ClusterXL 管理ガイド R75.40VS - Check Point

ハブ・アンド・スポーク 型 トポロジでサード・パーティ 製 ゲートウェイを
スポークとして 確 立 する 方 法
ハブ・アンド・スポーク 型 トポロジでサード・パーティ 製 ゲートウェイをスポークとして 確 立 するには、Security
Management サーバで 以 下 の 手 順 を 実 行 します。
1. 対 称 判 定 機 能 を 有 効 にします。SmartDashboard でクラスタ・オブジェクトを 編 集 し、[ClusterXL]ページ→
[Advanced]を 選 択 し、[Use Sticky Decision Function]プロパティを 有 効 にします。
2. 特 定 のピアからのトラフィックを 処 理 するトンネル・グループを 作 成 します。テキスト・エディタを 使 用 して、
$FWDIR/lib/user.def ファイルを 編 集 し、 以 下 の 行 を 追 加 します。
all@{member1,member2} vpn_sticky_gws = {, };
この 設 定 のエレメントは 以 下 のとおりです。
エレメント
All
説 明
クラスタ・ゲートウェイのすべてのインタフェースを 表 します。
member1,member2 SmartDashboard 内 のクラスタ・メンバの 名 前 。
vpn_sticky_gws テーブルの 名 前 。
10.10.10.1 スポーク A の IP アドレス。
20.20.20.1 スポーク B の IP アドレス。
;1 トンネル・グループ 識 別 子 。これらの IP アドレスからのトラフィックは、 同 じクラス
タ・メンバによって 処 理 する 必 要 があることを 示 します。
3. 前 述 と 同 じ 書 式 で IP アドレスを 入 力 して、ほかのピアをトンネル・グループに 追 加 できます。スポーク C を 追 加 す
るには、 以 下 のように 入 力 します。
all@{member1,member2} vpn_sticky_gws = {,
,};
トンネル・グループ 識 別 子 ;1 は 同 じままです。これは、 表 示 されたピアは 常 に 同 じクラスタ・メンバを 経 由 して 通
信 することを 意 味 します。
注 - クラスタ・メンバよりも 多 い 数 のトンネル・グループを 定 義 することもできます。
つまり、この 手 順 を 実 行 すると、 影 響 を 受 ける 通 信 の 負 荷 共 有 がオフになります。 複 数 のサード・パーティ 製 ゲ
ートウェイ・セットが 相 互 に 通 信 するように 実 装 する 場 合 は、ゲートウェイ・ペアが 特 定 のクラスタ・メンバと 並 行 し
て 動 作 するように 設 定 して、 負 荷 共 有 を 実 現 できます。たとえば、ほかの 2 つのスポーク(C と D) 間 の 接 続 をセ
ットアップするには、 単 に IP アドレスを 行 に 追 加 して、トンネル・グループ 識 別 子 を;1 から;2 に 置 き 換 えます。こ
の 場 合 、 行 は 以 下 のようになります。
all@{member1,member2} vpn_sticky_gws = {,
,,,};
;1 と;2 の 2 つのピア 識 別 子 があることに 注 意 してください。これで、スポーク A と B は 1 つのクラスタ・メンバを
経 由 して 接 続 し、スポーク C と D は 別 のクラスタ・メンバを 経 由 して 接 続 します。
注 - トンネル・グループは、アクティブなクラスタ・メンバ 間 で 分 散 されます。クラスタの
状 態 が 変 化 (フェイルオーバーやメンバのアタッチ/ 切 り 離 しなど)した 場 合 、 新 しい 状 態 に
従 って 再 割 り 当 てが 行 われます。
20 | ClusterXL 管 理 ガイド R75.40VS