Checkpoint Gaia Advanced Cluster and Troubleshoot
Merhaba
Cluster yapıdaki chekpoint firewallumuzda sorun yaşandığımızda nasıl bir yol izlememiz gerektiğini bu makalemde anlatıyor olacağım daha çok GAIA işletim sisteminin CLI ının becerilerini kullanarak ilerleyeceğiz faydası olması dileğiyle
Checkpoint cluster da bildiğiniz üzere senkronizasyon yaparken L3 bir hattı kullanıyor bu hat üzerinde CCP (Cluster Control Protocol TCP 81116 ) portu üzerinden haberleşerek aradaki iletişimi gerçekleştiriyor.
Kullanacağımiz komutların başında “cphaprob stat” gelmektedir.Bu komut cluster memberlarının durumlarını bize göstermekte
Yukarıdaki bir durumda öncelik fiziksel olarak 2 cihazın birbiri ile iletişiminin olup olmadığını kontrol edelim , ama biz üşengeç biriyiz cihaza erişimimiz de var chekpoint e de hakimiz o zaman kullanacağımız ilk komut “cphaprob -l list”
Bu çıktı firewall üzerindeki servislerin durumunu bizlere söylemekte cpha demoun durumu OK
Servislerimiz OK durumda olduğuna göre gelelim cluster interfaces durumlarına
“cphaprob -a if” ile interface durumlarımız görüyoruz
Sorunlu interface imizi belirledik şimdi bundan emin olalım
Son komutumuz “ethtool eth3” artık eminiz biri kablo ile oynamış
Link detected :no sağlıklı interface altında göreceğimiz komut çıktısı yes durumda olmalı.
Şimdiki örneğimizde “cphaprob stat” çıktımızda cluster üyelerinden bir tanesini inactive yada down olarak görmekte
Cluster networkumuzden diğer üyemize ping atıyoruz
Bu seferki sorunumuz fiziksel erişim ile ilgili değil sanırım ,iki node arasında erişim var
İzleyeceğimiz yol aradaki syn networkunden CCP paketlerinin geçip geçmediğini kontrol etmeliyiz.
Komutumuz “fw ctl pstat” real time olarak görmek istiyor isek komutumuzu şu şekilde veriyoruz. “watch -n l “fw ctl pstat | tail -12”
Sent packet sürekli artarken received aynı kalmakta olduğu görüyoruz.
Linux based bir işletim sistemi olmasından dolayı expert modda belli linux komutları Checkpoint te çalıştırabiliriz.Bunlardan birtaneside “tcpdump”
“tcpdump -nnei eth3” biraz açmak gerekirse soruce port sorce address mac address ve belirttiğimiz eth ı dinlemesini istiyoruz.
Gaia 77.20 e kadar cluster senkronizasyonunda kullanılan yöntem mac magic ; Aktif node üzerinde virtual mac address olarak konumlanıyordu.
77.30 da bu işlem Gateway olarak kurduğumuz firewal da Cluster Global ID diye değişti , cluster olacak node lar aynı global id ye sahip olmak zorundalar.
Şimdi bu durumda bizim cluster global id lerimiz farklı olduğunu görüyoruz (decimal=hexadecimal)
“Peki sorunu bulduk Coşkun Efendi id lerimiz farklı ,yaptık bi eşeklik silip tekrar dan mı kuracağız “
Tabiki hayır , önce cluster id mizi görmek için kullanacağımız komut “cphaconfig cluster_id get”
“Cphaconf cluster_id set 155”
İki node umuzunda cluster id leri aynı olduğuna göre kontrollerimizi gerçekleştirelim
Artık sync packetlerimiz sürekli artmakta ve clusterımız sağlıklı bir şekilde ayakta.
