アップリンクポートにVLANインタフェースを設定する場合
はじめに
R81.10 より、Check Point は Quantum Maestro Orchestrator のアップリンクポート Quantum Maestro Orchestratorのインタフェースで、外部および内部ネットワークに接続するために使用されます。Gaiaオペレーティングシステムは、Gaia PortalとGaia Clishでこれらのインタフェースを表示しています。SmartConsoleは、これらのインタフェースを対応するSMOセキュリティゲートウェイオブジェクトに表示します。に VLAN インタフェースを設定するためのメジャーな機能拡張を行いました。
-
cのサポートするVLANインタフェースの数を増やしました。
-
アップリンクポートごとに制限なし。
-
VLANインタフェースの総サポート数は9000です(詳細は後述)。
-
-
アップリンクポートですべてのディストリビューションモードに対応しました。
一般+レイヤ4配信のみではなく、すべてのVLANインタフェースを使用することができます(sk165172を参照)。
-
アップリンクポートで特定のVLANインタフェースしか許可していない場合でも,アップリンクポートの各VLANインタフェースではすべての配信モードに対応しています。
-
OrchestratorにVLANインタフェースを設定する必要がなくなりました。
ワークフロー:
-
物理インタフェース(例:eth1-05)を該当する Security Group に割り当てます。
-
Security Group上の物理インタフェース(例:eth1-05)またはVLANインタフェース(例:eth1-05.100)に、該当するIPアドレスを設定する。
-
-
このセキュリティグループ
アクティブ/アクティブクラスタ機能を提供するセキュリティアプライアンスの論理グループ。セキュリティグループには 1 つ以上のセキュリティアプライアンスを含めることができます。セキュリティグループは、互いに別々に独立して機能します。本番ネットワークには、セキュリティグループが1つのセキュリティゲートウェイとして表示されます。すべてのセキュリティグループには以下が含まれます。(A) 本番ネットワークが接続されているアップリンクポート、(B) セキュリティアプライアンス(ダウンリンクポートは Quantum Maestro Orchestrator が自動的に決定)、(C) Check Point Management Server が接続されている管理用ポート。のセキュリティゲートウェイ
Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。オブジェクトを開く。
-
左のツリーでNetwork Managementページ をクリックします。
-
Get Interfaces > Get Interfaces Without Topology > クリックAccept.
-
各インタフェースのトポロジーの設定を行います。
-
このSecurity Gatewayオブジェクトにアクセスコントロールポリシーをインストールします。
-
Security Groupのインタフェースの設定に変更があった場合(例えば、VLANインタフェースや配信モードなど)、Security Groupは自動的にこれらの変更をOrchestratorに送信します。セキュリティグループは、ポリシーのインストールまたはGaia gClish
Check Point Quantum Maestro Orchestrator に接続されているセキュリティアプライアンス用の Check Point Gaia オペレーティングシステムのグローバルコマンドラインシェルの名前。このシェルで実行するコマンドは、セキュリティグループ内のすべてのセキュリティアプライアンスに適用されます。の手動変更後に行います。
-
Gaia PortalでアップリンクポートのVLANインタフェースを表示する
ステップ |
手順 |
---|---|
1 |
Orchestrator ページのTopology セクションで、Security Groups を展開します。 |
2 |
Security Groupを展開する。 |
3 |
Interfaces を拡大する。 |
4 |
マウスカーソルをインタフェースに乗せる。 VLANの情報がツールチップに表示されます。 |
|
注 - Dual Siteの展開で、Security Groupにどちらかのサイト(例えばSite 2)にしかないSecurity Applianceが含まれている場合、VLANインタフェースを示すツールチップは、Security Applianceと同じサイトにあるOrchestrator(Site 2など)のGaia Portal |

|
ポート
ツールチップを表示します。
説明する。
|

|
ポート
ツールチップを表示します。
説明する。
|
Gaia ClishでアップリンクポートのVLANインタフェースを表示する
構文
|
パラメータ
パラメータ |
説明 |
---|---|
|
セキュリティグループのIDを指定します。 既存のIDを表示するには、Tab キーを押してください。 |
オーケストレーターで 4000 以上の VLAN インタフェースを設定する
Orchestrator上に〜4000以上のVLANインタフェースを設定する必要がある場合、Orchestrator上の物理インタフェースは、すべてのタグなしパケットおよびすべてのタグ付きパケットをSecurity Groupに転送するVLANトランクインタフェースとして設定することをお勧めします。これにより、内部での自動最適化が可能になります。
VLANトランクインタフェースがすべてのタグ付きパケットとすべてのタグなしパケットを転送するためには、次の条件を満たす必要があります。
-
VLAN Trunkモードが有効であること(VLAN Trunkモードを有効にする方法については、前述を参照してください)。
-
特定の物理インタフェース上のすべてのVLANインタフェースの配信モードは同じでなければなりません(このVLAN最適化はOrchestratorポートごとに行われるため)。
例
オーケストレーター上の物理インタフェース - eth1-20
VLANインタフェース - eth1-20.33、eth1-20.44、eth1-20.55、eth1-20.66
これら4つのVLANインタフェースは、それぞれ同じディストリビューションモードである必要があります。
この特定のベースインタフェース(eth1-20)のVLANインタフェースのうち,1つ以上が他のVLANインタフェースと異なる分布をしている場合,内部の自動最適化は無効となります。これは、VLANインタフェースの総サポート数に制限があるため、設計の一部となっています。
例えば、eth1-20.55の配信モードが異なる場合、OrchestratorはVLANタグ33、44、66のパケットのみを該当するSecurity Groupに転送します。
上記の場合、自動最適化が行われます(eth1-20のタグ付き、タグなしパケットをすべて許可します)。したがって、この最適化されたインタフェースは、このOrchestratorでサポートされる合計9000のVLANインタフェースのうち、1つのVLANインタフェースとしてのみみなされます。
つまり、この最適化が行われると、サポートされるVLANインタフェースの合計の制限なしに、すべてのOrchestratorインタフェースでVLANの全範囲を使用できるようになります。
VLAN Trunkモードを有効にする。
|
警告
|
ステップ |
手順 |
|
---|---|---|
1 |
オーケストレーターの1つでコマンドラインに接続します。 |
|
2 |
||
3 |
VLAN Trunk モードを有効にします。
|
|
4 |
VLAN Trunk モードの状態を調べます。
|
|
5 |
Maestro daemonを再起動する。
|