Link Aggregation (LAG) auf Sophos Firewall einrichten
Eine Link Aggregation Group (LAG) bündelt zwei bis vier physische Ports der Sophos Firewall zu einem logischen Interface. Das erhöht entweder die verfügbare Bandbreite zum Switch oder sorgt für Redundanz, wenn ein Port oder ein Kabel ausfällt. LAG wird je nach Hersteller auch Trunking, NIC Teaming, NIC Bonding oder EtherChannel genannt.
Sophos Firewall Zonen und Interfaces konfigurieren ordnet LAG bereits allgemein neben VLAN, Bridge und RED ein und erklärt, wann ein LAG statt eines einzelnen Trunk-Ports sinnvoll ist. Dieser Artikel geht einen Schritt weiter: Er zeigt die konkrete WebAdmin-Konfiguration, die notwendige Switch-Gegenseite, die Xmit-Hash-Policy und wie man einen LAG nach der Einrichtung sauber testet.
Wann ein LAG sinnvoll ist
Ein LAG lohnt sich vor allem, wenn:
- der Core-Switch redundant angebunden werden soll, damit ein einzelner Portausfall oder ein defektes Kabel nicht die ganze Verbindung unterbricht,
- mehrere VLANs über denselben Uplink laufen und einzelne Ports an ihre Kapazitätsgrenze kommen,
- die Firewall mehr Durchsatz zwischen Firewall und Switch benötigt, als ein einzelner physischer Port liefert,
- eine bestehende Zonen- und VLAN-Struktur unverändert bleiben soll, aber die physische Anbindung robuster werden muss.
Für kleine Umgebungen mit einem einzelnen, sauber konfigurierten Trunk-Port ist ein LAG oft nicht nötig. Ein LAG ersetzt ausserdem keine saubere Zonierung: Am Ende bleibt das LAG-Interface ein einzelnes Interface, dem eine Zone zugewiesen wird und auf dem VLAN-Interfaces aufgebaut werden können.
Voraussetzungen
- Zwei bis vier physische Interfaces, die noch nicht anderweitig gebunden sind, zum Beispiel nicht bereits Teil einer Bridge, eines VLANs oder eines anderen LAG.
- Alle Member-Interfaces müssen vom gleichen Typ sein und dieselbe Geschwindigkeit sowie Full-Duplex unterstützen.
- Ein verwalteter Switch mit LACP-Unterstützung, wenn 802.3ad verwendet werden soll.
- Physischer oder geplanter Zugriff auf den Switch, um die Gegenseite passend zu konfigurieren.
- Ein Wartungsfenster, weil das Anlegen eines LAG die beteiligten physischen Ports vorübergehend aus ihrer bisherigen Zone und Konfiguration löst.
⚠️ PPPoE-, Cellular-WAN- und WLAN-Interfaces können nicht als LAG-Mitglieder verwendet werden. Nur unbound physische Interfaces stehen als Member zur Auswahl.
1. Bonding-Modus wählen
Sophos Firewall unterstützt zwei Bonding-Modi:
- Active-Backup: Ein Member-Link ist aktiv, die übrigen bleiben im Standby. Fällt der aktive Link aus, übernimmt ein Standby-Link. Dieser Modus ist einfach, braucht keine besondere Switch-Konfiguration und eignet sich vor allem für Redundanz.
- 802.3ad (LACP): Mehrere Links werden parallel für Lastverteilung genutzt. LACP muss auf beiden Seiten aktiviert sein, alle Member-Interfaces müssen denselben Typ und dieselbe Geschwindigkeit haben, und alle Links müssen Full-Duplex arbeiten.
Für reine Redundanz ohne zusätzliche Bandbreite ist Active-Backup der einfachere Weg. Wer echten Mehrdurchsatz zwischen Firewall und Switch braucht, sollte 802.3ad wählen, muss dafür aber auch die Switch-Seite korrekt konfigurieren.
2. LAG in WebAdmin anlegen
- Network > Interfaces öffnen.
- Add interface wählen, danach Add LAG.
- Bei Name einen sprechenden Namen vergeben, zum Beispiel
LAG_Core_Uplink. - Bei Hardware name einen kurzen technischen Namen setzen, maximal 10 Zeichen, nur alphanumerisch und Unterstriche. Dieser Name kann nach dem Anlegen nicht mehr geändert werden und darf keinen reservierten Systemnamen wie
all,gre,ethoderWLANverwenden. - Unter Member interface zwei bis vier passende physische Interfaces hinzufügen.
- Bei Bonding mode Active-Backup oder 802.3ad wählen.
- Bei 802.3ad zusätzlich die Xmit Hash Policy setzen: Layer2, Layer2+3 oder Layer3+4.
- Zone zuweisen, passend zum geplanten Einsatzzweck, zum Beispiel
LANoder eine dedizierte Core-Zone. - IP assignment wählen: statisch oder DHCP, inklusive IPv4- beziehungsweise IPv6-Adresse bei statischer Zuweisung.
- Optional MTU anpassen, falls das Netzwerk Jumbo Frames oder andere abweichende Werte verwendet.
- Optional unter MAC address eine eigene Adresse setzen, statt die des ersten Member-Ports zu übernehmen.
- Save wählen.
Nach dem Speichern steht das LAG-Interface, zum Beispiel lag0, als eigenständiges Interface zur Verfügung. Darauf lassen sich anschliessend VLAN-Interfaces genauso anlegen wie auf einem physischen Port. Die Vorgehensweise für VLAN-Interfaces auf einem LAG ist identisch zu VLAN auf einem physischen Interface und in Sophos Firewall VLAN einrichten und testen beschrieben.
Xmit Hash Policy richtig wählen
Die Xmit Hash Policy entscheidet nur bei 802.3ad, wie eingehender Traffic auf die einzelnen Member-Links verteilt wird. Sie beeinflusst nicht, ob der LAG funktioniert, sondern wie gleichmässig die Last auf die Member-Ports verteilt wird.
- Layer2: Verteilung nach Quell- und Ziel-MAC-Adresse. Einfach, aber bei wenigen Kommunikationspartnern oft unausgeglichen.
- Layer2+3: Verteilung zusätzlich nach IP-Adressen. Meistens eine gute Grundeinstellung für gemischten Netzwerkverkehr.
- Layer3+4: Verteilung zusätzlich nach Port-Nummern. Kann bei vielen parallelen Verbindungen zwischen denselben Hosts eine bessere Verteilung liefern, funktioniert aber nicht bei jedem Traffic-Typ gleich gut, zum Beispiel bei stark fragmentiertem oder nicht klassischem TCP/UDP-Traffic.
Die gewählte Policy muss auf der Firewall und auf dem Switch zusammenpassen, damit beide Seiten Traffic konsistent verteilen. Ein Unterschied führt nicht zwingend zu einem Komplettausfall, kann aber zu einseitiger Auslastung einzelner Links führen.
3. Switch-Seite konfigurieren
Ein LAG funktioniert nur zuverlässig, wenn die Switch-Seite passend konfiguriert ist. Firewall und Switch müssen sich über denselben Bonding-Modus einig sein.
Bei Active-Backup reicht auf vielen Switches eine einfache Portkonfiguration ohne spezielle Trunk-Gruppierung, weil zu jedem Zeitpunkt nur ein Link aktiv Traffic führt. Trotzdem sollte geprüft werden, ob der Switch Spanning Tree oder Portsicherheit so konfiguriert hat, dass ein Wechsel des aktiven Links nicht zusätzlich verzögert wird.
Bei 802.3ad (LACP) müssen die beteiligten Switch-Ports:
- in derselben Link-Aggregation-Gruppe liegen, zum Beispiel einem Port-Channel bei Cisco-Switches oder einer LAG-Gruppe bei anderen Herstellern,
- LACP aktiv verwenden, nicht nur statisches Bonding ohne Protokoll,
- dieselbe Geschwindigkeit und denselben Duplex-Modus wie die Firewall-Seite verwenden,
- im selben VLAN-Trunking-Modus konfiguriert sein, der zur geplanten VLAN-Struktur auf der Firewall passt.
Wenn nur auf der Firewall ein LAG erstellt wird, der Switch aber weiterhin einzelne, unabhängige Ports betreibt, entstehen häufig schwer nachvollziehbare Probleme: teilweiser Paketverlust, asymmetrisches Verhalten oder ein LAG, der zwar als aktiv angezeigt wird, aber nicht den erwarteten Durchsatz liefert.
4. LAG nach der Einrichtung testen
Ein neu angelegter LAG sollte nicht nur auf grünen Status geprüft werden, sondern auf reales Verhalten unter Ausfall und Last.
Sinnvolle Tests:
- Verbindungstest im Normalbetrieb: Durchsatz und Erreichbarkeit über den LAG prüfen, bevor ein Ausfall simuliert wird.
- Einzelnen Member-Link trennen: Ein Kabel eines Member-Ports ziehen und prüfen, ob die Verbindung ohne spürbare Unterbrechung weiterläuft.
- Zweiten Member-Link wieder verbinden: Prüfen, ob der Link sauber wieder in den LAG aufgenommen wird, ohne dass ein manueller Eingriff nötig ist.
- Last auf mehrere Verbindungen verteilen: Bei 802.3ad mehrere parallele Verbindungen mit unterschiedlichen Quell-/Zielkombinationen erzeugen und prüfen, ob der Traffic tatsächlich über mehrere Member-Ports läuft.
- Switch-seitigen Status prüfen: Auf dem Switch kontrollieren, ob die Port-Channel- beziehungsweise LACP-Gruppe alle erwarteten Ports als aktiv anzeigt.
Für die Prüfung des Interface-Status auf der Firewall passt die allgemeine Vorgehensweise aus Sophos Firewall Zonen und Interfaces konfigurieren. Wenn nach der Umstellung Managementzugriff, DNS oder Authentifizierung betroffen sind, hilft zusätzlich Sophos Firewall ARP-Probleme nach Migration beheben, falls mehrere Interfaces im gleichen Subnetz beteiligt sind.
Typische Fehler
- Member-Interfaces mit unterschiedlicher Geschwindigkeit oder Duplex: 802.3ad funktioniert nicht zuverlässig oder gar nicht. Alle Member-Ports müssen identisch konfiguriert sein.
- Switch nicht auf LACP umgestellt: Die Firewall zeigt den LAG unter Umständen als aktiv, tatsächlich läuft aber nur ein Link sauber oder der Traffic ist instabil. Switch-seitige Port-Channel- beziehungsweise LACP-Konfiguration prüfen.
- Interface bereits anderweitig gebunden: Ein Interface, das schon Teil einer Bridge oder eines VLANs ist, steht nicht als LAG-Member zur Verfügung. Bestehende Bindung zuerst auflösen.
- PPPoE-, Cellular- oder WLAN-Interface als Member gewählt: Diese Interface-Typen werden von Sophos Firewall nicht als LAG-Mitglied unterstützt.
- Xmit Hash Policy zwischen Firewall und Switch unterschiedlich: Der LAG läuft, aber die Last verteilt sich einseitig auf einzelne Links. Policy auf beiden Seiten angleichen.
- Hardware name nachträglich ändern wollen: Das ist nicht möglich. Bei einem falsch gewählten Namen muss der LAG neu angelegt werden.
- Kein Failover-Test durchgeführt: Ein LAG, der nie unter realer Störung getestet wurde, kann im Ernstfall anders reagieren als erwartet. Kabel-Zieh-Test vor dem produktiven Einsatz durchführen.
- Zone und Firewall-Regeln nicht angepasst: Nach dem Umzug von Ports in einen LAG bleiben alte Regeln unter Umständen auf die falschen Interfaces bezogen. Zonen- und Regelzuordnung nach der Migration prüfen.
Checkliste
- Zwei bis vier passende, unbound physische Interfaces identifiziert.
- Bonding-Modus bewusst gewählt: Active-Backup für Redundanz, 802.3ad für Lastverteilung.
- Switch-Seite mit passendem Port-Channel beziehungsweise LACP konfiguriert.
- Xmit Hash Policy auf Firewall und Switch abgestimmt, falls 802.3ad verwendet wird.
- Zone, IP-Zuweisung und MTU passend zum Einsatzzweck gesetzt.
- Failover mit gezogenem Kabel getestet.
- Lastverteilung bei 802.3ad mit mehreren parallelen Verbindungen geprüft.
- Firewall-Regeln und Zonenzuordnung nach der Umstellung kontrolliert.
- Wartungsfenster für die Einrichtung eingeplant, da bestehende Ports vorübergehend getrennt werden.