VRRP クラスタの準備

重要 - スケーラブルなプラットフォーム(MaestroとChassis)はこの機能をサポートしていません。 (既知の制限 MBS-2521)。

ネットワークスイッチの設定

ベストプラクティス - Check Point VRRP クラスタに接続されたCisco スイッチでスパニングツリープロトコルを使用する場合は、PortFast を有効にすることをお勧めします。インタフェースをスパニングツリー転送状態に設定し、標準の転送時間間隔を待たないようにします。

別のベンダーのスイッチを使用する場合は、そのベンダーに同等の機能を使用することをお勧めします。PortFast などを使用せずにスパニングツリープロトコルを使用すると、VRRP フェイルオーバー中に遅延が発生する場合があります。

VRRP クラスタメンバの準備

ステップ

手順

1

VRRP クラスタメンバのインストール

R81.10 Installation and Upgrade Guide > ClusterXL、VSXクラスタ、VRRP クラスタの章 > VRRPクラスタのインストールのセクションを参照してください。

2

VRRP クラスタメンバのシステム時刻を同期します。

ベストプラクティス - すべてのSecurity Gateway でNTP (Network Time Protocol)を有効にします(時間を参照)。

また、各Security Gateway のタイムゾーンとタイムゾーンを手動で変更して、他のメンバと一致させることもできます。

この場合、数秒以内にメンバを同期する必要があります。

3

オプション:ホスト名とIP アドレスのペアを各Security Gateway のホストテーブルに追加します(ホストを参照)。

これにより、IP アドレスまたはDNS サーバの代わりにホスト名を使用できます。

4

仮想ルータの有効化:

  1. Webブラウザで、Gaia Portal に接続します:

    https://<IP address of Gaia Management Interface>

  2. ナビゲーションツリーで、High Availability > VRRPをクリックします。

  3. VRRP グローバル設定をします。

    以下の"VRRPのグローバル設定を参照してください。

  4. Disable All Virtual Routersオプションが現在選択されている場合は、クリアします。

  5. Apply Global Settingsをクリックします。

5

Gaia Portal またはGaia Clish で仮想ルータを設定します。

参照:

VRRPのグローバル設定

このセクションでは、すべての仮想ルータに適用されるグローバル設定の方法を示します。

ステップ

手順

1

ナビゲーションツリーで、次のいずれかをクリックします。

  • High Availability > VRRP

  • High Availability >Advanced VRRP

2

VRRP Global Settingsセクションで:

  • Cold Start Delay - Security Gateway が仮想ルータに参加するまでの遅延時間を秒単位で設定します。デフォルト = 0

  • Interface Delay - VRRP のプリエンプトモードがオフになったときに設定します。これは、優先度の高いVRRP ノードが再起動されたときに役立ちますが、トラフィックを処理しているが、優先度の低いVRRP マスタをプリエンプトしてはいけません。起動したインタフェースが、受信した VRRP Hello パケットを処理するのに VRRP タイムアウトよりも時間がかかる場合があります。インタフェースの遅延は、VRRPが既存のVRRPマスタからHelloパケットを受信するまでの待機時間を延長します。

  • Disable All Virtual Routers - このオプションを選択すると、このGaiaシステムで定義されたすべての仮想ルータが無効になります。このオプションをオフにすると、すべての仮想ルータが有効になります。デフォルトでは、すべての仮想ルータが有効になっています。

  • Monitor Firewall State - このオプションを選択すると、VRRP がSecurity Gateway を監視し、自動的に適切なアクションを実行できます。これはデフォルトで有効になっています。これは、ClusterXL を有効にしてVRRP を使用する場合に推奨される設定です。ClusterXL を無効にしてVRRP を使用する場合は、これを無効にする必要があります。

    重要 -Monitor Firewall Stateを無効にすると、VRRPはブートプロセスが完了する前にVRRPマスタステータスをSecurity Gatewayに割り当てることができます。これにより、仮想ルータ内の複数のSecurity Gateway がVRRP マスタステータスになる可能性があります。

3

Apply Global Settingsをクリックします。

コールドスタート遅延が完了すると、Gaiaはファイアウォールの監視を開始します。

このため、以下の問題が生じる可能性があります。

  • 仮想ルータ内のすべてのインタフェースに障害が発生すると、すべてのVRRPクラスタメンバがVRRPバックアップになります。

    VRRPクラスタメンバはVRRPマスタになることはできず、トラフィックは許可されません。

  • VRRP クラスタメンバのいずれかで時間を変更すると、VRRP フェイルオーバーが自動的に発生します。

  • 特定の状況では、ポリシーをインストールするとフェイルオーバーが発生します。

    これは、ポリシーのインストールに長い時間がかかる場合に発生する可能性があります。