小弟正自学r82 cluster lab,但总是建不起来,以下是我的操作步骤,还请大大们教学,感激不尽!1)拓朴
2)我的cp1 & cp2仅安装gateway、并勾选clusterXL;反之sms仅安装management。
3)sms已成功纳管cp1 & cp2
4)建立cluster
5)增加cp1 & cp2作为cluster members
6)clusterXL预设值
7)cluster所有介面设定
8)重点来了! 在publish后(发布成功),我不知道哪个步骤错误,不但无法做cluster,连cp1 & cp2也失联
2 个回答
1
bluegrass
iT邦高手 1 级 ‧ 2024-12-19 22:36:42
最佳解答
你DEPLOY CLUSTER GATEWAY的时候
两只GATEWAYS的那个预设POLICY PACKAGE有改动过不?
下次INSTALL之前, 试试在POLICY PACKAGE最上方加入一条POLICY:
Source: 192.168.123.0/24
Destination: 一样都是 192.168.123.0/24
ACTION: ALLOW
SERVICE: ANY
看看成功不.
-
4 -
-
看更多先前的...收起先前的...
I.T. Wang
iT邦研究生 5 级 ‧
2024-12-21 16:16:53
失败。
参考大大建议,我做了两种测试
1.前面步骤如同我的发问截图,然后new policy,结果失败
2.publish & install同时做,仍失败,如截图步骤
3.
我看fail log,我的理解是gaia要求先publish cluster的配置,才能install policy到目标物件(如理解有务请更正我),但又回到1.的测试步骤。
修改
I.T. Wang
iT邦研究生 5 级 ‧
2024-12-22 21:12:34
已解决。
1.我改用增加gw,取代新增已存在gw
2.在cluster取消anti-bot & advanced dns, anti-virus
3.在cp1&cp2所有介面取消执行anti-spoofing
4.先publish,虽然仍会失联cluster & members,但目的是为了install policy需要目标物件;
再去create policy,成功!
但更让我困惑的是,我非常确定成功因素包含创建这条策略,但我试着停用甚至删除它,理论上我的cluster & member应该又失联,事实上却仍运作正常。
总之,谢谢大大帮忙
修改
CyberSerge
iT邦好手 1 级 ‧
2024-12-25 14:55:28
预设POLICY要先允许,然后antispoofing也是要先关闭或调成detect,等cluster 创建完成之后再改回来
How to use the fw ctl zdebug command to view drops on the Security Gateway
https://support.checkpoint.com/results/sk/sk167457
修改
I.T. Wang
iT邦研究生 5 级 ‧
2024-12-27 13:56:25
@CyberSerge
谢谢您,我再试试看
修改
0
CyberSerge
iT邦好手 1 级 ‧ 2024-12-22 02:20:22
check below. The versions are different but steps are similar
https://sc1.checkpoint.com/documents/R81/WebAdminGuides/EN/CP_R81_Installation_and_Upgrade_Guide/Topics-IUG/Installing-ClusterXL-Cluster.htm#:~:text=In%20the%20Check%20Point%20Security,Creation%20window%2C%20click%20Wizard%20Mode.&text=On%20the%20Cluster%20General%20Properties,es)%20for%20this%20ClusterXL%20object.
https://sc1.checkpoint.com/documents/R80.30/WebAdminGuides/EN/CP_R80.30_ClusterXL_AdminGuide/html_frameset.htm?topic=documents/R80.30/WebAdminGuides/EN/CP_R80.30_ClusterXL_AdminGuide/106999