ClusterXL 管理ガイド R75.40VS - Check Point

ClusterXL 

R75.40VS 

管理ガイド 

Classification: [Protected]

© 2012 Check Point Software Technologies Ltd. 

All rights reserved. 本製品および関連ドキュメントは著作権法によって保護されており、その使用、複写、逆コン 

パイルを制限するライセンス契約に基づいて配布されています。本製品または関連ドキュメントのいかなる部分も、 

チェック・ポイントの書面による事前承諾を得ない限り、いかなる形態や方法によっても複製することはできません。 

本マニュアルを製作するにあたっては細心の注意が払われていますが、チェック・ポイントはいかなる誤りまたは 

欠落に対しても一切責任を負いません。本マニュアルおよびその記述内容は、予告なく変更される場合があり 

ます。 

権利の制限 

米国政府による本製品の使用、複写、または開示は、DFARS( 連邦国防調達規定 )252.227-7013 および FAR 

( 連邦調達規定 )52.227-19 の技術データおよびコンピュータ・ソフトウェアに関する権利条項 (c)(1)(ii)により制限 

されます。 

商標 

チェック・ポイントの商標の一覧は、こちら 

サード・パーティの商標および著作権については、こちら 

を参照してください。

ドキュメントに関する情報 

最新版ソフトウェア 

最新版ソフトウェアには、機能や安定性の向上、セキュリティの拡張、新たな脅威や進化する攻撃に対処する最新 

の保護機能が備えられているため、最新版をインストールすることをお勧めします。 

関連情報 

このドキュメントの最新バージョンについては、次を参照してください。 

http://supportcontent.checkpoint.com/documentation_download?ID=21983 

チェック・ポイント製品の詳細な技術情報については、チェック・ポイントのサポート・センター 

(http://supportcenter.checkpoint.com)を参照してください。 

改訂履歴 

日付 

説明 

2012 年 12 月 28 日初版 

ドキュメントに関するご意見 

チェック・ポイントは、わかりやすいマニュアルの作成に日々取り組んでいます。ご意見やご要望がありましたら、 

ぜひ以下の宛先までお送りください。 

cp_techpub_feedback@checkpoint.com

目次 

ドキュメントに関する情報 ...................................................................................... 3 

ClusterXL について .............................................................................................. 8 

ゲートウェイ・クラスタの必要性 .................................................................................... 8 

ClusterXL ゲートウェイ・クラスタ・ソリューション ............................................................ 8 

ClusterXL の動作 ...................................................................................................... 9 

クラスタ・コントロール・プロトコル ............................................................................. 9 

インストールとサポートされているプラットフォーム ........................................................ 9 

ClusterXL ライセンス .................................................................................................. 9 

ClusterXL でのクロックの同期 .................................................................................. 10 

クラスタの定義と用語 ............................................................................................... 10 

クラスタ間での接続情報の同期 .......................................................................... 11 

チェック・ポイントのステート同期ソリューション ............................................................ 11 

同期ネットワーク .................................................................................................. 11 

ステート同期の動作 ............................................................................................. 12 

同期不要なサービス ............................................................................................ 12 

同期の不要なサービスの設定 .............................................................................. 12 

継続時間が制限された同期 .................................................................................. 13 

非対称通信 ......................................................................................................... 13 

非対称通信の例 : TCP 3 ウェイ・ハンドシェーク .................................................... 14 

非対称通信の同期 ............................................................................................... 14 

WAN を介したクラスタの同期 ............................................................................... 15 

同期クラスタの制限 .............................................................................................. 15 

ステート同期の設定 .................................................................................................. 15 

サービスを非同期に設定する方法 ........................................................................ 15 

同期バージョンと非同期バージョンの作成 ............................................................. 16 

継続時間が制限された同期の設定 ....................................................................... 16 

対称通信 ........................................................................................................... 17 

対称通信について .................................................................................................... 17 

対称判定機能 .......................................................................................................... 17 

負荷共有構成でのサード・パーティ製ピアとの VPN トンネル ....................................... 18 

ハブ・アンド・スポーク型トポロジでのサード・パーティ製ゲートウェイ ................................. 18 

対称判定機能の設定 ............................................................................................... 19 

ハブ・アンド・スポーク型トポロジでサード・パーティ製ゲートウェイをスポークとして確立する方法 

............................................................................................................................... 20 

ClusterXL における HA と負荷共有 .................................................................... 21 

HA(ハイ・アベイラビリティ)と負荷共有について ......................................................... 21 

負荷共有 ............................................................................................................. 21 

ClusterXL トポロジの例 ............................................................................................ 22 

クラスタ・メンバの IP アドレスの定義 ..................................................................... 23 

クラスタの仮想 IP アドレスの定義 ......................................................................... 24 

同期ネットワーク .................................................................................................. 24 

ClusterXL 管理ガイド R75.40VS | 4

異なるサブネット上のクラスタ・アドレスの設定 ........................................................24 

ClusterXL のモード .................................................................................................. 24 

負荷共有マルチキャスト・モード ............................................................................25 

負荷共有ユニキャスト・モード ................................................................................26 

HA(ハイ・アベイラビリティ)モード ..........................................................................27 

各モードの比較表 ................................................................................................28 

フェイルオーバー ...................................................................................................... 28 

フェイルオーバーはいつ発生するか ......................................................................29 

ゲートウェイが復帰した場合の処理 .......................................................................29 

復帰したクラスタ・メンバがセキュリティ・ポリシーを取得する方法 .............................29 

導入計画における注意事項 ...................................................................................... 30 

HA または負荷共有 .............................................................................................30 

負荷共有モードの選択 .........................................................................................30 

IP アドレスの移行 ................................................................................................30 

ハードウェア要件、互換性、Cisco の例 ...................................................................... 30 

ClusterXL のハードウェア要件 ..............................................................................30 

ClusterXL のハードウェアの互換性 ......................................................................32 

Cisco Catalyst ルーティング・スイッチの設定例 .....................................................32 

チェック・ポイントのソフトウェアの互換性 .................................................................... 33 

サポートするオペレーティング・システム ................................................................33 

ClusterXL の互換性 (IPS を除く) ..........................................................................34 

ClusterXL の IPS との互換性 ...............................................................................35 

転送レイヤ ..........................................................................................................35 

クラスタ・トポロジの設定 ............................................................................................ 36 

ClusterXL の設定 .............................................................................................. 37 

クラスタ・メンバの準備 .............................................................................................. 37 

クライアント・マシンのルーティング設定 ...................................................................... 38 

クラスタ・メンバでの CCP トランスポート・モードの選択 ............................................... 38 

クラスタ・オブジェクトとメンバの設定 .......................................................................... 38 

ウィザードの使用 .................................................................................................39 

クラシック・モードの設定 .......................................................................................39 

IPv6 に対する ClusterXL の HA ................................................................................ 41 

ClusterXL の HA .................................................................................................41 

IPv6 クラスタの設定 .............................................................................................41 

OPSEC 認定クラスタ製品の使用 ........................................................................ 43 

OPSEC 認定クラスタ製品について ........................................................................... 43 

OPSEC 認定クラスタ製品の設定 .............................................................................. 43 

スイッチの準備とルーティングの設定 ....................................................................43 

クラスタ・メンバ・マシンの準備 ...............................................................................43 

OPSEC クラスタに対する SmartDashboard の設定 ..............................................44 

OPSEC クラスタにおける CPHA コマンド・ラインの動作 ............................................. 45 

OPSEC クラスタにおける cphastart コマンドと cphastop コマンド ...........................46 

OPSEC クラスタにおける cphaprob コマンド .........................................................46 

ゲートウェイ・クラスタの監視とトラブルシューティング ......................................... 47 

クラスタの正常動作を確認する方法 ........................................................................... 47 

cphaprob コマンド ................................................................................................47 

クラスタの状態監視 ..............................................................................................48 

クラスタ・インタフェースの監視 ..............................................................................50 


クリティカル・デバイスの監視 ................................................................................ 51 

クリティカル・デバイスの登録 ................................................................................ 52 

ファイルにリストされているクリティカル・デバイスの登録 ......................................... 52 

クリティカル・デバイスの登録削除 ......................................................................... 53 

ClusterXL へのクリティカル・デバイス状態報告 ..................................................... 53 

cphaprob スクリプトの例 ...................................................................................... 53 

SmartConsole クライアントを使用したクラスタ状態監視 ............................................. 53 

SmartView Monitor ............................................................................................. 53 

SmartView Tracker ............................................................................................. 54 

ClusterXL 設定コマンド ............................................................................................ 56 

cphaconf コマンド ................................................................................................ 56 

cphastart コマンドと cphastop コマンド .................................................................. 57 

フェイルオーバーの開始方法 .................................................................................... 57 

クラスタ・メンバの停止 .......................................................................................... 57 

クラスタ・メンバの起動 .......................................................................................... 57 

同期の監視 (fw ctl pstat) ......................................................................................... 58 

同期のトラブルシューティング .................................................................................... 60 

cphaprob [-reset] syncstat の概要 ....................................................................... 60 

cphaprob [-reset] syncstat の出力 ....................................................................... 60 

同期のトラブルシューティング・オプション ............................................................... 67 

ClusterXL のエラー・メッセージ ................................................................................. 69 

ClusterXL の一般的なエラー・メッセージ ............................................................... 69 

SmartView Tracker のアクティブ・モード・メッセージ .............................................. 70 

同期関連のエラー・メッセージ ............................................................................... 70 

TCP Out-of-State エラー・メッセージ ..................................................................... 71 

プラットフォーム固有のエラー・メッセージ ............................................................... 72 

メンバの再起動の失敗 ............................................................................................. 72 

ClusterXL の高度な設定 .................................................................................... 74 

VPN とクラスタの使用 .............................................................................................. 74 

VPN とクラスタの設定 .......................................................................................... 74 

別の Security Management サーバでの VPN ピア・クラスタの定義 ........................ 75 

NAT とクラスタの使用 .............................................................................................. 75 

クラスタのフォールドとクラスタの隠蔽 .................................................................... 75 

ゲートウェイ・クラスタ上での NAT 設定 .................................................................. 75 

クラスタ・メンバ上での NAT 設定 .......................................................................... 76 

VLAN とクラスタの使用 ............................................................................................ 76 

ClusterXL の VLAN サポート ................................................................................ 76 

同一 VLAN への複数クラスタの接続 ..................................................................... 76 

インタフェースのリンク状態監視 ................................................................................ 78 

インタフェースのリンク状態監視の有効化 .............................................................. 79 

リンク・アグリゲーションとクラスタ .............................................................................. 79 

概要 .................................................................................................................... 79 

リンク・アグリゲーション - HA モード ...................................................................... 80 

リンク・アグリゲーション - 負荷共有モード ............................................................. 84 

インタフェース・ボンディングでの VLAN の定義 ...................................................... 86 

リンク・アグリゲーションのためのパフォーマンス・ガイドライン ................................. 86 

インタフェース・ボンディング用の ClusterXL のコマンド ........................................... 87 

ボンディングされたインタフェースのトラブルシューティング ...................................... 88 

高度なクラスタ設定 .................................................................................................. 89 

ゲートウェイ設定パラメータの設定方法 ................................................................. 89 

ゲートウェイを起動時に有効にする設定方法 ......................................................... 90 

6 | ClusterXL 管理ガイド R75.40VS

モジュール変数の IPSO 6.1 以降での設定 ...........................................................90 

クラスタリング・タイマと同期タイマの制御 ...............................................................90 

高負荷状態での新しい接続の遮断 .......................................................................91 

SmartView Tracker のアクティブ・モードの使用 .....................................................92 

処理待ちパケット数の削減 ...................................................................................92 

完全同期詳細オプションの設定 ............................................................................92 

Disconnected インタフェースの定義 .......................................................................... 93 

Unix での Disconnected インタフェースの定義 ......................................................93 

Windows での Disconnected インタフェースの定義 ...............................................93 

ポリシー更新タイムアウトの設定 ............................................................................... 93 

TCP3 ウェイ・ハンドシェーク実施の強化 .................................................................... 94 

異なるサブネット上のクラスタ・アドレスの設定 ............................................................ 94 

異なるサブネット上のクラスタ・アドレスについて .....................................................94 

異なるサブネット上のクラスタ・アドレスの設定 ........................................................94 

異なるサブネット上のクラスタ・アドレスの例 ...........................................................95 

異なるサブネット上のクラスタ・アドレスの制限事項 .................................................96 

単一ゲートウェイから ClusterXL クラスタへの移行 ..................................................... 98 

単一ゲートウェイ・マシンの設定 ............................................................................98 

マシン「B」の設定 .................................................................................................98 

マシン「B」に対する SmartDashboard での設定 ....................................................98 

マシン「A」の設定 .................................................................................................98 

マシン「A」に対する SmartDashboard での設定 ....................................................99 

既存クラスタへの別メンバの追加 .............................................................................. 99 

クラスタの ISP 冗長性の設定 .................................................................................... 99 

クラスタ構成でのダイナミック・ルーティング・プロトコルの有効化 ................................ 100 

システムのコンポーネント ................................................................................... 100 

ClusterXL のダイナミック・ルーティング ............................................................... 101 

HA Legacy モード ............................................................................................ 102 

HA Legacy モードについて ..................................................................................... 102 

Legacy モード構成の例 .......................................................................................... 102 

共有インタフェースの IP アドレスと MAC アドレスの設定 ...................................... 103 

同期インタフェース ............................................................................................. 103 

導入計画時の注意事項 .......................................................................................... 103 

IP アドレスの移行 .............................................................................................. 103 

Security Management サーバの場所 ................................................................. 103 

ルーティングの設定 ............................................................................................ 103 

スイッチ(レイヤ 2 転送 )に関する注意事項 .......................................................... 104 

HA Legacy モードの設定 ........................................................................................ 104 

ルーティングの設定 ............................................................................................ 104 

SmartDashboard の設定 ................................................................................... 104 

HA Legacy モードからの移行 ( 簡易的方法 ) ............................................................ 106 

ゲートウェイでの設定 ......................................................................................... 106 

SmartDashboard からの設定 ............................................................................. 107 

HA Legacy モードからの移行 (ダウンタイムを最小限にする方法 ) ............................. 107 

cphaprob スクリプトの例 ................................................................................... 109 

関連情報 ............................................................................................................... 109 

clusterXL_monitor_process スクリプト .................................................................... 109 


第 1 章 

ClusterXL について 

この章の構成 

ゲートウェイ・クラスタの必要性 8 

ClusterXL ゲートウェイ・クラスタ・ソリューション 8 

ClusterXL の動作 9 

インストールとサポートされているプラットフォーム 9 

ClusterXL ライセンス 9 

ClusterXL でのクロックの同期 10 

クラスタの定義と用語 10 

ゲートウェイ・クラスタの必要性 

ゲートウェイと VPN の接続は、ビジネスに欠かせないデバイスです。セキュリティ・ゲートウェイや VPN 接続に障害 

が発生すると、有効な接続が切断され、重要なデータへのアクセスを失う原因となります。組織と外部との間のゲー 

トウェイは、どのような状況においても常に動作している必要があります。 

ClusterXL ゲートウェイ・クラスタ・ソリューション 

ClusterXL クラスタは、Check Point Security Gateway が同じグループになったもので、1 台が故障するともう 1 台 

がすぐに置き換わるように接続されています。 

ClusterXL は、ソフトウェア・ベースの負荷共有および HA ソリューションです。冗長構成の Security Gateway のクラ 

スタ間にネットワーク・トラフィックを分散し、クラスタ内のマシン間で透過的にフェイルオーバーを行います。 

 

 

HA クラスタは、障害が起きた場合、透過的なフェイルオーバーをバックアップ・ゲートウェイに供給するこ 

とによって、ゲートウェイと VPN に冗長性を確保します。 

負荷共有のクラスタは信頼性を提供し、すべてのクラスタ・メンバがアクティブな場合には、性能を向上さ 

せます。 


ClusterXL の動作 

ClusterXL は、クラスタ・メンバに対しては固有の物理 IP アドレスと MAC アドレスを使用し、クラスタ自身を表すには 

仮想 IPアドレスを使用します。仮想 IPアドレスは、実際のマシン・インタフェース( 後述する High Availability Legacy 

モードを除く)に属しません。 

ClusterXL は、各クラスタ・メンバが、ほかのメンバを経由する接続を認識できるようにして、不具合があってもデータ 

が失われないようにするためのインフラストラクチャを提供します。クラスタ・メンバ間の接続およびその他の 

Security Gateway の状態について情報をやり取りすることを「ステート同期」と呼びます。 

Security Gateway クラスタはまた、OPSEC 認定の HA および負荷共有の製品を使用して構築できます。OPSEC 

認定のクラスタ製品は、ClusterXL と同じステート同期インフラストラクチャを使用します。 

注 - このガイドは、Security Gateway モードにおける ClusterXL のみについて言及しています。 

VSX モードの詳細は、『R75.40VS VSX Administration Guide』 

(http://supportcontent.checkpoint.com/solutions?id=sk76540)を参照してください。 

クラスタ・コントロール・プロトコル 

クラスタ・コントロール・プロトコル(CCP)は、Check Point Gateway Cluster 内のマシンを互いにリンクします。CCP 

トラフィックは通常のネットワーク・トラフィックとは区別され、ネットワーク・スニッファを使用して表示できます。 

CCP は UDP ポート 8116 上で動作し、以下の機能があります。 

 

 

keep-alive パケットを送信して、クラスタ・メンバが自分自身の状態を報告し、ほかのメンバの状態を把握 

できるようにする機能 (ClusterXL クラスタ利用時のみ) 

ステート同期 

Check Point CCP は、OPSEC クラスタのみならず、全ての ClusterXL モードでも使用されます。しかし、このプロト 

コルによって実行されるタスクとタスクの実施方法は、クラスタのタイプによって異なる可能性があります。 

注 - CCP を許可するセキュリティ・ポリシー・ルール・ベースにルールを追加する必要はあり 

ません。 

インストールとサポートされているプラットフォーム 

ClusterXL は、SmartCenter サーバとクラスタ・メンバが別のマシン上にある分散構成にインストールする必要が 

あります。ClusterXL は Security Gateway 標準インストールの一部です。 

インストール方法については『R75.40VS Installation and Upgrade Guide』 


ClusterXL のサポート・プラットフォームについては『R75.40VS Release Notes』 


ClusterXL ライセンス 

HA 用に ClusterXL を使用する場合、構成の各ゲートウェイは、通常のゲートウェイ・ライセンスを持つ必要があり、 

管理マシンは各クラスタにライセンスを定義する必要があります。 

負荷共有用に ClusterXL を使用する場合、構成の各ゲートウェイは、通常のゲートウェイ・ライセンスを持つ必要が 

あり、管理マシンは各クラスタにライセンスを定義し、さらに Cluster-1 のプリミティブ・ライセンスが 1 つ必要です。 

クラスタに含まれているゲートウェイの数は重要ではありません。適切なライセンスがインストールされていない場合、 

インストール・ポリシーの操作は失敗します。 

ライセンスの詳細は、チェック・ポイントのサポート・センター(http://usercenter.checkpoint.com)を参照してく 

ださい。 


ClusterXL でのクロックの同期 

ClusterXL を使用する場合、クラスタ・メンバのすべてのクロックを同期してください。手作業で設定するか、NTP な 

どのプロトコルを使用して同期させることができます。VPN などの機能は、すべてのクラスタ・メンバのクロックが同 

期している場合にのみ正常に動作します。 

クラスタの定義と用語 

ゲートウェイ・クラスタ、ハイ・アベイラビリティ、負荷共有に関連する用語の意味は、ベンダーによって異なる場合が 

あります。チェック・ポイントでは、クラスタについて説明する際には、以下の定義と用語を使用します。 

アクティブ・アップ - アクティブであった HA マシンに障害が発生し、そのマシンが再び使用可能になった場合、アク 

ティブ・マシンとしてではなく、クラスタ内のスタンバイ・マシンの 1 つとしてクラスタに復帰します。 

クラスタ - 負荷共有または HA を提供するために一緒に動作する複数のマシンで構成されるグループ。 

クリティカル・デバイス - 管理者が、クラスタ・メンバの動作にとって重要と定義したデバイス。クリティカル・デバイス 

は問題通知 (pnote)とも呼ばれます。クリティカル・デバイスは常時監視されます。クリティカル・デバイスが動作を 

停止した場合、デバイスの障害と見なされます。デバイスは、ハードウェアでもプロセスでも構いません。fwd プロセ 

スと cphad プロセスは、デフォルトでクリティカル・デバイスとして事前に定義されています。セキュリティ・ポリシーも 

クリティカル・デバイスとして事前に定義されています。管理者は、cphaprob コマンドを使用してクリティカル・デバ 

イスの一覧に追加できます。 

障害 - マシンがパケットをフィルタリングできなくなる原因となるハードウェアまたはソフトウェアの問題。アクティブな 

マシンに障害が発生すると、フェイルオーバーが発生します。 

フェイルオーバー - クラスタ内で、障害が発生したマシンに代わって、別のマシンがパケットのフィルタリングを引き 

継ぐこと。 

ハイ・アベイラビリティ(HA) - 障害が発生した場合に、クラスタ内の別マシンに接続を引き継がせることによって接 

続を維持する機能。パケットのフィルタリングを行うのはアクティブ・マシンのみです。クラスタ内の 1 つのマシンがア 

クティブ・コンピュータとして設定されます。アクティブ・マシンで障害が発生した場合、クラスタ内のほかのマシンの 1 

つがその処理を引き継ぎます。 

ホット・スタンバイ - アクティブ/スタンバイとも呼ばれます。HA と同じ意味を持ちます。 

負荷共有 - 負荷共有のゲートウェイ・クラスタでは、クラスタにあるすべてのマシンがパケットをフィルタにかけます。 

負荷共有は HA を実現し、障害が発生した場合、クラスタ内のほかのマシンに透過的なフェイルオーバーを行い、信 

頼性とパフォーマンスを向上させます。負荷共有はアクティブ/アクティブとも呼ばれます。 

マルチキャスト負荷共有 - ClusterXL の負荷共有マルチキャスト・モードでは、クラスタのすべてのメンバが、クラス 

タ IP アドレスに送信されたすべてのパケットを受信します。ルータまたはレイヤ 3 スイッチは、マルチキャストを使用 

してパケットをすべてのクラスタ・メンバに転送します。すべてのクラスタ・メンバ上にある ClusterXL 決定アルゴリズ 

ムによって、パケットに対してエンフォースメント処理を行うクラスタ・メンバが決定されます。 

ユニキャスト負荷共有 - ClusterXL の負荷共有ユニキャスト・モードでは、1 台のマシン(ピボット)がすべてのトラフィ 

ックをユニキャスト設定でルータから受信し、パケットをクラスタ内にあるほかのマシンに再配分します。ピボット・マ 

シンは、ClusterXL によって自動的に選択されます。 


第 2 章 

クラスタ間での接続情報の同期 


チェック・ポイントのステート同期ソリューション 11 

ステート同期の設定 15 

チェック・ポイントのステート同期ソリューション 

ファイアウォールに障害が発生すると、組織と外部との接続は直ちに切断されます。金融取引など、これらの接続の 

多くはミッション・クリティカルであり、これらが切断されると重要なデータが失われてしまいます。ClusterXL は、各ゲ 

ートウェイ・クラスタ・メンバがほかのメンバを経由する接続を認識できるようにして、障害が発生してもデータが失わ 

れないインフラストラクチャを提供します。接続とほかの Security Gateway の状態に関する情報をクラスタ・メンバ 

間で受け渡すことを「ステート同期」を呼びます。 

Security Gateway によって認識されるすべての IP ベースのサービス(TCP や UDP を含む)は同期されます。 

ステート同期は、ClusterXL ソリューションとサード・パーティの OPSEC 認定クラスタ製品の両方で使用されます。 

ClusterXL 負荷共有構成内のマシンは同期させる必要があります。ClusterXL HA(ハイ・アベイラビリティ) 構成内 

のマシンは同期させる必要はありませんが、同期していないとフェイルオーバー時に接続が失われます。 

同期ネットワーク 

同期ネットワークは、接続とクラスタ・メンバ間のほかの Security Gateway の状態に関する同期情報を転送する際 

に使用します。 

同期ネットワークは最も重要なセキュリティ・ポリシー情報を組織内に送信するため、悪質な脅威および不意の脅威 

にさらされないように保護する必要があります。次の方法のうち 1 つを実行して同期インタフェースを保護することを 

お勧めします。 

 

 

専用の同期ネットワークを使用する。 

クロスケーブルを使用して、クラスタ・メンバの物理ネットワーク・インタフェースを直接接続する。3 つ以上 

のメンバを含むクラスタでは、専用のハブまたはスイッチを使用してください。 

注 - WAN を介してメンバを同期することが可能です。詳細については、15ページの「WAN を 

介したクラスタの同期」を参照してください。 

これらの推奨方法に従うことによって、ほかのネットワークが同期情報を送信しないため、同期ネットワークの安全 

性が保証されます。 

バックアップのために複数の同期ネットワークを定義できます。バックアップも専用ネットワークにすることをお勧めし 

ます。 

Cluster XL では、同期ネットワークは VLAN インタフェースの最も小さい VLAN タグでサポートされます。たとえば、 

タグ 10、20、および 30 の 3 つの VLAN がインタフェース eth1 に構成されている場合には、インタフェース eth1.10 

が同期に使用され非対称の通信の同期 

ます。 


ステート同期の動作 

同期は以下の 2 つのモードで動作します。 

 

 

完全同期では、クラスタ・メンバ間ですべての Security Gateway カーネル・テーブル情報が転送されます。 

完全同期は、暗号化された TCP 接続を使用して、fwd デーモンによって処理されます。 

差分同期では、クラスタ・メンバ間でカーネル・テーブルの変更情報が転送されます。差分同期は、ポート 

8116 で UDP マルチキャストまたはブロードキャストを使用して、Security Gateway カーネルによって処 

理されます。 

完全同期は、何千もの接続について、状態情報の初期転送に使用されます。クラスタ・メンバがダウン後に起動した 

場合、完全同期を実行します。すべてのメンバが同期したら、更新情報のみが差分同期によって転送されます。差 

分同期は完全同期より遥かに高速です。 

ステート同期トラフィックは通常、すべてのクラスタ・コントロール・プロトコル(CCP)トラフィックの約 90 %を占めます。 

ステート同期パケットは、UDP データ・ヘッダ内の opcode によって残りの CCP トラフィックと区別されます。 

注 - CCP パケットの送信元 MAC アドレスは変更できます。 

同期不要なサービス 

ゲートウェイ・クラスタ内では、通常、すべてのクラスタ・メンバに対するすべての接続がクラスタ間で同期されます。 

ゲートウェイ・クラスタを通るすべてのサービスが同期されなくても構いません。 

 

 

 

TCP、UDP、その他の種類のサービスを同期しないように指定できます。デフォルトでは、これらのサー 

ビスはすべて同期されます。 

VRRP と IPクラスタ・コントロール・プロトコル、および IGMP プロトコルは、デフォルトでは同期されません 

(これらのプロトコルに対して同期をオンにすることはできます)。クラスタ・メンバ間のみで実行しているプ 

ロトコルは、同期させる必要はありません。同期させることは可能ですが、同期するようにクラスタを設定 

しても利点がありません。同期情報はフェイルオーバーの際には役立たないため、この場合は関係あり 

ません。したがって、IGMP、VRRP、IP クラスタリング、その他の OPSEC クラスタ・コントロール・プロトコ 

ルは、デフォルトでは同期されません。 

ブロードキャストとマルチキャストは同期されず、また同期することができません。 

サービスに対して同期サービス定義と非同期サービス定義の両方を設定し、ルール・ベースで選択的に定義を使用 

できます。 

同期の不要なサービスの設定 

同期を行うには、パフォーマンスに多少の負荷がかかります。以下の条件が当てはまる場合、サービスを同期しな 

いように設定できます。 

 

 

 

 

クラスタを通っているトラフィックの大部分が特定のサービスを使用します。サービスを同期しないようにすると、 

同期トラフィックの量が減るため、クラスタ・パフォーマンスが向上します。 

通常、サービスは短時間の接続を行い、接続が失われたかどうかが通知されません。DNS(UDP 上 )と HTTP 

は通常、ほとんどの接続に関係していますが、非常に寿命が短く、アプリケーション・レベルで接続を回復でき 

ます。FTP などの、一般的に長時間の接続を確立するサービスは、必ず同期させる必要があります。 

すべての接続に対して双方向対称性を保証する構成では、(HA を維持するためだけに) 同期を行う必要はあ 

りません。そのような構成には以下が含まれます。 

HA モードのクラスタ( 例 : ClusterXL New HA または IPSO VRRP) 

非暗号化接続での負荷共有モードの ClusterXL(VPN またはスタティック NAT を除く) 

完全対称性を保証する OPSEC クラスタ(OPSEC クラスタのマニュアルを参照 ) 

 

負荷共有モードで ClusterXL クラスタを通過する VPN とスタティック NAT 接続 (マルチキャストまたはユニ 

キャスト)は双方向の対称性を維持しません。このような環境では、ステート同期をオンにする必要があります。 


継続時間が制限された同期 

一部の TCP サービス(HTTPなど)には、継続時間が非常に短いという特徴があります。これらの接続を同期化する 

と、ゲートウェイ・リソースを消費しフェイルオーバーが発生する時までに接続が終了してしまうため、同期化は意味 

がありません。 

GUI で定義される[Protocol Type]が[HTTP]または[None]のすべての TCP サービスの場合には、このオプション 

を使用して Security Gateway への接続情報の通知を遅らせ、接続開始 x 秒後に接続がまだ存在する場合にのみ 

接続を同期するように設定できます。この機能を使用するには、「Delayed Notifications」をサポートする SecureXL 

デバイスと Performance Pack with ClusterXL LS Multicast などの最新のクラスタ構成が必要です。 

この機能は、SecureXL 対応デバイスが、接続が通過する Security Gateway にインストールされている場合にのみ 

使用可能です。 

接続テンプレートが ClusterXL 対応デバイスからオフロードされていない場合、この設定は無視されます。詳細につ 

いては、SecureXL のマニュアルを参照してください。 

非対称通信 

すべてのパケットが 1 つのクラスタ・メンバにより処理される場合、通信は「対称」であると呼ばれます。非対称通信 

では、返信パケットは元のパケットと別のゲートウェイを経由して返される場合があります。 

同期メカニズムでは、非対称通信を適切に処理できます。非対称通信では、クラスタ・メンバ・ゲートウェイは 

out-of-state パケットを受信できます。ただし、一般的に out-of-state パケットにはセキュリティ・リスクがあるため、 

Security Gateway はこのパケットを廃棄します。 

負荷共有構成ではすべてのクラスタ・メンバがアクティブで、スタティック NAT 接続と暗号化接続では発信元 IP アド 

レスと宛先 IP アドレスが変更されます。したがって、負荷共有クラスタを経由するスタティック NAT 接続と暗号化接 

続は、非対称になることがあります。非対称性は Hide NAT でも発生する可能性がありますが、ClusterXL はそれら 

を正しく処理するメカニズムを備えています。 

ハイ・アベイラビリティ(HA) 構成では、すべてのパケットがアクティブなマシンに到達するため、非対称通信は発生し 

ません。通信の確立中にフェイルオーバーが発生した場合、通信は失われますが、同期は後で実行できます。 

ほかのメンバが非対称通信について知らない場合には、パケットは out-of-state となり、通信はセキュリティ上の理 

由から切断されます。ただし、同期メカニズムにより、ほかのメンバに通信を通知できます。したがって、同期メカニ 

ズムは、有効であるが非対称の通信で out-of-state パケットが発生するのを防ぎ、これらの非対称通信が許可され 

ます。 

ネットワーク管理者が、返信パケットが元のパケットと別のゲートウェイを経由して返される非対称ルーティングを設 

定した場合にも、非対称通信が発生します。 


非対称通信の例 : TCP 3 ウェイ・ハンドシェーク 

すべての TCP 接続を開始する 3 ウェイ・ハンドシェークは、多くの場合、非対称 ( 非対称ルーティング) 通信になりま 

す。以下の状況が発生する可能性があります。 

クライアント A は SYN パケットをサーバ B に送信して接続を開始します。SYN はゲートウェイ C を経由しますが、 

SYN/ACK 応答はゲートウェイ D を経由して返されます。これは、返答パケットが元のパケットと異なるゲートウェイを 

経由して返されるため、非対称通信です。 

ゲートウェイ D には、同期ネットワーク経由で通知されます。サーバ B から送信された SYN/ACK パケットがゲート 

ウェイ D に届く前にこのマシンが更新された場合は、通信は正常に処理されます。同期が遅れ、SYN フラグが更新 

される前に SYN/ACK パケットがゲートウェイ D で受信された場合は、ゲートウェイは SYN/ACK パケットを 

out-of-state として処理し、通信を切断します。 

この問題には、高度な 3 ウェイ TCP ハンドシェークの実施を設定して対応することができます(94ページの「高度な 3 

ウェイ TCP ハンドシェークの実施」を参照 )。 

非対称通信の同期 

同期メカニズムは、有効であるが非対称の通信で、out-of-state パケットの発生を防ぎます。すべての TCP データ通 

信を開始する 3 ウェイ・ハンドシェークの例を参考にすると、同期メカニズムの処理方法を理解できます。3 ウェイ・ハ 

ンドシェークは以下のように行われます。 

1. SYN(クライアントからサーバへ) 

2. SYN/ACK(サーバからクライアントへ) 

3. ACK(クライアントからサーバへ) 

4. データ(クライアントからサーバへ) 

out-of-state パケットの発生を防ぐために、以下のシーケンス(「Flush and Ack」と呼ばれます)が発生します。 

1. クラスタ・メンバは接続の最初のパケット(SYN)を受信します。 

2. 通信が非対称でないかを確認します。 

3. SYN パケットを保持します。 

4. すべてのクラスタ・メンバに(このパケットに関するすべての変更を含む) 保持中の同期アップデートを送信します。 

5. ほかのすべてのクラスタ・メンバが、SYN パケット内の情報に対して肯定応答するのを待ちます。 

6. 保持中の SYN パケットを解放します。 

7. すべてのクラスタ・メンバが SYN-ACK に対してレディになります。 


WAN を介したクラスタの同期 

組織では、物理的に離れた場所にあるクラスタ・メンバを検索する必要がある場合があります。典型的な例が、障害 

回復のために遠隔地に配置された複製用のデータ・センターです。そのような設定においては、クロス・ケーブルを 

同期ネットワークとして使用するのは明らかに実行不可能です。 

同期ネットワークはリモート・サイトに拡大できるため、地理的に分散したクラスタを簡単に導入できます。この機能 

には以下の 2 つの制限があります。 

1. 同期ネットワークは、100 ms 以下の待ち時間と 5% 以下のパケット・ロスを保証する必要があります。 

2. 同期ネットワークにはスイッチとハブのみを含めることができます。ルータはクラスタ・コントロール・プロトコル・ 

パケットを廃棄するため、同期ネットワークでは使用できません。 

地理的に分散したクラスタを監視してトラブシューティングを実行するには、コマンド・ラインを使用できます(60ペー 

ジの「同期のトラブルシューティング」を参照 )。 

同期クラスタの制限 

クラスタ・メンバの同期には以下の制限があります。 

 

 

 

 

 

 

 

同じプラットフォーム上で実行されているクラスタ・メンバのみを同期させることができます。 

すべてのクラスタ・メンバは同じチェック・ポイントのソフトウェア・バージョンを使用する必要があります。 

クラスタ・メンバを通過するユーザ認証接続は、クラスタ・メンバがダウンすると失われます。同期している 

ほかのクラスタ・メンバは接続を再開できません。 

ただし、クライアント認証接続またはセッション認証接続は失われません。 

このような制限は、ユーザ認証状態が Security Server で保持され、これがプロセスであるために、マシ 

ン間でのカーネル・データの同期と同様には同期ができないことによるものです。ただし、セッション同期 

とクライアント同期の状態はカーネル・テーブルに保存されるため、同期させることができます。 

「リソース」を使用する接続の状態は Security Server で維持されるため、ユーザ認証接続を同期させる 

ことができないのと同じ理由でこれらの接続は同期させることができません。 

アカウンティング情報は各クラスタ・メンバに蓄積され、個別に Security Management サーバに送信、集 

計されます。フェイルオーバーの場合、障害が発生したメンバに蓄積されたが、Security Management 

サーバに送信されなかったアカウンティング情報は失われます。この問題を最小限にするには、アカウン 

ティング情報を「フラッシュする」期間を短くできます。これを実行するには、クラスタ・オブジェクトの[Logs 

and Masters]→[Additional Logging]ページで[Update Account Log every:] 属性を設定します。 

ステート同期の設定 

ClusterXL と OPSEC 認定クラスタ製品の設定プロセスの一部として、ステート同期を設定します。以下の手順でス 

テート同期の設定をします。 

1. ゲートウェイ・クラスタの同期ネットワークのセットアップ 

2. Security Gateway のインストールと、設定段階での同期機能の有効化 

3. クラスタ・オブジェクトの[ClusterXL]ページでステ―ト同期を有効化 

設定手順については、「ClusterXL」(37ページの「ClusterXL の設定」)のセクションと「OPSEC 認定クラスタ製品」 

(43ページの「OPSEC 認定クラスタ製品の設定」)のセクションを参照してください。 

サービスを非同期に設定する方法 

サービスを非同期に設定するには 

1. オブジェクト・ツリーの[Services]ブランチで、同期させたくない TCP、UDP、またはその他のサービスをダブル 

クリックします。 


2. [Service Properties]ウィンドウで[Advanced]をクリックして[Advanced Services Properties]ウィンドウを表 

示します。 

3. [Synchronize connections on the cluster]チェック・ボックスをオフにします。 

同期バージョンと非同期バージョンの作成 

サービスに対して同期サービス定義と非同期サービス定義の両方を設定し、セキュリティ・ルール・ベースで選択的 

に定義を使用できます。 

1. 新しい TCP、UDP、およびその他のサービスを定義します。既存のサービスと異なる名前を付けます。 

2. 既存のサービスのすべての定義を、新しいサービスの[Advanced Service Properties]ウィンドウにコピーしま 

す。 

3. 新しいサービスで[Advanced]をクリックして、[Advanced Services Properties]ウィンドウを表示します。 

4. 既存のサービスのすべての定義を、新しいサービスの[Advanced Service Properties]ウィンドウにコピーしま 

す。 

5. 既存のサービスの設定と異なるように、新しいサービスの[Synchronize connections on the cluster]を設定し 

ます。 

継続時間が制限された同期の設定 

継続時間が制限された同期の設定を行う前に、まず基本的な情報を理解しておいてください(13ページの「継続時 

間が制限された同期」)。 

注 - この機能は HTTP ベースのサービスに限られているため、[Start synchronizing]チェッ 

ク・ボックスのオプションは、ほかのサービスでは表示されません。 

継続時間が制限された同期の設定方法 

1. オブジェクト・ツリーの[Services]ブランチで、同期させる TCP、UDP、またはその他のサービスをダブルクリッ 

クします。 

2. [Service Properties]ウィンドウで[Advanced]をクリックして[Advanced Services Properties]ウィンドウを表 


3. [Start synchronizing x seconds after connection initiation]を選択します。 

4. 接続開始後、[seconds]フィールドに同期を遅らせる秒数を入力するか、リストから秒数を選択します。 


第 3 章 

対称通信 


対称通信について 17 

対称判定機能 17 

負荷共有構成でのサード・パーティ製ピアとの VPN トンネル 18 

ハブ・アンド・スポーク型トポロジでのサード・パーティ製ゲートウェイ 18 

対称判定機能の設定 19 

ハブ・アンド・スポーク型トポロジでサード・パーティ製ゲートウェイをスポークとして 

確立する方法 20 

対称通信について 

通信のすべてのパケットが、いずれかの方向において 1 つのクラスタ・メンバによって処理される場合、通信は対称 

です。すべての通信が同じクラスタ・メンバ経由でルーティングされるハイ・アベイラビリティ・モードはこれに該当す 

るため、対称です。VPN ピア、スタティック NAT ルール、または SIP 通信がない負荷共有モードもこれに該当し 

ます。 

ただし、負荷共有モードでは、場合によっては特定のクラスタ・メンバで開始した通信が、両方向とも引き続き同じク 

ラスタ・メンバによって処理されるようにする必要があります。そのためには、対称判定機能 (Sticky Decision 

Function)を有効にして、特定の通信を対称にすることができます。 

注 - 対象接続要求機能についての最新情報は『R75.40VS Release Notes』 


対称判定機能 

対称判定機能により、特定のサービスを負荷共有構成で動作させることができます。たとえば、L2TP トラフィックや、 

クラスタがサード・パーティ製ピアとのサイト・ツー・サイト VPN トンネルに関与している場合は、この機能が必要 

です。 

対称判定機能を有効すると、以下のサービスと通信タイプがサポートされます。 

 

 

サード・パーティ製の VPN ピアとの VPN 構成 

SecureClient ビジター・モードを含む SecureClient/SecuRemote/SSL Network Extender 暗号化接続 

対称判定機能には以下の制限があります。 

 

 

Performance Pack またはハードウェアベースのアクセラレータ・カードを使用している場合、対称判定機 

能はサポートされません。対称判定機能を有効にすると、これらのアクセラレータ製品を使用できなくなり 

ます。 

対称判定機能を VPN と一緒に使用すると、クラスタ・メンバは特定のピアに対して複数の通信を開けなく 

なります。別の通信を開くと別の SA が生成され、多くの場合、サード・パーティ製のピアはそれを処理で 

きません。 


負荷共有構成でのサード・パーティ製ピアとの VPN トンネル 

チェック・ポイントは、サード・パーティ・ベンダーのゲートウェイを VPN-1ゲートウェイのピアにすることによって、サー 

ド・パーティ・ベンダーのゲートウェイとの相互互換性を提供しています。特別な場合として、特定のサード・パーティ 

製ピア(Microsoft LT2P、Nokia Symbian、および Cisco ゲートウェイとクライアント)は、負荷共有モードで 

ClusterXL ゲートウェイとの VPN トンネルの確立を試みます。これらのピアでは、SA の保存能力に限界があります。 

つまり、あるクラスタ・メンバで開始され、負荷共有のために別のクラスタ・メンバ経由のリターン・トリップ上にルーテ 

ィングされた VPN セッションは、認識されずに廃棄されます。 

以下の図に例を示します。 

このシナリオの場合 : 

 

 

サード・パーティ製ピア(ゲートウェイまたはクライアント)は VPN トンネルの作成を試みます。 

クラスタ・メンバ A と B は、負荷共有モードで ClusterXL ゲートウェイに属します。 

サード・パーティ製ピアは、複数の SA セットを保存する機能がないため、複数のクラスタ・メンバと VPN トンネルをネ 

ゴシエートできません。したがって、クラスタ・メンバはルーティング・トランザクションを完了できません。 

特定のサード・パーティ製ピアまたは 1 つの SA セットしか保存できないゲートウェイの場合は、通信を対称にするこ 

とによってこの問題を解決できます。対称判定機能を有効にすると、同一のサード・パーティ製ゲートウェイで開始さ 

れたすべての VPN セッションは 1 つのクラスタ・メンバによって処理されるように設定されます。 

対称判定機能を有効にするには 

1. SmartDashboard でクラスタ・オブジェクトを編集し[ClusterXL]ページ→[Advanced]を選択します。 

2. [Use Sticky Decision Function]プロパティを有効にします。 

ハブ・アンド・スポーク型トポロジでのサード・パーティ製ゲートウェイ 

負荷共有モードで対称判定機能が必要なケースとして、特定のサード・パーティ製ゲートウェイをハブ・アンド・スポ 

ーク型に構成する場合があります。サード・パーティ製ゲートウェイは、複数の SA セットを保存する機能がないため、 

重複 SA を避けるために、1 つのクラスタ・メンバ上で VPN トンネルを保持する必要があります。 


以下の図にこの構成を示します。 

このシナリオの場合 : 

 

 

 

 

この構成の目的は、スポーク A の後ろにあるホストが、スポーク B の後ろにあるホストと通信できるように 

することです。 

ClusterXL ゲートウェイは負荷共有モードでクラスタ・メンバ A と B で構成され、VPN ハブとして機能して 

います。 

スポーク A はサード・パーティ製ゲートウェイで、ハブを経由する VPN トンネルによってスポーク B と接続 

されています。 

スポーク B は、別のサード・パーティ製ゲートウェイまたはチェック・ポイント・ゲートウェイのどちらでも構 

いません。 

スポーク A と B は、常に同じクラスタ・メンバを使用して通信するように設定する必要があります。対称判定機能を有 

効にすると、一方のサード・パーティ製ゲートウェイで開始されたすべての VPN セッションは 1 つのクラスタ・メンバに 

よって処理されるため、この問題の一部は解決されます。 

スポークAとB 間のすべての通信が常に同じクラスタ・メンバを使用して実行されるようにするには、user.defファイル 

を多少変更することによって、両方のサード・パーティ製ゲートウェイは常に同じクラスタ・メンバに接続するように設 

定できるため、トンネルの整合性が保持され、この問題を回避できます(20ページの「ハブ・アンド・スポーク型トポロ 

ジでサード・パーティ製ゲートウェイを確立する方法」を参照 )。 

対称判定機能の設定 

対称判定機能を設定するには 

1. クラスタ・オブジェクトを[Network Object]ツリーから選択します。 

2. ツリーから ClusterXL を選択し、[Advanced]をクリックします。 

3. [Advanced Load Sharing]ウィンドウで、以下のいずれかを選択します。 

 

 

 

[IPs, Ports, SPIs (default)]: 最適な負荷分散で、推奨設定です。最も「対称性」が低い共有分散設定とな 

ります。 

[IPs, Ports]: 同じ発信元と IP アドレスを持っている IPSec パケットを複数のマシンに分散する際に問題が 

生じた場合にのみ使用します。 

[IPs]: 同じ発信元と IP アドレスを持っている IPSec パケットまたは異なるポート・パケットを複数のマシン 

に分散する際に問題が生じた場合にのみ使用します。最も「対称性」が高い共有分散設定となります。 

4. [Sticky Decision Function]オプションをオンにして機能を有効にする、またはオフにして無効にします。デフォ 

ルトでは、[Sticky Decision Function]の機能は無効になっています。 

有効な場合、接続の着信と発信の両方向で 1 つのクラスタ・メンバを通過します。 


ハブ・アンド・スポーク型トポロジでサード・パーティ製ゲートウェイを 

スポークとして確立する方法 

ハブ・アンド・スポーク型トポロジでサード・パーティ製ゲートウェイをスポークとして確立するには、Security 

Management サーバで以下の手順を実行します。 

1. 対称判定機能を有効にします。SmartDashboard でクラスタ・オブジェクトを編集し、[ClusterXL]ページ→ 

[Advanced]を選択し、[Use Sticky Decision Function]プロパティを有効にします。 

2. 特定のピアからのトラフィックを処理するトンネル・グループを作成します。テキスト・エディタを使用して、 

$FWDIR/lib/user.def ファイルを編集し、以下の行を追加します。 

all@{member1,member2} vpn_sticky_gws = {, }; 

この設定のエレメントは以下のとおりです。 

エレメント 

All 

説明 

クラスタ・ゲートウェイのすべてのインタフェースを表します。 

member1,member2 SmartDashboard 内のクラスタ・メンバの名前。 

vpn_sticky_gws テーブルの名前。 

10.10.10.1 スポーク A の IP アドレス。 

20.20.20.1 スポーク B の IP アドレス。 

;1 トンネル・グループ識別子。これらの IP アドレスからのトラフィックは、同じクラス 

タ・メンバによって処理する必要があることを示します。 

3. 前述と同じ書式で IP アドレスを入力して、ほかのピアをトンネル・グループに追加できます。スポーク C を追加す 

るには、以下のように入力します。 

all@{member1,member2} vpn_sticky_gws = {, 

,}; 

トンネル・グループ識別子 ;1 は同じままです。これは、表示されたピアは常に同じクラスタ・メンバを経由して通 

信することを意味します。 

注 - クラスタ・メンバよりも多い数のトンネル・グループを定義することもできます。 

つまり、この手順を実行すると、影響を受ける通信の負荷共有がオフになります。複数のサード・パーティ製ゲ 

ートウェイ・セットが相互に通信するように実装する場合は、ゲートウェイ・ペアが特定のクラスタ・メンバと並行し 

て動作するように設定して、負荷共有を実現できます。たとえば、ほかの 2 つのスポーク(C と D) 間の接続をセ 

ットアップするには、単に IP アドレスを行に追加して、トンネル・グループ識別子を;1 から;2 に置き換えます。こ 

の場合、行は以下のようになります。 

all@{member1,member2} vpn_sticky_gws = {, 

,,,}; 

;1 と;2 の 2 つのピア識別子があることに注意してください。これで、スポーク A と B は 1 つのクラスタ・メンバを 

経由して接続し、スポーク C と D は別のクラスタ・メンバを経由して接続します。 

注 - トンネル・グループは、アクティブなクラスタ・メンバ間で分散されます。クラスタの 

状態が変化 (フェイルオーバーやメンバのアタッチ/ 切り離しなど)した場合、新しい状態に 

従って再割り当てが行われます。 


第 4 章 

ClusterXL における HA と負荷共有 


HA(ハイ・アベイラビリティ)と負荷共有について 21 

ClusterXL トポロジの例 22 

ClusterXL のモード 24 

フェイルオーバー 28 

導入計画における注意事項 30 

ハードウェア要件、互換性、Cisco の例 30 

チェック・ポイントのソフトウェアの互換性 33 

クラスタ・トポロジの設定 36 

HA(ハイ・アベイラビリティ)と負荷共有について 

ClusterXL は、冗長構成の Security Gateways のクラスタ間でネットワーク・トラフィックを分散するソフトウェア・ベー 

スの負荷共有および HA ソリューションです。 

ClusterXL は以下の機能を提供します。 

 

マシン障害時の透過的なフェイルオーバー 

ミッション・クリティカルな環境でのダウンタイムの解消 (ステート同期使用時 ) 

スループットの向上 ( 負荷共有モード時 ) 

 

透過的なアップグレード 

クラスタ内のすべてのマシンは、ほかの各マシンを経由する接続を認識します。クラスタ・メンバは、安全な同期ネッ 

トワークを介して接続とステータス情報を同期します。 

クラスタ・コントロール・プロトコル(CCP)は、ClusterXL クラスタ内のマシンを結合し、クラスタ・メンバ間で同期情報 

やその他の情報を受け渡します。 

負荷共有 

ClusterXL 負荷共有はゲートウェイのクラスタ内でトラフィックを分散し、複数のマシンの全体的なスループットを向 

上させます。 

負荷共有構成ではクラスタ内で動作中のすべてのマシンがアクティブであり、ネットワーク・トラフィックを処理します 

(アクティブ/アクティブ動作 )。 

クラスタ内のチェック・ポイント・ゲートウェイがアクセス不能になった場合、残りの動作中のマシンに対して透過的な 

フェイルオーバーが行われ、HA が実現します。すべての接続が中断されることなく残りのゲートウェイ間で共有され 

ます。 


HA(ハイ・アベイラビリティ) 

HA 機能を使用すると、クラスタ・メンバで障害が発生した場合でも、クラスタ・メンバ間で負荷共有がなくても接続を 

維持できます。HAクラスタ内では、1つのマシンのみがアクティブになります(アクティブ/スタンバイ動作 )。アクティブ 

なクラスタ・メンバがアクセス不能になった場合、すべての接続は中断されることなく指定されたスタンバイ・クラスタ・ 

メンバにリダイレクトされます。同期クラスタ内では、スタンバイ・クラスタ・メンバはアクティブなクラスタ・メンバの接 

続状態を使用して更新されます。 

HAクラスタ内では、各マシンに優先順位が与えられます。通常、最も優先順位の高いマシンがゲートウェイとして機 

能します。このマシンに障害が発生した場合、次に優先順位が高いマシンに制御が渡されます。そのマシンに障害 

が発生した場合、その次に優先順位が高いマシンに制御が引き継がれます。 

ゲートウェイが復帰した場合、現在のアクティブなゲートウェイを維持する(アクティブ・アップ)か、最も優先順位の高 

いゲートウェイに切り替える(プライマリ・アップ)ことができます。 

アクティブ・アップ設定で、セキュリティ・ポリシーの変更とインストールはメンバ間のフェイルオーバーの原因になり 

ます。別のメンバをアクティブ・マシンとして選択することができます。ポリシーのインストール時、メンバは ClusterXL 

を再度初期化し、クラスタに既にアクティブ・メンバーがあるかどうかを確認します。ない場合は、アクティブになりま 

す。この処理は、メンバの ClusterXL インストール・ハンドシェークです。 

ClusterXL トポロジの例 

ClusterXL は、クラスタ・メンバに対しては固有の物理 IP と MAC アドレスを使用し、クラスタ自身を表すには仮想 IP 

アドレスを使用します。クラスタ・インタフェース・アドレスは、どの実マシン・インタフェースにも属しません。 

下記の図は 2 つのメンバから成る ClusterXL クラスタを示し、クラスタの仮想 IP アドレスとクラスタ・メンバの物理 IP 

アドレスを対比しています。この章では、この構成を基にした例を多くあげて説明しています。 

各クラスタ・メンバは、外部インタフェース、内部インタフェース、および同期用インタフェースの 3 つのインタフェース 

を持っています。各方向のクラスタ・メンバ・インタフェースは、スイッチ、ルータ、または VLAN スイッチを介して接続 

されています。 

同じ方向のすべてのクラスタ・メンバ・インタフェースは、同じネットワーク内にある必要があります。たとえば、クラス 

タ・メンバ間にルータを置くことはできません。 

Security Management サーバはどこにでも配置できますが、内部または外部クラスタ・アドレスのいずれかにルー 

ティング可能である必要があります。 

後続のセクションで、ClusterXL 構成の説明として例を紹介していきます。 


注 

1. HA Legacy モードでは別のトポロジを使用します。102ページの「HA Legacy モード」を参照し 

てください。 

2. このセクションと後続のセクションの例では、RFC 1918 プライベート・アドレスである、 

192.168.0.0~192.168.255.255 のアドレス範囲を使用して、ルーティング可能な(パブリ 

ック)IP アドレスを表します。 

クラスタ・メンバの IP アドレスの定義 

各クラスタ・メンバ・マシンを構成するためのガイドラインは以下のとおりです。 

クラスタ内のすべてのマシンは、少なくとも以下の 3 つのインタフェースを持っている必要があります。 

外部クラスタ・インタフェースを介してインターネットに接続されるインタフェース 

内部クラスタ・インタフェースを介して内部ネットワークに接続されるインタフェース 

同期に使用するインタフェース 

同じ方向へ向かうインタフェースはすべて同一のネットワークに接続する必要があります。 


たとえば、前に示した図の構成では Member_A と Member_B の 2 つのクラスタ・メンバがあります。各メンバには IP 

アドレスが割り当てられており、ハブまたはスイッチを介してインターネットに接続します。これは、Member_A に 

192.168.10.1、Member_B に 192.168.10.2 の IP アドレスが割り当てられた外部インタフェースで、クラスタの外部 

インタフェースからはこのインタフェースは透過的です。 

注 - このリリースには、メンバごとに外部インタフェースと内部インタフェースの 2 つのインタフェ 

ースのみを使用し、内部インタフェース経由で同期を実行するオプションがあります。この構成は 

お勧めしません。バックアップの場合にのみ使用してください。詳細は11ページの「クラスタ間で 

の接続情報の同期」を参照してください。 

クラスタの仮想 IP アドレスの定義 

前の図の説明では、クラスタの IP アドレスは 192.168.10.100 です。 

クラスタは外部仮想 IP アドレスと内部仮想 IP アドレスをそれぞれ 1 つずつ持っています。外部 IP アドレスは、 

192.168.10.100 で、内部 IP アドレスは、10.10.0.100 です。 

同期ネットワーク 

クラスタ・メンバのステート同期により、フェイルオーバーが発生しても障害の発生したマシンで処理されていた接続 

は維持されます。同期ネットワークは、クラスタ・メンバ間で接続同期情報とその他の状態情報を受け渡すために使 

用されます。つまり、このネットワークは組織の最も重要なセキュリティ・ポリシー情報を送信するため、ネットワーク 

を安全に保護する必要があります。バックアップのために複数の同期ネットワークを定義できます。 

同期インタフェースを保護するには、クロスケーブルで直接接続するか、メンバが 3 つ以上のクラスタの場合には専 

用ハブまたはスイッチを使用して接続する必要があります。 

負荷共有クラスタのマシンは、通常のトラフィック・フローで同期が使用されているため同期させる必要があります。 

HA クラスタ内のコンピュータは同期させる必要はありませんが、同期していない場合はフェイルオーバー時に接続 

が失われます。 

前の図は、各マシンに固有の IP アドレスが割り当てられた同期インタフェースを示しています。Member_A には 

10.0.10.1、Member_B には 10.0.10.2 が割り当てられています。 

異なるサブネット上のクラスタ・アドレスの設定 

インターネットに接続するクラスタ・インタフェースの場合、ClusterXLクラスタ内でルーティング可能な IPアドレスが 1 

つだけ必要です。すべてのクラスタ・メンバの物理 IP アドレスはルーティングできなくても構いません。 

クラスタ IP アドレスとメンバ・アドレスに対して別のサブネットを設定すると、以下が可能になります。 

 

 

新しいアドレスをクラスタ・メンバに割り当てなくても、複数マシンのクラスタが構成済みのネットワーク内 

の単一マシン・ゲートウェイと置き換わる。 

組織が ClusterXL ゲートウェイ・クラスタの唯一のルーティング可能なアドレスを使用する。これによりル 

ーティング可能なアドレスが節約されます。 

ClusterXL のモード 

ClusterXL には以下の 4 つの実行モードがあります。このセクションでは、各モードとその相対的な利点と欠点につ 

いて説明します。 

 

 

 

 

負荷共有マルチキャスト・モード 

負荷共有ユニキャスト・モード 

HA New モード 

HA Legacy モード 


HA Legacy 機能の詳細については、付録 (102ページの「HA Legacy モード」)を参照してください。下位互換性の問 

題を回避するためには、HA New モードを使用することをお勧めします。 

注 - このセクションの多くの例は、ClusterXL の例 (22ページの「ClusterXLTopology の例」)の 

構成に基づいています。 


負荷共有により、クラスタ・メンバ間でネットワーク・トラフィックを分散することができます。HA では一度に 1 つのメン 

バのみがアクティブになるのに対して、負荷共有ソリューションではすべてのクラスタ・メンバがアクティブになりクラ 

スタが各メンバにトラフィックを割り当てます。この割り当ては判定機能によって実行され、クラスタを通過する各パ 

ケットを調べてどのメンバがそのパケットを処理するかを決定します。このように、負荷共有クラスタはすべてのクラ 

スタ・メンバを利用するため、通常は合計スループットが向上します。 

ClusterXL 負荷共有をステート同期と組み合わせることにより、完全な HA も実現できます。すべてのクラスタ・メン 

バがアクティブな場合、トラフィックはマシン間で均等に分散されます。メンバの 1 つで問題が発生してフェイルオー 

バー・イベントが発生した場合、故障したマシンによって処理されていたすべての接続の処理は直ちにほかのメンバ 

に引き継がれます。 

ClusterXL は、マルチキャストとユニキャストの 2 種類の負荷共有ソリューションを提供します。この 2 つのモードで 

は、クラスタに送信されたパケットをメンバが受信する方法が異なります。このセクションでは、マルチキャスト・モー 

ドについて説明します。 

イーサネットのネットワーク層で提供されるマルチキャスト・メカニズムを使用することにより、複数のインタフェースを 

1 つの物理 (MAC)アドレスに対応させることができます。同じサブネット内のすべてのインタフェースを 1 つのアドレ 

スにバインドするブロードキャスト、と異なり、マルチキャストではネットワーク内のでグループ化が可能です。つまり、 

特定の MAC アドレスに送信されたパケットを受信する 1 つのサブネット内のインタフェースを選択できます。 

ClusterXL は、マルチキャスト・メカニズムを使用して仮想クラスタ IP アドレスをすべてのクラスタ・メンバに対応させ 

ます。これらの IP アドレスを 1 つのマルチキャスト MAC アドレスにバインドすることにより、ゲートウェイとして機能す 

るクラスタに送信されたすべてのパケットはクラスタ内のすべてのメンバに到達します。各メンバはパケットを処理す 

るかどうかを判定します。この判断は負荷共有メカニズムの主要な機能です。少なくとも、1 つのメンバが各パケット 

を処理し(トラフィックがブロックされないようにし)、かつ 2 つのメンバが同じパケットを処理しない(トラフィックが重複 

しない)ようにする必要があります。 

判定機能のもう 1 つの要件は、各接続が 1 つのゲートウェイを経由するようにルーティングし、1 つの接続に属する 

パケットは必ず同じメンバによって処理されるようにすることです。この要件が常に満たされるとは限らず、場合によ 

っては同じ接続のパケットが異なるメンバによって処理されることがあります。ClusterXL は、ステート同期メカニズ 

ムを使用してすべてのクラスタ・メンバ上の接続をミラーリングすることによりこれらの状況を処理します。 

例 

この例では、負荷共有マルチキャスト・モードに設定されたファイアウォール・クラスタの背後にある Web サーバにユ 

ーザがインターネットからログインする場合について説明します。 

1. ユーザは 192.168.10.78(ユーザのコンピュータ)から 10.10.0.34(Web サーバ)への接続を要求します。 

2. 192.168.10.x ネットワーク上のルータは、192.168.10.100(クラスタの仮想 IP アドレス)を 10.10.0.x ネットワークへ 

のゲートウェイとして認識します。 

3. ルータは 192.168.10.100 に対して ARP 要求を発行します。 

4. アクティブ・メンバの 1 つはこの ARP 要求を傍受し、クラスタ IP アドレス 192.168.10.100 に割り当てられたマル 

チキャスト MAC アドレスで応答します。 

5. Web サーバはユーザの要求に応答する場合、10.10.0.100 をインターネットへのゲートウェイとして認識し 

ます。 

6. Web サーバは 10.10.0.100 に対して ARP 要求を発行します。 

7. アクティブ・メンバの 1 つはこの ARP 要求を傍受し、クラスタ IP アドレス 10.10.0.100 に割り当てられたマルチ 

キャスト MAC アドレスで応答します。 

8. ユーザと Web サーバ間で送信されたすべてのパケットはすべてのクラスタ・メンバに到達し、各クラスタ・メンバ 

は各パケットを処理するか破棄するかを判定します。 


9. フェイルオーバーが発生するとクラスタ・メンバの 1 つがダウンします。この場合でも、トラフィックはすべてのアク 

ティブなクラスタ・メンバに到達しているためネットワークの ARP ルーティングを変更する必要はありません。変 

更が行われるのはクラスタの判定機能のみです。判定機能はメンバの新しい状態を考慮に入れます。 

負荷共有ユニキャスト・モード 

負荷共有ユニキャスト・モードは、マルチキャスト・イーサネットが動作できない環境に対応する負荷共有ソリューショ 

ンを提供します。このモードでは、「ピボット」と呼ばれる1つのクラスタ・メンバにクラスタの仮想 IPアドレスが割り当て 

られ、これがクラスタに送信されたパケットを受信する唯一のメンバになります。ピボットはほかのクラスタ・メンバに 

パケットを送信する役割を果たし、負荷共有メカニズムを構築します。分散は、負荷共有マルチキャスト・モードと同 

様に、各パケットに判定機能を適用することによって行われます。異なる点は、1つのメンバのみがこの選択を行うと 

いう点です。ピボット以外のメンバは、転送されたパケットを受信すると判定機能を適用せずにパケットを処理します。 

ピボット以外のメンバは依然として「アクティブ」と見なされることに注意してください。これは、これらのメンバも分担し 

ているトラフィックについて( 判定は行いませんが)ルーティングとFirewall 作業を行っているためです。 

ピボット・メンバは判定プロセスを担当しますが、同時に Security Gateway としてパケットの処理も行います(たとえ 

ば、ローカル・マシン上でパケットを処理するために判定を行う場合もあります)。ただし、このような作業をピボット・ 

メンバに追加すると時間がかかる可能性があるため、通常ピボット・メンバには全負荷のうちの小さな部分のみを割 

り当てます。 

ピボット以外のメンバにフェイルオーバー・イベントが発生すると、そのメンバが処理していた接続はアクティブなクラ 

スタ・メンバに再配分され、HA New モードや負荷共有マルチキャストと同等の HA 機能が提供されます。ピボット・メ 

ンバに問題が発生した場合は、通常のフェイルオーバー・イベントが発生し、さらに別のメンバが新たにピボットの役 

割を引き継ぎます。ピボット・メンバは常に最も高い優先順位を持つアクティブ・メンバです。これは、前のピボットが 

回復した場合に以前の役割を保持することを意味します。 

例 

この例では、負荷共有ユニキャスト・クラスタをユーザのコンピュータと Web サーバの間のゲートウェイとして使用し 

ています。 


2. 192.168.10.x ネットワーク上のルータは、192.168.10.100(クラスタの仮想 IP アドレス)を 10.10.0.x ネットワー 

クへのゲートウェイとして認識します。 

3. ルータは 192.168.10.100 に対して ARP 要求を発行します。 

4. ピボット・メンバはこの ARP 要求を傍受し、自分の固有 IP アドレス 192.168.10.1 に対応する MAC アドレスで 

応答します。 


ます。 


7. ピボット・メンバはこの ARP 要求を傍受し、自分の固有 IP アドレス 10.10.0.1 に対応する MAC アドレスで応答 

します。 

8. ユーザの要求パケットは、インタフェース 192.168.10.1 上のピボット・メンバに到達します。 

9. ピボットは 2 番目のメンバにこのパケットを処理させることを決定し、パケットを 192.168.10.2 へ転送します。 

10. 2 番目のメンバは、そのパケットを転送されたパケットとして認識して処理します。 

11. それ以降のパケットはピボット・メンバによって処理されるか、転送されてこの 2 番目のメンバによって処理され 

ます。 

12. ピボットでフェイルオーバーが発生すると 2 番目のメンバがピボットの役割を引き継ぎます。 

13. 新しいピボット・メンバは、192.168.10.x ネットワークと 10.10.0.x ネットワークの両方に余分に ARP 要求を送信 

します。これらの要求は、仮想 IP アドレス 192.168.10.100 を固有の IP アドレス 192.168.10.2 に対応する MAC 

アドレスに関連付け、仮想 IP アドレス 10.10.0.100 を固有の IP アドレス 10.10.0.2 に対応する MAC アドレスに 

関連付けます。 

14. このクラスタに送信されたトラフィックは新しいピボットによって受信され、そのローカル・マシンによって処理され 

ます(これは、現時点ではこのマシンがクラスタ内で唯一のアクティブなマシンであるためです)。 


15. 最初のマシンが復帰すると、クラスタの IP アドレスを自分の固有 MAC アドレスに関連付けてピボットの役割を 

再開します。 

HA(ハイ・アベイラビリティ)モード 

HA(ハイ・アベイラビリティ)モードは、クラスタ環境で基本的なHAを提供します。これは、スタンドアロン・モジュール 

上で発生した場合に完全に接続が失われるような問題がクラスタ上で発生しても、クラスタはファイアウォール・サー 

ビスを提供できることを意味します。ClusterXL HAをチェック・ポイントのステート同期と組み合わせて使用すると、 

フェイルオーバー・イベントが発生してもユーザに気付かれない方法で接続が維持されるため、接続性に全く影響は 

ありません。このように、HAはバックアップ・メカニズムを提供します。組織はこのバックアップ・メカニズムを利用して、 

特にミッション・クリティカルな環境 (たとえば、インターネットを経由した電子商取引が発生するような環境 )で予期せ 

ぬダウンタイムが発生する危険性を軽減することができます。 

この目的を遂行するために、ClusterXL の HA New モードではクラスタ・メンバの 1 つをアクテイブ・マシンとして指定 

して、残りのメンバをスタンバイ・モードに設定します。クラスタの仮想 IP アドレスは、アクティブ・マシンの物理ネット 

ワーク・インタフェースに関連付けます( 仮想 IP アドレスを該当するインタフェースの固有の MAC アドレスに一致さ 

せます)。このようにして、クラスタへのすべてのトラフィックはアクティブ・メンバによって実際にルーティング(さらに 

フィルタリング)されます。各クラスタ・メンバの役割はその優先順位に従って選択され、アクティブ・メンバが最高の 

優先順位を持つメンバになります。メンバの優先順位は、[Gateway Cluster Properties]ウィンドウの[Cluster 

Members]ページに表示される順序に対応します。最上部に表示されたメンバが最高の優先順位を持ちます。この 

優先順位はいつでも変更することができます。 

アクティブ・メンバは、ファイアウォール・ゲートウェイとしての役割のほかに自分の接続テーブルと状態テーブルに 

対して行われた変更のすべてをスタンバイ・メンバに通知することにより、現在クラスタを通過しているトラフィックに 

関する最新情報をメンバに提供する役割も持っています。 

クラスタはフェイルオーバー・イベントが発生するような重大な問題をアクティブ・メンバで検出すると、アクティブ・メン 

バの役割をスタンバイ・マシンの 1 つ(その時点で最高の優先順位を持っているメンバ)に引き渡します。ステート同 

期が適用されている場合は、開始されているすべての接続を新しいアクティブ・マシンが認識し、直前の既知状態に 

従って処理します。より高い優先順位を持つメンバが復帰した際には、ユーザの設定によってアクティブ・マシンの 

役割がそのメンバに切り替えられる場合と切り替えられない場合があります。 

クラスタはスタンバイ・マシンで問題を検出する場合もあります。この場合、問題が発生したマシンはフェイルオーバ 

ー発生時にアクティブ・メンバの役割を引き継ぐことができるとは見なされません。 

例 

この例では、ファイアウォール・クラスタの背後にある Web サーバにユーザがインターネットからログインする場合に 

ついて説明します。 


2. 192.168.10.x ネットワーク上のルータは、192.168.10.100(クラスタの仮想 IP アドレス)を 10.10.0.x ネット 

ワークへのゲートウェイとして認識します。 

3. ルータは 192.168.10.100ARP に対して ARP 要求を発行します。 

4. アクティブ・メンバはこの ARP 要求を傍受し、自分の固有 IP アドレス 192.168.10.1 に対応する MAC アドレスで 

応答します。 


ます。 


7. アクティブ・メンバはこの ARP 要求を傍受し、自分の固有 IP アドレス 10.10.0.1 に対応する MAC アドレスで応 

答します。 

8. ユーザと Web サーバ間のすべてのトラフィックは、アクティブ・メンバを経由してルーティングされるようになりま 

す。 

9. フェイルオーバーが発生すると、スタンバイ・メンバは障害の発生したアクティブ・メンバに置き換わる必要があ 

ると判断します。 

10. スタンバイ・メンバは、192.168.10.x ネットワークと 10.10.0.x ネットワークの両方に Gratuitous ARP 要求を送信 

します。これらの要求は、仮想 IP アドレス 192.168.10.100 を固有の IP アドレス 192.168.10.2 に対応する MAC 


アドレスに関連付け、仮想 IP アドレス 10.10.0.100 を固有の IP アドレス 10.10.0.2 に対応する MAC アドレスに 

関連付けます。 

11. スタンバイ・メンバはアクティブ・メンバの役割を持つように切り替えられ、このクラスタを経由するすべてのトラフ 

ィックはこのマシンを経由してルーティングされます。 

12. 以前のアクティブ・メンバは「ダウン」したと見なされ、フェイルオーバー・イベントを発生させた問題からの復帰待 

ち状態になります。 

各モードの比較表 

以下の表に、各 ClusterXL モードの共通点と相違点をまとめます。 

各 ClusterXL モードの比較表 

HA Legacy モード HA New モード 

負荷共有 

マルチキャスト 

負荷共有 

ユニキャスト 

HA ○ ○ ○ ○ 

負荷共有 × × ○ ○ 

パフォーマンス良い良い優秀非常に良い 

ハードウェア・ 

サポート 

すべてすべてサポートされていない 

ルータあり 

すべて 

SecureXL サポート ○ ○ 可能 (Performance 

Pack または SecureXL 

Turbocard を使用 ) 

○ 

ステート同期の 

必要性 

VLAN タグ付けの 

サポート 

× × ○ ○ 

○ ○ ○ ○ 

注 - VLAN タグ付けのサポートについての詳細は、『R75.40VS Release Notes』 

(http://supportcontent.checkpoint.com/solutions?id=sk76540)を参照してください。 . 

フェイルオーバー 

フェイルオーバーは、ゲートウェイが指定された機能を実行できなくなったときに発生します。フェイルオーバーが発 

生すると、クラスタ内の別のゲートウェイが障害が発生したゲートウェイの役割を引き継ぎます。 

負荷共有構成では、ゲートウェイのクラスタ内にある 1 つの VPN1 ゲートウェイがダウンすると接続は残りのゲート 

ウェイに分散されます。負荷共有構成ではすべてのゲートウェイが同期されているため、どの接続も中断されま 

せん。 

HA 構成では、同期クラスタ内の 1 つのゲートウェイがダウンすると別のゲートウェイがアクティブになり、障害が発 

生したゲートウェイの接続を「引き継ぎ」ます。ステート同期を使用していない場合、フェイルオーバーが発生すると 

既存の接続は切断されます。ただし新しい接続を開始できます。 

ほかのゲートウェイが稼動して機能していることを各クラスタ・メンバに知らせるため、ClusterXL のクラスタ・コン 

トロール・プロトコルではクラスタ・メンバ間でハート・ビートが常時やり取りされています。所定の時間が経過しても 

あるクラスタ・メンバからメッセージが受信できない場合、このクラスタ・メンバがダウンしフェイルオーバーが発生し 

た可能性があります。この時点で別のクラスタ・メンバが自動的に障害の起きたクラスタ・メンバの役割を引き継ぎ 

ます。 


クラスタ内で上記のいずれかのチェックに失敗した場合、障害が発生したメンバはクラスタ・メンバとして機能できな 

いと判断し、たとえクラスタ・マシンがまだ機能している可能性があったとしてもフェイルオーバーを開始します。 

フェイルオーバー・イベントを発生させるような問題が複数のクラスタ・メンバで起こる場合があります。すべてのクラ 

スタ・メンバでこのような問題が発生した場合、ClusterXL は 1 つのメンバを選択して動作を継続しようとします。選択 

されたメンバの状態は、「アクティブ・アテンション」として報告されます。この状況は別のメンバが完全に復帰するま 

で続きます。たとえば、クラスタ・メンバを接続するクロス・ケーブルが故障した場合、両方のメンバがインタフェース 

の問題を検出します。一方が「ダウン」状態に変化し、もう一方が「アクティブ・アテンション」に変化します。 

フェイルオーバーはいつ発生するか 

フェイルオーバーはアクティブなクラスタ・メンバで以下のいずれかが生じたときに発生します。 

 

 

 

 

クリティカル・デバイス(たとえば、fwd)の障害。クリティカル・デバイスとはクラスタ・メンバで動作するプロ 

セスで、クラスタ・メンバがメンバとして機能できなくなった場合にほかのクラスタ・メンバに通知することを 

可能にします。クリティカル・デバイスは自分の現在の状態について ClusterXL メカニズムに報告します。 

報告に失敗した場合、ClusterXL はフェイルオーバーが発生してほかのクラスタ・メンバが引き継いだと 

判断します。 

インタフェースまたはケーブルの障害 

マシンのクラッシュ 

セキュリティ・ポリシーのアンインストール。セキュリティ・ポリシーがアンインストールされると、ゲートウェ 

イはファイアウォールとして機能できなくなります。ファイアウォールとして機能できない場合、クラスタ・メ 

ンバとして機能できなくなりフェイルオーバーが発生します。通常、ポリシーが自動的にアンインストール 

されることはなくユーザによってアンインストールされます。フェイルオーバーの詳細は、sk62570 


ゲートウェイが復帰した場合の処理 

負荷共有構成では、クラスタ内の障害が発生したゲートウェイが復帰した場合、すべての接続はすべてのアクティ 

ブ・メンバ間で再配分されます。 

HA 構成では、クラスタ内の障害が発生したゲートウェイが復帰した場合、復帰方法はクラスタ設定によって異なりま 

す。選択肢は以下のとおりです。 

[Maintain Current Active Gateway]を選択すると、優先順位の低いマシンに制御が引き継がれた場合、 

優先順位の低いアクティブ・マシンに障害が発生した場合にだけ制御が優先順位の高いマシンに戻りま 

す。すべてのメンバが同じトラフィック処理能力を備えている場合は、フェイルオーバー・イベントの発生を 

最小限にするためこのモードを使用することをお勧めします。 

[Switch to Higher Priority Gateway]を選択すると、優先順位の低いマシンに制御が引き継がれた場合、 

優先順位の高いマシンが復帰すると制御は優先順位の高いマシンに戻ります。1 つのメンバがほかのメ 

ンバよりも高い接続処理能力を持っている場合は、このモードを選択することをお勧めします。そのメン 

バはデフォルト・ゲートウェイになります。 

復帰したクラスタ・メンバがセキュリティ・ポリシーを取得する方法 

管理者はセキュリティ・ポリシーをクラスタ・メンバごとにではなく、クラスタにインストールします。ポリシーは自動的 

にすべてのクラスタ・メンバにインストールされます。ポリシーは、クラスタ・メンバ・オブジェクトの[General 

Properties]ページで定義された IP アドレスに送信されます。 

障害が発生したクラスタ・メンバが復帰すると、まずほかのクラスタ・メンバのいずれかからポリシーを取得しようとし 

ます。これは、ほかのクラスタ・メンバが新しいポリシーを持っていることを前提としています。成功しなかった場合、 

復帰したメンバは自分のローカル・ポリシーを Security Management サーバにあるポリシーと比較します。Security 

Management サーバのポリシーが自分のポリシーよりも新しい場合は、Security Management サーバのポリシー 

を取り込みます。クラスタ・メンバがローカル・ポリシーを持っていない場合、Security Management サーバからポリ 

シーを取り込みます。これにより、すべてのクラスタ・メンバは常に同じポリシーを使用することになります。 


導入計画における注意事項 

HA または負荷共有 

負荷共有 (アクティブ/アクティブ) 構成と HA(アクティブ/スタンバイ) 構成のどちらを選択するかは、組織の要件によ 

って決まります。HA ゲートウェイ・クラスタは、組織にフェイルセーフな接続性を保証します。負荷共有には、これに 

パフォーマンスが向上するという利点があります。 

注 - 同期ネットワークの動作では、一般的なトラフィック用に使用される NIC の帯域幅と同じ 

帯域幅で NIC を使用することをお勧めします。 

負荷共有モードの選択 

負荷共有マルチキャスト・モードは、負荷がすべてのクラスタ・メンバ間で最適に分散されるため高い負荷を効率的 

に処理できます。ただし、一部のルータは負荷共有マルチキャスト・モードで使用できません。負荷共有マルチキャ 

スト・モードでは、マルチキャスト MAC アドレスを各ユニキャスト・クラスタ IP アドレスに関連付けます。これにより、ク 

ラスタへのトラフィックはすべてのメンバによって受信されます。したがって、クラスタ・メンバが送信する ARP 応答に 

は、マルチキャスト MAC アドレスを介してクラスタ IP アドレスに到達可能であることが示されます。 

一部のルーティング機器はこのような ARP 応答を受け付けません。一部のルータでは、ルーティング機器上でクラ 

スタ IP アドレスにスタティックな ARP エントリを追加してこの問題を解決します。ほかのルータは、この種のスタティック 

な ARP エントリを受け付けません。 

もう 1 つの注意事項は、無差別モードで動作するインタフェースを持つルーティング機器が導入環境に含まれている 

かどうかです。同じネットワーク・セグメント上にそのようなルータ 2 台と負荷共有マルチキャスト・モードの ClusterXL 

ゲートウェイが存在する場合、一方のルータから生成されたクラスタへのトラフィックは、もう一方のルータによって 

処理される可能性もあります。 

このような場合は負荷共有ユニキャスト・モードを使用します。このモードではクラスタ・アドレスに対してマルチキャ 

ストを使用する必要はありません。 

IP アドレスの移行 

既存の単一ゲートウェイ構成に HA 機能または負荷共有機能を追加する場合、現在のゲートウェイから既存の IP ア 

ドレスを取り出してクラスタ・アドレス(クラスタの仮想アドレス)にすることをお勧めします。こうすることにより、多くの 

場合、現在の IPSec エンドポイント識別情報を変更せずに Hide NAT 設定もそのまま維持することができます。 

ハードウェア要件、互換性、Cisco の例 

ClusterXL のハードウェア要件 

ゲートウェイ・クラスタは通常、スイッチやルータなどのほかのネットワーク機器が存在する環境に配置されます。こ 

れらの機器とゲートウェイは、ネットワークの接続性を保証するために相互動作する必要があります。このセクション 

では、周辺のネットワーク環境に対する ClusterXL の要件について説明します。 

HA New モードと負荷共有ユニキャスト・モード 

マルチキャスト・モードは、HA New モードと負荷共有ユニキャスト・モード(および負荷共有マルチキャスト・モード) 

におけるデフォルトの CCP(クラスと・コントロール・プロトコル)モードです。 


マルチキャスト・モードで CCP を使用する場合は、スイッチを以下のように設定する必要があります。 

HA New モードと負荷共有に対するスイッチの設定 

スイッチの設定 

IGMP と 

スタティック CAM 

マルチキャスト 

制限の無効化 

内容 

ClusterXL は IGMP の登録 (「IGMP スヌーピング」とも呼ばれます)をサポートしていま 

せん。スイッチ関連の IGMP 登録が出来ないのは、IGMP パケットのポート設定か、 

ClusterXL 上の IGMP 登録可能にしてあるか、どちらかに依存していることが原因で 

す。IGMPの登録を無効にできない場合には、特定のポートでマルチキャスト・トラフィッ 

クを許可するためにスタティック CAM を設定する必要があります。 

一部のスイッチでは、ブロードキャスト・ストームを防ぐために通過できるブロードキャス 

トとマルチキャストに上限を設けています。通常この制限は全インタフェース帯域に対 

する割合 (%)です。 

ブロードキャスト・ストーム制御をオフにするか、高レベルのブロードキャストまたはマル 

チキャストに対してスイッチの通過を許可することができます。 

接続するスイッチにこのような設定機能がない場合には、効率は下がりますがスイッチ 

がブロードキャストを使用してトラフィックを転送したり、クラスタ・メンバを設定してブロ 

ードキャスト CCP を使用することができます(38ページの「クラスタ・メンバでの CCP ト 

ランスポート・モードの選択」を参照 )。 

ルータを以下のように設定します。 

HA New モードと負荷共有ユニキャスト・モードに対するルータの設定 

ルータの設定 

ユニキャスト MAC 

内容 

クラスタが HA Legacyモード、HA New モード、および負荷共有ユニキャスト・モードで 

動作する場合、クラスタの IP アドレスは通常の MAC アドレス(アクティブ・メンバの 

MAC アドレス)にマッピングされます。ルータは通常の ARP メッセージからこの MAC 

アドレスを認識できる必要があります。 


負荷共有マルチキャスト・モードで動作している場合、スイッチの設定は以下のとおりです。 

負荷共有マルチキャスト・モードに対するスイッチの設定 

スイッチの設定 

マルチキャスト・ 

モードでの CCP 

内容 

マルチキャスト・モードは、負荷共有マルチキャストにおけるデフォルトのクラスタ・コン 

トロール・プロトコル・モードです。 

ポート・ミラーリング ClusterXL では、ユニキャスト MAC アドレスでポート・ミラーリングを行ってマルチキャ 

スト負荷共有ソリューションを実現することはできません。 

負荷共有マルチキャスト・モードで動作している場合、ルータはマルチキャスト MAC アドレスを使用したユニキャスト 

IP パケットの送信をサポートする必要があります。これは必須であるため、すべてのクラスタ・メンバがデータ・パ 

ケットを受信します。 

ルータのモデルによっては、このモードをサポートするために以下のように設定する必要があります。 

負荷共有マルチキャスト・モードに対するルータの設定 


スタティック MAC 

内容 

ほとんどのルータは、自動的に ARP メカニズムを使用してユニキャスト IP とマルチキ 

ャスト MAC を含む ARP メカニズムを認識できます。ルータが動的にこの種のマッピン 

グを認識する機能を持っていない場合は、スタティックな MAC エントリを設定する必 

要があります。 



IGMP とスタティック 

CAM 

マルチキャスト制限 

の無効化 

ルータへのマルチ 

キャスト・トラフィッ 

ク転送の無効化 

内容 

一部のルータは、マルチキャスト MACアドレスを使用したユニキャスト IPパケットの送 

信をサポートするために、IGMP スヌーピングを無効にするかスティック CAM を設定 

する必要があります。 

一部のルータでは、ブロードキャスト・ストームを防ぐために通過できるブロードキャス 

トとマルチキャストに上限を設けています。通常この制限は全インタフェース帯域に対 

する割合 (%)です。 

ブロードキャスト・ストーム制御をオフにするか高レベルのブロードキャストまたはマル 

チキャストに対してルータの通過を許可することができます。 

一部のルータは、ルータ自身にマルチキャスト・トラフィックを送信します。これにより、 

ネットワーク全体でパケット・ストームが発生する可能性があるため転送を無効にする 

必要があります。 

ClusterXL のハードウェアの互換性 

以下のルータとスイッチは、すべての ClusterXL モードと互換性があります。 

ルータ 

 

 

Cisco 7200 シリーズ 

Cisco 1600、2600、3600 シリーズ 

ルーティング・スイッチ 

Extreme Networks Blackdiamond(IGMP スヌーピングを無効化 ) 

Extreme Networks Alpine 3800 シリーズ(IGMP スヌーピングを無効化 ) 

 

 

スイッチ 

Foundry Network Bigiron 4000 シリーズ 

Nortel Networks Passport 8600 シリーズ 

Cisco Catalyst 6500 シリーズ(IGMP スヌーピングを無効化、マルチキャスト MAC を手動設定 ) 

 

Cisco Catalyst 2900、3500 シリーズ 

Nortel BayStack 450 

 

Alteon 180e 

Dell PowerConnect 3248 と PowerConnect 5224 

Cisco Catalyst ルーティング・スイッチの設定例 

以下の例では、Cisco Catalyst 6500 シリーズ・ルーティング・スイッチで ClusterXL をサポートするために必要な設 

定コマンドの実行方法を示します。詳細またはほかのネットワーキング機器の手順については、各機器のマニュア 

ルを参照してください。 

IGMP スヌーピングの無効化 

IGMP スヌーピングを無効にするには、以下のコマンドを実行します。 

no ip igmp snooping 


スタティック CAM エントリの定義 

モジュール 1(ポート 1)とモジュール 2(ポート 1、3、および 8~12)に対する永続マルチキャスト・エントリ 

をテーブルに追加するには、以下のコマンドを入力します。 

1. Console> (enable) set cam permanent 01-40-5e-28-0a-64 1/1,2/1,2/3,2/8-12 

2. Permanent multicast entry added to CAM table. 

3. Console> (enable) 

設定が必要な MAC アドレスを決定するには 

1. クラスタ IP アドレスが x.y.z.w のネットワーク上では以下のようになります。 

 

 

y127 の場合、マルチキャスト MAC アドレスは 01:00:5e:(y-128):z::w です。たとえば、クラスタ IP アドレス 

が 192.168.10.100 の場合、MAC アドレスは 01:00:5e:28:0A:64 です(168-128=40 で、16 進数の「28」)。 

2. 同期などのクラスタ IP アドレスを持たないネットワーク x.y.z.0 の場合の手順は同じですが、MAC アドレスの最 

後のオクテット 0 の代わりに fa を使用します。 

 

たとえば、10.0.0.X ネットワークの場合、01:00:5e:00:00:fa です。 

マルチキャスト制限の無効化 

マルチキャスト制限を無効にするには、以下のコマンドを実行します。 

no storm-control multicast level 

ルータでのスタティック ARP エントリの設定 

スタティック ARP エントリを定義するには 

1. MAC アドレスを決定します(33ページの「スタティック CAM エントリの定義」を参照 )。 

2. arp arpa を実行します。 

マルチキャスト・パケットがルータに到達できないようにする方法 

マルチキャスト・パケットがルータに到達できないようにするには 

1. MAC アドレスを決定します(33ページの「スタティック CAM エントリの定義」を参照 )。 

2. set cam static module/port を実行します。 

チェック・ポイントのソフトウェアの互換性 

サポートするオペレーティング・システム 

以下の表で示すオペレーティング・システムが ClusterXL でサポートされています。ただし以下の注記に示す制限が 

あります。これらのオペレーティング・システムのサポートされているバージョンの詳細に関しては、『R75.40VS 

Release Notes』(http://supportcontent.checkpoint.com/solutions?id=sk76540)を参照してください。 

ClusterXL がサポートするオペレーティング・システム 

OS 負荷共有 HA(ハイ・アベイラビリティ) 

Check Point SecurePlatform サポートサポート 


注記 

1. VLAN はすべてのインタフェースでサポートされます。 

ClusterXL の互換性 (IPS を除く) 

以下の表と注は、ClusterXL の負荷共有と HA の OPSEC 認定クラスタ製品 (43ページの「OPSEC 認定クラスタ製 

品の使用」を参照 )に対する互換性を示したものです。一部のチェック・ポイントの製品や機能は、ClusterXL での使 

用がサポートされていない、または一部のみサポートされています( 詳細は脚注を参照 )。 

ClusterXL が完全にはサポートしていない製品と機能 

機能または製品機能負荷共有 HA( 高可用性 ) 

セキュリティ管理いいえいいえ 

ファイアウォール認証 /セキュリティ・サーバはい(1) はい(1) 

ファイアウォール ACE サーバと SecurID はいはい 

ファイアウォール 

Application Intelligence プ 

ロトコル・インスペクション 

(2) 

はい(3) 

はい 

ファイアウォールシーケンス・ベリファイアはい(4) はい(1) 

ファイアウォール UDP カプセル化はいはい 

ファイアウォール SAM はいはい 

ファイアウォール ISP の冗長性はいはい 

VPN 

サード・パーティ製 VPN 

ピア 

はい 

はい 

Endpoint Security クライアント 

ソフトウェア配布サーバ 

(SDS) 

いいえ 

いいえ 

Endpoint Security クライアント 

オフィス・モードのユーザ 

ごとの IP 

はい 

はい 

SecureXL ハードウェア・アクセラレータ 

または Performance Pack 

はい 

はい 

Check Point QoS はい(4)(5) はい 

SmartProvisioning 

SmartLSM セキュリティ・ 

ゲートウェイ 

いいえ 

いいえ 

Check Point Security Gateway はいはい 

1. フラグメントの受信中にフェイルオーバーが発生するとパケットは失われます。 

2. フェイルオーバーが発生した場合は救済されません。 

3. 単方向の対称性が必要です。これは、すべての外部パケットを同一のメンバが受信し、すべての内部パケットを 

同一のメンバが受信しなければならないが内部パケットと外部パケットの両方を同一のメンバが受信する必要 

はないことを意味します。 

4. 双方向の接続対称性が必要です。 

5. 次のセクションで説明する転送レイヤを使用します。 


ClusterXL の IPS との互換性 

以下の IPS の機能は、注に記載された制限付きで、ClusterXL によってサポートされます。 

ClusterXL の IPS との互換性 

機能負荷共有 HA 

フラグメント・サニティ・チェックはい(1、3) はい(1) 

パターン・マッチングはい(2、3) はい(2) 

シーケンス・ベリファイアはい(2、4) はい(2) 

FTP、HTTP、SMTP のセキュリティ・サーバはい(2、5) はい(2) 








注記 








転送レイヤ 

転送レイヤとは、ファイアウォールがローカルで検査した後のパケットをクラスタ・メンバがほかのメンバに渡すことが 

できるようにする ClusterXL のメカニズムです。この機能により、クラスタ・メンバから外部ホストへの接続を開始 

できます。 

クラスタ・メンバを発信元とするパケットは、クラスタの仮想 IP の背後に隠されます。したがって、外部ホストからの応 

答は直接発信元メンバには送信されずクラスタに送信されます。これが原因で以下の状況下で問題が発生する可 

能性があります。 

 

クラスタが HA New モードで動作中にスタンバイ・マシンから接続が開始された場合。外部ホストからの 

パケットはすべてスタンバイ・マシンではなくアクティブ・マシンによって処理されます。 

クラスタが負荷共有モードで動作中に判定機能がこの接続を処理するメンバとして別のメンバを選択した場合。 

これは、クラスタ IP 宛てのパケットもほかの接続と同様にクラスタ・メンバ間で分散されるためです。 

メンバが、ファイアウォールの検査プロセス完了後にパケットが別のクラスタ・メンバ宛てであると判断した場合、メン 

バは転送レイヤを使用してパケットをその宛先に渡すことができます。これは、セキュリティで保護されたネットワー 

ク( 同期ネットワークとして指定されたサブネット)を介して直接宛先メンバにパケットを送信することによって行われ 

ます。暗号化されたパケットは検査プロセスで復号され( 暗号化されていない)クリアテキスト・データとして転送され 

るため、セキュリティで保護されたネットワークのみを使用することが重要です。 

転送レイヤ上で送信されるパケットは、特別な発信元 MACアドレスを使用して別の Security Gatewayによってパケ 

ットの検査が完了していることを受信側メンバに通知します。したがって、受信側メンバは受け取ったパケットをロー 


カル・オペレーティング・システムに再検査せずに安全に転送できます。同期ネットワークは常に( 専用ネットワーク 

を使用して)ほかのネットワークから隔離されているためこのプロセスは安全です。 

クラスタ・トポロジの設定 

1. [Topology]ページで、[Edit Topology]をクリックして、仮想のクラスタ IP アドレス、および少なくとも 1 つの同期 

ネットワークを定義します。 

2. [Edit Topology]ウィンドウで以下を行います。 

a) 各メンバ・インタフェースのトポロジを定義します。メンバ・インタフェースで事前に定義されたすべての設定 

を自動的に読み込むには、[Copy topology to cluster interfaces]をクリックします。 

b) [Network Objective]カラムで、リストから各ネットワークに目的を選択します。オプションについては、オン 

ライン・ヘルプを参照してください。新しいネットワークを定義するには、[Add Network]をクリックします。 

3. 各仮想クラスタ・インタフェースのトポロジを定義します。仮想クラスタ・インタフェース・セルを右クリックして[Edit 

Interface]を選択します。[Interface Properties]ウィンドウが開きます。 

a) [General]タブで、仮想インタフェースに[Name]を付けて、[IP Address]を定義します。 

b) [Topology]タブでインタフェースが内部か外部かどうかを定義し、アンチスプーフィング機能を設定します。 

c) [Member Networks]タブで、メンバ・ネットワークとネットマスク( 必要な場合 )を定義します。詳細オプション 

は、異なるサブネット上のクラスタ・アドレスの設定を参照してください。 


第 5 章 

ClusterXL の設定 


クラスタ・メンバの準備 37 

クライアント・マシンのルーティング設定 38 

クラスタ・メンバでの CCP トランスポート・モードの選択 38 

クラスタ・オブジェクトとメンバの設定 38 

IPv6 に対する ClusterXL の HA 41 

この手順では、負荷共有マルチキャスト・モード、負荷共有ユニキャスト・モード、および HA New モードの設定方法 

について説明します。設定はすべてのモードで同じですが、SmartDashboard ゲートウェイ・クラスタ・オブジェクトの 

モードの選択またはゲートウェイ・クラスタの作成ウィザードでは異なります。 

HA Legacy モードを使用している場合には、102ページの「HA Legacy モード」を参照してください。 

クラスタ・メンバの準備 

クラスタ・メンバを準備するには 

1. ClusterXL の主要なライセンスを取得して、Security Management サーバにインストールします。 

2. すべてのクラスタ・メンバに Check Point Security Gateway をインストールして設定します。各メンバは、同 

じバージョンとビルドを使用します。インストールと初期設定処理に関しては、『R75.40VS Installation and 

Upgrade Guide』(http://supportcontent.checkpoint.com/solutions?id=sk76540)を参照してください。 

a) インストール処理の間、Secure Platform および Solaris メンバのために[Enable cluster membership for 

this gateway]を選択することによって ClusterXLとステート同期を有効にするか、Windows を使用している 

メンバのために[This Gateway is part of a cluster]を有効にします。 

インストール中にこの処理を実行しなかった場合は、後ほど cpconfig を使用することでいつでも同じ処理が 

できます。コマンドラインから cpconfig を実行し、適切なオプションを選択してそのメンバのためにクラスタ 

の能力を有効にします。メンバを再起動させる必要があるかもしれません。 

3. すべてのメンバにおいて各インタフェースの IP アドレスを定義します。 

4. VPN クラスタ・メンバにおいては、同期メンバがお互いの間で 1 秒以内に正確に時間を計ります。常に稼動して 

いるクラスタ・メンバでは、通常は時刻を一度設定するだけで十分です。NPT や、オペレーティング・システムが 

提供するその他の時刻同期サービスを使用すると、より信頼性の高い同期を実現できます。クラスタ・メンバの 

時計同期は非 VPN クラスタ機能とは関係ありません。 

5. スイッチを介してクラスタ・ネットワーク・マシンを接続します。同期インタフェースの場合はクロスケーブルまたは 

専用スイッチを使用してください。各ネットワーク( 内部、外部、同期、DMZ など)が別々の VLAN、スイッチ、また 

はハブ上に構成されていることを確認します。 

注 – WAN を介して同期することもできます(15ページの「WAN を介したクラスタの同期」 

を参照 )。 


クライアント・マシンのルーティング設定 

クライアント・マシンにルーティングを設定するには 

1. 内部ネットワークとの通信が外部のクラスタ IP アドレスを使用するように、ルーティングを設定します。たとえば、 

内部ネットワーク 10.10.0.0 に 192.168.10.100 経由で到達するように、スタティック・ルートを設定します。 

2. 外部ネットワークとの通信が内部のクラスタ IP アドレスを使用するように、ルーティングを設定します。たとえば、 

内部ネットワーク IP アドレス 10.10.0.100 を、各コンピュータのデフォルトのゲートウェイとしてルータ内部に定義 

します。 

クラスタ・メンバでの CCP トランスポート・モードの選択 

マルチキャストの方がブロードキャストよりも効率が良いため、クラスタ・メンバの ClusterXL(クラスタ・コントロール・ 

プロトコル)はデフォルトでマルチキャストを使用します。接続するスイッチがマルチキャスト・トラフィックを転送できな 

い場合、効率は下がりますが、スイッチにブロードキャストを使わせてトラフィックを転送できます。 

ブロードキャストとマルチキャスト間で CCP モードを切り替えるには 

各クラスタ・メンバに対して、コマンド・ラインで以下のコマンドを実行します。 

cphaconf set_ccp broadcast/multicast 

クラスタ・オブジェクトとメンバの設定 

クラスタ・オブジェクトの[Topology]ページを使用してクラスタ・オブジェクトとクラスタ・メンバの両方のトポロジを設 

定します。クラスタ IP アドレスは仮想で、物理インタフェースに属していません。1 つ以上の同期ネットワーク・インタ 

フェースを各クラスタ・メンバに割り当てます。 

次に示す図は代表的な ClusterXL 構成です。この章では、この構成を基にした例をあげて説明しています。 

新しいゲートウェイ・クラスタ・オブジェクトを定義するには 

1. Network Objects のツリーを右クリックして、[Check Point]→[Security Cluster]を選択します。 

2. [Security Gateway Cluster Creation]ウィンドウが表示されたら、以下のいずれかのメソッドを選択して新しい 

クラスタ・オブジェクトを作成します。 

 

シンプル・モード(ウィザード): 表示される手順に従って、設定プロセスを実行します。詳細はオンラインの 

ヘルプ・アシスタントをご参照ください。 


クラシック・モード: 次の項の説明を参照してください。 

ウィザードの使用 

クラシック・モードの設定 

設定手順 

[General Properties]の設定 39 

クラスタ・メンバの定義 39 

ClusterXL プロパティの設定 40 

クラスタ・トポロジの設定 40 

定義の完了 41 

[General Properties]の設定 

クラスタの[General Properties]を設定するには 

1. 指定されたフィールドで、このクラスタ・オブジェクトに固有な名前を入力します。 

2. メイン・クラスタ IP アドレスを入力します。 

3. クラスタにインストールされた製品として ClusterXL をオンにします。 

4. ClusterXL を有効化し、適切な場合、その他のネットワーク・セキュリティのソフトウェア・ブレードも有効化し 

ます。 

クラスタ・メンバの定義 

クラスタ・メンバを設定するには 

1. [Cluster Members]ページで、[Add]→[New Cluster Member]をクリックします。 

2. [Cluster Members Properties]ウィンドウの[General]タブで、メンバの[Name]と物理 [IP Address] 

(Security Management サーバからルーティング可能なもの)を入力します。内部アドレス、外部アドレス、専用 

管理インタフェースのいずれでも構いません。 

3. [Communication]をクリックして、SIC(Secure Internal Communication)トラストを初期化します。 

4. 必要に応じて適切なタブ上で、[NAT]と[VPN]を設定します。詳細は、『R75.40VS Security Management 

Administration Guide』(http://supportcontent.checkpoint.com/solutions?id=sk76540)を参照してください。 

メンバとして既存のゲートウェイを追加 

既存のゲートウェイをクラスタ・メンバとして加えるには、[Add]→[Add Gateway to Cluster]を[Cluster Members 

ページで選択し、[Add Gateway to Cluster]ウィンドウのリストからゲートウェイを選択します。 

メンバの削除 

クラスタからゲートウェイを削除するには、[Cluster Members]ページで[Remove]をクリックして[Detach Member 

from Cluster]を選択するか、[Network Objects]ツリーのクラスタ・メンバを右クリックして[Detach from Cluster]を 

選択します。 


ClusterXL プロパティの設定 

ClusterXL プロパティを設定するには 

1. HA 構成の場合、[High Availability]オプションを有効にし、次を実行します。 

a) 以下のモードのいずれかを選択します。 

• New(デフォルト) 

• Legacy 

b) プライマリ・メンバ回復で行う動作を選択してください。 

• 現在のアクティブなクラスタ・メンバの維持 

• より高い優先順位のクラスタ・メンバに切り替え 

2. 負荷共有構成の場合、[Load Sharing]オプションを有効にして、ルータの機能に従って、以下のモードのいず 

れかを選択します。 

 

 

マルチキャスト(デフォルト) 

ユニキャスト 

3. [Use State Synchronization]オプションを有効にします。 

a) 負荷共有の設定にはステ―ト同期が必要です。このオプションはデフォルトで有効になっており、無効にで 

きません。 

b) HA New 構成の場合、ステート同期はオプションですが、デフォルトで有効になっています。ステート同期を 

無効にした場合、クラスタ・メンバは同期されなくなり、フェイルオーバーの発生時に障害が発生したゲート 

ウェイ上の既存の接続は切断されます。 

4. リストから追跡オプションを選択します。 

クラスタ・トポロジの設定 

1. [Topology]ページで、[Edit Topology]をクリックして、仮想のクラスタ IP アドレス、および少なくとも 1 つの同期 

ネットワークを定義します。 

2. [Edit Topology]ウィンドウで以下を行います。 

a) 各メンバ・インタフェースのトポロジを定義します。メンバ・インタフェースで事前に定義されたすべての設定 

を自動的に読みこむには、[Copy topology to cluster interfaces]をクリックします。 

b) [Network Objective]カラムで、リストから各ネットワークに目的を選択します。オプションについては、オン 

ライン・ヘルプを参照してください。新しいネットワークを定義するには、[Add Network]をクリックします。 

3. 各仮想クラスタ・インタフェースのトポロジを定義します。仮想クラスタ・インタフェース・セルを右クリックして[Edit 

Interface]を選択します。[Interface Properties]ウィンドウが開きます。 


a) [General]タブで、仮想インタフェースに[Name]を付けて、[IP Address]を定義します。 

b) [Topology]タブでインタフェースが内部か外部かどうかを定義し、アンチスプーフィング機能を設定します。 

c) [Member Networks]タブで、メンバ・ネットワークとネットマスク( 必要な場合 )を定義します。詳細オプション 

は、異なるサブネット上のクラスタ・アドレスの設定を参照してください。 

定義の完了 

1. 必要に応じて、クラスタ・オブジェクトの他のページ([NAT]、[VPN]、[Remote Access]ページなど)を定義し 

ます。 

2. セキュリティ・ポリシーをクラスタにインストールします。 

IPv6 に対する ClusterXL の HA 

R75.40VS ClusterXL は IPv6 向けの HA クラスタをサポートしています。フェイルオーバーが発生すると、すべての 

IPv6 ステート情報が同期され、IPv6 クラスタ化のメカニズムが有効になります。 

R75.40VS ClusterXL(IPv4 と同様 )を使用する場合、ClusterXL は、ステート同期とクラスタ化の両方を実行します。 

SmartDashboard では、クラスタ化された各インタフェースに IPv6 クラスタ・アドレスを定義する必要があります。 

ClusterXL の HA 

R75.40VS ClusterXL を使う場合、ステート同期と HA クラスタで ClusterXL が使われます。フェイルオーバーの間、 

HA クラスタは通常 Gratuitous ARP 要求パケットを送信し、仮想クラスタ IPv4 アドレスに新しい MAC アドレスをアド 

バタイズすることで、クラスタ・インタフェースに接続されたホスト/ルータの ARP キャッシュをアップデートします。 

R75.40VS ClusterXL には、フェイルオーバーの間に IPv6 ネットワークをアップデートできる機能が備えられていま 

す。Cluster XL は、Neighbor Advertisement のメッセージを送信し、仮想クラスタ IPv6 アドレスに新しい MAC アド 

レスをアドバタイズすることで、ネイバ・キャッシュ(IPv4 の ARP キャッシュに相当します)をアップデートします.さらに、 

ClusterXL は、仮想クラスタ IPv6 のアドレスに等しいターゲット・アドレスにより Neighbor Solicitation に応答します。 

注 - ClusterXL のフェイルオーバー・イベントの検出は、IPv4 のプロービングに基づいていま 

す。ステート移行の間、IPv4 ドライバは、IPv6 ドライバに対して IPv6 ネットワークの HA クラス 

タへの接続性を再確立するよう指示します。 

IPv6 クラスタの設定 

IPv6 の機能をインタフェースに有効にするためには、適切なインタフェースに対する IPv6 アドレスをクラスタと各メン 

バに定義する必要があります。IPv6 アドレスによって設定されたすべてのインタフェースが、対応する IPv4 アドレス 

を持っている必要があります。インタフェースが IPv6 を必要としない場合、IPv4 定義アドレスのみが必要になりま 

す。 

注 - IPv4 アドレスのみで同期インタフェースを設定します。これは、同期メカニズムが IPv4 だ 

けを使用して動作するためです。すべての IPv6 の情報とステートは、このインタフェースを使 

用して同期します。 

クラスタ・インタフェースとクラスタ・メンバに IPv6 を設定するには 

1. SmartDashboard で、新しいクラスタ・オブジェクトを作成するか、または既存のクラスタ・オブジェクトをダブルク 

リックします。 

2. ナビゲーション・ツリーで、[ClusterXL]を選択します。 

3. [High Availability]を選択します。 

4. [Topology]→[Edit]をクリックします。 


5. [Edit Topology]ウィンドウで、[Add Network]をクリックします。 

6. クラスタ・インタフェースとメンバ情報を適切なフィールドに入力します(IPv4 アドレス、Net Mask、IPv6 アドレス、 

プレフィックス長 )。 

情報を入力するには、セルを選択して[Edit]をクリックします。 

注 - クラスタ・メンバは、クラスタ・インタフェースと同じ IPv6 アドレス・プレフィックスを持つ必 

要があります。異なったプレフィックスはサポートされません。 

7. 変更を保存するには、[OK]をクリックします。 

cphaprob stat または cphaprob -a のみが IPv4 アドレス情報を表示します。これは、ClusterXL のメカニズ 

ムが IPv4 に基づいているためです。cphaprob stat が、IPv4 アドレスがアクティブであることを示すと、IPv6 アド 

レスもアクティブであることを意味します。 


第 6 章 

OPSEC 認定クラスタ製品の使用 


OPSEC 認定クラスタ製品について 43 

OPSEC 認定クラスタ製品の設定 43 

OPSEC クラスタにおける CPHA コマンド・ラインの動作 45 

OPSEC 認定クラスタ製品について 

多くの OPSEC 認定製品が HA 機能 (「ホット・スタンバイ」とも呼ばれます)と負荷共有機能 (「ロード・バランシング」 

とも呼ばれます)を提供しています。これらの製品を使用して、可用性の高い Security Gateway クラスタを構築し、 

クラスタ化されたゲートウェイ間で均等にトラフィックを分散させることができます。 

各 OPSEC 認定クラスタリング・アプリケーションは、監視、管理、またはパフォーマンスにおいて、それぞれ固有の 

強みと能力を持っています。これらのクラスタリング・アプリケーションの役割は以下のとおりです。 

1. 各通信を処理するクラスタ・メンバを決定する。 

2. ヘルス・チェックを行う。これには、クラスタ・メンバの状態チェック(Active/Standby/Down など)と、メンバ・インタ 

フェースの状態チェックが含まれます。 

3. フェイルオーバーを実行する。 

OPSEC 認定クラスタ製品は、チェック・ポイントのステート同期メカニズム(11ページの「クラスタ間での接続情報 

の同期」を参照 )を使用して、クラスタ・メンバ間で通信情報やその他の状態情報の交換と更新を行います。 

ここでは、OPSEC 認定クラスタ製品を使用する際の一般的なガイドラインについて説明します。設定の詳細は、クラ 

スタ製品ごとに異なりますので、OPSEC 製品に添付されているマニュアルに従ってください。 

OPSEC 認定クラスタ製品の設定 

ここでは、OPSEC 認定 Security Gateway のクラスタ・ソリューションの設定方法を説明します。 

スイッチの準備とルーティングの設定 

以下については、クラスタ製品マニュアルの説明に従ってください。 

 

 

スイッチとルータの準備 

ルーティングの設定 

クラスタ・メンバ・マシンの準備 

クラスタ・メンバ・マシンを準備するには 

1. すべてのクラスタ・メンバ上で、すべてのインタフェースの IP アドレスを定義します。 

2. スイッチを介してクラスタ・ネットワーク・マシンを接続します。同期インタフェースの場合は、クロスケーブルまた 

は専用スイッチを使用してください。 


注 - WAN を介して同期を実行できます。詳細は、15ページの「WAN を介したクラスタの 

同期」を参照してください。 

3. IPSO クラスタに関しては、Check Point Security Gateway をインストールする前に VRRP もしくは IP クラスタリ 

ングを設定します。 

4. OPSEC 認定クラスタの場合は、ベンダーの推奨方法に従ってください。 

インストールが終了したら、Nokia 設定マネージャで[Enable VPN-1/FW-1 monitoring]が[Enable]に設定さ 

れていることを確認します。これにより、IPSO はファイアウォールの状態の変化を監視するようになります。 

IPSO 3.8.2 以降の VRRP と IP クラスタリング機能の場合、フェイルオーバーのためにファイアウォールの状態 

が IPSO クラスタに報告されます。 

5. すべてのクラスタ・メンバに Check Point Security Gateway をインストールします。設定段階で(または後で 

cpconfig 設定ツールを使用して) 以下を行います。 

 

 

各クラスタ・メンバに Check Point Security Gateway のためのライセンスをインストールします。OPSEC 認 

定製品を Security Gateway と共に動作させるための特別なライセンスは不要です。 

設定段階で、Unix マシンで[Enable cluster membership for this gateway]、または Windows で[This 

Gateway is part of a cluster]を選択して、ステート同期を有効にします。 

OPSEC クラスタに対する SmartDashboard の設定 

SmartDashboard を使用して、ゲートウェイ・クラスタ・オブジェクトを作成します。新しいゲートウェイ・クラスタ・オブ 

ジェクトを定義するには、[Network Objects]ツリーを右クリックして、[New Check Point]→[Gateway Cluster…] 

を選択します。ゲートウェイ・クラスタ・オブジェクトの設定は、以下のいずれかのモードを使用して実行できます。 

 

 

シンプル・モード(ウィザード): 表示される手順に従って、設定プロセスを実行します。詳細については、 

オンライン・ヘルプを参照してください。 

クラシック・モード: 以下で説明します。 

クラシック・モードの設定 

OPSEC でクラシック・モードを使うには 

1. ゲートウェイ・クラスタ・オブジェクトの[General Properties]ページで、クラスタの全体 IP アドレスを定義します。 

通常は、クラスタの外部仮想 IP アドレスを使用します。 

[Check Point Products]のリストで、ClusterXL が選択されていないことを確認します。 

2. [Cluster Members]ページで、[Add]→[New Cluster Member]を選択して、クラスタ・メンバをクラスタに追加 

します。クラスタ・メンバはゲートウェイ・クラスタ・オブジェクト内にのみ存在します。各クラスタ・メンバに対して以 

下の操作を行います。 

 

 

 

[Cluster Members Properties]→[General] タブで、[Name]と[IP Address]を定義します。セキュリ 

ティ・ポリシーをインストールできるように、Security Management サーバからルーティング可能な IP アドレ 

スを選択します。内部アドレス、外部アドレス、専用管理インタフェースのいずれでも構いません。 

[Communication]をクリックして、SIC(Secure Internal Communication)を初期化します。 

必要に応じて[NAT]タブと[VPN]タブを定義します。 

既存のゲートウェイをクラスタ・メンバとして追加するには、[Cluster Members]ページで[Add]→[Add 

Gateway to Cluster]を選択し、[Add Gateway to Cluster]ウィンドウのリストからゲートウェイを選択します。 

クラスタからゲートウェイを削除するには、[Cluster Members]ページで[Remove]をクリックして[Detach 

Member from Cluster]を選択するか、[Network Objects]ツリーのクラスタ・メンバを右クリックして[Detach 

from Cluster]を選択します。 

3. [3rd Party Configuration]ページで、クラスタの動作モードを指定し、[3rd Party Solution]に OPSEC を指定し 

て、[Use State Synchronization]をオンにします。 

4. [Topology]ページを使用して、仮想クラスタ IP アドレスとクラスタ・メンバ・アドレスを定義します。 

各クラスタ・メンバに対して、各メンバのインタフェースを定義します。 

OPSEC 認定製品の場合、一部の製品では仮想クラスタ IP の設定は必須ですが、ほかの製品では設定は禁止 

されています。詳細については、クラスタ製品のマニュアルを参照してください。 


同期ネットワークを定義します。OPSEC の実装方法によっては、OPSEC 設定がすでに定義されていれば、 

OPSEC 設定から同期ネットワークを「取得」できます。特定の OPSEC 製品でこの機能が実装されているかどう 

か確認するには、OPSEC のマニュアルを参照してください。 

5. [3rd Party Configuration]ページに戻ります。 

非対称通信は、クライアントからサーバへのパケットとサーバからクライアントへのパケットが異なるクラスタ・メ 

ンバを通過する通信です。非対称通信では、状態の一致しないパケットをクラスタ・メンバが受信する可能性が 

あるため問題となります。Security Gateway は、有効な通信に属するパッケージであっても out-of-state パケッ 

トであれば拒否します。 

このような通信がクラスタを通過するのを Security Gateway に許可させるには、同期メカニズムまたは OPSEC 

認定クラスタ製品のどちらかが、有効な非対称通信を識別できる必要があります。 

OPSEC 認定クラスタ製品が有効な非対称通信を識別できるかどうかを確認します。 

 

 

クラスタ製品が有効な非対称通信を識別できない場合には、代わりに同期メカニズムで識別できます。その 

場合、[Support non-sticky connections]をオンにします。 

クラスタ製品が有効な非対称通信を識別できる場合、同期メカニズムはこの処理を行う必要はありません。 

その場合、[Support non-sticky connections]をオフにします。HA ソリューション( 負荷共有ではなく)では、 

このオプションをオフにしたほうがセキュリティ上安全です。このオプションをオフにすると、通信確立の速度 

も少し向上します。 

[Hide Cluster Members outgoing traffic behind the Clusters IP Address]オプションをオンにする場合は、 

(OPSEC クラスタ製品のマニュアルで特に指示されていない限り) [Support non-sticky connections]も 

オンにして、スタンバイ・マシンからの発信通信をサポートする必要があります。 

6. 多くのゲートウェイ・クラスタは物理クラスタ・メンバ・インタフェース・アドレスのほかに、クラスタ・オブジェクトの 

[Topology]ページで定義された仮想クラスタ IP アドレスを持っています。仮想クラスタ IP アドレスを使用すると、 

[3rd Party Configuration]ページの設定に影響を与えます。 

クラスタ・メンバからインターネットへの発信通信を確立する場合、発信パケット内の発信元アドレスは通常、クラ 

スタ・メンバ・インタフェースの物理 IP アドレスになります。仮想クラスタ IP アドレスを使用している場合、クラスタ 

製品は通常、発信元 IP アドレスを、クラスタの外部仮想 IP アドレスを使用した発信元 IP アドレスに(NAT を使 

用して) 変換します。 

この動作は、[Hide Cluster Members' outgoing traffic behind the Cluster's IP address]がオンになっている 

場合のデフォルト設定に対応します。 

クライアントがクラスタの外部仮想アドレスに対して着信通信を確立する場合、クラスタ製品は宛先 IP アドレスを、 

クラスタ・メンバの 1 つの物理外部アドレスを使用した宛先 IP アドレスに(NAT を使用して) 変換します。 

この動作は、[Forward Cluster's incoming traffic to Cluster Members' IP addresses]がオンになっている場 

合のデフォルト設定に対応します。[Topology]ページで、各メンバのインタフェースを定義します。ほとんどの 

OPSEC ソリューションでは、クラスタ IP アドレスを各メンバの[Topology]タブに追加する必要はありません。詳 

細については、クラスタ製品のマニュアルを参照してください。 

7. 必要に応じて、クラスタ・オブジェクトの他のページ([NAT]、[VPN]、[Remote Access]ページなど)を定義し 

ます。 


注 - IPSO VRRP または IPSO バージョン 3.9 以降の IP クラスタを定義する場合 monitor 

fw state 機能は最初のポリシーのインストール前に無効化しておきます。無効にしないと、 

クラスタ IP アドレスの設定ができなくなり、その結果、[Gateway Cluster Properties]ウィン 

ドウの[Topology]セクションでの[Get Interfaces] 操作は失敗します。ポリシーのインス 

トール後、monitor fw state 機能を再び有効にすることができます。 

OPSEC クラスタにおける CPHA コマンド・ラインの動作 

このセクションでは、OPSEC クラスタでの特定のコマンド・ラインの働きについて説明します。 

注 - cpha コマンド・ラインの詳細は、「ゲートウェイ・クラスタの監視とトラブルシューティング」 

(47ページ)を参照してください。 


OPSEC クラスタにおける cphastart コマンドと cphastop コマンド 

ClusterXL における cphastart および cphasstop コマンドの動作については、57ページの「cphastart コマンドと 

cphastop コマンド」を参照してください。 

OPSEC クラスタでは、cphastart コマンドでクラスタ・メンバが起動されない場合があります。IPSO クラスタでは、 

cphastart コマンドの働きは ClusterXL クラスタの場合と同じです。 

OPSEC クラスタでは、cphastop コマンドがフェイルオーバーを発生させない場合があります。IPSO IP クラスタリン 

グ・クラスタ(VRRP クラスタでは異なります)では、cphastop コマンドの働きは ClusterXL クラスタの場合と同じです。 

ClusterXL クラスタの場合と同様、これらのコマンドは Security Gateway によってのみ実行され、ユーザは直接実 

行しません。 

OPSEC クラスタにおける cphaprob コマンド 

クラスタとクラスタ・メンバが正常に動作していることを確認するには、cphaprob コマンドを使用します。このコマンド 

は、IPSO IP クラスタリングと IPSO VRRP にのみ関係します。 

IPSO 以外の OPSEC クラスタでは、出力に何も表示されないか、コマンドを実行しても何も起こりません。 

cphaprob の使い方を印刷して使用可能なすべてのコマンドを確認するには、コマンド・ラインに「cphaprob」と入力 

して、Enter キーを押します。各コマンドの意味を以下のセクションで説明します。 

cphaprob -d -t -s [-p] register 

cphaprob -f register 

cphaprob -d [-p] unregister 

cphaprob -d -s report 

cphaprob [-i[a]] [-e] list 

cphaprob state 

cphaprob [-a] if 

cphaprob state: マシン状態はチェック・ポイントの状態だけであり、実際にはマシン状態ではありません。完全 

同期の正常終了と、ポリシーが正常にインストールされたかどうかを監視します。IP クラスタリングの場合、状態は 

正確で、IPSO Cluster の状態も含めてレポートされます。VRRP の場合、状態はファイアウォールについては正確 

ですが、IPSO マシンの状態は正確には反映されません(たとえば、インタフェースの障害は検出されません)。 

cphaprob [-a] if: 関連情報のみを表示します(インタフェース名と、同期インタフェースであるかどうか)。 

「Multicast」/「Broadcast」はクラスタ・コントロール・プロトコルを意味し、同期インタフェースにのみ関係します。イン 

タフェースの状態は監視されていないため、表示されません(これは IPSO マシンの場合も同様です)。 


第 7 章 

ゲートウェイ・クラスタの 

監視とトラブルシューティング 


クラスタの正常動作を確認する方法 47 

SmartConsole クライアントを使用したクラスタ状態監視 53 

ClusterXL 設定コマンド 56 

フェイルオーバーの開始方法 57 

同期の監視 (fw ctl pstat) 58 

同期のトラブルシューティング 60 

ClusterXL のエラー・メッセージ 69 

メンバの再起動の失敗 72 

クラスタの正常動作を確認する方法 

cphaprob コマンド 

クラスタとクラスタ・メンバが正常に動作していることを確認したり、クリティカル・デバイスを定義する場合は、 

cphaprob コマンドを使用します。クリティカル・デバイスとはクラスタ・メンバで動作するプロセスで、クラスタ・メンバ 

がメンバとして機能できなくなった場合にほかのクラスタ・メンバに通知することを可能にします。クリティカル・デバイ 

スは自分の現在の状態について ClusterXL メカニズムに報告します。報告に失敗した場合、ClusterXL はフェイル 

オーバーが発生してほかのクラスタ・メンバが引き継いだと判断します。クリティカル・デバイス( 問題通知または 

pnote とも呼ばれます)に障害が発生した場合、クラスタ・メンバに障害が発生したと見なされます。 

多くの組み込みクリティカル・デバイスがあり、さらに管理者がクリティカル・デバイスを追加定義することもできます。 

デフォルトのクリティカル・デバイスは以下のとおりです。 

 

 

 

 

 

クラスタ・メンバ上のクラスタ・インタフェース 

Synchronization — 完全同期の正常終了 

Filter — セキュリティ・ポリシーおよびセキュリティ・ポリシーがロードされたかどうか 

cphad — cphamcset と呼ばれる ClusterXL プロセスの次に実行されるプロセス 

fwd — Security Gateway デーモン. 

これらのコマンドは、スクリプトに記述することにより自動的に実行できます。 

cphaprob の使い方を印刷して使用可能なすべてのコマンドを確認するには、コマンド・ラインに「cphaprob」と入力 

して、Enter キーを押します。各コマンドの意味を以下のセクションで説明します。 









クラスタの状態監視 

単一または複数のクラスタ・メンバのステータスを確認するには 

以下のコマンドを実行します。 


このコマンドは、クラスタをセットアップした後、およびクラスタの状態を監視する場合に実行します。 

cphaprob state の出力例を以下に示します。 


Cluster mode: 

Load sharing (Multicast) 

Number 

Unique Address State 

 

1 (local) 30.0.0.1 active 

2 30.0.0.2 active 

 

 

 

 

Cluster mode に表示される内容には、以下のとおりです。 

Load Sharing(Multicast) 

Load Sharing(Unicast) 

High Availability New Mode(Primary Upまたは Active Up)(HA Newモード(プライマリ・アップまたはアク 

ティブ・アップ)) 

High Availability Legacy Mode(Primary Up または Active Up) 

サード・パーティ製クラスタ製品 : Service (10ページの「クラスタの定義と用語」を参照 ) 

 

 

メンバの番号は、負荷共有の場合はメンバ ID を、HA の場合は優先順位を、それぞれ表します。 

負荷共有構成の場合、完全に機能しているクラスタ内ではすべてのマシンが Active になります。HA 構成の 

場合、正常に機能しているクラスタ内では 1 つのマシンのみが Active になり、ほかのマシンは Standby 状 

態になります。 

サード・パーティ製のクラスタ製品の場合は、メンバの 1 つがスタンバイ状態であっても Active/Active と表示さ 

れます。これは、このコマンドが完全同期プロセスの状態のみを報告するためです。IPSO VRRP の場合、この 

コマンドはファイアウォールそのものの状態を表示しますが、クラスタ・メンバの状態は表示しません(たとえば、 

メンバが正常に動作していない場合でも、ファイアウォールの状態はアクティブになります)。 

クラスタ・メンバの状態を調べる際は、そのメンバがパケットの転送中かどうか、およびパケットの転送を妨げるよう 

な問題が発生しているかどうかを確認する必要があります。各状態には、クリティカル・デバイスでのテスト結果が反 

映されます。このリストは可能なクラス・ステートと、問題に対処が可能か否かを表しています。. 


クラスタの状態 

状態内容パケットが転送中か 

どうか 

問題の有無 

アクティブすべてが正常な状態です。はいいいえ 

アクティブ・ 

アテンション 

問題が検出されましたが、このクラスタ・メンバがクラスタ 

内で唯一のマシンであるか、クラスタ内にほかのアクティ 

ブ・マシンが存在しないため、パケットの転送を継続してい 

ます。これ以外の状況では、マシンの状態はダウンとなり 

ます。 

はい 

はい 

ダウンクリティカル・デバイスの 1 つがダウンしています。いいえはい 

レディ 

Ready(レディ) 状態の意味は、マシン自身がクラスタの一 

部と認識し、ただちにアクションの実行準備に入っている 

が、設計により何らかの原因でアクションが実行されてい 

ない状態のことをいいます。マシンがアクティブでない原 

因としては、以下が考えられます。 

いいえ 

いいえ 

1. 必要なソフトウェア・コンポーネントが読み込まれてい 

ない/ 初期化されていない状態、もしくは、設定手順が 

すべて完了していない状態。クラスタ・メンバがアクテ 

ィブになる前に、クラスタ内のほかのメンバにメッセー 

ジを送信し、ほかのクラスタ・メンバからアクティブにな 

ることを了承する確認メッセージを受信するのを待っ 

ています。HA モードでは、アクティブなメンバが既に 

存在するかのチェックを行い、負荷共有ユニキャス 

ト・モードでは、ピボット・メンバが存在するかどうかをチ 

ェックします。残りのクラスタ・メンバからの応答を受け 

取るまでは「Ready」状態になり、受信後に、次の状態 

(Active、Standby、Pivot、non-Pivot)を決定します。 

2. このメンバにインストールしたソフトウェアのバージョン 

が、このクラスタ内のほかのメンバより新しいバージョ 

ンである場合。たとえば、クラスタがある Check Point 

Security Gateway バージョンから新しいバージョンに 

アップグレードされ、クラスタ・メンバの Check Point 

Security Gateway バージョンが異なる場合、新しいバ 

ージョンのクラスタ・メンバは「Ready」(レディ) 状態と 

なり、前バージョンのメンバは「Active/Active 

Attention」(アクティブ/アクティブ・アテンション) 状態に 

なります。 

3. すべてのクラスタ・メンバにインストールされたソフトウ 

ェアに CoreXL が含まれる場合 (バージョン R70 以降 

ではデフォルトでインストールされます)、「Ready」(レ 

ディ) 状態のメンバには、ほかのメンバより多くの 

CoreXL インスタンスがある可能性があります。詳細 

は sk42096 を参照してください。 

スタンバイ 

HA 設定にのみ適用されます。アクティブ・マシンに障害が 

発生した場合にパケット転送を開始できるよう、待機して 

いることを意味します。 

いいえ 

いいえ 


状態内容パケットが転送中か 

どうか 

問題の有無 

初期化中 

クラスタ・メンバは初期の過渡的状態にあります。クラス 

タ・メンバが起動中で、ClusterXL 製品はすでに動作して 

いますが、Security Gateway はまだ準備ができていま 

せん。 

いいえ 

いいえ 

ClusterX が 

非アクティブ 

またはマシ 

ンがダウンし 

ている 

ローカル・マシンは、このクラスタ・メンバから何も受信でき 

ません。 

不明 

はい 

クラスタ・インタフェースの監視 

クラスタ・メンバ・インタフェースとバーチャル・クラスタ・インタフェースの状態を確認するには 

クラスタ・メンバ上で、以下のコマンドを実行します。 


このコマンドの出力は、クラスタ・オブジェクトの[Topology]ページの設定と同じでなければなりません。 

以下に例を示します。 

cphaprob -a if 

Required interfaces:4 

Required secured interfaces:1 

qfe4 UP (secured, unique, multicast) 

qfe5 UP (non secured, unique, multicast) 

qfe6 DOWN (4810.2 secs) (non secured, unique, multicast) 

qfe7 UP (non secured, unique, multicast) 

Virtual cluster interfaces:2 

qfe5 30.0.1.130 

qfe6 30.0.2.130 

これらのインタフェースは ClusterXL のクリティカル・デバイスです。ClusterXL は正常なインタフェースの数を確認し、 

Required interfaces の値として、直前の再起動以後に検出された正常インタフェースの最大値を設定します。正常 

なインタフェース数が Required 数より少ない場合、ClusterXL はフェイルオーバーを開始します。secured 

interfaces でも同様に、正常な同期インタフェースだけがカウントされます。 

インタフェースは以下のように表示されます。 

 

 

Non-secured( 信頼できない)または Secured( 信頼できる)。安全に保護されたインタフェースは同 

期インタフェースです。 

Shared( 共有 )または Unique( 固有 )。共有インタフェースは、HA Legacy モードにのみ適用されます。 


Multicast(マルチキャスト)または Broadcast(ブロードキャスト)。クラスタ内で使用されるクラスタ・コント 

ロール・プロトコル(CCP)モード。CCP を変更してブロードキャストを使用することができます。これらの 2 

つのモードを切り替えるには、cphaconf set_ccp コマンドを使用します。 

IPSO IP クラスタリングを除くサード・パーティ製クラスタ製品の場合、 

cphaprob -a if は常に仮想クラスタ IP アドレスを示します。 

インタフェースに「DOWN」と表示された場合は、インタフェースが CCPパケットの送受信のどちらかまたはその両方 

ができないことを意味します。これはインタフェースが誤作動した場合、正しくないサブネットに接続された場合、マル 

チキャスト・イーサネット・パケットを取り出せない場合などに発生します。また、インタフェースが CCP パケットの受 

信はできるが送信ができない場合もあります。この場合、状態フィールドが読み取られます。表示される時間は、イ 

ンタフェースが最後に CCP パケットを受信または送信してから経過した秒数です。 

詳細については、93ページの「Disconnected インタフェースの定義」を参照してください。 

クリティカル・デバイスの監視 

クリティカル・デバイスに障害が発生すると、クラスタ・メンバに障害が発生したと見なされます。クラスタ・メンバ上の 

クリティカル・デバイスとクラスタ内のほかのすべてのマシンのリストを表示するには、クラスタ・メンバ上で以下のコ 

マンドを実行します。 


多くの組み込みクリティカル・デバイスがあり、さらに管理者がクリティカル・デバイスを追加定義することもできます。 

デフォルトのクリティカル・デバイスは以下のとおりです。 

 

 

 

 

 

クラスタ・メンバ上のクラスタ・インタフェース 

Synchronization — 完全同期の正常終了 

Filter — Security Policy およびセキュリティ・ポリシーがロードされたかどうか 

cphad — cphamcset と呼ばれる ClusterXL プロセスの次に実行されるプロセス 

fwd — Security Gateway デーモン 

IPSO クラスタリングの場合、出力は ClusterXL 負荷共有の場合と同じです。ほかのサード・パーティ製品の場合は、 

このコマンドの出力はありません。以下の出力例は、fwd プロセスがダウンしたことを示しています。 

cphaprob list 

Built-in Devices: 

Device Name:Interface Active Check 

Current state:OK 

Registered Devices: 

Device Name:Synchronization 

Registration number:0 

Timeout: none 


Time since last report:15998.4 sec 

Device Name:Filter 



Timeout: none 



Device Name: fwd 


Timeout:2 sec 

Current state: problem 


クリティカル・デバイスの登録 


ユーザ定義のクリティカル・デバイスを、クリティカル・デバイスのデフォルト・リストに追加できます。このコマンドを使 

用してをクリティカル・プロセスとして登録し、クラスタ・メンバがアクティブとして見なされるために動作して 

いなければならないデバイスのリストに追加します。に障害が発生すると、クラスタ・メンバに障害が発生し 

たと見なされます。 

が秒以内にクラスタ・メンバへのコンタクトに失敗すると、に障害が発生したとみなさ 

れます。タイムアウトを使用しない場合は、値 0 を指定します。 

登録時に ClusterXL に報告されるの状態を定義します。初期状態として、以下のいずれかを指定でき 

ます。 

ok — は動作中。 

 

init — は初期化中。マシンはダウンしています。この状態はマシンがアクティブになるのを 

防止します。 

problem — に障害が発生。 

[-p]はこれらの変更を固定します。再起動後または Security Gateway(たとえば、Linux または IPSO で)を削除後に 

再アタッチした場合でも、このフラグ付きで登録したクリティカル・デバイスの状態は保存されます。 

ファイルにリストされているクリティカル・デバイスの登録 


にリストされているユーザ定義のクリティカル・デバイスをすべて登録します。は ASCII ファイルであり、 

各デバイスは個別のラインにある必要があります。各行には、以下のように 3 つのパラメータを記述し、各パラメータ 

は少なくとも 1 個のスペースまたはタブで区切る必要があります。 

 

 

 

 

— クリティカル・デバイスの名前。15 文字以内で、スペースを含むことはできません。 

— が秒以内にクラスタ・メンバへのコンタクトに失敗すると、に 

障害が発生したとみなされます。タイムアウトを使用しない場合は、値 0 を指定します。 

— 以下のいずれかを指定します。 


 

init — は初期化中。マシンはダウンしています。この状態はマシンがアクティブになるのを防止しま 

す。 

problem — に障害が発生。 


クリティカル・デバイスの登録削除 


ユーザ定義のをクリティカル・プロセス登録から削除します。このデバイスはクリティカルと見なされなくなり 

ます。クリティカル・デバイス(つまりクラスタ・メンバ)を「problem」として登録した後でこのコマンドを実行した場合、 

このコマンド実行後のクラスタの状態は、残りのクリティカル・デバイスにのみ依存します。 

[-p]を指定すると、これらの変更が固定されます。すなわち、再起動後またはカーネル(たとえば Linux または IPSO 

で)を削除後に再アタッチした場合でも、これらのクリティカル・デバイスは未登録の状態になります。 

ClusterXL へのクリティカル・デバイス状態報告 


ユーザ定義のクリティカル・デバイスの状態を ClusterXL に報告するには、このコマンドを使用します。 

は、クラスタ・メンバがアクティブと見なされるために動作していなければならないデバイスです。 

に障害が発生すると、クラスタ・メンバに障害が発生したと見なされます。 

報告される状態は、以下のいずれかです。 


init — は初期化中。マシンはダウンしています。この状態はマシンがアクティブになるのを防止します。 

problem — に障害が発生。この状態が ClusterXL に報告されると、クラスタ・メンバは直ちに別のクラス 

タ・メンバにフェイルオーバーします。 

登録時に定義されたタイムアウト時間以内にがクラスタ・メンバとコンタクトできなかった場合、その 

、つまりクラスタ・メンバに障害が発生したと見なされます。これは、タイムアウトを定義されたクリティカル・ 

デバイスにのみ当てはまります。クリティカル・デバイスが-t 0 パラメータを指定して登録されている場合はタイムア 

ウトは発生せず、デバイスから何らかの状態が報告されるまで、最後に報告された状態のままであると見なされ 

ます。 

cphaprob スクリプトの例 

事前定義済みの cphaprob スクリプトは$FWDIR/bin にあります。以下の 2 つのスクリプトを利用できます。 

clusterXL_monitor_ips 

clusterXL_monitor_process 

付録の章である109ページの「cphaprob スクリプトの例」に記載されている clusterXL_monitor_ips スクリプトは、ル 

ータやほかのネットワーク・デバイスに対するエンド・ツー・エンド接続を確認する手段を提供し、ping に失敗した場 

合にフェイルオーバーを発生させるように設計されています。clusterXL_monitor_process スクリプトは、特定のプロ 

セスの存在を監視して、プロセスが動作停止した場合にフェイルオーバーを発生させます。このスクリプトは pnote 

のメカニズムを使用します。 

SmartConsole クライアントを使用したクラスタ状態監視 

SmartView Monitor 

SmartView Monitorは、企業内のすべてのClusterXLクラスタ・メンバのスナップショットを表示し、リアルタイムの監 

視と警告を可能にします。各クラスタ・メンバについて、状態変化とクリティカル・デバイスの問題通知が表示され 

ます。SmartView Monitorを使用すると、クラスタ・メンバの状態が変わったときの処置を指定することもできます。 

たとえば、Security Gatewayで警告を表示して、管理者に疑わしいアクティビティを通知することもできます。 


SmartView Monitor を使用した ClusterXL の起動と停止 

マシン上の ClusterXL を停止させてほかのマシンへのフェイルオーバーを発生させるには、SmartView Monitor を 

開いてクラスタ・オブジェクトをクリックます。メンバ・ゲートウェイ・ブランチの 1 つを選択し、クラスタ・メンバを右クリッ 

クして[Down]を選択します。 

ClusterXL を再起動するには、SmartView Monitor を開いてクラスタ・オブジェクトをクリックします。メンバ・ゲート 

ウェイ・ブランチの 1 つを選択し、クラスタ・メンバを右クリックして[Up]を選択します。 

注 - SmartView Monitor は、完全同期を開始しないため、一部の接続が失われる可能性が 

あります。完全同期を開始するには、cpstart を実行します。 

SmartView Tracker 

クラスタ・メンバの状態の変化はすべて、クラスタ・オブジェクトの[ClusterXL]ページの[Fail-Over Tracking]オプシ 

ョンの設定に従って SmartView Tracker に記録されます。 

ClusterXL のログ・メッセージ 

このセクションでは、以下の表記法を使用します。 

1. 大括弧はプレース・ホルダを表し、実際のログ・メッセージが発行されるときに関連データで置き換えられます 

(たとえば、[NUMBER]は数値で置き換えられます)。 

2. 角括弧は選択肢を表し、実際のログ・メッセージにこれらの選択肢の 1 つが使用されます。個々の選択肢は垂 

直線で区切られます( 例えば、は「up」または「down」を使用することを表します)。 

3. 以下のプレース・ホルダは、頻繁に使用されます。 

 

 

 

 

 

全体ログ 

ID: 「1」から始まる固有のクラスタ・メンバ識別子。これは、メンバがクラスタ・オブジェクトの GUI 上に表示 

される順序に対応します。 

IP: メンバに属する固有の IP アドレス。 

MODE: クラスタ・モード(たとえば、HA New モード、負荷共有マルチキャスト・モードなど)。 

STATE: メンバの状態 (たとえば、アクティブ、ダウン、スタンバイなど)。 

DEVICE: pnote デバイスの名前 (たとえば、fwd、Interface Active Check など)。 

Starting . 

報告しているメンバ上で ClusterXL(サード・パーティ・クラスタの場合はステート同期 )が正常に起動されたことを表 

します。このメッセージは、通常、メンバ起動後、または cphastart の明示的な呼び出し後に発行されます。 

Stopping . 

ClusterXL(またはステート同期 )がこのマシン上で非アクティブ化されたことを通知します。設定に関係なく、 

ClusterXL が再起動されるまで、マシンはクラスタに属さなくなります。 

Unconfigured cluster Machines changed their MAC Addresses. Please reboot the cluster 

so that the changes take affect. 

このメッセージは、通常、マシンがシャット・ダウンされたとき、または cphastop の明示的な呼び出しの後に発行さ 

れます。 

状態ログ 

Mode inconsistency detected: member [ID] ([IP]) will change its mode to [MODE].Please 

re-install the security policy on the cluster. 

このメッセージが出力されることはほとんどありません。このメッセージは、ローカル・メンバが知らないクラスタ・モー 

ドをほかのクラスタ・メンバが報告したことを示します。このメッセージは、通常、セキュリティ・ポリシーを全クラスタ・ 


メンバにインストールするのに失敗した場合に発生します。この問題を解決するには、セキュリティ・ポリシーを再イ 

ンストールしてください。 

注 - クラスタ・モードの不一致が検出された後でも、報告しているマシンのモードをほかのクラ 

スタ・メンバに合致するように変更すれば、クラスタは動作を継続します。ただし、できるだけ早 

くポリシーを再インストールしてください。 

State change of member [ID] ([IP]) from [STATE] to [STATE] was cancelled, since all 

other members are down.Member remains [STATE]. 

メンバが自分の状態を変更する必要がある場合 (たとえば、アクティブ・メンバに問題が発生して自分自身をダウン 

させる必要がある場合 )、最初にほかのメンバの状態を問い合わせます。ほかのすべてのメンバがダウンしている 

場合、このメンバは自分の状態を非アクティブな状態に変更できません( 変更すると、すべてのメンバがダウンし、ク 

ラスタは機能しなくなります)。そのため、報告しているメンバは、問題があったとしても機能し続けます(ただし、通常 

は自分の状態を「アクティブ・アテンション」として報告します)。 

member [ID] ([IP]) ([REASON]). 

このメッセージはクラスタ・メンバが自分の状態を変更するときに必ず発行されます。ログ・テキストには、メンバの新 

しい状態が示されます。 

Pnote ログ 

PNote ログ・メッセージは、pnote デバイスが自分の状態を変更したときに発行されます。 

 

[DEVICE] on member [ID] ([IP]) status OK ([REASON]). 

pnote デバイスは正常に動作しています。 

 

[DEVICE] on member [ID] ([IP]) detected a problem ([REASON]). 

pnote デバイスによりエラーが検出されたか、デバイスが自分の状態を一定時間 (pnote の「timeout」オプション 

で設定された秒数 ) 報告していないことを示します。 

 

[DEVICE] on member [ID] ([IP]) is initializing ([REASON]). 

デバイスは pnote メカニズムを使用してデバイス自身を登録しましたが、その状態がまだ確定していないことを 


 

[DEVICE] on member [ID] ([IP]) is in an unknown state ([STATE ID]) ([REASON]). 

このメッセージは、通常は表示されません。チェック・ポイントのサポートにお問い合わせください。 

インタフェース・ログ 

 

interface [INTERFACE NAME] of member [ID] ([IP]) is up. 

このインタフェースが正常に動作していることを示します。つまり、インタフェースは所定のサブネット上でパケッ 

トを送受信できます。 

 

interface [INTERFACE NAME] of member [ID] ([IP]) is down (receive , transmit 

). 

このメッセージは、パケットの受信または送信中にインタフェースに問題が発生した場合に必ず発行されます。 

この場合、インタフェースは OS に関する限り正常に動作を続行できますが、クラスタ設定が正しくないためにほ 

かのクラスタ・メンバと通信することはできません。 

 

interface [INTERFACE NAME] of member [ID] ([IP]) was added. 

新しいインタフェースが Security Gateway により登録されたこと(すなわち、このインタフェースに到着するパケ 

ットはファイアウォールでフィルタリングされること)をユーザに通知します。通常、このメッセージはインタフェー 

スを起動したとき(たとえば UNIX システムで ifconfig up コマンドを発行したときなど)に発行されます。以後、 

インタフェースは ClusterXL の報告に含まれるようになります(たとえば、SmartView Monitor に表示されたり、 

cphaprob -a if で出力されたりします)。ただし、ClusterXL で「Disconnected」と設定されている場合は、イ 

ンタフェースがそのように報告される場合があります。 

 

interface [INTERFACE NAME] of member [ID] ([IP}) was removed 

インタフェースが Security Gateway から切り離されたため、ClusterXL から監視できなくなったことを示します。 


SecureXL ログ 

 

SecureXL device was deactivated since it does not support CPLS. 

このメッセージは、負荷共有をサポートしていないアクセラレーション・デバイスを使用して、負荷共有マルチキャ 

スト・モードで Security Gateways 上に ClusterXL を設定しようとした場合に出力されます。この結果、アクセラ 

レーションは停止しますが、クラスタはチェック・ポイント負荷共有モード(CPLS)で動作します。 

理由を表す文字列 

 

member [ID] ([IP]) reports more interfaces up. 

このメッセージは pnote ログ・メッセージに含まれることがあり、問題の理由を示します。別のメンバが、ローカ 

ル・メンバより多くの動作中のインタフェースを持っていることを報告しています。これは、ローカル・メンバのイン 

タフェースに障害が発生していること、および相手のメンバのほうがクラスタ・メンバとしてより良い機能を提供で 

きることを意味します。したがって、ローカル・メンバはダウンし、メッセージで指定されたメンバにトラフィックの処 

理が委ねられます。 

 

member [ID] ([IP]) has more interfaces - check your disconnected interfaces configuration in the 

. 

このメッセージは、同じクラスタ内のメンバが持っているインタフェースの数が異なる場合に発行されます。クラス 

タ内の最大数よりインタフェースの数が少ないメンバ( 報告しているメンバ)は、正常に動作していない可能性が 

あります。これは、クラスタ IP アドレス、または同期ネットワークに対して動作するために必要なインタフェースが 

欠けているためです。ほかのクラスタ・メンバのインタフェースの一部が冗長で、ClusterXL から監視するべきで 

はない場合、これらは明示的に「Disconnected」として指定する必要があります。この指定を行うには、ファイル 

$FWDIR/conf/discntd.if(UNIX システムの場合 )、または Windows のレジストリを使用します。 

 

[NUMBER] interfaces required, only [NUMBER] up. 

ClusterXL が、監視している 1 つ以上のインタフェースで問題を検出しました。このメッセージは、必ずしもメンバ 

がダウンすることを意味しません。ほかのメンバが持つ動作中のインタフェースの方が少ない場合があるためで 

す。このような条件では、もっとも多くの動作中のインタフェースを持つメンバが動作を続行し、その他はダウンし 

ます。 

ClusterXL 設定コマンド 

cphaconf コマンド 

説明 

cphaconf コマンドによって ClusterXL を設定します。 

重要 – このコマンドは実行しないことをお勧めします。Security Gateway で自動的に実行す 

る、またはチェック・ポイント・サポートによって実行します。このコマンドを実行する例外として 

は、以下に説明するように、set_cpp オプションとともに実行する場合のみです。 

使用方法 

cphaconf [-i ] [-p ] [-b ] [-n ][-c 

] [-m ] 

[-t ...] start 

cphaconf [-t ...] [-d ...] add 

cphaconf clear-secured 

cphaconf clear-disconnected 

cphaconf stop 

cphaconf init 

cphaconf forward 

cphaconf debug 

cphaconf set_ccp 

cphaconf mc_reload 

cphaconf debug_data 

cphaconf stop_all_vs 

構文 


パラメータ 

set_ccp 

 

説明 

クラスタ・コントロール・プロトコル(CCP)パケットをブロードキャスト/ 

マルチキャストの宛先 MAC アドレスで送信するかどうか設定しま 

す。このコマンドを使用して行った設定は、再起動しても保持されま 

す。. 

すべてのクラスタ・メンバで、同じ値を設定してください(ブロードキャ 

スト/マルチキャストに関わらず)。 

stop_all_vs 

VSX ゲートウェイのすべてのバーチャル・システムのクラスタ製品を 

停止します。 

cphastart コマンドと cphastop コマンド 

クラスタ・メンバで cphastart を実行すると、そのメンバ上で ClusterXL が起動されます。完全同期は開始されません。 

クラスタ・メンバを起動する場合は cpstart の使用をお勧めします。 

クラスタ・メンバで cphastop を実行すると、クラスタ・メンバのトラフィック転送が停止されます。ステート同期も停止さ 

れます。ただし、クラスタ・メンバに対して直接通信を開始することは可能です。HA Legacy モードでは、cphastop を 

実行するとクラスタ全体の機能が停止する場合があります。 

これらのコマンドは通常 Security Gateway によってのみ実行し、管理者が直接実行しないでください。 

フェイルオーバーの開始方法 

クラスタ・メンバの状態を手動で制御することにより、クラスタ・メンバを停止させることができます。負荷共有の場合、 

クラスタ・メンバを停止させるとほかのクラスタ・メンバ(1 つまたは複数 )へのフェイルオーバーが開始され、HA の場 

合は、次に高い優先順位を持つクラスタ・メンバにフェイルオーバーが開始されます。 

クラスタ・メンバの停止 

マシン上の ClusterXL を停止させて別のマシンにフェイルオーバーを発生させるには 

1. コマンド cphaprob -d faildevice -t 0 -s ok register を使用してダミーのクリティカル・デバイス(faildevice など) 

を登録します。 

2. 次のコマンドを実行してクリティカル・デバイス faildevice に問題が発生していることを ClusterXL に報告します。 

cphaprob -d faildevice -s problem report 

別のクラスタ・メンバへのフェイルオーバーが直ちに発生します。 

または、以下の手順を実行します。 

1. SmartView Monitor を開いて、クラスタ・オブジェクトをクリックします。 

2. メンバ・ゲートウェイ・ブランチの 1 つを選択します。 

3. クラスタ・メンバを右クリックして、Down を選択します。 

クラスタ・メンバの起動 

クラスタ・メンバ上で Security Gateway が起動 (cpstart)されると、ClusterXL が自動的に起動します。 

ClusterXL を再起動するには 

 

 

 

cphaprob -d faildevice -s problem report コマンドを使用してクラスタ・メンバがダウンした場合は、以下の 

コマンドのどちらかを実行して再度アクティブにします。 

cphaprob -d faildevice -s ok report 

cphaprob -d faildevice unregister 


または、以下の手順を実行します。 

1. SmartView Monitor を開いて、クラスタ・オブジェクトをクリックします。 

2. 「Down」と表示されているメンバ・ゲートウェイ・ブランチを選択します。 

3. クラスタ・メンバを右クリックして Up を選択します。 

注 - SmartView Monitor からクラスタ・メンバを起動しても完全同期は開始されないため、通 

信の一部が失われる場合があります。完全同期を開始するには、cpstart コマンドを実行 

します。 

同期の監視 (fw ctl pstat) 

ClusterXL またはサード・パーティ OPSEC 認定クラスタ製品上の同期メカニズムを監視するには 

 

クラスタ・メンバ上で次のコマンドを実行します。fw ctl pstat 

このコマンドを実行すると、Security Gateway の統計データの長いリストが出力されます。リストの最後には、 

「Synchronization」というセクションがあり、ゲートウェイ・クラスタ・メンバに適用されます。統計データのほとんどは 

カウント・アップ専用のカウンタです。標準的な出力を以下に示します。 

Version: new 

Status:Able to Send/Receive sync packets 

Sync packets sent: 

total :3976, retransmitted :0, retrans reqs :58, acks :97 

Sync packets received: 

total :4290, were queued :58, dropped by net :47 

retrans reqs :0, received 0 acks 

retrans reqs for illegal seq :0 

Callback statistics: handled 3 cb, average delay :1, max delay :2 

Delta Sync memory usage: currently using XX KB mem 


Number of Pending packets currently held:1 

Packets released due to timeout:18 

このプリント出力の各行の意味を以下に示します。 

Version: new 

同期が設定された場合は、この行は必ず表示されます。この行は、(バージョン 4.1 の旧同期ではなく) 新しい同期 

が動作中であることを示します。 

Status:Able to Send/Receive sync packets 

同期がパケットを送信または受信できない場合、問題が発生しています。起動中であれば、同期は一時的にパケッ 

トを送受信できなくなる場合がありますが、通常の動作で送受信できなくなることはありません。完全同期の実行時 

は、同期パケットの受信が中断される場合があります。 

Sync packets sent: 

total :3976, retransmitted :0, retrans reqs :58, acks :97 

送信された同期パケットの合計数が表示されます。同期パケットの合計数はゼロ以外の数値であり、増加します。 

同期パケットの受信順序が正しくない場合、クラスタ・メンバは再送要求を送信します。この数値は負荷があると増 

加します。 


ほかのクラスタ・メンバによって確認応答が要求されると、受信した同期パケットに対して送信された確認応答が 

Acks として示されます。 

Sync packets received: 

total :4290, were queued :58, dropped by net :47 

受信された同期パケットの合計数が表示されます。以下のいずれかの条件に該当する同期パケットが受信されると、 

「queued」で示されるパケット数が増加します。 

1. 受信された同期パケットのシーケンス番号が、前に処理された同期パケットのシーケンス番号と連続してい 

ない。 

2. 同期パケットがフラグメント化している。これは MTU 制限を解消するために発生しています。 

この数値は減少することはありません。ゼロ以外の数値が表示されても問題を示しているわけではありません。 

dropped by net の数値は、ネットワーク輻輳を示している場合があります。負荷がある場合、この数値はゆっくりと 

増加します。この数値が急速に増加する場合は、ネットワーク・エラーが同期プロトコルを阻害している可能性があり 

ます。この場合は、ネットワークを確認してください。 

retrans reqs :0, received 0 acks 

retrans reqs for illegal seq :0 


前述のメッセージが送信された再送要求の数を示しているのに対し、このメッセージは受信された再送要求の数を 

示します。この数値が急速に増加する場合は、マシンの負荷が高くなりすぎて同期が処理できなくなっている可能性 

があります。 

Acks は、「cb request」同期パケット、つまり確認応答要求付きの同期パケットに対して受信された確認応答の数を 


Retrans reqs for illegal seq は、このメンバに存在していないパケットに対する再送要求数を示します。この値は、 

同期に問題があることを示している場合があります。 

Callback statistics は、Flush and Ack を呼び出す受信パケットに関連する値を示します。この統計は、ゼロ以外の 

値に対してのみ表示されます。 

コールバックの callback average delay は、メンバがほかのすべてのメンバから ACK を受信したときに、パケットが 

開放される前にこのメンバで生じた遅延を示します。遅延が生じるのは、ほかのすべてのクラスタ・メンバから同期 

パケットを受信したことを示す確認応答が返されるまでパケットが保持されるためです。 

この値はパケット数で測定されます。通常、これは小さい値 (1~5 程度 )でなければなりません。この値が大きい場 

合、同期トラフィックの過負荷を表している可能性があります。この場合、同期の確認応答を要求する通信に若干の 

遅延が生じます。 

dropped updates as a result of sync overload:0 

負荷の大きいシステムでは、クラスタ・メンバはほかのクラスタ・メンバから送信された同期アップデートを破棄する 

場合があります。 

Delta Sync memory usage: currently using XX KB mem 

Delta Sync memory usage は、ゼロ以外の値に対してのみ表示されます。差分同期では、完全同期が発生し 

ている間のみメモリが必要です。完全同期が発生するのは、再起動後にシステムが立ち上がったときなどです。ほ 

かの場合は、差分同期のアップデートは即座に適用されるため、差分同期ではメモリは消費されません。差分同期 

の詳細は、12ページの「ステート同期の動作」を参照してください。 

Number of Pending packets currently held:1 

Packets released due to timeout:18 

Number of Pending packets currently held は、ゼロ以外の値に対してのみ表示されます。ClusterXL は、非対称 

通信で状態に合致しないパケットが発生するのを防止します。これを行うために、ほかのすべてのアクティブなクラ 

スタ・メンバから SYN-ACK が受信されるまで、パケットが保持されます。何らかの理由で SYN-ACK が受信されな 

い場合、クラスタ・メンバ上の Security Gateway はパケットを解放しないため、通信は確立されません。 


Packets released due to timeout は、ゼロ以外の値に対してのみ表示されます。処理待ちパケット数が多い場合 

(Number of Pending Packets の値が 100 を超える場合 )で、かつ Packets released due to timeout(タ 

イムアウトにより開放されるパケット数 )が小さい場合、処理待ちパケット数を減らす処置を行う必要があります。こ 

の問題の対処法については、92ページの「処理待ちパケット数の削減」を参照してください。 

同期のトラブルシューティング 

cphaprob [-reset] syncstat の概要 

負荷の高いクラスタと地理的に隔離されているメンバを持つクラスタには特別な処置が必要です。高速な通信速度 

およびメンバ間の距離によって、クラスタの動作に影響を与える遅延が生じる可能性があります。 

cphaprob [-reset] syncstat コマンドは、高負荷の分散クラスタにおいて、ステート同期の動作を監視するツールで 

す。このツールは、ClusterXL とサード・パーティ OPSEC 認定クラスタ製品の両方で使用できます。 

トラブルシューティング手順を以下に示します。 

1. cphaprob syncstat コマンドを実行します。 

2. 出力される統計データを調査して理解します。 

3. 関連する同期のグローバル設定パラメータを調整します。 

4. コマンドを再実行します。このとき、-reset オプションを使用して統計カウンタをリセットします。 

cphaprob -reset syncstat 

5. 出力される統計データを調査して、問題が解決されているかどうかを確認します。 

60ページの「cphaprob [-reset] syncstat の出力」で、各出力パラメータおよび出力に問題がある場合について説明 

します。 

認識した問題は、「同期のトラブルシューティング・オプション」(67ページ)で説明する 1 つまたは複数のヒントを実施 

することで解決できます。 

cphaprob [-reset] syncstat の出力 

cphaprob syncstat コマンドの出力パラメータを以下に示します。出力される値 ( 記載されていません)を調べること 

で、同期ネットワークの状態と特徴が分かります。各パラメータと発生する可能性のある値の意味については、次の 

セクションで説明します。 


パラメータ: 

Sync Statistics (IDs of F&A Peers - 1): 61 

Other Member Updates 61 

Sent Retransmission Requests 61 

Avg |Missing Updates per Request 62 

Old or too-new Arriving Updates 62 

Unsynced Missing Update 62 

Lost Sync Connection 62 

Timed out Sync Connection 63 

Local Updates 63 

Total generated updates 63 

Recv Retransmission requests 63 

Recv Duplicate Retrans request 63 

Blocking Scenarios 63 

Blocked packets 64 

Max Length of Sending Queue 64 

Avg Length of Sending Queue 65 

Hold Pkts eventskts Events 65 

Unhold Pkt Events 65 

Not held due to no members 65 

Max Held Duration (ticks) 66 

Avg held duration (ticks) 66 

Timers: 66 

Sync tick(ms) 66 

CPHA tick(ms) 66 

Queues: 67 

Sending Queue Size 67 

Receiving Queue Size 67 

Sync Statistics (IDs of F&A Peers - 1): 

これらの統計はステート同期メカニズムに関連します。F&A(Flush and Ack)ピアは、このメンバがクラスタの一部と 

して認識するクラスタ・メンバです。ID は、cphaprob state コマンドによって生成される ID と IP アドレスに対応してい 

ます。 

Other Member Updates 

このセクションの統計は、ほかのクラスタ・メンバによって生成されたアップデート、またはほかのメンバから受信され 

たものではないアップデートに関連します。アップデートにより、クラスタ・メンバによって処理された通信の変更につ 

いて通知されます。アップデートはメンバ間で送受信されます。アップデートはシーケンス番号で識別されます。 

Sent Retransmission Requests 

このメンバによって送信された再送要求の数です。再送要求は、送信しているメンバはすでに次のシーケンスを持 

つアップデートを受信しているにも関わらず、( 指定されたシーケンス番号を持つ) 特定のパケットがない場合に送信 

されます。 

この値が高い場合は、通信に問題がある可能性があります。 


注 - 再送要求の数をほかのメンバの Total Regenerated Updates と比較します(63ページの 

「Total Generated Updates」を参照 )。 

この値が過度に高い(ほかのメンバの Total Generated Updates の 30%を超える) 場合は、 

全出力およびネットワーク・トポロジと設定に関する詳細な説明を準備して、テクニカル・サ 

ポートに問い合わせてください。 

Avg |Missing Updates per Request 

各再送要求では、最大 32 個の欠落している連続したパケットを含むことができます。このフィールドの値は、再送要 

求ごとに要求されるシーケンスの平均数です。 

各再送要求に 20 個を超える連続したシーケンスが欠落している場合は、通信に問題がある可能性があります。 

注 - この値が過度に高い場合は、全出力およびネットワーク・トポロジと設定に関する詳細な 

説明を準備して、テクニカル・サポートに問い合わせてください。 

Old or too-new Arriving Updates 

到着する同期アップデートの中でシーケンス番号が小さすぎるアップデートの数です。これは、アップデートが古い 

転送に属していることを示します。または、シーケンス番号が大きすぎて新しい転送に属せないアップデートの数 

です。 

この値が大きい場合は、通信に問題があることを示しています。 

注 - 67ページの「受信キューの拡張」を参照して、この値が異常に高い( 送信されたアップデ 

ートの 10% 以上 ) 場合は、全体の出力とネットワーク・トポロジと設定に関する詳細な説明を 

準備して、テクニカル・サポートに問い合わせてください。 

Unsynced Missing Updates 

受信しているメンバが待機を中断した、失われた同期アップデートの数です。新しく到着するアップデートと失われた 

アップデートのシーケンス番号の差が受信キューの長さを超える場合に、メンバは待機を中断します。 

この値は通常はゼロです。ただし、失われたアップデートの数が生成された全アップデートの 1%に満たない場合は、 

アップデートの一部が失われていても許容されます。 

注 - 失われたアップデートの数を減らすには、受信キューの容量を拡張します。67ページの 

「受信キューの拡張」を参照してください。 

Lost Sync Connection (num of events) 

ほかのメンバへのセキュリティ・ポリシーのインストール、または期待されるシーケンス番号と受信したシーケンス番 

号の違いが大きいために、ほかのメンバとの同期が失われてから再取得されたイベントの数です。 

この値は通常はゼロです。この値が正の数の場合は、通信に問題があることを示します。 

注 - 同期メカニズムがシーケンス番号の大きな違いを処理できるようにするには、受信キュ 

ーの容量を拡張します。67ページの「受信キューの拡張」を参照してください。 


Timed out Sync Connection 

ほかのメンバが接続されていないことをメンバが宣言したイベントの数です。一定時間 (1 秒間 )ACK パケットがその 

メンバから受信されなかったため、そのメンバのために Flush and Ack パケットが保持されていますが、メンバは切 

断されていると判断されます。 

この値は通常はゼロです。同期ネットワークのラウンド・トリップ・タイムが 100 ミリ秒の場合でも、1 秒あれば ACK を 

受信するには充分であると考えられます。この値が正の数の場合は、通信に問題があることを示します。 

注 - 同期タイマを大きくしてみてください(68ページの「同期タイマの拡張」を参照 )。ただし、 

全出力およびネットワーク・トポロジと設定に関する詳細な説明を準備して、テクニカル・サポ 

ートに連絡する必要がある可能性があります。 

Local Updates 

このセクションの統計データは、ローカル・クラスタ・メンバによって生成されたアップデートに関連します。アップデー 

トにより、クラスタ・メンバによって処理された通信の変更について通知されます。アップデートはメンバ間で送受信さ 

れます。アップデートはシーケンス番号で識別されます。 

Total generated updates 

 

 

前回統計がリセットされてから、同期メカニズムによって生成された同期アップデート・パケットの数です。この 

値は、-reset オプションを適用したときのシーケンス番号と現在のシーケンス番号の差に等しくなります。 

この値には範囲は定められていません。 

Recv Retransmission requests 

 

 

受信した再送要求の数です。すでに受信したシーケンス番号よりも小さいシーケンス番号を持つ指定されたパ 

ケットが失われている場合に、メンバは再送を要求します。 

この値が高い場合は、通信に問題がある可能性があります。 

注 - この値が過度に高い( 送信された全アップデートの 30%を超える) 場合は、全出力およ 

びネットワーク・トポロジと設定に関する詳細な説明を準備して、テクニカル・サポートに問い 

合わせてください。 

Recv Duplicate Retrans request 

 

 

メンバによって受信された重複する再送要求の数です。重複する要求はすでに処理されているため破棄され 

ます。 

この値が大きい場合は、ネットワーク上の問題または同期ネットワーク上にストームが発生している可能性が 

あります。 

注 - この値が過度に高い( 送信された全アップデートの 30%を超える) 場合は、全出力およ 

びネットワーク・トポロジと設定に関する詳細な説明を準備して、テクニカル・サポートに問い 

合わせてください。 

Blocking Scenarios 

極度の高負荷状態では、クラスタは新しい通信を阻止します。このパラメータは、同期の負荷が大きすぎるために、 

クラスタ・メンバが新しい接続の遮断を開始した回数を示します。 


送信キューが容量のしきい値に達すると、メンバは通信を阻止し始めます。容量のしきい値は、現在のシーケンス番 

号とほかのすべての動作中のメンバからメンバが受信した ACK のシーケンス番号の差の 80%として計算されます。 

この値が正の数の場合は、負荷が高すぎることを示します。この場合は、Blocked Packets に従って阻止されたパ 

ケット数を確認します。破棄されたパケット 1 個につき、1 つの通信が阻止されたことを意味します。 

このパラメータが計測されるのは、新しい接続の遮断メカニズム(91ページの「高負荷状態での新しい接続の遮断」 

を参照 )がアクティブな場合のみです。 

新しい接続の遮断のメカニズムを有効にするには 

 

fw ctl set int fw_sync_block_new_conns 0 コマンドをすべてのクラスタ・メンバに適用します。 

注 - 通信阻止に関する深刻な問題に対処する最良の方法は、送信キューを拡張することです。 

「送信キューの拡張」(67ページ)を参照してください。 

ほかの対処方法としては、メンバが ACK を開始した後のタイムアウトを減少させる方法がありま 

す。「確認応答タイムアウトの再設定」(68ページ)を参照してください。これにより、送信キューの 

容量をより正確にアップデートして、阻止プロセスをより厳密に実施することができます。 

Blocked packets 

クラスタ・メンバがすべての新しい通信を阻止していたために阻止されたパケット数です(「Blocked Scenarios」を参 

照 )。阻止されたパケット数は、通常、新しい通信が試行されるごとに 1 パケットです。 

送信キューの値が 5%より高い場合 (65ページの「Avg length of sending queue」を参照 ) 接続性に問題がある可 

能性があります。あるいは、ACK の送信頻度が低いことを示している可能性があります。 




 


注 - 通信阻止に関する深刻な問題に対処する最良の方法は、送信キューを拡張することで 

す。「送信キューの拡張」(67ページ)を参照してください。 

ほかの対処方法としては、メンバが ACK を開始した後のタイムアウトを減少させる方法があり 

ます。「確認応答タイムアウトの再設定」(68ページ)を参照してください。これにより、送信 

キューの容量をより正確にアップデートして、阻止プロセスをより厳密に実施することができ 

ます。 

Max Length of Sending Queue 

送信キューのサイズは固定されています。デフォルトでは、これは 512 個の同期アップデートです。シーケンス番号 

の大きい新しいアップデートがキューに入ると、シーケンス番号の小さい古いアップデートはキューから破棄されま 

す。古いアップデートは、メンバがほかのすべてのメンバからそのアップデートに関する ACK を受信する前にキュー 

から破棄される場合があります。 

このパラメータは、現在の同期シーケンス番号とメンバがほかのすべてのメンバから該当する ACK を受信した最後 

のシーケンス番号との差です。このため、このパラメータの値は 512 を上回ることがあります。 

このパラメータの値は 512 未満でなければなりません。512 を上回る場合でも、必ずしも同期に問題があるとは限り 

ません。ただし、メンバは、キューに存在しないアップデートに対する再送要求に応えることができなくなります。 





 

fw ctl set int fw_sync_block_new_conns 0 コマンドを全クラスタメンバに申請します。 

注 - 送信キューを拡張して、この値より大きい値に変更します。67ページの「送信キューの 

拡張」を参照してください。 

Avg Length of Sending Queue 

再起動または同期統計がリセットされて以降の、[Max Length of Sending Queue]パラメータの平均値です。 

この値は、最大で送信キューのサイズの 80%です。 




 


注 - 送信キューを拡張して、この値が新しいキューのサイズの 80%を上回らないようにしま 

す。67ページの「送信キューの拡張」を参照してください。 

Hold Pkts eventskts Events 

同期アップデートが Flush and Ack を必要とし、動作中のその他すべてのメンバから ACK が到着するまでシステム 

内に保持された回数です。 

Unhold Pkt Events の数値を同じでなければなりません。 

注 - 全出力およびネットワーク・トポロジと設定に関する詳細な説明を準備して、テクニカル・ 

サポートに問い合わせてください。 

Unhold Pkt Events 

動作中のほかのメンバから要求されたすべての ACK をメンバが受信した回数です。 

Hold Pkts Events の数値を同じでなければなりません。 

注 - この値が過度に高い( 送信された全アップデートの 30%を超える) 場合は、全出力および 

ネットワーク・トポロジと設定に関する詳細な説明を準備して、テクニカル・サポートに問い合 

わせてください。 

Not held due to no members 

ほかに動作中のメンバがなかったために、システム内に保持すべきであったにも関わらず開放されたパケット数 

です。 

クラスタに最低 2 つのアクティブなメンバがある場合は、通常、この値は 0 です。 


注 ‐ クラスタに接続の問題があります。パラメータの値を調査する必要があります。62ページ 

の「Lost Sync Connection」と63ページの「Timed out sync connection」を参照して、メンバ 

が唯一のクラスタ・メンバであると判断した原因を調査してください。 

また、全出力およびネットワーク・トポロジと設定に関する詳細な説明を準備して、テクニカル・ 


Max Held Duration (ticks) 

Flush and Ack のために保持されているパケットがシステム内で遅延した最大時間 ( 単位はティック。1 ティックは 

100 ミリ秒 )です。 

一定時間後に保持されているパケットを開放する処理待ちタイムアウト・メカニズムのため、この値は 50(5 秒 )より 

小さい値でなければなりません。デフォルトでは、開放するまでのタイムアウトは 50 ティックです。この値が高い場合 

は、メンバ間で通信上の問題が発生していることを示します。 

注 - 必要に応じて、fwldbcast_pending_timeout グローバル値を変更して、デフォルトのタイ 

ムアウトを変更してください。89ページの「高度なクラスタ設定」と92ページの「処理待ちパケッ 

トの数の削減」を参照してください。 

さらに、63ページの「Timed out sync connection」のパラメータを検査して、パケットが長時間 

保持された原因を確認してください。 

また、全出力およびネットワーク・トポロジと設定に関する詳細な説明を準備して、テクニカル・ 


Avg held duration (ticks) 

Flush and Ack のために保持されているパケットがシステム内で遅延した平均時間 ( 単位はティック。1 ティックは 

100 ミリ秒 )です。 

平均時間は、同期ネットワークのラウンドトリップ時間とほぼ同じです。この値が大きい場合は、通信に問題があるこ 

とを示します。 

注 - この値が大きい場合は、問題の原因を調査するために、全出力およびネットワーク・トポ 

ロジと設定に関する詳細な説明を準備して、テクニカル・サポートに問い合わせてください。 

Timers: 

Sync タイマと CPHA タイマは、同期とクラスタに関連する処理を一定時間ごとに実施します。 

Sync tick(ms) 

同期タイマは、クラスタに関連する処理を一定時間ごとに実施します。デフォルトでは、同期タイマの間隔は 100 ミリ 

秒です。基本となる時間単位は 100 ミリ秒 (または 1 ティック)で、これが最小値です。 

CPHA tick(ms) 

CPHA タイマは、クラスタに関連する処理を一定時間ごとに実施します。デフォルトでは、CPHA タイマの間隔は 100 

ミリ秒です。基本となる時間単位は 100 ミリ秒 (または 1 ティック)で、これが最小値です。 


Queues: 

各クラスタ・メンバには 2 つのキューがあります。送信キューと受信キューです。 

Sending Queue Size 

クラスタ・メンバ上の送信キューには、ローカルで生成された同期アップデートが格納されます。送信キュー内のアッ 

プデートは、より最新のアップデートに置き換えられます。このため、負荷の高いクラスタでは、アップデートは短時 

間しか保持されません。アップデートを再送信するようにメンバに要求があった場合、アップデートが送信キューにあ 

る場合にのみ送信できます。このキューのデフォルト・サイズ( 最小値と同じ)は 512 です。各メンバには 1 つの送信 

キューがあります。 

Receiving Queue Size 

クラスタ・メンバ上の受信キューは、アップデートのシーケンスをすべて受信し終えるまで、各クラスタ・メンバからの 

アップデートを保持します。このキューのデフォルト・サイズ( 最小値と同じ)は 256 です。各メンバは、ピア・メンバご 

とに受信キューを保持します。 

同期のトラブルシューティング・オプション 

以下のオプションでは、利用可能なトラブルシューティング・オプションを明記します。各オプションでは、グローバル・ 

システム設定パラメータを編集して、デフォルトとは異なる値にシステムを再設定します。 

送信キューの拡張 

クラスタ・メンバ上の送信キューには、ローカルで生成された同期アップデートが格納されます。送信キュー内のアッ 

プデートは、より最新のアップデートに置き換えられます。このため、負荷の高いクラスタでは、アップデートは短時 

間しか保持されません。アップデートを再送信するようにメンバに要求があった場合、アップデートが送信キューにあ 

る場合にのみ送信できます。このキューのデフォルト・サイズ( 最小値と同じ)は 512 です。各メンバには 1 つの送信 

キューがあります。 

送信キューのサイズを拡張するには 

1. グローバル・パラメータ fw_sync_sending_queue_size の値を変更します。89ページの「高度なクラスタ設 

定」を参照してください。 

2. 必要なキュー・サイズが、オペレーティング・システムの起動時に変更されないことも確認してください。90ページ 

の「ゲートウェイの設定を起動時に有効にする方法」を参照してください。 

このキューを拡張すると、このメンバはほかのメンバからのアップデートをより多く保存できるようになります。ただし、 

保存された各アップデートはメモリを消費することに注意してください。この変数を変更する場合は、メモリへの影響 

を考慮してください。変更は、再起動後に適用されます。 

受信キューの拡張 

クラスタ・メンバ上の受信キューは、アップデートのシーケンスをすべて受信し終えるまで、各クラスタ・メンバからの 

アップデートを保持します。受信キューのデフォルト・サイズ( 最小値と同じ)は 256 です。各メンバは、ピア・メンバご 

とに受信キューを保持します。 

受信キューのサイズを拡張するには 

1. グローバル・パラメータ fw_sync_recv_queue_size の値を変更します。89ページの「高度なクラスタ設定」を 

参照してください。 

2. 必要なキュー・サイズが、オペレーティング・システムの起動時に変更されないことも確認してください。90ページ 

の「ゲートウェイの設定を起動時に有効にする方法」を参照してください。 

このキューを拡張すると、このメンバはほかのメンバからのアップデートをより多く保存できるようになります。ただし、 

保存された各アップデートはメモリを消費することに注意してください。この変数を変更する場合は、メモリへの影響 

を考慮してください。変更は、再起動後に適用されます。 


同期タイマの拡張 

同期タイマは、同期に関連する処理を一定時間ごとに実施します。デフォルトでは、同期タイマの間隔は 100 ミリ秒 

です。基本となる時間単位は 100 ミリ秒 (または 1 ティック)で、これが最小値です。 

同期タイマの拡張方法 

 

グローバル・パラメータ fwha_timer_sync_res の値を変更します。89ページの「高度なクラスタ設定」を参照 

してください。この変数の値は、システムの動作中に変更できます。再起動は必要ありません。 

デフォルトでは、fwha_timer_sync_res は 1 の値を保持しており、同期タイマは基本の時間単位 (100 ミリ秒 )ごと 

に動作します。この値を n に変更すると、タイマは n*100 ミリ秒ごとに動作します。 

CPHA タイマの拡張 

CPHA タイマは、クラスタに関連する処理を一定時間ごとに実施します。デフォルトでは、CPHA タイマの間隔は 100 

ミリ秒です。基本となる時間単位は 100 ミリ秒 (または 1 ティック)で、これが最小値です。 

クラスタ・メンバがお互いに地理的に離れた場所にある場合、CPHA タイマを同期ネットワークのラウンドトリップ遅 

延の約 10 倍に設定します。 

この値を拡張すると、フェイルオーバーの検出にかかる時間が長くなります。たとえば、インタフェース障害の検出に 

0.3 秒かかるときに、タイマが 2 倍の 200 ミリ秒に設定された場合、インタフェース障害の検出に必要な時間は 2 倍 

の 0.6 秒になります。 

CPHA タイマの拡張 

 

グローバル・パラメータ fwha_timer_sync_res の値を変更します。89ページの「高度なクラスタ設定」を参照 

してください。この変数の値は、システムの動作中に変更できます。再起動は必要ありません。 

デフォルトでは、fwha_timer_cpha_res は 1 の値を保持しており、CPHA タイマは基本の時間単位 (100 ミリ秒 )ご 

とに動作します。この値を n に変更すると、タイマは n*100 ミリ秒ごとに動作します。 

確認応答タイムアウトの再設定 

クラスタ・メンバは、定期的に送信キューからのアップデートを削除します。(67ページの「Sending Queue Size」を 

参照 )。これにより、キュー内のスペースを開放し、より最新のアップデートを格納できます。 

ピア・メンバからアップデートに関する ACK を受信すると、クラスタ・メンバはこのキューからのアップデートを削除し 

ます。 

ピア・メンバは、新しい接続の遮断メカニズム(91ページの「高負荷状態での新しい接続の遮断」を参照 )が有効な場 

合は、以下の 2 つの状況のどちらかに当てはまる場合に ACK を送信します。 

特定数のアップデートの受信後。 

 

一定時間 ACK を送信していない場合。これは、同期ネットワークの回線で大きな遅延が発生している場合に 

重要です。これはクラスタ・メンバがお互いに地理的に離れた場所にある場合に発生する可能性があります。 

メンバが ACK を送信した後にタイムアウトを再設定するには 

 

グローバル・パラメータ fw_sync_ack_time_gap の値を変更します。89ページの「高度なクラスタ設定」を参 

照してください。この変数の値は、システムの動作中に変更できます。再起動は必要ありません。 

この変数のデフォルト値は 10 ティック(10*100 ミリ秒 )です。このため、メンバが 1 秒間 ACK を送信していない場合、 

受信したアップデートに対して ACK を送信します。 

テクニカル・サポートへの問い合わせ 

ここで紹介したトラブルシューティングを実行しても問題が解決しない場合は、テクニカル・サポートにお問い合わせ 

ください。 


ClusterXL のエラー・メッセージ 

このセクションでは、ClusterXL のエラー・メッセージについて説明します。その他のあまり一般的でないエラー・メッ 

セージについては、SecureKnowledge の sk23642 


ClusterXL の一般的なエラー・メッセージ 

 

 

 

 

 

 

 

 

 

FW-1: changing local mode from to because of ID 

このログ・メッセージは、クラスタ・メンバ間で動作モードが統一されていない場合、たとえば、1 つのマシンが HA 

で動作し、別のマシンが負荷共有マルチキャストまたはユニキャスト・モードで動作しているような場合に出力さ 

れます。この場合、ClusterXL の内部メカニズムは動作モードを最も低い共通モードに変更することにより、クラ 

スタ・メンバ間の設定を同期化しようとします。動作モードの優先順位は( 最高から最低の順 )、1. 同期のみ、2. 

負荷共有、3.HA (アクティブ・アップ)、4.HA (プライマリ・アップ)の順になります。 

CPHA: Received confirmations from more machines than the cluster size 

このログ・メッセージは、クラスタにポリシーをインストールするときに出力されます。このメッセージは、クラスタ 

内に重大な設定上の問題があることを意味します。ほかのクラスタに同一のパラメータがすでに設定されており、 

両クラスタが共通のネットワークを持っていることが考えられます。 

fwldbcast_timer: peer X probably stopped... 

このログ・メッセージは、このメッセージを出力したメンバが、特定の種類のメッセージをメンバ X から受信待ちし 

なくなった場合に出力されます。cphaprob state ですべてのメンバがアクティブとして表示されており、fw ctl 

pstat に同期が正しく設定されていて、なおかつすべてのメンバ上で正常に動作しているかを確認してください。 

このような場合、一時的に通信上の問題が発生した後、しばらくして問題が解消したことが考えられます。2 つの 

メンバ間で一時的な同期上の問題が発生したために、複数の接続で問題が発生した可能性があります。また、 

このメッセージはほかのメンバが実際にダウンしていることを示している可能性があります。 

FW-1:fwha_notify_interface:there are more than 4 IPs on interface notifying 

only the first ones 

報告しているマシンと同一クラスタ内にあるメンバが、同一のインタフェース上に 3 つを超える仮想 IP アドレスを 

定義していることを意味します。この設定はサポートされていないため、ClusterXL の機能を使用できなくなる可 

能性があります。 

Sync could not start because there is no sync license 

ライセンス・エラー・メッセージです。Security Gateway ライセンスを持っていれば、同期もライセンスが許可され 

ます。cplic print と cplic check を使用して、Security Gateway の基本ライセンスを調べてください。 

FW-1: h_slink: an attempt to link to a link 

kbuf id not found 

fw_conn_post_inspect: fwconn_init_links failed 

完全同期セッションでは、完全同期プロセス中に接続の開設と切断が行われると、このような問題が発生する 

場合があります。完全同期はある程度は自動的に行われますが、パフォーマンス上の理由で完全には自動化 

されていません。gateway は完全同期サーバとして機能している間もトラフィックを処理し続けます。このため、 

接続が 2 回削除されたり、既存のリンクにリンクされたりするなどの軽度の問題が発生する場合があります。通 

信が失われたり、セキュリティ上の問題が発生したりすることはありません。 

Error SEP_IKE_owner_outbound: other cluster member packet in outbound 

クラスタが同期化されていません。一般に、OPSEC 認定サード・パーティ負荷共有製品で、クラスタ・オブジェク 

トの[3rd Party Configuration]ページの[Support non-sticky connections]がオフになっている場合に出力さ 

れます。 

FW-1: fwha_pnote_register: too many registering members, cannot register 

クリティカル・デバイス(Problem Notification または pnote とも呼ばれます)メカニズムに保存できる異なるデバ 

イス数は最大 16 個です。17 個目のデバイスを(cphaprob.conf ファイルを編集するか cphaprob -d ... register 

コマンドを使用することにより) 設定しようとすると、このメッセージが出力されます。 

FW-1: fwha_pnote_register: already registered (# ) 


pnote メカニズムに登録する各デバイスには、固有の名前を付ける必要があります。このメッセージは、新しい 

pnote デバイスを登録するときに出力され、デバイスは pnote 番号ですでに登録されて 

いることを示します。 

 

 

 

FW-1: fwha_pnote_unregister: attempting to unregister an unregistered device 

現在登録されていないデバイスの登録を削除しようとしたことを示します。 

FW-1: alert_policy_id_mismatch: failed to send a log 

2 つ以上のメンバ間に異なるポリシーID が存在することを示すログが送信されませんでした。すべてのクラスタ・ 

メンバが同一のポリシーを持っていることを確認してください(fw stat を使用 )。ポリシーの再インストールをお勧 

めします。 

FW-1: fwha_receive_fwhap_msg: received incomplete HAP packet (read bytes) 

このメッセージは、ClusterXL がバージョン 4.1 のクラスタの CCP パケットを受信した場合に出力されることがあ 

ります。この場合、メッセージを無視しても問題ありません。 

SmartView Tracker のアクティブ・モード・メッセージ 

以下のエラー・メッセージは、SmartView Tracker Active モードで表示されることがあります。これらのエラーは、エ 

ントリの一部が正常に処理されていないため、クラスタ・メンバ上の同期情報が失われ、SmartView Tracker で不正 

確な報告が行われる可能性があることを示します。 

 

FW-1:fwlddist_adjust_buf: record too big for sync. update Y for table failed. fwlddist_state= 

クラスタ化されたマシン上で設定上の問題が発生したことを示します。同期の設定が正しくないか、同期インタフ 

ェースで転送されているパケットに問題があります。問題の原因に関する情報を入手するには、以下のいずれ 

かを実行します。 

fw ctl pstat を実行します(58ページの「同期の監視 (fw ctl pstat)」を参照 )。 

ClusterXL のクラスタで、cphaprob -a if を実行し、インタフェースの状態を取得します(50ページを参照 )。 

この問題を解決するには、92ページの「SmartView Tracker のアクティブ・モードの使用」を参照してください。 

 

FW-1: fwldbcast_flush: active connections is currently enabled and due to high load it is making 

sync too slow to function properly. X active updates were dropped 

同期機能を維持するために、クラスタ化されたマシンが SmartView Tracker のアクティブ・モードのアップデート 

を破棄したことを示します。この問題を解決するには、92ページの「SmartView Tracker のアクティブ・モードの 

使用」を参照してください。 

同期関連のエラー・メッセージ 

 

FW-1:fwldbcast_retreq: machine sent a retrans request for seq 

which is no longer in my possession (current seq ) 

このメッセージは、送信ウィンドウに存在しないシーケンス番号に対する再送要求をローカル・メンバが受信した 

ときに表示されます。送信しているメンバが要求されたシーケンスを受信していない場合、同期上の問題を示し 

ている可能性があります。 

FW-1:fwlddist_save: WARNING: this member will not be fully synchronized ! 

FW-1:fwlddist_save: current delta sync memory during full sync has reached the maximum of 

MB 

FW-1:fwlddist_save:it is possible to set a different limit by changing 

fw_sync_max_saved_buf_mem value 

 

これらのメッセージは完全同期時にのみ表示されます。完全同期の実行中は、差分同期アップデートは保存さ 

れ、完全同期プロセスが完了した後に適用されます。差分同期アップデートの保存に使用されるメモリを制限す 

るには、fw_sync_max_saved_buf_mem 変数に制限値を設定します。 

FW-1:fwldbcast_flush: fwlddist_buf_ldbcast_unread is not being reset fast enough 

(ur=,fwlddist_buflen=) 

このメッセージは、同期バッファが読み取られるよりも早く満たされたために負荷が高くなった場合に表示される 

ことがあります。考えられる解決策は、92ページの「SmartView Tracker のアクティブ・モードの使用」で説明す 

るように fwlddist_buf_size を拡張することです。 


FW-1: fwlddist_mode_change: Failed to send trap requesting full sync 

このメッセージは、完全同期プロセスの開始上の問題のために表示されている可能性があり、深刻な問題であ 

ることを示します。テクニカル・サポートに問い合わせてください。 

FW-1: State synchronization is in risk. Please examine your synchronization network to avoid 

further problems! 

このメッセージは、負荷が極度に高い場合に出力され、同期アップデートが恒久的に失われたことを示します。 

アップデート発生元の送信キューに同期アップデートが存在しないために再送が不可能になった場合、同期アッ 

プデートは恒久的に失われたとみなされます。この状況は Security Gatewayが誤作動する可能性があることを 

意味しているのではなく、潜在的な問題があることを意味します。失われた同期アップデートが非暗号化 (クリ 

ア) 接続の場合のように 1 つのメンバ上でのみ実行される接続に対するものであれば、この潜在的な問題は実 

害がありません(ただし、フェイルオーバーの場合は、ほかのメンバがこのアップデートを必要とします)。 

失われた同期アップデートが、暗号化接続の場合のように非対称な通信 (13ページの「非対称通信」を参照 )に 

関するものであった場合、この潜在的な問題により実害が発生する可能性があります。この場合、ほかのクラス 

タ・メンバがこの通信に関するパケットを破棄し始め、通常、TCP out of state エラー・メッセージを出力します 

(71ページの「TCP Out-of-State エラー・メッセージ」を参照 )。この場合、91ページの「高負荷状態での新しい接 

続の遮断」で説明するように、高負荷のもとで新しい接続をブロックすることが重要です。 

以下のエラー・メッセージはこの問題に関連しています。 

FW-1:fwldbcast_recv: delta sync connection with member was lost and 

regained. updates were lost. 

FW-1:fwldbcast_recv: received sequence (fragm , index 

), last processed seq 

これらのメッセージは、一時的な同期上の問題が発生したために、同期アップデートの一部がメンバ間で同期で 

きなかった場合に出力されます。この結果として、通信の一部はフェイルオーバーによって失われる可能性があ 

ります。 

前述のエラー・メッセージはこの問題に関連しています。 

FW-1: The use of the non_sync_ports table is not recommended anymore. Refer to the user 

guide for configuring selective sync instead 

以前のバージョンが non_sync_ports というカーネル・テーブルを使用して選択同期を実施しました。これは同期 

する必要がないサービスを選択する方法です。これ以降は、選択同期は SmartDashboard から設定できます。 

12ページの「同期の不要なサービスの設定」を参照してください。 

TCP Out-of-State エラー・メッセージ 

同期メカニズムに負荷がかかると、TCP packet out-of-state エラー・メッセージが SmartView Tracker の 

[Information]カラムに表示されます。このセクションでは、各エラーを解決する方法を説明します。 

 

 

TCP packet out of state - first packet isn't SYN tcp_flags: FIN-ACK 

TCP packet out of state - first packet isn't SYN tcp_flags: FIN-PUSH-ACK 

これらのメッセージは、通信テーブルからの通信が削除された後で FIN パケットが再送された場合に出力されま 

す。この問題を解決するには、SmartDashboard の[Global properties]の[Stateful Inspection]で、[TCP 

end timeout]を 20 秒から 60 秒に増加させます。必要に応じて、通信テーブルも大きくし、満杯にならないように 

します。 

SYN packet for established connection 

このメッセージは、確立された通信で SYN が受信され、シーケンス・ベリファイアが停止した場合に出力されま 

す。シーケンス・ベリファイアは、クラスタ内 (または SecureXL 内 )の非対称通信に対しては停止します。アプリ 

ケーションによっては、(ポートを再利用するため)RST パケットで通信を切断するものがあります。この問題を 

解決するには、特定のポートまたはすべてのポートについて、この動作を有効にします。たとえば、以下のコマ 

ンドを実行します。 

fw ctl set int fw_trust_rst_on_port 

これは 1 つのポートでは十分ではない場合、Security Gateway がどのポートから入ってくる RST も信用するこ 

とを意味します。 


プラットフォーム固有のエラー・メッセージ 

IPSO 固有のエラー・メッセージ 

 

 

 

 

 

 

 

FW-1: fwha_nok_get_mc_mac_by_ip: received a NULL query 

FW-1: fwha_nok_get_mc_mac_by_ip: nokcl_get_clustermac returned unknown type 

これらのメッセージは、Static NAT 設定の自動プロキシ ARP のエントリが適切にインストールされていないこと 

を意味します。 

FW-1: fwha_nokcl_sync_rx_f: received NULL mbuf from ipso. Packet dropped. 

FW-1: fwha_nokcl_sync_rx_f: received packet with illegal flag=. drop packet. 

これらのメッセージは、不正な CPHA パケットが受信されたため破棄することを意味します。起動時にこの状況 

が何度も発生する場合、クラスタが誤作動しています。 

FW-1: fwha_nokcl_reregister_rx: unregister old magic mac values with IPSO. 

FW-1: fwha_nokcl_reregister_rx: new magic mac values registered 

successfully with IPSO. 

fw ctl set int fwha_magic_mac の処理に成功したことを示す通知です。 

FW-1: fwha_nokcl_reregister_rx: error in de-registration to the sync_rx () new magic 

macs values will not be applied 

fw ctl set int fwha_magic_mac の処理に失敗したことを示す通知です。以前の MAC 値が保持されます。 

FW-1: fwha_nokcl_creation_f: error in registration … 

FW-1: fwha_nok_init: NOT calling nokcl_register_creation since did not de-register yet. 

FW-1: fwha_nok_fini: failed nokcl_deregister_creation with rc= 

これらのメッセージは、IPSO クラスタリング・メカニズムへの登録で内部エラーが発生したことを意味します。 

IPSO のバージョンがこのバージョンの Security Gateway でサポートされていること、および IPSO IP クラスタリ 

ングまたは VRRP クラスタが適切に設定されていることを確認してください。 

FW-1: successfully (dis)connected to IPSO Clustering 

通常、Security Gateway の初期化および削除時に受信される通知です。 

FW-1: fwha_pnote_register: noksr_register_with_status failed 

FW-1: fwha_IPSO_pnote_expiration: mismatch between IPSO device to ckp device 

FW-1: fwha_nokia_pnote_expiration: can not find the device nokia claims to be expired 

FW-1: fwha_noksr_report_wrapper: attempting to report an unregistered device 

これらのメッセージは、IPSO と ClusterXL のデバイス監視メカニズム間の通信に問題があるために出力される 

場合があります。通常、再起動によってこの問題は解決します。この問題が繰り返し発生する場合は、チェック・ 

ポイントのテクニカル・サポートに問い合わせてください。 

メンバの再起動の失敗 

クラスタに高い負荷がかかっている状態で、クラスタ・メンバで再起動 (または cpstop と cpstart を続けて実行 )を実 

施した場合、メンバが正常に起動できない場合があります。起動中のメンバは既存のアクティブ・メンバとの完全同 

期を試み、処理中にリソースと利用可能なメモリのすべてを使い果たす可能性があります。このために予期しない動 

作が発生する可能性があります。 

この問題を解決するには、起動時にアクティブ・メンバとの通信を同期するためにメンバが使用可能なメモリの最大 

量を定義します。デフォルトでは、この量は制限されていません。必要なメモリの量は、以下のように判断します。 

完全同期に必要なメモリ(MB) 

新しい通信 / 秒 


開設されている 

通信の数 

100 1000 5000 10,000 

1000 1.1 6.9 

10000 11 69 329 

20000 21 138 657 1305 

50000 53 345 1642 3264 

注 - これらの数値は、Pentium 4 プロセッサ(2.4 GHz で動作 )の Windows プラットフォーム 

を使用したクラスタ・メンバに基づいています。 

たとえば、クラスタが 10,000 個の通信を持っており、接続速度が毎秒 1000 個の通信の場合、完全同期には 69 MB 

が必要です。 

メモリの最大量は、次のゲートウェイ・グローバル・パラメータを使用して定義します。 

fw_sync_max_saved_buf_mem 

単位はメガバイトです。詳細は、89ページの「高度なクラスタ設定」を参照してください。 


第 8 章 

ClusterXL の高度な設定 


VPN とクラスタの使用 74 

NAT とクラスタの使用 75 

VLAN とクラスタの使用 76 

インタフェースのリンク状態監視 78 

リンク・アグリゲーションとクラスタ 79 

高度なクラスタ設定 89 

Disconnected インタフェースの定義 93 

ポリシー更新タイムアウトの設定 93 

TCP3 ウェイ・ハンドシェーク実施の強化 94 

異なるサブネット上のクラスタ・アドレスの設定 94 

単一ゲートウェイから ClusterXL クラスタへの移行 98 

既存クラスタへの別メンバの追加 99 

クラスタの ISP 冗長性の設定 99 

クラスタ構成でのダイナミック・ルーティング・プロトコルの有効化 100 

VPN とクラスタの使用 

VPN とクラスタの設定 

SmartDashboardを使用してセキュリティ・ゲートウェイのクラスタを設定するのは、単一のセキュリティ・ゲートウェイ 

を設定するのと非常に似ています。VPN のすべての属性は、クラスタ・メンバごとに定義する 2 つの属性を除きゲー 

トウェイ・クラスタ・オブジェクト内で定義します。 

1. [Gateway Cluster Properties]ウィンドウの[Cluster Members]ページを開きます。各クラスタ・メンバの 

[Cluster member Properties]ウィンドウで[VPN]タブを以下のように設定します。 

 

 

[Office Mode for Remote access] ― リモート・アクセスにオフィス・モードを使用する場合、各クラスタ・メン 

バに割り当てる IP プールを定義します。 

[Hardware Certificate Storage List] ― クラスタ・メンバが IKE 証明書のハードウェア・ストレージをサポート 

している場合、証明書の属性を定義します。この場合、SmartCenter サーバはクラスタ・メンバに対して鍵を作 

成し、証明書要求の作成に必要な情報だけを提供するよう指示します。証明書は、ポリシーのインストール時 

にクラスタ・メンバにダウンロードされます。 

2. VPN クラスタ内で IKE 鍵が同期されます。[Gateway Cluster Properties]ウィンドウの[Synchronization]ペー 

ジで、[Use State Synchronization]が選択されていることを確認します。これは、HA(ハイ・アベイラビリティ) 

構成の場合も同様です。 

3. [Gateway Cluster Properties]ウィンドウの[Topology]ページでクラスタの暗号化ドメインを定義します。 

[VPN Domain]の下で、以下の 2 つの設定のいずれかを選択します。 

 

[All IP addresses behind cluster members based on topology information] - これはデフォルト・オプショ 

ンです。 


[Manually Defined] - クラスタの IP アドレスがメンバ・ネットワーク上にない場合、つまりクラスタの仮想 IP ア 

ドレスがクラスタ・メンバ・インタフェースとは異なるサブネット上にある場合は、このオプションを選択します。こ 

の場合、クラスタの仮想 IP アドレスを含むネットワークまたはネットワーク・グループと、クラスタの背後にある 

ネットワークまたはネットワーク・グループを選択してください。 

別の Security Management サーバでの VPN ピア・クラスタの定義 

チェック・ポイントのゲートウェイ・クラスタとして使用する VPN ピアが別の Security Management サーバによって管 

理されている場合、別のクラスタ・オブジェクトを定義するのではなく以下の手順を行います。 

1. オブジェクト・ツリーの[Network Objects]ブランチで右クリックし、[New Check Point Externally Managed 

Gateway]を選択します。 

2. [Topology]ページで、VPN ピアの外部クラスタ・インタフェースと内部クラスタ・インタフェースのアドレスを追加 

します。以下の場合を除き、クラスタ・メンバ・インタフェースのアドレスは使用しないでください。 

 

 

外部クラスタがバージョン 4.1 の場合はクラスタ・メンバ・インタフェースの IP アドレスを追加します。 

クラスタが OPSEC 認定製品の場合 (IPSO を除く)、クラスタ・メンバの IP アドレスの追加が必要になる場合が 

あります。 

クラスタ・メンバ・インタフェースの IP アドレスを追加する場合は、インタフェースの[Topology]タブでインタフェー 

スを[Internal]として定義し、[IP Addresses behind this interface]を[Not defined]と定義します。 

3. このページの[VPN Domain]セクションで、外部から管理されるゲートウェイの暗号化ドメインをゲートウェイの 

内部仮想 IP アドレスの背後に置くように定義します。暗号化ドメインが 1 つのサブネットだけの場合は[All IP 

addresses behind cluster members based on topology information]を選択します。暗号化ドメインに複数の 

サブネットが含まれる場合は[Manually Defined]を選択します。 

NAT とクラスタの使用 

クラスタのフォールドとクラスタの隠蔽 

ネットワーク・アドレス変換 (NAT)は、ClusterXL の動作に必要な基本的な機能です。 

ClusterXL クラスタ・メンバからインターネットへの発信接続を確立する場合、発信パケット内の発信元アドレスはク 

ラスタ・メンバ・インタフェースの物理 IP アドレスになります。発信元 IP アドレスは NAT を使用し、クラスタの外部仮 

想 IP アドレスを使用した発信元 IP アドレスに変換されます。このアドレス変換は「クラスタの隠蔽」と呼ばれます。 

OPSEC 認定クラスタ製品の場合、クラスタ・オブジェクトの[3rd Party Configuration]ページでデフォルト設定として 

[Hide Cluster Members' outgoing traffic behind the Cluster's IP address]がオンになっている場合に対応し 

ます。 

クライアントがクラスタの外部 ( 仮想 )アドレスに対する着信接続を確立する場合、ClusterXL は NAT を使用して宛先 

IP アドレスをクラスタ・メンバの 1 つの物理外部アドレスを使用した宛先 IP アドレスに変換します。このアドレス変換 

は「クラスタのフォールド」と呼ばれます。 

OPSEC 認定クラスタ製品の場合、クラスタ・オブジェクトの[3rd Party Configuration]ページでデフォルト設定として 

[Forward Cluster's incoming traffic to Cluster Members' IP addresses]がオンになっている場合に対応します。 

ゲートウェイ・クラスタ上での NAT 設定 

ゲートウェイ・クラスタ上でのネットワーク・アドレス変換 (NAT)は、単一のゲートウェイ上での場合と同じ方法で実行 

できます。この NAT は、自動の「クラスタのフォールド」および「クラスタの隠蔽」のアドレス変換とは別に実行できる 

機能です。 

NAT を設定するには、ゲートウェイ・クラスタ・オブジェクトを編集し、[Gateway Cluster Properties]ウィンドウで 

[NAT]ページを選択します。クラスタ・メンバ・オブジェクトの[NAT]タブは設定しないでください。 


クラスタ・メンバ上での NAT 設定 

クラスタ・メンバの非クラスタ・インタフェースでネットワーク・アドレス変換 (NAT)を実行できます。 

この NAT を実行するのは、クラスタ・メンバの非クラスタ・インタフェースが別の( 非クラスタ) 内部 Security Gateway 

に接続されており、クラスタ・メンバの非クラスタ・インタフェースのアドレスを隠す必要があるような場合です。 

この NAT が実行されると、クラスタ・メンバの非クラスタ・インタフェース上またはその背後から発信されたパケットが 

内部 Security Gateway の反対側のホストに送られる場合にパケットの発信元アドレスが変換されます。 

クラスタ・メンバ・ゲートウェイの非クラスタ・インタフェースで NAT を設定するには 

1. ゲートウェイ・クラスタ・オブジェクトを編集します。 

2. [Gateway Cluster Properties]ウィンドウの[Cluster Member]ページでクラスタ・メンバ・オブジェクトを編集し 

ます。 

3. [Cluster Member Properties]ウィンドウで[NAT]タブをクリックします。 

4. 必要に応じてスタティック NAT または Hide NAT を設定します。 

VLAN とクラスタの使用 

ClusterXL の VLAN サポート 

VLAN 内で発信されたパケットがスイッチに到達すると、スイッチはパケットが入ってきたスイッチ・ポートを示す 4 バ 

イトのヘッダをパケットに付けます。パケットは、あるスイッチ・ポートから別の VLAN に所属するほかのスイッチ・ 

ポートへ移動することはできません。ただし、すべての VLAN に属すると定義されたポート(「グローバル」ポート)は 

例外です。 

クラスタ・メンバは VLAN スイッチのグローバル・ポートに接続されます。この結果、1 つの物理ポートは複数の 

VLAN ポートに理論的に分割され、各 VLAN ポートはクラスタ・メンバの VLAN タグ付きインタフェース(VLAN インタ 

フェース)に関連付けられます。 

インタフェースに対して VLAN タグを定義する場合、クラスタの IP アドレスは VLAN インタフェース(タグ付きインタ 

フェース)に対してのみ定義できます。VLAN を持っている物理インタフェースに対してクラスタの IP アドレスを定義 

することはできません。このような物理インタフェースは、[Network Objective]カラムで[Monitored Private]を選択 

して定義する必要があります。 

注 - ClusterXL は、Windows 2000 または Windows 2003 Server 上の VLAN をサポートし 

ていません。 

同一 VLAN への複数クラスタの接続 

複数のクラスタの安全に保護されていないインタフェース(たとえば、内部クラスタ・インタフェースまたは外部クラス 

タ・インタフェース)を同一の VLAN に接続することはお勧めできません。各クラスタに個別の VLAN および/またはス 

イッチが必要です。 

複数のクラスタの安全に保護されたインタフェース( 同期インタフェース)を接続することも、同じ理由からお勧めでき 

ません。したがって、クラスタの安全に保護されたインタフェースを接続する際は、クロスケーブルを介して接続する 

か、孤立した VLAN に接続することをお勧めします。 

複数のクラスタの安全に保護されたインタフェースまたは安全に保護されていないインタフェースを同一の VLAN に 

接続する必要がある場合は、以下の変更を行う必要があります。 

 

 

宛先 MAC アドレスの変更。クラスタとクラスタ外部のマシンの間の通信を可能にするために必要です 

(ClusterXL 負荷共有マルチキャスト・モードのクラスタの場合のみ)。 

クラスタの発信元 MAC アドレスの変更。クラスタ・メンバ間のクラスタ・コントロール・プロトコル通信を可能にす 

るために必要です。 


宛先 MAC アドレスの変更 

このセクションは、ClusterXL 負荷共有マルチキャスト・モードにのみ関連しています。 

負荷共有マルチキャスト・モードでの宛先クラスタ MAC アドレスの割り当て方法 

クラスタの外部のマシンがクラスタと通信しようとする場合は、クラスタの( 仮想 )IP アドレスについての ARP クエリを 

送信します。クラスタは、IP アドレスがユニキャスト・アドレスであってもマルチキャスト MAC アドレスを使用して ARP 

要求に応答します。 

このクラスタの宛先マルチキャスト MAC アドレスは、クラスタのユニキャスト IP アドレスに対応しています。上位 3 バ 

イトは 01.00.5E であり、標準的な Multicast MAC として識別されます。下位 3 バイトには IP アドレスの下位 3 バイ 

トが使用されます。以下に IP アドレス 10.0.10.11 に基づく MAC アドレスの例を示します。 

マルチキャスト MAC アドレスの重複 : 問題 

複数のクラスタが同一の VLAN に接続されている場合、VLAN に接続されるクラスタ・インタフェースの IP アドレスの 

最後の 3 バイトは異なっている必要があります。同じ場合、外部から 1 つのクラスタに向けられた通信が両方のクラ 

スタに到達して通信上の問題が発生します。 

たとえば、VLAN に接続されたクラスタのうち最初のクラスタのクラスタ・インタフェース・アドレスが 10.0.10.11 で、 

2 番目のクラスタのクラスタ・インタフェース・アドレスが10.0.10.12の場合は問題ありませんが、最初のクラスタと2 番 

目のクラスタのアドレスがそれぞれ10.0.10.11と20.0.10.11である場合は、混乱が生じます。 

マルチキャスト MAC アドレスの重複 : 解決策 

最善の解決法は、IP アドレスの最後の 3 バイトが共通しているクラスタ・インタフェースのうち、1 つを除くすべてのク 

ラスタ・インタフェースについて IP アドレスの最後の 3 バイトを変更することです。 

クラスタ・インタフェースの IP アドレスを変更できない場合は、1 つを除くすべてのクラスタについて自動的に割り当て 

られたマルチキャスト MAC アドレスを変更し、ユーザ定義のマルチキャスト MAC アドレスで置き換える必要があり 

ます。以下の手順を実行します。 

1. クラスタ・オブジェクトの[ClusterXL]ページで、[Load Sharing]→[Multicast Mode]を選択します。 

[Topology]タブで、ほかのクラスタと同じ VLAN に接続されているクラスタ・インタフェースを編集します。 

2. [Interface Properties]ウィンドウの[General]タブで、[Advanced]をクリックします。 

3. デフォルトの MAC アドレスを変更し、新たにユーザ定義の MAC アドレスを入力します。MAC アドレスは 

01:00:5e:xy:yy:yy の形式で入力します。ここで x は 0~7 で、y は 0~f(16 進数 )です。 

発信元 MAC アドレスの変更 

このセクションは、HA と負荷共有を含むすべての ClusterXL モードおよび OPSEC 認定クラスタ製品に関連してい 

ます。 

発信元クラスタ MAC アドレスの割り当て方法 

クラスタ・メンバはクラスタ・コントロール・プロトコル(CCP)を使用して互いに通信します。CCP パケットには固有の 

発信元 MAC アドレスが付加され、この MAC アドレスによって普通のネットワーク・トラフィックと区別されます。 


発信元 MAC アドレスの先頭の 4 バイトはすべてゼロです(00.00.00.00)。 

発信元 MAC アドレスの 5 バイト目はマジック・ナンバで、値は用途を表します。 

5 バイト目のデフォルト値用途 

0xfe 

0xfd 

CCP トラフィック 

転送レイヤ・トラフィック 

 

6 バイト目は送信クラスタ・メンバの ID です。 

発信元クラスタ MAC アドレスの重複 : 問題 

1 つ以上のクラスタが同じ VLAN に接続されている場合で、CCP と転送レイヤのトラフィックがマルチキャスト MAC 

アドレスを宛先に使用している場合、このトラフィックは意図されたクラスタにのみ届きます。 

ただし、ブロードキャスト MAC アドレスが CCP の宛先と転送レイヤに使用されている場合 (そのほかの場合でも)、 

1 つのクラスタに向けられたクラスタ・トラフィックが接続されているすべてのクラスタから透過的ではないため、意図 

しないクラスタによって処理されて通信上の問題が発生します。 

発信元クラスタ MAC アドレスの重複 : 解決策 

同一の VLAN に接続されている別々のクラスタから送信されたパケットの発信元 MAC アドレスを確実に区別できる 

ようにするため、1 つを除くすべてのクラスタについて VLAN に接続されたクラスタ・インタフェースの MAC 発信元ア 

ドレスを変更してください。 

同一 VLAN 上に複数のクラスタを設定するには、以下のゲートウェイ設定パラメータを使用します。これらのパラメー 

タは、ClusterXL 製品と OPSEC 認定クラスタ製品の両方に適用されます。 

パラメータ 

fwha_mac_magic 

fwha_mac_forward_magic 

デフォルト値 

0xfe 

0xfd 

これらのゲートウェイ設定パラメータの値を変更すると、クラスタ・コントロール・プロトコル・パケットと転送パケットの 

発信元 MAC アドレスの 5 バイト目が変更されます。2 つのゲートウェイ設定パラメータが異なっていれば、どんな値 

を使用しても構いません。混乱を避けるため、値 0x00 は使用しないでください。 

これらのパラメータの変更方法の説明は、89ページの「ゲートウェイ設定パラメータの設定方法」を参照してくだ 

さい。 

インタフェースのリンク状態監視 

インタフェースのリンク状態監視を有効にすると、ClusterXL でインタフェース障害を検出する時間が短縮されます。 

リンク状態 (たとえば、電気状態など)を監視することによって、ケーブルの切断やスイッチの電気的な障害 ( 実際の 

障害または想定される障害 )などの特定のネットワーク・インタフェースに関する接続性の問題が発生したときに、 

ClusterXL は即座にその問題を検出されるようになります。 

インタフェースのリンク状態監視を行うには、リンク状態の検出をサポートしているインタフェース・デバイス・ドライバ 

が必要です。デバイス・ドライバは、リンクが接続されているか切断されているかを報告します。 

インタフェースのリンク状態監視機能は、監視対象インタフェース(クラスタ・インタフェースまたは監視対象プライベ 

ート・インタフェースのどちらか)が ICMP ECHO プローブ要求を送信したが接続しているサブネット上のホストやル 

ータからの応答がない場合に特に便利です。 

この機能を有効にすると、インタフェースがダウンしたときに即座に ClusterXL で検出されます。この機能を無効に 

すると、ClusterXL は、サブセカンドでタイムアウト期限を監視した上でインタフェースが誤作動しているかどうかを判 

断します。 

デフォルトでは、インタフェースのリンク状態監視機能は無効になっています。 


注 - インタフェースのリンク状態監視を行うには、リンク状態の検出をサポートしているインタ 

フェース・デバイス・ドライバが必要です。また、この機能は Linux プラットフォームの 

SecurePlatform のみをサポートしています。この機能は、2 つのインタフェースがクロスケー 

ブルで直接つながっている 2 つのメンバの ClusterXL クラスタでのみ利用できます。sk31336 


インタフェースのリンク状態監視の有効化 

インタフェースのリンク状態監視を有効 / 無効にするには 

 

グローバル・パラメータ fwha_monitor_if_link_state を設定します。 

使用方法 : 

fw ctl set int fwha_monitor_if_link_state 

オプション: 

 

 

0 – インタフェースのリンク状態監視を無効にします。これはデフォルトの設定です。 

1 - インタフェースのリンク状態監視を有効にします。 

これらの設定パラメータを起動時に有効にする方法については、SecureKnowledge sk26202 


リンク・アグリゲーションとクラスタ 

このセクションの構成 

概要 79 

リンク・アグリゲーション - HA モード 80 

リンク・アグリゲーション - 負荷共有モード 84 

インタフェース・ボンディングでの VLAN の定義 86 

リンク・アグリゲーションのためのパフォーマンス・ガイドライン 86 

インタフェース・ボンディング用の ClusterXL のコマンド 87 

ボンディングされたインタフェースのトラブルシューティング 88 

概要 

リンク・アグリゲーション(NIC チーミングとも呼ばれます)では、複数のネットワーク・インタフェースを Security 

Gateway にボンディングします。インタフェース・ボンドでは、インタフェースに障害が発生したときに HA ソリューショ 

ンで冗長性を持たせることができ、さらに負荷共有モードでは全体的なスループットを向上させることができます。 

注 - リンク・アグリゲーションは Check Point SecurePlatform でのみサポートされています。 

インタフェース・ボンドでは、2~8 つのインタフェースが 1 つのインタフェースとして機能するように設定され、同一の 

IP アドレスを使用します。 


ボンドは、物理インタフェースと同様に SecurePlatform で定義されるバーチャル・インタフェースです。ボンドの各物 

理インタフェースは、ボンドのスレーブと呼ばれます。スレーブとして機能するインタフェースは、ボンドから独立して 

機能はしません。 

リンク・アグリゲーションは次の 2 つのモードのどちらかに設定できます。 

 

HA(アクティブ/バックアップ)モード - 一度に 1 つのインタフェースのみがアクティブになります。インタフェース 

に故障が発生すると、ボンドで別のインタフェースにフェイルオーバーを開始します。ボンドでは異なるインタフ 

ェースが異なるスイッチに接続し、スイッチの高可用性を HA インタフェースにつなげることができます。 

注 - リンクの状態に左右される内部ボンドのフェイルオーバーには、メディア独立型インタ 

フェース(MII) 標準をサポートするネットワーク・インタフェースが必要です。 

 

負荷共有 (アクティブ/アクティブ)モード - 異なる接続ですべてのインタフェースがアクティブになります。 

接続はネットワーク層 3 および 4 によってインタフェース間で分散され、IEEE 802.3ad 規格または XOR 

に従っています。負荷共有モードはスループットが向上するという利点がありますが、ボンドのインタフェ 

ースすべてが 1 つのスイッチに接続している必要があります。 

リンク・アグリゲーション HA モードおよびリンク・アグリゲーション負荷共有モード: 

 

 

定義可能なボンドのインタフェースの数は、各プラットフォームでサポートされるインタフェースの最大数に制限 

されます。詳細は、チェック・ポイントの該当するリリース・ノートを参照してください。。 

HA または負荷共有のボンド 1 つに対して、NIC は最大 8 つまで設定できます。 

リンク・アグリゲーション - HA モード 


完全メッシュ冗長性 81 

ボンディング・フェイルオーバー 82 

HA モードでのインタフェース・ボンディングの作成 82 

VLAN に対するフェイルオーバー・サポート 83 

ミッション・クリティカルなアプリケーションを利用する場合、企業のネットワークには高い可用性が求められます。 

クラスタを使用することで冗長化を実現し、ゲートウェイ・レベルで高い冗長性をサポートできるようになります。リン 

ク・アグリゲーションを使用しないと、ゲートウェイの片側の NIC(ネットワーク・インタフェース・カード)やスイッチは、 

クラスタ内で、別のクラスタ・メンバにゲートウェイのフェイルオーバーを行ってのみ冗長化が可能となります。 


ゲートウェイ・クラスタは、リンク・アグリゲーションを使用せずに冗長化することができます。スイッチやゲートウェイ 

に故障が発生した場合、HA クラスタ・ソリューションがシステムに冗長性を持たせます。たとえば、2 つの同期された 

Security Gateway クラスタ・メンバを冗長トポロジに配置することが可能です。 

このシナリオの場合、以下のように設定されます。 

 

 

 

GW-1 および GW-2 はクラスタ・メンバ。それぞれが外部スイッチ(それぞれ S-1 と S-2)に接続されている NIC 

を持っています。 

S-1 および S-2 はスイッチ 

C-1 および C-2 は相互接続ネットワーク 

Memeber 1とその NIC、または S-1が故障した場合、Member 2がアクティブなゲートウェイとなり、ネットワーク C-2 

経由でスイッチ S-2 に接続します。コンポーネント(ゲートウェイ、NIC、スイッチなど)で故障が発生すると、フェイル 

オーバーによって冗長性はなくなります。その後さらにアクティブなコンポーネントで故障が発生した場合、ネット 

ワーク・トラフィックは完全に停止します。 

リンク・アグリゲーションを使用することで、NIC の高い可用性を実現できます。1 つの NIC が故障しても、別の NIC 

が代わって機能します。この機能は HA モードと負荷共有モードにあります。 

完全メッシュ冗長性 

ClusterXL でのリンク・アグリゲーション HA モードは、ネットワークでより高い冗長性を提供し、高い信頼性を実現し 

ます。この高い冗長性は、NIC とスイッチを独立してバックアップする完全メッシュ・トポロジによって構成されます。 


完全メッシュ・トポロジは、基本としてケーブルをバックアップしながらインタフェースおよびスイッチの両方をバックア 

ップすることで、システムの冗長性を高めます。各クラスタ・メンバには、2 つの外部インタフェースがあり、各スイッチ 

に接続されています。 

このシナリオの場合、以下のように設定されます。 

 

 

 

Member-1 と Member-2 は HA モード内のクラスタ・メンバ。それぞれが 2 つの内部スイッチに接続されてい 

ます。 

S-1 および S-2 はスイッチ 

C-1、C-2、C-3 および C-4 はネットワーク 

ボンディング・フェイルオーバー 

リンク・アグリゲーション HA モードでは、ゲートウェイがクラスタの一部である場合、内部ボンディング・フェイル 

オーバーが以下のいずれかの場合に発生することがあります。 

 

 

アクティブなインタフェースで、監視インタフェースでリンク状態の障害が検出された場合 

ClusterXL で、クラスタ・コントロール・プロトコル(CCP)のキープアップ・パケットの送受信で障害が検出された 

場合 

どちらの障害が発生した場合でも、状況によってインタフェース・ボンディング内もしくはクラスタ・メンバ間でフェイル 

オーバーが発生します。次のセクションでは、2 種類のフェイルオーバーのプロセスについて説明します。 

障害が検出されると、ログに記録されます。ログは SmartView Tracker で確認できます。 

HA モードでのインタフェース・ボンディングの作成 

インタフェース・ボンディングは、以下の手順を実行して作成します。 

IP アドレスをスレーブ・インタフェースから削除する 82 

スレーブ・インタフェースを「Disconnected」に設定する 83 

インタフェース・ボンディングの定義 83 

ボンディングの動作の確認 83 

IP アドレスをスレーブ・インタフェースから削除する 

インタフェース・ボンディングを定義する前に、スレーブ( 物理 )インタフェースに IP アドレスがないことを確認してくだ 

さい。 

1. SecurePlatform 設定ユーティリティを起動します。 


sysconfig 

2. [Network Connections]を選択します。 

3. [Add new connection]を選択します。 

a) [Configure connection]を選択します。 

b) 該当する物理インタフェースを選択します。 

c) [Remove IP from interface]を選択します。 

d) [Network Connections]に戻ります。 

4. SecurePlatform 設定ユーティリティを終了します 

スレーブ・インタフェースを「Disconnected」に設定する 

Disconnected インタフェースとは、ClusterXL メカニズムによる監視を行わないクラスタ・メンバ・インタフェースです。 

Disconnected インタフェースに障害が発生してもフェイルオーバーは発生しません。 

SecurePlatform でスレーブ・インタフェースを「Disconnected」に設定するには 

1. $FWDIR/conf/で、「discntd.if」という名前のファイルを作成します。 

2. スレーブ/ボンディングのペアとして機能する各物理インタフェースの名前を、1 行に 1 つずつ入力します。 

インタフェース・ボンディングの定義 

スレーブのインタフェースに IP アドレスがない場合、ボンディングを定義します。 


sysconfig 



4. [Bond]を選択します。 

5. ボンディング内でスレーブになる各インタフェースに対して、リストにその番号を入力して、[Enter]を押します。 

6. n を入力して次の手順に進みます。 

7. [High Availability]を選択します。 

8. デフォルトのパラメータを使用する( 推奨 )、またはカスタマイズするかを選択します。 

9. プライマリ・スレーブ・インタフェースを設定する、または設定しない( 推奨 )かを選択します。 

プライマリ・スレーブ・インタフェースは、障害が起きて回復した後、自動的にアクティブなステータスに戻ります 

(たとえ、別のインタフェースへのフェイルオーバーが起きた場合でも)。プライマリ・インタフェースがない場合、 

フェイルオーバーによって別のインタフェースがアクティブになり、そのインタフェースで障害が発生するまで、そ 

の状態を保ちます。 

10. 新しいインタフェース・ボンディングの IP アドレスおよびネットワーク・マスクを定義します。 

11. SecurePlatform 設定ユーティリティを終了します。 

ボンディングの動作の確認 

イントールまたはフェイルオーバーの後、ボンディングが動作しているかどうか確認することをお勧めします。 

1. 以下のコマンドを実行します。 


ボンドの状態が「UP」になっていることを確認します。 

2. 以下のコマンドを実行します。 

cphaconf show_bond 

ボンドが正しく設定されているか確認します。 

VLAN に対するフェイスオーバーのサポート 

リンク・アグリゲーション HA モードでは、ClusterXL で VLAN ID を監視して接続障害や通信障害をチェックし、障害 

が検出されたときにフェイルオーバーを開始します。 

VLAN 対応のスイッチ型の環境では、ClusterXLは最小のVLAN IDでVLANを監視します。監視作業は、クラスタ・コ 

ントロール・プロトコル(CCP)パケットを指定された間隔でラウンド・トリップ・パスに送信することによって行われます。 


最小のVLAN ID は、物理接続の状態を表します。この VLAN ID は常に監視され、接続障害が発生するとフェイル 

オーバーが開始されます。この設定ではスイッチ上の VLAN の設定に関する問題は検出されません。 

リンク・アグリゲーション - 負荷共有モード 


負荷共有モードでのインタフェース・ボンディングのワークフロー 84 

負荷共有のための Cisco スイッチの設定 85 

負荷共有モードでは、リンク・アグリゲーションの HA に加えて負荷分散が行われます。このモードでは、すべてのス 

レーブ・インタフェースがアクティブとなり、ボンドのスレーブ・インタフェース間で接続が分散されます。これは、 

ClusterXL でクラスタ・メンバ間に接続が分散される方法と似ています。 

負荷共有モードでは、各接続が特定のスレーブ・インタフェースに割り当てられます。1 つの接続に対してアクティブ 

なスレーブ・インタフェースは 1 つだけになります。インタフェースに障害が発生すると、ボンドにより別のインタフェース 

に接続がフェイルオーバーされ、すでに処理している接続に、障害が発生したインタフェースの接続が追加されます。 

接続は、スレーブ・インタフェース間で分散されます。分散方法は、ネットワーク層 3 と 4、および以下のいずれかの 

規格に基づきます。 

 

 

802.3ad - LACP が含まれた推奨モード。一部のスイッチでこのモードがサポートされない可能性があります。 

XOR. 

負荷共有モードでは、ボンドのインタフェースはすべて同じスイッチに接続されます。スイッチは自身をサポートし、ゲ 

ートウェイ・ボンディングと同じ規格 (802.3ad/XOR)に基づいてリンク・アグリゲーション向けに設定されている必要 

があります。 

負荷共有を実行するためには Performance Pack が必要です。 

負荷共有モードでのインタフェース・ボンディングのワークフロー 

負荷共有ボンディングの作成は HA ボンディングの作成と似ています。スレーブからの IP アドレスの削除、スレー 

ブ・インタフェースの切断、ボンディングの確認は、同じプロセスです。 

負荷共有ボンディングを作成するには 

1. スイッチが使用している規格 (802.3ad/XOR)に設定されていることを確認します。 

2. IP アドレスをスレーブ・インタフェースから削除します。 


3. スレーブ・インタフェースを「Disconnected」に設定します。 

4. 負荷共有モードでインタフェース・ボンディングを定義します。 

5. 必要なクリティカル・インタフェースを設定します。 

6. ボンディングが正しく動作しているかどうか確認します。 

負荷共有モードのインタフェース・ボンディングの定義 

インタフェース・ボンディングを定義するには 


sysconfig 



4. [Bond]を選択します。 

5. ボンディング内でスレーブになる各インタフェースに対して、リストにその番号を入力して、[Enter]を押します。 

6. n を入力して次の手順に進みます。 

7. [Load Sharing]を選択します。 

8. 負荷共有の規格 (802.3ad または XOR)を選択します。 

9. デフォルトのパラメータを使用する( 推奨 )、またはカスタマイズするかを選択します。 

10. 新しいインタフェース・ボンディングの IP アドレスおよびネットワーク・マスクを定義します。 


必要なクリティカル・インタフェースの設定 

負荷共有モードのボンディングは、アクティブなスレーブ・インタフェースの数が必要最小限の数より少ないと、ダウ 

ンしていると認識されます。 

明確に定義されていない場合、n 個のインタフェースを持つボンドでのクリティカル最小数は n-1 です。2 つの目のイ 

ンタフェースで障害が発生すると、3 つ以上のインタフェースがある場合でもボンディング全体がダウンしているとみ 

なされます。 

予想されるトラフィックを処理できるインタフェースの数が少ない場合、クリティカル・インタフェースの数を明示的に 

定義して冗長性を向上させることができます。予想されるトラフィック・スピードをインタフェースのスピードで割り、整 

数に切り上げてクリティカル・インタフェースの適切な数を決定します。 

クリティカル・インタフェースの数を明確に定義するには、次のファイルを作成して編集します。 

$FWDIR/conf/cpha_bond_ls_config.conf 

ファイルの各行は次の構文になります。 

 

たとえば、bond0 に 7 つのインタフェースがあり、bond1 に 6 つのインタフェースがある場合、ファイルの内容は以 

下のようになります。 

bond0 5 

bond1 3 

この場合、インタフェースのうち 3 つに問題が起きると bond0 はダウンしているとみなされます。また、インタフェース 

のうち 4 つに問題が起きると bond1 はダウンしているとみなされます。 

負荷共有のための Cisco スイッチの設定 

これらは Cisco スイッチのためのサンプルの設定コマンドです。 


802.3ad: 

Switch#conf t 

Switch(config)#port-channel load-balance src-dst-ip 

Switch(config)#interface FastEthernet 

Switch(config-if)#channel-group 1 mode active 

Switch(config-if)#channel-protocol lacp 

Switch(config-if)#exit 

Switch(config)#interface port-channel 1 

Switch(config-if)#switchport access vlan 

Switch(config-if)#end 

Switch#write 

XOR: 

Switch#conf t 

Switch(config)#port-channel load-balance src-dst-ip 

Switch(config)#interface FastEthernet 

Switch(config-if)#channel-group 1 mode on 

Switch(config-if)#exit 

Switch (config)#interface port-channel 1 

Switch(config-if)#switchport access vlan 

Switch(config-if)#end 

Switch#write 

インタフェース・ボンディングでの VLAN の定義 

通常のインタフェースと同様に、インタフェース・ボンディング上で VLAN を定義できます。 

インタフェース・ボンディング上で VLAN を定義するには 


sysconfig 



4. [VLAN]を選択します。 

5. VLAN を定義するインタフェースまたはインタフェース・ボンディングを選択します。 

6. VLAN ID を入力します。 

7. VLAN の IP アドレスを定義します。 


リンク・アグリゲーションのためのパフォーマンス・ガイドライン 

最良のパフォーマンスを得るために、リンク・アグリゲーションのためのスタティック・アフィニティを使用します。 

アフィニティの設定 

Performance Pack をマルチコア・システムで実行している場合は、ボンドを定義した後にアフィニティを手動で設定 

します。sim affinity コマンドの-s を使用します。『R75.40VS Performance Pack Administration Guide』を参 

照してください。 

注 - sim アフィニティのコマンドは、Performance Pack が有効で実行中の場合にのみ実行できま 

す。Performance Pack は、最初にポリシーをインストールしたときから実行が開始されます。 

パフォーマンスを最適化するために、以下のガイドラインに従ってアフィニティを設定します。 

1. -s のオプションを使用して sim affinity を実行します。 

2. 可能な場合は、各インタフェースに 1 つの処理コアを割り当てます。sk33520 


3. コアより多くのインタフェースがある場合は、1 つ以上のコアで 2 つのインタフェースを処理します。内部ボンドお 

よび外部ボンドで、同じ配置のインタフェース・ペアを使用します。 


a) ボンディングのインタフェースの配置を確認するには、次を実行します。 

cat /proc/net/bonding/. 

b) 出力のインタフェースのシーケンスに注意し、2 つのボンディング( 外部ボンディングとそれに該当する内部 

ボンディング)と比較します。2 つのボンディングの同じ配置にあるインタフェースはインタフェース・ペアで、1 

つの処理コアで処理されるように設定されています。 

たとえば、以下のように、2 つのボンディング間で 4 つの処理コア(0-3)と 6 つのインタフェース(0-5)がある場合 

が考えられます。 

bond0 

bond1 

eth0 

eth1 

eth2 

eth3 

eth4 

eth5 

2 つのコアはそれぞれ 2 つのインタフェースを処理する必要があります。最適な設定は以下のようになります。 

bond0 

bond1 

eth0 core 0 eth3 core 0 

eth1 core 1 eth4 core 1 

eth2 core 2 

eth5 core 3 

インタフェース・ボンディング用の ClusterXL のコマンド 

cphaconf show_bond 

構文 

インタフェース・ボンディングのステータスまたはすべてのボンディングのサマリ 

を参照 

cphaconf show_bond [|-a] 

オプションパラメータ説明 

bond-name 

ターゲットとなるボンディングの名前 

例 

-a 

すべてのボンディングのサマリを表示 

[Expert@GW-1]# cphaconf show_bond bond0 

Bond name: bond0 

Bond mode:Load Sharing 

Bond status:Up 

Balancing mode:802.3ad Layer3+4 Load Balancing 

Configured slave interfaces:4 

In use slave interfaces:4 

Required slave interfaces:2 

Slave Name | Status | Link 

-------------------------------------------- 

eth2 | Active | Yes 





コメント 

レポート結果が以下を表示します。 

必要なスレーブ・インタフェース(85ページの「必要なクリティカル・インタ 

フェースの設定」を参照 ) 

ステータス値 

 

 

 

 

[Down] - ( 負荷共有のみ) 物理リンクがダウンしています。 

[Active] - 現在処理しているトラフィック。 

[Standby] - (HA のみ)インタフェースの準備が完了し、内部ボンディ 

ング・フェイルオーバーをサポートできる状態であることを示します。 

[Not Available] - (HA のみ) 物理リンクが故障しているか、クラスタ・ 

メンバがダウンのステータスにあります。この状態でボンディングは 

フェイルオーバーを実行できません。 

[Link] - 物理リンクが存在している場合。 

cphaconf 

failover_bond 

構文 

インタフェース・ボンディングの内部フェイルオーバー(HA のみ)を開始 

cphaconf failover_bond 

パラメータパラメータ説明 

bond-name 

ターゲットとなるボンディングの名前 

chaprob -a if 

構文 

例 

コメント 

すべてのインタフェース・ボンディングと VLAN のステータスを表示 


[Expert@GW-1]# cphaprob -a if 

Required interfaces:5 

Required secured interfaces:1 

bond0 UP non sync(non secured), broadcast, bond, can 

failover 

bond2 UP sync(secured), multicast, bond Load Sharing 

bond1 UP non sync(non secured), multicast, bond Load 

Sharing 

Virtual cluster interfaces:4 

bond0 192.168.34.60 

bond1.60 10.34.60.1 

bond1.61 10.34.61.1 

bond1.62 10.34.62.1 

HA ボンディングのフェイルオーバーの可能性を確認する場合にこのコマンドを 

使用します。 

ボンディングされたインタフェースのトラブルシューティング 


トラブルシューティングのワークフロー 89 

スイッチの接続の遅延 89 


トラブルシューティングのワークフロー 

1. ボンディングのステータスを確認します(83ページの「ボンディングの動作の確認」を参照 )。. 

2. 問題がある場合は、物理リンクがダウンしているかどうかチェックしてください。 

a) 実行するコマンド 

cphaconf show_bond 

b) link について no と報告しているスレーブ・インタフェースを検索します。 

c) ケーブル接続とほかのハードウェアを確認します。 

d) スイッチのポート設定を確認します。 

3. クラスタ・メンバがダウンしているかどうか確認します。 


クラスタ・メンバに「Firewall State」が「active」以外がある場合、cphaprob state でトラブルシュー 

ティングを続けます(47ページの「cphaprob コマンド」を参照 )。 

4. ログを SmartView Tracker で確認します。 

スイッチの接続の遅延 

特定のスイッチを使用している場合に、内部ボンディング・フェイルオーバーを実行中に接続の遅延が発生すること 

があります。一部のスイッチに含まれる各種機能を使用することで、スイッチが新しく接続されたインタフェースを開 

始するまでの時間を短縮できるようになります。リンク障害が発生した後の起動時間を短縮する方法として、以下の 

手順が挙げられます。 

1. 関連するインタフェースでの自動ネゴシエーションを無効にします。 

2. 一部の Cisco のスイッチでは、PortFast 機能を有効にします。 

3. ポートの STP を無効にします。 

PortFast の使用に関する警告 

PortFast 機能は、ほかのスイッチまたはハブに接続しているポートでは使用しないでください。この場合は、 

Spanning Tree を使用して初期化手順を完了させる必要があります。この手順を完了させないと、これらの接続が 

パケットが継続して(または増加された) 転送される物理ループを発生させる可能性があり、ネットワークが復旧でき 

ない場合があります。 

Cisco スイッチの PortFast 機能の設定例 

以下のコマンドは、IOS を稼動する Cisco 3750 スイッチの GigabitEthernet 1/0/15 インタフェース上で PortFast を 

有効にするのに必要なコマンドです。 

1. 設定モードに切り替えます。 

cisco-3750A#conf t 

2. 設定するインタフェースを指定します。 

cisco-3750A(config)#interface gigabitethernet1/0/15 

3. 以下のインタフェースの PortFast を設定します。 

cisco-3750A(config-if)#spanning-tree portfast 

高度なクラスタ設定 

ゲートウェイ設定パラメータの設定方法 

同期機能と ClusterXL 機能の多くは、Security Gateway 設定パラメータを使用して制御されます。Security 

Gateway 上で以下のようにコマンドを実行します。 


fw ctl set int Parameter 

Parameter は、以下の各セクションで説明するパラメータを指します。 

デフォルト値を変更する場合は、すべてのクラスタ・メンバに適用してください。各クラスタ・メンバに別々の値を設定 

すると、設定上の問題が生じて接続障害が発生する可能性があります。 

すべてのゲートウェイ設定パラメータは、起動時に有効になるように設定できます。この設定方法は、オペレーティン 

グ・システムによって異なります。 

ゲートウェイを起動時に有効にする設定方法 

fw ctl set int コマンドを使用して変更したゲートウェイ設定パラメータは、起動時に有効になりません。これらを起動 

時に有効にする方法は、オペレーティング・システムによって異なります。以下の手順では、Parameter は以下の各 

セクションで説明するパラメータを指します。 

Linux/SecurePlatform 

1. ファイル$FWDIR/boot/modules/fwkern を編集します。 

2. 行 Parameter=を追加します。 

3. 再起動します。 

Windows 

1. レジストリを編集します。 

2. キーHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FW1\Parameters\Globals の下に 

Parameter という名前の DWORD 値を追加します。 

3. 再起動します。 

モジュール変数の IPSO 6.1 以降での設定 

IPSO をインストールする、または Voyager を新しいプラットフォームで最初に実行する場合、[Firewall Kernel 

Tuning Configuration]ページは表示されません。カスタマ・サービスの指示でこのページを使用する必要がある場 

合は、以下の手順を実行して表示させる必要があります。 

1. コマンド・ラインをプラットフォームに接続します(ネットワーク接続もしくはコンソール接続を使用 )。 

2. IPSO シェル・プロンプトで、以下を入力します。 

nokia[admin]# dbset advanced:loader t 

3. Voyager を実行します( 前回のコマンドを入力したときに Voyager が開いていた場合は、Voyager を一度終了し 

てから再度実行 )。 

4. ナビゲーション・ツリーから[Configuration]→[Tools]→[Firewall Kernel Tuning]をクリックします。 

5. サポートに指示されたとおりに変数を設定し、[Apply]をクリックします。[Apply]をクリックするとファイアウォー 

ル・カーネル変数が適用されて、Voyager 設定が保存されます。プラットフォームを再起動すると、[Firewall 

Kernel Tuning Configuration]ページが再び表示されます。 

クラスタリング・タイマと同期タイマの制御 

以下のゲートウェイ設定パラメータは、クラスタリング・タイマと同期タイマの制御に使用します。デフォルト値を変更 

することはお勧めできません。 


クラスタリング・タイマと同期タイマ 

パラメータ意味デフォルト値 

fwha_timer_cpha_res 

クラスタ上での ClusterXL の処理頻度 

1 

次の間隔で処理が行われます。 

10 x fwha_timer_cpha_res x fwha_timer_base_res 

ミリ秒 

fwha_timer_sync_res 

クラスタ上での同期フラッシュ処理の頻度 

1 

次の間隔で処理が行われます。 

10 x fwha_timer_cpha_res x fwha_timer_base_res 

ミリ秒 

fwha_timer_base_res 10 の倍数にする必要があります。 10 

高負荷状態での新しい接続の遮断 

新しい接続を遮断する理由は、新しい接続は新しい同期トラフィックが発生する主な原因となり、高負荷状態で新し 

いトラフィックの処理を継続するとすべての同期が危険にさらされる可能性があるためです。 

関連するエラー・メッセージは、次のとおりです。 

"FW-1: State synchronization is in risk. Please examine your synchronization network to avoid further 

problems!" (70ページの「同期関連のエラー・メッセージ」を参照 ) 

Security Gateway を通るトラフィックの量を減少させると、同期メカニズムが保護されます。 

 

 

 

 

 

fw_sync_block_new_conns により、Security Gateway で高負荷を検出し、新しい接続の遮断を開始できます。 

ファイアウォールの同期送信キューが満杯になって fw_sync_buffer_threshold の値を超えた場合、負荷が高 

いと見なされます。 

負荷の検出を有効にするには、0 に設定します。 

負荷の検出を無効にするには、-1 (0xFFFFFFFF hex)(デフォルト値 )に設定します。 

ClusterXL 負荷共有構成の場合のみ、同期がビジーなときに新しい接続を阻止することをお勧めします。HA モ 

ードでも新しい接続を阻止できますが、同期の不一致は解決されません。これは、HA モードは同期の不一致を 

防止するからです。このパラメータは、ゲートウェイを起動時に有効にする方法 (90ページの「ゲートウェイの設 

定を起動時に有効にする設定方法」を参照 )を使って、起動時に有効になるように設定できます。 

fw_sync_buffer_threshold is は、バッファが許容する最大パーセント値です。この値に達するとバッファが満 

杯になったと見なされ、新しい接続の遮断が開始されます。デフォルトでは 80 に設定され、バッファ・サイズは 

512 です。デフォルトでは、410 以上の連続的なパケットが ACK なしで送信された場合、新しい接続は破棄さ 

れます。阻止が開始されると、fw_sync_block_new_conns は 1 に設定されます。状況が安定すると、この値 

は 0 に戻されます。 

fw_sync_allowed_protocols を使用して、システムが接続阻止状態になった場合でも開設を許可する接続の 

タイプを決定します。これにより、管理者は負荷異常時でもシステムの動作を制御できます。 

fw_sync_allowed_protocols 変数は、各種の接続タイプを指定するフラグの組合せです。変数の値は個々の 

フラグ値の和です。たとえば、この変数のデフォルト値は 24 ですが、これは TCP_DATA_CONN_ALLOWED 

(8)と UDP_DATA_CONN_ALLOWED(16)の和であり、デフォルトでは高負荷状態で TCP 接続と UDP デー 

タ接続のみ許可することを意味します。 

ICMP_CONN_ALLOWED 1 


TCP_CONN_ALLOWED 2(データ接続を除く) 

UDP_CONN_ALLOWED 4(データ接続を除く) 

TCP_DATA_CONN_ALLOWED 

UDP_DATA_CONN_ALLOWED 

8( 制御接続は確立されるか許可される) 

16( 制御接続は確立されるか許可される) 

SmartView Tracker のアクティブ・モードの使用 

SmartView Tracker のアクティブ・モードでは、管理サーバ上の現在アクティブなログ・ファイルにログを送信してい 

る任意の Security Gateway を介して現在開いている接続が表示されます。 

アクティブ・モードは同期の速度を低下させる傾向があります。速度が低下した場合、同期メカニズムは同期を維持 

するためにアクティブな接続更新をランダムに廃棄 (ドロップ)します。ドロップは SmartView Tracker のアクティブ・ 

モード・メッセージで説明するエラー・メッセージの 1 つが表示されます。 

高負荷状態のクラスタにはアクティブ・モード・ビューを使用しないでください。高負荷状態のアクティブな接続に関す 

る正確なレポートを取得するために、以下の 2 つの解決法を使用できます。これらはクラスタおよび単一 Security 

Gateway の両方に適用されます。 

1. fwlddist_buf_size の拡大 

fwlddist_buf_size パラメータは、同期バッファのサイズ(ワード数 )を制御します(ワード数は、同期と 

SmartView Tracker のアクティブ・モードの両方で使用されます。1 ワードが 4 バイトです)。デフォルト値は 

16,000 ワードです。最大値は 64,000 ワードで最小値は 2,000 ワードです。 

このパラメータを変更した場合、変更は起動後に初めて適用されるため、パラメータが起動時に有効になるよう 

に設定されていることを確認してください。メカニズムの使用については、89ページの「ゲートウェイ設定パラメー 

タの設定方法」を参照してください。 

2. テクニカル・サポートからのホットフィックスの入手 

チェック・ポイントのテクニカル・サポートからホットフィックスを入手してください。このホットフィックスには、 

Security Management サーバに送信される前にアクティブな接続がゲートウェイで fwd によって読み取られる 

速度を制御する変数が含まれています。この解決法を実行するには追加の CPU リソースが必要です。 

処理待ちパケット数の削減 

ClusterXL は、非対称通信で状態に合致しないパケットが発生するのを防止します。これを行うために、ほかのすべ 

てのアクティブなクラスタ・メンバから Sync ACK が受信されるまで、パケットが保持されます。何らかの理由で Sync 

ACKが受信されない場合、クラスタ・メンバ上の Security Gatewayがパケットを解放しないため、接続は確立されま 

せん。 

保持されたパケットが解放されていないかどうか確認するには、fw ctl pstat コマンドを実行します。コマンド出力に 

示される Number of Pending Packets( 処理待ちパケット数 )の値が通常の負荷状態にもかかわらず大きく(100 

を超える)、時間が経っても減少しない場合は、fwldbcast_pending_timeout パラメータを使用して処理待ちパケ 

ット数を減らしてください。 

fwldbcast_pending_timeout の値をデフォルト値の 50 から 50 よりも小さい値に変更します。 

値の単位はティックです。1 ティックは 0.1 秒であり、たとえば 50 ティックは 5 秒です。 

この値で示された時間が経過すると、Sync ACK が受信されていなくてもパケットは解放されます。 

完全同期詳細オプションの設定 

クラスタ・メンバは再起動後 (または cpstart 後 )にアクティブになった場合、完全同期を実行する必要があります。完 

全同期プロセスの最初のステップとして、ほかのアクティブなクラスタ・メンバの 1 つとハンドシェークを実行します。こ 

のハンドシェークが成功した場合だけ、クラスタ・メンバは完全同期プロセスを継続します。 


実行される詳細ハンドシェークでは(デフォルトで)クラスタ・メンバ間で情報を交換します。この情報には、バージョン 

情報、インストールされているチェック・ポイント製品に関する情報が含まれており、現在アクティブな VPN カーネル・ 

テーブルに関する情報を含めることもできます。詳細ハンドシェークは、後の完全同期で行われるカーネル・テーブ 

ル情報の交換とは関係ありません。 

すべてのクラスタ・メンバが、同じチェック・ポイント製品とバージョンをインストールする必要があります。異なる製品 

がクラスタ・メンバにインストールされている場合には、詳細ハンドシェークによって特定されます。異なる製品がイン 

ストールされている場合、コンソールへの警告とログ・メッセージが発行されます。 

下位互換性をサポートするために、以下のゲートウェイ設定パラメータを使用して詳細ハンドシェークの動作を変更 

できます。これらのパラメータの編集方法については、89ページの「高度なクラスタ設定」を参照してください。 

 

 

 

fw_sync_no_ld_trans はデフォルトで 1 の値を持ちます。完全同期プロセスの最初の段階でメンバ間で 

カーネル・テーブル情報を交換するには、0 に設定します。 

fw_sync_no_conn_trans はデフォルトで 0 の値を持ちます。完全同期プロセスの最初の段階で、メンバ 

間でインストール製品の情報を交換しない場合は、1 に設定します。 

fw_sync_fcu_ver_check はデフォルトで 1 の値を持ちます。R75.40VS に定める要件を満たしていない 

バージョンへの完全接続性アップグレードを許可する場合は、0 に設定します(『Installation and 

Upgrade Guide』(http://supportcontent.checkpoint.com/solutions?id=sk76540)を参照 )。 

Disconnected インタフェースの定義 

Disconnected インタフェースとは、ClusterXL メカニズムによる監視を行わないクラスタ・メンバ・インタフェース 

です。 

インタフェースが長時間ダウンしている場合、ダウンしているインタフェースを Disconnected インタフェースとして定 

義することにより、クラスタ・メンバをアクティブに保つことができます。 

以下に示すプロセスは、[Topology]ページから非監視対象インタフェースを定義する方法と同じです。ただし、GUI 

による方法は IP アドレスを定義したインタフェースのみに使用できます。 

Unix での Disconnected インタフェースの定義 

$FWDIR/conf/discntd.if の下にファイルを作成し、ClusterXL で監視しないインタフェースの名前を 1 行に 1 

つずつ書き込みます。 

Windows での Disconnected インタフェースの定義 

1. regedt32 レジストリ・エディタを開きます。regedit は使用しないでください。 

2. HKEY_LOCAL_MACHINES\System\CurrentControlSet\Services\CPHA に以下の新しい値を作成します。 

Value Name :DisconnectedInterfaces 

Data Type :REG_MULTI_SZ 

3. インタフェース名を追加します。インタフェース・システム名を取得するには、以下のコマンドを実行します。 

fw getifs 

4. 次の書式を使用して、切断されたインタフェースのリストにこの名前を追加します。 

\device\ 

5. cphastop、cphastart と実行して、変更を適用します。 

ポリシー更新タイムアウトの設定 

ポリシーがゲートウェイ・クラスタにインストールされている場合、クラスタ・メンバはネゴシエーション・プロセスを実 

行してすべてのクラスタ・メンバが同じポリシーを受け取ったことを確認してから、ポリシーを実際に適用します。この 

ネゴシエーション・プロセスには、クラスタ・メンバがほかのクラスタ・メンバからの応答を待たずに済むようにするタイ 

ムアウト・メカニズムが用意されています。このメカニズムは、たとえばポリシーのインストール中に別のクラスタ・メ 

ンバがダウンしている場合などに役立ちます。 


ポリシーのインストールに長時間かかる構成 ( 通常多くのルールがポリシーに含まれているため)、3 つ以上のマシ 

ンから成るクラスタ、および速度の遅いマシンでは、このタイムアウト・メカニズムは早めに時間切れになる場合があ 

ります。 

タイムアウトは、以下のパラメータを設定して調整できます。 

fwha_policy_update_timeout_factor。 

デフォルト値は 1 で、ほとんどの構成はこれで充分です。上記のような状況が発生する構成の場合には、この 

パラメータを 2 に設定して対応できます。このパラメータを 4 以上に設定しないでください。 

TCP3 ウェイ・ハンドシェーク実施の強化 

標準的な 3 ウェイ・ハンドシェークを実施して TCP 接続を開始すると、単方向の対称性を保証され、適切な安全性が 

確保されます。この方法では、SYN のあとで必ず SYN-ACK が到達することが保証されます。ただし、SYN-ACK の 

あとで必ず ACK が到達すること、および ACK のあとで必ず最初のデータ・パケットが到達することは保証されませ 

ん。 

特に厳格なポリシーを実施してすべての out-of-state パケットを拒否する場合は、すべての TCP 接続開始パケット 

が正しいシーケンス(SYN、SYN-ACK、ACK、データの順 )で到達するように同期メカニズムを設定できます。この 

特別なセキュリティを無視すると、接続確立に著しい遅延が生じます。. 

実施強化を設定するには、データベース・ツールを使って、sync_tcp_handshake_mode プロパティを 

minimal_sync(デフォルト値 )から complete_sync に変更します。 


異なるサブネット上のクラスタ・アドレスについて 

クラスタ IP は ClusterXL オブジェクトに割り当てる仮想 IP アドレスであり、個々のクラスタ・メンバ・マシンの固有 IP 

アドレスとは異なります。これらのアドレスを使用するとクラスタが単一のゲートウェイと見なされるため、クラスタは 

ネットワーク上のルータとしてクラスタ自身の内部構造や状態を意識せずに動作できるようになります。 

従来は、クラスタ IP アドレスをクラスタ・メンバの固有アドレスが使用しているサブネットと同じサブネットに設定する 

必要がありました。クラスタ IP は、メンバのサブネットと異なるサブネットに置くことができます。この機能の利点は 

以下のとおりです。 

 

 

ネットワーク内の設定済み単一マシン・ゲートウェイを複数マシン・クラスタで置き換える際に、クラスタ・メ 

ンバ用に新しいアドレスを追加で割り当てる必要がない。 

ClusterXL ゲートウェイ・クラスタに対してルーティング可能なアドレスを 1 つだけ使用できる。 

注 - この機能は、ClusterXL ゲートウェイ・クラスタに対してのみサポートされています。 

OPSEC 認定クラスタの詳細については、ベンダーのマニュアルを参照してください。 

この新機能の重要な点は、クラスタ・メンバから送信されたパケットが(メンバ間をルーティングされるパケットとは異 

なり)クラスタ IP アドレスとクラスタ MAC アドレスの背後に隠されることです。クラスタ MAC は以下のとおりです。 

 

 

 

HA New モードの場合はアクティブ・マシンの MAC 

負荷共有マルチキャスト・モードの場合はマルチキャスト MAC 

負荷共有ユニキャスト・モードの場合はピボット・メンバ MAC 

この機能を使用すると、メンバは周辺のネットワークと通信できるようになりますが、いくつか制約もあります。96ペ 

ージの「異なるサブネット上のクラスタ・アドレスの制限事項」を参照してください。 


ClusterXL が異なるサブネット上に置かれたクラスタ IP を使用して正しく動作するためには、2 つの主要なステップを 

実行する必要があります。 


最初のステップは、各クラスタ・メンバにおいてクラスタ・ネットワーク(クラスタ IP が属するサブネット)に対するスタテ 

ィック・ルートを作成することです。このルートにより、クラスタ・ネットワークに接続されるインタフェースが決定されま 

す。これらのエントリが作成されない限り、OS はクラスタ・ネットワークを宛先とするパケットをルーティングできませ 

ん。クラスタ・メンバにアドレスを追加する必要はありません。ただし、メンバに割り当てられている固有の IP がクラス 

タのそれぞれの「側」で共通のサブネットを共有する必要があることに注意してください(つまり、各マシンの各インタ 

フェースは同じサブネットを使用するマシン相互間でインタフェースを持つ必要があります)。 

2 つ目のステップは、クラスタ・トポロジの設定に関係します。クラスタ IP はクラスタ・トポロジで決定され、クラスタ・メ 

ンバのインタフェースに関連付けられます( 各メンバは各クラスタ IP に対応するインタフェースを持つ必要がありま 

す)。通常クラスタ IP は共通のサブネットに基づいてインタフェースに関連付けられます。この場合、これらのサブ 

ネットは同じではありません。どのメンバ・サブネットをクラスタ IP に関連付けるかを明示的に指定する必要があ 

ります。 

メンバ・ネットワークを指定するには 

1. [Gateway Cluster Properties]ウィンドウで[Topology]を選択します。 

2. [Edit Topology]をクリックします。 

3. [Edit Topology]ウィンドウで、適切なメンバ・インタフェース・フィールドに手動で IP アドレスとサブネットを入力 

します。 

このインタフェースは、実際にはクラスタ・トポロジでの決定に従ってクラスタの仮想 IP アドレスを参照します。 

異なるサブネット上のクラスタ・アドレスの例 

この例では、ネットワーク 172.16.6.0(「A」側 )とネットワーク 172.16.4.0(「B」側 )を分離している単一ゲートウェイ・ 

ファイアウォールが ClusterXL クラスタで置き換えられます。ただし、クラスタ・メンバはネットワーク 192.168.1.0 を 

「A」側に、ネットワーク 192.168.2.0 を「B」側に、ネットワーク 192.168.3.0 を同期ネットワークにそれぞれ使用してい 

ます(この例で示されているネットワーク・アドレスはすべてクラス「C」です)。斜体のアドレスはクラスタ IP アドレスで 

す。この設定を次に示します。 

メンバに対するスタティック・ルートの設定 

各メンバには以下の 2 つのスタティック・ルートを設定する必要があります。 

 

 

IP アドレス 192.168.1.x をネットワーク 172.16.6.0 に対するゲートウェイとして設定するルート 

IP アドレス 192.168.2.x をネットワーク 172.16.4.0 に対するゲートウェイとして設定するルート。 

SecurePlatform でスタティック・ルートを設定するには、コマンド・プロンプトで sysconfig を実行し、[Routing]→ 

[Add New Network Route]を選択して画面の指示に従います。 


SmartDashboard でのクラスタ IP アドレスの設定 

クラスタ・インタフェースの IP アドレスを設定するには 

1. ゲートウェイ・クラスタ・オブジェクトの[Topology]→[Edit Topology]ウィンドウで、クラスタ・インタフェースを編 

集して、[Interface Properties]ウィンドウを開きます。 

2. クラスタ・インタフェースごとに[Interface Properties]ウィンドウで以下の表に従って設定します。 

ClusterXL の[Topology]→[Interface Properties]ウィンドウの設定例 

クラスタ・インタフェース A 

IP アドレス 

クラスタ・インタフェース B 

IP アドレス 

[General]タブ 172.16.6.100 172.16.4.100 

[Member Network]タブ 192.168.1.0 192.168.2.0 

 

すべての IP アドレスがネットマスク 255.255.255.0 を持ちます。 

注 - 同期ネットワークに対してはクラスタ IP アドレスを定義しないでください。同期インタ 

フェースは、ゲートウェイ・クラスタ・オブジェクトの[Edit Topology]ページでも定義されます。 

異なるサブネット上のクラスタ・アドレスの制限事項 

この新しい機能は、まだ ClusterXL のすべての機能はサポートしていません。機能によっては正常に動作するため 

に追加設定が必要です。一部の機能についてはサポートしていません。 

クラスタ・メンバ間の接続性 

クラスタ・メンバが発行した ARP 要求はクラスタ IP とクラスタ MAC の背後に隠されるため、1 つのクラスタ・メンバか 

らほかのメンバに送信された要求が宛先マシンから無視される場合があります。クラスタ・メンバが相互に通信でき 

るようにするには、各クラスタ・メンバに対してスタティック ARP を設定してクラスタ内のほかのすべてのマシンの 

MAC アドレスを記述する必要があります。メンバ間で送信される IP パケットは変更されないので、ルーティング・ 

テーブルは変更しないでください。 

注 - クラスタ同期プロトコルは ARP を使用しないため、マシンがクラスタとして正しく動作する 

ためにスタティック ARP は必要ありません。 

「部分的にサポートする」ハードウェアによる負荷共有マルチキャスト・モード 

すべてのタイプのネットワーク・ハードウェアがマルチキャスト MAC アドレスで動作するわけではありませんが、ルー 

タによってはマルチキャスト MAC アドレスを含む ARP 応答を処理することはできないがパケットを通過させることは 

できるものがあります。負荷共有マルチキャスト・モードを部分的にサポートしているルータでは、ルータの内部テー 

ブルにクラスタ MAC をスタティック ARP エントリとして設定してクラスタと通信させることが可能です。 

クラスタ IP に対して別々のサブネットが使用されている場合、各クラスタ・メンバ上でルータの MAC を含むスタティッ 

ク ARP エントリを設定する必要があります。この種のルータはマルチキャスト発信元 MAC を含む ARP 要求に応答 

しないため、この設定が必要になります。マルチキャスト MAC アドレスを完全にサポートしているルータを使用する 

場合は、この特別な手順は不要です。 


手動プロキシ ARP 

スタティック NAT を使用する場合、クラスタが自分の背後に隠されているホストを自動的に認識し、クラスタ MAC ア 

ドレスを使用して ARP 応答をホストの代わりに発行するように設定できます。このプロセスは「自動プロキシ ARP」 

と呼ばれます。 

ただし、クラスタ IP アドレスに対して別々のサブネットを使用している場合はこのメカニズムが働かないため、手作業 

でプロキシ ARP を設定する必要があります。このためには、SmartDashboard で[Policy]メニュー→[Global 

Properties]→[NAT Network Address Translation]→[Automatic ARP Configuration]を無効にします。次 

に、ファイアウォールの設定ディレクトリ($FWDIR/conf)に「$FWDIR/conflocal.arp」という名前のファイルを作成し 

ます。 

このファイルの各エントリには以下の 3 項目が含まれます。 

 

 

 

公開されるホスト・アドレス 

IP アドレスに関連付ける必要のある MAC アドレス 

ARP 要求に応答するインタフェースの固有の IP 

使用する MAC アドレスは、負荷共有マルチキャスト・モードを使用する場合は応答するインタフェースに定義したク 

ラスタのマルチキャスト MAC です。ほかのすべてのモードでは応答するインタフェースの固有の IP です。 

たとえば、ホスト 172.16.4.3 がアドレス 172.16.6.25 を使用して隠され、かつクラスタが負荷共有マルチキャスト・ 

モードである場合、メンバ 1 の local.arp ファイルに以下の行を追加する必要があります。 

172.16.6.25 00:01:5e:10:06:64 192.168.1.1 

この行の 2 つ目のパラメータがクラスタ IP172.16.6.100 のマルチキャスト MAC アドレスであり、172.16.6.25 に対す 

る ARP 要求はこのアドレスを介して受信されます。メンバ 2 上では、この行は以下のようになります。 

172.16.6.25 00:01:5e:10:06:64 192.168.10.2 

クラスタが負荷共有ユニキャスト・モードまたは HA モードである場合、メンバ 1 とメンバ 2 のエントリは以下のように 

なります。 

172.16.6.25 00:A0:C9:E8:C7:7F 192.168.1.1 

および 

172.16.6.25 00:A0:C9:E8:CB:3D 192.168.1.2 

ここで、各行の 2 つ目のエントリは一致するローカル・インタフェースの固有の MAC アドレスです。 

クラスタ・ネットワークからクラスタ・メンバへの接続 

固有の IP は任意に選択できるため、これらのアドレスにクラスタ IP のサブネットからアクセスできる保証はありませ 

ん。固有の IP を使用してメンバにアクセスできるようにするには、アクセスするマシン上でクラスタ IP がその固有の 

IP のサブネットに対するゲートウェイとなるようなルートを設定する必要があります。上記の例では、172.16.6.100 

をサブネット 192.168.1.0 に対するゲートウェイにする必要があります。 

SecurePlatform のデフォルト・ゲートウェイ 

[sysconfig]→[routing]→[add network route]→[add the routable network with its subnet]を実行し、この方 

向の適切な物理インタフェースを選択します。 

次に[routing]→[add default gateway]を実行し、デフォルト(ルーティグ可能な)・ゲートウェイの IP アドレスを追加 

します。これは通常ルータの外部 IP アドレスで、クラスタ IP のいずれかのサブネット内にあります。 

1 つ以上のインタフェース上で設定された、異なったサブネット機能を持っている場合は、それらすべてのインタ 

フェースにネットワーク・アドレス( 上記の通り)の追加を繰り返します。(ほかのサブネットにデフォルト・ゲートウェイ 

を定義する必要はありません) 


アンチスプーフィング 

別々のサブネット機能を外部インタフェース以外のインタフェースに設定してある場合は、[Cluster Topology]タブ 

のクラスタ IP に、クラスタ・インタフェースの [Interface Properties]ウィンドウの[Topology]タブで[Network 

defined by interface IP and Net Mask] 定義を行わないでください。ルーティング可能ネットワークとルーティング不 

可のネットワークの両方を含むネットワークのグループを加えて、このインタフェース用のアンチスプーフィングをこ 

の新しいグループと共に、「specific:」ネットワークとして定義する必要があります。 

単一ゲートウェイから ClusterXL クラスタへの移行 

ここでは、新しいゲートウェイ(マシン「B」)をスタンドアロンの Security Gateway(マシン「A」)に追加してクラスタを 

作成する手順について説明します。 

前提条件として、新しいクラスタ・メンバの数と同じ数の IP アドレスが使用可能である必要があります。IP アドレスが 

足りない場合は、「異なるサブネット上のクラスタ・アドレスの設定」を参照してください。 

単一ゲートウェイ・マシンの設定 

単一ゲートウェイで Security Management サーバとゲートウェイに同じマシンが使用されている場合には、以下の 

手順に従います。 

1. Security Management サーバをゲートウェイから切り離してそれらを 2 つのマシンに配置します。 

2. 切り離したゲートウェイ(マシン「A」)で SIC を初期化します。 

マシン「B」の設定 

1. マシン「A」で策定する予定のクラスタ・インタフェースと同期インタフェースのそれぞれについて、対応するインタ 

フェースをマシン「B」で同じサブネットを使用して定義します。別のサブネットにメンバが存在する場合は、「異な 

るサブネット上のクラスタ・アドレスの設定」を参照してください。 

2. マシンに Security Gateway をインストールします。インストール時に ClusterXL を有効にする必要があります。 

マシン「B」に対する SmartDashboard での設定 

1. ClusterXL オブジェクトを作成します。 

2. [Cluster Members]ページで[Add]をクリックし、[New Cluster Member]を選択します。 

3. マシン「B」に接続してトポロジを定義します。 

4. クラスタの同期ネットワークを定義します。 

5. クラスタ・トポロジを定義します。ネットワーク・デバイスの再設定を避けるためには、クラスタ IP アドレスをマシン 

「A」で策定する予定のクラスタ・インタフェースのアドレスと同じにします。 

6. ポリシーを( 現在はメンバ「B」のみを含む)クラスタにインストールします。 

マシン「A」の設定 

1. 策定する予定のすべてのクラスタ・インタフェースと同期インタフェースを切り離します。新しい接続はマシン「A」 

からではなくクラスタから開設されるようになります。 

2. 切り離したインタフェースのアドレスを、マシン B と同じサブネット上のほかの固有の IP アドレスに変更します。 

3. 同一サブネット上にある各インタフェース・ペアを専用ネットワークを使用して接続します。前に単一ゲートウェイ 

に接続されていたすべてのホストまたはゲートウェイを、今度はハブ/スイッチを使用して両方のマシンに接続す 

る必要があります。 

注 - WAN を介して同期を実行できます。詳細は、15ページの「WAN を介したクラスタの同 

期」を参照してください。 


マシン「A」に対する SmartDashboard での設定 

1. 手作業で、または[Get Topology]をクリックして、ゲートウェイ A のトポロジを更新します。 

管理インタフェースの IP アドレスが変更されている場合は、Get Topology アクションが失敗します。この場合、 

ゲートウェイ・オブジェクトのメイン IP アドレスを手作業で変更して、トポロジの自動取得を行う前にポリシーを保 

存します。 

2. [Cluster Members]ページで[Add]をクリックし、[Add Gateway to Cluster]を選択します。 

3. ウィンドウでマシン「A」を選択します。 

4. [Edit Topology]ページを開き、どのインタフェースをクラスタ・インタフェース、内部インタフェース、外部インタ 

フェースにするかを決定します。 

5. ポリシーをクラスタにインストールします。 

既存クラスタへの別メンバの追加 

1. クラスタ・メンバで cpconfig を実行して ClusterXL を有効にします。 

2. 新しいクラスタ・メンバの IP アドレスを正しいトポロジに合わせて(クラスタリング・ソリューションに従って共有 IP 

アドレスまたは固有 IP アドレスに) 変更します。 

3. 必要なすべてのチェック・ポイント製品が新しいクラスタ・メンバにインストールされたことを確認します。 

4. ゲートウェイ・クラスタ・オブジェクトの[Cluster Members]ページで適切なプロパティを使用して新しいクラスタ・ 

メンバを作成する( 新しい Security Gateway マシンの場合 )か、既存のゲートウェイをクラスタ・メンバに変換し 

ます。 

5. 新しい Security Gateway マシンの場合は SIC が初期化されていることを確認します。[Edit Topology]ページ 

でトポロジが正しく定義されていることを確認します。 

6. [Cluster Mode]が[Load Sharing]または[New HA]の場合、新しいクラスタ・メンバの該当するインタフェース 

が[Cluster Interfaces]として設定されていることを確認します。 


8. これで新しいメンバがクラスタの一部になります。 

クラスタの ISP 冗長性の設定 

ClusterXL ゲートウェイ・クラスタがある場合には、2 つのインタフェースを使用して LAN 経由で各クラスタ・メンバを 

両方の ISP と接続します。クラスタ固有の設定を以下に示します。 


メンバ・インタフェースは、クラスタの外部インタフェースと同じサブネット上にある必要があります。ClusterXL を通常 

の方法で設定します。 

クラスタ構成でのダイナミック・ルーティング・プロトコルの有効化 

ClusterXL は、SecurePlatform の一部としてダイナミック・ルーティング(ユニキャストおよびマルチキャスト)・プロト 

コルをサポートしています。ネットワーク・インフラストラクチャはクラスタ・ゲートウェイを 1 つの論理エンティティと見 

なすため、クラスタ・メンバの障害はネットワーク・インフラストラクチャには透過的で、それ以上の影響はありま 

せん。 

システムのコンポーネント 

仮想 IP の統合 

すべてのクラスタ・メンバかクラスタ IP アドレスを使用します。 

ルーティング・テーブル同期 

ルーティング情報は、転送情報ベース(FIB)マネージャ・プロセスを使用してクラスタ・メンバ間で同期されます。ル 

ーティング情報の同期はフェイルオーバーの際にトラフィックの中断を防ぐために行われ、負荷共有モードおよび 

HA モードで使用されます。FIB マネージャがルーティング情報を処理します。 

FIB マネージャは、クリティカル・デバイス(Pnote)として登録されています。スレーブが非同期状態になると Pnote 

が発行され、スレーブ・メンバは FIB マネージャが同期されるまでダウンします。 


障害からの復旧 

ClusterXL のダイナミック・ルーティングは、ルータがメンテナンス・モードを抜け出したことを隣接するルータに通知 

してフェイルオーバーへの影響を防ぎます。隣接するルータは、ネットワーク内のほかのルータに通知せずにクラス 

タとの関係を確立し直します。これらの再起動プロトコルは、あらゆる主要ネットワーキング・ベンダーで幅広く採用さ 

れています。以下の表に、チェック・ポイントのダイナミック・ルーティングに準拠した RFC とドラフトを示します。 

準拠するプロトコル 

プロトコル 

OSPF LLS 

RFC またはドラフト 

draft-ietf-ospf-lls-00 

OSPF Graceful RFC 3623 

BGP Graceful 

draft-ietf-idr-restart-08 

ClusterXL のダイナミック・ルーティング 

上記のコンポーネントは「バックグランドで」機能します。ClusterXL でダイナミック・ルーティングを設定する場合、 

ルーティング・プロトコルは単一デバイスの場合のようにクラスタに自動的に関連付けられます。 

各クラスタ・メンバでルーティング・プロトコルを設定する場合、各メンバは全く同じに定義され、(メンバの物理 IP アド 

レスではなく)クラスタ IP アドレスを使用します。OSPF の場合、各クラスタ・メンバでルータ ID を全く同じに定義する 

必要があります。OSPF の再起動を設定する場合には、再起動タイプを signaled または graceful として定義する必 

要があります。Cisco デバイスの場合は、signaled タイプを使用してください。 

SecurePlatform のコマンドライン・インタフェースを使用して、それぞれのクラスタ・メンバを設定します。 

クラスタ・メンバ A での OSPF の有効化 

--------- Launch the Dynamic Routing Module 

[Expert@GWa]# router 

localhost>enable 

localhost#configure terminal 

--------- Enable OSPF and provide an OSPF router ID 

localhost(config)#router ospf 1 

localhost(config-router-ospf)#router-id 192.168.116.10 

localhost(config-router-ospf)#restart-type [graceful | signaled] 

localhost(config-router-ospf)#redistribute kernel 

--------- Define interfaces/IP addresses on which OSPF runs (Use the cluster 

IP 

address as defined in topology) and the area ID for the interface/IP address 

localhost(config-router-ospf)#network 1.1.10.10 0.0.0.0 area 0.0.0.0 

localhost(config-router-ospf)#network 1.1.10.20 0.0.0.0 area 0.0.0.0 

-------- Exit the Dynamic Routing Module 

localhost(config-router-ospf)#exit 

localhost(config)#exit 

-------- Write configuration to disk 

localhost#write memory 

IU0 999 Configuration written to '/etc/gated.ami' 

各クラスタ・メンバに同じ設定を適用する必要があります。 

FIB マネージャはルーティング情報同期に TCP 2010 を使用するので、セキュリティ・ポリシーでは TCP 2010 ポート 

上のクラスタ・メンバ間のすべてのトラフィックを受け付ける必要があります。 

ダイナミック・ルーティングの詳細情報は、『R75.40VS Advanced Routing Suite CLI Reference guide』 

( http://supportcontent.checkpoint.com/solutions?id=sk76540)を参照してください。 


第 9 章 

HA Legacy モード 

HA Legacy モードについて 102 

Legacy モード構成の例 102 

導入計画時の注意事項 103 

HA Legacy モードの設定 104 

HA Legacy モードからの移行 ( 簡易的方法 ) 106 

HA Legacy モードからの移行 (ダウンタイムを最小限にする方法 ) 107 

HA Legacy モードについて 

HA Legacy モードでは、すべてのクラスタ・メンバが同一の IP アドレスと MAC アドレスを共有します。共有インタ 

フェースとは、ほかのインタフェースと同一の MAC アドレスおよび IP アドレスを持つインタフェースです。 

このモードを使用する利点は、単一ゲートウェイ構成から HA クラスタへ移行する際、IP アドレスやルーティングを変 

更する必要がないことです。また、どのスイッチまたはハブを使用してインタフェースを接続しても構いません。ただ 

しこのモードの設定は複雑であるため、正しく設定するためには正確な手順に従う必要があります。Security 

Management サーバをクラスタ同期ネットワーク、または管理専用ネットワークに接続させる必要があります。 

Legacy モード構成の例 

この例では代表的な HA Legacy モード構成を示します。この図では、物理的なクラスタ・トポロジと必要な 

SmartDashboard 設定との関係を示しています。Member_A(プライマリ)、Member_B(セカンダリ)という 2 つのク 

ラスタ・メンバがあり、それぞれ 3 つのインタフェースを持っています。これらのインタフェースは、同期、外部共有イン 

タフェース、および内部共有インタフェースに使用されます。 


共有インタフェースの IP アドレスと MAC アドレスの設定 

HA Legacy モードでは、同じネットワーク( 内部、外部、DMZ など)に接続されたメンバ・インタフェースで同じ IP アド 

レスと MAC アドレスが使われます。各クラスタ・メンバ上の各共有インタフェースは、ハブやスイッチを介して適切な 

ネットワークに接続されます。 

いつの時点でも 1 つのクラスタ・メンバだけがアクティブであるため、常に 1 つのメンバの共有インタフェースだけが 

外部から透過的です。 

上の図で、外部インタフェース(インターネット側 )は Member_A と Member_B の両方で IP アドレス 192.168.0.1 

を持ち、内部インタフェース(ローカル・ネットワーク側 )は Member_A と Member_B の両方で IP アドレス 

172.20.10.1 を持っています。 

同期インタフェース 

クラスタ・メンバのステート同期により、フェイルオーバーが発生しても障害の発生したマシンで処理されていた接続 

は維持されます。同期ネットワークは、クラスタ・メンバ間で接続同期情報とその他の状態情報を受け渡すために 

使用されます。つまり、このネットワークは組織の最も重要なセキュリティ・ポリシー情報を送信するため、ネットワー 

クを安全に保護する必要があります。バックアップのために複数の同期ネットワークを定義できます。 

同期インタフェースを保護するためにはクロスケーブルで直接接続するか、3 つ以上のクラスタ・メンバの場合には 

専用ハブ、スイッチ、または VLAN を使用して接続する必要があります。 

HA クラスタ・メンバは同期させる必要はありませんが、同期していない場合はフェイルオーバー時に接続が失われ 

ます。 

導入計画時の注意事項 

IP アドレスの移行 

Legacy モードの構成では、既存のスタンドアロン・ゲートウェイ設定から HA クラスタへの移行が簡単に行えます。こ 

の場合、できればスタンドアロン Security Gatewayに既存のインタフェース IPアドレスをクラスタ・アドレスとして割り 

当てることをお勧めします。これにより、現在の IPSec エンドポイント識別を変更せずに済み、多くの場合 Hide NAT 

設定もそのまま維持できます。 

Security Management サーバの場所 

Security Management サーバはセキュリティ・ポリシーをすべてのクラスタ・メンバにダウンロードします。Security 

Management サーバは、メンバ共有のインタフェースへ接続するネットワークには接続できません。これは、これら 

のインタフェースに同じ IP アドレスと MAC アドレスが設定されているためです。 

Security Management サーバはクラスタ同期ネットワーク、または管理専用のネットワークに接続する必要があり 

ます。これは、メンバには固有の IP アドレスが使われるためです。 


外部ネットワークおよび内部ネットワークがお互いにルーティングできるようにルーティングを設定します。 

たとえば、ルーティングを以下のように設定します(102ページの「Legacy モード構成の例」を参照 )。 

 

 

内部ネットワークは、172.20.0.1 を使用してデフォルトのゲートウェイとして定義されています。 

外部ルータは、ネットワーク 172.20.0.1 が 192.168.10.1 を介して接続されているように静的ルータとして 

設定されています。 


スイッチ(レイヤ 2 転送 )に関する注意事項 

クラスタ・コントロール・プロトコル(CCP)はレイヤ 2のマルチキャストを使用します。マルチキャスト規格に従い、この 

マルチキャスト・アドレスは宛先としてのみ使用され、「安全に保護されていない」インタフェースに送信されるすべて 

の CCP パケットに付加されます。 

安全に保護されていないインタフェースに接続されるレイヤ 2 スイッチは、スイッチのポートまたは VLAN 内部のポー 

ト(VLAN スイッチの場合 )にマルチキャスト・パケットを転送可能である必要があります。スイッチは、このようなトラ 

フィックをすべてのポートまたは特定の VLAN 内のすべてのポートに転送することもできます。ただし、クラスタ・メン 

バに接続されているポートにのみ転送するほうが効率的です。 

ほとんどのスイッチはデフォルトで、マルチキャスト・トラフィックをサポートしています。詳細については、スイッチの 

マニュアルを参照してください。 

接続されているスイッチがマルチキャスト・トラフィックを転送できない場合は、ブロードキャスト・トラフィックを使用す 

るように CCP を変更できます。 

2 つのモードを切り替えるには 

次のコマンドを使用します。 

'cphaconf set_ccp broadcast/multicast' 

HA Legacy モードの設定 

1. ClusterXL の主要ライセンスを取得して、Security Management サーバにインストールします。 

2. クラスタ・メンバになる Security Gateway をスイッチやハブから切断します。 

3. 各メンバの共有インタフェースに同じ IP アドレスを割り当てます。MAC アドレス共有によるネットワーク上の競合 

を避けるには、物理的にクラスタ・トポロジにメンバを接続する前に、IP アドレスを定義してください。 

4. すべてのクラスタ・メンバに Check Point Security Gateway をインストールして設定します( 同じバージョンと 

ビルド)。『R75.40VS Installation and Upgrade Guide』 


メンバは、再起動しないでください。 

5. 各メンバをスイッチとハブに接続 (または再接続 )します。適切な物理ネットワーク・ポートに各インタフェースを接 

続したことを確認してください。各ネットワーク( 内部、外部、同期、DMZ など)を別々の VLAN、スイッチ、または 

ハブに接続します。特別なスイッチ構成は必要ありません。 


1. クラスタの内側のネットワークとの通信が、クラスタの外側のクラスタ IP アドレスを使用して行われるようにルー 

ティングを設定します。たとえば、外部ルータはネットワーク 10.255.255.100 が 192.168.10.100 を通して接続さ 

れているように静的ルータとして設定されています(102ページの「Legacy モード構成の例」を参照 )。 

2. クラスタの外側のネットワークとの通信が、クラスタの内側のクラスタ IP アドレスを使用して行われるようにルー 

ティングを設定します。たとえば、内部ルータは 10.255.255.100 でデフォルトのゲートウェイとして設定されてい 

ます(102ページの「Legacy モード構成の例」を参照 )。 

3. メンバを再起動します。MAC アドレスの設定は自動的に行われます。 

SmartDashboard の設定 

1. ネットワーク・オブジェクト・ツリーで[Check Point]を右クリックし、[Security Cluster]を選択します。 

2. [Security Gateway Cluster Creation]ウィンドウで[Classic Mode]を選択します。 

3. [Cluster Members]ページで、[Add]→[New Cluster Member]を選択して、クラスタ・メンバをクラスタに追加 

します。クラスタ・メンバはゲートウェイ・クラスタ・オブジェクト内にのみ存在します。各クラスタ・メンバに対して以 

下の操作を行います。 


a) [Cluster Members Properties]ウィンドウの[General]タブで、[Name]と[IP Address]を定義します。セ 

キュリティ・ポリシーをインストールできるように、Security Management サーバからルーティング可能な IP 

アドレスを選択します。内部アドレス、外部アドレス、専用管理インタフェースのいずれでも構いません。 

b) [Communication]をクリックして、SIC(Secure Internal Communication)を初期化します。 

c) 必要に応じて[NAT]タブと[VPN]タブを定義します。 

d) [Cluster Members]ページで[Add]→[Add Gateway to Cluster]を選択し、[Add Gateway to Cluster] 

ウィンドウの一覧からゲートウェイを選択して、既存ゲートウェイをクラスタ・メンバとして追加することもでき 

ます。 

e) クラスタからゲートウェイを削除するには、[Cluster Members]ページで[Remove]ページをクリックして 

[Detach Member from Cluster]を選択するか、[Network Objects]ツリーのクラスタ・メンバを右クリックし 

て[Detach from Cluster]を選択します。 

4. [ClusterXL]ページで以下を実行します。 

 

 

 

 

[High Availability Legacy Mode]をオンにします。 

[Use State Synchronization]をオン/オフにするかどうかを選択します。このオプションはデフォルトでオン 

になっています。このオプションをオフにすると、クラスタ・メンバは同期されなくなり、フェイルオーバーの発 

生時に障害が発生したゲートウェイ上の既存の接続は切断されます。 

[Upon Gateway Recovery]でアクションを特定します( 詳細 29ページの「ゲートウェイが復帰した場合の処 

理」を参照 )。 

Fail-over Tracking 方法を定義します。 

5. [Topology]ページでクラスタ・メンバ・アドレスを定義します。仮想クラスタ・インタフェースは定義しないでくださ 

い。別のクラスタ・モードから変換すると、仮想クラスタ・インタフェース定義は削除されます。[Edit Topology] 

ウィンドウで以下を行います。 

 

 

各クラスタ・メンバ・インタフェースのトポロジを定義します。メンバ・インタフェースに対して定義済みのすべ 

ての設定を自動的に読み込むには、[Get all members' topology]をクリックします。 

Cluster カラムでドロップダウン・リストからいずれかのオプションを選択して、ネットワークの目的を定義しま 

す。共有 IP アドレスを持つインタフェースは[Monitored Private]ネットワークに属するものとして定義し、各 

クラスタ・メンバの 1 つ(または複数の)インタフェースは同期ネットワーク内の同期インタフェース([1st 

Sync]/[2nd Sync]/[3rd Sync])として定義します。オプションについては、オンライン・ヘルプを参照してく 

ださい。新しいネットワークを定義するには、[Add Network]をクリックします。 

6. 必要に応じて、ゲートウェイ・クラスタ・オブジェクトのほかのページ([NAT]、[VPN]、[Remote Access]ページ 

など)を定義します。 


8. クラスタ・メンバ上の MAC アドレス設定を有効にするには、すべてのクラスタ・メンバを再起動します。 

[General Properties]の設定 

クラスタの[General Properties]を設定するには 

1. 指定されたフィールドで、クラスタ・オブジェクトに固有な名前を入力します。 

2. メイン・クラスタ IP アドレスを入力します。 

3. クラスタにインストールした製品として ClusterXL を選択します。 

4. ClusterXL を有効にし、必要に応じてその他のネットワーク・セキュリティの Software Blade も有効にします。 

クラスタ・メンバの定義 

クラスタ・メンバを設定するには 

1. [Cluster Members]ページで、[Add]→[New Cluster Member]をクリックします。 

2. [Cluster Members Properties]ウィンドウの[General]タブで、メンバの[Name]と物理 [IP Address](セキュリ 

ティ管理サーバからルーティング可能なもの)を入力します。内部アドレス、外部アドレス、専用管理インタフェー 

スのいずれでも構いません。 

3. [Communication]をクリックして、SIC(Secure Internal Communication)トラストを初期化します。 


4. 必要に応じて適切なタブ上で、[NAT]と[VPN]を設定します。詳細は、『R75.40VS Security Management 

Administration Guide』(http://supportcontent.checkpoint.com/solutions?id=sk76540)を参照してください。 

メンバとして既存のゲートウェイを追加 

既存のゲートウェイをクラスタ・メンバとして加えるには、[Cluster Members ページで[Add]→[Add Gateway to 

Cluster]を選択し、[Add Gateway to Cluster]ウィンドウのリストからゲートウェイを選択します。 

メンバの削除 

クラスタからゲートウェイを削除するには、[Cluster Members]ページで[Remove]をクリックして[Detach Member 

from Cluster]を選択するか、[Network Objects]ツリーのクラスタ・メンバを右クリックして[Detach from Cluster]を 

選択します。 

ClusterXL プロパティの設定 

Legacy モードの ClusterXL のプロパティを設定するには 

1. [High Availability]オプションを有効にし、[Legacy]モードを選択します。 

2. プライマリ・メンバ回復で行う動作を選択してください。 

 

 

現在のアクティブなクラスタ・メンバの維持 

より高い優先順位のクラスタ・メンバに切り替え 

3. HA の新規構成において、ステート同期はオプションですが、デフォルトでは有効に設定されています。ステート 

同期を無効にした場合、クラスタ・メンバは同期しません。また、ゲートウェイで障害が発生すると、既存の接続 

はフェイルオーバーが起こると切断されます。 

4. リストから追跡オプションを選択します。 

定義の完了 

1. 必要に応じて、クラスタ・オブジェクトのほかのページ([NAT]、[VPN]、[Remote Access]ページなど)を定義 

します。 


HA Legacy モードからの移行 ( 簡易的方法 ) 

ここでは、ダウンタイムを最小限に抑えることよりも設定の簡易性を重視して、HA Legacy モードから負荷共有マル 

チキャスト・モードまたは HA New へ移行する手順について説明します。 

共有内部インタフェースおよび共有外部インタフェースがクラスタ・インタフェースになります。したがって、クラスタの 

全体 IP アドレスは外部クラスタ IP アドレスのままです。 

ゲートウェイでの設定 

1. すべてのメンバで cpstop を実行します(すべてのネットワーク接続が失われます)。 

2. 共有 ( 複製 )IP アドレスではなく固有の IP アドレスが使用されるように、すべてのクラスタ・メンバで IP アドレスを 

設定し直します。 

注 - SecurePlatform のみ:これらのアドレスを変更すると、既存の静的ルートは削除されま 

す。手順 4 での復元のためにコピーしてください。 

3. 次のコマンドを実行して共有 MAC アドレスを削除します。 

cphaconf uninstall_macs 

4. SecurePlatform クラスタ・メンバのみ、手順 2 で削除された静的ルートを定義し直します。 

5. メンバを再起動します。 


SmartDashboard からの設定 

SmartDashboard でクラスタ・オブジェクトを開いて ClusterXL]タブを選択してクラスタ・モードを[Legacy Mode]か 

ら[New Mode]または[Load Sharing]モードに変更します。次に Check Point Gateway Cluster Wizard の手順に 

従います。手動で設定する場合は、以下の手順に従います。 

1. クラスタ・オブジェクトの[Topology]タブで以下を実行します。 

 

 

各クラスタ・メンバについて、IP アドレスが変更されたために変更されたインタフェースを取得します。前に共 

有インタフェースとして使用されていたインタフェースは、トポロジ上でクラスタ・インタフェースとして定義され 

ます。 

クラスタのクラスタ IP アドレスを定義します。必要に応じてクラスタ・インタフェース名を定義できます。これら 

は IP アドレスに従って物理インタフェースにバインドされます。 

特定のインタフェースのクラスタ・メンバの新しい IP アドレスがこの方向のクラスタ IP アドレスと別のサブネッ 

トにある場合は、クラスタ・メンバのネットワークをクラスタ・インタフェースの[Members Network]フィールド 

で定義する必要があります。 

2. 新しいクラスタ・オブジェクトにポリシーをインストールします(セキュリティ・ポリシー、QoS ポリシーなど)。 

HA Legacy モードからの移行 (ダウンタイムを最小限にする方法 ) 

ここでは、HA Legacy モードから HA New モードまたは負荷共有モードへ、クラスタのダウンタイムを最小限に抑え 

ながら移行する手順について説明します。 

共有内部インタフェースおよび共有外部インタフェースがクラスタ・インタフェースになります。クラスタ・メンバに追加 

する IP アドレスをあらかじめ用意しておく必要があります。 

クラスタのダウンタイムが変更時に大きく影響が無ければ、106ページの「HA Legacy モードからの移行 ( 簡易的方 

法 )」に示す手順を参考にしてください。 

注 - 

1. このセクションで説明する変更を実施する前に、必要な IP アドレスがすべて用意されている 

ことを確認してください。 

2. この手順では SmartDashboard でオブジェクトをいったん削除して再度作成します。手順を 

開始する前に設定をバックアップしてください。 

この手順では、マシン「A」とマシン「B」を例として使用し、マシン「A」がアクティブ、マシン「B」がスタンバイである時 

点から手順を開始します。 

1. Security Management( 管理インタフェース)サーバ以外、マシン「B」をすべてのインタフェース接続から切り離 

します。 

2. マシン「B」で cphastop を実行します。 

3. マシン「B」の IP アドレスを( 新しい構成の必要に応じて) 変更します。 

注 - SecurePlatform のみ: これらのアドレスを変更すると、既存の静的ルートは削除されま 

す。手順 5 での復元のためにコピーしてください。 

4. cphaconf uninstall_macs を実行してマシン「B」の MAC アドレスをリセットします。Windows マシンの場合は、 

MAC アドレスの変更を有効にするためにここで再起動します。 

5. SecurePlatform クラスタ・メンバの場合のみ、手順 3 で削除した静的ルートを定義し直します。 

6. SmartDashboard でメンバ「A」を右クリックし、[Detach from cluster]を選択します。 

7. [Cluster Member Properties]ウィンドウの[Topology]タブで[Get...]をクリックしてクラスタ・メンバ「B」のトポ 

ロジを定義します。適切なインタフェースを[Cluster Interfaces]としてください。 

8. [Cluster Object]でクラスタの新しいトポロジを定義します(クラスタの[Topology]タブでクラスタ・インタフェース 

を定義します)。 

9. [ClusterXL]ページで、クラスタの[High Availability]モードを[Legacy Mode]から[New Mode]へ変更するか、 

[Load Sharing]モードを選択します。 


10. [Cluster Object]のほかのページ([NAT]ページ、[VPN]ページ、[Remote Access]ページなど)の設定が正 

しいことを確認します。Legacy Check Point High Availability の定義でしたが、ここではクラスタ自身の定義に 

変更されています。 

11. ポリシーを(クラスタ・メンバ「B」のみが含まれている)クラスタにインストールします。 

12. マシン「B」を( 手順 1 で切り離した)ネットワークに再接続します。 

13. この例ではクラスタは 2 台のメンバだけで構成されていますが、クラスタのメンバが 2 台を超える場合は各クラス 

タ・メンバについてステップ 1~9 を繰り返します。 

14. 負荷共有マルチキャスト・モードの場合は、ルートを設定します(31ページの「負荷共有マルチキャスト・モー 

ド」を参照 )。 

15. マシン「A」を管理ネットワーク以外のすべてのネットワークから切り離します。クラスタはトラフィックの処理を停 

止します。 

16. マシン「A」で cphastop を実行します。 

17. マシン「B」で cpstop を実行し、次に cpstart を実行します(3 台以上のマシンがある場合は、「A」以外のすべて 

のマシンでこの 2 つのコマンドを実行します)。 

18. マシン「B」がアクティブになり、トラフィックの処理を開始します。 

19. マシン「A」の IP アドレスを( 新しい構成の必要に応じて) 変更します。 

20. cphaconf uninstall_macs を実行してマシン「A」の MAC アドレスをリセットします。Windows マシンの場合は、 

MAC アドレスの変更を有効にするためにここで再起動します。 

21. SmartDashboard で[Cluster Object]を開き、[Cluster Members]ページを選択します。[Add]→[Add 

Gateway to Cluster]をクリックし、メンバ「A」を選択してクラスタに再接続します。 

22. マシン「A」を手順 15 で切り離したネットワークに再接続します。 


24. マシン「A」で cpstop を実行し、次に cpstart を実行します。 

25. 静的ルートを定義し直します。 

クラスタは新しいモードで動作するようになります。 


第 10 章 

cphaprob スクリプトの例 

以下に示された clusterXL_monitor_process スクリプトは、特定のプロセスの存在を監視して、プロセスが動作停 

止した場合にフェイルオーバーを発生させるよう設計されています。このスクリプトでは、通常の pnote メカニズムを 

使用しています。 

clusterXL_monitor_process スクリプトは、$FWDIR/bin にあります。 

関連情報 109 

clusterXL_monitor_process スクリプト 109 

関連情報 

 

cphaprob コマンドについては、47ページの「クラスタの正常動作を確認する方法」を参照してください。 

clusterXL_monitor_process スクリプト 

#!/bin/sh 

# 

# This script monitors the existence of processes in the system.The process 

names should be written 

# in the $FWDIR/conf/cpha_proc_list file one every line. 

# 

# USAGE : 

# cpha_monitor_process X silent 

# where X is the number of seconds between process probings. 

# if silent is set to 1, no messages will appear on the console. 

# 

# 

# We initially register a pnote for each of the monitored processes 

# (process name must be up to 15 characters) in the problem notification 

mechanism. 

# when we detect that a process is missing we report the pnote to be in "problem" 

state. 

# when the process is up again - we report the pnote is OK. 

if [ "$2" -le 1 ] 

then 

silent=$2 

else 

silent=0 


fi 

if [ -f $FWDIR/conf/cpha_proc_list ] 

then 

procfile=$FWDIR/conf/cpha_proc_list 

else 

echo "No process file in $FWDIR/conf/cpha_proc_list " 

exit 0 

fi 

arch=`uname -s` 

for process in `cat $procfile` 

do 

$FWDIR/bin/cphaprob -d $process -t 0 -s ok -p register > /dev/null 2>&1 

done 

while [ 1 ] 

do 

result=1 

for process in `cat $procfile` 

do 

ps -ef | grep $process | grep -v grep > /dev/null 2>&1 

status=$? 

if [ $status = 0 ] 

then 

if [ $silent = 0 ] 

then 

echo " $process is alive" 

fi 

# echo "3, $FWDIR/bin/cphaprob -d $process -s ok report" 

$FWDIR/bin/cphaprob -d $process -s ok report 

else 


then 

echo " $process is down" 

fi 

$FWDIR/bin/cphaprob -d $process -s problem report 


fi 

result=0 

done 

if [ $result = 0 ] 

then 


then 

echo " One of the monitored processes is down!" 

fi 

else 


then 

echo " All monitored processes are up " 

fi 

fi 

if [ "$silent" = 0 ] 

then 

echo "sleeping" 

fi 

sleep $1 

done

ClusterXL 管理ガイド R75.40VS - Check Point

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?