VRRP & Check Point IP Appliance ステート同期設定手 … Point VPN-1/FireWall-1のステート同期機能はNGバージョンから大きく仕様変更されています。具体的には、Security

VRRP & Check Point IP Appliance ステート同期設定手順書 (IPSO 6.2 & Check Point R70)

2009 年 11 月株式会社アズジェント

文書番号： NKFW-00046-02

VRRP & Check Point IP Appliance ステート同期設定手順書目次

1 Copyright © 2009 Asgent, Inc. All rights reserved. NKFW-00046-02

目次はじめに................................................................................................................................... 2 第 1 章 Security Cluster オブジェクトの定義............................................................................ 6

1-1 cpconfig からの設定....................................................................................................... 6 1-2 Security Cluster オブジェクトの作成............................................................................... 6 1-3 3rd Party Configuration の設定..................................................................................... 8 1-4 Topology の設定............................................................................................................ 9

第 2 章 VRRP と NTP を VPN-1/FireWall-1 で許可 ...............................................................11 2-1 VRRP マルチキャスト用オブジェクトの作成 ....................................................................11 2-2 ルールの作成.............................................................................................................. 12

第 3 章 NTP の設定 .............................................................................................................. 13 3-1 FW01(NTP サーバ)の設定 .......................................................................................... 13 3-2 FW02(NTP クライアント)の設定 .................................................................................... 15

第 4 章 VRRP の設定 ........................................................................................................... 17 4-1 仮想 IP アドレスの応答 ................................................................................................ 18 4-2 Monitor HDD State の設定 .......................................................................................... 19 4-3 仮想ルータの追加 ....................................................................................................... 20 4-4 仮想ルータの基本設定................................................................................................ 21

第 5 章 VRRP の動作確認 .................................................................................................... 22 5-1 Voyager からの確認..................................................................................................... 22 5-2 コマンドラインからの確認 ............................................................................................. 23

第 6 章 VPN-1/FireWall-1 ステート同期の動作確認 .............................................................. 24 6-1 ステート同期トラフィックの確認 ..................................................................................... 24 6-2 ステートテーブル・エントリの確認.................................................................................. 25 6-3 VPN-1/FireWall-1 のステートの確認............................................................................. 25

付録 1 HA Voyager による VRRP の設定............................................................................... 26 本書で使用する製品名は各社の商標または登録商標です。本文中では、®、©マークは省略しています。 Copyright © 2009 Asgent, Inc. All rights reserved. 本書は株式会社アズジェントが権利を有します。本書に記載された事項は将来予告なしに変更することがあります。本書の作成には細心の注意を払っておりますが、本書の内容に起因する直接的および間接的な

損害の一切につき、株式会社アズジェントは何ら責任を負わないものとします。

VRRP & Check Point IP Appliance ステート同期設定手順書はじめに


はじめに

対象読者本文書は、 Check Point IP Appliance( 以下 IP Appliance ）および、 Check Point VPN-1/FireWall-1 for IPSO のユーザを対象に書かれています。従って読者が次の事項につい

ての基本的な理解と実務知識を持つものと仮定します。・ TCP/IP ・システム管理・ UNIX および Windows OS の基礎的なオペレーション概要この文書は、IP Appliance のルータ冗長化プロトコル VRRP と IP Appliance のステート同期機能

を併用する場合の設定方法について説明するものです。 IP Appliance は、IETF 標準の VRRP v2、および Check Point 社の独自拡張による VRRP Monitored Circuitを実装しています。VRRP Monitored Circuitはインタフェースの状態を監視

し、Master ルータのインタフェースの一つでリンクダウンを検出すると、そのインタフェースだけで

なく他のすべてのインタフェースでも仮想 IP アドレスを Backup ルータに移行させる機能を持ちま

す。これによりステートフル・インスペクションの制約条件となる非対称経路の発生を回避します。ほ

とんどの場合 VRRP Monitored Circuit は VRRP v2 よりも有用な選択肢であり、IPSO 3.7 以降

から簡易 VRRP Monitored Circuit 設定がデフォルトとなっているため、この文書では VRRP Monitored Circuit の使用を前提とします。 Check Point VPN-1/FireWall-1のステート同期機能はNGバージョンから大きく仕様変更されて

います。具体的には、Security Cluster オブジェクトによるクラスタ化が必須となり、また sync.confファイルによるマニュアルでの同期設定が不要になりました。また、Security Cluster のメンバとし

て管理サーバがインストールされたゲートウェイを設定できないことから、NG バージョンからは冗長

化構成を構築する際には必ず分散構成（管理サーバを別建て）にする必要があります。対象バージョン対象バージョン： IPSO 6.2 以降、Check Point R70 以降本文書のベース： IPSO 6.2 GA024、Check Point R70



表記規則

AaBbCc123 画面表示を示します AaBbCc123 ユーザの入力を示します AaBbCc123 コメントを示します

注意事項

VPN-1/FireWall-1 のステート同期を行うためには、VPN-1/FireWall-1 パッケージインス

トール後の cpconfig コマンドによる初期設定において「Would you like to install a Check Point clustering product (CPHA, CPLS or State Synchronization)?」

を”y”(clustering product をインストールする)に設定しておく必要があります。管理サーバは VRRP で冗長化する IP Appliance (ここでは FW01、FW02)にインストー

ルせず、必ずサンプル構成のような分散構成を取ります。これは Security Cluster オブジ

ェクトのメンバとして管理サーバを含める事ができない仕様のためです。 ※Check Point R70 では、ステート同期使用の有無に関わらず、Security Cluster オブ

ジェクトを用いずに VRRP 構成を行っている場合、メーカーサポート対象外となります。ルータの Next hop、また内部のセグメントに接続されたホストのデフォルト・ゲートウェイは、

VRRP の仮想 IP アドレスに設定します。これにより、Master ルータ(FW01)のダウン時に

もホストのデフォルト・ルートは Backup(FW02)により維持されます。 Check Point R70 のステート同期リンクは独立したセグメントとすることが推奨されます。同

期させる機器間を直接クロスケーブルで接続、またはハブで連結し、100M/Full以上の通

信速度が推奨されます。またセキュリティ保護と同期の確実化のため、ステート同期専用リ

ンクに同期パケット以外のトラフィックが流れないように構成します。 VRRP を使用するセグメントでスイッチを使用する場合は、アドレス・キャッシュの保持時間

を可能な限り小さい値に設定し、スパニングツリー・プロトコルを無効化してください。スパ

ニングツリー・プロトコルを使用する場合は、Port fast 機能を有効化してください。



構成図次のネットワーク構成をサンプルとして設定手順を説明します。

図 1:ネットワーク構成図

ホスト名インタフェース IP アドレス

外部 10.1.1.101 内部 192.168.0.101

FW01

ステート同期 172.16.1.1 外部 10.1.1.102 内部 192.168.0.102

FW02

ステート同期 172.16.1.2 外部 10.1.1.100 仮想ルータ内部 192.168.0.100

FW01、FW02 の両ルータは IPSO および VPN-1/FireWall-1 の初期設定がすでに完了しており、

管理サーバからそれぞれに対し正常なポリシーインストールが可能な状態であることとします。

Internet

内部ネットワーク

10.1.1.0/24

101 102

101 102

仮想ルータ ID：100

仮想 IP アドレス:

10.1.1.100

FW01 FW02

外部ネットワーク

192.168.0.0/24

仮想ルータ ID:100

仮想 IP アドレス：

192.168.0.100

172.16.1.0/24

ステート同期専用リンク

1 2

管理サーバ



要件 FW01、FW02 の 2 台のルータにより、ネットワーク上の仮想ルータ(ID=100)を構成しま

す。仮想ルータは冗長化が必要なそれぞれのネットワークセグメントに対し、仮想 IP アドレスを

保持します。 FW01 は、FW02 よりも高いプライオリティが設定され、正常時は FW01 が Master となり、

仮想ルータは仮想 IP アドレスを持つ実インタフェースを監視し、監視しているインタフェー

スにリンク喪失が発生した場合、すべてのインタフェースが FW01 から FW02 に引き継が

れるように設定します(VRRP Monitored Circuit)。 VPN-1/FireWall-1 ステート同期により、同期可能なセッションについてはステートを同期

させ、フェイルオーバ時にセッションを切断することなく FW02 に引き継ぎます。

VRRP & Check Point IP Appliance ステート同期設定手順書第 1 章


第 1 章 Security Cluster オブジェクトの定義

1-1 cpconfig からの設定

各 GW のコンソールから cpconfig コマンドを実行した際、以下の項目がある事を確認してくだい。「Disable cluster membership for this gateway」

もしこの項目が存在せず、代わりに「Enable ～」となっている場合は、この項目を選択して機能を

有効化してください。

1-2 Security Cluster オブジェクトの作成

VPN-1/FireWall-1 の SmartDashboard から、Security Cluster オブジェクトを作成します。＜手順＞ 1. SmartDashboard から Security Cluster オブジェクトを新規作成します。 2. [General Properties]タブで設定する Security Cluster オブジェクトの IP アドレスに VRRP

仮想 IP アドレスを指定します。

図 2:Security Cluster オブジェクトの新規作成



3. ゲートウェイにインストールされたプロダクトにチェックします。 ※この際[Cluster XL]にチェックを付けません。

4. [Cluster Members]タブから[Security Cluster]のメンバを追加します。新規で作成する場合は、[Add ] > [New Cluster Member]を選択し該当の Gateway オブジ

ェクトを作成し、IP アドレス等の情報入力や SIC 接続を実施します。すでに Gateway オブジ

ェクトがあり、その Gateway オブジェクトをメンバに参加させる場合は、[Add Gateway to Cluster]を選択し追加します。

図 3:Cluster Member の追加

Cluster Member の General IP アドレスが外部ネットワークに属している場合、管理サーバ(内部)から Backup の外部インタフェースに対する通信(ポリシーインストール等)が Anti Spoofing に

より Drop されます。このような場合には、管理サーバにて各 Gateway オブジェクト(FW01、FW02)の外部インタフェ

ースに対するルーティングを追加する必要があります。本書のサンプル構成の場合、下記のルーティングを追加します。

10.1.1.101/24 宛ての通信は 192.168.0.101 を経由 10.1.1.102/24 宛ての通信は 192.168.0.102 を経由

※ Cluster Member の General IP アドレスが内部ネットワークに属している場合には、ルーティ

ングの追加は必要ありません。 ※ VPN 機能を利用する場合は、Cluster Member の General IP アドレスを外部ネットワークに

属する IP アドレスにする必要があります。



1-3 3rd Party Configuration の設定

3rd Party Configuration の設定を行います。＜手順＞ 1. [3rd Party Configuration] > [3rd Party Solution]にて[Nokia VRRP]を選択します。 2. [Use State Synchronization]にチェックが入っていることを確認します。

入っていない場合は、チェックを入れます。

図 4: [3rd Party Configuration]の設定

※ [Nokia VRRP]を選択すると”Forward Cluster’s ～”にチェックが入ります。このチェックによ

り VIP への通信の送信先 IP アドレスがクラスタメンバの実インタフェースの IP アドレスへ変換さ

れます。 ※ “Hide Cluster ～”のチェックにより Cluster Member からの通信が Security Cluster の IP

アドレスに変換されます。これにより Cluster Member からの通信、例えば Master-Backup と

もに同一の外部 NTP サーバへ問い合わせる場合や同一の syslog サーバへ転送する場合な

どに影響します。その場合は、”Hide Cluster ～”のチェックを外します。



1-4 Topology の設定

各 Cluster Member(FW01、FW02)の Topology および仮想 IP アドレスの設定を行います。

図 5:Security Cluster オブジェクトの Topology の設定＜手順＞ 1. [Topology]タブを選択し、[Edit Topology]ボタンを押します。 2. 各 Cluster Member の[Get Topology]ボタンを押し、Topology 情報を取得します。

※ この時、[Get Topology]ボタンを押しても Topology 情報が取得できない場合は、各オブジェクトの設定欄をクリックし[Interface Properties]を表示させて設定します。

3. Security Cluster の設定欄をクリックして[Interface Properties]より Topology 情報を設定し

ます。 4. [Network Objective]にて、Cluster インタフェースは[Cluster]、同期セグメントは[1st Sync]

にそれぞれ設定します。 5. [OK]ボタンを押して、[Security Cluster Properties]ウインドウを閉じます。



図 6:Security Cluster オブジェクトの[Edit Topology]画面

図 7:[Interface Properties]の設定



第 2 章 VRRP と NTP を VPN-1/FireWall-1 で許可

2-1 VRRP マルチキャスト用オブジェクトの作成

SmartDashboard から VRRP マルチキャスト用オブジェクトを作成します。＜手順＞ 1. SmartDashboard から Network オブジェクトを作成します。

Name ：mcast.net Network Address ：224.0.0.0 Net Mask ：240.0.0.0

図 8:VRRP マルチキャストの Network オブジェクトの作成



2-2 ルールの作成

次のように VRRP と NTP を許可するルールを作成し、ポリシーインストールを実施します。 Source Destination Service Action Security Cluster オブジェクト mcast.net igmp accept Security Cluster オブジェクト Security Cluster オブジェクト ntp グループ accept

図 9:VRRP/NTP の許可



第 3 章 NTP の設定

VPN-1/FireWall-1 のステート同期のため、IPSO の NTP 機能を使用してルータ間の時刻同期

を設定します。本書では一例として以下の NTP 構成を実施します。

FW01 NTP Server(Local が NTP Master) FW02 NTP Client(NTP Server として FW01 を指定)

※ IP Appliance の NTP サーバ機能は、IP Appliance 同士の時刻同期を目的としています。他

のクライアントの NTP サーバとして使用しないでください。

3-1 FW01(NTP サーバ)の設定

FW01 を NTP サーバに設定します。＜手順＞ 1. Voyager にログインし、ナビゲーションツリーから[Configuration] > [Router Service] >

[NTP]を選択します。 2. [NTP Configuration]にて[Enable NTP]のチェックボックスを選択します。

(設定項目が追加されます)

図 10:NTP を有効に設定



3. [NTP Reference Clock]にて[Enable NTP Master] のチェックボックスを選択します。これにより、FW01 が NTP サーバ(時刻源)となります。 (この時、Stratum(NTP サーバの層)の値は Default で 0 となります。)

4. [Apply][Save]ボタンを押して設定を保存します。

図 11:FW01 の Local Time を NTP サーバに指定

自身が NTP サーバになるまでには、時刻同期のために 15～60 分程度かかる場合があります。



3-2 FW02(NTP クライアント)の設定

FW02 を NTP クライアントに設定します(FW01 を NTP サーバとする)。＜手順＞ 1. Voyager にログインし、ナビゲーションツリーから[Configuration] > [Router Service] >

[NTP]を選択します。 2. [NTP Configuration]にて[Enable NTP]のチェックボックスを選択します。

(設定項目が追加されます) 3. [NTP Server Configuration] > [Add New Server Address]に FW02 の上位層にあたる

NTP サーバの IP アドレスを指定します。(ここでは FW01 の IP アドレス) 4. [Apply][Save]ボタンを押して設定を保存します。

図 12:FW01 を NTP サーバに指定([Apply]ボタンを押した後)

時刻が同期されるまでに若干時間がかかります。



【補足】・外部もしくは内部にある NTP サーバを参照させたい場合 FW01 に外部もしくは内部にある NTP サーバを参照させたい場合は、以下のように設定します。 FW01 NTP Client

(外部もしくは内部にある NTP サーバを指定) FW02 NTP Client(FW01 を指定)

もしくは NTP Peers(FW01 を指定)

この場合、FW01 の[NTP Servers]に外部もしくは内部にある NTP サーバを指定します。負荷軽減のために[NTP Reference Clock]の[Enable NTP Master]は[No]に設定します。 FW02 は[NTP Serverｓ]か[NTP Peers]のどちらかで FW01 を指定します。



第 4 章 VRRP の設定

VRRP を下記のように設定します。

ホスト名仮想ルータ ID

インタフェース仮想 IP アドレスプライオリティデルタ値

外部 10.1.1.100 FW01 100

内部 192.168.0.100 100 10

外部 10.1.1.100 FW02 100

内部 192.168.0.100 95 10

VRRP の設定は Voyager にログインし、ナビゲーションツリーから[Configuration] > [High Availability] > [VRRP]を選択し、[VRRP Configuration]画面で行います。

図 13:[VRRP Configuration]画面と[Legacy VRRP Configuration]へのリンク

IPSO 3.7 以降では、簡易 VRRP Monitored Circuit(以下 VRRPmc)設定がデフォルトとなって

おり、本書ではこの簡易 VRRPmc 設定について手順を示します。以前の設定項目で VRRP 設定

を行う場合は、[Legacy VRRP Configuration]を選択することで設定が可能となっています。設

定の詳細については「 VRRP & VPN-1/FireWall-1 NG ステート同期設定手順書

(NKIP-00015-xx_vrrp_ngfp3_statesync.pdf)」を参照してください。



4-1 仮想 IP アドレスの応答

VRRP の仮想 IP アドレスを宛先とするパケットを受信したい場合、デフォルトではこれに応答しま

せん。応答させるには、[Accept Connections to VRRP IPs]を Enabled に設定します。VPN 接

続の冗長化(SEP)を構成する場合、仮想 IP への Ping 監視の場合などにこれを Enabled に設定

する必要があります。＜手順＞ 1. [Accept Connections to VRRP IPs] のチェックボックスを選択します。 2. [Apply][Save]ボタンを押して設定を保存します。

図 14: [Accept Connections to VRRP IPs]設定



4-2 Monitor HDD State の設定

Monitor HDD State とは IPSO4.2 build029 以降で実装された HDD 監視機能です。デフォルトでは

無効になっています。VRRP構成の正系でHDD障害発生時に、フェールオーバを発生させる場合

に[Monitor HDD State]を Enabled に設定します。DiskBase のみ対応しています。

＜手順＞ 1. [Monitor HDD State]のチェックボックスを選択します。 2. [Apply][Save]ボタンを押して設定を保存します。

図 15: [Monitor HDD State]設定



4-3 仮想ルータの追加

仮想ルータを追加します。＜手順＞ 1. [Create New Monitored-Circuit Virtual Router]に仮想ルータ ID を入力(1～255)しま

す。 2. [Apply]ボタンを押します(設定項目が追加されます)。

図 16:仮想ルータ ID の設定



4-4 仮想ルータの基本設定

仮想ルータの基本設定を行います。＜手順＞ 1. 追加したルータ ID の各パラメータを設定します。パラメータ説明 Priority(1～254) セグメントに接続された VRRP ルータの中で最高値のプライオリ

ティを持つものが Master として仮想ルータをバックアップします

(default=100) Delta Priority 監視インタフェースがリンク喪失した場合に差し引くプライオリティ

減少分 Hello Interval(1～255 秒) VRRP ハローパケットの送信間隔(default=1 秒) Backup Address この仮想ルータでバックアップする IP アドレス。仮想 IP アドレス VMAC mode 仮想 MAC アドレスのモード(default=VRRP) 2. [Apply]ボタンを押します(設定項目が追加されます)。 3. すべての設定が終わったら[Apply][Save]ボタンを押して設定を保存します。

図 17:仮想ルータの基本設定(FW01(Master 側))

FW02(Backup 側 )も Voyager に接続して、同様に設定します。ただし、Priority 値は

FW01(Master 側)より小さくなるようにします。サンプル構成ではＦＷ01 の初期プライオリティが

100、FW02 の初期プライオリティが 95 に設定されているため、Delta Priority を 10 に設定する

ことでフェイルオーバ時の Master のプライオリティは 100 － 10 = 90 となり、Backup のプライオ

リティに逆転されます。このように、VRRP Monitored Circuit では一つのインタフェースのリンク状

態を元に別のインタフェースの状態をコントロールすることができます。



第 5 章 VRRP の動作確認

サンプル構成では外部と内部それぞれのセグメントに各 1 つの仮想ルータを設定しているため、正

常時には Master ルータ側に 2 つの Master 状態の仮想ルータが、Backup ルータ側には 2 つ

の Backup 状態の仮想ルータが認識されます。

5-1 Voyager からの確認

Voyager から状態を確認します。＜手順＞ 1. Voyager にログインし、ナビゲーションツリーから[Monitor] > [Routing Protocols] > [VRRP

Monitor]を選択します。 2. 下図のように２つの仮想ルータが正しい状態で認識されていることを確認します。

図 18:正常時の[VRRP Monitor]画面(FW01(Master 側))



5-2 コマンドラインからの確認

telnet やコンソールから admin アカウントでログインし、下記のコマンドを実行します。 FW01[admin]# clish NokiaIP390:10> show vrrp VRRP State VRRP Router State: Up Flags: On,LocalReceive,MonitorFirewall,MonitorHDDHealth Interface enabled: 2 Virtual routers configured: 2 In Init state 0 In Backup state 0 In Master state 2 必要に応じて1つのルータのVRRPインタフェース、または監視インタフェースからケーブルを外し、

状態遷移を確認します。



第 6 章 VPN-1/FireWall-1 ステート同期の動作確認

6-1 ステート同期トラフィックの確認

Security Cluster オブジェクトでステート同期ネットワークに設定されたセグメントに面するインタフ

ェース上で、パケットのフローを tcpdump コマンドによりトレースします。下記のように UDP/8116のブロードキャストが見られる場合はステート同期トラフィックが流れています。 FW01[admin]# tcpdump -i eth3c0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth3c0, link-type EN10MB (Ethernet), capture size 96 bytes 13:55:25.581741 I CPHA IP 0.0.0.0.8116 > 172.16.1.0.8116: ifc 1 smach 1 dmach 65534 op new-sync 13:55:25.581746 I CPHA IP 0.0.0.0.8116 > 172.16.1.0.8116: ifc 1 smach 1 dmach 65534 op ifc-cfg-req 13:55:25.581767 O CPHA IP 0.0.0.0.8116 > 172.16.1.0.8116: ifc 1 smach 0 dmach 65535 op ifc-cfg-resp 13:55:25.654831 O CPHA IP 0.0.0.0.8116 > 172.16.1.0.8116: ifc 1 smach 0 dmach 65534 op new-sync 13:55:25.682679 I CPHA IP 0.0.0.0.8116 > 172.16.1.0.8116: ifc 1 smach 1 dmach 65534 op new-sync 13:55:25.755816 O CPHA IP 0.0.0.0.8116 > 172.16.1.0.8116: ifc 1 smach 0 dmach 65534 op new-sync 13:55:25.783615 I CPHA IP 0.0.0.0.8116 > 172.16.1.0.8116: ifc 1 smach 1 dmach 65534 op new-sync 13:55:25.856798 O CPHA IP 0.0.0.0.8116 > 172.16.1.0.8116: ifc 1 smach 0 dmach 65534 op new-sync 13:55:25.884679 I CPHA IP 0.0.0.0.8116 > 172.16.1.0.8116: ifc 1 smach 1 dmach 65534 op new-sync 13:55:25.957785 O CPHA IP 0.0.0.0.8116 > 172.16.1.0.8116: ifc 1 smach 0 dmach 65534 op new-sync 13:55:25.985618 I CPHA IP 0.0.0.0.8116 > 172.16.1.0.8116: ifc 1 smach 1 dmach 65534 op new-sync



6-2 ステートテーブル・エントリの確認

FW01、FW02 の各ゲートウェイ上で同時に下記コマンドを実行し、ほぼ同一の#VALS 値が得ら

れることを確認します。異なる場合は、何回か繰り返し実行して確認してください。 FW01[admin]# fw tab -t connections -s HOST NAME ID #VALS #PEAK #SLINKS localhost connections 8158 12 16 12

6-3 VPN-1/FireWall-1 のステートの確認

各ゲートウェイ上で下記のコマンドを実行し、ステート同期設定内のすべての VPN-1/FireWall-1モジュールのステータスが Active であることを確認します。 FW01[admin]# cphaprob state Cluster Mode: Sync only (IPSO cluster) Number Unique Address Firewall State (*) 1 (local) 172.16.1.1 Active 2 172.16.1.2 Active (*) In IP Clustering/VRRP FW-1 also monitors the cluster status

VRRP & Check Point IP Appliance ステート同期設定手順書付録 1

Copyright © 2009 Asgent, Inc. All rights reserved. NKFW-00046-01

26

付録 1 HA Voyager による VRRP の設定

IPSO6.2 では HA Voyager 機能が追加されました。HA Voyager とは HA 全体を一括設定/管理

するための GUI インタフェースです。HA Voyager での設定項目は HA グループのメンバー間で

共有されます。HA Voyager を使用した VRRP の設定は、簡易 VRRPmc での設定になります。一連の作業を次の 5 つのステップに分けて説明します。 Step 1) ルールの作成 Step 2） HA VRRP Group の設定 Step 3) HA メンバーの設定 Step 4) VRRP(HA)の設定 Step 5） HA Voyager での VRRP の動作確認


Copyright © 2009 Asgent, Inc. All rights reserved. NKFW-00046-01

27

Step 1) ルールの作成次のように IPSO_Clustering_Mgmt_Protocol と SSH を許可するルールを作成し、ポリシーイ

ンストールを実施します。SSH は HA Group への HA メンバー追加時の通信に使用されます。 IPSO_Clustering_Mgmt_Protocol は HA Group 間の通信に使用されます。 Source Destination Service Action Gateway Cluster オブジェクト mcast.net igmp accept Gateway Cluster オブジェクト Gateway Cluster オブジェクト ntp グループ accept Gateway Cluster オブジェクト Gateway Cluster オブジェクト IPSO_Clustering_

Mgmt_Protocol

accept

Gateway Cluster オブジェクト Gateway Cluster オブジェクトｓsh accept

図 19: VRRP(HA)の許可



Step 2) HA VRRP Group の設定 FW01 に接続し、HA VRRP Group の設定を実施します。＜手順＞ 1. Voyager にログインし、ナビゲーションツリーから[Configuration] > [High Availability] >

[VRRP]を選択します。 2. [HA VRRP Configuration]を選択します。

図 20:[HA VRRP Configuration]画面



[Create a HA VRRP Group]を設定します。

図 21:[Create a HA VRRP Group]設定パラメータ説明 HA Group Secret VRRP グループのメンバー間のメッセージの暗号化に使用します

(6～20 文字)。ここでは例として asgent と入力します。 Select Local Address HA の設定時に使用するインタフェースの IP アドレスを選択しま

す。推奨は内部インタフェースの選択です。 3. [Apply]ボタンを押します（ナビゲーションツリーに HA Voyager タブが追加されます）。

図 22: HA VRRP Group の作成



Step 3) HA メンバーの設定作成した HA グループに HA メンバーを追加します。＜手順＞ 1. ナビゲーションツリーから [HA Voyager] タブを選択し、 [Configuration] > [High

Availability] > [Members]を選択します。

図 23:[HA Configuration]画面



2. [Add A New Member]に新規に追加する HA メンバーの IP アドレス、Admin パスワード、

図 21:[Create a HA VRRP Group]設定で設定した HA Group Secret を入力し、[Add New Member]ボタンを押します。

パラメータ説明 Member Addresss HA の設定時に使用する HA メンバーのインタフェースの IP アド

レスを設定します。推奨は Step2 で設定した”Secret Local Address”と同一セグメントのインタフェースの IP アドレスを設定し

ます。 Admin Password HA グループに追加するメンバーの Admin パスワードを設定しま

す。 HA Secret Step2 で設定した HA メンバーと同じ HA Secret を設定します。サンプル構成では、FW02 の IP アドレス、Admin パスワード、図 21:[Create a HA VRRP Group]設定で設定した HA Secret を入力します。[Add New Member]ボタンを押すと、FW01から FW02 へ SSH 通信が開始され、HA グループに[Add New Member]で指定した HA メン

バーが追加されます。

図 24:[HA Members]設定



図 25: [HA Members]追加

3. [Apply][Save]ボタンを押して設定を保存します。



Step 4) VRRP(HA)の設定 HA Voyager を使用して、HA グループの全てのメンバーの VRRP 設定を行います。 VRRP を下記のように設定します。

ホスト名仮想ルータ ID

インタフェース仮想 IP アドレスプライオリティデルタ値

外部 10.1.1.100 FW01 100

内部 192.168.0.100 100 10

外部 10.1.1.100 FW02 100

内部 192.168.0.100 95 10



＜手順＞ 1. ナビゲーションツリーから [HA Voyager] タブを選択し、 [Configuration] > [High

Availability] > [VRRP]を選択します。 2. VIP 宛の通信に応答したい場合、[Global Settings]の[Accept Connections to VRRP

IPs]のチェックボックスを選択します。 3. VRRP 構成の正系で HDD 障害発生時にもフェールオーバを発生させる場合、[Global

Settings]の[Monitor HDD State]のチェックボックスを選択します。 4. [Create New Monitored-Circuit Virtual Router]に仮想ルータ ID を入力します(１～

255)。 5. VRRP を設定する HA メンバーの[Select]にチェックを入れ、[Priority]にプライオリティ値を

入力します。

図 26:[VRRP (HA) Configuration]設定



6. [Apply]ボタンを押します(仮想ルータが作成されます)。

図 27:[VRRP (HA) Configuration]画面

7. [HA VRIDS]の VRID リンクをクリックします。

図 28:VRID リンク



8. VRRP の各パラメータを設定します。パラメータ説明 Priority Delta 監視インタフェースがリンク喪失した場合に差し引くプライオリティ

減少分 Hello Interval(1～255 秒) VRRP ハローパケットの送信間隔(default=1 秒) Backup Address この仮想ルータでバックアップする IP アドレス。仮想 IP アドレス VMAC Mode 仮想 MAC アドレスのモード(default=VRRP)

図 29:[VRRP Configuration]画面

9. [Apply]ボタンを押します(設定項目が追加されます)。 10. すべての設定が終わったら[Apply][Save]ボタンを押して設定を保存します。



Step 5) HA Voyager での VRRP の動作確認 HA Voyager から状態を確認します。＜手順＞ 1. Voyager にログインし、ナビゲーションツリーから[HA Voyager] > [Monitor] > [Routing

Protocols] > [VRRP Monitor]を選択します。 2. 下図のように仮想ルータが正しい状態で認識されていることを確認します。

図 30:正常時の[HA VRRP Monitor]画面（FW01(Master 側)）

図 31: 正常時の[HA VRRP Monitor]画面（FW02(Backup 側)）

以上

Documents

VRRP & Check Point IP Appliance ステート同期設定手 … Point VPN-1/FireWall-1のステート同期機能はNGバージョンから大きく仕様変更されて います。具体的には、Security

VRRP & Check Point IP Appliance ステート同期設定手 … Point VPN-1/FireWall-1のステート同期機能はNGバージョンから大きく仕様変更されています。具体的には、Security