Multi-Domain ServerでのIPv6アドレスの設定

R82以降、Check Pointの内部通信にIPv6アドレスを使用できるようになりました:

  • Multi-Domain Security Management Server、そのDomain Management Server、それらの管理下にあるセキュリティゲートウェイ間。

    Check Pointの内部通信には、セキュア内部通信(SIC)、ポリシーのインストール、およびロギングが含まれます。

  • マルチドメインログサーバ、そのドメインログサーバ、それらの管理下にあるセキュリティゲートウェイ間。

    Check Pointの内部通信には、セキュアな内部通信(SIC)やロギングが含まれます。

  • Multi-Domain Security Management ServerとMulti-Domain Log Server間。

    Check Pointの内部通信には、セキュアな内部通信(SIC)やロギングが含まれます。

パート1 - Multi-Domain Serverの設定

  1. Multi-Domain ServerのGaia OSでIPv6サポートを有効にします。

    参照: System Configuration

  2. Multi-Domain Serverを再起動します。

    参照: シャットダウン

  3. Multi-Domain ServerのLeading Interfaceで、必要なIPv6アドレスを設定します。

    参照: 物理インタフェース

  4. Multi-Domain Server上で該当するIPv6スタティックルートを設定します。

    参照: IPv6スタティックルート

  5. APIコマンド "Leading Interface" を使用して、set-mdsで設定した同じ IPv6 アドレスをMulti-Domain Serverデータベースに追加します:

    1. 管理APIリファレンス:

      1. "Multi-Domain" の章を開きます。

      2. "Multi-Domain Server (MDS)" セクションを開きます。

      以下のManagement APIリファレンスのいずれかを参照します:

      • オンラインCheck Point Management API Reference

      • ローカルの管理APIリファレンス(最初にsk174606に従ってこのローカルの管理APIリファレンスへのアクセスを許可する必要がある):

        https://<IP Address or Gaia Management Interface>/api_docs/#introduction

    2. APIコマンド "set-mds" を実行します:

      (以下の構文はCLIコマンド "mgmt_cli" のもの)。

      mgmt_cli --domain 'System Data' set-mds name <Name of Multi-Domain Server Object> ipv6-address "IPv6 Address Configured on Leading Interface>"

      注:

      • "name"パラメータには、SmartConsoleに表示されるMulti-Domain Serverオブジェクトの名前を入力する必要があります。

      • Primary Multi-Domain Server上でCLIコマンドを実行する場合、"name"パラメータにSecondary Multi-Domain Serverオブジェクトの名前を指定することができます。

  6. CLI(Gaia Clish またはエキスパートモード)で以下のコマンドを実行し、Multi-Domain ServerのCheck Pointサービスを再起動します:

    1. Check Pointのサービスを停止します:

      mdsstop

    2. Check Pointのサービスを開始します:

      mdsstart

  7. CLI(Gaia Clishまたはエキスパートモード)でこのコマンドを実行し、Multi-Domain Server上で必要なプロセスがすべて実行されていることを確認します:

    mdsstat

  8. 該当するAPIコマンドを使用して、ドメイン管理サーバ/ドメインログサーバで必要なIPv6アドレスを設定します。

    既存のオブジェクトを更新することも、新しいオブジェクトを作成することもできます。

    (以下の構文はCLIコマンド "mgmt_cli" のもの)。

    • 既存のドメイン管理サーバ/ドメインログサーバオブジェクトを更新して再起動するには

      mgmt_cli set domain name "<Name of Domain Object>" servers.update.multi-domain-server "Name of Multi-Domain Server Object" servers.update.name "Name of Domain Management Server or Domain Log Server Object" servers.update.ipv6-address "<IPv6 Address of Domain Management Server or Domain Log Server Object>" servers.update.restart-domain-server true

    • IPv4とIPv6の両方のアドレスを持つ新しいドメイン管理サーバ/ドメインログサーバオブジェクトを作成するには

      • 新しいドメイン管理サーバを作成して起動するには

        mgmt_cli add domain name "Name of Domain Object" servers.1.multi-domain-server "<Name of Multi-Domain Security Management Server Object>" servers.1.name "<Name of Domain Management Server Object>" servers.1.type "management server" servers.1.ipv4-address "<IPv4 Address of Domain Management Server Object>" servers.1.ipv6-address "<IPv6 Address of Domain Management Server Object>"

        注 - 構文"1"の中の数字"servers.1."は、このMulti-Domain Security Management Serverの最初のDomain Management Serverを意味します。すでにDomain Management Serverが設定されている場合は、次の番号を入力します。

      • 新しいDomain Log Serverを作成して起動します:

        mgmt_cli add domain name "Name of Domain Object" servers.1.multi-domain-server "<Name of Multi-Domain Log Server Object>" servers.1.name "<Name of Domain Log Server Object>" servers.1.type "log server" servers.1.ipv4-address "<IPv4 Address of Domain Log Server Object>" servers.1.ipv6-address "<IPv6 Address of Domain Log Server Object>"

        注 - 構文"1"の数字"servers.1."は、このMulti-Domain Log Serverの最初のDomain Log Serverを意味します。すでにDomain Log Serverが設定されている場合は、次の番号を入力します。

  9. CLI(Gaia Clishまたはエキスパートモード)でこのコマンドを実行し、Multi-Domain Server上で必要なプロセスがすべて実行されていることを確認します:

    mdsstat

パート2 - セキュリティゲートウェイとクラスタメンバの設定

  1. 該当するセキュリティゲートウェイと各クラスターメンバのGaia OSでIPv6サポートを有効にします。

    参照: System Configuration

  2. セキュリティゲートウェイと各クラスタメンバを再起動します。

    参照: シャットダウン

  3. 該当するインタフェースにIPv6アドレスを設定します。

    参照: Network Interfaces

  4. 該当するIPv6スタティックルートを設定します。

    参照: IPv6スタティックルート

パート3 - SmartConsoleでセキュリティゲートウェイとクラスタオブジェクトを設定する

次を参照:R82 Security Management Administration Guide

  1. Security Management Serverのコマンドラインに接続します。

  2. エキスパートモードにログインします。

  3. 現在のIPv6設定を無効にします:

    mdsconfig -n disable_ipv6 <Name of Leading Interface>

  4. マルチドメインサーバのCheck Pointサービスを再起動します:

    1. Check Pointのサービスを停止します:

      mdsstop

    2. Check Pointのサービスを開始します:

      mdsstart

  5. マルチドメインサーバ上で必要なプロセスがすべて実行されていることを確認します:

    mdsstat

  6. リーディングインタフェースで新しいIPv6アドレスを設定します。

    次のステップ 3-7 に従います:パート1 - Multi-Domain Serverの設定

  7. APIコマンド"set domain"を使用して、ドメイン管理サーバ/ドメインログサーバに割り当てられたIPv6アドレスを変更します:

    (以下の構文はCLIコマンド "mgmt_cli" のもの)。

    mgmt_cli set domain name "<Name of Domain Object>" servers.update.multi-domain-server "<Name of Multi-Domain Server Object>" servers.update.name "<Name of Domain Management Server or Domain Log Server Object>" servers.update.ipv6-address "<IPv6 Address of Domain Management Server or Domain Log Server Object>" servers.update.restart-domain-server true

  8. マルチドメインサーバ上で必要なプロセスがすべて実行されていることを確認します:

    mdsstat