配信モードでの作業

バックグラウンド

Quantum Maestro Orchestrator は、受信トラフィックを各 Security Group 内の Security Group Members に割り当てるために Distribution Mode を使用します。

デフォルトでは、Quantum Maestro Orchestratorは自動的にDistribution Modeを設定します。

対応配信モード

モード

手順

適用先

ユーザ

(社内)

パケットは、パケットの宛先IPアドレスに基づいて、セキュリティグループ閉じた アクティブ/アクティブクラスタ機能を提供するセキュリティアプライアンスの論理グループ。セキュリティグループには 1 つ以上のセキュリティアプライアンスを含めることができます。セキュリティグループは、互いに別々に独立して機能します。本番ネットワークには、セキュリティグループが1つのセキュリティゲートウェイとして表示されます。すべてのセキュリティグループには以下が含まれます。(A) 本番ネットワークが接続されているアップリンクポート、(B) セキュリティアプライアンス(ダウンリンクポートは Quantum Maestro Orchestrator が自動的に決定)、(C) Check Point Management Server が接続されている管理用ポート。メンバに割り当てられます。

レイヤー4配信が有効な場合、Quantum Maestro Orchestratorは、パケットのソースポートとデスティネーションIPアドレスに基づいて、セキュリティグループメンバにパケットを割り当てます。

SSM1台

ネットワーク

(外部)

パケットは、パケットの送信元IPアドレスに基づいて、セキュリティグループメンバに割り当てられます。

レイヤー4配信が有効な場合、Quantum MaestroOrchestratorは、パケットのソースIPアドレスとデスティネーションポートに基づいて、セキュリティグループメンバにパケットを割り当てます。

SSM1台

一般

Quantum MaestroOrchestratorは、パケットのソースIPアドレスとデスティネーションIPアドレスに基づき、セキュリティグループメンバにパケットを割り当てます。

レイヤー4配信が有効な場合、Quantum MaestroOrchestratorは、パケットのソースIPアドレス、ソースポート、デスティネーションIPアドレス、デスティネーションポートに基づき、セキュリティグループメンバにパケットを割り当てます。

シャーシ内の全SSM閉じた セキュリティグループとの間のネットワークトラフィックのフローを管理するQuantum Maestro Orchestrator (SSM) の役割。

オートトポロジー

(ポート毎)

セキュリティグループメンバの各ポートは、ユーザモードまたはネットワークモードで別々に設定されます。

SSMデータインタフェース

注:

  • デフォルトでは、Auto-Topology((Per-Port))モードで、レイヤ4ディストリビューションが有効になっています。

  • ユーザ((内部) モードとネットワーク(外部))モードは連動可能です。

    対応する組み合わせは

    • ユーザモードとユーザモード

    • ユーザモードとネットワークモード

    • ネットワークモードとネットワークモード

    多くのシナリオで、ユーザモードとネットワークモードの組み合わせを最適化し、2つの側から同じセキュリティグループメンバを経由してトラフィックを渡すことが可能です。

自動配信設定(オートトポロジ)

デフォルトでは、セキュリティグループは一般モードで動作します。

最適な配信モードは、SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。のSecurity Gatewayオブジェクトで定義されたセキュリティグループのトポロジーを基に選択されます。

ディストリビューションモードは、これらのインタフェースの種類に応じて自動的に設定されます。

  • 管理・同期用インタフェースを除く物理インタフェース

  • VLAN

  • ボンディング

  • Bondの上にVLAN

手動配信設定(手動-一般)

一部の展開では、配布モードを手動で一般に設定する必要があります。

それ以外の場合は、強制的に一般モードで動作させる必要がある場合があります。

手動で配信モードを設定した場合(Manual-GeneralMode)、各SSMの配信モードはGeneralになります。

この構成では、インターフェイスのトポロジは関係ありません。

ベストプラクティス- 仮想システムの配布モードは手動で変更しないでください。性能劣化の原因となります。

ディストリビューション構成を設定・表示する(set distribution configuration)

Security Groupに対して、以下のGaia gClish閉じた Check Point Quantum Maestro Orchestrator に接続されているセキュリティアプライアンス用の Check Point Gaia オペレーティングシステムのグローバルコマンドラインシェルの名前。このシェルで実行するコマンドは、セキュリティグループ内のすべてのセキュリティアプライアンスに適用されます。コマンドを使用して、ディストリビューション構成を設定および表示します。

重要- Security GroupがVSX閉じた 仮想システム拡張。Check Point Security Gatewayおよびその他のネットワークデバイスの仮想抽象化を備えたコンピュータまたはクラスタでホストされるCheckPoint仮想ネットワークソリューション。これらの仮想デバイスは、物理的な対応デバイスと同じ機能を提供します。モードで動作している場合、VS0のコンテキストでのみコマンドを実行します。コマンドはすべての仮想システムですぐに適用されます。

ディストリビューション構成を表示するための構文

show distribution configuration

ディストリビューション構成を設定するための構文

set distribution configuration {auto-topology | manual-general} ip-version {ipv4 | ipv6 | all} ip-mask <Mask>

パラメータ

パラメータ

auto-topology

ディストリビューションモードをオートトポロジー(Per-Port)に設定します。

manual-general

配信モードを "Manual General "に設定します。

ipv4

IPv4 トラフィックのみのディストリビューションモードを設定します。

ipv6

IPv6 トラフィックのみのディストリビューションモードを設定します。

all

IPv4 および IPv6 トラフィックのディストリビューションモードを設定します。

ip-mask <Mask>

分配行列のサイズと同じでなければならない。

Hex 形式で指定する必要がある。

以下の手順に従ってください。

  1. 分布行列の大きさを調べる。

    show distribution verification verbose

    Matrix Size ラインを調べる。

    例:

    ...
    Matrix Size 512
    ...

  2. Gaia gClishからExpertモードへ抜ける。

  3. 行列の大きさを10進数から16進数に変換します。

    printf '%x\n' <Matrix Size>

    例:

    [Expert@HostName-ch0x-0x:0]# printf '%x\n' 512
    200
    [Expert@HostName-ch0x-0x:0]#

  4. Gaia gClishにアクセスします。

    gclish

  5. 必要なマスクで配信モードを設定します。

    set distribution ... ip-mask <Matrix Size in HEX>

    例:

    set distribution ... ip-mask 200

インタフェース分散モードの設定 (set distribution interface)

説明

Security Groupに対して、以下のGaia gClishコマンドを使用します。

  • インターフェイスのDistribution Modeを設定する - システムがGeneral Modeで動作していないときのインターフェイスの場合

  • インターフェイスを表示 ディストリビューションモード - オートトポロジで割り当てられた場合、または手動で設定された場合

- VSX モードでは、インタフェースのディストリビューションモードを変更する前に、該当するバーチャルシステムのコンテキストに移動する必要があります。

"set virtual-system <VS ID>" コマンドを実行します。

インタフェースのDistribution Modeを設定するための構文です。

set distribution interface <Name of Interface> configuration {user | network | policy}

インタフェースを表示するための構文 Distribution Mode

show distribution interface <Name of Interface> configuration

パラメータ

パラメータ

説明

<Name of Interface>

オペレーティングシステムによって割り当てられたインタフェース名。

user

User(Internal) Distribution Mode - Destination IP Addressをベースに手動で割り当てる。

network

ネットワーク(外部)配信モード - ソースIPアドレスに基づき手動で割り当てる。

policy

Auto-Topologyを使用して、ポリシーに従って自動的に Distribution Mode を割り当てます。

[Global] HostName-ch01-01 > set distribution interface eth1-01 configuration network

/bin/distutil set_ifn_dist_mode eth1-01 external

[Global] HostName-ch01-01 > set distribution interface eth1-01 configuration policy

/bin/distutil set_ifn_dist_mode eth1-01 policy

[Global] HostName-ch01-01 > set distribution interface eth1-01 configuration user

/bin/distutil set_ifn_dist_mode eth1-01 internal

ディストリビューションの状態を表示する(show distribution status)

説明

Security GroupでこのGaia gClishコマンドを使用すると、Distribution Modeのステータスレポートを表示することができます。

構文

show distribution status [verbose] 

[Expert@HostName-ch0x-0x:0]# gclish
[Global] HostName-ch01-01> show distribution status
distribution:
  l4_mode: 'on'
  mode: general
matrix:
  actual_size: '512'
ports:
  eth1-05: policy-internal
  eth1-06: policy-internal
[Global] HostName-ch01-01>
 
[Expert@HostName-ch0x-0x:0]# gclish
[Global] HostName-ch01-01> show distribution verification verbose
Test:               Configuration:      Verification:       Result:
Mode                per-port            per-port            Passed
L4 Mode             on                  on                  Passed
Matrix Size         512                 512                 Passed
eth2-08             policy-external     policy-external     Passed
eth1-08             policy-internal     policy-internal     Passed
eth2-07             policy-internal     policy-internal     Passed
eth2-06             policy-internal     policy-internal     Passed
eth1-05             manual-internal     manual-internal     Passed
eth1-06             policy-internal     policy-internal     Passed
eth1-07             policy-internal     policy-internal     Passed
 
Verification passed successfully
[Global] HostName-ch01-01>

フィールド

手順

L4 Mode

レイヤ 4 のディストリビューションステータスを表示します。

  • on - 有効

  • off - 無効

Mode

現在設定されているディストリビューションモードが表示されます。

  • per-port - オートトポロジー

  • user - ユーザ(内部)

  • network - ネットワーク(外部)

  • general - 一般

Matrix Size

ディストリビューションモードマトリックスのサイズを表示します。

Ports

各インタフェースの Distribution Mode の割り当てを表示します。

検証テストの実行(show distribution verification)

説明

Security GroupでこのGaia gClishコマンドを使用して、Distribution Modeの設定の検証テストを実行します。

このテストでは、Security Groupの設定と実際の結果を比較します。

テスト結果のサマリーまたは詳細なレポートを見ることができます。

構文

show distribution verification [verbose] 

[Expert@HostName-ch0x-0x:0]# gclish
[Global] HostName-ch01-01 > show distribution verification verbose
Test:               Configuration:      Verification:       Result:
Mode                per-port            per-port            Passed
L4 Mode             off                 off                 Passed
Matrix Size         512                 512                 Passed
eth2-16             policy-internal     policy-internal     Passed
eth1-16             policy-internal     policy-internal     Passed
eth1-15             policy-external     policy-external     Passed
[Global] HostName-ch01-01 >
 
[Expert@HostName-ch0x-0x:0]# gclish
[Global] HostName-ch01-01 > show distribution verification verbose
Test:               Configuration:      Verification:       Result:
Mode                per-port            per-port            Passed
L4 Mode             on                  off                 Failed
Matrix Size         512                 0                   Failed
eth1-05             policy-internal     policy-internal     Passed
eth1-06             policy-internal     policy-internal     Passed
eth2-05             policy-external     policy-external     Passed
eth2-06             manual-internal     policy-external     Failed
 
Verification failed with above errors
[Global] HostName-ch01-01 >
 
[Expert@HostName-ch0x-0x:0]# gclish
[Global] HostName-ch01-01 > show distribution verification verbose
Test:                                               Configuration:                    Verification:                     Result:
chassis 1 blade 1 dxl-general-mode                  off                               off                               Passed
chassis 1 blade 1 dxl-md5sum                        a5a0317b8cc0de2a8518396e61593d2b  a5a0317b8cc0de2a8518396e61593d2b  Passed
chassis 1 blade 1 dxl-size                          1024                              1024                              Passed
chassis 1 blade 2 dxl-general-mode                  off                               off                               Passed
chassis 1 blade 2 dxl-md5sum                        a5a0317b8cc0de2a8518396e61593d2b  a5a0317b8cc0de2a8518396e61593d2b  Passed
chassis 1 blade 2 dxl-size                          1024                              1024                              Passed
chassis 1 blade 3 dxl-general-mode                  off                               off                               Passed
chassis 1 blade 3 dxl-md5sum                        a5a0317b8cc0de2a8518396e61593d2b  a5a0317b8cc0de2a8518396e61593d2b  Passed
chassis 1 blade 3 dxl-size                          1024                              1024                              Passed
chassis 1 blade 4 dxl-general-mode                  off                               off                               Passed
chassis 1 blade 4 dxl-md5sum                        a5a0317b8cc0de2a8518396e61593d2b  a5a0317b8cc0de2a8518396e61593d2b  Passed
chassis 1 blade 4 dxl-size                          1024                              1024                              Passed
chassis 1 blade 5 dxl-general-mode                  off                               off                               Passed
chassis 1 blade 5 dxl-md5sum                        a5a0317b8cc0de2a8518396e61593d2b  a5a0317b8cc0de2a8518396e61593d2b  Passed
chassis 1 blade 5 dxl-size                          1024                              1024                              Passed
chassis 1 ssm 1 ipv6-mode                           on                                on                                Passed
chassis 1 ssm 1 l4-mode                             off                               off                               Passed
chassis 1 ssm 1 mask ipv4 general destination       0000001f                          0000001f                          Passed
chassis 1 ssm 1 mask ipv4 general source            0000001f                          0000001f                          Passed
chassis 1 ssm 1 mask ipv4 l4 ip                     000000ff                          000000ff                          Passed
chassis 1 ssm 1 mask ipv4 l4 port                   00000003                          00000003                          Passed
chassis 1 ssm 1 mask ipv4 user-network destination  000003ff                          000003ff                          Passed
chassis 1 ssm 1 mask ipv4 user-network source       000003ff                          000003ff                          Passed
chassis 1 ssm 1 mask ipv6 general destination       0000000000000000000000000000001f  0000000000000000000000000000001f  Passed
chassis 1 ssm 1 mask ipv6 general source            0000000000000000000000000000001f  0000000000000000000000000000001f  Passed
chassis 1 ssm 1 mask ipv6 user-network destination  000000000000000000000000000003ff  000000000000000000000000000003ff  Passed
chassis 1 ssm 1 mask ipv6 user-network source       000000000000000000000000000003ff  000000000000000000000000000003ff  Passed
chassis 1 ssm 1 matrix-max_size                     2k                                2k                                Passed
chassis 1 ssm 1 matrix-size                         1024                              1024                              Passed
chassis 1 ssm 1 mode                                user                              user                              Passed
chassis 1 ssm 1 signature                           d9195da1c6de046ab3581836c911f98f  d9195da1c6de046ab3581836c911f98f  Passed
chassis 1 ssm 2 ipv6-mode                           on                                on                                Passed
chassis 1 ssm 2 l4-mode                             off                               off                               Passed
chassis 1 ssm 2 mask ipv4 general destination       0000001f                          0000001f                          Passed
chassis 1 ssm 2 mask ipv4 general source            0000001f                          0000001f                          Passed
chassis 1 ssm 2 mask ipv4 l4 ip                     000000ff                          000000ff                          Passed
chassis 1 ssm 2 mask ipv4 l4 port                   00000003                          00000003                          Passed
chassis 1 ssm 2 mask ipv4 user-network destination  000003ff                          000003ff                          Passed
chassis 1 ssm 2 mask ipv4 user-network source       000003ff                          000003ff                          Passed
chassis 1 ssm 2 mask ipv6 general destination       0000000000000000000000000000001f  0000000000000000000000000000001f  Passed
chassis 1 ssm 2 mask ipv6 general source            0000000000000000000000000000001f  0000000000000000000000000000001f  Passed
chassis 1 ssm 2 mask ipv6 user-network destination  000000000000000000000000000003ff  000000000000000000000000000003ff  Passed
chassis 1 ssm 2 mask ipv6 user-network source       000000000000000000000000000003ff  000000000000000000000000000003ff  Passed
chassis 1 ssm 2 matrix-max_size                     2k                                2k                                Passed
chassis 1 ssm 2 matrix-size                         1024                              1024                              Passed
chassis 1 ssm 2 mode                                user                              user                              Passed
chassis 1 ssm 2 signature                           d9195da1c6de046ab3581836c911f98f  d9195da1c6de046ab3581836c911f98f  Passed
chassis 2 blade 1 dxl-general-mode                  off                               off                               Passed
chassis 2 blade 1 dxl-md5sum                        a5a0317b8cc0de2a8518396e61593d2b  a5a0317b8cc0de2a8518396e61593d2b  Passed
chassis 2 blade 1 dxl-size                          1024                              1024                              Passed
chassis 2 blade 2 dxl-general-mode                  off                               off                               Passed
chassis 2 blade 2 dxl-md5sum                        a5a0317b8cc0de2a8518396e61593d2b  a5a0317b8cc0de2a8518396e61593d2b  Passed
chassis 2 blade 2 dxl-size                          1024                              1024                              Passed
chassis 2 blade 3 dxl-general-mode                  off                               off                               Passed
chassis 2 blade 3 dxl-md5sum                        a5a0317b8cc0de2a8518396e61593d2b  a5a0317b8cc0de2a8518396e61593d2b  Passed
chassis 2 blade 3 dxl-size                          1024                              1024                              Passed
chassis 2 blade 4 dxl-general-mode                  off                               off                               Passed
chassis 2 blade 4 dxl-md5sum                        a5a0317b8cc0de2a8518396e61593d2b  a5a0317b8cc0de2a8518396e61593d2b  Passed
chassis 2 blade 4 dxl-size                          1024                              1024                              Passed
chassis 2 blade 5 dxl-general-mode                  off                               off                               Passed
chassis 2 blade 5 dxl-md5sum                        a5a0317b8cc0de2a8518396e61593d2b  a5a0317b8cc0de2a8518396e61593d2b  Passed
chassis 2 blade 5 dxl-size                          1024                              1024                              Passed
chassis 2 ssm 1 ipv6-mode                           on                                on                                Passed
chassis 2 ssm 1 l4-mode                             off                               off                               Passed
chassis 2 ssm 1 mask ipv4 general destination       0000001f                          0000001f                          Passed
chassis 2 ssm 1 mask ipv4 general source            0000001f                          0000001f                          Passed
chassis 2 ssm 1 mask ipv4 l4 ip                     000000ff                          000000ff                          Passed
chassis 2 ssm 1 mask ipv4 l4 port                   00000003                          00000003                          Passed
chassis 2 ssm 1 mask ipv4 user-network destination  000003ff                          000003ff                          Passed
chassis 2 ssm 1 mask ipv4 user-network source       000003ff                          000003ff                          Passed
chassis 2 ssm 1 mask ipv6 general destination       0000000000000000000000000000001f  0000000000000000000000000000001f  Passed
chassis 2 ssm 1 mask ipv6 general source            0000000000000000000000000000001f  0000000000000000000000000000001f  Passed
chassis 2 ssm 1 mask ipv6 user-network destination  000000000000000000000000000003ff  000000000000000000000000000003ff  Passed
chassis 2 ssm 1 mask ipv6 user-network source       000000000000000000000000000003ff  000000000000000000000000000003ff  Passed
chassis 2 ssm 1 matrix-max_size                     2k                                2k                                Passed
chassis 2 ssm 1 matrix-size                         1024                              1024                              Passed
chassis 2 ssm 1 mode                                user                              user                              Passed
chassis 2 ssm 1 signature                           d9195da1c6de046ab3581836c911f98f  d9195da1c6de046ab3581836c911f98f  Passed
chassis 2 ssm 2 ipv6-mode                           on                                on                                Passed
chassis 2 ssm 2 l4-mode                             off                               off                               Passed
chassis 2 ssm 2 mask ipv4 general destination       0000001f                          0000001f                          Passed
chassis 2 ssm 2 mask ipv4 general source            0000001f                          0000001f                          Passed
chassis 2 ssm 2 mask ipv4 l4 ip                     000000ff                          000000ff                          Passed
chassis 2 ssm 2 mask ipv4 l4 port                   00000003                          00000003                          Passed
chassis 2 ssm 2 mask ipv4 user-network destination  000003ff                          000003ff                          Passed
chassis 2 ssm 2 mask ipv4 user-network source       000003ff                          000003ff                          Passed
chassis 2 ssm 2 mask ipv6 general destination       0000000000000000000000000000001f  0000000000000000000000000000001f  Passed
chassis 2 ssm 2 mask ipv6 general source            0000000000000000000000000000001f  0000000000000000000000000000001f  Passed
chassis 2 ssm 2 mask ipv6 user-network destination  000000000000000000000000000003ff  000000000000000000000000000003ff  Passed
chassis 2 ssm 2 mask ipv6 user-network source       000000000000000000000000000003ff  000000000000000000000000000003ff  Passed
chassis 2 ssm 2 matrix-max_size                     2k                                2k                                Passed
chassis 2 ssm 2 matrix-size                         1024                              1024                              Passed
chassis 2 ssm 2 mode                                user                              user                              Passed
chassis 2 ssm 2 signature                           d9195da1c6de046ab3581836c911f98f  d9195da1c6de046ab3581836c911f98f  Passed
 
Summary:
all active SSMs are configured as: user
all active SSMs are configured as: user
[Global] HostName-ch01-01 >

レイヤ4ディストリビューションモードとマスクの設定 (set distribution l4-mode)

説明

Gaia gClish on Security Groupで、これらのコマンドを使用します。

  • レイヤー4配信を有効にし、IPアドレスとポートに新しいマスクを設定する

  • レイヤー4ディストリビューションを無効にする

  • レイヤー4ディストリビューションモードとマスクを表示する

構文

set distribution l4-mode enabled

set distribution l4-mode disabled

show distribution l4-mode 

[Expert@HostName-ch0x-0x:0]# gclish
[Global] HostName-ch01-01> set distribution l4-mode enabled
1_01:
success
 
1_02:
success
[Global] HostName-ch01-01>
 
[Expert@HostName-ch0x-0x:0]# gclish
[Global] HostName-ch01-01> set distribution l4-mode disabled
1_01:
success
 
1_02:
success
[Global] HostName-ch01-01>
 
[Expert@HostName-ch0x-0x:0]# gclish
[Global] HostName-ch01-01> show distribution l4-mode
1_01:
L4 Distribution: Enabled
 
1_02:
L4 Distribution: Enabled
[Global] HostName-ch01-01>