【CheckPointR77.30】検証記⑧(クラスタ構築)
ファイアーウォールで有名なCheckPoint社の R77.30について、少し検証する必要があったため、その備忘録。
なお、以降記載の手順は、検証目的のため、必ずしも正規の手順ではないかもしれませんので、ご了承ください。
目次
前回までの前提
前回までで、構成の概要を決めながら、
Gaiaのインストールを3台実施し、
さらに、マネージメントサーバを構築し、
ファイアーウォールゲートウェイ(2台)を構築し、
IPアドレスを設定し、
staticルーティングまでを設定し、
Checkpoint管理コンソール製品「SmartConsole」をインストールした。
以降では、ファイアーウォール2台でクラスタを構成する。
クラスタ構築
クラスタの構築には、下記の動画などが大変参考になる。
https://www.youtube.com/watch?v=zr8Yt_R1HeI
Checkpoint Implement ClusterXL
※29分ごろからの部分。
まずは、クラスタオブジェクトを作成するために、 左下の[Checkpoint]を選択し、右クリック-[Security Gateway/Management] を選択し、下記の画面が起動したら、[Wizart Mode]を選択
任意のクラスタ名と、クラスタVIPを入力し、 [Check Point Cluster]、[High Availaviliy]を 選択し、[Next]
[Add]を押下し、[New Cluster Member]を選択し、 1台目のファイアーウォールを追加する。
1台目のファイアーウォールの情報を 入力し、パスワード(ここでは、「Gaia321」) を入力し、[Initialize]を押下する。
[Trust established]が表示されたら[OK]
同様に、[Add]を押下し、[New Cluster Member]を選択し、 2台目のファイアーウォールを追加する。
1台目のファイアーウォールの情報を 入力し、パスワード(ここでは、「Gaia321」) を入力し、[Initialize]を押下し、
[Trust established]が表示されたら[OK]
2台ファイアーウォールが追加されたら、 [次へ]を押し、一旦[完了]
作成されたクラスタオブジェクトをダブルクリックする。
[ClusterXL and VRRP]を選択し、下記にチェックを入れる。
続いて、[Topology]タブを選択し、以下の通り、トポロジーが 認識されていることを確認する。
[Network Object]、[クラスタオブジェクト](ここでは「FW_Cluster」) の情報を入力していく。
ここでは、内部ネットワークの設定を行う箇所の画面ショット。
[General]タブで、下記の設定を行なう。 内部ネットワーク用のVIPを設定し、
同様にほかのインターフェースもの設定し、 最終的に設定後は、下記のようなイメージ。
すべて完了すると、クラスタオブジェクトに クラスタメンバーが追加されたことを確認する。
クラスタ構築後のポリシーインストール
クラスタ構築後、設定確認のため、 ポリシーのインストールを行う。
[Policy Install]を押下し、
クラスタオブジェクトを選択し、[OK]
ポリシーインストールが開始される。
ここで、ポリシーインストール失敗。 エラーメッセージから、eth0のアンチスプーフィングの設定が できていないようなので、
先述のクラスタオブジェクトの[Topology]設定画面より、 eth0のアンチスプーフィングの設定を行う。
再度、ポリシーインストール。