ハイアベイラビリティ

重要 - スケーラブルなプラットフォーム(MaestroとChassis)はこの機能をサポートしていません。 Gaia オペレーティングシステム (既知の制限 MBS-2521)。

デュアルサイトで Maestroを設定するには、 R81.10 Quantum Maestro Administration Guide を参照してください。

デュアルシャーシでスケーラブルシャーシを設定するには、 R81.10 Quantum Scalable Chassis Administration Guide を参照してください。

VRRPについて

Virtual Routing Redundancy Protocol (VRRP) は、2 つの Gaia セキュリティゲートウェイが相互にバックアップを提供できるハイアベイラビリティソリューションです。Gaiaでは、VRRPを構成する方法として2つあります。

Monitored Circuit/Simplified VRRP - すべての VRRP インタフェースは、他の VRRP インタフェースを自動的に監視します。
Advanced VRRP- すべての VRRP インタフェースは、他のすべての VRRP インタフェースを監視するように明示的に構成する必要があります。

重要：

Gaia VRRP クラスタでは、スタンドアロン展開 (同じコンピュータ上の Security Gateway と Security Management Server) を持つことはできません。
Monitored Circuit/Simplified VRRP と Advanced VRRP を同じクラスタメンバで一緒に使用することはできません。

Virtual Router Redundancy Protocol (VRRP) は、障害が発生した場合に、あるルータから別のルータへの IP アドレスの動的フェイルオーバーを提供します。これにより、IP ネットワークでゲートウェイを選択することにより、ルーティングパスの可用性と信頼性が向上します。各 VRRP ルータには、仮想ルータ識別子 (VRID) と呼ばれる一意の識別子があり、少なくとも 1 つの仮想 IP アドレス (VIP) に関連付けられています。隣接するネットワークノードは、ルートのネクストホップまたは最終宛先として VIP に接続します。GaiaはRFC 3768で設定されているVRRPをサポートしています。

VRRP 用語

この章の概念情報と手順では、標準の VRRP 用語を使用しています。

この用語集には、基本的な VRRP 用語と、関連する Check Point ClusterXL 用語への参照が含まれています。

VRRP用語	ClusterXL 用語	定義
VRRPクラスタ	クラスタ	冗長性を提供する Security Gateway のグループ。
VRRP ルータ	メンバ	1 つ以上の仮想ルータのメンバである VRRP プロトコルを使用する Security Gateway。このガイドでは、VRRP ルータは一般に Security Gateway と呼ばれます。
マスタ	アクティブ	仮想ルータとの間のトラフィックを処理する Security Gateway (Security Gateway)。マスタは、グループ内で最高の優先度を持つ Security Gateway です。マスタはトラフィックを検査し、セキュリティポリシーを適用します。
バックアップ	スタンバイ	障害が発生した場合にマスタを引き継ぐために使用できる冗長 Security Gateway (Security Gateway)。
VRID	クラスタ名	一意の仮想ルータ識別子 VRID は、MAC アドレスの最後のバイトでもあります。
VIP	クラスタ仮想 IP アドレス	仮想ルータに割り当てられた仮想 IP アドレス。VIP は、内部および/または外部ネットワークリソースからルーティングできます。 VIP は、Gaia Portalではバックアップアドレスと呼ばれます。
VMAC	VMAC	仮想ルータに割り当てられた仮想 MAC アドレス。
VRRP 移行	フェイルオーバー	プライマリ Security Gateway に障害が発生したり使用できない場合に、バックアップ Security Gateway に自動的に切り替えます。このガイドでは、「フェイルオーバー」という用語が頻繁に使用されます。

Gaia OS 上の VRRP

Gaia では、ClusterXL を有効または無効にして VRRP を使用できます。

ClusterXL を使用した VRRP	説明
ClusterXL が有効なVRRP	これは最も一般的な使用例です。アクティブ/バックアップ環境のみを導入できます。 VRRP は、インタフェースごとに 1 つの仮想 IP アドレス (VIP) を持つ最大 1 つの VRID をサポートします。同じノードがすべての VRID の VRRP マスタになるように、VRRP を構成する必要があります。したがって、他のすべての VRRP 対応インタフェースを監視するように各 VRID を構成する必要があります。インタフェース上のいずれかの VRID がフェールオーバーしたときに、VRRP バックアップノードへのフェールオーバーを許可する優先度デルタも構成する必要があります。
ClusterXL を無効にした VRRP	アクティブ/アクティブ環境を展開できます。 VRID ごとに 1 つの VIP を使用して、同じインタフェースに 2 つの VRID を構成できます。この構成は、VRRP インタフェースで静的ルートのみをサポートします。 VRRP monitoring of the Check Point Firewallを無効にする必要があります(VRRP クラスタの準備を参照)。

ClusterXL を使用した VRRP

説明

ClusterXL が有効なVRRP

これは最も一般的な使用例です。

アクティブ/バックアップ環境のみを導入できます。

VRRP は、インタフェースごとに 1 つの仮想 IP アドレス (VIP) を持つ最大 1 つの VRID をサポートします。

同じノードがすべての VRID の VRRP マスタになるように、VRRP を構成する必要があります。したがって、他のすべての VRRP 対応インタフェースを監視するように各 VRID を構成する必要があります。

インタフェース上のいずれかの VRID がフェールオーバーしたときに、VRRP バックアップノードへのフェールオーバーを許可する 優先度デルタ も構成する必要があります。

ClusterXL を無効にした VRRP

アクティブ/アクティブ環境を展開できます。

VRID ごとに 1 つの VIP を使用して、同じインタフェースに 2 つの VRID を構成できます。

この構成は、VRRP インタフェースで静的ルートのみをサポートします。

VRRP monitoring of the Check Point Firewallを無効にする必要があります(VRRP クラスタの準備を参照)。

VRRP 設定方法

VRRPメソッド	説明
Monitored Circuit/Simplified VRRP	この簡略化された VRRP メソッドを構成するには、Gaia PortalでHigh Availability > VRRPに移動します。このメソッドにはすべての基本パラメータが含まれており、ほとんどの環境に適用できます。各仮想ルータを 1 つのユニットとして構成し、すべてのインタフェースで同じ VRID を構成します。監視回線 VRRP は、すべての VRRP インタフェースを自動的に監視します。これにより、完全なノードのフェイルオーバーが可能になります。すべての VRRP インタフェースに自動的に追加される VRID を 1 つだけ設定できます。 VRRPが有効なインタフェースのいずれかでVRIDに障害が発生した場合、VRRP バックアップノードが新しいVRRPマスタとして引き継ぐことができるように、他の VRRP が有効なインタフェースで設定された優先度デルタが減らされます。
Advanced VRRP	この高度な VRRP メソッドを設定するには、Gaia Portalで High Availability > Advanced VRRPに移動します。この方法では、さまざまなインタフェースでさまざまな VRID を構成できます。各インタフェースで個別にVRIDを設定します。さらに、VRRP 対応の各インタフェースは、適切な優先度デルタと共に各 VRID によって監視される必要があります。これにより、1 つのインタフェースに障害が発生した場合に、他のすべての VRID が VRRP バックアップ状態に移行できるようになります。 ClusterXLが有効になっている場合は、各 VRID を設定して、他のすべての VRRP インタフェースを監視する必要があります。完全なノードフェイルオーバーを可能にする優先度デルタも設定する必要があります。高度な VRRP は、VRID が VRRP を実行していないインタフェースを監視することも可能にします。 ClusterXL を無効にすると、各インタフェースに 2 つの VRID を設定でき、VRID ごとに 1 つの VIP を使用できます。

VRRPメソッド

説明

Monitored Circuit/Simplified VRRP

この簡略化された VRRP メソッドを構成するには、Gaia PortalでHigh Availability > VRRPに移動します。

このメソッドにはすべての基本パラメータが含まれており、ほとんどの環境に適用できます。

各仮想ルータを 1 つのユニットとして構成し、すべてのインタフェースで同じ VRID を構成します。

監視回線 VRRP は、すべての VRRP インタフェースを自動的に監視します。これにより、完全なノードのフェイルオーバーが可能になります。

すべての VRRP インタフェースに自動的に追加される VRID を 1 つだけ設定できます。

VRRPが有効なインタフェースのいずれかでVRIDに障害が発生した場合、VRRP バックアップノードが新しいVRRPマスタとして引き継ぐことができるように、他の VRRP が有効なインタフェースで設定された優先度デルタが減らされます。

Advanced VRRP

この高度な VRRP メソッドを設定するには、Gaia Portalで High Availability > Advanced VRRPに移動します。

この方法では、さまざまなインタフェースでさまざまな VRID を構成できます。

各インタフェースで個別にVRIDを設定します。さらに、VRRP 対応の各インタフェースは、適切な優先度デルタと共に各 VRID によって監視される必要があります。これにより、1 つのインタフェースに障害が発生した場合に、他のすべての VRID が VRRP バックアップ状態に移行できるようになります。

ClusterXLが有効になっている場合は、各 VRID を設定して、他のすべての VRRP インタフェースを監視する必要があります。
完全なノードフェイルオーバーを可能にする優先度デルタも設定する必要があります。
高度な VRRP は、VRID が VRRP を実行していないインタフェースを監視することも可能にします。
ClusterXL を無効にすると、各インタフェースに 2 つの VRID を設定でき、VRID ごとに 1 つの VIP を使用できます。

VRRPインタフェースの監視

すべての VRID によるすべての VRRP 対応インタフェースの監視は、非対称ルートでの接続の問題を回避するために重要です。

たとえば、外部インタフェースに障害が発生した場合、VRRPマスタは外部仮想ルータに対してのみフェールオーバーします。内部仮想ルータの VRRP マスタはフェイルオーバーしません。これにより、内部仮想ルータがトラフィックを受け入れ、新しい外部 VRRP マスタに接続できない場合に、接続の問題が発生する可能性があります。

移行中の非対称の問題を回避するためのもう 1 つのツールは、VRRP インタフェースの遅延 設定です。VRRP の Preempt Mode をオフにした場合に設定します。この VRRP グローバル設定は、優先度の高い VRRP ノードが再起動されたときに役立ちますが、トラフィックを処理する既存の VRRP マスタをプリエンプトしてはならず、優先度が低く設定されています。起動したインタフェースが、受信した VRRP Hello パケットを処理するのに VRRP タイムアウトよりも時間がかかる場合があります。インタフェースの遅延により、VRRP が既存の VRRP マスタから VRRP Hello パケットを受信するまで待機する時間が長くなります。

VRRP フェイルオーバーの仕組み

各仮想ルータ (VRRP グループ) は、一意の 仮想ルータ ID(VRID) によって識別されます。

仮想ルータには、1 つの VRRP マスタ セキュリティゲートウェイと少なくとも 1 つの VRRP バックアップ セキュリティゲートウェイが含まれます。

VRRP マスタは、定期的な VRRP アドバタイズメント (VRRPHello メッセージと呼ばれる) を VRRP バックアップセキュリティゲートウェイに送信します。

VRRP アドバタイズメントは、VRRP マスタの動作ステータスを VRRP バックアップにブロードキャストします。

Gaia は動的ルーティングプロトコルを使用して、仮想ルータの VIP (仮想 IP アドレスまたはバックアップ IP アドレス) をアドバタイズします。

注:

Gaia は、VRRP グループで終了する VPN トンネルで OSPF をサポートします。
アクティブ/バックアップ VRRP 環境は、ClusterXL が有効な状態でサポートされます。
ClusterXL が無効になっている場合は、アクティブ/アクティブ環境を展開できます。
アクティブ/アクティブ VRRP 環境は、静的ルートのみをサポートします。さらに、VRRP による Check Point Firewall の監視を無効にする必要があります。

VRRP マスタに障害が発生した場合、またはその VRRP 対応インタフェースに障害が発生した場合、VRRP は優先アルゴリズムを使用して、VRRP バックアップへのフェイルオーバーが必要かどうかを決定します。最初に、VRRP マスタは、設定された優先順位の値が最も高い Security Gateway です。仮想ルータを作成するとき、またはその設定を変更するときに、各 Security Gateway の優先順位を設定します。2 つの VRRP セキュリティゲートウェイの優先度が同じ場合、オンラインになり、VRRP アドバタイズメントを最初にブロードキャストするプラットフォームが VRRP マスタになります。

Gaia は優先度を使用して、フェイルオーバー時に VRRP バックアップセキュリティゲートウェイを選択します (複数の VRRP バックアップが利用可能な場合)。フェールオーバーが発生した場合、仮想ルータの優先度の値は、 有効な優先度 の値を計算するために、事前定義された 優先度デルタ 値だけ減少します。実効優先度が最も高い仮想ルータが、新しい VRRP マスタになります。Priority Delta 値は、仮想ルータを構成するときに構成する Check Point 独自のパラメータです。システムを正しく設定すると、有効な優先度は、他の仮想ルータの VRRP バックアップセキュリティゲートウェイの優先度よりも低くなります。これにより、問題のある VRRP マスタが他の仮想ルータに対してもフェイルオーバーします。

注 - 現在の VRRP マスタと VRRP バックアップの実効優先度が同じ場合、最も高い IP アドレスを持つ Security Gateway が VRRP マスタになります。

一般的な VRRP の使用例

これらは VRRP 環境の例です。

VRRP 使用例1 - 内部ネットワークのハイアベイラビリティ

これは、Security Gateway 1 が VRRP マスタであり、Security Gateway 2 が VRRP バックアップである単純な VRRP 使用例です。

仮想ルータの冗長性は、内部ネットワークとの間の接続でのみ使用できます。

外部ネットワークトラフィックの冗長性はありません。

項目	説明
1	VRRP マスタセキュリティゲートウェイ
2	VRRP バックアップセキュリティゲートウェイ
3	仮想ルータ VRID 5 - 仮想 IP アドレス (バックアップアドレス) は 192.168.2.5
4	内部ネットワークとホスト

VRRP 使用例2 - 内部および外部ネットワークのハイアベイラビリティ

この使用例は、内部接続と外部接続に冗長性がある環境の例を示しています。

ここでは、内部接続用と外部接続用の 2 つの Security Gateway に仮想ルータを使用できます。

内部インタフェースと外部インタフェースは、異なるサブネット上にある必要があります。

1 つの Security Gateway を VRRP マスタとして設定し、1 つの Security Gateway を VRRP バックアップとして設定します。

項目	説明
1	仮想ルータ VRID 5 - 外部仮想 IP アドレス (バックアップアドレス) は 192.168.2.5
2	VRRP マスタセキュリティゲートウェイ
3	VRRP バックアップセキュリティゲートウェイ
4	仮想ルータ VRID 5 - 内部仮想 IP アドレス (バックアップアドレス) は 192.168.3.5
5	内部ネットワークとホスト

VRRP 使用例3 - 内部ネットワークの負荷分散

この使用例は、内部ネットワークトラフィックのアクティブ/アクティブ負荷分散環境の例を示しています。

この環境は、負荷分散と完全な冗長性を提供します。

この構成は、ClusterXL が無効になっている場合にサポートされます。静的ルートのみがサポートされています。

VRRP による Check Point Firewall の監視は無効にする必要があります (デフォルトで有効になっています)。

インタフェースごとに最大 2 つの VRID がサポートされます。

Security Gateway 1 は VRID 5 の VRRP マスタであり、Security Gateway 2 は VRRP バックアップです。

Security Gateway 2 は VRID 7 の VRRP マスタであり、Security Gateway 1 は VRRP バックアップです。

2 つの Security Gateway は、相互にバックアップするように設定されています。一方が失敗すると、もう一方がその VRID と IP アドレスを引き継ぎます。

項目	説明
1	VRID 5 の VRRP マスタセキュリティゲートウェイと VRID 7 の VRRP バックアップ
2	VRID 5 のバックアップ Security Gateway および NAT64 のマスタ
3	仮想ルータ、VRID 5 仮想 IP アドレス (バックアップアドレス) は 192.168.2.5
4	仮想ルータ、VRID 7 仮想 IP アドレス (バックアップアドレス) は 192.168.2.7
5	内部ネットワークとホスト

ハイ アベイラビリティ