Configurare il Link Aggregation (LAG) su Sophos Firewall
Un Link Aggregation Group (LAG) unisce da due a quattro porte fisiche di Sophos Firewall in un’unica interfaccia logica. Questo aumenta la larghezza di banda disponibile verso lo switch oppure garantisce ridondanza se una porta o un cavo si guasta. A seconda del produttore, il LAG viene anche chiamato trunking, NIC teaming, NIC bonding o EtherChannel.
Configurare zone e interfacce su Sophos Firewall inquadra già il LAG in generale accanto a VLAN, bridge e RED e spiega quando un LAG è preferibile a una singola porta trunk. Questo articolo va oltre: mostra la configurazione concreta in WebAdmin, la necessaria controparte sullo switch, la Xmit Hash Policy e come testare correttamente un LAG dopo la configurazione.
Quando un LAG ha senso
Un LAG conviene soprattutto quando:
- lo switch core deve essere collegato in modo ridondante, così che un singolo guasto di porta o un cavo difettoso non interrompa l’intera connessione,
- più VLAN passano sullo stesso uplink e le singole porte raggiungono il limite di capacità,
- il firewall necessita di più throughput tra firewall e switch di quanto ne offra una singola porta fisica,
- una struttura di zone e VLAN esistente deve rimanere invariata, ma il collegamento fisico deve diventare più robusto.
Per ambienti piccoli con una singola porta trunk configurata correttamente, un LAG spesso non è necessario. Un LAG inoltre non sostituisce una zonizzazione pulita: alla fine l’interfaccia LAG rimane un’unica interfaccia a cui viene assegnata una zona e sulla quale possono essere create interfacce VLAN.
Prerequisiti
- Da due a quattro interfacce fisiche non ancora legate ad altro, ad esempio non già parte di un bridge, di una VLAN o di un altro LAG.
- Tutte le interfacce membro devono essere dello stesso tipo e supportare la stessa velocità e full-duplex.
- Uno switch gestito con supporto LACP, se si vuole usare 802.3ad.
- Accesso fisico o pianificato allo switch, per configurare correttamente la controparte.
- Una finestra di manutenzione, perché la creazione di un LAG stacca temporaneamente le porte fisiche coinvolte dalla loro zona e configurazione precedente.
⚠️ Le interfacce PPPoE, cellular WAN e WLAN non possono essere usate come membri di un LAG. Come membri sono selezionabili solo interfacce fisiche non legate.
1. Scegliere la modalità bonding
Sophos Firewall supporta due modalità bonding:
- Active-Backup: un link membro è attivo, gli altri restano in standby. Se il link attivo si guasta, subentra un link in standby. Questa modalità è semplice, non richiede una configurazione particolare dello switch e si adatta soprattutto alla ridondanza.
- 802.3ad (LACP): più link vengono usati in parallelo per la distribuzione del carico. LACP deve essere attivato su entrambi i lati, tutte le interfacce membro devono avere lo stesso tipo e la stessa velocità, e tutti i link devono funzionare in full-duplex.
Per la pura ridondanza senza banda aggiuntiva, Active-Backup è la via più semplice. Chi ha bisogno di un throughput realmente maggiore tra firewall e switch dovrebbe scegliere 802.3ad, ma deve anche configurare correttamente il lato switch.
2. Creare il LAG in WebAdmin
- Aprire Network > Interfaces.
- Selezionare Add interface, poi Add LAG.
- In Name assegnare un nome parlante, ad esempio
LAG_Core_Uplink. - In Hardware name impostare un nome tecnico breve, massimo 10 caratteri, solo alfanumerico e underscore. Questo nome non può più essere modificato dopo la creazione e non deve usare un nome di sistema riservato come
all,gre,ethoWLAN. - In Member interface aggiungere da due a quattro interfacce fisiche adatte.
- In Bonding mode scegliere Active-Backup o 802.3ad.
- Con 802.3ad impostare anche la Xmit Hash Policy: Layer2, Layer2+3 o Layer3+4.
- Assegnare una Zone, adatta allo scopo previsto, ad esempio
LANo una zona core dedicata. - Scegliere IP assignment: statico o DHCP, inclusi indirizzo IPv4 o IPv6 in caso di assegnazione statica.
- Facoltativamente adattare MTU, se la rete usa jumbo frame o altri valori diversi.
- Facoltativamente in MAC address impostare un indirizzo proprio invece di ereditare quello della prima porta membro.
- Selezionare Save.
Dopo il salvataggio, l’interfaccia LAG, ad esempio lag0, è disponibile come interfaccia autonoma. Su di essa si possono creare interfacce VLAN esattamente come su una porta fisica. La procedura per le interfacce VLAN su un LAG è identica a quella per VLAN su un’interfaccia fisica ed è descritta in Configurare e testare VLAN su Sophos Firewall.
Scegliere correttamente la Xmit Hash Policy
La Xmit Hash Policy determina, solo con 802.3ad, come il traffico in ingresso viene distribuito sui singoli link membro. Non influisce sul funzionamento del LAG, ma su quanto uniformemente il carico viene distribuito sulle porte membro.
- Layer2: distribuzione in base all’indirizzo MAC di origine e destinazione. Semplice, ma spesso squilibrata con pochi interlocutori di comunicazione.
- Layer2+3: distribuzione anche in base agli indirizzi IP. Di solito una buona impostazione di base per traffico di rete misto.
- Layer3+4: distribuzione anche in base ai numeri di porta. Può offrire una distribuzione migliore con molte connessioni parallele tra gli stessi host, ma non funziona altrettanto bene con ogni tipo di traffico, ad esempio con traffico TCP/UDP fortemente frammentato o non classico.
La policy scelta deve corrispondere tra firewall e switch, affinché entrambi i lati distribuiscano il traffico in modo coerente. Una differenza non porta necessariamente a un guasto completo, ma può causare un carico squilibrato su singoli link.
3. Configurare il lato switch
Un LAG funziona in modo affidabile solo se il lato switch è configurato correttamente. Firewall e switch devono concordare sulla stessa modalità bonding.
Con Active-Backup, su molti switch è sufficiente una semplice configurazione di porta senza un raggruppamento trunk speciale, perché in ogni momento è attivo un solo link. Va comunque verificato se lo switch ha Spanning Tree o port security configurati in modo tale da non ritardare ulteriormente il passaggio del link attivo.
Con 802.3ad (LACP) le porte switch coinvolte devono:
- trovarsi nello stesso gruppo di link aggregation, ad esempio un port-channel sugli switch Cisco o un gruppo LAG su altri produttori,
- usare attivamente LACP, non solo un bonding statico senza protocollo,
- usare la stessa velocità e la stessa modalità duplex del lato firewall,
- essere configurate nella stessa modalità di VLAN trunking che corrisponde alla struttura VLAN prevista sul firewall.
Se il LAG viene creato solo sul firewall mentre lo switch continua a gestire porte singole e indipendenti, spesso nascono problemi difficili da individuare: perdita parziale di pacchetti, comportamento asimmetrico o un LAG che risulta attivo ma non offre il throughput atteso.
4. Testare il LAG dopo la configurazione
Un LAG appena creato non dovrebbe essere verificato solo tramite lo stato verde, ma sul comportamento reale in caso di guasto e sotto carico.
Test consigliati:
- Test di connessione in funzionamento normale: verificare throughput e raggiungibilità tramite il LAG prima di simulare un guasto.
- Scollegare un singolo link membro: staccare il cavo di una porta membro e verificare se la connessione continua senza interruzioni percepibili.
- Ricollegare il secondo link membro: verificare se il link viene reinserito correttamente nel LAG senza intervento manuale.
- Distribuire il carico su più connessioni: con 802.3ad generare più connessioni parallele con combinazioni origine/destinazione diverse e verificare se il traffico passa effettivamente su più porte membro.
- Verificare lo stato lato switch: controllare sullo switch se il gruppo port-channel o LACP mostra tutte le porte attese come attive.
Per la verifica dello stato dell’interfaccia sul firewall vale la procedura generale descritta in Configurare zone e interfacce su Sophos Firewall. Se dopo la modifica sono interessati accesso di gestione, DNS o autenticazione, aiuta anche Risolvere i problemi ARP dopo una migrazione su Sophos Firewall, se sono coinvolte più interfacce nella stessa subnet.
Errori tipici
- Interfacce membro con velocità o duplex diversi: 802.3ad non funziona in modo affidabile o non funziona affatto. Tutte le porte membro devono essere configurate in modo identico.
- Switch non passato a LACP: il firewall può mostrare il LAG come attivo, ma in realtà solo un link funziona correttamente o il traffico è instabile. Verificare la configurazione port-channel o LACP lato switch.
- Interfaccia già legata altrove: un’interfaccia già parte di un bridge o di una VLAN non è disponibile come membro LAG. Sciogliere prima il legame esistente.
- Interfaccia PPPoE, cellular o WLAN scelta come membro: questi tipi di interfaccia non sono supportati da Sophos Firewall come membri LAG.
- Xmit Hash Policy diversa tra firewall e switch: il LAG funziona, ma il carico si distribuisce in modo squilibrato su singoli link. Allineare la policy su entrambi i lati.
- Voler cambiare successivamente l’Hardware name: non è possibile. Con un nome scelto in modo errato, il LAG deve essere ricreato.
- Nessun test di failover eseguito: un LAG mai testato in caso di guasto reale può reagire in modo diverso dal previsto in caso di emergenza. Eseguire il test di scollegamento del cavo prima dell’uso in produzione.
- Zone e regole firewall non adattate: dopo lo spostamento delle porte in un LAG, le vecchie regole possono rimanere riferite alle interfacce sbagliate. Verificare l’assegnazione di zone e regole dopo la migrazione.
Checklist
- Identificate da due a quattro interfacce fisiche adatte e non legate.
- Modalità bonding scelta consapevolmente: Active-Backup per la ridondanza, 802.3ad per la distribuzione del carico.
- Lato switch configurato con port-channel o LACP corrispondente.
- Xmit Hash Policy allineata tra firewall e switch, se si usa 802.3ad.
- Zona, assegnazione IP e MTU impostate in modo adatto allo scopo.
- Failover testato scollegando il cavo.
- Distribuzione del carico con 802.3ad verificata con più connessioni parallele.
- Regole firewall e assegnazione delle zone controllate dopo la modifica.
- Finestra di manutenzione pianificata per la configurazione, poiché le porte esistenti vengono temporaneamente scollegate.