ClusterXL 管理ガイド R75.40VS - Check Point

More documents

Recommendations

Info

アドレスに関連付け、仮想 IP アドレス 10.10.0.100 を固有の IP アドレス 10.10.0.2 に対応する MAC アドレスに関連付けます。 11. スタンバイ・メンバはアクティブ・メンバの役割を持つように切り替えられ、このクラスタを経由するすべてのトラフィックはこのマシンを経由してルーティングされます。 12. 以前のアクティブ・メンバは「ダウン」したと見なされ、フェイルオーバー・イベントを発生させた問題からの復帰待ち状態になります。各モードの比較表以下の表に、各 ClusterXL モードの共通点と相違点をまとめます。各 ClusterXL モードの比較表 HA Legacy モード HA New モード負荷共有マルチキャスト負荷共有ユニキャスト HA ○ ○ ○ ○ 負荷共有 × × ○ ○ パフォーマンス良い良い優秀非常に良いハードウェア・サポートすべてすべてサポートされていないルータありすべて SecureXL サポート ○ ○ 可能 (Performance Pack または SecureXL Turbocard を使用 ) ○ ステート同期の必要性 VLAN タグ付けのサポート × × ○ ○ ○ ○ ○ ○ 注 - VLAN タグ付けのサポートについての詳細は、『R75.40VS Release Notes』 (http://supportcontent.checkpoint.com/solutions?id=sk76540)を参照してください。 . フェイルオーバーフェイルオーバーは、ゲートウェイが指定された機能を実行できなくなったときに発生します。フェイルオーバーが発生すると、クラスタ内の別のゲートウェイが障害が発生したゲートウェイの役割を引き継ぎます。負荷共有構成では、ゲートウェイのクラスタ内にある 1 つの VPN1 ゲートウェイがダウンすると接続は残りのゲートウェイに分散されます。負荷共有構成ではすべてのゲートウェイが同期されているため、どの接続も中断されません。 HA 構成では、同期クラスタ内の 1 つのゲートウェイがダウンすると別のゲートウェイがアクティブになり、障害が発生したゲートウェイの接続を「引き継ぎ」ます。ステート同期を使用していない場合、フェイルオーバーが発生すると既存の接続は切断されます。ただし新しい接続を開始できます。ほかのゲートウェイが稼動して機能していることを各クラスタ・メンバに知らせるため、ClusterXL のクラスタ・コントロール・プロトコルではクラスタ・メンバ間でハート・ビートが常時やり取りされています。所定の時間が経過してもあるクラスタ・メンバからメッセージが受信できない場合、このクラスタ・メンバがダウンしフェイルオーバーが発生した可能性があります。この時点で別のクラスタ・メンバが自動的に障害の起きたクラスタ・メンバの役割を引き継ぎます。 28 | ClusterXL 管理ガイド R75.40VS
クラスタ内で上記のいずれかのチェックに失敗した場合、障害が発生したメンバはクラスタ・メンバとして機能できないと判断し、たとえクラスタ・マシンがまだ機能している可能性があったとしてもフェイルオーバーを開始します。フェイルオーバー・イベントを発生させるような問題が複数のクラスタ・メンバで起こる場合があります。すべてのクラスタ・メンバでこのような問題が発生した場合、ClusterXL は 1 つのメンバを選択して動作を継続しようとします。選択されたメンバの状態は、「アクティブ・アテンション」として報告されます。この状況は別のメンバが完全に復帰するまで続きます。たとえば、クラスタ・メンバを接続するクロス・ケーブルが故障した場合、両方のメンバがインタフェースの問題を検出します。一方が「ダウン」状態に変化し、もう一方が「アクティブ・アテンション」に変化します。フェイルオーバーはいつ発生するかフェイルオーバーはアクティブなクラスタ・メンバで以下のいずれかが生じたときに発生します。クリティカル・デバイス(たとえば、fwd)の障害。クリティカル・デバイスとはクラスタ・メンバで動作するプロセスで、クラスタ・メンバがメンバとして機能できなくなった場合にほかのクラスタ・メンバに通知することを可能にします。クリティカル・デバイスは自分の現在の状態について ClusterXL メカニズムに報告します。報告に失敗した場合、ClusterXL はフェイルオーバーが発生してほかのクラスタ・メンバが引き継いだと判断します。インタフェースまたはケーブルの障害マシンのクラッシュセキュリティ・ポリシーのアンインストール。セキュリティ・ポリシーがアンインストールされると、ゲートウェイはファイアウォールとして機能できなくなります。ファイアウォールとして機能できない場合、クラスタ・メンバとして機能できなくなりフェイルオーバーが発生します。通常、ポリシーが自動的にアンインストールされることはなくユーザによってアンインストールされます。フェイルオーバーの詳細は、sk62570 (http://supportcontent.checkpoint.com/solutions?id=sk62570)を参照してください。ゲートウェイが復帰した場合の処理負荷共有構成では、クラスタ内の障害が発生したゲートウェイが復帰した場合、すべての接続はすべてのアクティブ・メンバ間で再配分されます。 HA 構成では、クラスタ内の障害が発生したゲートウェイが復帰した場合、復帰方法はクラスタ設定によって異なります。選択肢は以下のとおりです。 [Maintain Current Active Gateway]を選択すると、優先順位の低いマシンに制御が引き継がれた場合、優先順位の低いアクティブ・マシンに障害が発生した場合にだけ制御が優先順位の高いマシンに戻ります。すべてのメンバが同じトラフィック処理能力を備えている場合は、フェイルオーバー・イベントの発生を最小限にするためこのモードを使用することをお勧めします。 [Switch to Higher Priority Gateway]を選択すると、優先順位の低いマシンに制御が引き継がれた場合、優先順位の高いマシンが復帰すると制御は優先順位の高いマシンに戻ります。1 つのメンバがほかのメンバよりも高い接続処理能力を持っている場合は、このモードを選択することをお勧めします。そのメンバはデフォルト・ゲートウェイになります。復帰したクラスタ・メンバがセキュリティ・ポリシーを取得する方法管理者はセキュリティ・ポリシーをクラスタ・メンバごとにではなく、クラスタにインストールします。ポリシーは自動的にすべてのクラスタ・メンバにインストールされます。ポリシーは、クラスタ・メンバ・オブジェクトの[General Properties]ページで定義された IP アドレスに送信されます。障害が発生したクラスタ・メンバが復帰すると、まずほかのクラスタ・メンバのいずれかからポリシーを取得しようとします。これは、ほかのクラスタ・メンバが新しいポリシーを持っていることを前提としています。成功しなかった場合、復帰したメンバは自分のローカル・ポリシーを Security Management サーバにあるポリシーと比較します。Security Management サーバのポリシーが自分のポリシーよりも新しい場合は、Security Management サーバのポリシーを取り込みます。クラスタ・メンバがローカル・ポリシーを持っていない場合、Security Management サーバからポリシーを取り込みます。これにより、すべてのクラスタ・メンバは常に同じポリシーを使用することになります。 ClusterXL 管理ガイド R75.40VS | 29
Page 1 and 2: ClusterXL R75.40VS 管理ガイ
Page 3 and 4: ドキュメントに関する
Page 5 and 6: 異なるサブネット上の
Page 7 and 8: モジュール変数の IPSO 6.
Page 9 and 10: ClusterXL の動作 ClusterXL は
Page 11 and 12: 第 2 章クラスタ間での
Page 13 and 14: 継続時間が制限され
Page 15 and 16: WAN を介したクラスタの
Page 17 and 18: 第 3 章対称通信この
Page 19 and 20: 以下の図にこの構成
Page 21 and 22: 第 4 章 ClusterXL における HA
Page 23 and 24: 注 1. HA Legacy モードでは
Page 25 and 26: HA Legacy 機能の詳細に
Page 27: 15. 最初のマシンが復帰
Page 31 and 32: マルチキャスト・モード
Page 33 and 34: スタティック CAM エントリ
Page 35 and 36: ClusterXL の IPS との互換
Page 37 and 38: 第 5 章 ClusterXL の設定こ
Page 39 and 40: クラシック・モード: 次
Page 41 and 42: a) [General]タブで、仮想
Page 43 and 44: 第 6 章 OPSEC 認定クラス
Page 45 and 46: 同期ネットワークを定
Page 47 and 48: 第 7 章ゲートウェイ・ク
Page 49 and 50: クラスタの状態状態内
Page 51 and 52: Multicast(マルチキャスト)ま
Page 53 and 54: クリティカル・デバイス
Page 55 and 56: メンバにインストールす
Page 57 and 58: パラメータ set_ccp 説明
Page 59 and 60: ほかのクラスタ・メンバ
Page 61 and 62: パラメータ: Sync Statistics (I
Page 63 and 64: Timed out Sync Connection ほかの
Page 65 and 66: 新しい接続の遮断の
Page 67 and 68: Queues: 各クラスタ・メン
Page 69 and 70: ClusterXL のエラー・メッセ
Page 71 and 72: FW-1: fwlddist_mode_change: Failed
Page 73 and 74: 開設されている通信の
Page 75 and 76: [Manually Defined] - クラスタ
Page 77 and 78: 宛先 MAC アドレスの変更
Page 79 and 80:
注 - インタフェースのリ
Page 81 and 82:
ゲートウェイ・クラスタ
Page 83 and 84:
sysconfig 2. [Network Connections]
Page 85 and 86:
3. スレーブ・インタフェ
Page 87 and 88:
a) ボンディングのインタ
Page 89 and 90:
トラブルシューティング
Page 91 and 92:
クラスタリング・タイマ
Page 93 and 94:
実行される詳細ハンド
Page 95 and 96:
最初のステップは、各
Page 97 and 98:
手動プロキシ ARP スタテ
Page 99 and 100:
マシン「A」に対する Smar
Page 101 and 102:
障害からの復旧 ClusterXL
Page 103 and 104:
共有インタフェースの IP
Page 105 and 106:
a) [Cluster Members Properties]ウ
Page 107 and 108:
SmartDashboard からの設定 Sm
Page 109 and 110:
第 10 章 cphaprob スクリプト
Page 111:
fi result=0 done if [ $result = 0 ]
show all

ClusterXL 管理ガイド R75.40VS - Check Point

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?