GARP チャンクメカニズムを利用した作業
説明
プロキシARPが有効な場合、ファイアウォールは自分以外のホストに対するARPリクエストに応答します。
セキュリティグループ
アクティブ/アクティブクラスタ機能を提供するセキュリティアプライアンスの論理グループ。セキュリティグループには 1 つ以上のセキュリティアプライアンスを含めることができます。セキュリティグループは、互いに別々に独立して機能します。本番ネットワークには、セキュリティグループが1つのセキュリティゲートウェイとして表示されます。すべてのセキュリティグループには以下が含まれます。(A) 本番ネットワークが接続されているアップリンクポート、(B) セキュリティアプライアンス(ダウンリンクポートは Quantum Maestro Orchestrator が自動的に決定)、(C) Check Point Management Server が接続されている管理用ポート。メンバ間でフェイルオーバーが発生すると、新しいアクティブセキュリティグループメンバは、自身の(新しい)MACアドレスでGratuitous ARP(GARP)リクエストを送信し、ネットワークARPテーブルを更新します。
フェイルオーバー時のネットワーク輻輳を防ぐため、GARP Requestはチャンクと呼ばれるユーザ定義のグループ単位で送信されます。
各チャンクには、これらのパラメータに基づき事前に定義された数のGARP Requestが含まれています。
-
各チャンクのGARP Requestsの数(デフォルトは各HTUで1000)。
-
ハイアベイラビリティ時間単位(HTU) - チャンクが送信されるまでの時間間隔(1 HTU = 0.1秒)。
-
チャンクメカニズムはプロキシARP IPアドレスを繰り返し、完全なリストを完成させるまで、毎回その一部に対してのみGARP Requestを送信します。
イテレーションが完全なリストを送信すると、N HTU を待ち、再度リストを送信します。
設定
|
|
重要- 設定を恒久的にする(再起動後も存続させる)には、このコマンドを使用して該当するカーネルパラメータを
|
例えば、毎秒10個のGARP Requestを送信する場合、カーネルパラメータfwha_refresh_arps_chunk の値を1に設定します。
|
|
毎秒50個のGARP Requestを送信するには、カーネルパラメータfwha_refresh_arps_chunk の値を5に設定します。
|
|
イテレーションはリスト全体に対するGARP Requestsの送信が終了するたびに、N HTU待ち、GARP Requestsを再度送信します。
反復の間の時間は、これらのカーネルパラメータで設定することができます。
|
カーネルパラメータ |
手順 |
||
|---|---|---|---|
|
|
初期値は1HTU(0.1秒)です。 Security Groupはフェイルオーバー直後にGARPを送信する。
|
||
|
|
初期値は10 HTU(1秒)です。 イテレーションがGARPリストを送信した後、この時間だけ待って再度送信する。 |
||
|
|
初期値は20HTU(2秒)です。 イテレーションがGARPリストを送信した後、この時間だけ待って再度送信する。 |
||
|
|
初期値は50HTU(5秒)です。 イテレーションがGARPリストを送信した後、この時間だけ待って再度送信する。 |
||
|
|
初期値は100 HTU(10秒)です。 イテレーションがGARPリストを送信した後、この時間だけ待って再度送信する。 |
間隔を変更する場合は、エキスパートモード CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。で実行します。
|
|
インターバルを適用するには、エキスパートモードで実行します。
|
|
