ClusterXL 管理ガイド R75.40VS - Check Point

More documents

Recommendations

Info

非対称通信の例 : TCP 3 ウェイ・ハンドシェークすべての TCP 接続を開始する 3 ウェイ・ハンドシェークは、多くの場合、非対称 ( 非対称ルーティング) 通信になります。以下の状況が発生する可能性があります。クライアント A は SYN パケットをサーバ B に送信して接続を開始します。SYN はゲートウェイ C を経由しますが、 SYN/ACK 応答はゲートウェイ D を経由して返されます。これは、返答パケットが元のパケットと異なるゲートウェイを経由して返されるため、非対称通信です。ゲートウェイ D には、同期ネットワーク経由で通知されます。サーバ B から送信された SYN/ACK パケットがゲートウェイ D に届く前にこのマシンが更新された場合は、通信は正常に処理されます。同期が遅れ、SYN フラグが更新される前に SYN/ACK パケットがゲートウェイ D で受信された場合は、ゲートウェイは SYN/ACK パケットを out-of-state として処理し、通信を切断します。この問題には、高度な 3 ウェイ TCP ハンドシェークの実施を設定して対応することができます(94ページの「高度な 3 ウェイ TCP ハンドシェークの実施」を参照 )。非対称通信の同期同期メカニズムは、有効であるが非対称の通信で、out-of-state パケットの発生を防ぎます。すべての TCP データ通信を開始する 3 ウェイ・ハンドシェークの例を参考にすると、同期メカニズムの処理方法を理解できます。3 ウェイ・ハンドシェークは以下のように行われます。 1. SYN(クライアントからサーバへ) 2. SYN/ACK(サーバからクライアントへ) 3. ACK(クライアントからサーバへ) 4. データ(クライアントからサーバへ) out-of-state パケットの発生を防ぐために、以下のシーケンス(「Flush and Ack」と呼ばれます)が発生します。 1. クラスタ・メンバは接続の最初のパケット(SYN)を受信します。 2. 通信が非対称でないかを確認します。 3. SYN パケットを保持します。 4. すべてのクラスタ・メンバに(このパケットに関するすべての変更を含む) 保持中の同期アップデートを送信します。 5. ほかのすべてのクラスタ・メンバが、SYN パケット内の情報に対して肯定応答するのを待ちます。 6. 保持中の SYN パケットを解放します。 7. すべてのクラスタ・メンバが SYN-ACK に対してレディになります。 14 | ClusterXL 管理ガイド R75.40VS
WAN を介したクラスタの同期組織では、物理的に離れた場所にあるクラスタ・メンバを検索する必要がある場合があります。典型的な例が、障害回復のために遠隔地に配置された複製用のデータ・センターです。そのような設定においては、クロス・ケーブルを同期ネットワークとして使用するのは明らかに実行不可能です。同期ネットワークはリモート・サイトに拡大できるため、地理的に分散したクラスタを簡単に導入できます。この機能には以下の 2 つの制限があります。 1. 同期ネットワークは、100 ms 以下の待ち時間と 5% 以下のパケット・ロスを保証する必要があります。 2. 同期ネットワークにはスイッチとハブのみを含めることができます。ルータはクラスタ・コントロール・プロトコル・パケットを廃棄するため、同期ネットワークでは使用できません。地理的に分散したクラスタを監視してトラブシューティングを実行するには、コマンド・ラインを使用できます(60ページの「同期のトラブルシューティング」を参照 )。同期クラスタの制限クラスタ・メンバの同期には以下の制限があります。同じプラットフォーム上で実行されているクラスタ・メンバのみを同期させることができます。すべてのクラスタ・メンバは同じチェック・ポイントのソフトウェア・バージョンを使用する必要があります。クラスタ・メンバを通過するユーザ認証接続は、クラスタ・メンバがダウンすると失われます。同期しているほかのクラスタ・メンバは接続を再開できません。ただし、クライアント認証接続またはセッション認証接続は失われません。このような制限は、ユーザ認証状態が Security Server で保持され、これがプロセスであるために、マシン間でのカーネル・データの同期と同様には同期ができないことによるものです。ただし、セッション同期とクライアント同期の状態はカーネル・テーブルに保存されるため、同期させることができます。「リソース」を使用する接続の状態は Security Server で維持されるため、ユーザ認証接続を同期させることができないのと同じ理由でこれらの接続は同期させることができません。アカウンティング情報は各クラスタ・メンバに蓄積され、個別に Security Management サーバに送信、集計されます。フェイルオーバーの場合、障害が発生したメンバに蓄積されたが、Security Management サーバに送信されなかったアカウンティング情報は失われます。この問題を最小限にするには、アカウンティング情報を「フラッシュする」期間を短くできます。これを実行するには、クラスタ・オブジェクトの[Logs and Masters]→[Additional Logging]ページで[Update Account Log every:] 属性を設定します。ステート同期の設定 ClusterXL と OPSEC 認定クラスタ製品の設定プロセスの一部として、ステート同期を設定します。以下の手順でステート同期の設定をします。 1. ゲートウェイ・クラスタの同期ネットワークのセットアップ 2. Security Gateway のインストールと、設定段階での同期機能の有効化 3. クラスタ・オブジェクトの[ClusterXL]ページでステ―ト同期を有効化設定手順については、「ClusterXL」(37ページの「ClusterXL の設定」)のセクションと「OPSEC 認定クラスタ製品」 (43ページの「OPSEC 認定クラスタ製品の設定」)のセクションを参照してください。サービスを非同期に設定する方法サービスを非同期に設定するには 1. オブジェクト・ツリーの[Services]ブランチで、同期させたくない TCP、UDP、またはその他のサービスをダブルクリックします。 ClusterXL 管理ガイド R75.40VS | 15
Page 1 and 2: ClusterXL R75.40VS 管理ガイ
Page 3 and 4: ドキュメントに関する
Page 5 and 6: 異なるサブネット上の
Page 7 and 8: モジュール変数の IPSO 6.
Page 9 and 10: ClusterXL の動作 ClusterXL は
Page 11 and 12: 第 2 章クラスタ間での
Page 13: 継続時間が制限され
Page 17 and 18: 第 3 章対称通信この
Page 19 and 20: 以下の図にこの構成
Page 21 and 22: 第 4 章 ClusterXL における HA
Page 23 and 24: 注 1. HA Legacy モードでは
Page 25 and 26: HA Legacy 機能の詳細に
Page 27 and 28: 15. 最初のマシンが復帰
Page 29 and 30: クラスタ内で上記のい
Page 31 and 32: マルチキャスト・モード
Page 33 and 34: スタティック CAM エントリ
Page 35 and 36: ClusterXL の IPS との互換
Page 37 and 38: 第 5 章 ClusterXL の設定こ
Page 39 and 40: クラシック・モード: 次
Page 41 and 42: a) [General]タブで、仮想
Page 43 and 44: 第 6 章 OPSEC 認定クラス
Page 45 and 46: 同期ネットワークを定
Page 47 and 48: 第 7 章ゲートウェイ・ク
Page 49 and 50: クラスタの状態状態内
Page 51 and 52: Multicast(マルチキャスト)ま
Page 53 and 54: クリティカル・デバイス
Page 55 and 56: メンバにインストールす
Page 57 and 58: パラメータ set_ccp 説明
Page 59 and 60: ほかのクラスタ・メンバ
Page 61 and 62: パラメータ: Sync Statistics (I
Page 63 and 64: Timed out Sync Connection ほかの
Page 65 and 66:
新しい接続の遮断の
Page 67 and 68:
Queues: 各クラスタ・メン
Page 69 and 70:
ClusterXL のエラー・メッセ
Page 71 and 72:
FW-1: fwlddist_mode_change: Failed
Page 73 and 74:
開設されている通信の
Page 75 and 76:
[Manually Defined] - クラスタ
Page 77 and 78:
宛先 MAC アドレスの変更
Page 79 and 80:
注 - インタフェースのリ
Page 81 and 82:
ゲートウェイ・クラスタ
Page 83 and 84:
sysconfig 2. [Network Connections]
Page 85 and 86:
3. スレーブ・インタフェ
Page 87 and 88:
a) ボンディングのインタ
Page 89 and 90:
トラブルシューティング
Page 91 and 92:
クラスタリング・タイマ
Page 93 and 94:
実行される詳細ハンド
Page 95 and 96:
最初のステップは、各
Page 97 and 98:
手動プロキシ ARP スタテ
Page 99 and 100:
マシン「A」に対する Smar
Page 101 and 102:
障害からの復旧 ClusterXL
Page 103 and 104:
共有インタフェースの IP
Page 105 and 106:
a) [Cluster Members Properties]ウ
Page 107 and 108:
SmartDashboard からの設定 Sm
Page 109 and 110:
第 10 章 cphaprob スクリプト
Page 111:
fi result=0 done if [ $result = 0 ]
show all

ClusterXL 管理ガイド R75.40VS - Check Point

Create successful ePaper yourself

Delete template?

Save as template?