セキュリティゲートウェイ/セキュリティグループのISP冗長性

重要- ダイナミックルーティングが設定されている場合、ISP冗長性はサポートされません(既知の制限事項PMTR-68991)。

注- クラスタ冗長構成で連携する2つ以上のセキュリティゲートウェイ（ハイアベイラビリティまたは負荷分散）をクラスタ化します。でのISP冗長性については、R81.10 ClusterXL Administration Guide > 章Advanced Features and Procedures > 節ISP Redundancy on a Cluster を参照してください。

はじめに

ISP冗長性により、セキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。/Scalable Platformセキュリティグループは、インターネットサービスプロバイダ（ISP）の冗長リンクを介してインターネットに接続されます。

ISP冗長性は、ISPリンクを監視し、現在の最適なリンクを選択します。

注:

ISP冗長性には最低2つの外部インタフェースが必要で、最大10個までサポートします。

2つ以上のISPリンクを設定するには、Management Server Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。とSecurity Gateway /Scalable Platform Security GroupのバージョンがR81.10以上であることが必要です。
ISP冗長性は、お客様の内部ネットワークファイアウォールによって保護され、認証されたユーザによってアクセスされるコンピュータとリソース。からインターネットに向かうトラフィックを対象としています。

ISPリンクが1本の場合の典型的な導入例

項目	説明
1	内部ネットワーク
2	セキュリティゲートウェイまたはScalable Platformのセキュリティグループ
3	ISP
4	インターネット

2つのISPリンク用に2つの専用物理インタフェースを持つ典型的な導入例

ベストプラクティス-1つの専用物理インタフェースで展開するよりもシンプルであるため、この展開をお勧めします。

項目	説明
1	内部ネットワーク
2	セキュリティゲートウェイまたはScalable Platformのセキュリティグループ
3	ISP A
4	ISP B
5	インターネット

2つのISPリンクに1つの専用物理インタフェースを使用した典型的な導入例

Security Gateway / Scalable Platform Security Groupで使用できる外部インタフェースが1つだけの場合、同じ外部インタフェースに2つのサブネットを設定することができます。

R81.10 Gaia Administration Guide > "Network Management"の章 > "Network Interfaces"セクション > "Aliases"セクションを参照してください。

2つのISPリンクは、同じセキュリティゲートウェイ/Scalable Platformセキュリティグループインターフェースに接続されますが、通常はスイッチを介して、異なるネクストホップルータに接続されます。

項目	説明
1	内部ネットワーク
2	セキュリティゲートウェイまたはScalable Platformのセキュリティグループ
3	スイッチ
4	ISP A
5	ISP B
6	インターネット

ISP冗長性モード

ISP冗長性の設定モードは、内部クライアントからインターネットへの発信接続の挙動を制御します。

モード	説明
Load Sharing	すべてのリンクを使用して、接続の負荷を分散させます。受信接続は交互に行われます。リンクに最適な相対的負荷を設定することができます（より多くの負荷を処理するために、より速いリンクを設定します）。新規接続は、リンクにランダムに割り当てられる。片方のリンクに障害が発生した場合、もう片方のリンクが負荷を受け持つ。このモードでは、Security Gateway / Scalable Platform Security Groupは、両方のISPからのIPアドレスを持つ内部サーバのIPアドレスに対するDNSリクエストに順番に応答できるため、着信接続はいずれのISPリンクを通してもアプリケーションサーバに到達することが可能です。
Primary/Backup	接続に1リンクを使用します。プライマリリンクに障害が発生した場合は、バックアップリンクに切り替わります。プライマリリンクが復元されると、新しい接続が割り当てられる。既存の接続は、完了するまでBackupリンクで継続されます。このモードでは、インターネットからDMZや内部ネットワークのアプリケーションサーバに接続する場合にも、セキュリティゲートウェイ/Scalable Platform Security Groupは、接続が開始されたのと同じISPリンクを使用してパケットを返すので、メリットがあります。

モード

説明

Load Sharing

すべてのリンクを使用して、接続の負荷を分散させます。

受信接続は交互に行われます。

リンクに最適な相対的負荷を設定することができます（より多くの負荷を処理するために、より速いリンクを設定します）。

新規接続は、リンクにランダムに割り当てられる。

片方のリンクに障害が発生した場合、もう片方のリンクが負荷を受け持つ。

このモードでは、Security Gateway / Scalable Platform Security Groupは、両方のISPからのIPアドレスを持つ内部サーバのIPアドレスに対するDNSリクエストに順番に応答できるため、着信接続はいずれのISPリンクを通してもアプリケーションサーバに到達することが可能です。

Primary/Backup

接続に1リンクを使用します。

プライマリリンクに障害が発生した場合は、バックアップリンクに切り替わります。

プライマリリンクが復元されると、新しい接続が割り当てられる。

既存の接続は、完了するまでBackupリンクで継続されます。

このモードでは、インターネットからDMZや内部ネットワークのアプリケーションサーバに接続する場合にも、セキュリティゲートウェイ/Scalable Platform Security Groupは、接続が開始されたのと同じISPリンクを使用してパケットを返すので、メリットがあります。

ベストプラクティス：

ISPのリンクが基本的にすべて同じであれば、ロードシェアリングモードを使用してすべてのISPリンク
価格や信頼性の面でより費用対効果の高いISPリンクのいずれかを使用することをお勧めします。

その中での場合は、プライマリ/バックアップモードを使用し、より費用対効果の高いISPをプライマリISPリンクとして設定します。

送信コネクション

モード	説明
Load Sharing	Security Gateway /Scalable Platform Security Groupを出てインターネットに向かう送信トラフィックは、ISP Links間で分散されます。各ISPリンクをどの程度利用させたいか、相対的な重みを設定することができます。例えば、あるリンクが高速であれば、そのISPのリンクに他のリンクよりも多くのトラフィックをルーティングするように設定することができる。
Primary/Backup	発信トラフィックは、アクティブなプライマリリンクを使用します。 Hide NATは、送信パケットの送信元アドレスを、パケットがSecurity Gateway / Scalable Platform Security Groupを出るインタフェースのアドレスに変更するために使用されます。これにより、リターンパケットの宛先アドレスが正しいリンクのアドレスであるため、同じISPのリンクに自動的にルーティングされるようになります。管理者がHide NATの設定を行う。

モード

説明

Load Sharing

Security Gateway /Scalable Platform Security Groupを出てインターネットに向かう送信トラフィックは、ISP Links間で分散されます。

各ISPリンクをどの程度利用させたいか、相対的な重みを設定することができます。

例えば、あるリンクが高速であれば、そのISPのリンクに他のリンクよりも多くのトラフィックをルーティングするように設定することができる。

Primary/Backup

発信トラフィックは、アクティブなプライマリリンクを使用します。

Hide NATは、送信パケットの送信元アドレスを、パケットがSecurity Gateway / Scalable Platform Security Groupを出るインタフェースのアドレスに変更するために使用されます。

これにより、リターンパケットの宛先アドレスが正しいリンクのアドレスであるため、同じISPのリンクに自動的にルーティングされるようになります。

管理者がHide NATの設定を行う。

着信コネクション

外部ユーザが着信接続を行うには、管理者が必要です。

各アプリケーションサーバには、ISPごとに1つのルーティング可能なIPアドレスを与えます。
ルーティング可能なアドレスを実際のサーバのアドレスに変換するために、Static NATを設定します。

サーバが異なるサービス（例えば、HTTPとFTP）を処理する場合、NATを使用して、すべての公開サーバにルーティング可能なIPアドレスのみを採用することができます。

外部クライアントは、割り当てられたIPアドレスのいずれかを使用します。接続するためには、クライアントがサーバのDNS名を正しいIPアドレスに解決できなければなりません。

例

注：以下の例は、2つのISPリンクの場合です。サブネット172.16.0.0/24と192.168.0.0/24は、パブリックルーティング可能な IP アドレスを表します。

Webサーバwww.example.comには、各ISPからIPアドレスが割り当てられています。

ISP Aから192.168.1.2
ISP Bから172.16.2.2

ISPリンクAがダウンした場合、IPアドレス192.168.1.2が利用できなくなり、クライアントはURLwww.example.comをIPアドレス172.16.2.2に解決できる必要がある。

着信接続は、この例に基づき、以下の順序で確立される。

インターネット上の外部クライアントがwww.example.com に問い合わせると、クライアントは DNS クエリを送信し、その中でこのURLのIPアドレス。

DNSのクエリは、Security Gateway / Scalable Platform Security Groupに到達します。

セキュリティゲートウェイ／セキュリティグループには、内蔵のミニDNSサーバで、そのドメイン内のサーバに対するDNSクエリ（タイプA）をインターセプトするように設定することができる。
ISPリンクに属するインタフェースに到着したDNSクエリは、セキュリティゲートウェイ/セキュリティグループによって傍受されます。
Security Gateway / Security Groupはホスト名を認識した場合、以下のいずれかの応答を送信する。
- ISP冗長性Primary/Backup モードでは、プライマリ ISP リンクがアクティブである限り、セキュリティゲートウェイ / セキュリティグループはプライマリ ISP リンクに関連付けられた IP アドレスのみを返信します。
- ISP冗長性Load Sharing モードでは、セキュリティゲートウェイ/セキュリティグループは 2 つの IP アドレスを交互に返信します。
セキュリティゲートウェイ/セキュリティグループがDNSリクエストを処理できない場合（例えば、ホストを認識できないなどのDNSサーバにDNSクエリーを渡す。 example.com.
外部クライアントはDNSクエリの応答を受信すると、コネクションを開く。パケットを一旦 Security Gateway / Security Group に到達すると、Security Gateway / Security Groupは Static NAT を使って宛先 IP アドレスを変換します。 192.168.1.2または172.16.2.2をリアルサーバのIPアドレス10.0.0.2へ変更。
セキュリティゲートウェイ/セキュリティグループは、サーバからの応答パケットを、接続を開始したときと同じISPリンクを経由してクライアントに転送します。