FireWall-1 (Nokia HA) 構成のインストール

最近久しぶりに FireWall-1 を触ることがありました。 今回構築したのは Nokia × 2台と SmartCenter サーバの構成で、VRRP を用いた Active – Standby 構成なのですが、忘れないうちに設定手順をまとめます。 バージョンは NGX R60 ("UTM Management and Gateway Bundle" + HA ライセンス) を使ったのですが、他のバージョンでも似たようなものだと思います。 細かく書き始めるときりが無いので要点のみ書きます。

1. Nokia の初期設定
初期設定はシリアルコンソールより対話形式で行います。 この初期設定ではホスト名やログインパスワードなどの基本設定と、 IP アドレスをつけて Voyager (管理用 Web インターフェイス) が使えるようにする設定を行います。 注意すべき項目は以下の質問に対し Voyager を使う (= 1) と答えるところでしょう。

You can configure your system in two ways:
1) configure an interface and use our Web-based Voyager via a remote
browser
2) configure an interface by using the CLI
Please enter a choice [ 1-2, q ]: 1

この後続いて Voyager を使うために最低限のネットワーク関連設定を行うことができます。

2. Voyager で設定
ネットワークの設定を終えたら、続いて Web ブラウザで Nokia に HTTP アクセスして Voyager を用います。 ここで以下の設定を行います。

  • Interface、Routing などネットワークの設定
  • VRRP の設定
  • CheckPoint パッケージの有効化
  • その他 Timezone や Time、NTP など基本設定

VRRPのやり方には種類があって迷うかも知れませんが、"Monitored-Circuit VRRP simplified method" を用います。 ポイントは一緒に failover させたいインターフェイスは VRID を同一にするところです。Nokia のマニュアルの VRRP 概要の説明のところで Internal インターフェイスと External インターフェイスで個別の VRID を設定する図が出ていたりしますが、 これをマネすると Internal だけ (あるいは External だけ) failover してしまいます。

VRRP の "Priority" は大きい数字を使った方が failover にかかる時間が短いとのことなので、(Master 機) = 254、 (Standby 機) = 253 とし、"Priority Delta" を例えば 10 にします。 すると Master 機でインターフェイスダウンが生じたとき、同じ VRID のインターフェイスの "Effective Priority" が "Priority Delta" 分だけ減少し、254 – 10 = 244 < 253 (= Standby 機の Effective Priority) となり、同一 VRID のインターフェイスは全て failover するようになります。

CheckPoint パッケージの有効化は "Manage Packages" のメニューより行います。 有効化するパッケージを一つずつ "On" にして "Apply" していきます。順番を考えないとエラーになるかも知れません。

3. cpconfig 実行
パッケージを有効化したので CheckPoint ソフトウェアの初期設定ができるようになりました。再度コマンドラインに戻り、cpconfig を実行します。HA 構成なので Gateway のみインストールするのがポイントです。

Please select one of the following options:
Check Point Enterprise/Pro - for headquarters and branch offices.
Check Point Express - for medium-sized businesses.
-------------------------------------------------------------------
(1) Check Point Enterprise/Pro.
(2) Check Point Express.
Enter your selection  (1-2/a-abort) [1]: 2
Please specify the Check Point Express Product type you are about to install:
-----------------------------------------------------------------------------
(1) VPN-1 Express Gateway.
(2) SmartCenter Express.
(3) SmartCenter Express and VPN-1 Express Gateway.
Enter your selection  (1-3/a-abort) [1]: 1

という感じです。 また、HA のためのモジュールもインストールしなればなりません。

Would you like to install a Check Point clustering product
(CPHA, CPLS or State Synchronization)? (y/n) [n] ? y

ライセンスの入力ですが、ファイルの転送が面倒なので、端末エミュレータを使ってコピペするとよいように思います。ライセンスのお知らせには3つのコードが示されていると思いますが、聞かれるのは2つだけなので迷うかもしれません。こんな感じで入力します。

Signature Key: ****
SKU/Features: cp**** CK-****

次のメッセージに対してはバーがいっぱいになってビープ音が鳴るまで、ただひたすら適当にキーボードをたたけばよいだけです。一度やった人は知っているでしょうが。

Configuring Random Pool...
==========================
(... 中略 ...)
Please keep typing until you hear the beep and the bar is full.

Secure Internal Communication (SIC) の設定は SmartCenter 登録のための初期パスワードの設定です。 ここで入力したキーは後で SmartCenter 登録時に用います。

4. SmartCenter 上の設定
SmartCenter のインストール手順は省きます。 Windows サーバへインストールするのであれば、特に引っかかるところなくインストールできるでしょう。問題は SmartDashboard 上でどうやって "Cluster Object" を設定するかです。

SmartDashboard を起動して SmartCenter サーバにログイン後、 "New Check Point" – "VPN-1 Pro/Express Cluster" と選んで Cluster オブジェクトを作成するわけですが、"Simple Mode (Wizard)" と選択し Wizard を使って作成するのが手軽だと思います。Wizard を使った登録は以下のような手順になります。

  • まずクラスタメンバーを登録します。登録時に先の SIC 用キーを入力して SmartCenter と Gateway 間の通信を確立します
  • Cluster’s Solution (3rd Party Solution) に Nokia VRRP を選びます
  • 各メンバーのトポロジーを設定します。以下の3つのどれに当たるかを各インターフェイスごとに選んで行きます
    1. "Cluster Interface" = VRRP を設定したインターフェイス
    2. "Cluster Synchronization" = 同期用のインターフェイス
    3. "Private use" = その他の目的のインターフェイス

さてこれでクラスタオブジェクトが設定できたはずです。

  • クラスタオブジェクトの Property で Check Point Products の "ClusterXL" にはチェックが入っていないのが正しいです。
  • また、"Use State Synchronization" はもちろん ON です。(Wizard を使っていればどちらもこのようになっているはずです)

Topology で "Anti-Spoofing" の設定などもハマるところですが、これはまた機会があったときに。

とっても駆け足に説明しましたが、これで一通りの設定ができたはずです。 結構面倒くさいのですぐ手順を忘れちゃうんですよね。かなり端折っているので何かお気づきの点あればお知らせください。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です


*