Ir al contenido
Avanet

Configurar Link Aggregation (LAG) en Sophos Firewall

Un Link Aggregation Group (LAG) agrupa entre dos y cuatro puertos físicos de Sophos Firewall en una interfaz lógica. Esto aumenta el ancho de banda disponible hacia el switch o proporciona redundancia si falla un puerto o un cable. Según el fabricante, LAG también se llama trunking, NIC teaming, NIC bonding o EtherChannel.

Configurar zonas e interfaces en Sophos Firewall ya sitúa de forma general el LAG junto a VLAN, bridge y RED, y explica cuándo tiene sentido un LAG en lugar de un único puerto trunk. Este artículo va un paso más allá: muestra la configuración concreta en WebAdmin, el lado del switch necesario, la Xmit Hash Policy y cómo probar correctamente un LAG después de configurarlo.

Cuándo tiene sentido un LAG

Un LAG merece la pena sobre todo cuando:

  • el switch core debe conectarse de forma redundante, de modo que el fallo de un solo puerto o un cable defectuoso no interrumpa toda la conexión,
  • varias VLAN pasan por el mismo uplink y puertos individuales se acercan a su límite de capacidad,
  • el firewall necesita más rendimiento entre el firewall y el switch del que proporciona un único puerto físico,
  • una estructura de zonas y VLAN existente debe permanecer sin cambios, pero la conexión física necesita ser más robusta.

Para entornos pequeños con un único puerto trunk bien configurado, un LAG suele no ser necesario. Además, un LAG no sustituye una zonificación limpia: al final, la interfaz LAG sigue siendo una única interfaz a la que se asigna una zona y sobre la que se pueden crear interfaces VLAN.

Requisitos previos

  • Entre dos y cuatro interfaces físicas que todavía no estén vinculadas de otra forma, por ejemplo que no formen ya parte de un bridge, una VLAN u otro LAG.
  • Todas las interfaces miembro deben ser del mismo tipo y soportar la misma velocidad y full-duplex.
  • Un switch gestionado con soporte LACP, si se va a usar 802.3ad.
  • Acceso físico o planificado al switch para configurar el lado contrario de forma adecuada.
  • Una ventana de mantenimiento, porque crear un LAG desvincula temporalmente los puertos físicos implicados de su zona y configuración anteriores.

⚠️ Las interfaces PPPoE, Cellular WAN y WLAN no pueden usarse como miembros de un LAG. Solo las interfaces físicas no vinculadas (unbound) están disponibles como miembros.

1. Elegir el modo de bonding

Sophos Firewall soporta dos modos de bonding:

  • Active-Backup: un enlace miembro está activo, los demás permanecen en standby. Si falla el enlace activo, un enlace en standby lo asume. Este modo es simple, no requiere una configuración especial del switch y es adecuado sobre todo para redundancia.
  • 802.3ad (LACP): varios enlaces se usan en paralelo para repartir la carga. LACP debe estar activado en ambos lados, todas las interfaces miembro deben tener el mismo tipo y la misma velocidad, y todos los enlaces deben funcionar en full-duplex.

Para redundancia pura sin ancho de banda adicional, Active-Backup es el camino más sencillo. Quien necesite un mayor rendimiento real entre el firewall y el switch debería elegir 802.3ad, pero también debe configurar correctamente el lado del switch.

2. Crear el LAG en WebAdmin

  1. Abrir Network > Interfaces.
  2. Elegir Add interface y después Add LAG.
  3. En Name, asignar un nombre descriptivo, por ejemplo LAG_Core_Uplink.
  4. En Hardware name, definir un nombre técnico corto, de máximo 10 caracteres, solo alfanumérico y guiones bajos. Este nombre ya no se puede cambiar después de crearlo y no debe usar un nombre de sistema reservado como all, gre, eth o WLAN.
  5. En Member interface, añadir entre dos y cuatro interfaces físicas adecuadas.
  6. En Bonding mode, elegir Active-Backup u 802.3ad.
  7. Con 802.3ad, definir además la Xmit Hash Policy: Layer2, Layer2+3 o Layer3+4.
  8. Asignar la Zone correspondiente al uso previsto, por ejemplo LAN o una zona core dedicada.
  9. Elegir IP assignment: estática o DHCP, incluyendo la dirección IPv4 o IPv6 en caso de asignación estática.
  10. Opcionalmente ajustar la MTU, si la red usa Jumbo Frames u otros valores distintos.
  11. Opcionalmente definir en MAC address una dirección propia, en lugar de heredar la del primer puerto miembro.
  12. Elegir Save.

Después de guardar, la interfaz LAG, por ejemplo lag0, queda disponible como interfaz independiente. Sobre ella se pueden crear después interfaces VLAN igual que sobre un puerto físico. El procedimiento para interfaces VLAN sobre un LAG es idéntico al de VLAN sobre una interfaz física y está descrito en Configurar y probar VLAN en Sophos Firewall.

Elegir correctamente la Xmit Hash Policy

La Xmit Hash Policy solo decide, con 802.3ad, cómo se reparte el tráfico entrante entre los enlaces miembro. No influye en si el LAG funciona, sino en cuán uniformemente se distribuye la carga entre los puertos miembro.

  • Layer2: distribución según la dirección MAC de origen y destino. Simple, pero a menudo desequilibrada con pocos interlocutores de comunicación.
  • Layer2+3: distribución adicional según las direcciones IP. Suele ser una buena configuración base para tráfico de red mixto.
  • Layer3+4: distribución adicional según los números de puerto. Puede ofrecer un mejor reparto con muchas conexiones paralelas entre los mismos hosts, pero no funciona igual de bien con todo tipo de tráfico, por ejemplo con tráfico muy fragmentado o que no es TCP/UDP clásico.

La policy elegida debe coincidir entre el firewall y el switch para que ambos lados repartan el tráfico de forma consistente. Una diferencia no provoca necesariamente un fallo completo, pero puede producir una carga desigual en enlaces individuales.

3. Configurar el lado del switch

Un LAG solo funciona de forma fiable si el lado del switch está configurado correctamente. El firewall y el switch deben coincidir en el mismo modo de bonding.

Con Active-Backup, en muchos switches basta una configuración de puerto simple sin agrupación trunk especial, porque en cada momento solo un enlace transporta tráfico activo. Aun así, debería comprobarse si Spanning Tree o la seguridad de puerto del switch están configurados de forma que un cambio del enlace activo no se retrase adicionalmente.

Con 802.3ad (LACP), los puertos del switch implicados deben:

  • estar en el mismo grupo de link aggregation, por ejemplo un port-channel en switches Cisco o un grupo LAG en otros fabricantes,
  • usar LACP activamente, no solo bonding estático sin protocolo,
  • usar la misma velocidad y el mismo modo dúplex que el lado del firewall,
  • estar configurados en el mismo modo de trunking VLAN que coincida con la estructura VLAN planificada en el firewall.

Si solo se crea un LAG en el firewall pero el switch sigue operando puertos individuales e independientes, suelen aparecer problemas difíciles de rastrear: pérdida parcial de paquetes, comportamiento asimétrico o un LAG que se muestra como activo pero no proporciona el rendimiento esperado.

4. Probar el LAG después de la configuración

Un LAG recién creado no debería comprobarse solo por su estado en verde, sino por su comportamiento real ante fallos y carga.

Pruebas recomendadas:

  1. Prueba de conexión en funcionamiento normal: comprobar el rendimiento y la alcanzabilidad a través del LAG antes de simular un fallo.
  2. Desconectar un enlace miembro individual: desconectar el cable de un puerto miembro y comprobar si la conexión continúa sin interrupción perceptible.
  3. Volver a conectar el segundo enlace miembro: comprobar si el enlace se reincorpora correctamente al LAG sin necesidad de intervención manual.
  4. Repartir la carga entre varias conexiones: con 802.3ad, generar varias conexiones paralelas con distintas combinaciones de origen/destino y comprobar si el tráfico realmente pasa por varios puertos miembro.
  5. Comprobar el estado en el switch: en el switch, verificar si el grupo port-channel o LACP muestra todos los puertos esperados como activos.

Para comprobar el estado de las interfaces en el firewall, encaja el procedimiento general de Configurar zonas e interfaces en Sophos Firewall. Si tras el cambio se ven afectados el acceso de administración, el DNS o la autenticación, ayuda además Solucionar problemas de ARP en Sophos Firewall tras una migración, si hay varias interfaces implicadas en la misma subred.

Errores típicos

  • Interfaces miembro con distinta velocidad o dúplex: 802.3ad no funciona de forma fiable o directamente no funciona. Todos los puertos miembro deben estar configurados de forma idéntica.
  • Switch no cambiado a LACP: el firewall puede mostrar el LAG como activo, pero en realidad solo un enlace funciona correctamente o el tráfico es inestable. Comprobar la configuración port-channel o LACP en el switch.
  • Interfaz ya vinculada de otra forma: una interfaz que ya forma parte de un bridge o de una VLAN no está disponible como miembro de LAG. Deshacer primero el vínculo existente.
  • Interfaz PPPoE, Cellular o WLAN elegida como miembro: Sophos Firewall no soporta estos tipos de interfaz como miembro de un LAG.
  • Xmit Hash Policy distinta entre firewall y switch: el LAG funciona, pero la carga se reparte de forma desigual entre los enlaces. Alinear la policy en ambos lados.
  • Querer cambiar el Hardware name después: no es posible. Con un nombre mal elegido hay que volver a crear el LAG.
  • No se realizó ninguna prueba de failover: un LAG que nunca se ha probado bajo una interrupción real puede reaccionar de forma distinta a la esperada en un caso grave. Realizar la prueba de desconectar el cable antes de ponerlo en producción.
  • Zonas y reglas de firewall no adaptadas: tras trasladar puertos a un LAG, las reglas antiguas pueden quedar referidas a las interfaces incorrectas. Comprobar la asignación de zonas y reglas después de la migración.

Checklist

  • Identificadas entre dos y cuatro interfaces físicas adecuadas y no vinculadas (unbound).
  • Modo de bonding elegido conscientemente: Active-Backup para redundancia, 802.3ad para reparto de carga.
  • Lado del switch configurado con el port-channel o LACP correspondiente.
  • Xmit Hash Policy coordinada entre firewall y switch, si se usa 802.3ad.
  • Zona, asignación de IP y MTU configuradas según el uso previsto.
  • Failover probado desconectando el cable.
  • Reparto de carga con 802.3ad comprobado con varias conexiones paralelas.
  • Reglas de firewall y asignación de zonas revisadas después del cambio.
  • Ventana de mantenimiento planificada para la configuración, ya que los puertos existentes se desconectan temporalmente.

FAQ

¿Cuántas interfaces puede agrupar un LAG en Sophos Firewall?

Un LAG consta de entre dos y cuatro interfaces físicas. No es posible tener más puertos miembro.

¿Qué tipos de interfaz no pueden usarse como miembro de un LAG?

Las interfaces PPPoE, Cellular WAN y WLAN no pueden usarse como miembro de un LAG. Solo las interfaces físicas no vinculadas (unbound) están disponibles para elegir.

¿Cuál es la diferencia entre Active-Backup y 802.3ad?

Con Active-Backup, siempre hay un único enlace activo, los demás están en standby. Con 802.3ad (LACP), varios enlaces trabajan en paralelo y reparten la carga, pero para ello necesitan una configuración LACP adecuada en el switch.

¿Hay que configurar el switch de forma especial para un LAG?

Sí, especialmente con 802.3ad. Los puertos del switch implicados deben estar en el mismo grupo de link aggregation y usar LACP activamente. Sin una configuración adecuada del switch, el reparto de carga no funciona de forma fiable.

¿Se puede cambiar más adelante el nombre de hardware de un LAG?

No. El nombre de hardware se define al crearlo y no se puede cambiar después. Con un nombre incorrecto hay que volver a crear el LAG.