Link Aggregation (LAG) op Sophos Firewall configureren
Een Link Aggregation Group (LAG) bundelt twee tot vier fysieke poorten van de Sophos Firewall tot één logisch interface. Dat verhoogt ofwel de beschikbare bandbreedte naar de switch, ofwel zorgt voor redundantie als een poort of kabel uitvalt. LAG wordt, afhankelijk van de fabrikant, ook Trunking, NIC Teaming, NIC Bonding of EtherChannel genoemd.
Sophos Firewall zones en interfaces configureren plaatst LAG al algemeen naast VLAN, Bridge en RED en legt uit wanneer een LAG zinvoller is dan een enkele trunk-poort. Dit artikel gaat een stap verder: het toont de concrete WebAdmin-configuratie, de benodigde switch-tegenzijde, de Xmit Hash Policy en hoe u een LAG na de configuratie netjes test.
Wanneer een LAG zinvol is
Een LAG loont vooral wanneer:
- de core-switch redundant moet worden aangesloten, zodat een enkele poortstoring of een defecte kabel niet de hele verbinding onderbreekt,
- meerdere VLAN’s over dezelfde uplink lopen en individuele poorten hun capaciteitsgrens naderen,
- de firewall meer doorvoer nodig heeft tussen firewall en switch dan een enkele fysieke poort levert,
- een bestaande zone- en VLAN-structuur ongewijzigd moet blijven, maar de fysieke aansluiting robuuster moet worden.
Voor kleine omgevingen met een enkele, netjes geconfigureerde trunk-poort is een LAG vaak niet nodig. Een LAG vervangt bovendien geen nette zonering: uiteindelijk blijft het LAG-interface één enkel interface waaraan een zone wordt toegewezen en waarop VLAN-interfaces kunnen worden opgebouwd.
Vereisten
- Twee tot vier fysieke interfaces die nog niet anderszins gebonden zijn, bijvoorbeeld niet al deel van een bridge, een VLAN of een andere LAG.
- Alle member-interfaces moeten van hetzelfde type zijn en dezelfde snelheid en Full-Duplex ondersteunen.
- Een beheerde switch met LACP-ondersteuning, als 802.3ad wordt gebruikt.
- Fysieke of geplande toegang tot de switch, om de tegenzijde passend te configureren.
- Een onderhoudsvenster, omdat het aanmaken van een LAG de betrokken fysieke poorten tijdelijk uit hun huidige zone en configuratie haalt.
⚠️ PPPoE-, Cellular-WAN- en WLAN-interfaces kunnen niet als LAG-leden worden gebruikt. Alleen ongebonden fysieke interfaces zijn beschikbaar als member.
1. Bonding-modus kiezen
Sophos Firewall ondersteunt twee bonding-modi:
- Active-Backup: één member-link is actief, de overige blijven in standby. Valt de actieve link uit, dan neemt een standby-link het over. Deze modus is eenvoudig, vereist geen bijzondere switch-configuratie en is vooral geschikt voor redundantie.
- 802.3ad (LACP): meerdere links worden parallel gebruikt voor lastverdeling. LACP moet aan beide zijden geactiveerd zijn, alle member-interfaces moeten hetzelfde type en dezelfde snelheid hebben, en alle links moeten Full-Duplex werken.
Voor pure redundantie zonder extra bandbreedte is Active-Backup de eenvoudigere weg. Wie echte meerdoorvoer tussen firewall en switch nodig heeft, moet 802.3ad kiezen, maar moet daarvoor ook de switch-zijde correct configureren.
2. LAG in WebAdmin aanmaken
- Network > Interfaces openen.
- Add interface kiezen, daarna Add LAG.
- Bij Name een duidelijke naam invoeren, bijvoorbeeld
LAG_Core_Uplink. - Bij Hardware name een korte technische naam instellen, maximaal 10 tekens, alleen alfanumeriek en underscores. Deze naam kan na het aanmaken niet meer worden gewijzigd en mag geen gereserveerde systeemnaam gebruiken zoals
all,gre,ethofWLAN. - Onder Member interface twee tot vier passende fysieke interfaces toevoegen.
- Bij Bonding mode Active-Backup of 802.3ad kiezen.
- Bij 802.3ad daarnaast de Xmit Hash Policy instellen: Layer2, Layer2+3 of Layer3+4.
- Zone toewijzen, passend bij het geplande gebruiksdoel, bijvoorbeeld
LANof een dedicated core-zone. - IP assignment kiezen: statisch of DHCP, inclusief IPv4- respectievelijk IPv6-adres bij statische toewijzing.
- Optioneel MTU aanpassen, als het netwerk Jumbo Frames of andere afwijkende waarden gebruikt.
- Optioneel onder MAC address een eigen adres instellen, in plaats van dat van de eerste member-poort over te nemen.
- Save kiezen.
Na het opslaan is het LAG-interface, bijvoorbeeld lag0, beschikbaar als zelfstandig interface. Daarop kunnen vervolgens VLAN-interfaces net zo worden aangemaakt als op een fysieke poort. De werkwijze voor VLAN-interfaces op een LAG is identiek aan VLAN op een fysiek interface en wordt beschreven in Sophos Firewall VLAN configureren en testen.
Xmit Hash Policy correct kiezen
De Xmit Hash Policy bepaalt alleen bij 802.3ad hoe inkomend verkeer over de afzonderlijke member-links wordt verdeeld. Ze beïnvloedt niet of de LAG werkt, maar hoe gelijkmatig de last over de member-poorten wordt verdeeld.
- Layer2: verdeling op basis van bron- en doel-MAC-adres. Eenvoudig, maar bij weinig communicatiepartners vaak onevenwichtig.
- Layer2+3: verdeling daarnaast op basis van IP-adressen. Meestal een goede basisinstelling voor gemengd netwerkverkeer.
- Layer3+4: verdeling daarnaast op basis van poortnummers. Kan bij veel parallelle verbindingen tussen dezelfde hosts een betere verdeling opleveren, maar werkt niet bij elk type verkeer even goed, bijvoorbeeld bij sterk gefragmenteerd of niet-klassiek TCP/UDP-verkeer.
De gekozen policy moet op de firewall en op de switch overeenkomen, zodat beide zijden verkeer consistent verdelen. Een verschil leidt niet noodzakelijk tot een volledige storing, maar kan wel leiden tot eenzijdige belasting van individuele links.
3. Switch-zijde configureren
Een LAG werkt alleen betrouwbaar als de switch-zijde passend is geconfigureerd. Firewall en switch moeten het eens zijn over dezelfde bonding-modus.
Bij Active-Backup volstaat op veel switches een eenvoudige poortconfiguratie zonder speciale trunk-groepering, omdat op elk moment maar één link actief verkeer verwerkt. Toch moet worden gecontroleerd of de switch Spanning Tree of poortbeveiliging zo heeft geconfigureerd dat een wissel van de actieve link niet extra wordt vertraagd.
Bij 802.3ad (LACP) moeten de betrokken switch-poorten:
- in dezelfde link-aggregation-groep liggen, bijvoorbeeld een port-channel bij Cisco-switches of een LAG-groep bij andere fabrikanten,
- LACP actief gebruiken, niet alleen statische bonding zonder protocol,
- dezelfde snelheid en dezelfde duplex-modus als de firewall-zijde gebruiken,
- in dezelfde VLAN-trunking-modus geconfigureerd zijn die past bij de geplande VLAN-structuur op de firewall.
Als alleen op de firewall een LAG wordt aangemaakt, terwijl de switch nog steeds afzonderlijke, onafhankelijke poorten gebruikt, ontstaan vaak moeilijk te doorgronden problemen: gedeeltelijk pakketverlies, asymmetrisch gedrag of een LAG die wel als actief wordt weergegeven, maar niet de verwachte doorvoer levert.
4. LAG na de configuratie testen
Een nieuw aangemaakte LAG mag niet alleen op een groene status worden gecontroleerd, maar ook op reëel gedrag onder storing en belasting.
Zinvolle tests:
- Verbindingstest in normaal bedrijf: doorvoer en bereikbaarheid via de LAG controleren voordat een storing wordt gesimuleerd.
- Eén member-link loskoppelen: een kabel van een member-poort loskoppelen en controleren of de verbinding zonder merkbare onderbreking doorloopt.
- Tweede member-link opnieuw aansluiten: controleren of de link netjes weer in de LAG wordt opgenomen, zonder dat handmatig ingrijpen nodig is.
- Last over meerdere verbindingen verdelen: bij 802.3ad meerdere parallelle verbindingen met verschillende bron-/doelcombinaties genereren en controleren of het verkeer daadwerkelijk over meerdere member-poorten loopt.
- Switch-zijdige status controleren: op de switch nagaan of de port-channel- respectievelijk LACP-groep alle verwachte poorten als actief toont.
Voor de controle van de interface-status op de firewall past de algemene werkwijze uit Sophos Firewall zones en interfaces configureren. Als na de omschakeling managementtoegang, DNS of authenticatie zijn getroffen, helpt daarnaast Sophos Firewall ARP-problemen na migratie oplossen, als meerdere interfaces in hetzelfde subnet betrokken zijn.
Veelvoorkomende fouten
- Member-interfaces met verschillende snelheid of duplex: 802.3ad werkt niet betrouwbaar of helemaal niet. Alle member-poorten moeten identiek geconfigureerd zijn.
- Switch niet omgezet naar LACP: de firewall toont de LAG mogelijk als actief, maar in werkelijkheid loopt slechts één link netjes of is het verkeer instabiel. Switch-zijdige port-channel- respectievelijk LACP-configuratie controleren.
- Interface al anderszins gebonden: een interface die al deel is van een bridge of een VLAN, is niet beschikbaar als LAG-member. Bestaande binding eerst opheffen.
- PPPoE-, Cellular- of WLAN-interface als member gekozen: deze interfacetypes worden door Sophos Firewall niet ondersteund als LAG-lid.
- Xmit Hash Policy tussen firewall en switch verschillend: de LAG werkt, maar de last verdeelt zich eenzijdig over individuele links. Policy op beide zijden op elkaar afstemmen.
- Hardware name achteraf willen wijzigen: dat is niet mogelijk. Bij een verkeerd gekozen naam moet de LAG opnieuw worden aangemaakt.
- Geen failover-test uitgevoerd: een LAG die nooit onder een reële storing is getest, kan in een noodgeval anders reageren dan verwacht. Kabel-loskoppel-test uitvoeren voordat de LAG productief wordt ingezet.
- Zone en firewallregels niet aangepast: na de verhuizing van poorten naar een LAG blijven oude regels soms op de verkeerde interfaces betrekking hebben. Zone- en regeltoewijzing na de migratie controleren.
Checklist
- Twee tot vier passende, ongebonden fysieke interfaces geïdentificeerd.
- Bonding-modus bewust gekozen: Active-Backup voor redundantie, 802.3ad voor lastverdeling.
- Switch-zijde met passende port-channel respectievelijk LACP geconfigureerd.
- Xmit Hash Policy op firewall en switch op elkaar afgestemd, als 802.3ad wordt gebruikt.
- Zone, IP-toewijzing en MTU passend bij het gebruiksdoel ingesteld.
- Failover getest met een losgekoppelde kabel.
- Lastverdeling bij 802.3ad met meerdere parallelle verbindingen gecontroleerd.
- Firewallregels en zonetoewijzing na de omschakeling gecontroleerd.
- Onderhoudsvenster voor de configuratie ingepland, omdat bestaande poorten tijdelijk worden losgekoppeld.