R76 仮想システム構成設定ガイド...VLAN を使用する物理インタフェースを指定します。後で設定することもできます。©2013 Check Point Software

©2013 Check Point Software Technologies Ltd.

R76 仮想システム構成設定ガイド

Last updated Jul 1, 2013

チェック・ポイント・ソフトウェア・テクノロジーズ（株）

2 ©2013 Check Point Software Technologies Ltd.

アジェンダ

1 VSXの概要

VSXの設定 2

VSXの管理 3

VSXのリストア 4


アジェンダ

1 VSXの概要

VSXの設定 2

VSXの管理 3



仮想システム・アプライアンス

どのプラットフォームでも仮想システム対応

… およびオープン・サーバ

Anti-Bot Application

Control IPS Firewall Antivirus

URL

Filtering

Identity

Awareness

仮想システム上のSoftware Blades

Mobile

Access*

アプライアンス 2200 4200 4400 4600 4800 12200 12400 12600 21400 21600

メモリ（デフォルト/最大）

2 / 2 GB 4 / 4 GB 4 / 4 GB 4 / 4 GB 4 / 8 GB 4 / 12 GB 4 / 12 GB 6 / 12GB 12 / 24 GB 16 / 32 GB

VSサポート数（デフォルト・メモリ/最大メモリ）

3 / 3 3 / 3 10 / 10 10 / 10 20 / 25 20 / 50 25 / 75 75 / 150 125 / 250 150 / 250


VSXの仮想化コンポーネント

バーチャル・ケーブル(warp link)

バーチャル・スイッチ(V-SW)

バーチャル・ルーター(VR)

バーチャルシステム

ブリッジモード

バーチャルシステム(VS) Software Bladeアプライアンス

Software Blade アプライアンス

ブリッジモード

IPルーター

スイッチ

ネットワーク・ケーブル

物理仮想

セキュリティ・システム・コンポーネント


仮想ルータの構成例

仮想システムと仮想ルータ間はWARPインタフェースと呼ぶ仮想インタフェースが作成される

仮想ルータ側はwpj、仮想システム側はwrpと呼ぶ論理インタフェース名が自動で付与される

Mgmt

VLAN 2 VLAN 3 VLAN 1

vs01 vs03 vs02

eth2

VLANトランク

VR

eth1

Router

192.168.100.1

External Virtual Router

192.168.100.2

10.10.10.1 20.20.20.1 30.30.30.1

VLAN トランク

VLANスイッチ VLANスイッチ

Router

192.168.100.1

192.168.100.2

192.168.10.1 192.168.20.1 192.168.30.1

wpj wpj

wpj wrp wrp wrp


仮想スイッチの構成例

仮想システムと仮想スイッチ間はWARPインタフェースと呼ぶ仮想インタフェースが作成される

仮想スイッチ側はwpj、仮想システム側はwrpと呼ぶ論理インタフェース名が自動で付与される

Mgmt

VLAN 2 VLAN 3 VLAN 1

vs01 vs03 vs02

eth2

VLANトランク

VSW

eth1

Router

192.168.100.1

External Virtual Switch

10.10.10.1 20.20.20.1 30.30.30.1

VLAN トランク

VLANスイッチ VLANスイッチ

Router

192.168.100.1

192.168.100.2

192.168.100.3

192.168.100.4

192.168.100.2 192.168.100.3 192.168.100.4

wpj

wrp wrp wrp


アジェンダ

1 VSXの概要

VSXの設定 2

VSXの管理 3



管理ネットワーク構成図

本章では、管理サーバでVSXの冗長化システムを構成する

手順について解説します

SmartConsoleより、管理サーバにアクセスできる状態を準備して下さい

VSX クラスタ

SmartConsole(GUI)

192.168.1.5

192.168.1.0

vsgw01

192.168.1.11

管理サーバ

192.168.1.2 vsgw02

192.168.1.12

クラスタのVIP

192.168.1.10


ゲートウェイ設定

VSXを構成するゲートウェイは、シングル構成と同じ手順で、管理サーバとMgmtインタフェース間で、SICの通信が可能な状態にしておきます

ゲートウェイは、冗長化構成を利用するので、ClusterXLを

有効化しておきます

vsgw01

vsgw02


VSX クラスタ作成開始

[Check Point] ツリーで右クリックし、[VSX] – [Cluster] を選択し、VSX クラスタ作成ウィザードを開始します。


VSX クラスタ作成ウィザードクラスタ名、クラスタ IP の設定

VSX クラスタのオブジェクト名とクラスタのVIP を設定します。


VSX クラスタ作成ウィザード管理インタフェースの利用方法

管理インタフェースの構成を選択します。

通常は、[Separate Interfaces] を選択します。このオプションでは、固有のインタフェース

(管理)を持ちます。


VSX クラスタ作成ウィザードメンバ 1 の追加

[Add] をクリックし、クラスタにメンバ1を追加

します。


VSX クラスタ作成ウィザードメンバ 1 の追加/SIC 確立

メンバ 1 のホスト名、IP アドレス、SIC アクティベーション・キーを入力し、[Initialize] を

クリックします。SIC が確立すると、[Trust

Established] の状態になります。


VSX クラスタ作成ウィザードメンバ 2 の追加

さらに、[Add] をクリックし、クラスタにメンバ2

を追加します。

vsgw01 が追加されています。


VSX クラスタ作成ウィザードメンバ 2 の追加/SIC 確立

メンバ 2 のホスト名、IP アドレス、SIC アクティベーション・キーを入力し、[Initialize] を

クリックします。SIC が確立すると、[Trust

Established] の状態になります。


VSX クラスタ作成ウィザードメンバ追加完了

2 つのメンバが追加されました。


VSX クラスタ作成ウィザード物理インタフェースの設定

VLAN を使用する物理インタフェースを指定します。後で設定することもできます。


VSX クラスタ作成ウィザードステート同期インタフェースの設定

各メンバのインタフェースのIPアドレス、

ネットマスクを指定します。

ステート同期に利用するインタフェースを指定します。


VSX クラスタ作成ウィザード仮想デバイスの追加

ウィザードの中で仮想デバイスを作成することができます。後で作成することもできるので、ここではスキップします。


VSX クラスタ作成ウィザードセキュリティ設定


VSX クラスタ作成ウィザード設定確認


VSX クラスタ作成ウィザード VSX クラスタの作成完了

“Operation completed successfully”が出力されれば正常に構成されました。


VSX クラスタ作成完了

VSX クラスタ・オブジェクトが作成されました。


クラスタ・オブジェクトの確認(1)

VSX R76 で作成されています。



VSX クラスタのメンバが表示されます。

VSX クラスタのメンバの内部で利用されるIP

アドレスです。外部との通信には利用されません。



VSX クラスタはデフォルトでは HA 構成になります。VSLS を利用する場合は、CLI を

利用する必要があります。






VSXの構成

本章では、以下の仮想スイッチ、仮想システムの構成手順に

ついて解説します

Mgmt

VLAN 2 VLAN 3

vs01 vs03

eth4

VLANトランク

VSW

eth3

Router

External

Virtual Switch

192.168.1.100 10.0.3.10 10.0.4.10

VLANスイッチ

192.168.100.100 10.0.2.10 10.0.2.11

wpj

wrp wrp

vs02

eth1

eth2

10.0.2.254 192.168.100.1

eth5

Mgmt

eth5

vsgw01

192.168.1.11

vsgw02

192.168.1.12

Standby機


VSXの構成

vsgw01, vsgw02の仮想スイッチ、仮想システムは同一のものが構成されています

vsgw01 vsgw02


vs01の追加（クラスタ）

物理インタフェースを2つ持つVSを作成します

Mgmt

VLAN 2 VLAN 3

vs01 vs03

eth4

VLANトランク

VSW

eth3

Router

External

Virtual Switch

192.168.1.100 10.0.3.10 10.0.4.10

VLANスイッチ

192.168.100.100 10.0.2.10 10.0.2.11

wpj

wrp wrp

vs02

eth1

eth2

10.0.2.254 192.168.100.1

eth5

Mgmt

eth5

vsgw01

192.168.1.11

vsgw02

192.168.1.12

Standby機


vs01（クラスタ）の作成

VSX クラスタ・オブジェクトを右クリックし、[VSX] –

[Virtual System] を選択し、VS 作成ウィザードを開始します。


データベースとポリシーの保存

仮想システムの設定を行う前にデータベースとポリシーの保存を必ず行っておきましょう


VS クラスタ作成ウィザードクラスタ名の指定

VSクラスタ名の名前と、作成する場所を指定します。


VS 作成ウィザード eth1, eth2の割り当て

外部インタフェースにeth1、内部インタフェースにeth2

をしてします。指定するIPアドレスは、クラスタIPになります。デフォルト・ゲートウェイをしてします。


VS 作成ウィザード作成の完了


vs01オブジェクト

新しい vs01 が

vsxcluster の中に作成されました。

通常のゲートウェイと同じように各種ソフトウェア・ブレードを利用可能です。



クラスタのゲートウェイにvs01が構成されている事が確認できます



ウィザードで指定したインタフェースが定義されています。

VS 固有のルーティング情報が定義されています。


バーチャル・スイッチの追加（クラスタ）

バーチャル・スイッチを利用すると、1つの物理インタフェースを

複数のバーチャル・システムで共有することができます。

Mgmt

VLAN 2 VLAN 3

vs01 vs03

eth4

VLANトランク

VSW

eth3

Router

External

Virtual Switch

192.168.1.100 10.0.3.10 10.0.4.10

VLANスイッチ

192.168.100.100 10.0.2.10 10.0.2.11

wpj

wrp wrp

vs02

eth1

eth2

10.0.2.254 192.168.100.1

eth5

Mgmt

eth5

vsgw01

192.168.1.11

vsgw02

192.168.1.12

Standby機


バーチャル・スイッチの作成


[Virtual Switch] を選択し、バーチャル・スイッチ作成ウィザードを開始します。


バーチャル・スイッチ作成ウィザードバーチャル・スイッチ名の指定

バーチャル・スイッチの名前を指定します。


バーチャル・スイッチ作成ウィザード対応する物理インタフェースの指定

[Add] をクリックして接続する物理インタフェースを指定します。


バーチャル・スイッチ作成ウィザードインタフェース追加完了

eth3 が追加されていることを確認できます。


バーチャル・スイッチ作成ウィザード設定確認


バーチャル・スイッチ作成ウィザード作成完了


vswオブジェクト

新しい vs01 が

vsxcluster の中に作成されました。


vswオブジェクト


VLANインタフェースの有効化

eth4にVLANインタフェースを構成します

Mgmt

VLAN 2 VLAN 3

vs01 vs03

eth4

VLANトランク

VSW

eth3

Router

External

Virtual Switch

192.168.1.100 10.0.3.10 10.0.4.10

VLANスイッチ

192.168.100.100 10.0.2.10 10.0.2.11

wpj

wrp wrp

vs02

eth1

eth2

10.0.2.254 192.168.100.1

eth5

Mgmt

eth5

vsgw01

192.168.1.11

vsgw02

192.168.1.12

Standby機


VLAN を有効化

VSX ゲートウェイ/クラスタ・オブジェクトの

[Physical Interfaces] ページを開き、VLAN

を使用するインタフェースを選択します。


データベースとポリシーの保存

データベースとポリシーの保存を行い、”Operation completed

successfully”が出力されれば、正常にトポロジー変更されました


vs02, vs03の追加（クラスタ） vsw, VLANの連携

eth4にVLANインタフェースを構成します

Mgmt

VLAN 2 VLAN 3

vs01 vs03

eth4

VLANトランク

VSW

eth3

Router

External

Virtual Switch

192.168.1.100 10.0.3.10 10.0.4.10

VLANスイッチ

192.168.100.100 10.0.2.10 10.0.2.11

wpj

wrp wrp

vs02

eth1

eth2

10.0.2.254 192.168.100.1

eth5

Mgmt

eth5

vsgw01

192.168.1.11

vsgw02

192.168.1.12

Standby機


vsの作成


[Virtual System] を選択し、バーチャル・システム

作成ウィザードを開始します。


VS 作成ウィザード vs02 名を指定

VS の名前を指定します。

Override Creation Templateにチェックをいれます。


VS 作成ウィザード vsw へ接続

作成済みのバーチャル・スイッチへ接続します。

インタフェースに紐付く IP アドレスとネットマスクを指定します。 [Add] – [Lead to Virtual

Switch] を選択し、バー

チャルスイッチに接続します。


VS 作成ウィザード VLAN インタフェースを追加

VLAN を有効化したインタフェースを選択し、タグを指定します。

VLAN に紐付く IP アドレスと

ネットマスクを指定します。

[Add] – [Regular] を選択し、VLAN (物理インタフェース)に接続します。


VS 作成ウィザードルーティング設定

デフォルト・ルートを指定します。

[Add Default Route] を選択し、

デフォルト・ルートを追加します。


VS 作成ウィザード vs02最終構成

指定したインタフェースが追加されています。

バーチャル・スイッチへの接続するインタフェースには仮想インタフェースが使用されます。

(ウィザード中はテンポラリの名前)

指定したルーティングが追加されています。


VS 作成ウィザード設定確認


VS 作成ウィザード作成完了


VS 作成ウィザード vs03 名を指定

vs02と同様の手順でvs03を構成します

VS の名前を指定します。

Override Creation Templateにチェックをいれます。


VS 作成ウィザード vs03最終構成

指定したインタフェースが追加されています。

バーチャル・スイッチへの接続するインタフェースには仮想インタフェースが使用されます。

(ウィザード中はテンポラリの名前)

指定したルーティングが追加されています。





バーチャル・スイッチへ接続する仮想インタフェースは

“wrp256” になりました(システムが自動的に決定します)。


ネットワーク・オブジェクトの作成






ポリシーの作成

Install Onカラムでルールを適用するvs を決定します


ポリシー・インストール


アジェンダ

1 VSXの概要

VSXの設定 2

VSXの管理 3



SmartView Tracker

ファイアウォールログのOriginを確認すると、仮想システムで

検出されている事が分かります


SmartView Monitor

VSXのシステム構成を確認できます


cphaprob statコマンド

Active, Standbyのクラスタ・メンバを確認できます


VS IDの確認

VSXでは、各種コマンドを仮想システム単位で行います

fw vsx stat –vコマンドでVS IDを確認できます


vsenv コマンド

各種コマンドを仮想システム単位で行うために、vsenvコマンドを使用します

vsenv <vsid>

– fw getifs

– 特定の仮想システムのインタフェースリスト表示

– fw tab -t connections

– 特定の仮想システムのコネクション情報

– fw monitor

– vsx内ネットワーク・パケットのキャプチャ

利用できる各種コマンドは、ドキュメントを参照ください


fw monitorの例


vsx_utilコマンド

様々な、VSXメンテナンス・タスクを実行します

管理サーバのエキスパート・モードから実行します


vsx_util show_interfacesコマンドの例


アジェンダ

1 VSXの概要

VSXの設定 2

VSXの管理 3



VSXのリストア（１）

VSXクラスタの内部は仮想化されています

VSX内部の仮想化構成は管理サーバ上にすべて保存されています

VSXクラスタをリストアする場合は、管理サーバから仮想構成をプッシュすることでリストアできます


VSXのリストア（２）

リストアしたいゲートウェイと管理サーバ間で、SICの通信が

可能な状態にしておきます

vsgw01の例


VSXのリストア（３）

管理サーバのエキスパート・モードでvsx_util reconigure

コマンドを実行します

管理サーバのIPアドレスを指定します。管理サーバ上で実行中ですので、デフォルトの localhost

で確定します。

管理サーバの管理者ID、パスワードを入力します。

リストアしたいクラスタ・メンバを入力します。


VSXのリストア（４）

リストアが完了したら、ゲートウェイのリブートを行います。

©2013 Check Point Software Technologies Ltd.

ありがとうございました！

Documents

R76 仮想システム構成 設定ガイド...VLAN を使用する物理インタフェースを指定し ます。後で設定することもできます。©2013 Check Point Software

R76 仮想システム構成設定ガイド...VLAN を使用する物理インタフェースを指定します。後で設定することもできます。©2013 Check Point Software