| ファイアウォール機能 管理者ガイド |
|
目次
索引
|
| 第3章 二重化システム(Solaris版) | > 3.2 ネットワークの二重化 | > 3.2.5 環境設定 | > 3.2.5.2 設定手順 |
ファイアウォール(サーバ)上では、必要な製品のインストール、及び実行環境を設定します。
以下の手順で設定します。
PRIMECLUSTER(GLS伝送路二重化機能)の導入
PRIMECLUSTER(GLS伝送路二重化機能)の環境設定(NIC 切替え、高速切替え)
NIC 切替え運用における待機インタフェースの初期化
NIC 切替え機能を使用する場合、待機インタフェースをシステム起動時に初期化するよう設定します。
待機インタフェースのドライバ状態設定
待機インタフェースに対応するSTREAM 上から PRIMECLUSTER(GLS伝送路二重化機能)のモジュールをアンリンクするよう設定します。
NIC 切替え運用におけるファイアウォール機能の初期化
NIC 切替え運用時、代表IPアドレス(論理インタフェース)の活性化後にファイアウォール機能の初期化を実行するよう、PRIMECLUSTER(GLS伝送路二重化機能) のユーザコマンド実行スクリプトを設定します。
PRIMECLUSTER(GLS伝送路二重化機能)の動作確認
ファイアウォール機能導入
ファイアウォール機能環境設定
ファイアウォール機能を適用する物理インタフェース情報を設定します。update_ifコマンドを使用します。
ネットワーク二重化機能で使用される論理インタフェース情報と物理インタフェース情報の設定を行います。fwchkclifコマンドを使用します。
システムの再起動
システムの再起動を行います。再起動後、管理コンソールからセキュリティポリシーを適用します。
以下に、設定手順の詳細について説明します。
PRIMECLUSTER(GLS伝送路二重化機能)の環境設定では、ファイアウォール機能との連携を行うために、以下の設定を行ってください。PRIMECLUSTER(GLS伝送路二重化機能) の環境設定方法の詳細については、PRIMECLUSTER(GLS伝送路二重化機能) のマニュアルを参照してください。
NIC 切替え運用における待機インタフェースの初期化
PRIMECLUSTER(GLS伝送路二重化機能) のNIC 切替え機能を使用する場合、待機インタフェースをシステム起動時に初期化する必要があります。このため、運用インタフェースとは別に、待機インタフェース用に別のIPアドレスを用意し、/etc/hostname.<interface>を作成して、インタフェースの初期化が実行されるように設定してください。
待機インタフェースのドライバ状態設定
待機インタフェースに対応する STREAM 上からPRIMECLUSTER(GLS伝送路二重化機能)のモジュールをアンリンクしておく必要があります。
以下のコマンドを実行します。
|
/opt/FJSVhanet/usr/sbin/hanetparam -d plumb |
NIC 切替え運用におけるファイアウォール機能の初期化
NIC 切替え運用時、代表IPアドレス(論理インタフェース)の活性化後にファイアウォール機能の初期化を実行するよう、PRIMECLUSTER(GLS伝送路二重化機能)のユーザコマンド実行スクリプトを設定します。
以下に、PRIMECLUSTER(GLS伝送路二重化機能)のユーザコマンド実行スクリプトの作成方法について説明します。
ユーザコマンド実行スクリプトの作成
PRIMECLUSTER(GLS伝送路二重化機能) で提供されているユーザコマンド実行スプリプトのサンプルを利用します。
# cd /etc/opt/FJSVhanet/script/interface
# cp sha.interface.sam sha0
ファイアウォール機能の起動コマンドの登録
複写したスクリプトをエディタで編集し、インタフェース活性後にファイアウォールの初期化処理を実施するように、ファイアウォール機能の起動スクリプトを登録します。
編集前
編集後
“INTERFACE=$3"を有効化し、加えて、パラメタ“activate”,“after”のタイミングで、ファイアウォールの初期化処理(/opt/FSUNfwip/bin/fwipinit_sl)を登録します。
NIC 切替え仮想インタフェース分のスクリプトを作成
NIC 切替え対象となるインタフェース分のスクリプトを作成します。すなわち、上記で作成したスクリプトを複写(sha1)し、ファイアウォール初期化処理の行(fwipinit_slを呼び出している行)を以下のように変更します(fwipinit_slに通知するインタフェース名(“sha1")を変更します)。
"sha0"用
|
/opt/FSUNfwip/bin/fwipinit_sl $INTERFACE "sha0" |
"sha1"用
|
/opt/FSUNfwip/bin/fwipinit_sl $INTERFACE "sha1" |
インタフェース情報設定コマンド(update_ifコマンド)が取り込むインタフェース情報を、インタフェース情報定義ファイルとして作成します。
ファイル名
|
/var/opt/FSUNfwip/netstat_i /var/opt/FSUNfwip/netstat_ni |
以下の手順で、インタフェース情報定義ファイルを作成し、環境ファイルに反映してください。
netstat コマンドの出力結果を、インタフェース情報定義ファイルにファイルに出力します。
|
# /usr/bin/netstat -i -f inet > /var/opt/FSUNfwip/netstat_i # /usr/bin/netstat -ni -f inet > /var/opt/FSUNfwip/netstat_ni |
エディタを使用して、インタフェース情報定義ファイルを編集します。
ファイアウォール機能が取り込まないインタフェース情報の削除
PRIMECLUSTERで割り当てたインタフェース/IPアドレスを削除します。
ファイアウォール機能は、システム二重化の系間パスで使用するインタフェース(cip0など)に対するフィルタリング条件は設定しません。
・ファイアウォール機能では、NIC 切替えの論理インタフェース(qfe0:1など)に対するフィルタリング条件は設定しません。論理インタフェースに対するフィルタ条件を設定する場合、対応する論理IPアドレス(qfe0:1など) を割り当てたホストを設定し、このホストに対するフィルタリング条件を設定してください。
・高速切り替えの仮想インタフェース(shaX)は、フィルタリング対象のため、削除する必要はありません。
NIC 切替え時の待機インタフェースに対するIPアドレス割当て
NIC 切替えの場合、待機中のインタフェースのIPアドレスは、0.0.0.0 で初期化されています。現用インタフェースの物理インタフェースのアドレスに変更してください。
インタフェース情報定義ファイルの反映
インタフェース情報定義ファイルに設定した物理インタフェース情報を環境設定ファイルに反映させるため、update_if コマンドを実施します。
また、NIC 切替えの場合、待機側インタフェースはdown状態のため、物理インタフェース情報を正しく取得できません。
このため、update_ifコマンドで物理インタフェース情報を環境設定ファイルに反映後、NIC 切替え時の待機側インタフェースのサブネット情報を設定してください。
NIC 切替え時の待機側インタフェースのサブネット情報の設定方法については、環境設定ファイルの編集を参照してください。
インタフェース情報定義ファイルが正しく作成されている場合、update_if コマンド実行時にインタフェースが in 側/ out 側のどちらのインタフェースであるか指定します。削除した不要なインタフェース情報について問合せが発生した場合、インタフェース情報定義ファイルが正しく作成されていません。一旦、全てのインタフェースに対して、 in または out を指定してコマンドを終了させ、ファイル内容およびパーミッションを確認し、再度、インタフェース情報の反映処理を実施してください。
以下に、物理インタフェース情報の編集例について説明します。
インタフェース情報の削除
以下では、cip0の系間パスのインタフェースを削除しています。
編集前
編集後
系間パスのインタフェースであるcip0行を削除します。
NIC 切替え時の待機インタフェースに対するIPアドレス割当て
以下では、hme0/hme1、及びhme2/hme3 を NIC 切替えインタフェースとし、物理インタフェースのIPアドレスをそれぞれ192.168.0.1, 10.1.1.1とします。また、論理IPアドレスをそれぞれ 192.168.0.100, 10.1.1.100 とします。
編集前
編集後
論理インタフェースである hme0:1、hme2:1 行を削除します。
また、待機インタフェースである hme1, hme3 のIPアドレスを、現用インタフェース(それぞれ、hme0, hme2)のIPアドレスに変更します。
上記の編集を行い、インタフェース情報定義ファイルを保存します。
ファイルアクセス権の設定
インタフェース情報定義ファイルの owner 、アクセス権を設定します。
|
設定内容 |
設定値 |
|---|---|
| owner | root |
| アクセス権 | 0600 |
NIC 切替え時の待機系インタフェース情報の設定方法について説明します。
ファイル名:/opt/FSUNfwip/etc/FWBase.conf
編集箇所は、[INTERFACE] が設定されているカテゴリです。
以下では、hme0とhme1がNIC 切替えインタフェースとし、待機系インタフェースをhme1とします。このとき、hme1のサブネットマスクは「24」が設定されていますので、適切なサブネットマスクを設定してください。
編集前
編集後
hme1のサブネット長を「24」から適切な値に変更します(以下では、「20」)。
ネットワーク二重化機能で使用される論理インタフェース情報と物理インタフェース情報の設定を行います。
以下のファイルを作成してください。
ファイル名(二重化インタフェース設定ファイル)
|
/var/opt/FSUNfwip/fwclif.conf |
ファイルのアクセス権は、以下のように設定してください。
|
設定内容 |
設定値 |
|---|---|
| owner | root |
| アクセス権 | 0600 |
以下の手順で、二重化インタフェースの設定ファイルを作成し、環境ファイルに反映してください。
エディタを使用し、二重化インタフェース設定ファイルを編集します。
ファイルの一行目には、必ず、定義開始を示す以下の文字列を設定してください。
|
[REDUNDANCY] |
二重化インタフェース設定ファイルの設定方法は、利用するネットワーク二重化機能により異なりますので、注意してください。
NIC 切替えインタフェースの設定
NIC 切替えで使用するインタフェース情報は、以下の行で設定します。
|
[REDUNDANCY] NW_NicSwitch="$IF1,$IF2,$IP1,$IP1-MASK,$IP2,$IP2-PREFIX" |
設定内容
|
項目 |
説明 |
|---|---|
|
NW_NicSwitch |
ネットワーク二重化(NIC 切替え)機能の設定情報であることを識別するキーワード |
|
$IF1 $IF2 |
NIC 切替え方式で二重化されるインタフェース名を設定します。 |
|
$IP1 $IP1-MASK |
NIC 切替え時の論理IPアドレス(IPv4)、アドレスマスク長を設定します。 |
|
$IP2 $IP2-PREFIX |
NIC 切替え時の論理IPアドレス(IPv6)、プレフィックス長を設定します。 なお、本製品ではサポートされていないため、それぞれ"*"(アスタリスク)を設定してください。 |
設定例
|
[REDUNDANCY] NW_NicSwitch="qfe2,qfe3,192.168.0.10,24,*,*" |
この場合、qfe2、qfe3がネットワーク二重化(NIC 切替え)で使用する物理インタフェースであり、それぞれに割り当てられる論理IPアドレスは、192.168.0.10(マスク長24ビット)であることを示しています。
高速切替えインタフェースの設定
高速切替えで使用するインタフェース情報は、以下の行で設定します。
|
[REDUNDANCY] NW_FastSwitch="$IF1,$IF2,$LOGICAL-IF" |
設定内容
|
項目 |
説明 |
|---|---|
|
NW_FastSwitch |
ネットワーク二重化(高速切替え)機能の設定情報であることを識別するキーワード |
|
$IF1 $IF2 |
高速切替え方式で二重化されるインタフェース名を設定します。 |
|
$LOGICAL-IF |
高速切替え時の論理インタフェース名を設定します。 |
設定例
|
[REDUNDANCY] NW_FastSwitch="qfe0,qfe1,sha0" |
この場合、qfe0、qfe1がネットワーク二重化(高速切替え)で使用する物理インタフェースであり、論理インタフェースは、sha0であることを示しています。
二重化インタフェース設定ファイルの内容を動作環境に反映します。
以下のコマンドを使用して、二重化インタフェース設定ファイルに設定した情報を、ファイアウォール機能の動作環境に反映します。
整合性チェック
|
/opt/FSUNfwip/bin/fwchkclif -c |
動作環境へ反映する
|
/opt/FSUNfwip/bin/fwchkclif -s |
fwchkclifコマンドの詳細については、二重化情報の操作を参照してください。
|
目次
索引
|