ClusterXL 管理ガイド R75.40VS - Check Point

More documents

Recommendations

Info

ステート同期の動作同期は以下の 2 つのモードで動作します。完全同期では、クラスタ・メンバ間ですべての Security Gateway カーネル・テーブル情報が転送されます。完全同期は、暗号化された TCP 接続を使用して、fwd デーモンによって処理されます。差分同期では、クラスタ・メンバ間でカーネル・テーブルの変更情報が転送されます。差分同期は、ポート 8116 で UDP マルチキャストまたはブロードキャストを使用して、Security Gateway カーネルによって処理されます。完全同期は、何千もの接続について、状態情報の初期転送に使用されます。クラスタ・メンバがダウン後に起動した場合、完全同期を実行します。すべてのメンバが同期したら、更新情報のみが差分同期によって転送されます。差分同期は完全同期より遥かに高速です。ステート同期トラフィックは通常、すべてのクラスタ・コントロール・プロトコル(CCP)トラフィックの約 90 %を占めます。ステート同期パケットは、UDP データ・ヘッダ内の opcode によって残りの CCP トラフィックと区別されます。注 - CCP パケットの送信元 MAC アドレスは変更できます。同期不要なサービスゲートウェイ・クラスタ内では、通常、すべてのクラスタ・メンバに対するすべての接続がクラスタ間で同期されます。ゲートウェイ・クラスタを通るすべてのサービスが同期されなくても構いません。 TCP、UDP、その他の種類のサービスを同期しないように指定できます。デフォルトでは、これらのサービスはすべて同期されます。 VRRP と IPクラスタ・コントロール・プロトコル、および IGMP プロトコルは、デフォルトでは同期されません (これらのプロトコルに対して同期をオンにすることはできます)。クラスタ・メンバ間のみで実行しているプロトコルは、同期させる必要はありません。同期させることは可能ですが、同期するようにクラスタを設定しても利点がありません。同期情報はフェイルオーバーの際には役立たないため、この場合は関係ありません。したがって、IGMP、VRRP、IP クラスタリング、その他の OPSEC クラスタ・コントロール・プロトコルは、デフォルトでは同期されません。ブロードキャストとマルチキャストは同期されず、また同期することができません。サービスに対して同期サービス定義と非同期サービス定義の両方を設定し、ルール・ベースで選択的に定義を使用できます。同期の不要なサービスの設定同期を行うには、パフォーマンスに多少の負荷がかかります。以下の条件が当てはまる場合、サービスを同期しないように設定できます。クラスタを通っているトラフィックの大部分が特定のサービスを使用します。サービスを同期しないようにすると、同期トラフィックの量が減るため、クラスタ・パフォーマンスが向上します。通常、サービスは短時間の接続を行い、接続が失われたかどうかが通知されません。DNS(UDP 上 )と HTTP は通常、ほとんどの接続に関係していますが、非常に寿命が短く、アプリケーション・レベルで接続を回復できます。FTP などの、一般的に長時間の接続を確立するサービスは、必ず同期させる必要があります。すべての接続に対して双方向対称性を保証する構成では、(HA を維持するためだけに) 同期を行う必要はありません。そのような構成には以下が含まれます。 HA モードのクラスタ( 例 : ClusterXL New HA または IPSO VRRP) 非暗号化接続での負荷共有モードの ClusterXL(VPN またはスタティック NAT を除く) 完全対称性を保証する OPSEC クラスタ(OPSEC クラスタのマニュアルを参照 ) 負荷共有モードで ClusterXL クラスタを通過する VPN とスタティック NAT 接続 (マルチキャストまたはユニキャスト)は双方向の対称性を維持しません。このような環境では、ステート同期をオンにする必要があります。 12 | ClusterXL 管理ガイド R75.40VS
継続時間が制限された同期一部の TCP サービス(HTTPなど)には、継続時間が非常に短いという特徴があります。これらの接続を同期化すると、ゲートウェイ・リソースを消費しフェイルオーバーが発生する時までに接続が終了してしまうため、同期化は意味がありません。 GUI で定義される[Protocol Type]が[HTTP]または[None]のすべての TCP サービスの場合には、このオプションを使用して Security Gateway への接続情報の通知を遅らせ、接続開始 x 秒後に接続がまだ存在する場合にのみ接続を同期するように設定できます。この機能を使用するには、「Delayed Notifications」をサポートする SecureXL デバイスと Performance Pack with ClusterXL LS Multicast などの最新のクラスタ構成が必要です。この機能は、SecureXL 対応デバイスが、接続が通過する Security Gateway にインストールされている場合にのみ使用可能です。接続テンプレートが ClusterXL 対応デバイスからオフロードされていない場合、この設定は無視されます。詳細については、SecureXL のマニュアルを参照してください。非対称通信すべてのパケットが 1 つのクラスタ・メンバにより処理される場合、通信は「対称」であると呼ばれます。非対称通信では、返信パケットは元のパケットと別のゲートウェイを経由して返される場合があります。同期メカニズムでは、非対称通信を適切に処理できます。非対称通信では、クラスタ・メンバ・ゲートウェイは out-of-state パケットを受信できます。ただし、一般的に out-of-state パケットにはセキュリティ・リスクがあるため、 Security Gateway はこのパケットを廃棄します。負荷共有構成ではすべてのクラスタ・メンバがアクティブで、スタティック NAT 接続と暗号化接続では発信元 IP アドレスと宛先 IP アドレスが変更されます。したがって、負荷共有クラスタを経由するスタティック NAT 接続と暗号化接続は、非対称になることがあります。非対称性は Hide NAT でも発生する可能性がありますが、ClusterXL はそれらを正しく処理するメカニズムを備えています。ハイ・アベイラビリティ(HA) 構成では、すべてのパケットがアクティブなマシンに到達するため、非対称通信は発生しません。通信の確立中にフェイルオーバーが発生した場合、通信は失われますが、同期は後で実行できます。ほかのメンバが非対称通信について知らない場合には、パケットは out-of-state となり、通信はセキュリティ上の理由から切断されます。ただし、同期メカニズムにより、ほかのメンバに通信を通知できます。したがって、同期メカニズムは、有効であるが非対称の通信で out-of-state パケットが発生するのを防ぎ、これらの非対称通信が許可されます。ネットワーク管理者が、返信パケットが元のパケットと別のゲートウェイを経由して返される非対称ルーティングを設定した場合にも、非対称通信が発生します。 ClusterXL 管理ガイド R75.40VS | 13
Page 1 and 2: ClusterXL R75.40VS 管理ガイ
Page 3 and 4: ドキュメントに関する
Page 5 and 6: 異なるサブネット上の
Page 7 and 8: モジュール変数の IPSO 6.
Page 9 and 10: ClusterXL の動作 ClusterXL は
Page 11: 第 2 章クラスタ間での
Page 15 and 16: WAN を介したクラスタの
Page 17 and 18: 第 3 章対称通信この
Page 19 and 20: 以下の図にこの構成
Page 21 and 22: 第 4 章 ClusterXL における HA
Page 23 and 24: 注 1. HA Legacy モードでは
Page 25 and 26: HA Legacy 機能の詳細に
Page 27 and 28: 15. 最初のマシンが復帰
Page 29 and 30: クラスタ内で上記のい
Page 31 and 32: マルチキャスト・モード
Page 33 and 34: スタティック CAM エントリ
Page 35 and 36: ClusterXL の IPS との互換
Page 37 and 38: 第 5 章 ClusterXL の設定こ
Page 39 and 40: クラシック・モード: 次
Page 41 and 42: a) [General]タブで、仮想
Page 43 and 44: 第 6 章 OPSEC 認定クラス
Page 45 and 46: 同期ネットワークを定
Page 47 and 48: 第 7 章ゲートウェイ・ク
Page 49 and 50: クラスタの状態状態内
Page 51 and 52: Multicast(マルチキャスト)ま
Page 53 and 54: クリティカル・デバイス
Page 55 and 56: メンバにインストールす
Page 57 and 58: パラメータ set_ccp 説明
Page 59 and 60: ほかのクラスタ・メンバ
Page 61 and 62: パラメータ: Sync Statistics (I
Page 63 and 64:
Timed out Sync Connection ほかの
Page 65 and 66:
新しい接続の遮断の
Page 67 and 68:
Queues: 各クラスタ・メン
Page 69 and 70:
ClusterXL のエラー・メッセ
Page 71 and 72:
FW-1: fwlddist_mode_change: Failed
Page 73 and 74:
開設されている通信の
Page 75 and 76:
[Manually Defined] - クラスタ
Page 77 and 78:
宛先 MAC アドレスの変更
Page 79 and 80:
注 - インタフェースのリ
Page 81 and 82:
ゲートウェイ・クラスタ
Page 83 and 84:
sysconfig 2. [Network Connections]
Page 85 and 86:
3. スレーブ・インタフェ
Page 87 and 88:
a) ボンディングのインタ
Page 89 and 90:
トラブルシューティング
Page 91 and 92:
クラスタリング・タイマ
Page 93 and 94:
実行される詳細ハンド
Page 95 and 96:
最初のステップは、各
Page 97 and 98:
手動プロキシ ARP スタテ
Page 99 and 100:
マシン「A」に対する Smar
Page 101 and 102:
障害からの復旧 ClusterXL
Page 103 and 104:
共有インタフェースの IP
Page 105 and 106:
a) [Cluster Members Properties]ウ
Page 107 and 108:
SmartDashboard からの設定 Sm
Page 109 and 110:
第 10 章 cphaprob スクリプト
Page 111:
fi result=0 done if [ $result = 0 ]
show all

ClusterXL 管理ガイド R75.40VS - Check Point

Create successful ePaper yourself

Delete template?

Save as template?