwha_nokcl_reregister_rx: new magic mac values registered<br />
successfully with IPSO.<br />
fw ctl set int fwha_magic_mac の 処 理 に 成 功 したことを 示 す 通 知 です。<br />
FW-1: fwha_nokcl_reregister_rx: error in de-registration to the sync_rx () new magic<br />
macs values will not be applied<br />
fw ctl set int fwha_magic_mac の 処 理 に 失 敗 したことを 示 す 通 知 です。 以 前 の MAC 値 が 保 持 されます。<br />
FW-1: fwha_nokcl_creation_f: error in registration …<br />
FW-1: fwha_nok_init: NOT calling nokcl_register_creation since did not de-register yet.<br />
FW-1: fwha_nok_fini: failed nokcl_deregister_creation with rc=<br />
これらのメッセージは、IPSO クラスタリング・メカニズムへの 登 録 で 内 部 エラーが 発 生 したことを 意 味 します。<br />
IPSO のバージョンがこのバージョンの Security Gateway でサポートされていること、および IPSO IP クラスタリ<br />
ングまたは VRRP クラスタが 適 切 に 設 定 されていることを 確 認 してください。<br />
FW-1: successfully (dis)connected to IPSO Clustering<br />
通 常 、Security Gateway の 初 期 化 および 削 除 時 に 受 信 される 通 知 です。<br />
FW-1: fwha_pnote_register: noksr_register_with_status failed<br />
FW-1: fwha_IPSO_pnote_expiration: mismatch between IPSO device to ckp device <br />
FW-1: fwha_nokia_pnote_expiration: can not find the device nokia claims to be expired<br />
FW-1: fwha_noksr_report_wrapper: attempting to report an unregistered device <br />
これらのメッセージは、IPSO と <strong>ClusterXL</strong> のデバイス 監 視 メカニズム 間 の 通 信 に 問 題 があるために 出 力 される<br />
場 合 があります。 通 常 、 再 起 動 によってこの 問 題 は 解 決 します。この 問 題 が 繰 り 返 し 発 生 する 場 合 は、チェック・<br />
ポイントのテクニカル・サポートに 問 い 合 わせてください。<br />
メンバの 再 起 動 の 失 敗<br />
クラスタに 高 い 負 荷 がかかっている 状 態 で、クラスタ・メンバで 再 起 動 (または cpstop と cpstart を 続 けて 実 行 )を 実<br />
施 した 場 合 、メンバが 正 常 に 起 動 できない 場 合 があります。 起 動 中 のメンバは 既 存 のアクティブ・メンバとの 完 全 同<br />
期 を 試 み、 処 理 中 にリソースと 利 用 可 能 なメモリのすべてを 使 い 果 たす 可 能 性 があります。このために 予 期 しない 動<br />
作 が 発 生 する 可 能 性 があります。<br />
この 問 題 を 解 決 するには、 起 動 時 にアクティブ・メンバとの 通 信 を 同 期 するためにメンバが 使 用 可 能 なメモリの 最 大<br />
量 を 定 義 します。デフォルトでは、この 量 は 制 限 されていません。 必 要 なメモリの 量 は、 以 下 のように 判 断 します。<br />
完 全 同 期 に 必 要 なメモリ(MB)<br />
新 しい 通 信 / 秒<br />
72 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
開 設 されている<br />
通 信 の 数<br />
100 1000 5000 10,000<br />
1000 1.1 6.9<br />
10000 11 69 329<br />
20000 21 138 657 1305<br />
50000 53 345 1642 3264<br />
注 - これらの 数 値 は、Pentium 4 プロセッサ(2.4 GHz で 動 作 )の Windows プラットフォーム<br />
を 使 用 したクラスタ・メンバに 基 づいています。<br />
たとえば、クラスタが 10,000 個 の 通 信 を 持 っており、 接 続 速 度 が 毎 秒 1000 個 の 通 信 の 場 合 、 完 全 同 期 には 69 MB<br />
が 必 要 です。<br />
メモリの 最 大 量 は、 次 のゲートウェイ・グローバル・パラメータを 使 用 して 定 義 します。<br />
fw_sync_max_saved_buf_mem<br />
単 位 はメガバイトです。 詳 細 は、89ページの「 高 度 なクラスタ 設 定 」を 参 照 してください。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 73
第 8 章<br />
<strong>ClusterXL</strong> の 高 度 な 設 定<br />
この 章 の 構 成<br />
VPN とクラスタの 使 用 74<br />
NAT とクラスタの 使 用 75<br />
VLAN とクラスタの 使 用 76<br />
インタフェースのリンク 状 態 監 視 78<br />
リンク・アグリゲーションとクラスタ 79<br />
高 度 なクラスタ 設 定 89<br />
Disconnected インタフェースの 定 義 93<br />
ポリシー 更 新 タイムアウトの 設 定 93<br />
TCP3 ウェイ・ハンドシェーク 実 施 の 強 化 94<br />
異 なるサブネット 上 のクラスタ・アドレスの 設 定 94<br />
単 一 ゲートウェイから <strong>ClusterXL</strong> クラスタへの 移 行 98<br />
既 存 クラスタへの 別 メンバの 追 加 99<br />
クラスタの ISP 冗 長 性 の 設 定 99<br />
クラスタ 構 成 でのダイナミック・ルーティング・プロトコルの 有 効 化 100<br />
VPN とクラスタの 使 用<br />
VPN とクラスタの 設 定<br />
SmartDashboardを 使 用 してセキュリティ・ゲートウェイのクラスタを 設 定 するのは、 単 一 のセキュリティ・ゲートウェイ<br />
を 設 定 するのと 非 常 に 似 ています。VPN のすべての 属 性 は、クラスタ・メンバごとに 定 義 する 2 つの 属 性 を 除 きゲー<br />
トウェイ・クラスタ・オブジェクト 内 で 定 義 します。<br />
1. [Gateway Cluster Properties]ウィンドウの[Cluster Members]ページを 開 きます。 各 クラスタ・メンバの<br />
[Cluster member Properties]ウィンドウで[VPN]タブを 以 下 のように 設 定 します。<br />
<br />
<br />
[Office Mode for Remote access] ― リモート・アクセスにオフィス・モードを 使 用 する 場 合 、 各 クラスタ・メン<br />
バに 割 り 当 てる IP プールを 定 義 します。<br />
[Hardware Certificate Storage List] ― クラスタ・メンバが IKE 証 明 書 のハードウェア・ストレージをサポート<br />
している 場 合 、 証 明 書 の 属 性 を 定 義 します。この 場 合 、SmartCenter サーバはクラスタ・メンバに 対 して 鍵 を 作<br />
成 し、 証 明 書 要 求 の 作 成 に 必 要 な 情 報 だけを 提 供 するよう 指 示 します。 証 明 書 は、ポリシーのインストール 時<br />
にクラスタ・メンバにダウンロードされます。<br />
2. VPN クラスタ 内 で IKE 鍵 が 同 期 されます。[Gateway Cluster Properties]ウィンドウの[Synchronization]ペー<br />
ジで、[Use State Synchronization]が 選 択 されていることを 確 認 します。これは、HA(ハイ・アベイラビリティ)<br />
構 成 の 場 合 も 同 様 です。<br />
3. [Gateway Cluster Properties]ウィンドウの[Topology]ページでクラスタの 暗 号 化 ドメインを 定 義 します。<br />
[VPN Domain]の 下 で、 以 下 の 2 つの 設 定 のいずれかを 選 択 します。<br />
<br />
[All IP addresses behind cluster members based on topology information] - これはデフォルト・オプショ<br />
ンです。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 74
[Manually Defined] - クラスタの IP アドレスがメンバ・ネットワーク 上 にない 場 合 、つまりクラスタの 仮 想 IP ア<br />
ドレスがクラスタ・メンバ・インタフェースとは 異 なるサブネット 上 にある 場 合 は、このオプションを 選 択 します。こ<br />
の 場 合 、クラスタの 仮 想 IP アドレスを 含 むネットワークまたはネットワーク・グループと、クラスタの 背 後 にある<br />
ネットワークまたはネットワーク・グループを 選 択 してください。<br />
別 の Security Management サーバでの VPN ピア・クラスタの 定 義<br />
チェック・ポイントのゲートウェイ・クラスタとして 使 用 する VPN ピアが 別 の Security Management サーバによって 管<br />
理 されている 場 合 、 別 のクラスタ・オブジェクトを 定 義 するのではなく 以 下 の 手 順 を 行 います。<br />
1. オブジェクト・ツリーの[Network Objects]ブランチで 右 クリックし、[New <strong>Check</strong> <strong>Point</strong> Externally Managed<br />
Gateway]を 選 択 します。<br />
2. [Topology]ページで、VPN ピアの 外 部 クラスタ・インタフェースと 内 部 クラスタ・インタフェースのアドレスを 追 加<br />
します。 以 下 の 場 合 を 除 き、クラスタ・メンバ・インタフェースのアドレスは 使 用 しないでください。<br />
<br />
<br />
外 部 クラスタがバージョン 4.1 の 場 合 はクラスタ・メンバ・インタフェースの IP アドレスを 追 加 します。<br />
クラスタが OPSEC 認 定 製 品 の 場 合 (IPSO を 除 く)、クラスタ・メンバの IP アドレスの 追 加 が 必 要 になる 場 合 が<br />
あります。<br />
クラスタ・メンバ・インタフェースの IP アドレスを 追 加 する 場 合 は、インタフェースの[Topology]タブでインタフェー<br />
スを[Internal]として 定 義 し、[IP Addresses behind this interface]を[Not defined]と 定 義 します。<br />
3. このページの[VPN Domain]セクションで、 外 部 から 管 理 されるゲートウェイの 暗 号 化 ドメインをゲートウェイの<br />
内 部 仮 想 IP アドレスの 背 後 に 置 くように 定 義 します。 暗 号 化 ドメインが 1 つのサブネットだけの 場 合 は[All IP<br />
addresses behind cluster members based on topology information]を 選 択 します。 暗 号 化 ドメインに 複 数 の<br />
サブネットが 含 まれる 場 合 は[Manually Defined]を 選 択 します。<br />
NAT とクラスタの 使 用<br />
クラスタのフォールドとクラスタの 隠 蔽<br />
ネットワーク・アドレス 変 換 (NAT)は、<strong>ClusterXL</strong> の 動 作 に 必 要 な 基 本 的 な 機 能 です。<br />
<strong>ClusterXL</strong> クラスタ・メンバからインターネットへの 発 信 接 続 を 確 立 する 場 合 、 発 信 パケット 内 の 発 信 元 アドレスはク<br />
ラスタ・メンバ・インタフェースの 物 理 IP アドレスになります。 発 信 元 IP アドレスは NAT を 使 用 し、クラスタの 外 部 仮<br />
想 IP アドレスを 使 用 した 発 信 元 IP アドレスに 変 換 されます。このアドレス 変 換 は「クラスタの 隠 蔽 」と 呼 ばれます。<br />
OPSEC 認 定 クラスタ 製 品 の 場 合 、クラスタ・オブジェクトの[3rd Party Configuration]ページでデフォルト 設 定 として<br />
[Hide Cluster Members' outgoing traffic behind the Cluster's IP address]がオンになっている 場 合 に 対 応 し<br />
ます。<br />
クライアントがクラスタの 外 部 ( 仮 想 )アドレスに 対 する 着 信 接 続 を 確 立 する 場 合 、<strong>ClusterXL</strong> は NAT を 使 用 して 宛 先<br />
IP アドレスをクラスタ・メンバの 1 つの 物 理 外 部 アドレスを 使 用 した 宛 先 IP アドレスに 変 換 します。このアドレス 変 換<br />
は「クラスタのフォールド」と 呼 ばれます。<br />
OPSEC 認 定 クラスタ 製 品 の 場 合 、クラスタ・オブジェクトの[3rd Party Configuration]ページでデフォルト 設 定 として<br />
[Forward Cluster's incoming traffic to Cluster Members' IP addresses]がオンになっている 場 合 に 対 応 します。<br />
ゲートウェイ・クラスタ 上 での NAT 設 定<br />
ゲートウェイ・クラスタ 上 でのネットワーク・アドレス 変 換 (NAT)は、 単 一 のゲートウェイ 上 での 場 合 と 同 じ 方 法 で 実 行<br />
できます。この NAT は、 自 動 の「クラスタのフォールド」および「クラスタの 隠 蔽 」のアドレス 変 換 とは 別 に 実 行 できる<br />
機 能 です。<br />
NAT を 設 定 するには、ゲートウェイ・クラスタ・オブジェクトを 編 集 し、[Gateway Cluster Properties]ウィンドウで<br />
[NAT]ページを 選 択 します。クラスタ・メンバ・オブジェクトの[NAT]タブは 設 定 しないでください。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 75
クラスタ・メンバ 上 での NAT 設 定<br />
クラスタ・メンバの 非 クラスタ・インタフェースでネットワーク・アドレス 変 換 (NAT)を 実 行 できます。<br />
この NAT を 実 行 するのは、クラスタ・メンバの 非 クラスタ・インタフェースが 別 の( 非 クラスタ) 内 部 Security Gateway<br />
に 接 続 されており、クラスタ・メンバの 非 クラスタ・インタフェースのアドレスを 隠 す 必 要 があるような 場 合 です。<br />
この NAT が 実 行 されると、クラスタ・メンバの 非 クラスタ・インタフェース 上 またはその 背 後 から 発 信 されたパケットが<br />
内 部 Security Gateway の 反 対 側 のホストに 送 られる 場 合 にパケットの 発 信 元 アドレスが 変 換 されます。<br />
クラスタ・メンバ・ゲートウェイの 非 クラスタ・インタフェースで NAT を 設 定 するには<br />
1. ゲートウェイ・クラスタ・オブジェクトを 編 集 します。<br />
2. [Gateway Cluster Properties]ウィンドウの[Cluster Member]ページでクラスタ・メンバ・オブジェクトを 編 集 し<br />
ます。<br />
3. [Cluster Member Properties]ウィンドウで[NAT]タブをクリックします。<br />
4. 必 要 に 応 じてスタティック NAT または Hide NAT を 設 定 します。<br />
VLAN とクラスタの 使 用<br />
<strong>ClusterXL</strong> の VLAN サポート<br />
VLAN 内 で 発 信 されたパケットがスイッチに 到 達 すると、スイッチはパケットが 入 ってきたスイッチ・ポートを 示 す 4 バ<br />
イトのヘッダをパケットに 付 けます。パケットは、あるスイッチ・ポートから 別 の VLAN に 所 属 するほかのスイッチ・<br />
ポートへ 移 動 することはできません。ただし、すべての VLAN に 属 すると 定 義 されたポート(「グローバル」ポート)は<br />
例 外 です。<br />
クラスタ・メンバは VLAN スイッチのグローバル・ポートに 接 続 されます。この 結 果 、1 つの 物 理 ポートは 複 数 の<br />
VLAN ポートに 理 論 的 に 分 割 され、 各 VLAN ポートはクラスタ・メンバの VLAN タグ 付 きインタフェース(VLAN インタ<br />
フェース)に 関 連 付 けられます。<br />
インタフェースに 対 して VLAN タグを 定 義 する 場 合 、クラスタの IP アドレスは VLAN インタフェース(タグ 付 きインタ<br />
フェース)に 対 してのみ 定 義 できます。VLAN を 持 っている 物 理 インタフェースに 対 してクラスタの IP アドレスを 定 義<br />
することはできません。このような 物 理 インタフェースは、[Network Objective]カラムで[Monitored Private]を 選 択<br />
して 定 義 する 必 要 があります。<br />
注 - <strong>ClusterXL</strong> は、Windows 2000 または Windows 2003 Server 上 の VLAN をサポートし<br />
ていません。<br />
同 一 VLAN への 複 数 クラスタの 接 続<br />
複 数 のクラスタの 安 全 に 保 護 されていないインタフェース(たとえば、 内 部 クラスタ・インタフェースまたは 外 部 クラス<br />
タ・インタフェース)を 同 一 の VLAN に 接 続 することはお 勧 めできません。 各 クラスタに 個 別 の VLAN および/またはス<br />
イッチが 必 要 です。<br />
複 数 のクラスタの 安 全 に 保 護 されたインタフェース( 同 期 インタフェース)を 接 続 することも、 同 じ 理 由 からお 勧 めでき<br />
ません。したがって、クラスタの 安 全 に 保 護 されたインタフェースを 接 続 する 際 は、クロスケーブルを 介 して 接 続 する<br />
か、 孤 立 した VLAN に 接 続 することをお 勧 めします。<br />
複 数 のクラスタの 安 全 に 保 護 されたインタフェースまたは 安 全 に 保 護 されていないインタフェースを 同 一 の VLAN に<br />
接 続 する 必 要 がある 場 合 は、 以 下 の 変 更 を 行 う 必 要 があります。<br />
<br />
<br />
宛 先 MAC アドレスの 変 更 。クラスタとクラスタ 外 部 のマシンの 間 の 通 信 を 可 能 にするために 必 要 です<br />
(<strong>ClusterXL</strong> 負 荷 共 有 マルチキャスト・モードのクラスタの 場 合 のみ)。<br />
クラスタの 発 信 元 MAC アドレスの 変 更 。クラスタ・メンバ 間 のクラスタ・コントロール・プロトコル 通 信 を 可 能 にす<br />
るために 必 要 です。<br />
76 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
宛 先 MAC アドレスの 変 更<br />
このセクションは、<strong>ClusterXL</strong> 負 荷 共 有 マルチキャスト・モードにのみ 関 連 しています。<br />
負 荷 共 有 マルチキャスト・モードでの 宛 先 クラスタ MAC アドレスの 割 り 当 て 方 法<br />
クラスタの 外 部 のマシンがクラスタと 通 信 しようとする 場 合 は、クラスタの( 仮 想 )IP アドレスについての ARP クエリを<br />
送 信 します。クラスタは、IP アドレスがユニキャスト・アドレスであってもマルチキャスト MAC アドレスを 使 用 して ARP<br />
要 求 に 応 答 します。<br />
このクラスタの 宛 先 マルチキャスト MAC アドレスは、クラスタのユニキャスト IP アドレスに 対 応 しています。 上 位 3 バ<br />
イトは 01.00.5E であり、 標 準 的 な Multicast MAC として 識 別 されます。 下 位 3 バイトには IP アドレスの 下 位 3 バイ<br />
トが 使 用 されます。 以 下 に IP アドレス 10.0.10.11 に 基 づく MAC アドレスの 例 を 示 します。<br />
マルチキャスト MAC アドレスの 重 複 : 問 題<br />
複 数 のクラスタが 同 一 の VLAN に 接 続 されている 場 合 、VLAN に 接 続 されるクラスタ・インタフェースの IP アドレスの<br />
最 後 の 3 バイトは 異 なっている 必 要 があります。 同 じ 場 合 、 外 部 から 1 つのクラスタに 向 けられた 通 信 が 両 方 のクラ<br />
スタに 到 達 して 通 信 上 の 問 題 が 発 生 します。<br />
たとえば、VLAN に 接 続 されたクラスタのうち 最 初 のクラスタのクラスタ・インタフェース・アドレスが 10.0.10.11 で、<br />
2 番 目 のクラスタのクラスタ・インタフェース・アドレスが10.0.10.12の 場 合 は 問 題 ありませんが、 最 初 のクラスタと2 番<br />
目 のクラスタのアドレスがそれぞれ10.0.10.11と20.0.10.11である 場 合 は、 混 乱 が 生 じます。<br />
マルチキャスト MAC アドレスの 重 複 : 解 決 策<br />
最 善 の 解 決 法 は、IP アドレスの 最 後 の 3 バイトが 共 通 しているクラスタ・インタフェースのうち、1 つを 除 くすべてのク<br />
ラスタ・インタフェースについて IP アドレスの 最 後 の 3 バイトを 変 更 することです。<br />
クラスタ・インタフェースの IP アドレスを 変 更 できない 場 合 は、1 つを 除 くすべてのクラスタについて 自 動 的 に 割 り 当 て<br />
られたマルチキャスト MAC アドレスを 変 更 し、ユーザ 定 義 のマルチキャスト MAC アドレスで 置 き 換 える 必 要 があり<br />
ます。 以 下 の 手 順 を 実 行 します。<br />
1. クラスタ・オブジェクトの[<strong>ClusterXL</strong>]ページで、[Load Sharing]→[Multicast Mode]を 選 択 します。<br />
[Topology]タブで、ほかのクラスタと 同 じ VLAN に 接 続 されているクラスタ・インタフェースを 編 集 します。<br />
2. [Interface Properties]ウィンドウの[General]タブで、[Advanced]をクリックします。<br />
3. デフォルトの MAC アドレスを 変 更 し、 新 たにユーザ 定 義 の MAC アドレスを 入 力 します。MAC アドレスは<br />
01:00:5e:xy:yy:yy の 形 式 で 入 力 します。ここで x は 0~7 で、y は 0~f(16 進 数 )です。<br />
発 信 元 MAC アドレスの 変 更<br />
このセクションは、HA と 負 荷 共 有 を 含 むすべての <strong>ClusterXL</strong> モードおよび OPSEC 認 定 クラスタ 製 品 に 関 連 してい<br />
ます。<br />
発 信 元 クラスタ MAC アドレスの 割 り 当 て 方 法<br />
クラスタ・メンバはクラスタ・コントロール・プロトコル(CCP)を 使 用 して 互 いに 通 信 します。CCP パケットには 固 有 の<br />
発 信 元 MAC アドレスが 付 加 され、この MAC アドレスによって 普 通 のネットワーク・トラフィックと 区 別 されます。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 77
発 信 元 MAC アドレスの 先 頭 の 4 バイトはすべてゼロです(00.00.00.00)。<br />
発 信 元 MAC アドレスの 5 バイト 目 はマジック・ナンバで、 値 は 用 途 を 表 します。<br />
5 バイト 目 のデフォルト 値 用 途<br />
0xfe<br />
0xfd<br />
CCP トラフィック<br />
転 送 レイヤ・トラフィック<br />
<br />
6 バイト 目 は 送 信 クラスタ・メンバの ID です。<br />
発 信 元 クラスタ MAC アドレスの 重 複 : 問 題<br />
1 つ 以 上 のクラスタが 同 じ VLAN に 接 続 されている 場 合 で、CCP と 転 送 レイヤのトラフィックがマルチキャスト MAC<br />
アドレスを 宛 先 に 使 用 している 場 合 、このトラフィックは 意 図 されたクラスタにのみ 届 きます。<br />
ただし、ブロードキャスト MAC アドレスが CCP の 宛 先 と 転 送 レイヤに 使 用 されている 場 合 (そのほかの 場 合 でも)、<br />
1 つのクラスタに 向 けられたクラスタ・トラフィックが 接 続 されているすべてのクラスタから 透 過 的 ではないため、 意 図<br />
しないクラスタによって 処 理 されて 通 信 上 の 問 題 が 発 生 します。<br />
発 信 元 クラスタ MAC アドレスの 重 複 : 解 決 策<br />
同 一 の VLAN に 接 続 されている 別 々のクラスタから 送 信 されたパケットの 発 信 元 MAC アドレスを 確 実 に 区 別 できる<br />
ようにするため、1 つを 除 くすべてのクラスタについて VLAN に 接 続 されたクラスタ・インタフェースの MAC 発 信 元 ア<br />
ドレスを 変 更 してください。<br />
同 一 VLAN 上 に 複 数 のクラスタを 設 定 するには、 以 下 のゲートウェイ 設 定 パラメータを 使 用 します。これらのパラメー<br />
タは、<strong>ClusterXL</strong> 製 品 と OPSEC 認 定 クラスタ 製 品 の 両 方 に 適 用 されます。<br />
パラメータ<br />
fwha_mac_magic<br />
fwha_mac_forward_magic<br />
デフォルト 値<br />
0xfe<br />
0xfd<br />
これらのゲートウェイ 設 定 パラメータの 値 を 変 更 すると、クラスタ・コントロール・プロトコル・パケットと 転 送 パケットの<br />
発 信 元 MAC アドレスの 5 バイト 目 が 変 更 されます。2 つのゲートウェイ 設 定 パラメータが 異 なっていれば、どんな 値<br />
を 使 用 しても 構 いません。 混 乱 を 避 けるため、 値 0x00 は 使 用 しないでください。<br />
これらのパラメータの 変 更 方 法 の 説 明 は、89ページの「ゲートウェイ 設 定 パラメータの 設 定 方 法 」を 参 照 してくだ<br />
さい。<br />
インタフェースのリンク 状 態 監 視<br />
インタフェースのリンク 状 態 監 視 を 有 効 にすると、<strong>ClusterXL</strong> でインタフェース 障 害 を 検 出 する 時 間 が 短 縮 されます。<br />
リンク 状 態 (たとえば、 電 気 状 態 など)を 監 視 することによって、ケーブルの 切 断 やスイッチの 電 気 的 な 障 害 ( 実 際 の<br />
障 害 または 想 定 される 障 害 )などの 特 定 のネットワーク・インタフェースに 関 する 接 続 性 の 問 題 が 発 生 したときに、<br />
<strong>ClusterXL</strong> は 即 座 にその 問 題 を 検 出 されるようになります。<br />
インタフェースのリンク 状 態 監 視 を 行 うには、リンク 状 態 の 検 出 をサポートしているインタフェース・デバイス・ドライバ<br />
が 必 要 です。デバイス・ドライバは、リンクが 接 続 されているか 切 断 されているかを 報 告 します。<br />
インタフェースのリンク 状 態 監 視 機 能 は、 監 視 対 象 インタフェース(クラスタ・インタフェースまたは 監 視 対 象 プライベ<br />
ート・インタフェースのどちらか)が ICMP ECHO プローブ 要 求 を 送 信 したが 接 続 しているサブネット 上 のホストやル<br />
ータからの 応 答 がない 場 合 に 特 に 便 利 です。<br />
この 機 能 を 有 効 にすると、インタフェースがダウンしたときに 即 座 に <strong>ClusterXL</strong> で 検 出 されます。この 機 能 を 無 効 に<br />
すると、<strong>ClusterXL</strong> は、サブセカンドでタイムアウト 期 限 を 監 視 した 上 でインタフェースが 誤 作 動 しているかどうかを 判<br />
断 します。<br />
デフォルトでは、インタフェースのリンク 状 態 監 視 機 能 は 無 効 になっています。<br />
78 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
注 - インタフェースのリンク 状 態 監 視 を 行 うには、リンク 状 態 の 検 出 をサポートしているインタ<br />
フェース・デバイス・ドライバが 必 要 です。また、この 機 能 は Linux プラットフォームの<br />
SecurePlatform のみをサポートしています。この 機 能 は、2 つのインタフェースがクロスケー<br />
ブルで 直 接 つながっている 2 つのメンバの <strong>ClusterXL</strong> クラスタでのみ 利 用 できます。sk31336<br />
(http://supportcontent.checkpoint.com/solutions?id=sk31336)を 参 照 してください。<br />
インタフェースのリンク 状 態 監 視 の 有 効 化<br />
インタフェースのリンク 状 態 監 視 を 有 効 / 無 効 にするには<br />
<br />
グローバル・パラメータ fwha_monitor_if_link_state を 設 定 します。<br />
使 用 方 法 :<br />
fw ctl set int fwha_monitor_if_link_state<br />
オプション:<br />
<br />
<br />
0 – インタフェースのリンク 状 態 監 視 を 無 効 にします。これはデフォルトの 設 定 です。<br />
1 - インタフェースのリンク 状 態 監 視 を 有 効 にします。<br />
これらの 設 定 パラメータを 起 動 時 に 有 効 にする 方 法 については、SecureKnowledge sk26202<br />
(http://supportcontent.checkpoint.com/solutions?id=sk26202)を 参 照 してください。<br />
リンク・アグリゲーションとクラスタ<br />
このセクションの 構 成<br />
概 要 79<br />
リンク・アグリゲーション - HA モード 80<br />
リンク・アグリゲーション - 負 荷 共 有 モード 84<br />
インタフェース・ボンディングでの VLAN の 定 義 86<br />
リンク・アグリゲーションのためのパフォーマンス・ガイドライン 86<br />
インタフェース・ボンディング 用 の <strong>ClusterXL</strong> のコマンド 87<br />
ボンディングされたインタフェースのトラブルシューティング 88<br />
概 要<br />
リンク・アグリゲーション(NIC チーミングとも 呼 ばれます)では、 複 数 のネットワーク・インタフェースを Security<br />
Gateway にボンディングします。インタフェース・ボンドでは、インタフェースに 障 害 が 発 生 したときに HA ソリューショ<br />
ンで 冗 長 性 を 持 たせることができ、さらに 負 荷 共 有 モードでは 全 体 的 なスループットを 向 上 させることができます。<br />
注 - リンク・アグリゲーションは <strong>Check</strong> <strong>Point</strong> SecurePlatform でのみサポートされています。<br />
インタフェース・ボンドでは、2~8 つのインタフェースが 1 つのインタフェースとして 機 能 するように 設 定 され、 同 一 の<br />
IP アドレスを 使 用 します。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 79
ボンドは、 物 理 インタフェースと 同 様 に SecurePlatform で 定 義 されるバーチャル・インタフェースです。ボンドの 各 物<br />
理 インタフェースは、ボンドのスレーブと 呼 ばれます。スレーブとして 機 能 するインタフェースは、ボンドから 独 立 して<br />
機 能 はしません。<br />
リンク・アグリゲーションは 次 の 2 つのモードのどちらかに 設 定 できます。<br />
<br />
HA(アクティブ/バックアップ)モード - 一 度 に 1 つのインタフェースのみがアクティブになります。インタフェース<br />
に 故 障 が 発 生 すると、ボンドで 別 のインタフェースにフェイルオーバーを 開 始 します。ボンドでは 異 なるインタフ<br />
ェースが 異 なるスイッチに 接 続 し、スイッチの 高 可 用 性 を HA インタフェースにつなげることができます。<br />
注 - リンクの 状 態 に 左 右 される 内 部 ボンドのフェイルオーバーには、メディア 独 立 型 インタ<br />
フェース(MII) 標 準 をサポートするネットワーク・インタフェースが 必 要 です。<br />
<br />
負 荷 共 有 (アクティブ/アクティブ)モード - 異 なる 接 続 ですべてのインタフェースがアクティブになります。<br />
接 続 はネットワーク 層 3 および 4 によってインタフェース 間 で 分 散 され、IEEE 802.3ad 規 格 または XOR<br />
に 従 っています。 負 荷 共 有 モードはスループットが 向 上 するという 利 点 がありますが、ボンドのインタフェ<br />
ースすべてが 1 つのスイッチに 接 続 している 必 要 があります。<br />
リンク・アグリゲーション HA モードおよびリンク・アグリゲーション 負 荷 共 有 モード:<br />
<br />
<br />
定 義 可 能 なボンドのインタフェースの 数 は、 各 プラットフォームでサポートされるインタフェースの 最 大 数 に 制 限<br />
されます。 詳 細 は、チェック・ポイントの 該 当 するリリース・ノートを 参 照 してください。。<br />
HA または 負 荷 共 有 のボンド 1 つに 対 して、NIC は 最 大 8 つまで 設 定 できます。<br />
リンク・アグリゲーション - HA モード<br />
このセクションの 構 成<br />
完 全 メッシュ 冗 長 性 81<br />
ボンディング・フェイルオーバー 82<br />
HA モードでのインタフェース・ボンディングの 作 成 82<br />
VLAN に 対 するフェイルオーバー・サポート 83<br />
ミッション・クリティカルなアプリケーションを 利 用 する 場 合 、 企 業 のネットワークには 高 い 可 用 性 が 求 められます。<br />
クラスタを 使 用 することで 冗 長 化 を 実 現 し、ゲートウェイ・レベルで 高 い 冗 長 性 をサポートできるようになります。リン<br />
ク・アグリゲーションを 使 用 しないと、ゲートウェイの 片 側 の NIC(ネットワーク・インタフェース・カード)やスイッチは、<br />
クラスタ 内 で、 別 のクラスタ・メンバにゲートウェイのフェイルオーバーを 行 ってのみ 冗 長 化 が 可 能 となります。<br />
80 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
ゲートウェイ・クラスタは、リンク・アグリゲーションを 使 用 せずに 冗 長 化 することができます。スイッチやゲートウェイ<br />
に 故 障 が 発 生 した 場 合 、HA クラスタ・ソリューションがシステムに 冗 長 性 を 持 たせます。たとえば、2 つの 同 期 された<br />
Security Gateway クラスタ・メンバを 冗 長 トポロジに 配 置 することが 可 能 です。<br />
このシナリオの 場 合 、 以 下 のように 設 定 されます。<br />
<br />
<br />
<br />
GW-1 および GW-2 はクラスタ・メンバ。それぞれが 外 部 スイッチ(それぞれ S-1 と S-2)に 接 続 されている NIC<br />
を 持 っています。<br />
S-1 および S-2 はスイッチ<br />
C-1 および C-2 は 相 互 接 続 ネットワーク<br />
Memeber 1とその NIC、または S-1が 故 障 した 場 合 、Member 2がアクティブなゲートウェイとなり、ネットワーク C-2<br />
経 由 でスイッチ S-2 に 接 続 します。コンポーネント(ゲートウェイ、NIC、スイッチなど)で 故 障 が 発 生 すると、フェイル<br />
オーバーによって 冗 長 性 はなくなります。その 後 さらにアクティブなコンポーネントで 故 障 が 発 生 した 場 合 、ネット<br />
ワーク・トラフィックは 完 全 に 停 止 します。<br />
リンク・アグリゲーションを 使 用 することで、NIC の 高 い 可 用 性 を 実 現 できます。1 つの NIC が 故 障 しても、 別 の NIC<br />
が 代 わって 機 能 します。この 機 能 は HA モードと 負 荷 共 有 モードにあります。<br />
完 全 メッシュ 冗 長 性<br />
<strong>ClusterXL</strong> でのリンク・アグリゲーション HA モードは、ネットワークでより 高 い 冗 長 性 を 提 供 し、 高 い 信 頼 性 を 実 現 し<br />
ます。この 高 い 冗 長 性 は、NIC とスイッチを 独 立 してバックアップする 完 全 メッシュ・トポロジによって 構 成 されます。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 81
完 全 メッシュ・トポロジは、 基 本 としてケーブルをバックアップしながらインタフェースおよびスイッチの 両 方 をバックア<br />
ップすることで、システムの 冗 長 性 を 高 めます。 各 クラスタ・メンバには、2 つの 外 部 インタフェースがあり、 各 スイッチ<br />
に 接 続 されています。<br />
このシナリオの 場 合 、 以 下 のように 設 定 されます。<br />
<br />
<br />
<br />
Member-1 と Member-2 は HA モード 内 のクラスタ・メンバ。それぞれが 2 つの 内 部 スイッチに 接 続 されてい<br />
ます。<br />
S-1 および S-2 はスイッチ<br />
C-1、C-2、C-3 および C-4 はネットワーク<br />
ボンディング・フェイルオーバー<br />
リンク・アグリゲーション HA モードでは、 ゲートウェイがクラスタの 一 部 である 場 合 、 内 部 ボンディング・フェイル<br />
オーバーが 以 下 のいずれかの 場 合 に 発 生 することがあります。<br />
<br />
<br />
アクティブなインタフェースで、 監 視 インタフェースでリンク 状 態 の 障 害 が 検 出 された 場 合<br />
<strong>ClusterXL</strong> で、クラスタ・コントロール・プロトコル(CCP)のキープアップ・パケットの 送 受 信 で 障 害 が 検 出 された<br />
場 合<br />
どちらの 障 害 が 発 生 した 場 合 でも、 状 況 によってインタフェース・ボンディング 内 もしくはクラスタ・メンバ 間 でフェイル<br />
オーバーが 発 生 します。 次 のセクションでは、2 種 類 のフェイルオーバーのプロセスについて 説 明 します。<br />
障 害 が 検 出 されると、ログに 記 録 されます。ログは SmartView Tracker で 確 認 できます。<br />
HA モードでのインタフェース・ボンディングの 作 成<br />
インタフェース・ボンディングは、 以 下 の 手 順 を 実 行 して 作 成 します。<br />
IP アドレスをスレーブ・インタフェースから 削 除 する 82<br />
スレーブ・インタフェースを「Disconnected」に 設 定 する 83<br />
インタフェース・ボンディングの 定 義 83<br />
ボンディングの 動 作 の 確 認 83<br />
IP アドレスをスレーブ・インタフェースから 削 除 する<br />
インタフェース・ボンディングを 定 義 する 前 に、スレーブ( 物 理 )インタフェースに IP アドレスがないことを 確 認 してくだ<br />
さい。<br />
1. SecurePlatform 設 定 ユーティリティを 起 動 します。<br />
82 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
sysconfig<br />
2. [Network Connections]を 選 択 します。<br />
3. [Add new connection]を 選 択 します。<br />
a) [Configure connection]を 選 択 します。<br />
b) 該 当 する 物 理 インタフェースを 選 択 します。<br />
c) [Remove IP from interface]を 選 択 します。<br />
d) [Network Connections]に 戻 ります。<br />
4. SecurePlatform 設 定 ユーティリティを 終 了 します<br />
スレーブ・インタフェースを「Disconnected」に 設 定 する<br />
Disconnected インタフェースとは、<strong>ClusterXL</strong> メカニズムによる 監 視 を 行 わないクラスタ・メンバ・インタフェースです。<br />
Disconnected インタフェースに 障 害 が 発 生 してもフェイルオーバーは 発 生 しません。<br />
SecurePlatform でスレーブ・インタフェースを「Disconnected」に 設 定 するには<br />
1. $FWDIR/conf/で、「discntd.if」という 名 前 のファイルを 作 成 します。<br />
2. スレーブ/ボンディングのペアとして 機 能 する 各 物 理 インタフェースの 名 前 を、1 行 に 1 つずつ 入 力 します。<br />
インタフェース・ボンディングの 定 義<br />
スレーブのインタフェースに IP アドレスがない 場 合 、ボンディングを 定 義 します。<br />
1. SecurePlatform 設 定 ユーティリティを 起 動 します。<br />
sysconfig<br />
2. [Network Connections]を 選 択 します。<br />
3. [Add new connection]を 選 択 します。<br />
4. [Bond]を 選 択 します。<br />
5. ボンディング 内 でスレーブになる 各 インタフェースに 対 して、リストにその 番 号 を 入 力 して、[Enter]を 押 します。<br />
6. n を 入 力 して 次 の 手 順 に 進 みます。<br />
7. [High Availability]を 選 択 します。<br />
8. デフォルトのパラメータを 使 用 する( 推 奨 )、またはカスタマイズするかを 選 択 します。<br />
9. プライマリ・スレーブ・インタフェースを 設 定 する、または 設 定 しない( 推 奨 )かを 選 択 します。<br />
プライマリ・スレーブ・インタフェースは、 障 害 が 起 きて 回 復 した 後 、 自 動 的 にアクティブなステータスに 戻 ります<br />
(たとえ、 別 のインタフェースへのフェイルオーバーが 起 きた 場 合 でも)。プライマリ・インタフェースがない 場 合 、<br />
フェイルオーバーによって 別 のインタフェースがアクティブになり、そのインタフェースで 障 害 が 発 生 するまで、そ<br />
の 状 態 を 保 ちます。<br />
10. 新 しいインタフェース・ボンディングの IP アドレスおよびネットワーク・マスクを 定 義 します。<br />
11. SecurePlatform 設 定 ユーティリティを 終 了 します。<br />
ボンディングの 動 作 の 確 認<br />
イントールまたはフェイルオーバーの 後 、ボンディングが 動 作 しているかどうか 確 認 することをお 勧 めします。<br />
1. 以 下 のコマンドを 実 行 します。<br />
cphaprob -a if<br />
ボンドの 状 態 が「UP」になっていることを 確 認 します。<br />
2. 以 下 のコマンドを 実 行 します。<br />
cphaconf show_bond <br />
ボンドが 正 しく 設 定 されているか 確 認 します。<br />
VLAN に 対 するフェイスオーバーのサポート<br />
リンク・アグリゲーション HA モードでは、<strong>ClusterXL</strong> で VLAN ID を 監 視 して 接 続 障 害 や 通 信 障 害 をチェックし、 障 害<br />
が 検 出 されたときにフェイルオーバーを 開 始 します。<br />
VLAN 対 応 のスイッチ 型 の 環 境 では、<strong>ClusterXL</strong>は 最 小 のVLAN IDでVLANを 監 視 します。 監 視 作 業 は、クラスタ・コ<br />
ントロール・プロトコル(CCP)パケットを 指 定 された 間 隔 でラウンド・トリップ・パスに 送 信 することによって 行 われます。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 83
最 小 のVLAN ID は、 物 理 接 続 の 状 態 を 表 します。この VLAN ID は 常 に 監 視 され、 接 続 障 害 が 発 生 するとフェイル<br />
オーバーが 開 始 されます。この 設 定 ではスイッチ 上 の VLAN の 設 定 に 関 する 問 題 は 検 出 されません。<br />
リンク・アグリゲーション - 負 荷 共 有 モード<br />
このセクションの 構 成<br />
負 荷 共 有 モードでのインタフェース・ボンディングのワークフロー 84<br />
負 荷 共 有 のための Cisco スイッチの 設 定 85<br />
負 荷 共 有 モードでは、リンク・アグリゲーションの HA に 加 えて 負 荷 分 散 が 行 われます。このモードでは、すべてのス<br />
レーブ・インタフェースがアクティブとなり、ボンドのスレーブ・インタフェース 間 で 接 続 が 分 散 されます。これは、<br />
<strong>ClusterXL</strong> でクラスタ・メンバ 間 に 接 続 が 分 散 される 方 法 と 似 ています。<br />
負 荷 共 有 モードでは、 各 接 続 が 特 定 のスレーブ・インタフェースに 割 り 当 てられます。1 つの 接 続 に 対 してアクティブ<br />
なスレーブ・インタフェースは 1 つだけになります。インタフェースに 障 害 が 発 生 すると、ボンドにより 別 のインタフェース<br />
に 接 続 がフェイルオーバーされ、すでに 処 理 している 接 続 に、 障 害 が 発 生 したインタフェースの 接 続 が 追 加 されます。<br />
接 続 は、スレーブ・インタフェース 間 で 分 散 されます。 分 散 方 法 は、ネットワーク 層 3 と 4、および 以 下 のいずれかの<br />
規 格 に 基 づきます。<br />
<br />
<br />
802.3ad - LACP が 含 まれた 推 奨 モード。 一 部 のスイッチでこのモードがサポートされない 可 能 性 があります。<br />
XOR.<br />
負 荷 共 有 モードでは、ボンドのインタフェースはすべて 同 じスイッチに 接 続 されます。スイッチは 自 身 をサポートし、ゲ<br />
ートウェイ・ボンディングと 同 じ 規 格 (802.3ad/XOR)に 基 づいてリンク・アグリゲーション 向 けに 設 定 されている 必 要<br />
があります。<br />
負 荷 共 有 を 実 行 するためには Performance Pack が 必 要 です。<br />
負 荷 共 有 モードでのインタフェース・ボンディングのワークフロー<br />
負 荷 共 有 ボンディングの 作 成 は HA ボンディングの 作 成 と 似 ています。スレーブからの IP アドレスの 削 除 、スレー<br />
ブ・インタフェースの 切 断 、ボンディングの 確 認 は、 同 じプロセスです。<br />
負 荷 共 有 ボンディングを 作 成 するには<br />
1. スイッチが 使 用 している 規 格 (802.3ad/XOR)に 設 定 されていることを 確 認 します。<br />
2. IP アドレスをスレーブ・インタフェースから 削 除 します。<br />
84 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
3. スレーブ・インタフェースを「Disconnected」に 設 定 します。<br />
4. 負 荷 共 有 モードでインタフェース・ボンディングを 定 義 します。<br />
5. 必 要 なクリティカル・インタフェースを 設 定 します。<br />
6. ボンディングが 正 しく 動 作 しているかどうか 確 認 します。<br />
負 荷 共 有 モードのインタフェース・ボンディングの 定 義<br />
インタフェース・ボンディングを 定 義 するには<br />
1. SecurePlatform 設 定 ユーティリティを 起 動 します。<br />
sysconfig<br />
2. [Network Connections]を 選 択 します。<br />
3. [Add new connection]を 選 択 します。<br />
4. [Bond]を 選 択 します。<br />
5. ボンディング 内 でスレーブになる 各 インタフェースに 対 して、リストにその 番 号 を 入 力 して、[Enter]を 押 します。<br />
6. n を 入 力 して 次 の 手 順 に 進 みます。<br />
7. [Load Sharing]を 選 択 します。<br />
8. 負 荷 共 有 の 規 格 (802.3ad または XOR)を 選 択 します。<br />
9. デフォルトのパラメータを 使 用 する( 推 奨 )、またはカスタマイズするかを 選 択 します。<br />
10. 新 しいインタフェース・ボンディングの IP アドレスおよびネットワーク・マスクを 定 義 します。<br />
11. SecurePlatform 設 定 ユーティリティを 終 了 します。<br />
必 要 なクリティカル・インタフェースの 設 定<br />
負 荷 共 有 モードのボンディングは、アクティブなスレーブ・インタフェースの 数 が 必 要 最 小 限 の 数 より 少 ないと、ダウ<br />
ンしていると 認 識 されます。<br />
明 確 に 定 義 されていない 場 合 、n 個 のインタフェースを 持 つボンドでのクリティカル 最 小 数 は n-1 です。2 つの 目 のイ<br />
ンタフェースで 障 害 が 発 生 すると、3 つ 以 上 のインタフェースがある 場 合 でもボンディング 全 体 がダウンしているとみ<br />
なされます。<br />
予 想 されるトラフィックを 処 理 できるインタフェースの 数 が 少 ない 場 合 、クリティカル・インタフェースの 数 を 明 示 的 に<br />
定 義 して 冗 長 性 を 向 上 させることができます。 予 想 されるトラフィック・スピードをインタフェースのスピードで 割 り、 整<br />
数 に 切 り 上 げてクリティカル・インタフェースの 適 切 な 数 を 決 定 します。<br />
クリティカル・インタフェースの 数 を 明 確 に 定 義 するには、 次 のファイルを 作 成 して 編 集 します。<br />
$FWDIR/conf/cpha_bond_ls_config.conf<br />
ファイルの 各 行 は 次 の 構 文 になります。<br />
<br />
たとえば、bond0 に 7 つのインタフェースがあり、bond1 に 6 つのインタフェースがある 場 合 、ファイルの 内 容 は 以<br />
下 のようになります。<br />
bond0 5<br />
bond1 3<br />
この 場 合 、インタフェースのうち 3 つに 問 題 が 起 きると bond0 はダウンしているとみなされます。また、インタフェース<br />
のうち 4 つに 問 題 が 起 きると bond1 はダウンしているとみなされます。<br />
負 荷 共 有 のための Cisco スイッチの 設 定<br />
これらは Cisco スイッチのためのサンプルの 設 定 コマンドです。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 85
802.3ad:<br />
Switch#conf t<br />
Switch(config)#port-channel load-balance src-dst-ip<br />
Switch(config)#interface FastEthernet <br />
Switch(config-if)#channel-group 1 mode active<br />
Switch(config-if)#channel-protocol lacp<br />
Switch(config-if)#exit<br />
Switch(config)#interface port-channel 1<br />
Switch(config-if)#switchport access vlan <br />
Switch(config-if)#end<br />
Switch#write<br />
XOR:<br />
Switch#conf t<br />
Switch(config)#port-channel load-balance src-dst-ip<br />
Switch(config)#interface FastEthernet <br />
Switch(config-if)#channel-group 1 mode on<br />
Switch(config-if)#exit<br />
Switch (config)#interface port-channel 1<br />
Switch(config-if)#switchport access vlan <br />
Switch(config-if)#end<br />
Switch#write<br />
インタフェース・ボンディングでの VLAN の 定 義<br />
通 常 のインタフェースと 同 様 に、インタフェース・ボンディング 上 で VLAN を 定 義 できます。<br />
インタフェース・ボンディング 上 で VLAN を 定 義 するには<br />
1. SecurePlatform 設 定 ユーティリティを 起 動 します。<br />
sysconfig<br />
2. [Network Connections]を 選 択 します。<br />
3. [Add new connection]を 選 択 します。<br />
4. [VLAN]を 選 択 します。<br />
5. VLAN を 定 義 するインタフェースまたはインタフェース・ボンディングを 選 択 します。<br />
6. VLAN ID を 入 力 します。<br />
7. VLAN の IP アドレスを 定 義 します。<br />
8. SecurePlatform 設 定 ユーティリティを 終 了 します。<br />
リンク・アグリゲーションのためのパフォーマンス・ガイドライン<br />
最 良 のパフォーマンスを 得 るために、リンク・アグリゲーションのためのスタティック・アフィニティを 使 用 します。<br />
アフィニティの 設 定<br />
Performance Pack をマルチコア・システムで 実 行 している 場 合 は、ボンドを 定 義 した 後 にアフィニティを 手 動 で 設 定<br />
します。sim affinity コマンドの-s を 使 用 します。『<strong>R75.40VS</strong> Performance Pack Administration Guide』を 参<br />
照 してください。<br />
注 - sim アフィニティのコマンドは、Performance Pack が 有 効 で 実 行 中 の 場 合 にのみ 実 行 できま<br />
す。Performance Pack は、 最 初 にポリシーをインストールしたときから 実 行 が 開 始 されます。<br />
パフォーマンスを 最 適 化 するために、 以 下 のガイドラインに 従 ってアフィニティを 設 定 します。<br />
1. -s のオプションを 使 用 して sim affinity を 実 行 します。<br />
2. 可 能 な 場 合 は、 各 インタフェースに 1 つの 処 理 コアを 割 り 当 てます。sk33520<br />
(http://supportcontent.checkpoint.com/solutions?id=sk33250)を 参 照 してください。<br />
3. コアより 多 くのインタフェースがある 場 合 は、1 つ 以 上 のコアで 2 つのインタフェースを 処 理 します。 内 部 ボンドお<br />
よび 外 部 ボンドで、 同 じ 配 置 のインタフェース・ペアを 使 用 します。<br />
86 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
a) ボンディングのインタフェースの 配 置 を 確 認 するには、 次 を 実 行 します。<br />
cat /proc/net/bonding/.<br />
b) 出 力 のインタフェースのシーケンスに 注 意 し、2 つのボンディング( 外 部 ボンディングとそれに 該 当 する 内 部<br />
ボンディング)と 比 較 します。2 つのボンディングの 同 じ 配 置 にあるインタフェースはインタフェース・ペアで、1<br />
つの 処 理 コアで 処 理 されるように 設 定 されています。<br />
たとえば、 以 下 のように、2 つのボンディング 間 で 4 つの 処 理 コア(0-3)と 6 つのインタフェース(0-5)がある 場 合<br />
が 考 えられます。<br />
bond0<br />
bond1<br />
eth0<br />
eth1<br />
eth2<br />
eth3<br />
eth4<br />
eth5<br />
2 つのコアはそれぞれ 2 つのインタフェースを 処 理 する 必 要 があります。 最 適 な 設 定 は 以 下 のようになります。<br />
bond0<br />
bond1<br />
eth0 core 0 eth3 core 0<br />
eth1 core 1 eth4 core 1<br />
eth2 core 2<br />
eth5 core 3<br />
インタフェース・ボンディング 用 の <strong>ClusterXL</strong> のコマンド<br />
cphaconf show_bond<br />
構 文<br />
インタフェース・ボンディングのステータスまたはすべてのボンディングのサマリ<br />
を 参 照<br />
cphaconf show_bond [|-a]<br />
オプション パラメータ 説 明<br />
bond-name<br />
ターゲットとなるボンディングの 名 前<br />
例<br />
-a<br />
すべてのボンディングのサマリを 表 示<br />
[Expert@GW-1]# cphaconf show_bond bond0<br />
Bond name: bond0<br />
Bond mode:Load Sharing<br />
Bond status:Up<br />
Balancing mode:802.3ad Layer3+4 Load Balancing<br />
Configured slave interfaces:4<br />
In use slave interfaces:4<br />
Required slave interfaces:2<br />
Slave Name | Status | Link<br />
--------------------------------------------<br />
eth2 | Active | Yes<br />
eth3 | Active | Yes<br />
eth4 | Active | Yes<br />
eth5 | Active | Yes<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 87
コメント<br />
レポート 結 果 が 以 下 を 表 示 します。<br />
必 要 なスレーブ・インタフェース(85ページの「 必 要 なクリティカル・インタ<br />
フェースの 設 定 」を 参 照 )<br />
ステータス 値<br />
<br />
<br />
<br />
<br />
[Down] - ( 負 荷 共 有 のみ) 物 理 リンクがダウンしています。<br />
[Active] - 現 在 処 理 しているトラフィック。<br />
[Standby] - (HA のみ)インタフェースの 準 備 が 完 了 し、 内 部 ボンディ<br />
ング・フェイルオーバーをサポートできる 状 態 であることを 示 します。<br />
[Not Available] - (HA のみ) 物 理 リンクが 故 障 しているか、クラスタ・<br />
メンバがダウンのステータスにあります。この 状 態 でボンディングは<br />
フェイルオーバーを 実 行 できません。<br />
[Link] - 物 理 リンクが 存 在 している 場 合 。<br />
cphaconf<br />
failover_bond<br />
構 文<br />
インタフェース・ボンディングの 内 部 フェイルオーバー(HA のみ)を 開 始<br />
cphaconf failover_bond<br />
パラメータ パラメータ 説 明<br />
bond-name<br />
ターゲットとなるボンディングの 名 前<br />
chaprob -a if<br />
構 文<br />
例<br />
コメント<br />
すべてのインタフェース・ボンディングと VLAN のステータスを 表 示<br />
cphaprob -a if<br />
[Expert@GW-1]# cphaprob -a if<br />
Required interfaces:5<br />
Required secured interfaces:1<br />
bond0 UP non sync(non secured), broadcast, bond, can<br />
failover<br />
bond2 UP sync(secured), multicast, bond Load Sharing<br />
bond1 UP non sync(non secured), multicast, bond Load<br />
Sharing<br />
Virtual cluster interfaces:4<br />
bond0 192.168.34.60<br />
bond1.60 10.34.60.1<br />
bond1.61 10.34.61.1<br />
bond1.62 10.34.62.1<br />
HA ボンディングのフェイルオーバーの 可 能 性 を 確 認 する 場 合 にこのコマンドを<br />
使 用 します。<br />
ボンディングされたインタフェースのトラブルシューティング<br />
このセクションの 構 成<br />
トラブルシューティングのワークフロー 89<br />
スイッチの 接 続 の 遅 延 89<br />
88 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
トラブルシューティングのワークフロー<br />
1. ボンディングのステータスを 確 認 します(83ページの「ボンディングの 動 作 の 確 認 」を 参 照 )。.<br />
2. 問 題 がある 場 合 は、 物 理 リンクがダウンしているかどうかチェックしてください。<br />
a) 実 行 するコマンド<br />
cphaconf show_bond<br />
b) link について no と 報 告 しているスレーブ・インタフェースを 検 索 します。<br />
c) ケーブル 接 続 とほかのハードウェアを 確 認 します。<br />
d) スイッチのポート 設 定 を 確 認 します。<br />
3. クラスタ・メンバがダウンしているかどうか 確 認 します。<br />
cphaprob state<br />
クラスタ・メンバに「Firewall State」が「active」 以 外 がある 場 合 、cphaprob state でトラブルシュー<br />
ティングを 続 けます(47ページの「cphaprob コマンド」を 参 照 )。<br />
4. ログを SmartView Tracker で 確 認 します。<br />
スイッチの 接 続 の 遅 延<br />
特 定 のスイッチを 使 用 している 場 合 に、 内 部 ボンディング・フェイルオーバーを 実 行 中 に 接 続 の 遅 延 が 発 生 すること<br />
があります。 一 部 のスイッチに 含 まれる 各 種 機 能 を 使 用 することで、スイッチが 新 しく 接 続 されたインタフェースを 開<br />
始 するまでの 時 間 を 短 縮 できるようになります。リンク 障 害 が 発 生 した 後 の 起 動 時 間 を 短 縮 する 方 法 として、 以 下 の<br />
手 順 が 挙 げられます。<br />
1. 関 連 するインタフェースでの 自 動 ネゴシエーションを 無 効 にします。<br />
2. 一 部 の Cisco のスイッチでは、PortFast 機 能 を 有 効 にします。<br />
3. ポートの STP を 無 効 にします。<br />
PortFast の 使 用 に 関 する 警 告<br />
PortFast 機 能 は、ほかのスイッチまたはハブに 接 続 しているポートでは 使 用 しないでください。この 場 合 は、<br />
Spanning Tree を 使 用 して 初 期 化 手 順 を 完 了 させる 必 要 があります。この 手 順 を 完 了 させないと、これらの 接 続 が<br />
パケットが 継 続 して(または 増 加 された) 転 送 される 物 理 ループを 発 生 させる 可 能 性 があり、ネットワークが 復 旧 でき<br />
ない 場 合 があります。<br />
Cisco スイッチの PortFast 機 能 の 設 定 例<br />
以 下 のコマンドは、IOS を 稼 動 する Cisco 3750 スイッチの GigabitEthernet 1/0/15 インタフェース 上 で PortFast を<br />
有 効 にするのに 必 要 なコマンドです。<br />
1. 設 定 モードに 切 り 替 えます。<br />
cisco-3750A#conf t<br />
2. 設 定 するインタフェースを 指 定 します。<br />
cisco-3750A(config)#interface gigabitethernet1/0/15<br />
3. 以 下 のインタフェースの PortFast を 設 定 します。<br />
cisco-3750A(config-if)#spanning-tree portfast<br />
高 度 なクラスタ 設 定<br />
ゲートウェイ 設 定 パラメータの 設 定 方 法<br />
同 期 機 能 と <strong>ClusterXL</strong> 機 能 の 多 くは、Security Gateway 設 定 パラメータを 使 用 して 制 御 されます。Security<br />
Gateway 上 で 以 下 のようにコマンドを 実 行 します。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 89
fw ctl set int Parameter <br />
Parameter は、 以 下 の 各 セクションで 説 明 するパラメータを 指 します。<br />
デフォルト 値 を 変 更 する 場 合 は、すべてのクラスタ・メンバに 適 用 してください。 各 クラスタ・メンバに 別 々の 値 を 設 定<br />
すると、 設 定 上 の 問 題 が 生 じて 接 続 障 害 が 発 生 する 可 能 性 があります。<br />
すべてのゲートウェイ 設 定 パラメータは、 起 動 時 に 有 効 になるように 設 定 できます。この 設 定 方 法 は、オペレーティン<br />
グ・システムによって 異 なります。<br />
ゲートウェイを 起 動 時 に 有 効 にする 設 定 方 法<br />
fw ctl set int コマンドを 使 用 して 変 更 したゲートウェイ 設 定 パラメータは、 起 動 時 に 有 効 になりません。これらを 起 動<br />
時 に 有 効 にする 方 法 は、オペレーティング・システムによって 異 なります。 以 下 の 手 順 では、Parameter は 以 下 の 各<br />
セクションで 説 明 するパラメータを 指 します。<br />
Linux/SecurePlatform<br />
1. ファイル$FWDIR/boot/modules/fwkern を 編 集 します。<br />
2. 行 Parameter=を 追 加 します。<br />
3. 再 起 動 します。<br />
Windows<br />
1. レジストリを 編 集 します。<br />
2. キーHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FW1\Parameters\Globals の 下 に<br />
Parameter という 名 前 の DWORD 値 を 追 加 します。<br />
3. 再 起 動 します。<br />
モジュール 変 数 の IPSO 6.1 以 降 での 設 定<br />
IPSO をインストールする、または Voyager を 新 しいプラットフォームで 最 初 に 実 行 する 場 合 、[Firewall Kernel<br />
Tuning Configuration]ページは 表 示 されません。カスタマ・サービスの 指 示 でこのページを 使 用 する 必 要 がある 場<br />
合 は、 以 下 の 手 順 を 実 行 して 表 示 させる 必 要 があります。<br />
1. コマンド・ラインをプラットフォームに 接 続 します(ネットワーク 接 続 もしくはコンソール 接 続 を 使 用 )。<br />
2. IPSO シェル・プロンプトで、 以 下 を 入 力 します。<br />
nokia[admin]# dbset advanced:loader t<br />
3. Voyager を 実 行 します( 前 回 のコマンドを 入 力 したときに Voyager が 開 いていた 場 合 は、Voyager を 一 度 終 了 し<br />
てから 再 度 実 行 )。<br />
4. ナビゲーション・ツリーから[Configuration]→[Tools]→[Firewall Kernel Tuning]をクリックします。<br />
5. サポートに 指 示 されたとおりに 変 数 を 設 定 し、[Apply]をクリックします。[Apply]をクリックするとファイアウォー<br />
ル・カーネル 変 数 が 適 用 されて、Voyager 設 定 が 保 存 されます。プラットフォームを 再 起 動 すると、[Firewall<br />
Kernel Tuning Configuration]ページが 再 び 表 示 されます。<br />
クラスタリング・タイマと 同 期 タイマの 制 御<br />
以 下 のゲートウェイ 設 定 パラメータは、クラスタリング・タイマと 同 期 タイマの 制 御 に 使 用 します。デフォルト 値 を 変 更<br />
することはお 勧 めできません。<br />
90 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
クラスタリング・タイマと 同 期 タイマ<br />
パラメータ 意 味 デフォルト 値<br />
fwha_timer_cpha_res<br />
クラスタ 上 での <strong>ClusterXL</strong> の 処 理 頻 度<br />
1<br />
次 の 間 隔 で 処 理 が 行 われます。<br />
10 x fwha_timer_cpha_res x fwha_timer_base_res<br />
ミリ 秒<br />
fwha_timer_sync_res<br />
クラスタ 上 での 同 期 フラッシュ 処 理 の 頻 度<br />
1<br />
次 の 間 隔 で 処 理 が 行 われます。<br />
10 x fwha_timer_cpha_res x fwha_timer_base_res<br />
ミリ 秒<br />
fwha_timer_base_res 10 の 倍 数 にする 必 要 があります。 10<br />
高 負 荷 状 態 での 新 しい 接 続 の 遮 断<br />
新 しい 接 続 を 遮 断 する 理 由 は、 新 しい 接 続 は 新 しい 同 期 トラフィックが 発 生 する 主 な 原 因 となり、 高 負 荷 状 態 で 新 し<br />
いトラフィックの 処 理 を 継 続 するとすべての 同 期 が 危 険 にさらされる 可 能 性 があるためです。<br />
関 連 するエラー・メッセージは、 次 のとおりです。<br />
"FW-1: State synchronization is in risk. Please examine your synchronization network to avoid further<br />
problems!" (70ページの「 同 期 関 連 のエラー・メッセージ」を 参 照 )<br />
Security Gateway を 通 るトラフィックの 量 を 減 少 させると、 同 期 メカニズムが 保 護 されます。<br />
<br />
<br />
<br />
<br />
<br />
fw_sync_block_new_conns により、Security Gateway で 高 負 荷 を 検 出 し、 新 しい 接 続 の 遮 断 を 開 始 できます。<br />
ファイアウォールの 同 期 送 信 キューが 満 杯 になって fw_sync_buffer_threshold の 値 を 超 えた 場 合 、 負 荷 が 高<br />
いと 見 なされます。<br />
負 荷 の 検 出 を 有 効 にするには、0 に 設 定 します。<br />
負 荷 の 検 出 を 無 効 にするには、-1 (0xFFFFFFFF hex)(デフォルト 値 )に 設 定 します。<br />
<strong>ClusterXL</strong> 負 荷 共 有 構 成 の 場 合 のみ、 同 期 がビジーなときに 新 しい 接 続 を 阻 止 することをお 勧 めします。HA モ<br />
ードでも 新 しい 接 続 を 阻 止 できますが、 同 期 の 不 一 致 は 解 決 されません。これは、HA モードは 同 期 の 不 一 致 を<br />
防 止 するからです。このパラメータは、ゲートウェイを 起 動 時 に 有 効 にする 方 法 (90ページの「ゲートウェイの 設<br />
定 を 起 動 時 に 有 効 にする 設 定 方 法 」を 参 照 )を 使 って、 起 動 時 に 有 効 になるように 設 定 できます。<br />
fw_sync_buffer_threshold is は、バッファが 許 容 する 最 大 パーセント 値 です。この 値 に 達 するとバッファが 満<br />
杯 になったと 見 なされ、 新 しい 接 続 の 遮 断 が 開 始 されます。デフォルトでは 80 に 設 定 され、バッファ・サイズは<br />
512 です。デフォルトでは、410 以 上 の 連 続 的 なパケットが ACK なしで 送 信 された 場 合 、 新 しい 接 続 は 破 棄 さ<br />
れます。 阻 止 が 開 始 されると、fw_sync_block_new_conns は 1 に 設 定 されます。 状 況 が 安 定 すると、この 値<br />
は 0 に 戻 されます。<br />
fw_sync_allowed_protocols を 使 用 して、システムが 接 続 阻 止 状 態 になった 場 合 でも 開 設 を 許 可 する 接 続 の<br />
タイプを 決 定 します。これにより、 管 理 者 は 負 荷 異 常 時 でもシステムの 動 作 を 制 御 できます。<br />
fw_sync_allowed_protocols 変 数 は、 各 種 の 接 続 タイプを 指 定 するフラグの 組 合 せです。 変 数 の 値 は 個 々の<br />
フラグ 値 の 和 です。たとえば、この 変 数 のデフォルト 値 は 24 ですが、これは TCP_DATA_CONN_ALLOWED<br />
(8)と UDP_DATA_CONN_ALLOWED(16)の 和 であり、デフォルトでは 高 負 荷 状 態 で TCP 接 続 と UDP デー<br />
タ 接 続 のみ 許 可 することを 意 味 します。<br />
ICMP_CONN_ALLOWED 1<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 91
TCP_CONN_ALLOWED 2(データ 接 続 を 除 く)<br />
UDP_CONN_ALLOWED 4(データ 接 続 を 除 く)<br />
TCP_DATA_CONN_ALLOWED<br />
UDP_DATA_CONN_ALLOWED<br />
8( 制 御 接 続 は 確 立 されるか 許 可 される)<br />
16( 制 御 接 続 は 確 立 されるか 許 可 される)<br />
SmartView Tracker のアクティブ・モードの 使 用<br />
SmartView Tracker のアクティブ・モードでは、 管 理 サーバ 上 の 現 在 アクティブなログ・ファイルにログを 送 信 してい<br />
る 任 意 の Security Gateway を 介 して 現 在 開 いている 接 続 が 表 示 されます。<br />
アクティブ・モードは 同 期 の 速 度 を 低 下 させる 傾 向 があります。 速 度 が 低 下 した 場 合 、 同 期 メカニズムは 同 期 を 維 持<br />
するためにアクティブな 接 続 更 新 をランダムに 廃 棄 (ドロップ)します。ドロップは SmartView Tracker のアクティブ・<br />
モード・メッセージで 説 明 するエラー・メッセージの 1 つが 表 示 されます。<br />
高 負 荷 状 態 のクラスタにはアクティブ・モード・ビューを 使 用 しないでください。 高 負 荷 状 態 のアクティブな 接 続 に 関 す<br />
る 正 確 なレポートを 取 得 するために、 以 下 の 2 つの 解 決 法 を 使 用 できます。これらはクラスタおよび 単 一 Security<br />
Gateway の 両 方 に 適 用 されます。<br />
1. fwlddist_buf_size の 拡 大<br />
fwlddist_buf_size パラメータは、 同 期 バッファのサイズ(ワード 数 )を 制 御 します(ワード 数 は、 同 期 と<br />
SmartView Tracker のアクティブ・モードの 両 方 で 使 用 されます。1 ワードが 4 バイトです)。デフォルト 値 は<br />
16,000 ワードです。 最 大 値 は 64,000 ワードで 最 小 値 は 2,000 ワードです。<br />
このパラメータを 変 更 した 場 合 、 変 更 は 起 動 後 に 初 めて 適 用 されるため、パラメータが 起 動 時 に 有 効 になるよう<br />
に 設 定 されていることを 確 認 してください。メカニズムの 使 用 については、89ページの「ゲートウェイ 設 定 パラメー<br />
タの 設 定 方 法 」を 参 照 してください。<br />
2. テクニカル・サポートからのホットフィックスの 入 手<br />
チェック・ポイントのテクニカル・サポートからホットフィックスを 入 手 してください。このホットフィックスには、<br />
Security Management サーバに 送 信 される 前 にアクティブな 接 続 がゲートウェイで fwd によって 読 み 取 られる<br />
速 度 を 制 御 する 変 数 が 含 まれています。この 解 決 法 を 実 行 するには 追 加 の CPU リソースが 必 要 です。<br />
処 理 待 ちパケット 数 の 削 減<br />
<strong>ClusterXL</strong> は、 非 対 称 通 信 で 状 態 に 合 致 しないパケットが 発 生 するのを 防 止 します。これを 行 うために、ほかのすべ<br />
てのアクティブなクラスタ・メンバから Sync ACK が 受 信 されるまで、パケットが 保 持 されます。 何 らかの 理 由 で Sync<br />
ACKが 受 信 されない 場 合 、クラスタ・メンバ 上 の Security Gatewayがパケットを 解 放 しないため、 接 続 は 確 立 されま<br />
せん。<br />
保 持 されたパケットが 解 放 されていないかどうか 確 認 するには、fw ctl pstat コマンドを 実 行 します。コマンド 出 力 に<br />
示 される Number of Pending Packets( 処 理 待 ちパケット 数 )の 値 が 通 常 の 負 荷 状 態 にもかかわらず 大 きく(100<br />
を 超 える)、 時 間 が 経 っても 減 少 しない 場 合 は、fwldbcast_pending_timeout パラメータを 使 用 して 処 理 待 ちパケ<br />
ット 数 を 減 らしてください。<br />
fwldbcast_pending_timeout の 値 をデフォルト 値 の 50 から 50 よりも 小 さい 値 に 変 更 します。<br />
値 の 単 位 はティックです。1 ティックは 0.1 秒 であり、たとえば 50 ティックは 5 秒 です。<br />
この 値 で 示 された 時 間 が 経 過 すると、Sync ACK が 受 信 されていなくてもパケットは 解 放 されます。<br />
完 全 同 期 詳 細 オプションの 設 定<br />
クラスタ・メンバは 再 起 動 後 (または cpstart 後 )にアクティブになった 場 合 、 完 全 同 期 を 実 行 する 必 要 があります。 完<br />
全 同 期 プロセスの 最 初 のステップとして、ほかのアクティブなクラスタ・メンバの 1 つとハンドシェークを 実 行 します。こ<br />
のハンドシェークが 成 功 した 場 合 だけ、クラスタ・メンバは 完 全 同 期 プロセスを 継 続 します。<br />
92 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
実 行 される 詳 細 ハンドシェークでは(デフォルトで)クラスタ・メンバ 間 で 情 報 を 交 換 します。この 情 報 には、バージョン<br />
情 報 、インストールされているチェック・ポイント 製 品 に 関 する 情 報 が 含 まれており、 現 在 アクティブな VPN カーネル・<br />
テーブルに 関 する 情 報 を 含 めることもできます。 詳 細 ハンドシェークは、 後 の 完 全 同 期 で 行 われるカーネル・テーブ<br />
ル 情 報 の 交 換 とは 関 係 ありません。<br />
すべてのクラスタ・メンバが、 同 じチェック・ポイント 製 品 とバージョンをインストールする 必 要 があります。 異 なる 製 品<br />
がクラスタ・メンバにインストールされている 場 合 には、 詳 細 ハンドシェークによって 特 定 されます。 異 なる 製 品 がイン<br />
ストールされている 場 合 、コンソールへの 警 告 とログ・メッセージが 発 行 されます。<br />
下 位 互 換 性 をサポートするために、 以 下 のゲートウェイ 設 定 パラメータを 使 用 して 詳 細 ハンドシェークの 動 作 を 変 更<br />
できます。これらのパラメータの 編 集 方 法 については、89ページの「 高 度 なクラスタ 設 定 」を 参 照 してください。<br />
<br />
<br />
<br />
fw_sync_no_ld_trans はデフォルトで 1 の 値 を 持 ちます。 完 全 同 期 プロセスの 最 初 の 段 階 でメンバ 間 で<br />
カーネル・テーブル 情 報 を 交 換 するには、0 に 設 定 します。<br />
fw_sync_no_conn_trans はデフォルトで 0 の 値 を 持 ちます。 完 全 同 期 プロセスの 最 初 の 段 階 で、メンバ<br />
間 でインストール 製 品 の 情 報 を 交 換 しない 場 合 は、1 に 設 定 します。<br />
fw_sync_fcu_ver_check はデフォルトで 1 の 値 を 持 ちます。<strong>R75.40VS</strong> に 定 める 要 件 を 満 たしていない<br />
バージョンへの 完 全 接 続 性 アップグレードを 許 可 する 場 合 は、0 に 設 定 します(『Installation and<br />
Upgrade Guide』(http://supportcontent.checkpoint.com/solutions?id=sk76540)を 参 照 )。<br />
Disconnected インタフェースの 定 義<br />
Disconnected インタフェースとは、<strong>ClusterXL</strong> メカニズムによる 監 視 を 行 わないクラスタ・メンバ・インタフェース<br />
です。<br />
インタフェースが 長 時 間 ダウンしている 場 合 、ダウンしているインタフェースを Disconnected インタフェースとして 定<br />
義 することにより、クラスタ・メンバをアクティブに 保 つことができます。<br />
以 下 に 示 すプロセスは、[Topology]ページから 非 監 視 対 象 インタフェースを 定 義 する 方 法 と 同 じです。ただし、GUI<br />
による 方 法 は IP アドレスを 定 義 したインタフェースのみに 使 用 できます。<br />
Unix での Disconnected インタフェースの 定 義<br />
$FWDIR/conf/discntd.if の 下 にファイルを 作 成 し、<strong>ClusterXL</strong> で 監 視 しないインタフェースの 名 前 を 1 行 に 1<br />
つずつ 書 き 込 みます。<br />
Windows での Disconnected インタフェースの 定 義<br />
1. regedt32 レジストリ・エディタを 開 きます。regedit は 使 用 しないでください。<br />
2. HKEY_LOCAL_MACHINES\System\CurrentControlSet\Services\CPHA に 以 下 の 新 しい 値 を 作 成 します。<br />
Value Name :DisconnectedInterfaces<br />
Data Type :REG_MULTI_SZ<br />
3. インタフェース 名 を 追 加 します。インタフェース・システム 名 を 取 得 するには、 以 下 のコマンドを 実 行 します。<br />
fw getifs<br />
4. 次 の 書 式 を 使 用 して、 切 断 されたインタフェースのリストにこの 名 前 を 追 加 します。<br />
\device\<br />
5. cphastop、cphastart と 実 行 して、 変 更 を 適 用 します。<br />
ポリシー 更 新 タイムアウトの 設 定<br />
ポリシーがゲートウェイ・クラスタにインストールされている 場 合 、クラスタ・メンバはネゴシエーション・プロセスを 実<br />
行 してすべてのクラスタ・メンバが 同 じポリシーを 受 け 取 ったことを 確 認 してから、ポリシーを 実 際 に 適 用 します。この<br />
ネゴシエーション・プロセスには、クラスタ・メンバがほかのクラスタ・メンバからの 応 答 を 待 たずに 済 むようにするタイ<br />
ムアウト・メカニズムが 用 意 されています。このメカニズムは、たとえばポリシーのインストール 中 に 別 のクラスタ・メ<br />
ンバがダウンしている 場 合 などに 役 立 ちます。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 93
ポリシーのインストールに 長 時 間 かかる 構 成 ( 通 常 多 くのルールがポリシーに 含 まれているため)、3 つ 以 上 のマシ<br />
ンから 成 るクラスタ、および 速 度 の 遅 いマシンでは、このタイムアウト・メカニズムは 早 めに 時 間 切 れになる 場 合 があ<br />
ります。<br />
タイムアウトは、 以 下 のパラメータを 設 定 して 調 整 できます。<br />
fwha_policy_update_timeout_factor。<br />
デフォルト 値 は 1 で、ほとんどの 構 成 はこれで 充 分 です。 上 記 のような 状 況 が 発 生 する 構 成 の 場 合 には、この<br />
パラメータを 2 に 設 定 して 対 応 できます。このパラメータを 4 以 上 に 設 定 しないでください。<br />
TCP3 ウェイ・ハンドシェーク 実 施 の 強 化<br />
標 準 的 な 3 ウェイ・ハンドシェークを 実 施 して TCP 接 続 を 開 始 すると、 単 方 向 の 対 称 性 を 保 証 され、 適 切 な 安 全 性 が<br />
確 保 されます。この 方 法 では、SYN のあとで 必 ず SYN-ACK が 到 達 することが 保 証 されます。ただし、SYN-ACK の<br />
あとで 必 ず ACK が 到 達 すること、および ACK のあとで 必 ず 最 初 のデータ・パケットが 到 達 することは 保 証 されませ<br />
ん。<br />
特 に 厳 格 なポリシーを 実 施 してすべての out-of-state パケットを 拒 否 する 場 合 は、すべての TCP 接 続 開 始 パケット<br />
が 正 しいシーケンス(SYN、SYN-ACK、ACK、データの 順 )で 到 達 するように 同 期 メカニズムを 設 定 できます。この<br />
特 別 なセキュリティを 無 視 すると、 接 続 確 立 に 著 しい 遅 延 が 生 じます。.<br />
実 施 強 化 を 設 定 するには、データベース・ツールを 使 って、sync_tcp_handshake_mode プロパティを<br />
minimal_sync(デフォルト 値 )から complete_sync に 変 更 します。<br />
異 なるサブネット 上 のクラスタ・アドレスの 設 定<br />
異 なるサブネット 上 のクラスタ・アドレスについて<br />
クラスタ IP は <strong>ClusterXL</strong> オブジェクトに 割 り 当 てる 仮 想 IP アドレスであり、 個 々のクラスタ・メンバ・マシンの 固 有 IP<br />
アドレスとは 異 なります。これらのアドレスを 使 用 するとクラスタが 単 一 のゲートウェイと 見 なされるため、クラスタは<br />
ネットワーク 上 のルータとしてクラスタ 自 身 の 内 部 構 造 や 状 態 を 意 識 せずに 動 作 できるようになります。<br />
従 来 は、クラスタ IP アドレスをクラスタ・メンバの 固 有 アドレスが 使 用 しているサブネットと 同 じサブネットに 設 定 する<br />
必 要 がありました。クラスタ IP は、メンバのサブネットと 異 なるサブネットに 置 くことができます。 この 機 能 の 利 点 は<br />
以 下 のとおりです。<br />
<br />
<br />
ネットワーク 内 の 設 定 済 み 単 一 マシン・ゲートウェイを 複 数 マシン・クラスタで 置 き 換 える 際 に、クラスタ・メ<br />
ンバ 用 に 新 しいアドレスを 追 加 で 割 り 当 てる 必 要 がない。<br />
<strong>ClusterXL</strong> ゲートウェイ・クラスタに 対 してルーティング 可 能 なアドレスを 1 つだけ 使 用 できる。<br />
注 - この 機 能 は、<strong>ClusterXL</strong> ゲートウェイ・クラスタに 対 してのみサポートされています。<br />
OPSEC 認 定 クラスタの 詳 細 については、ベンダーのマニュアルを 参 照 してください。<br />
この 新 機 能 の 重 要 な 点 は、クラスタ・メンバから 送 信 されたパケットが(メンバ 間 をルーティングされるパケットとは 異<br />
なり)クラスタ IP アドレスとクラスタ MAC アドレスの 背 後 に 隠 されることです。クラスタ MAC は 以 下 のとおりです。<br />
<br />
<br />
<br />
HA New モードの 場 合 はアクティブ・マシンの MAC<br />
負 荷 共 有 マルチキャスト・モードの 場 合 はマルチキャスト MAC<br />
負 荷 共 有 ユニキャスト・モードの 場 合 はピボット・メンバ MAC<br />
この 機 能 を 使 用 すると、メンバは 周 辺 のネットワークと 通 信 できるようになりますが、いくつか 制 約 もあります。96ペ<br />
ージの「 異 なるサブネット 上 のクラスタ・アドレスの 制 限 事 項 」を 参 照 してください。<br />
異 なるサブネット 上 のクラスタ・アドレスの 設 定<br />
<strong>ClusterXL</strong> が 異 なるサブネット 上 に 置 かれたクラスタ IP を 使 用 して 正 しく 動 作 するためには、2 つの 主 要 なステップを<br />
実 行 する 必 要 があります。<br />
94 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
最 初 のステップは、 各 クラスタ・メンバにおいてクラスタ・ネットワーク(クラスタ IP が 属 するサブネット)に 対 するスタテ<br />
ィック・ルートを 作 成 することです。このルートにより、クラスタ・ネットワークに 接 続 されるインタフェースが 決 定 されま<br />
す。これらのエントリが 作 成 されない 限 り、OS はクラスタ・ネットワークを 宛 先 とするパケットをルーティングできませ<br />
ん。クラスタ・メンバにアドレスを 追 加 する 必 要 はありません。ただし、メンバに 割 り 当 てられている 固 有 の IP がクラス<br />
タのそれぞれの「 側 」で 共 通 のサブネットを 共 有 する 必 要 があることに 注 意 してください(つまり、 各 マシンの 各 インタ<br />
フェースは 同 じサブネットを 使 用 するマシン 相 互 間 でインタフェースを 持 つ 必 要 があります)。<br />
2 つ 目 のステップは、クラスタ・トポロジの 設 定 に 関 係 します。クラスタ IP はクラスタ・トポロジで 決 定 され、クラスタ・メ<br />
ンバのインタフェースに 関 連 付 けられます( 各 メンバは 各 クラスタ IP に 対 応 するインタフェースを 持 つ 必 要 がありま<br />
す)。 通 常 クラスタ IP は 共 通 のサブネットに 基 づいてインタフェースに 関 連 付 けられます。この 場 合 、これらのサブ<br />
ネットは 同 じではありません。どのメンバ・サブネットをクラスタ IP に 関 連 付 けるかを 明 示 的 に 指 定 する 必 要 があ<br />
ります。<br />
メンバ・ネットワークを 指 定 するには<br />
1. [Gateway Cluster Properties]ウィンドウで[Topology]を 選 択 します。<br />
2. [Edit Topology]をクリックします。<br />
3. [Edit Topology]ウィンドウで、 適 切 なメンバ・インタフェース・フィールドに 手 動 で IP アドレスとサブネットを 入 力<br />
します。<br />
このインタフェースは、 実 際 にはクラスタ・トポロジでの 決 定 に 従 ってクラスタの 仮 想 IP アドレスを 参 照 します。<br />
異 なるサブネット 上 のクラスタ・アドレスの 例<br />
この 例 では、ネットワーク 172.16.6.0(「A」 側 )とネットワーク 172.16.4.0(「B」 側 )を 分 離 している 単 一 ゲートウェイ・<br />
ファイアウォールが <strong>ClusterXL</strong> クラスタで 置 き 換 えられます。ただし、クラスタ・メンバはネットワーク 192.168.1.0 を<br />
「A」 側 に、ネットワーク 192.168.2.0 を「B」 側 に、ネットワーク 192.168.3.0 を 同 期 ネットワークにそれぞれ 使 用 してい<br />
ます(この 例 で 示 されているネットワーク・アドレスはすべてクラス「C」です)。 斜 体 のアドレスはクラスタ IP アドレスで<br />
す。この 設 定 を 次 に 示 します。<br />
メンバに 対 するスタティック・ルートの 設 定<br />
各 メンバには 以 下 の 2 つのスタティック・ルートを 設 定 する 必 要 があります。<br />
<br />
<br />
IP アドレス 192.168.1.x をネットワーク 172.16.6.0 に 対 するゲートウェイとして 設 定 するルート<br />
IP アドレス 192.168.2.x をネットワーク 172.16.4.0 に 対 するゲートウェイとして 設 定 するルート。<br />
SecurePlatform でスタティック・ルートを 設 定 するには、コマンド・プロンプトで sysconfig を 実 行 し、[Routing]→<br />
[Add New Network Route]を 選 択 して 画 面 の 指 示 に 従 います。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 95
SmartDashboard でのクラスタ IP アドレスの 設 定<br />
クラスタ・インタフェースの IP アドレスを 設 定 するには<br />
1. ゲートウェイ・クラスタ・オブジェクトの[Topology]→[Edit Topology]ウィンドウで、クラスタ・インタフェースを 編<br />
集 して、[Interface Properties]ウィンドウを 開 きます。<br />
2. クラスタ・インタフェースごとに[Interface Properties]ウィンドウで 以 下 の 表 に 従 って 設 定 します。<br />
<strong>ClusterXL</strong> の[Topology]→[Interface Properties]ウィンドウの 設 定 例<br />
クラスタ・インタフェース A<br />
IP アドレス<br />
クラスタ・インタフェース B<br />
IP アドレス<br />
[General]タブ 172.16.6.100 172.16.4.100<br />
[Member Network]タブ 192.168.1.0 192.168.2.0<br />
<br />
すべての IP アドレスがネットマスク 255.255.255.0 を 持 ちます。<br />
注 - 同 期 ネットワークに 対 してはクラスタ IP アドレスを 定 義 しないでください。 同 期 インタ<br />
フェースは、ゲートウェイ・クラスタ・オブジェクトの[Edit Topology]ページでも 定 義 されます。<br />
異 なるサブネット 上 のクラスタ・アドレスの 制 限 事 項<br />
この 新 しい 機 能 は、まだ <strong>ClusterXL</strong> のすべての 機 能 はサポートしていません。 機 能 によっては 正 常 に 動 作 するため<br />
に 追 加 設 定 が 必 要 です。 一 部 の 機 能 についてはサポートしていません。<br />
クラスタ・メンバ 間 の 接 続 性<br />
クラスタ・メンバが 発 行 した ARP 要 求 はクラスタ IP とクラスタ MAC の 背 後 に 隠 されるため、1 つのクラスタ・メンバか<br />
らほかのメンバに 送 信 された 要 求 が 宛 先 マシンから 無 視 される 場 合 があります。クラスタ・メンバが 相 互 に 通 信 でき<br />
るようにするには、 各 クラスタ・メンバに 対 してスタティック ARP を 設 定 してクラスタ 内 のほかのすべてのマシンの<br />
MAC アドレスを 記 述 する 必 要 があります。メンバ 間 で 送 信 される IP パケットは 変 更 されないので、ルーティング・<br />
テーブルは 変 更 しないでください。<br />
注 - クラスタ 同 期 プロトコルは ARP を 使 用 しないため、マシンがクラスタとして 正 しく 動 作 する<br />
ためにスタティック ARP は 必 要 ありません。<br />
「 部 分 的 にサポートする」ハードウェアによる 負 荷 共 有 マルチキャスト・モード<br />
すべてのタイプのネットワーク・ハードウェアがマルチキャスト MAC アドレスで 動 作 するわけではありませんが、ルー<br />
タによってはマルチキャスト MAC アドレスを 含 む ARP 応 答 を 処 理 することはできないがパケットを 通 過 させることは<br />
できるものがあります。 負 荷 共 有 マルチキャスト・モードを 部 分 的 にサポートしているルータでは、ルータの 内 部 テー<br />
ブルにクラスタ MAC をスタティック ARP エントリとして 設 定 してクラスタと 通 信 させることが 可 能 です。<br />
クラスタ IP に 対 して 別 々のサブネットが 使 用 されている 場 合 、 各 クラスタ・メンバ 上 でルータの MAC を 含 むスタティッ<br />
ク ARP エントリを 設 定 する 必 要 があります。この 種 のルータはマルチキャスト 発 信 元 MAC を 含 む ARP 要 求 に 応 答<br />
しないため、この 設 定 が 必 要 になります。マルチキャスト MAC アドレスを 完 全 にサポートしているルータを 使 用 する<br />
場 合 は、この 特 別 な 手 順 は 不 要 です。<br />
96 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
手 動 プロキシ ARP<br />
スタティック NAT を 使 用 する 場 合 、クラスタが 自 分 の 背 後 に 隠 されているホストを 自 動 的 に 認 識 し、クラスタ MAC ア<br />
ドレスを 使 用 して ARP 応 答 をホストの 代 わりに 発 行 するように 設 定 できます。このプロセスは「 自 動 プロキシ ARP」<br />
と 呼 ばれます。<br />
ただし、クラスタ IP アドレスに 対 して 別 々のサブネットを 使 用 している 場 合 はこのメカニズムが 働 かないため、 手 作 業<br />
でプロキシ ARP を 設 定 する 必 要 があります。このためには、SmartDashboard で[Policy]メニュー→[Global<br />
Properties]→[NAT Network Address Translation]→[Automatic ARP Configuration]を 無 効 にします。 次<br />
に、ファイアウォールの 設 定 ディレクトリ($FWDIR/conf)に「$FWDIR/conflocal.arp」という 名 前 のファイルを 作 成 し<br />
ます。<br />
このファイルの 各 エントリには 以 下 の 3 項 目 が 含 まれます。<br />
<br />
<br />
<br />
公 開 されるホスト・アドレス<br />
IP アドレスに 関 連 付 ける 必 要 のある MAC アドレス<br />
ARP 要 求 に 応 答 するインタフェースの 固 有 の IP<br />
使 用 する MAC アドレスは、 負 荷 共 有 マルチキャスト・モードを 使 用 する 場 合 は 応 答 するインタフェースに 定 義 したク<br />
ラスタのマルチキャスト MAC です。ほかのすべてのモードでは 応 答 するインタフェースの 固 有 の IP です。<br />
たとえば、ホスト 172.16.4.3 がアドレス 172.16.6.25 を 使 用 して 隠 され、かつクラスタが 負 荷 共 有 マルチキャスト・<br />
モードである 場 合 、メンバ 1 の local.arp ファイルに 以 下 の 行 を 追 加 する 必 要 があります。<br />
172.16.6.25 00:01:5e:10:06:64 192.168.1.1<br />
この 行 の 2 つ 目 のパラメータがクラスタ IP172.16.6.100 のマルチキャスト MAC アドレスであり、172.16.6.25 に 対 す<br />
る ARP 要 求 はこのアドレスを 介 して 受 信 されます。メンバ 2 上 では、この 行 は 以 下 のようになります。<br />
172.16.6.25 00:01:5e:10:06:64 192.168.10.2<br />
クラスタが 負 荷 共 有 ユニキャスト・モードまたは HA モードである 場 合 、メンバ 1 とメンバ 2 のエントリは 以 下 のように<br />
なります。<br />
172.16.6.25 00:A0:C9:E8:C7:7F 192.168.1.1<br />
および<br />
172.16.6.25 00:A0:C9:E8:CB:3D 192.168.1.2<br />
ここで、 各 行 の 2 つ 目 のエントリは 一 致 するローカル・インタフェースの 固 有 の MAC アドレスです。<br />
クラスタ・ネットワークからクラスタ・メンバへの 接 続<br />
固 有 の IP は 任 意 に 選 択 できるため、これらのアドレスにクラスタ IP のサブネットからアクセスできる 保 証 はありませ<br />
ん。 固 有 の IP を 使 用 してメンバにアクセスできるようにするには、アクセスするマシン 上 でクラスタ IP がその 固 有 の<br />
IP のサブネットに 対 するゲートウェイとなるようなルートを 設 定 する 必 要 があります。 上 記 の 例 では、172.16.6.100<br />
をサブネット 192.168.1.0 に 対 するゲートウェイにする 必 要 があります。<br />
SecurePlatform のデフォルト・ゲートウェイ<br />
[sysconfig]→[routing]→[add network route]→[add the routable network with its subnet]を 実 行 し、この 方<br />
向 の 適 切 な 物 理 インタフェースを 選 択 します。<br />
次 に[routing]→[add default gateway]を 実 行 し、デフォルト(ルーティグ 可 能 な)・ゲートウェイの IP アドレスを 追 加<br />
します。これは 通 常 ルータの 外 部 IP アドレスで、クラスタ IP のいずれかのサブネット 内 にあります。<br />
1 つ 以 上 のインタフェース 上 で 設 定 された、 異 なったサブネット 機 能 を 持 っている 場 合 は、それらすべてのインタ<br />
フェースにネットワーク・アドレス( 上 記 の 通 り)の 追 加 を 繰 り 返 します。(ほかのサブネットにデフォルト・ゲートウェイ<br />
を 定 義 する 必 要 はありません)<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 97
アンチスプーフィング<br />
別 々のサブネット 機 能 を 外 部 インタフェース 以 外 のインタフェースに 設 定 してある 場 合 は、[Cluster Topology]タブ<br />
のクラスタ IP に、クラスタ・インタフェースの [Interface Properties]ウィンドウの[Topology]タブで[Network<br />
defined by interface IP and Net Mask] 定 義 を 行 わないでください。ルーティング 可 能 ネットワークとルーティング 不<br />
可 のネットワークの 両 方 を 含 むネットワークのグループを 加 えて、このインタフェース 用 のアンチスプーフィングをこ<br />
の 新 しいグループと 共 に、「specific:」ネットワークとして 定 義 する 必 要 があります。<br />
単 一 ゲートウェイから <strong>ClusterXL</strong> クラスタへの 移 行<br />
ここでは、 新 しいゲートウェイ(マシン「B」)をスタンドアロンの Security Gateway(マシン「A」)に 追 加 してクラスタを<br />
作 成 する 手 順 について 説 明 します。<br />
前 提 条 件 として、 新 しいクラスタ・メンバの 数 と 同 じ 数 の IP アドレスが 使 用 可 能 である 必 要 があります。IP アドレスが<br />
足 りない 場 合 は、「 異 なるサブネット 上 のクラスタ・アドレスの 設 定 」を 参 照 してください。<br />
単 一 ゲートウェイ・マシンの 設 定<br />
単 一 ゲートウェイで Security Management サーバとゲートウェイに 同 じマシンが 使 用 されている 場 合 には、 以 下 の<br />
手 順 に 従 います。<br />
1. Security Management サーバをゲートウェイから 切 り 離 してそれらを 2 つのマシンに 配 置 します。<br />
2. 切 り 離 したゲートウェイ(マシン「A」)で SIC を 初 期 化 します。<br />
マシン「B」の 設 定<br />
1. マシン「A」で 策 定 する 予 定 のクラスタ・インタフェースと 同 期 インタフェースのそれぞれについて、 対 応 するインタ<br />
フェースをマシン「B」で 同 じサブネットを 使 用 して 定 義 します。 別 のサブネットにメンバが 存 在 する 場 合 は、「 異 な<br />
るサブネット 上 のクラスタ・アドレスの 設 定 」を 参 照 してください。<br />
2. マシンに Security Gateway をインストールします。インストール 時 に <strong>ClusterXL</strong> を 有 効 にする 必 要 があります。<br />
マシン「B」に 対 する SmartDashboard での 設 定<br />
1. <strong>ClusterXL</strong> オブジェクトを 作 成 します。<br />
2. [Cluster Members]ページで[Add]をクリックし、[New Cluster Member]を 選 択 します。<br />
3. マシン「B」に 接 続 してトポロジを 定 義 します。<br />
4. クラスタの 同 期 ネットワークを 定 義 します。<br />
5. クラスタ・トポロジを 定 義 します。ネットワーク・デバイスの 再 設 定 を 避 けるためには、クラスタ IP アドレスをマシン<br />
「A」で 策 定 する 予 定 のクラスタ・インタフェースのアドレスと 同 じにします。<br />
6. ポリシーを( 現 在 はメンバ「B」のみを 含 む)クラスタにインストールします。<br />
マシン「A」の 設 定<br />
1. 策 定 する 予 定 のすべてのクラスタ・インタフェースと 同 期 インタフェースを 切 り 離 します。 新 しい 接 続 はマシン「A」<br />
からではなくクラスタから 開 設 されるようになります。<br />
2. 切 り 離 したインタフェースのアドレスを、マシン B と 同 じサブネット 上 のほかの 固 有 の IP アドレスに 変 更 します。<br />
3. 同 一 サブネット 上 にある 各 インタフェース・ペアを 専 用 ネットワークを 使 用 して 接 続 します。 前 に 単 一 ゲートウェイ<br />
に 接 続 されていたすべてのホストまたはゲートウェイを、 今 度 はハブ/スイッチを 使 用 して 両 方 のマシンに 接 続 す<br />
る 必 要 があります。<br />
注 - WAN を 介 して 同 期 を 実 行 できます。 詳 細 は、15ページの「WAN を 介 したクラスタの 同<br />
期 」を 参 照 してください。<br />
98 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
マシン「A」に 対 する SmartDashboard での 設 定<br />
1. 手 作 業 で、または[Get Topology]をクリックして、ゲートウェイ A のトポロジを 更 新 します。<br />
管 理 インタフェースの IP アドレスが 変 更 されている 場 合 は、Get Topology アクションが 失 敗 します。この 場 合 、<br />
ゲートウェイ・オブジェクトのメイン IP アドレスを 手 作 業 で 変 更 して、トポロジの 自 動 取 得 を 行 う 前 にポリシーを 保<br />
存 します。<br />
2. [Cluster Members]ページで[Add]をクリックし、[Add Gateway to Cluster]を 選 択 します。<br />
3. ウィンドウでマシン「A」を 選 択 します。<br />
4. [Edit Topology]ページを 開 き、どのインタフェースをクラスタ・インタフェース、 内 部 インタフェース、 外 部 インタ<br />
フェースにするかを 決 定 します。<br />
5. ポリシーをクラスタにインストールします。<br />
既 存 クラスタへの 別 メンバの 追 加<br />
1. クラスタ・メンバで cpconfig を 実 行 して <strong>ClusterXL</strong> を 有 効 にします。<br />
2. 新 しいクラスタ・メンバの IP アドレスを 正 しいトポロジに 合 わせて(クラスタリング・ソリューションに 従 って 共 有 IP<br />
アドレスまたは 固 有 IP アドレスに) 変 更 します。<br />
3. 必 要 なすべてのチェック・ポイント 製 品 が 新 しいクラスタ・メンバにインストールされたことを 確 認 します。<br />
4. ゲートウェイ・クラスタ・オブジェクトの[Cluster Members]ページで 適 切 なプロパティを 使 用 して 新 しいクラスタ・<br />
メンバを 作 成 する( 新 しい Security Gateway マシンの 場 合 )か、 既 存 のゲートウェイをクラスタ・メンバに 変 換 し<br />
ます。<br />
5. 新 しい Security Gateway マシンの 場 合 は SIC が 初 期 化 されていることを 確 認 します。[Edit Topology]ページ<br />
でトポロジが 正 しく 定 義 されていることを 確 認 します。<br />
6. [Cluster Mode]が[Load Sharing]または[New HA]の 場 合 、 新 しいクラスタ・メンバの 該 当 するインタフェース<br />
が[Cluster Interfaces]として 設 定 されていることを 確 認 します。<br />
7. セキュリティ・ポリシーをクラスタにインストールします。<br />
8. これで 新 しいメンバがクラスタの 一 部 になります。<br />
クラスタの ISP 冗 長 性 の 設 定<br />
<strong>ClusterXL</strong> ゲートウェイ・クラスタがある 場 合 には、2 つのインタフェースを 使 用 して LAN 経 由 で 各 クラスタ・メンバを<br />
両 方 の ISP と 接 続 します。クラスタ 固 有 の 設 定 を 以 下 に 示 します。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 99
メンバ・インタフェースは、クラスタの 外 部 インタフェースと 同 じサブネット 上 にある 必 要 があります。<strong>ClusterXL</strong> を 通 常<br />
の 方 法 で 設 定 します。<br />
クラスタ 構 成 でのダイナミック・ルーティング・プロトコルの 有 効 化<br />
<strong>ClusterXL</strong> は、SecurePlatform の 一 部 としてダイナミック・ルーティング(ユニキャストおよびマルチキャスト)・プロト<br />
コルをサポートしています。ネットワーク・インフラストラクチャはクラスタ・ゲートウェイを 1 つの 論 理 エンティティと 見<br />
なすため、クラスタ・メンバの 障 害 はネットワーク・インフラストラクチャには 透 過 的 で、それ 以 上 の 影 響 はありま<br />
せん。<br />
システムのコンポーネント<br />
仮 想 IP の 統 合<br />
すべてのクラスタ・メンバかクラスタ IP アドレスを 使 用 します。<br />
ルーティング・テーブル 同 期<br />
ルーティング 情 報 は、 転 送 情 報 ベース(FIB)マネージャ・プロセスを 使 用 してクラスタ・メンバ 間 で 同 期 されます。ル<br />
ーティング 情 報 の 同 期 はフェイルオーバーの 際 にトラフィックの 中 断 を 防 ぐために 行 われ、 負 荷 共 有 モードおよび<br />
HA モードで 使 用 されます。FIB マネージャがルーティング 情 報 を 処 理 します。<br />
FIB マネージャは、クリティカル・デバイス(Pnote)として 登 録 されています。スレーブが 非 同 期 状 態 になると Pnote<br />
が 発 行 され、スレーブ・メンバは FIB マネージャが 同 期 されるまでダウンします。<br />
100 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
障 害 からの 復 旧<br />
<strong>ClusterXL</strong> のダイナミック・ルーティングは、ルータがメンテナンス・モードを 抜 け 出 したことを 隣 接 するルータに 通 知<br />
してフェイルオーバーへの 影 響 を 防 ぎます。 隣 接 するルータは、ネットワーク 内 のほかのルータに 通 知 せずにクラス<br />
タとの 関 係 を 確 立 し 直 します。これらの 再 起 動 プロトコルは、あらゆる 主 要 ネットワーキング・ベンダーで 幅 広 く 採 用 さ<br />
れています。 以 下 の 表 に、チェック・ポイントのダイナミック・ルーティングに 準 拠 した RFC とドラフトを 示 します。<br />
準 拠 するプロトコル<br />
プロトコル<br />
OSPF LLS<br />
RFC またはドラフト<br />
draft-ietf-ospf-lls-00<br />
OSPF Graceful RFC 3623<br />
BGP Graceful<br />
draft-ietf-idr-restart-08<br />
<strong>ClusterXL</strong> のダイナミック・ルーティング<br />
上 記 のコンポーネントは「バックグランドで」 機 能 します。<strong>ClusterXL</strong> でダイナミック・ルーティングを 設 定 する 場 合 、<br />
ルーティング・プロトコルは 単 一 デバイスの 場 合 のようにクラスタに 自 動 的 に 関 連 付 けられます。<br />
各 クラスタ・メンバでルーティング・プロトコルを 設 定 する 場 合 、 各 メンバは 全 く 同 じに 定 義 され、(メンバの 物 理 IP アド<br />
レスではなく)クラスタ IP アドレスを 使 用 します。OSPF の 場 合 、 各 クラスタ・メンバでルータ ID を 全 く 同 じに 定 義 する<br />
必 要 があります。OSPF の 再 起 動 を 設 定 する 場 合 には、 再 起 動 タイプを signaled または graceful として 定 義 する 必<br />
要 があります。Cisco デバイスの 場 合 は、signaled タイプを 使 用 してください。<br />
SecurePlatform のコマンドライン・インタフェースを 使 用 して、それぞれのクラスタ・メンバを 設 定 します。<br />
クラスタ・メンバ A での OSPF の 有 効 化<br />
--------- Launch the Dynamic Routing Module<br />
[Expert@GWa]# router<br />
localhost>enable<br />
localhost#configure terminal<br />
--------- Enable OSPF and provide an OSPF router ID<br />
localhost(config)#router ospf 1<br />
localhost(config-router-ospf)#router-id 192.168.116.10<br />
localhost(config-router-ospf)#restart-type [graceful | signaled]<br />
localhost(config-router-ospf)#redistribute kernel<br />
--------- Define interfaces/IP addresses on which OSPF runs (Use the cluster<br />
IP<br />
address as defined in topology) and the area ID for the interface/IP address<br />
localhost(config-router-ospf)#network 1.1.10.10 0.0.0.0 area 0.0.0.0<br />
localhost(config-router-ospf)#network 1.1.10.20 0.0.0.0 area 0.0.0.0<br />
-------- Exit the Dynamic Routing Module<br />
localhost(config-router-ospf)#exit<br />
localhost(config)#exit<br />
-------- Write configuration to disk<br />
localhost#write memory<br />
IU0 999 Configuration written to '/etc/gated.ami'<br />
各 クラスタ・メンバに 同 じ 設 定 を 適 用 する 必 要 があります。<br />
FIB マネージャはルーティング 情 報 同 期 に TCP 2010 を 使 用 するので、セキュリティ・ポリシーでは TCP 2010 ポート<br />
上 のクラスタ・メンバ 間 のすべてのトラフィックを 受 け 付 ける 必 要 があります。<br />
ダイナミック・ルーティングの 詳 細 情 報 は、『<strong>R75.40VS</strong> Advanced Routing Suite CLI Reference guide』<br />
( http://supportcontent.checkpoint.com/solutions?id=sk76540)を 参 照 してください。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 101
第 9 章<br />
HA Legacy モード<br />
HA Legacy モードについて 102<br />
Legacy モード 構 成 の 例 102<br />
導 入 計 画 時 の 注 意 事 項 103<br />
HA Legacy モードの 設 定 104<br />
HA Legacy モードからの 移 行 ( 簡 易 的 方 法 ) 106<br />
HA Legacy モードからの 移 行 (ダウンタイムを 最 小 限 にする 方 法 ) 107<br />
HA Legacy モードについて<br />
HA Legacy モードでは、すべてのクラスタ・メンバが 同 一 の IP アドレスと MAC アドレスを 共 有 します。 共 有 インタ<br />
フェースとは、ほかのインタフェースと 同 一 の MAC アドレスおよび IP アドレスを 持 つインタフェースです。<br />
このモードを 使 用 する 利 点 は、 単 一 ゲートウェイ 構 成 から HA クラスタへ 移 行 する 際 、IP アドレスやルーティングを 変<br />
更 する 必 要 がないことです。また、どのスイッチまたはハブを 使 用 してインタフェースを 接 続 しても 構 いません。ただ<br />
しこのモードの 設 定 は 複 雑 であるため、 正 しく 設 定 するためには 正 確 な 手 順 に 従 う 必 要 があります。Security<br />
Management サーバをクラスタ 同 期 ネットワーク、または 管 理 専 用 ネットワークに 接 続 させる 必 要 があります。<br />
Legacy モード 構 成 の 例<br />
この 例 では 代 表 的 な HA Legacy モード 構 成 を 示 します。この 図 では、 物 理 的 なクラスタ・トポロジと 必 要 な<br />
SmartDashboard 設 定 との 関 係 を 示 しています。Member_A(プライマリ)、Member_B(セカンダリ)という 2 つのク<br />
ラスタ・メンバがあり、それぞれ 3 つのインタフェースを 持 っています。これらのインタフェースは、 同 期 、 外 部 共 有 イン<br />
タフェース、および 内 部 共 有 インタフェースに 使 用 されます。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 102
共 有 インタフェースの IP アドレスと MAC アドレスの 設 定<br />
HA Legacy モードでは、 同 じネットワーク( 内 部 、 外 部 、DMZ など)に 接 続 されたメンバ・インタフェースで 同 じ IP アド<br />
レスと MAC アドレスが 使 われます。 各 クラスタ・メンバ 上 の 各 共 有 インタフェースは、ハブやスイッチを 介 して 適 切 な<br />
ネットワークに 接 続 されます。<br />
いつの 時 点 でも 1 つのクラスタ・メンバだけがアクティブであるため、 常 に 1 つのメンバの 共 有 インタフェースだけが<br />
外 部 から 透 過 的 です。<br />
上 の 図 で、 外 部 インタフェース(インターネット 側 )は Member_A と Member_B の 両 方 で IP アドレス 192.168.0.1<br />
を 持 ち、 内 部 インタフェース(ローカル・ネットワーク 側 )は Member_A と Member_B の 両 方 で IP アドレス<br />
172.20.10.1 を 持 っています。<br />
同 期 インタフェース<br />
クラスタ・メンバのステート 同 期 により、フェイルオーバーが 発 生 しても 障 害 の 発 生 したマシンで 処 理 されていた 接 続<br />
は 維 持 されます。 同 期 ネットワークは、クラスタ・メンバ 間 で 接 続 同 期 情 報 とその 他 の 状 態 情 報 を 受 け 渡 すために<br />
使 用 されます。つまり、このネットワークは 組 織 の 最 も 重 要 なセキュリティ・ポリシー 情 報 を 送 信 するため、ネットワー<br />
クを 安 全 に 保 護 する 必 要 があります。バックアップのために 複 数 の 同 期 ネットワークを 定 義 できます。<br />
同 期 インタフェースを 保 護 するためにはクロスケーブルで 直 接 接 続 するか、3 つ 以 上 のクラスタ・メンバの 場 合 には<br />
専 用 ハブ、スイッチ、または VLAN を 使 用 して 接 続 する 必 要 があります。<br />
HA クラスタ・メンバは 同 期 させる 必 要 はありませんが、 同 期 していない 場 合 はフェイルオーバー 時 に 接 続 が 失 われ<br />
ます。<br />
導 入 計 画 時 の 注 意 事 項<br />
IP アドレスの 移 行<br />
Legacy モードの 構 成 では、 既 存 のスタンドアロン・ゲートウェイ 設 定 から HA クラスタへの 移 行 が 簡 単 に 行 えます。こ<br />
の 場 合 、できればスタンドアロン Security Gatewayに 既 存 のインタフェース IPアドレスをクラスタ・アドレスとして 割 り<br />
当 てることをお 勧 めします。これにより、 現 在 の IPSec エンドポイント 識 別 を 変 更 せずに 済 み、 多 くの 場 合 Hide NAT<br />
設 定 もそのまま 維 持 できます。<br />
Security Management サーバの 場 所<br />
Security Management サーバはセキュリティ・ポリシーをすべてのクラスタ・メンバにダウンロードします。Security<br />
Management サーバは、メンバ 共 有 のインタフェースへ 接 続 するネットワークには 接 続 できません。これは、これら<br />
のインタフェースに 同 じ IP アドレスと MAC アドレスが 設 定 されているためです。<br />
Security Management サーバはクラスタ 同 期 ネットワーク、または 管 理 専 用 のネットワークに 接 続 する 必 要 があり<br />
ます。これは、メンバには 固 有 の IP アドレスが 使 われるためです。<br />
ルーティングの 設 定<br />
外 部 ネットワークおよび 内 部 ネットワークがお 互 いにルーティングできるようにルーティングを 設 定 します。<br />
たとえば、ルーティングを 以 下 のように 設 定 します(102ページの「Legacy モード 構 成 の 例 」を 参 照 )。<br />
<br />
<br />
内 部 ネットワークは、172.20.0.1 を 使 用 してデフォルトのゲートウェイとして 定 義 されています。<br />
外 部 ルータは、ネットワーク 172.20.0.1 が 192.168.10.1 を 介 して 接 続 されているように 静 的 ルータとして<br />
設 定 されています。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 103
スイッチ(レイヤ 2 転 送 )に 関 する 注 意 事 項<br />
クラスタ・コントロール・プロトコル(CCP)はレイヤ 2のマルチキャストを 使 用 します。マルチキャスト 規 格 に 従 い、この<br />
マルチキャスト・アドレスは 宛 先 としてのみ 使 用 され、「 安 全 に 保 護 されていない」インタフェースに 送 信 されるすべて<br />
の CCP パケットに 付 加 されます。<br />
安 全 に 保 護 されていないインタフェースに 接 続 されるレイヤ 2 スイッチは、スイッチのポートまたは VLAN 内 部 のポー<br />
ト(VLAN スイッチの 場 合 )にマルチキャスト・パケットを 転 送 可 能 である 必 要 があります。スイッチは、このようなトラ<br />
フィックをすべてのポートまたは 特 定 の VLAN 内 のすべてのポートに 転 送 することもできます。ただし、クラスタ・メン<br />
バに 接 続 されているポートにのみ 転 送 するほうが 効 率 的 です。<br />
ほとんどのスイッチはデフォルトで、マルチキャスト・トラフィックをサポートしています。 詳 細 については、スイッチの<br />
マニュアルを 参 照 してください。<br />
接 続 されているスイッチがマルチキャスト・トラフィックを 転 送 できない 場 合 は、ブロードキャスト・トラフィックを 使 用 す<br />
るように CCP を 変 更 できます。<br />
2 つのモードを 切 り 替 えるには<br />
次 のコマンドを 使 用 します。<br />
'cphaconf set_ccp broadcast/multicast'<br />
HA Legacy モードの 設 定<br />
1. <strong>ClusterXL</strong> の 主 要 ライセンスを 取 得 して、Security Management サーバにインストールします。<br />
2. クラスタ・メンバになる Security Gateway をスイッチやハブから 切 断 します。<br />
3. 各 メンバの 共 有 インタフェースに 同 じ IP アドレスを 割 り 当 てます。MAC アドレス 共 有 によるネットワーク 上 の 競 合<br />
を 避 けるには、 物 理 的 にクラスタ・トポロジにメンバを 接 続 する 前 に、IP アドレスを 定 義 してください。<br />
4. すべてのクラスタ・メンバに <strong>Check</strong> <strong>Point</strong> Security Gateway をインストールして 設 定 します( 同 じバージョンと<br />
ビルド)。『<strong>R75.40VS</strong> Installation and Upgrade Guide』<br />
(http://supportcontent.checkpoint.com/solutions?id=sk76540)を 参 照 してください。<br />
メンバは、 再 起 動 しないでください。<br />
5. 各 メンバをスイッチとハブに 接 続 (または 再 接 続 )します。 適 切 な 物 理 ネットワーク・ポートに 各 インタフェースを 接<br />
続 したことを 確 認 してください。 各 ネットワーク( 内 部 、 外 部 、 同 期 、DMZ など)を 別 々の VLAN、スイッチ、または<br />
ハブに 接 続 します。 特 別 なスイッチ 構 成 は 必 要 ありません。<br />
ルーティングの 設 定<br />
1. クラスタの 内 側 のネットワークとの 通 信 が、クラスタの 外 側 のクラスタ IP アドレスを 使 用 して 行 われるようにルー<br />
ティングを 設 定 します。たとえば、 外 部 ルータはネットワーク 10.255.255.100 が 192.168.10.100 を 通 して 接 続 さ<br />
れているように 静 的 ルータとして 設 定 されています(102ページの「Legacy モード 構 成 の 例 」を 参 照 )。<br />
2. クラスタの 外 側 のネットワークとの 通 信 が、クラスタの 内 側 のクラスタ IP アドレスを 使 用 して 行 われるようにルー<br />
ティングを 設 定 します。たとえば、 内 部 ルータは 10.255.255.100 でデフォルトのゲートウェイとして 設 定 されてい<br />
ます(102ページの「Legacy モード 構 成 の 例 」を 参 照 )。<br />
3. メンバを 再 起 動 します。MAC アドレスの 設 定 は 自 動 的 に 行 われます。<br />
SmartDashboard の 設 定<br />
1. ネットワーク・オブジェクト・ツリーで[<strong>Check</strong> <strong>Point</strong>]を 右 クリックし、[Security Cluster]を 選 択 します。<br />
2. [Security Gateway Cluster Creation]ウィンドウで[Classic Mode]を 選 択 します。<br />
3. [Cluster Members]ページで、[Add]→[New Cluster Member]を 選 択 して、クラスタ・メンバをクラスタに 追 加<br />
します。クラスタ・メンバはゲートウェイ・クラスタ・オブジェクト 内 にのみ 存 在 します。 各 クラスタ・メンバに 対 して 以<br />
下 の 操 作 を 行 います。<br />
104 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
a) [Cluster Members Properties]ウィンドウの[General]タブで、[Name]と[IP Address]を 定 義 します。セ<br />
キュリティ・ポリシーをインストールできるように、Security Management サーバからルーティング 可 能 な IP<br />
アドレスを 選 択 します。 内 部 アドレス、 外 部 アドレス、 専 用 管 理 インタフェースのいずれでも 構 いません。<br />
b) [Communication]をクリックして、SIC(Secure Internal Communication)を 初 期 化 します。<br />
c) 必 要 に 応 じて[NAT]タブと[VPN]タブを 定 義 します。<br />
d) [Cluster Members]ページで[Add]→[Add Gateway to Cluster]を 選 択 し、[Add Gateway to Cluster]<br />
ウィンドウの 一 覧 からゲートウェイを 選 択 して、 既 存 ゲートウェイをクラスタ・メンバとして 追 加 することもでき<br />
ます。<br />
e) クラスタからゲートウェイを 削 除 するには、[Cluster Members]ページで[Remove]ページをクリックして<br />
[Detach Member from Cluster]を 選 択 するか、[Network Objects]ツリーのクラスタ・メンバを 右 クリックし<br />
て[Detach from Cluster]を 選 択 します。<br />
4. [<strong>ClusterXL</strong>]ページで 以 下 を 実 行 します。<br />
<br />
<br />
<br />
<br />
[High Availability Legacy Mode]をオンにします。<br />
[Use State Synchronization]をオン/オフにするかどうかを 選 択 します。このオプションはデフォルトでオン<br />
になっています。このオプションをオフにすると、クラスタ・メンバは 同 期 されなくなり、フェイルオーバーの 発<br />
生 時 に 障 害 が 発 生 したゲートウェイ 上 の 既 存 の 接 続 は 切 断 されます。<br />
[Upon Gateway Recovery]でアクションを 特 定 します( 詳 細 29ページの「ゲートウェイが 復 帰 した 場 合 の 処<br />
理 」を 参 照 )。<br />
Fail-over Tracking 方 法 を 定 義 します。<br />
5. [Topology]ページでクラスタ・メンバ・アドレスを 定 義 します。 仮 想 クラスタ・インタフェースは 定 義 しないでくださ<br />
い。 別 のクラスタ・モードから 変 換 すると、 仮 想 クラスタ・インタフェース 定 義 は 削 除 されます。[Edit Topology]<br />
ウィンドウで 以 下 を 行 います。<br />
<br />
<br />
各 クラスタ・メンバ・インタフェースのトポロジを 定 義 します。メンバ・インタフェースに 対 して 定 義 済 みのすべ<br />
ての 設 定 を 自 動 的 に 読 み 込 むには、[Get all members' topology]をクリックします。<br />
Cluster カラムでドロップダウン・リストからいずれかのオプションを 選 択 して、ネットワークの 目 的 を 定 義 しま<br />
す。 共 有 IP アドレスを 持 つインタフェースは[Monitored Private]ネットワークに 属 するものとして 定 義 し、 各<br />
クラスタ・メンバの 1 つ(または 複 数 の)インタフェースは 同 期 ネットワーク 内 の 同 期 インタフェース([1st<br />
Sync]/[2nd Sync]/[3rd Sync])として 定 義 します。オプションについては、オンライン・ヘルプを 参 照 してく<br />
ださい。 新 しいネットワークを 定 義 するには、[Add Network]をクリックします。<br />
6. 必 要 に 応 じて、ゲートウェイ・クラスタ・オブジェクトのほかのページ([NAT]、[VPN]、[Remote Access]ページ<br />
など)を 定 義 します。<br />
7. セキュリティ・ポリシーをクラスタにインストールします。<br />
8. クラスタ・メンバ 上 の MAC アドレス 設 定 を 有 効 にするには、すべてのクラスタ・メンバを 再 起 動 します。<br />
[General Properties]の 設 定<br />
クラスタの[General Properties]を 設 定 するには<br />
1. 指 定 されたフィールドで、クラスタ・オブジェクトに 固 有 な 名 前 を 入 力 します。<br />
2. メイン・クラスタ IP アドレスを 入 力 します。<br />
3. クラスタにインストールした 製 品 として <strong>ClusterXL</strong> を 選 択 します。<br />
4. <strong>ClusterXL</strong> を 有 効 にし、 必 要 に 応 じてその 他 のネットワーク・セキュリティの Software Blade も 有 効 にします。<br />
クラスタ・メンバの 定 義<br />
クラスタ・メンバを 設 定 するには<br />
1. [Cluster Members]ページで、[Add]→[New Cluster Member]をクリックします。<br />
2. [Cluster Members Properties]ウィンドウの[General]タブで、メンバの[Name]と 物 理 [IP Address](セキュリ<br />
ティ 管 理 サーバからルーティング 可 能 なもの)を 入 力 します。 内 部 アドレス、 外 部 アドレス、 専 用 管 理 インタフェー<br />
スのいずれでも 構 いません。<br />
3. [Communication]をクリックして、SIC(Secure Internal Communication)トラストを 初 期 化 します。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 105
4. 必 要 に 応 じて 適 切 なタブ 上 で、[NAT]と[VPN]を 設 定 します。 詳 細 は、『<strong>R75.40VS</strong> Security Management<br />
Administration Guide』(http://supportcontent.checkpoint.com/solutions?id=sk76540)を 参 照 してください。<br />
メンバとして 既 存 のゲートウェイを 追 加<br />
既 存 のゲートウェイをクラスタ・メンバとして 加 えるには、[Cluster Members ページで[Add]→[Add Gateway to<br />
Cluster]を 選 択 し、[Add Gateway to Cluster]ウィンドウのリストからゲートウェイを 選 択 します。<br />
メンバの 削 除<br />
クラスタからゲートウェイを 削 除 するには、[Cluster Members]ページで[Remove]をクリックして[Detach Member<br />
from Cluster]を 選 択 するか、[Network Objects]ツリーのクラスタ・メンバを 右 クリックして[Detach from Cluster]を<br />
選 択 します。<br />
<strong>ClusterXL</strong> プロパティの 設 定<br />
Legacy モードの <strong>ClusterXL</strong> のプロパティを 設 定 するには<br />
1. [High Availability]オプションを 有 効 にし、[Legacy]モードを 選 択 します。<br />
2. プライマリ・メンバ 回 復 で 行 う 動 作 を 選 択 してください。<br />
<br />
<br />
現 在 のアクティブなクラスタ・メンバの 維 持<br />
より 高 い 優 先 順 位 のクラスタ・メンバに 切 り 替 え<br />
3. HA の 新 規 構 成 において、ステート 同 期 はオプションですが、デフォルトでは 有 効 に 設 定 されています。ステート<br />
同 期 を 無 効 にした 場 合 、クラスタ・メンバは 同 期 しません。また、ゲートウェイで 障 害 が 発 生 すると、 既 存 の 接 続<br />
はフェイルオーバーが 起 こると 切 断 されます。<br />
4. リストから 追 跡 オプションを 選 択 します。<br />
定 義 の 完 了<br />
1. 必 要 に 応 じて、クラスタ・オブジェクトのほかのページ([NAT]、[VPN]、[Remote Access]ページなど)を 定 義<br />
します。<br />
2. セキュリティ・ポリシーをクラスタにインストールします。<br />
HA Legacy モードからの 移 行 ( 簡 易 的 方 法 )<br />
ここでは、ダウンタイムを 最 小 限 に 抑 えることよりも 設 定 の 簡 易 性 を 重 視 して、HA Legacy モードから 負 荷 共 有 マル<br />
チキャスト・モードまたは HA New へ 移 行 する 手 順 について 説 明 します。<br />
共 有 内 部 インタフェースおよび 共 有 外 部 インタフェースがクラスタ・インタフェースになります。したがって、クラスタの<br />
全 体 IP アドレスは 外 部 クラスタ IP アドレスのままです。<br />
ゲートウェイでの 設 定<br />
1. すべてのメンバで cpstop を 実 行 します(すべてのネットワーク 接 続 が 失 われます)。<br />
2. 共 有 ( 複 製 )IP アドレスではなく 固 有 の IP アドレスが 使 用 されるように、すべてのクラスタ・メンバで IP アドレスを<br />
設 定 し 直 します。<br />
注 - SecurePlatform のみ:これらのアドレスを 変 更 すると、 既 存 の 静 的 ルートは 削 除 されま<br />
す。 手 順 4 での 復 元 のためにコピーしてください。<br />
3. 次 のコマンドを 実 行 して 共 有 MAC アドレスを 削 除 します。<br />
cphaconf uninstall_macs<br />
4. SecurePlatform クラスタ・メンバのみ、 手 順 2 で 削 除 された 静 的 ルートを 定 義 し 直 します。<br />
5. メンバを 再 起 動 します。<br />
106 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
SmartDashboard からの 設 定<br />
SmartDashboard でクラスタ・オブジェクトを 開 いて <strong>ClusterXL</strong>]タブを 選 択 してクラスタ・モードを[Legacy Mode]か<br />
ら[New Mode]または[Load Sharing]モードに 変 更 します。 次 に <strong>Check</strong> <strong>Point</strong> Gateway Cluster Wizard の 手 順 に<br />
従 います。 手 動 で 設 定 する 場 合 は、 以 下 の 手 順 に 従 います。<br />
1. クラスタ・オブジェクトの[Topology]タブで 以 下 を 実 行 します。<br />
<br />
<br />
各 クラスタ・メンバについて、IP アドレスが 変 更 されたために 変 更 されたインタフェースを 取 得 します。 前 に 共<br />
有 インタフェースとして 使 用 されていたインタフェースは、トポロジ 上 でクラスタ・インタフェースとして 定 義 され<br />
ます。<br />
クラスタのクラスタ IP アドレスを 定 義 します。 必 要 に 応 じてクラスタ・インタフェース 名 を 定 義 できます。これら<br />
は IP アドレスに 従 って 物 理 インタフェースにバインドされます。<br />
特 定 のインタフェースのクラスタ・メンバの 新 しい IP アドレスがこの 方 向 のクラスタ IP アドレスと 別 のサブネッ<br />
トにある 場 合 は、クラスタ・メンバのネットワークをクラスタ・インタフェースの[Members Network]フィールド<br />
で 定 義 する 必 要 があります。<br />
2. 新 しいクラスタ・オブジェクトにポリシーをインストールします(セキュリティ・ポリシー、QoS ポリシーなど)。<br />
HA Legacy モードからの 移 行 (ダウンタイムを 最 小 限 にする 方 法 )<br />
ここでは、HA Legacy モードから HA New モードまたは 負 荷 共 有 モードへ、クラスタのダウンタイムを 最 小 限 に 抑 え<br />
ながら 移 行 する 手 順 について 説 明 します。<br />
共 有 内 部 インタフェースおよび 共 有 外 部 インタフェースがクラスタ・インタフェースになります。クラスタ・メンバに 追 加<br />
する IP アドレスをあらかじめ 用 意 しておく 必 要 があります。<br />
クラスタのダウンタイムが 変 更 時 に 大 きく 影 響 が 無 ければ、106ページの「HA Legacy モードからの 移 行 ( 簡 易 的 方<br />
法 )」に 示 す 手 順 を 参 考 にしてください。<br />
注 -<br />
1. このセクションで 説 明 する 変 更 を 実 施 する 前 に、 必 要 な IP アドレスがすべて 用 意 されている<br />
ことを 確 認 してください。<br />
2. この 手 順 では SmartDashboard でオブジェクトをいったん 削 除 して 再 度 作 成 します。 手 順 を<br />
開 始 する 前 に 設 定 をバックアップしてください。<br />
この 手 順 では、マシン「A」とマシン「B」を 例 として 使 用 し、マシン「A」がアクティブ、マシン「B」がスタンバイである 時<br />
点 から 手 順 を 開 始 します。<br />
1. Security Management( 管 理 インタフェース)サーバ 以 外 、マシン「B」をすべてのインタフェース 接 続 から 切 り 離<br />
します。<br />
2. マシン「B」で cphastop を 実 行 します。<br />
3. マシン「B」の IP アドレスを( 新 しい 構 成 の 必 要 に 応 じて) 変 更 します。<br />
注 - SecurePlatform のみ: これらのアドレスを 変 更 すると、 既 存 の 静 的 ルートは 削 除 されま<br />
す。 手 順 5 での 復 元 のためにコピーしてください。<br />
4. cphaconf uninstall_macs を 実 行 してマシン「B」の MAC アドレスをリセットします。Windows マシンの 場 合 は、<br />
MAC アドレスの 変 更 を 有 効 にするためにここで 再 起 動 します。<br />
5. SecurePlatform クラスタ・メンバの 場 合 のみ、 手 順 3 で 削 除 した 静 的 ルートを 定 義 し 直 します。<br />
6. SmartDashboard でメンバ「A」を 右 クリックし、[Detach from cluster]を 選 択 します。<br />
7. [Cluster Member Properties]ウィンドウの[Topology]タブで[Get...]をクリックしてクラスタ・メンバ「B」のトポ<br />
ロジを 定 義 します。 適 切 なインタフェースを[Cluster Interfaces]としてください。<br />
8. [Cluster Object]でクラスタの 新 しいトポロジを 定 義 します(クラスタの[Topology]タブでクラスタ・インタフェース<br />
を 定 義 します)。<br />
9. [<strong>ClusterXL</strong>]ページで、クラスタの[High Availability]モードを[Legacy Mode]から[New Mode]へ 変 更 するか、<br />
[Load Sharing]モードを 選 択 します。<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 107
10. [Cluster Object]のほかのページ([NAT]ページ、[VPN]ページ、[Remote Access]ページなど)の 設 定 が 正<br />
しいことを 確 認 します。Legacy <strong>Check</strong> <strong>Point</strong> High Availability の 定 義 でしたが、ここではクラスタ 自 身 の 定 義 に<br />
変 更 されています。<br />
11. ポリシーを(クラスタ・メンバ「B」のみが 含 まれている)クラスタにインストールします。<br />
12. マシン「B」を( 手 順 1 で 切 り 離 した)ネットワークに 再 接 続 します。<br />
13. この 例 ではクラスタは 2 台 のメンバだけで 構 成 されていますが、クラスタのメンバが 2 台 を 超 える 場 合 は 各 クラス<br />
タ・メンバについてステップ 1~9 を 繰 り 返 します。<br />
14. 負 荷 共 有 マルチキャスト・モードの 場 合 は、ルートを 設 定 します(31ページの「 負 荷 共 有 マルチキャスト・モー<br />
ド」を 参 照 )。<br />
15. マシン「A」を 管 理 ネットワーク 以 外 のすべてのネットワークから 切 り 離 します。クラスタはトラフィックの 処 理 を 停<br />
止 します。<br />
16. マシン「A」で cphastop を 実 行 します。<br />
17. マシン「B」で cpstop を 実 行 し、 次 に cpstart を 実 行 します(3 台 以 上 のマシンがある 場 合 は、「A」 以 外 のすべて<br />
のマシンでこの 2 つのコマンドを 実 行 します)。<br />
18. マシン「B」がアクティブになり、トラフィックの 処 理 を 開 始 します。<br />
19. マシン「A」の IP アドレスを( 新 しい 構 成 の 必 要 に 応 じて) 変 更 します。<br />
20. cphaconf uninstall_macs を 実 行 してマシン「A」の MAC アドレスをリセットします。Windows マシンの 場 合 は、<br />
MAC アドレスの 変 更 を 有 効 にするためにここで 再 起 動 します。<br />
21. SmartDashboard で[Cluster Object]を 開 き、[Cluster Members]ページを 選 択 します。[Add]→[Add<br />
Gateway to Cluster]をクリックし、メンバ「A」を 選 択 してクラスタに 再 接 続 します。<br />
22. マシン「A」を 手 順 15 で 切 り 離 したネットワークに 再 接 続 します。<br />
23. セキュリティ・ポリシーをクラスタにインストールします。<br />
24. マシン「A」で cpstop を 実 行 し、 次 に cpstart を 実 行 します。<br />
25. 静 的 ルートを 定 義 し 直 します。<br />
クラスタは 新 しいモードで 動 作 するようになります。<br />
108 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
第 10 章<br />
cphaprob スクリプトの 例<br />
以 下 に 示 された clusterXL_monitor_process スクリプトは、 特 定 のプロセスの 存 在 を 監 視 して、プロセスが 動 作 停<br />
止 した 場 合 にフェイルオーバーを 発 生 させるよう 設 計 されています。このスクリプトでは、 通 常 の pnote メカニズムを<br />
使 用 しています。<br />
clusterXL_monitor_process スクリプトは、$FWDIR/bin にあります。<br />
関 連 情 報 109<br />
clusterXL_monitor_process スクリプト 109<br />
関 連 情 報<br />
<br />
cphaprob コマンドについては、47ページの「クラスタの 正 常 動 作 を 確 認 する 方 法 」を 参 照 してください。<br />
clusterXL_monitor_process スクリプト<br />
#!/bin/sh<br />
#<br />
# This script monitors the existence of processes in the system.The process<br />
names should be written<br />
# in the $FWDIR/conf/cpha_proc_list file one every line.<br />
#<br />
# USAGE :<br />
# cpha_monitor_process X silent<br />
# where X is the number of seconds between process probings.<br />
# if silent is set to 1, no messages will appear on the console.<br />
#<br />
#<br />
# We initially register a pnote for each of the monitored processes<br />
# (process name must be up to 15 characters) in the problem notification<br />
mechanism.<br />
# when we detect that a process is missing we report the pnote to be in "problem"<br />
state.<br />
# when the process is up again - we report the pnote is OK.<br />
if [ "$2" -le 1 ]<br />
then<br />
silent=$2<br />
else<br />
silent=0<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 109
fi<br />
if [ -f $FWDIR/conf/cpha_proc_list ]<br />
then<br />
procfile=$FWDIR/conf/cpha_proc_list<br />
else<br />
echo "No process file in $FWDIR/conf/cpha_proc_list "<br />
exit 0<br />
fi<br />
arch=`uname -s`<br />
for process in `cat $procfile`<br />
do<br />
$FWDIR/bin/cphaprob -d $process -t 0 -s ok -p register > /dev/null 2>&1<br />
done<br />
while [ 1 ]<br />
do<br />
result=1<br />
for process in `cat $procfile`<br />
do<br />
ps -ef | grep $process | grep -v grep > /dev/null 2>&1<br />
status=$?<br />
if [ $status = 0 ]<br />
then<br />
if [ $silent = 0 ]<br />
then<br />
echo " $process is alive"<br />
fi<br />
# echo "3, $FWDIR/bin/cphaprob -d $process -s ok report"<br />
$FWDIR/bin/cphaprob -d $process -s ok report<br />
else<br />
if [ $silent = 0 ]<br />
then<br />
echo " $process is down"<br />
fi<br />
$FWDIR/bin/cphaprob -d $process -s problem report<br />
110 | <strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong>
fi<br />
result=0<br />
done<br />
if [ $result = 0 ]<br />
then<br />
if [ $silent = 0 ]<br />
then<br />
echo " One of the monitored processes is down!"<br />
fi<br />
else<br />
if [ $silent = 0 ]<br />
then<br />
echo " All monitored processes are up "<br />
fi<br />
fi<br />
if [ "$silent" = 0 ]<br />
then<br />
echo "sleeping"<br />
fi<br />
sleep $1<br />
done<br />
<strong>ClusterXL</strong> 管 理 ガイド <strong>R75.40VS</strong> | 111