ファイアウォール機能 管理者ガイド
目次 索引 前ページ次ページ
第3章 二重化システム(Solaris版)> 3.3 システムの二重化

3.3.4 動作概要

二重化システムの動作概要について説明します。

■システム初期化

◆ファイアウォール機能の初期化

ファイアウォール機能は、通常と同様、/etc/rc2.d/S72fwip で起動されます。

このとき、PRIMECLUSTERの待機系ノードとして起動されます。

インタフェースに対して設定されたフィルタリング条件は物理インタフェースのIPアドレス間でのみ適用されます。透過中継(IPマスカレード)を使用した場合、送信元アドレスは物理インタフェースのアドレスに変換されます。

◆状態遷移(新運用系)

PRIMECLUSTERに登録した 本製品のリソース(FWIP)の処理が開始されます。

ファイアウォール機能が運用状態に遷移します。

インタフェースに対して設定されたフィルタリング条件は論理インタフェースのIPアドレス間でも適用されます。透過中継(IPマスカレード)を使用した場合、送信元アドレスは論理インタフェースのアドレスに変換されます。

◆状態遷移(新待機系)

PRIMECLUSTERに登録した 本製品 リソース(FWIP) の処理が停止されます。

ファイアウォール機能が待機状態に遷移します。

インタフェースに対して設定されたフィルタリング条件は物理インタフェースのIPアドレスで適用されます。透過中継(IPマスカレード)を使用した場合、送信元アドレスは物理インタフェースのアドレスに変換されます。

■ファイアウォール機能の動作

フィルタリング機能

物理インタフェースに対するパケットフィルタリング条件は、物理インタフェースに割り当てられた論理インタフェース(引継ぎIPアドレス)に対するパケットフィルタリング条件としても解釈されます。

アドレス変換機能

IP マスカレードでは、本システムの引継ぎIPアドレスが使用されます。

サイト間暗号通信( SDFW暗号通信/ IP セキュリティ通信)設定

IP セキュリティゲートウェイと暗号ゲートウェイでは、引継ぎIPアドレスを処理対象としています。実IPアドレスを使用することはできません。

クラスタシステムで IP セキュリティ通信を使用する場合、クラスタシステムで動作するアプリケーションについては、引継ぎIP アドレスを必ず自ホスト(ソース)とするものだけを処理対象とします。クラスタシステム上で動作するアプリケーションで、実IP アドレスを自ホスト(ソース)アドレスとしてデータ送信するものは使用できません。そのため、クラスタシステム上のクライアントプログラムで、ANY 指定でbind() するもの(例:telnet、ftp、ping)は使用できません。

認証ゲートウェイ設定

通常の ファイアウォール機能と同等です。

経路情報設定

ネットワークの引継ぎ機能を使用した IP アドレスの引き継ぎを行います。ゲートウェイとして運用する場合、他システムでの経路情報の設定は、この 引継ぎIP アドレスを使用してください。

アドレス変換機能を利用するサーバ/クライアントの経路がネットワークの引継ぎで使用する IP アドレスに定義されている必要があります。

仮想アドレスを使用する場合は、仮想アドレス宛ての経路は、この引継ぎIP アドレスに対して経路設定されるようにRIP が送信されます。このため、動的経路制御を行っているシステムでは、経路情報の設定を意識する必要はありません。

仮想アドレスを使用しない場合、および動的経路制御を行わないシステムの場合には、静的に引継ぎIPアドレス宛ての経路を設定してください。

■通知メッセージ

二重化システムの系切替え動作に応じて、以下のメッセージがシステムログに通知されます。なお、システムログの出力を行うには、あらかじめ/etc/syslog.conf の設定を行っておく必要があります。

目次 索引 前ページ次ページ
All Rights Reserved, Copyright (C) 富士通株式会社 2000-2006