セキュリティグループメンバのウェイトを設定する

:このセクションは、ハードウェアモニタに関連するセキュリティグループのハイアベイラビリティを設定する混同しないように注意してください。

はじめに

R81.10以降では、異なるモデルのセキュリティアプライアンス(アプライアンスモデルの混在)を同じセキュリティグループ閉じた アクティブ/アクティブクラスタ機能を提供するセキュリティアプライアンスの論理グループ。セキュリティグループには 1 つ以上のセキュリティアプライアンスを含めることができます。セキュリティグループは、互いに別々に独立して機能します。本番ネットワークには、セキュリティグループが1つのセキュリティゲートウェイとして表示されます。すべてのセキュリティグループには以下が含まれます。(A) 本番ネットワークが接続されているアップリンクポート、(B) セキュリティアプライアンス(ダウンリンクポートは Quantum Maestro Orchestrator が自動的に決定)、(C) Check Point Management Server が接続されている管理用ポート。に割り当てることができます -sk162373を参照してください。

すべてのセキュリティグループメンバにできるだけ均等に負荷がかかるようにするために、セキュリティグループメンバに相対的な重みを設定することができます。

その結果、この相対的な重みに応じて、セキュリティグループメンバ間でトラフィックが分配される。

制限事項

セキュリティグループメンバウェイトのベストプラクティス

  • CPUパワーが大きく異なるセキュリティアプライアンスモデルを、同じセキュリ ティグループに割り当てないでください。

  • デュアルサイトでは、各サイトの同じセキュリティグループメンバに対して、同じセキュリティアプライアンスモデルを使用します。

    例:

    • サイト1のID1を持つセキュリティグループメンバ(1_1)とサイト2のID1を持つセキュリティグループメンバ(2_1)は同じである必要があります。

    • サイト1のIDが2のセキュリティグループメンバ(1_2)とサイト2のIDが2のセキュリティグループメンバ(2_2)は同じである必要があります。

  • 同じSecurity Groupに異なるモデルのSecurity Applianceを割り当てた場合、すべてのSecurity Groupメンバは同じ数のCoreXL閉じた マルチコア処理プラットフォーム上のセキュリティゲートウェイのパフォーマンス向上テクノロジー。複数のCheck Point Firewallインスタンスが、複数のCPUコアで並行して実行されています。 Firewallインスタンス(fw_worker )を持っています。

    デフォルトでは、CoreXL Firewallインスタンスの数は、SMOセキュリティグループメンバに応じて設定されます。

    Security Groupに含まれるCoreXL Firewallインスタンスの最大数は、この数を超えないようにすることをお勧めします。

    2 x (Number of CPU cores on the weakest Security Group Member)

セキュリティグループメンバの重みの計算

各セキュリティグループメンバのデフォルトの重み。

    Number of CPU Cores on this Security Group Member

--------------------------------------------------------- x 100%

 Total Number of CPU Cores on all Security Group Members

セキュリティグループメンバのカスタムウェイト。

    Local Weight of this Security Group Member

-------------------------------------------------- x 100%

 Sum of all Weights of all Security Group Members

M1、M2、M3 という 3 人のセキュリティグループメンバを持つセキュリティグループの例。

必要なトラフィックアサイン

コンフィギュレーションワークフロー

M3 - 15%

M2 - 15%

M1 - 70%

M3 - 0から512の間の番号を割り当てます。

M2 - M3に割り当てたのと同じ番号を割り当てます。

M1 - M2 / M3 に割り当てられた番号の7倍の番号を割り当てる。

M3 - 10%

M2 - 10%

M1 - 80%

M3 - 0から512の間で同じ番号を割り当てます。

M2 - M3に割り当てたのと同じ番号を割り当てます。

M1 - M2 / M3 に割り当てられた番号の 8 倍の番号を割り当てる。

M3 - 10%

M2 - 20%

M1 - 70%

M3 - 0から512の間の番号を割り当てます。

M2 - M3に割り当てられた数値の2倍の数値を割り当てる。

M1 - M3に割り当てられた数値の7倍の数値を割り当てる。

セキュリティグループメンバの重みを設定する

ステップ

手順

1

Security Groupでコマンドラインに接続します。

2

デフォルトのシェルが/etc/bash (Expert mode)の場合、Gaia gClishにアクセスしてください。

gclish

3

必要な重量を設定する。

set smo security-group sgm-weight id <SGM IDs> weight {default | 0-512}

4

新しいコンフィギュレーションを適用します。

set smo security-group sgm-weight apply

重要- 計算の結果、一部の接続がセキュリティグループメンバ間で移動する可能性があります。

パラメータ:

パラメータ

説明

sgm-weight id <SGM IDs>

<SGM IDs>で指定されたセキュリティグループメンバに適用されます。

<SGM IDs>には:

  • <SGM IDs>が指定されていない、またはall

    すべてのセキュリティグループメンバとすべてのMaestroサイトに適用されます。

  • 1セキュリティグループメンバ(例:1_1)

  • カンマで区切られたセキュリティグループメンバのリスト(例: 1_1,1_4

  • セキュリティグループメンバの範囲(例: 1_1-1_4

  • Dual Siteの場合、1つのMaestro Site (chassis1, orchassis2)。

  • Dual Siteでは、Active Maestro Site(chassis_active)。

weight {default | 0-512}

重さを指定する。

セキュリティグループメンバの重みをモニタする

ステップ

手順

1

Security Groupでコマンドラインに接続します。

2

デフォルトのシェルが/etc/bash (Expert mode)の場合、Gaia gClishにアクセスしてください。

gclish

3

ウェイトを調べる。

show smo security-group sgm-weight <SGM IDs>

例 1:

[Global] HostName-ch01-01> show smo security-group sgm-weight all
SGM weights are:
1_01: 8 (33.33%)
1_02: 16 (66.67%)
[Global] HostName-ch01-01>

例 2:

[Global] HostName-ch01-01> show smo security-group sgm-weight 1_2
SGM 1_2 weight is: 16 (66.67%)
[Global] HostName-ch01-01>