ClusterXL 管理ガイド R75.40VS - Check Point

More documents

Recommendations

Info

たとえば、前に示した図の構成では Member_A と Member_B の 2 つのクラスタ・メンバがあります。各メンバには IP アドレスが割り当てられており、ハブまたはスイッチを介してインターネットに接続します。これは、Member_A に 192.168.10.1、Member_B に 192.168.10.2 の IP アドレスが割り当てられた外部インタフェースで、クラスタの外部インタフェースからはこのインタフェースは透過的です。注 - このリリースには、メンバごとに外部インタフェースと内部インタフェースの 2 つのインタフェースのみを使用し、内部インタフェース経由で同期を実行するオプションがあります。この構成はお勧めしません。バックアップの場合にのみ使用してください。詳細は11ページの「クラスタ間での接続情報の同期」を参照してください。クラスタの仮想 IP アドレスの定義前の図の説明では、クラスタの IP アドレスは 192.168.10.100 です。クラスタは外部仮想 IP アドレスと内部仮想 IP アドレスをそれぞれ 1 つずつ持っています。外部 IP アドレスは、 192.168.10.100 で、内部 IP アドレスは、10.10.0.100 です。同期ネットワーククラスタ・メンバのステート同期により、フェイルオーバーが発生しても障害の発生したマシンで処理されていた接続は維持されます。同期ネットワークは、クラスタ・メンバ間で接続同期情報とその他の状態情報を受け渡すために使用されます。つまり、このネットワークは組織の最も重要なセキュリティ・ポリシー情報を送信するため、ネットワークを安全に保護する必要があります。バックアップのために複数の同期ネットワークを定義できます。同期インタフェースを保護するには、クロスケーブルで直接接続するか、メンバが 3 つ以上のクラスタの場合には専用ハブまたはスイッチを使用して接続する必要があります。負荷共有クラスタのマシンは、通常のトラフィック・フローで同期が使用されているため同期させる必要があります。 HA クラスタ内のコンピュータは同期させる必要はありませんが、同期していない場合はフェイルオーバー時に接続が失われます。前の図は、各マシンに固有の IP アドレスが割り当てられた同期インタフェースを示しています。Member_A には 10.0.10.1、Member_B には 10.0.10.2 が割り当てられています。異なるサブネット上のクラスタ・アドレスの設定インターネットに接続するクラスタ・インタフェースの場合、ClusterXLクラスタ内でルーティング可能な IPアドレスが 1 つだけ必要です。すべてのクラスタ・メンバの物理 IP アドレスはルーティングできなくても構いません。クラスタ IP アドレスとメンバ・アドレスに対して別のサブネットを設定すると、以下が可能になります。新しいアドレスをクラスタ・メンバに割り当てなくても、複数マシンのクラスタが構成済みのネットワーク内の単一マシン・ゲートウェイと置き換わる。組織が ClusterXL ゲートウェイ・クラスタの唯一のルーティング可能なアドレスを使用する。これによりルーティング可能なアドレスが節約されます。 ClusterXL のモード ClusterXL には以下の 4 つの実行モードがあります。このセクションでは、各モードとその相対的な利点と欠点について説明します。負荷共有マルチキャスト・モード負荷共有ユニキャスト・モード HA New モード HA Legacy モード 24 | ClusterXL 管理ガイド R75.40VS
HA Legacy 機能の詳細については、付録 (102ページの「HA Legacy モード」)を参照してください。下位互換性の問題を回避するためには、HA New モードを使用することをお勧めします。注 - このセクションの多くの例は、ClusterXL の例 (22ページの「ClusterXLTopology の例」)の構成に基づいています。負荷共有マルチキャスト・モード負荷共有により、クラスタ・メンバ間でネットワーク・トラフィックを分散することができます。HA では一度に 1 つのメンバのみがアクティブになるのに対して、負荷共有ソリューションではすべてのクラスタ・メンバがアクティブになりクラスタが各メンバにトラフィックを割り当てます。この割り当ては判定機能によって実行され、クラスタを通過する各パケットを調べてどのメンバがそのパケットを処理するかを決定します。このように、負荷共有クラスタはすべてのクラスタ・メンバを利用するため、通常は合計スループットが向上します。 ClusterXL 負荷共有をステート同期と組み合わせることにより、完全な HA も実現できます。すべてのクラスタ・メンバがアクティブな場合、トラフィックはマシン間で均等に分散されます。メンバの 1 つで問題が発生してフェイルオーバー・イベントが発生した場合、故障したマシンによって処理されていたすべての接続の処理は直ちにほかのメンバに引き継がれます。 ClusterXL は、マルチキャストとユニキャストの 2 種類の負荷共有ソリューションを提供します。この 2 つのモードでは、クラスタに送信されたパケットをメンバが受信する方法が異なります。このセクションでは、マルチキャスト・モードについて説明します。イーサネットのネットワーク層で提供されるマルチキャスト・メカニズムを使用することにより、複数のインタフェースを 1 つの物理 (MAC)アドレスに対応させることができます。同じサブネット内のすべてのインタフェースを 1 つのアドレスにバインドするブロードキャスト、と異なり、マルチキャストではネットワーク内のでグループ化が可能です。つまり、特定の MAC アドレスに送信されたパケットを受信する 1 つのサブネット内のインタフェースを選択できます。 ClusterXL は、マルチキャスト・メカニズムを使用して仮想クラスタ IP アドレスをすべてのクラスタ・メンバに対応させます。これらの IP アドレスを 1 つのマルチキャスト MAC アドレスにバインドすることにより、ゲートウェイとして機能するクラスタに送信されたすべてのパケットはクラスタ内のすべてのメンバに到達します。各メンバはパケットを処理するかどうかを判定します。この判断は負荷共有メカニズムの主要な機能です。少なくとも、1 つのメンバが各パケットを処理し(トラフィックがブロックされないようにし)、かつ 2 つのメンバが同じパケットを処理しない(トラフィックが重複しない)ようにする必要があります。判定機能のもう 1 つの要件は、各接続が 1 つのゲートウェイを経由するようにルーティングし、1 つの接続に属するパケットは必ず同じメンバによって処理されるようにすることです。この要件が常に満たされるとは限らず、場合によっては同じ接続のパケットが異なるメンバによって処理されることがあります。ClusterXL は、ステート同期メカニズムを使用してすべてのクラスタ・メンバ上の接続をミラーリングすることによりこれらの状況を処理します。例この例では、負荷共有マルチキャスト・モードに設定されたファイアウォール・クラスタの背後にある Web サーバにユーザがインターネットからログインする場合について説明します。 1. ユーザは 192.168.10.78(ユーザのコンピュータ)から 10.10.0.34(Web サーバ)への接続を要求します。 2. 192.168.10.x ネットワーク上のルータは、192.168.10.100(クラスタの仮想 IP アドレス)を 10.10.0.x ネットワークへのゲートウェイとして認識します。 3. ルータは 192.168.10.100 に対して ARP 要求を発行します。 4. アクティブ・メンバの 1 つはこの ARP 要求を傍受し、クラスタ IP アドレス 192.168.10.100 に割り当てられたマルチキャスト MAC アドレスで応答します。 5. Web サーバはユーザの要求に応答する場合、10.10.0.100 をインターネットへのゲートウェイとして認識します。 6. Web サーバは 10.10.0.100 に対して ARP 要求を発行します。 7. アクティブ・メンバの 1 つはこの ARP 要求を傍受し、クラスタ IP アドレス 10.10.0.100 に割り当てられたマルチキャスト MAC アドレスで応答します。 8. ユーザと Web サーバ間で送信されたすべてのパケットはすべてのクラスタ・メンバに到達し、各クラスタ・メンバは各パケットを処理するか破棄するかを判定します。 ClusterXL 管理ガイド R75.40VS | 25
Page 1 and 2: ClusterXL R75.40VS 管理ガイ
Page 3 and 4: ドキュメントに関する
Page 5 and 6: 異なるサブネット上の
Page 7 and 8: モジュール変数の IPSO 6.
Page 9 and 10: ClusterXL の動作 ClusterXL は
Page 11 and 12: 第 2 章クラスタ間での
Page 13 and 14: 継続時間が制限され
Page 15 and 16: WAN を介したクラスタの
Page 17 and 18: 第 3 章対称通信この
Page 19 and 20: 以下の図にこの構成
Page 21 and 22: 第 4 章 ClusterXL における HA
Page 23: 注 1. HA Legacy モードでは
Page 27 and 28: 15. 最初のマシンが復帰
Page 29 and 30: クラスタ内で上記のい
Page 31 and 32: マルチキャスト・モード
Page 33 and 34: スタティック CAM エントリ
Page 35 and 36: ClusterXL の IPS との互換
Page 37 and 38: 第 5 章 ClusterXL の設定こ
Page 39 and 40: クラシック・モード: 次
Page 41 and 42: a) [General]タブで、仮想
Page 43 and 44: 第 6 章 OPSEC 認定クラス
Page 45 and 46: 同期ネットワークを定
Page 47 and 48: 第 7 章ゲートウェイ・ク
Page 49 and 50: クラスタの状態状態内
Page 51 and 52: Multicast(マルチキャスト)ま
Page 53 and 54: クリティカル・デバイス
Page 55 and 56: メンバにインストールす
Page 57 and 58: パラメータ set_ccp 説明
Page 59 and 60: ほかのクラスタ・メンバ
Page 61 and 62: パラメータ: Sync Statistics (I
Page 63 and 64: Timed out Sync Connection ほかの
Page 65 and 66: 新しい接続の遮断の
Page 67 and 68: Queues: 各クラスタ・メン
Page 69 and 70: ClusterXL のエラー・メッセ
Page 71 and 72: FW-1: fwlddist_mode_change: Failed
Page 73 and 74: 開設されている通信の
Page 75 and 76:
[Manually Defined] - クラスタ
Page 77 and 78:
宛先 MAC アドレスの変更
Page 79 and 80:
注 - インタフェースのリ
Page 81 and 82:
ゲートウェイ・クラスタ
Page 83 and 84:
sysconfig 2. [Network Connections]
Page 85 and 86:
3. スレーブ・インタフェ
Page 87 and 88:
a) ボンディングのインタ
Page 89 and 90:
トラブルシューティング
Page 91 and 92:
クラスタリング・タイマ
Page 93 and 94:
実行される詳細ハンド
Page 95 and 96:
最初のステップは、各
Page 97 and 98:
手動プロキシ ARP スタテ
Page 99 and 100:
マシン「A」に対する Smar
Page 101 and 102:
障害からの復旧 ClusterXL
Page 103 and 104:
共有インタフェースの IP
Page 105 and 106:
a) [Cluster Members Properties]ウ
Page 107 and 108:
SmartDashboard からの設定 Sm
Page 109 and 110:
第 10 章 cphaprob スクリプト
Page 111:
fi result=0 done if [ $result = 0 ]
show all

ClusterXL 管理ガイド R75.40VS - Check Point

Create successful ePaper yourself

Delete template?

Save as template?