アップリンクポートにVLANインタフェースを設定する場合

はじめに

R81.10 より、Check Point は Quantum Maestro Orchestrator のアップリンクポート Quantum Maestro Orchestratorのインタフェースで、外部および内部ネットワークに接続するために使用されます。Gaiaオペレーティングシステムは、Gaia PortalとGaia Clishでこれらのインタフェースを表示しています。SmartConsoleは、これらのインタフェースを対応するSMOセキュリティゲートウェイオブジェクトに表示します。に VLAN インタフェースを設定するためのメジャーな機能拡張を行いました。

• cのサポートするVLANインタフェースの数を増やしました。

  • アップリンクポートごとに制限なし。

  • VLANインタフェースの総サポート数は9000です（詳細は後述）。

• アップリンクポートですべてのディストリビューションモードに対応しました。

  一般＋レイヤ4配信のみではなく、すべてのVLANインタフェースを使用することができます（sk165172を参照）。

• アップリンクポートで特定のVLANインタフェースしか許可していない場合でも，アップリンクポートの各VLANインタフェースではすべての配信モードに対応しています。

• OrchestratorにVLANインタフェースを設定する必要がなくなりました。

  ワークフロー:

  1. 物理インタフェース（例：eth1-05）を該当する Security Group に割り当てます。

  2. Security Group上の物理インタフェース（例：eth1-05）またはVLANインタフェース（例：eth1-05.100）に、該当するIPアドレスを設定する。

  3. SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で：

     1. このセキュリティグループ アクティブ/アクティブクラスタ機能を提供するセキュリティアプライアンスの論理グループ。セキュリティグループには 1 つ以上のセキュリティアプライアンスを含めることができます。セキュリティグループは、互いに別々に独立して機能します。本番ネットワークには、セキュリティグループが1つのセキュリティゲートウェイとして表示されます。すべてのセキュリティグループには以下が含まれます。(A) 本番ネットワークが接続されているアップリンクポート、(B) セキュリティアプライアンス（ダウンリンクポートは Quantum Maestro Orchestrator が自動的に決定）、(C) Check Point Management Server が接続されている管理用ポート。のセキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。オブジェクトを開く。

     2. 左のツリーでNetwork Managementページ をクリックします。

     3. Get Interfaces > Get Interfaces Without Topology > クリックAccept.

     4. 各インタフェースのトポロジーの設定を行います。

     5. このSecurity Gatewayオブジェクトにアクセスコントロールポリシーをインストールします。

  Security Groupのインタフェースの設定に変更があった場合（例えば、VLANインタフェースや配信モードなど）、Security Groupは自動的にこれらの変更をOrchestratorに送信します。セキュリティグループは、ポリシーのインストールまたはGaia gClish Check Point Quantum Maestro Orchestrator に接続されているセキュリティアプライアンス用の Check Point Gaia オペレーティングシステムのグローバルコマンドラインシェルの名前。このシェルで実行するコマンドは、セキュリティグループ内のすべてのセキュリティアプライアンスに適用されます。の手動変更後に行います。

Gaia PortalでアップリンクポートのVLANインタフェースを表示する

例1

ポート ポート1/3/1(eth1-05) ツールチップを表示します。 ポートVLAN。タグなし, すべて 説明する。 Orchestratorは、Orchestratorポート1/3/1（eth1-05）に到着したすべてのタグなしパケットとすべてのタグ付きパケットをセキュリティグループ1へ転送します。 これは、すべての VLAN インタフェースを許可するように設定された VLAN Trunk インタフェースと同様です。

例2

ポート ポート1/20/1（eth1-20） ツールチップを表示します。 ポートVLAN。3-4, 6, 34 説明する。 Orchestratorのポート1/20/1（eth1-20）に到着したVLANタグ3-4、6、34のパケットのみをセキュリティグループ4へ転送します。 これは、VLAN 3-4、6、34 を許可するように設定された VLAN Trunk インタフェースと同様です。

Gaia ClishでアップリンクポートのVLANインタフェースを表示する

オーケストレーターで 4000 以上の VLAN インタフェースを設定する

Orchestrator上に〜4000以上のVLANインタフェースを設定する必要がある場合、Orchestrator上の物理インタフェースは、すべてのタグなしパケットおよびすべてのタグ付きパケットをSecurity Groupに転送するVLANトランクインタフェースとして設定することをお勧めします。これにより、内部での自動最適化が可能になります。

VLANトランクインタフェースがすべてのタグ付きパケットとすべてのタグなしパケットを転送するためには、次の条件を満たす必要があります。

• VLAN Trunkモードが有効であること（VLAN Trunkモードを有効にする方法については、前述を参照してください）。

• 特定の物理インタフェース上のすべてのVLANインタフェースの配信モードは同じでなければなりません（このVLAN最適化はOrchestratorポートごとに行われるため）。

  例

  オーケストレーター上の物理インタフェース - eth1-20

  VLANインタフェース - eth1-20.33、eth1-20.44、eth1-20.55、eth1-20.66

  これら4つのVLANインタフェースは、それぞれ同じディストリビューションモードである必要があります。

  この特定のベースインタフェース（eth1-20）のVLANインタフェースのうち，1つ以上が他のVLANインタフェースと異なる分布をしている場合，内部の自動最適化は無効となります。これは、VLANインタフェースの総サポート数に制限があるため、設計の一部となっています。

  例えば、eth1-20.55の配信モードが異なる場合、OrchestratorはVLANタグ33、44、66のパケットのみを該当するSecurity Groupに転送します。

  上記の場合、自動最適化が行われます（eth1-20のタグ付き、タグなしパケットをすべて許可します）。したがって、この最適化されたインタフェースは、このOrchestratorでサポートされる合計9000のVLANインタフェースのうち、1つのVLANインタフェースとしてのみみなされます。

  つまり、この最適化が行われると、サポートされるVLANインタフェースの合計の制限なしに、すべてのOrchestratorインタフェースでVLANの全範囲を使用できるようになります。

VLAN Trunkモードを有効にする。