r76 仮想システム構成 設定ガイド...vlan...
TRANSCRIPT
©2013 Check Point Software Technologies Ltd.
R76 仮想システム構成 設定ガイド
Last updated Jul 1, 2013
チェック・ポイント・ソフトウェア・テクノロジーズ(株)
2 ©2013 Check Point Software Technologies Ltd.
アジェンダ
1 VSXの概要
VSXの設定 2
VSXの管理 3
VSXのリストア 4
3 ©2013 Check Point Software Technologies Ltd.
アジェンダ
1 VSXの概要
VSXの設定 2
VSXの管理 3
VSXのリストア 4
4 ©2013 Check Point Software Technologies Ltd.
仮想システム・アプライアンス
どのプラットフォームでも仮想システム対応
… およびオープン・サーバ
Anti-Bot Application
Control IPS Firewall Antivirus
URL
Filtering
Identity
Awareness
仮想システム上のSoftware Blades
Mobile
Access*
アプライアンス 2200 4200 4400 4600 4800 12200 12400 12600 21400 21600
メモリ (デフォルト/最大)
2 / 2 GB 4 / 4 GB 4 / 4 GB 4 / 4 GB 4 / 8 GB 4 / 12 GB 4 / 12 GB 6 / 12GB 12 / 24 GB 16 / 32 GB
VSサポート数 (デフォルト・メモリ/最大メモリ)
3 / 3 3 / 3 10 / 10 10 / 10 20 / 25 20 / 50 25 / 75 75 / 150 125 / 250 150 / 250
5 ©2013 Check Point Software Technologies Ltd.
VSXの仮想化コンポーネント
バーチャル・ケーブル(warp link)
バーチャル・スイッチ(V-SW)
バーチャル・ルーター(VR)
バーチャルシステム
ブリッジモード
バーチャルシステム(VS) Software Bladeアプライアンス
Software Blade アプライアンス
ブリッジモード
IPルーター
スイッチ
ネットワーク・ケーブル
物理 仮想
セキュリティ・システム・コンポーネント
6 ©2013 Check Point Software Technologies Ltd.
仮想ルータの構成例
仮想システムと仮想ルータ間はWARPインタフェースと呼ぶ仮想インタフェースが作成される
仮想ルータ側はwpj、仮想システム側はwrpと呼ぶ論理インタフェース名が自動で付与される
Mgmt
VLAN 2 VLAN 3 VLAN 1
vs01 vs03 vs02
eth2
VLANトランク
VR
eth1
Router
192.168.100.1
External Virtual Router
192.168.100.2
10.10.10.1 20.20.20.1 30.30.30.1
VLAN トランク
VLANスイッチ VLANスイッチ
Router
192.168.100.1
192.168.100.2
192.168.10.1 192.168.20.1 192.168.30.1
wpj wpj
wpj wrp wrp wrp
7 ©2013 Check Point Software Technologies Ltd.
仮想スイッチの構成例
仮想システムと仮想スイッチ間はWARPインタフェースと呼ぶ仮想インタフェースが作成される
仮想スイッチ側はwpj、仮想システム側はwrpと呼ぶ論理インタフェース名が自動で付与される
Mgmt
VLAN 2 VLAN 3 VLAN 1
vs01 vs03 vs02
eth2
VLANトランク
VSW
eth1
Router
192.168.100.1
External Virtual Switch
10.10.10.1 20.20.20.1 30.30.30.1
VLAN トランク
VLANスイッチ VLANスイッチ
Router
192.168.100.1
192.168.100.2
192.168.100.3
192.168.100.4
192.168.100.2 192.168.100.3 192.168.100.4
wpj
wrp wrp wrp
8 ©2013 Check Point Software Technologies Ltd.
アジェンダ
1 VSXの概要
VSXの設定 2
VSXの管理 3
VSXのリストア 4
9 ©2013 Check Point Software Technologies Ltd.
管理ネットワーク構成図
本章では、管理サーバでVSXの冗長化システムを構成する
手順について解説します
SmartConsoleより、管理サーバにアクセスできる状態を準備して下さい
VSX クラスタ
SmartConsole(GUI)
192.168.1.5
192.168.1.0
vsgw01
192.168.1.11
管理サーバ
192.168.1.2 vsgw02
192.168.1.12
クラスタのVIP
192.168.1.10
10 ©2013 Check Point Software Technologies Ltd.
ゲートウェイ設定
VSXを構成するゲートウェイは、シングル構成と同じ手順で、管理サーバとMgmtインタフェース間で、SICの通信が可能な状態にしておきます
ゲートウェイは、冗長化構成を利用するので、ClusterXLを
有効化しておきます
vsgw01
vsgw02
11 ©2013 Check Point Software Technologies Ltd.
VSX クラスタ作成開始
[Check Point] ツリーで右クリックし、[VSX] – [Cluster] を選択し、VSX クラスタ作成ウィザードを開始します。
12 ©2013 Check Point Software Technologies Ltd.
VSX クラスタ作成ウィザード クラスタ名、クラスタ IP の設定
VSX クラスタのオブジェクト名とクラスタのVIP を設定します。
13 ©2013 Check Point Software Technologies Ltd.
VSX クラスタ作成ウィザード 管理インタフェースの利用方法
管理インタフェースの構成を選択します。
通常は、[Separate Interfaces] を選択します。このオプションでは、固有のインタフェース
(管理)を持ちます。
14 ©2013 Check Point Software Technologies Ltd.
VSX クラスタ作成ウィザード メンバ 1 の追加
[Add] をクリックし、クラスタにメンバ1を追加
します。
15 ©2013 Check Point Software Technologies Ltd.
VSX クラスタ作成ウィザード メンバ 1 の追加/SIC 確立
メンバ 1 のホスト名、IP アドレス、SIC アクティベーション・キーを入力し、[Initialize] を
クリックします。SIC が確立すると、[Trust
Established] の状態になります。
16 ©2013 Check Point Software Technologies Ltd.
VSX クラスタ作成ウィザード メンバ 2 の追加
さらに、[Add] をクリックし、クラスタにメンバ2
を追加します。
vsgw01 が追加されています。
17 ©2013 Check Point Software Technologies Ltd.
VSX クラスタ作成ウィザード メンバ 2 の追加/SIC 確立
メンバ 2 のホスト名、IP アドレス、SIC アクティベーション・キーを入力し、[Initialize] を
クリックします。SIC が確立すると、[Trust
Established] の状態になります。
18 ©2013 Check Point Software Technologies Ltd.
VSX クラスタ作成ウィザード メンバ追加完了
2 つのメンバが追加されました。
19 ©2013 Check Point Software Technologies Ltd.
VSX クラスタ作成ウィザード 物理インタフェースの設定
VLAN を使用する物理インタフェースを指定します。後で設定することもできます。
20 ©2013 Check Point Software Technologies Ltd.
VSX クラスタ作成ウィザード ステート同期インタフェースの設定
各メンバのインタフェースのIPアドレス、
ネットマスクを指定します。
ステート同期に利用するインタフェースを指定します。
21 ©2013 Check Point Software Technologies Ltd.
VSX クラスタ作成ウィザード 仮想デバイスの追加
ウィザードの中で仮想デバイスを作成することができます。後で作成することもできるので、ここではスキップします。
22 ©2013 Check Point Software Technologies Ltd.
VSX クラスタ作成ウィザード セキュリティ設定
23 ©2013 Check Point Software Technologies Ltd.
VSX クラスタ作成ウィザード 設定確認
24 ©2013 Check Point Software Technologies Ltd.
VSX クラスタ作成ウィザード VSX クラスタの作成完了
“Operation completed successfully”が出力されれば正常に構成されました。
25 ©2013 Check Point Software Technologies Ltd.
VSX クラスタ作成完了
VSX クラスタ・オブジェクトが作成されました。
26 ©2013 Check Point Software Technologies Ltd.
クラスタ・オブジェクトの確認(1)
VSX R76 で作成されています。
27 ©2013 Check Point Software Technologies Ltd.
クラスタ・オブジェクトの確認(2)
VSX クラスタのメンバが表示されます。
VSX クラスタのメンバの内部で利用されるIP
アドレスです。外部との通信には利用されません。
28 ©2013 Check Point Software Technologies Ltd.
クラスタ・オブジェクトの確認(3)
VSX クラスタはデフォルトでは HA 構成になります。VSLS を利用する場合は、CLI を
利用する必要があります。
29 ©2013 Check Point Software Technologies Ltd.
クラスタ・オブジェクトの確認(4)
30 ©2013 Check Point Software Technologies Ltd.
クラスタ・オブジェクトの確認(5)
31 ©2013 Check Point Software Technologies Ltd.
VSXの構成
本章では、以下の仮想スイッチ、仮想システムの構成手順に
ついて解説します
Mgmt
VLAN 2 VLAN 3
vs01 vs03
eth4
VLANトランク
VSW
eth3
Router
External
Virtual Switch
192.168.1.100 10.0.3.10 10.0.4.10
VLANスイッチ
192.168.100.100 10.0.2.10 10.0.2.11
wpj
wrp wrp
vs02
eth1
eth2
10.0.2.254 192.168.100.1
eth5
Mgmt
eth5
vsgw01
192.168.1.11
vsgw02
192.168.1.12
Standby機
32 ©2013 Check Point Software Technologies Ltd.
VSXの構成
vsgw01, vsgw02の仮想スイッチ、仮想システムは同一のものが構成されています
vsgw01 vsgw02
33 ©2013 Check Point Software Technologies Ltd.
vs01の追加(クラスタ)
物理インタフェースを2つ持つVSを作成します
Mgmt
VLAN 2 VLAN 3
vs01 vs03
eth4
VLANトランク
VSW
eth3
Router
External
Virtual Switch
192.168.1.100 10.0.3.10 10.0.4.10
VLANスイッチ
192.168.100.100 10.0.2.10 10.0.2.11
wpj
wrp wrp
vs02
eth1
eth2
10.0.2.254 192.168.100.1
eth5
Mgmt
eth5
vsgw01
192.168.1.11
vsgw02
192.168.1.12
Standby機
34 ©2013 Check Point Software Technologies Ltd.
vs01(クラスタ)の作成
VSX クラスタ・オブジェクトを右クリックし、[VSX] –
[Virtual System] を選択し、VS 作成ウィザードを開始します。
35 ©2013 Check Point Software Technologies Ltd.
データベースとポリシーの保存
仮想システムの設定を行う前にデータベースとポリシーの保存を必ず行っておきましょう
36 ©2013 Check Point Software Technologies Ltd.
VS クラスタ作成ウィザード クラスタ 名の指定
VSクラスタ名の名前と、作成する場所を指定します。
37 ©2013 Check Point Software Technologies Ltd.
VS 作成ウィザード eth1, eth2の割り当て
外部インタフェースにeth1、内部インタフェースにeth2
をしてします。指定するIPアドレスは、クラスタIPになります。デフォルト・ゲートウェイをしてします。
38 ©2013 Check Point Software Technologies Ltd.
VS 作成ウィザード 作成の完了
39 ©2013 Check Point Software Technologies Ltd.
vs01オブジェクト
新しい vs01 が
vsxcluster の中に作成されました。
通常のゲートウェイと同じように各種ソフトウェア・ブレードを利用可能です。
40 ©2013 Check Point Software Technologies Ltd.
vs01オブジェクト
クラスタのゲートウェイにvs01が構成されている事が確認できます
41 ©2013 Check Point Software Technologies Ltd.
vs01オブジェクト
ウィザードで指定したインタフェースが定義されています。
VS 固有のルーティング情報が定義されています。
42 ©2013 Check Point Software Technologies Ltd.
バーチャル・スイッチの追加(クラスタ)
バーチャル・スイッチを利用すると、1つの物理インタフェースを
複数のバーチャル・システムで共有することができます。
Mgmt
VLAN 2 VLAN 3
vs01 vs03
eth4
VLANトランク
VSW
eth3
Router
External
Virtual Switch
192.168.1.100 10.0.3.10 10.0.4.10
VLANスイッチ
192.168.100.100 10.0.2.10 10.0.2.11
wpj
wrp wrp
vs02
eth1
eth2
10.0.2.254 192.168.100.1
eth5
Mgmt
eth5
vsgw01
192.168.1.11
vsgw02
192.168.1.12
Standby機
43 ©2013 Check Point Software Technologies Ltd.
バーチャル・スイッチの作成
VSX クラスタ・オブジェクトを右クリックし、[VSX] –
[Virtual Switch] を選択し、バーチャル・スイッチ作成ウィザードを開始します。
44 ©2013 Check Point Software Technologies Ltd.
バーチャル・スイッチ作成ウィザード バーチャル・スイッチ名の指定
バーチャル・スイッチの名前を指定します。
45 ©2013 Check Point Software Technologies Ltd.
バーチャル・スイッチ作成ウィザード 対応する物理インタフェースの指定
[Add] をクリックして接続する物理インタフェースを指定します。
46 ©2013 Check Point Software Technologies Ltd.
バーチャル・スイッチ作成ウィザード インタフェース追加完了
eth3 が追加されていることを確認できます。
47 ©2013 Check Point Software Technologies Ltd.
バーチャル・スイッチ作成ウィザード 設定確認
48 ©2013 Check Point Software Technologies Ltd.
バーチャル・スイッチ作成ウィザード 作成完了
49 ©2013 Check Point Software Technologies Ltd.
vswオブジェクト
新しい vs01 が
vsxcluster の中に作成されました。
50 ©2013 Check Point Software Technologies Ltd.
vswオブジェクト
51 ©2013 Check Point Software Technologies Ltd.
VLANインタフェースの有効化
eth4にVLANインタフェースを構成します
Mgmt
VLAN 2 VLAN 3
vs01 vs03
eth4
VLANトランク
VSW
eth3
Router
External
Virtual Switch
192.168.1.100 10.0.3.10 10.0.4.10
VLANスイッチ
192.168.100.100 10.0.2.10 10.0.2.11
wpj
wrp wrp
vs02
eth1
eth2
10.0.2.254 192.168.100.1
eth5
Mgmt
eth5
vsgw01
192.168.1.11
vsgw02
192.168.1.12
Standby機
52 ©2013 Check Point Software Technologies Ltd.
VLAN を有効化
VSX ゲートウェイ/クラスタ・オブジェクトの
[Physical Interfaces] ページを開き、VLAN
を使用するインタフェースを選択します。
53 ©2013 Check Point Software Technologies Ltd.
データベースとポリシーの保存
データベースとポリシーの保存を行い、”Operation completed
successfully”が出力されれば、正常にトポロジー変更されました
54 ©2013 Check Point Software Technologies Ltd.
vs02, vs03の追加(クラスタ) vsw, VLANの連携
eth4にVLANインタフェースを構成します
Mgmt
VLAN 2 VLAN 3
vs01 vs03
eth4
VLANトランク
VSW
eth3
Router
External
Virtual Switch
192.168.1.100 10.0.3.10 10.0.4.10
VLANスイッチ
192.168.100.100 10.0.2.10 10.0.2.11
wpj
wrp wrp
vs02
eth1
eth2
10.0.2.254 192.168.100.1
eth5
Mgmt
eth5
vsgw01
192.168.1.11
vsgw02
192.168.1.12
Standby機
55 ©2013 Check Point Software Technologies Ltd.
vsの作成
VSX クラスタ・オブジェクトを右クリックし、[VSX] –
[Virtual System] を選択し、バーチャル・システム
作成ウィザードを開始します。
56 ©2013 Check Point Software Technologies Ltd.
VS 作成ウィザード vs02 名を指定
VS の名前を指定します。
Override Creation Templateにチェックをいれます。
57 ©2013 Check Point Software Technologies Ltd.
VS 作成ウィザード vsw へ接続
作成済みのバーチャル・スイッチへ接続します。
インタフェースに紐付く IP アドレスとネットマスクを指定します。 [Add] – [Lead to Virtual
Switch] を選択し、バー
チャルスイッチに接続します。
58 ©2013 Check Point Software Technologies Ltd.
VS 作成ウィザード VLAN インタフェースを追加
VLAN を有効化したインタフェースを選択し、タグを指定します。
VLAN に紐付く IP アドレスと
ネットマスクを指定します。
[Add] – [Regular] を選択し、VLAN (物理インタフェース)に接続します。
59 ©2013 Check Point Software Technologies Ltd.
VS 作成ウィザード ルーティング設定
デフォルト・ルートを指定します。
[Add Default Route] を選択し、
デフォルト・ルートを追加します。
60 ©2013 Check Point Software Technologies Ltd.
VS 作成ウィザード vs02最終構成
指定したインタフェースが追加されています。
バーチャル・スイッチへの接続するインタフェースには仮想インタフェースが使用されます。
(ウィザード中はテンポラリの名前)
指定したルーティングが追加されています。
61 ©2013 Check Point Software Technologies Ltd.
VS 作成ウィザード 設定確認
62 ©2013 Check Point Software Technologies Ltd.
VS 作成ウィザード 作成完了
63 ©2013 Check Point Software Technologies Ltd.
VS 作成ウィザード vs03 名を指定
vs02と同様の手順でvs03を構成します
VS の名前を指定します。
Override Creation Templateにチェックをいれます。
64 ©2013 Check Point Software Technologies Ltd.
VS 作成ウィザード vs03最終構成
指定したインタフェースが追加されています。
バーチャル・スイッチへの接続するインタフェースには仮想インタフェースが使用されます。
(ウィザード中はテンポラリの名前)
指定したルーティングが追加されています。
65 ©2013 Check Point Software Technologies Ltd.
vs03オブジェクト
66 ©2013 Check Point Software Technologies Ltd.
vs03オブジェクト
バーチャル・スイッチへ接続する仮想インタフェースは
“wrp256” になりました(システムが自動的に決定します)。
67 ©2013 Check Point Software Technologies Ltd.
ネットワーク・オブジェクトの作成
68 ©2013 Check Point Software Technologies Ltd.
ネットワーク・オブジェクトの作成
69 ©2013 Check Point Software Technologies Ltd.
ネットワーク・オブジェクトの作成
70 ©2013 Check Point Software Technologies Ltd.
ポリシーの作成
Install Onカラムでルールを適用するvs を決定します
71 ©2013 Check Point Software Technologies Ltd.
ポリシー・インストール
72 ©2013 Check Point Software Technologies Ltd.
アジェンダ
1 VSXの概要
VSXの設定 2
VSXの管理 3
VSXのリストア 4
73 ©2013 Check Point Software Technologies Ltd.
SmartView Tracker
ファイアウォールログのOriginを確認すると、仮想システムで
検出されている事が分かります
74 ©2013 Check Point Software Technologies Ltd.
SmartView Monitor
VSXのシステム構成を確認できます
75 ©2013 Check Point Software Technologies Ltd.
cphaprob statコマンド
Active, Standbyのクラスタ・メンバを確認できます
76 ©2013 Check Point Software Technologies Ltd.
VS IDの確認
VSXでは、各種コマンドを仮想システム単位で行います
fw vsx stat –vコマンドでVS IDを確認できます
77 ©2013 Check Point Software Technologies Ltd.
vsenv コマンド
各種コマンドを仮想システム単位で行うために、vsenvコマンドを使用します
vsenv <vsid>
– fw getifs
– 特定の仮想システムのインタフェースリスト表示
– fw tab -t connections
– 特定の仮想システムのコネクション情報
– fw monitor
– vsx内ネットワーク・パケットのキャプチャ
利用できる各種コマンドは、ドキュメントを参照ください
78 ©2013 Check Point Software Technologies Ltd.
fw monitorの例
79 ©2013 Check Point Software Technologies Ltd.
vsx_utilコマンド
様々な、VSXメンテナンス・タスクを実行します
管理サーバのエキスパート・モードから実行します
80 ©2013 Check Point Software Technologies Ltd.
vsx_util show_interfacesコマンドの例
81 ©2013 Check Point Software Technologies Ltd.
アジェンダ
1 VSXの概要
VSXの設定 2
VSXの管理 3
VSXのリストア 4
82 ©2013 Check Point Software Technologies Ltd.
VSXのリストア(1)
VSXクラスタの内部は仮想化されています
VSX内部の仮想化構成は管理サーバ上にすべて保存されています
VSXクラスタをリストアする場合は、管理サーバから仮想構成をプッシュすることでリストアできます
83 ©2013 Check Point Software Technologies Ltd.
VSXのリストア(2)
リストアしたいゲートウェイと管理サーバ間で、SICの通信が
可能な状態にしておきます
vsgw01の例
84 ©2013 Check Point Software Technologies Ltd.
VSXのリストア(3)
管理サーバのエキスパート・モードでvsx_util reconigure
コマンドを実行します
管理サーバのIPアドレスを指定します。管理サーバ上で実行中ですので、デフォルトの localhost
で確定します。
管理サーバの管理者ID、パスワードを入力します。
リストアしたいクラスタ・メンバを入力します。
85 ©2013 Check Point Software Technologies Ltd.
VSXのリストア(4)
リストアが完了したら、ゲートウェイのリブートを行います。
©2013 Check Point Software Technologies Ltd.
ありがとうございました!