Naar de inhoud
Avanet

Sophos Firewall High Availability (HA) instellen

High Availability, kortweg HA, verbindt twee Sophos Firewalls tot een cluster. Het doel is niet om een enkele firewall onverwoestbaar te maken, maar om de uitval van een apparaat, enkele kritieke poorten of geplande onderhoudswerkzaamheden gecontroleerd op te vangen.

Een HA-omgeving is echter geen vervanging voor goed netwerkontwerp, schone back-ups en gedocumenteerde onderhoudsprocessen. Een verkeerd gepland cluster kan in geval van een storing zelfs moeilijker te beheren zijn dan een enkele firewall. Dit artikel legt daarom niet alleen uit waar je HA inschakelt, maar ook hoe je een Sophos Firewall HA-cluster zinvol plant, instelt, beheert en in geval van een storing controleert.

Inhoudsopgave

Kort samengevat

In de meeste productieve omgevingen is Active-Passive de betere HA-variant. Eén firewall verwerkt al het verkeer, de tweede firewall staat klaar en neemt het over bij uitval of onderhoud. Het ontwerp is eenvoudiger, de licentiekosten zijn lager en het gedrag bij storingen is gemakkelijker te begrijpen.

Active-Active is alleen de moeite waard als je de grenzen en beperkingen bewust accepteert. Het is geen klassiek symmetrisch load balancing, waarbij beide firewalls gelijkwaardig op alle punten in het netwerk staan. De primaire firewall ontvangt nog steeds het verkeer en verdeelt bepaalde verbindingen naar de hulpfirewall. Niet elke dienst en niet elk type verkeer wordt verdeeld.

Als snelle orientatie:

  • Maximale stabiliteit en eenvoudige bedrijfsvoering: Active-Passive.
  • Tweede firewall gebruiken zonder aparte beschermingslicentie: Active-Passive.
  • Meer doorvoer nodig voor bepaalde TCP-verbindingen: Active-Active controleren.
  • Veel VPN-, proxy-, RED-, NDR- of speciale gevallen: Active-Passive verkiezen.
  • Kleine of middelgrote omgeving zonder duidelijk prestatieprobleem: Active-Passive.
  • Duidelijke prestatie-eis en passende licenties voor beide appliances: Active-Active na test.

Videogidsen

De volgende Sophos Techvids tonen HA op Sophos Firewall visueel. De video’s vervangen geen goede planning, maar helpen om QuickHA, rollen, statussen en het basisgedrag van een HA-cluster beter te begrijpen.

Videogids voor HA-configuratie en het gedrag van een Active-Passive-cluster.
Videogids voor HA-configuratie en het gedrag van een Active-Active-cluster.

Wat High Availability op de Sophos Firewall betekent

Een Sophos Firewall HA-cluster bestaat uit twee firewalls. De apparaten wisselen via een speciale HA-Link heartbeats, apparaatgegevens, verbindingsinformatie en configuratiegegevens uit. De configuratie wordt gesynchroniseerd van de primaire firewall naar de hulpfirewall.

HA beschermt tegen typische uitvallen:

  • Uitval van de primaire firewall
  • Stroom- of hardwarefout
  • Uitval van een bewaakte interface
  • Software- of dienstprobleem waardoor een apparaat niet meer functioneel is
  • Geplande firmware-updates
  • Geplande rolwisseling bij onderhoud

HA lost echter niet elk probleem op:

  • Een verkeerde firewallregel blijft ook in het cluster verkeerd.
  • Een gezamenlijke switch-uitval kan beide firewalls tegelijkertijd beïnvloeden.
  • Een defect VLAN-ontwerp of een foutief routeringsconcept wordt niet automatisch gecorrigeerd.
  • Logs en rapporten worden niet volledig tussen beide firewalls gesynchroniseerd.
  • Een back-up blijft verplicht.

Wie HA plant, moet eerst de basisprincipes voor zones, interfaces, VLAN’s, LAG’s en bridges duidelijk hebben. De handleiding Sophos Firewall zones en interfaces plannen en configureren past hierbij.

Active-Passive of Active-Active

Active-Passive

Bij Active-Passive verwerkt één firewall al het productieve verkeer. De tweede firewall is passief en neemt het pas over als de actieve firewall uitvalt of een failover handmatig of door onderhoud wordt geactiveerd.

Typische eigenschappen:

  • Primaire firewall verwerkt het verkeer.
  • Hulpfirewall blijft in stand-by.
  • Sessies worden gesynchroniseerd, voor zover de betreffende dienst dat ondersteunt.
  • Alleen het apparaat met licentie heeft bij hardware-apparaten de beschermingsabonnementen nodig.
  • De hulpfirewall neemt bij failover over met hetzelfde virtuele MAC-adres.
  • Netwerkapparaten hoeven hun buurten meestal niet opnieuw te leren.

Active-Passive is meestal de beste keuze voor klassieke bedrijfsomgevingen, filialen, datacenters en omgevingen waarin stabiliteit belangrijker is dan een mogelijke prestatieverbetering.

Active-Active

Bij Active-Active verwerken beide firewalls verkeer. Toch blijft de architectuur asymmetrisch: de primaire firewall ontvangt het verkeer en beslist of ze een verbinding zelf verwerkt of doorgeeft aan de hulpfirewall.

Sophos gebruikt voor de verdeling onder andere het bron-IP-adres. TCP-verbindingen van even bron-IP-adressen worden meestal op de primaire verwerkt, oneven bron-IP-adressen kunnen naar de hulpfirewall worden doorgestuurd. Niet-TCP-verkeer en bepaalde diensten worden niet gelijk verdeeld.

Typische eigenschappen:

  • Beide firewalls kunnen verkeer verwerken.
  • De primaire firewall blijft het centrale toegangspunt.
  • Beide firewalls hebben passende licenties nodig.
  • Niet alle diensten worden verdeeld.
  • Logs en rapporten worden gegenereerd op het apparaat dat het betreffende verkeer verwerkt.
  • Probleemoplossing wordt complexer omdat verbindingen op beide nodes kunnen landen.

Active-Active is zinvol als er een duidelijk prestatie-doel is en als je van tevoren hebt getest of het relevante verkeer daadwerkelijk wordt verdeeld. Voor pure hoge beschikbaarheid is Active-Passive meestal schoner.

Rollen, status en architectuur

Rollen in het HA-cluster

TermBetekenis
PrimaryApparaat dat de centrale clusterconfiguratie voert. In beide HA-modi ontvangt de primaire het verkeer.
AuxiliaryTweede apparaat in het cluster. Het synchroniseert de configuratie van de primaire en neemt indien nodig over.
Initial primaryHet apparaat dat bij de installatie als primaire is gestart. In Active-Passive is het meestal ook het apparaat met licentie.
Preferred primaryVoorkeursapparaat dat na een failover weer primaire moet worden zodra het stabiel beschikbaar is.

Statuswaarden in bedrijf

StatusBetekenis
ActiveHet apparaat verwerkt verkeer.
PassiveHet apparaat is klaar, maar verwerkt in Active-Passive geen productief verkeer.
StandaloneHet apparaat ziet de peer niet of HA is niet volledig actief. Bij HA-Link-problemen kunnen beide apparaten standalone worden.
FaultyHet apparaat is niet gezond genoeg voor het cluster om normaal deel te nemen.

Virtueel MAC-adres

De Sophos Firewall gebruikt in het HA-cluster virtuele MAC-adressen voor de productieve interfaces. Alleen de primaire beantwoordt ARP-aanvragen voor het cluster. Bij een failover neemt de hulpfirewall dit virtuele MAC-adres over. Hierdoor blijft de bereikbaarheid voor switches, routers en clients stabieler omdat de IP- en MAC-toewijzing niet fundamenteel verandert.

Belangrijk is de Cluster ID. Deze ID wordt gebruikt voor het virtuele MAC-adres. Als meerdere HA-clusters in dezelfde laag-2-omgeving worden gebruikt, moet elk cluster een unieke Cluster ID hebben. Anders kunnen er MAC-conflicten ontstaan.

Wat wordt gesynchroniseerd

  • Firewall-regels, policies, objecten, routing en CLI-configuratie worden van Primary naar Auxiliary gesynchroniseerd.
  • Actieve sessies worden afhankelijk van protocol en dienst gesynchroniseerd.
  • Secure Storage Master Key en WebAdmin-toegangsgegevens worden gesynchroniseerd.
  • Dedicated HA link wordt niet als normale productieve interfaceconfiguratie gesynchroniseerd.
  • Peer Admin Port wordt apart behandeld en niet zoals een normale interface gesynchroniseerd.
  • Logs en reports worden niet tussen de apparaten gesynchroniseerd.

Failover-gedrag

Een failover kan door verschillende gebeurtenissen worden geactiveerd:

  • Geen heartbeats meer via de HA-Link
  • Uitval van een bewaakte poort
  • Stroomuitval
  • Hardwarefout
  • Software- of dienstprobleem
  • Geplande rolwisseling
  • Firmware-update

De heartbeats verlopen via de speciale HA-Link. Standaard worden zeer korte intervallen gebruikt. Als meerdere heartbeats achter elkaar ontbreken, wordt de peer als niet bereikbaar beschouwd. Daarna controleert de firewall de status en voert de rolwisseling uit.

Bij een failover worden veel verbindingen voortgezet of snel opnieuw opgebouwd. Volledig transparant is een failover echter niet voor elke toepassing. Vooral stateful TCP-verbindingen, websessies, proxy-verbindingen of bepaalde VPN-scenario’s kunnen kort onderbroken worden of opnieuw opgebouwd moeten worden.

Load Balancing in Active-Active

Active-Active betekent niet dat beide firewalls als twee gelijkwaardige routers in het netwerk staan. De primaire firewall blijft het centrale toegangspunt en verdeelt bepaalde verbindingen naar de hulpfirewall.

Belangrijke punten:

  • Load Balancing is er alleen in Active-Active.
  • De methode kan niet vrij worden aangepast.
  • Externe load balancers voor een HA-cluster worden door Sophos voor deze HA-logica niet als standaardontwerp gebruikt.
  • Niet al het verkeer wordt verdeeld.
  • Niet-TCP-verkeer, SD-RED, getunneld verkeer en enkele Layer-7-functies kunnen anders worden behandeld.
  • Probleemoplossing moet beide nodes omvatten.

In de praktijk moet Active-Active alleen worden ingezet als van tevoren duidelijk is welk verkeer de knelpunt veroorzaakt en of precies dit verkeer wordt verdeeld.

Ondersteunde en beperkte diensten

Sophos HA ondersteunt de meeste firewall-diensten. Sommige diensten hebben echter bijzonderheden.

  • Firewall-regels en NAT worden gesynchroniseerd. In Active-Active moet men weten welke node een verbinding verwerkt.
  • VPN werkt in veel HA-scenario’s, maar niet elke sessie valt zonder onderbreking om. IPsec kan stateless UDP/ICMP beter overnemen dan stateful TCP.
  • Web Protection werkt in het cluster. Bij Active-Active kunnen alerts van beide nodes komen.
  • Email Protection kan bij quarantaine en vrijgave nodegebonden werken, omdat elk apparaat eigen gegevens voor verwerkte mailtraffic opslaat.
  • Synchronized Application Control is niet geschikt voor Active-Active als de functie in de gebruikte SFOS-versie niet wordt ondersteund.
  • NDR Essentials moet in HA-omgevingen alleen met Active-Passive worden gepland.
  • sFlow draait in HA-omgevingen alleen op de Primary.
  • Reports worden lokaal per apparaat gemaakt. Samengevoegde reports zijn via Sophos Central Firewall Reporting zinvoller.
  • Cellular WAN moet voor HA worden uitgeschakeld.
  • XGS Wi-Fi modellen ondersteunen HA niet.

Als rapportage of logopslag belangrijk is, moet je vroeg plannen of een externe Syslog-server of Sophos Central Firewall Reporting wordt gebruikt. Meer hierover staat in Central Firewall Reporting activeren.

Vereisten

Voor de uitvoering moet je de HA-vereisten goed tegen je eigen omgeving controleren. Vooral modelgelijkheid, firmwareversie, interfaces, Cellular WAN en virtuele platforms zijn punten waar kleine afwijkingen later grote gevolgen kunnen hebben.

Hardware en modelcompatibiliteit

  • Appliance-model: Beide firewalls moeten hetzelfde XGS-model zijn, bijvoorbeeld XGS 2100 met XGS 2100.
  • Hardware-revisie: Verschillende hardware-revisies zijn mogelijk bij hetzelfde XGS-model.
  • XGS Wi-Fi modellen: Niet ondersteund. Voorbeelden zijn XGS 126w of XGS 136w.
  • Flexi Port Module: Als uitbreidingsmodules worden gebruikt, moet het aantal Flexi Ports op beide apparaten gelijk zijn.
  • Firmware: Beide apparaten moeten dezelfde SFOS-versie inclusief Maintenance Release en build gebruiken.
  • Hardware plus virtuele appliance: Niet mogelijk als HA-paar.

Virtuele en software-appliances

Virtuele of software-appliances moeten ook zeer goed op elkaar afgestemd zijn.

  • Platform: Zelfde appliance-type en hetzelfde SFOS-platform.
  • Hypervisor: Zelfde hypervisor-type.
  • Resources: Zelfde CPU-kernen, vergelijkbare resources en hetzelfde aantal netwerkinterfaces.
  • Firmware: Zelfde SFOS-versie inclusief build.
  • MAC-adressen: In virtuele omgevingen kan de optie voor hypervisor-toegewezen MAC-adressen relevant zijn, zodat geen Promiscuous Mode nodig is. Een wijziging veroorzaakt echter downtime.

Cloud-Deployments

In cloud-omgevingen gelden aanvullende platformvereisten. Routing, virtuele interfaces, IP-adressen, Security Groups, UDR’s of cloud-specifieke failover-mechanismen moeten passen bij het betreffende cloud-ontwerp. De normale appliance-HA-aanpak kan niet zonder meer worden toegepast op Azure, AWS of andere cloud-omgevingen.

Als een Sophos Firewall in de cloud wordt gebruikt, moet je voor de HA-planning de actuele Sophos-documentatie voor het betreffende platform en de cloud-netwerkarchitectuur controleren.

Licenties en registratie

De HA-licenties verschillen per platform en HA-modus. Drie vragen zijn doorslaggevend: gaat het om hardware of virtueel/software? Wordt Active-Passive of Active-Active gebruikt? En welk apparaat is de Initial Primary, dus het apparaat dat de licentie voor het cluster houdt? Deze punten moeten voor de uitvoering worden afgestemd met licentiestatus, serienummers en doelmodus.

ScenarioLicentievereiste
De belangrijkste licentiepunten:
  • Base Firewall: Voor HA is een Base Firewall-licentie vereist. Hardware-appliances hebben deze licentie standaard. Bij Virtual/Software-Appliances moet ze passend gelicentieerd zijn.
  • Active-Passive Hardware: Alleen het Initial-Primary-apparaat heeft de productieve Subscriptions nodig. De Auxiliary Firewall ontvangt een kopie van de Subscriptions en kan na een failover traffic verwerken.
  • Active-Active Hardware: Beide firewalls hebben eigen passende licenties nodig. De licentietypen moeten overeenkomen, vervaldatums mogen verschillen.
  • Active-Passive Virtual/Software: Alleen de Primary heeft de benodigde licenties inclusief Base Firewall nodig.
  • Active-Active Virtual/Software: Beide apparaten hebben een eigen Base Firewall-licentie en passende verdere beschermingslicenties nodig.
  • Registratie Hardware: Beide hardware-apparaten moeten bekend zijn in Sophos Central of het Sophos Licensing-portal en hun licenties kunnen synchroniseren.
  • Registratie Virtual/Software Active-Passive: Bij Active-Passive Virtual/Software wordt volgens Sophos alleen de Primary geclaimd.
  • Sophos Central Management: Licentiesynchronisatie en claiming betekenen niet automatisch dat de firewalls ook via Sophos Central Firewall Management worden beheerd. Hiervoor is een passende extra Subscription nodig.
  • RMA en support: Voor hardwarevervanging en Advance Replacement is de supportstatus belangrijk. Bij Active-Passive Hardware noemt Sophos Enhanced Plus Support op het Primary-apparaat als relevante voorwaarde voor Advance Hardware Replacement. Bij Active-Active moet de supportstatus op beide apparaten passen.

Belangrijk: Bij Active-Passive is de Initial Primary bijzonder belangrijk, omdat dit apparaat de licentie voor het cluster houdt. In de HA-weergave staat bij het betreffende apparaat dat het de licentie voor het cluster houdt. Bij twijfel moet je het apparaat in het bedrijfsboek duidelijk documenteren.

Als licenties in Active-Active niet overeenkomen, stopt volgens Sophos eerst het load balancing. Blijft de afwijking langer bestaan, kan HA worden uitgeschakeld. Bij een eerste configuratie wordt Active-Active HA met niet-passende licenties niet correct geactiveerd. Daarom is een licentiecontrole verplicht onderdeel van de bedrijfsroutine.

Bij virtuele/software-appliances is de Base Firewall-licentie bijzonder kritisch. Als deze wordt uitgeschakeld of als de Initial Primary de licentie gedurende langere tijd niet kan synchroniseren, kan HA worden uitgeschakeld en worden andere beschermingsfuncties inactief. Relevant is hier een synchronisatie met de licentieserver minstens één keer binnen 90 dagen. Voor productieve omgevingen betekent dit: de HA-cluster moet niet alleen technisch functioneren, maar ook regelmatig de licentieserver kunnen bereiken.

Voor de bedrijfsvoering moet je minstens documenteren:

  • welk apparaat de Initial Primary is
  • welke serienummers of appliance-ID’s bij het cluster horen
  • welke licenties op welk apparaat actief zijn
  • wanneer de licenties voor het laatst zijn gesynchroniseerd
  • welke supportniveau voor RMA of Advance Replacement aanwezig is
  • wie licentiewijzigingen, verlengingen en RMA-processen goedkeurt

Netwerkvereisten

  • HA-Link: Toegewijde verbinding tussen beide firewalls, idealiter direct met Ethernet-kabel.
  • HA-Link-zone: DMZ-zone met geactiveerde SSH voor de zone.
  • HA-Link-IP-adressen: Statische IP-adressen in hetzelfde subnet, maar verschillende adressen.
  • HA-Link-kwaliteit: Hoge bandbreedte, lage latency, geen pakketverlies.
  • Switches: RSTP activeren op switches die met firewall-poorten zijn verbonden.
  • Monitored Ports: Alleen poorten bewaken die echt aangesloten en kritiek zijn.
  • Cellular WAN: Voor HA uitschakelen.
  • Peer Admin Port: Apart plannen, zodat de Auxiliary Firewall bereikbaar blijft.

De HA-Link verwerkt geen normaal client- of serververkeer. Hij is alleen relevant voor heartbeats, status, sessiesynchronisatie, configuratiesynchronisatie en Active-Active-verdeling. Toch is hij extreem kritisch. Als de HA-Link uitvalt, kunnen beide firewalls denken dat ze de primaire zijn. Precies dit split-brain-scenario moet je vermijden.

De Peer Admin Port is een eigen beheerstoegang tot de Auxiliary Firewall. De beheerpoorten van beide apparaten moeten in hetzelfde subnet liggen, maar verschillende IP-adressen gebruiken. Na de HA-opbouw bereikt men de Auxiliary Firewall alleen via dit Peer-Admin-adres en alleen vanuit een passend netwerk. Als beide apparaten nog dezelfde default-IP gebruiken of de Admin Ports in verschillende subnetten liggen, mislukt HA of is de Auxiliary later niet netjes bereikbaar.

Poorten en interfaces

  • Dedicated HA link: Dient voor heartbeat, status, configuratie- en sessiesynchronisatie. Direct verbinden of via een zeer betrouwbare switch voeren. Niet voor productief traffic gebruiken.
  • Monitored ports: Bewaken kritieke productieve links. WAN, belangrijke DMZ- of core-uplinks bewaken, maar geen ongebruikte poorten selecteren.
  • Peer Admin Port: Geeft toegang tot de Auxiliary WebAdmin. Apart plannen en documenteren; de client moet in het juiste subnet liggen.
  • Productieinterfaces: LAN, WAN, DMZ, VLAN’s en LAG’s op beide firewalls identiek bekabelen en gelijkwaardig ontwerpen.

Als Dedicated HA link zijn fysieke interfaces, VLAN’s of LAG’s mogelijk. Bridge-interfaces en alias-IP-adressen kunnen niet als toegewijde HA-Link worden gebruikt. Als een LAG als HA-Link wordt gebruikt, moeten de parent-interfaces op beide appliances gelijk zijn opgebouwd.

Belangrijk: de Dedicated HA link en een Monitored Port mogen niet hetzelfde interface zijn. Als een interface al in een productieve configuratie wordt gebruikt en toch als HA-Link wordt geselecteerd, kan de firewall afhankelijke interfaceconfiguraties wijzigen of verwijderen. Daarom moet de HA-Link vooraf vrij en gedocumenteerd zijn.

Planning en ontwerp

Aanbevolen topologie voor Active-Passive

Een typisch Active-Passive-ontwerp ziet er als volgt uit:

  • beide firewalls staan in hetzelfde rack of in nabijgelegen racks
  • alle productieve interfaces zijn gelijk bekabeld
  • WAN gaat naar redundante switches of goed gedocumenteerde provider-overgangen
  • LAN/DMZ gaat naar redundante switch-structuren
  • de HA-Link is direct verbonden
  • een aparte beheer- of admin-toegang is voorzien
  • WAN- en core-/DMZ-poorten worden als Monitored Ports gedefinieerd

Het belangrijkste punt: de tweede firewall moet in geval van een storing dezelfde netwerkpositie kunnen overnemen. Daarom moeten VLAN’s, trunks, LAG’s, switchpoorten en providerverbindingen consistent worden gepland.

Aanbevolen topologie voor Active-Active

Active-Active vereist dezelfde fysieke netheid als Active-Passive, maar daarnaast een duidelijke verwachting van het verdeelbare verkeer.

Voor Active-Active moet je beantwoorden:

  • Welk verkeer is de knelpunt?
  • Wordt precies dit verkeer in Active-Active verdeeld?
  • Zijn beide appliances volledig en passend gelicenseerd?
  • Zijn logs, rapporten en probleemoplossingsprocessen op beide nodes voorbereid?
  • Zijn er diensten zoals VPN, NDR, Synchronized Application Control of proxy-scenario’s die tegen Active-Active spreken?

Zonder duidelijk antwoord is Active-Passive de betere keuze.

  • LAN: Interne netwerken netjes zoneren. VLAN’s niet alleen technisch, maar ook qua security plannen.
  • WAN: Providerverbinding, failover-gateways en SD-WAN los van HA bekijken. HA vervangt geen WAN-redundantieconcept.
  • DMZ: Servernetwerken en externe publicaties gescheiden houden van clientnetwerken.
  • HA-Link: Eigen verbinding, statisch geadresseerd, DMZ-zone, SSH voor DMZ toegestaan. Geen gebruikers- of servercommunicatie daarover voeren.
  • Management: Admin-toegang, Device Access en ACL’s bewust beperken.

Voor het beveiligen van de lokale firewall-diensten past Sophos Firewall toegang beveiligen: Device Access correct configureren.

Switch-vereisten

Switches zijn bij HA vaak de onzichtbare risicofactor. Een HA-cluster werkt alleen zo goed als de laag-2-omgeving eronder.

Aanbevelingen:

  • RSTP activeren op betrokken switches.
  • Trunks op beide firewalls identiek configureren.
  • VLAN’s op alle betrokken poorten consistent toestaan.
  • LAG’s identiek bouwen.
  • Geen half-afgewerkte of ongebruikte Monitored Ports selecteren.
  • HA-Link zo mogelijk direct verbinden.
  • Als de HA-Link via switches loopt, moet het pad stabiel, latentiearm en pakketverliesvrij zijn.

VLAN’s, LAG’s, Bridges en RED

VLAN’s en LAG’s zijn in HA mogelijk, maar ze verhogen de planningsvereisten. De HA-cluster moet niet de eerste plaats zijn waar een VLAN- of LAG-ontwerp wordt uitgeprobeerd.

  • VLAN: Op beide apparaten identiek plannen. Parent-interface in acht nemen. VLAN als HA-Link is mogelijk, maar alleen bij zeer schoon ontwerp.
  • LAG: Zinvol voor core-uplinks of redundante switch-aansluiting. Parent-interfaces moeten consistent zijn.
  • Bridge: HA in Bridge Mode wordt ondersteund, maar maakt troubleshooting complexer. Voor nieuwe ontwerpen is Gateway Mode meestal transparanter.
  • RED: RED- en remote-scenario’s kunnen HA beinvloeden, vooral als netwerken over locaties worden gestrekt. Performance, latency en foutbeelden vooraf controleren.
  • VPN: VPN-failover werkt afhankelijk van protocol en sessietype verschillend goed. IPsec en Remote Access apart testen.

Split-Brain vermijden

Split-Brain betekent dat beide firewalls denken dat ze actief of standalone verantwoordelijk zijn. Dit kan gebeuren als de HA-Link uitvalt, maar de apparaten zich nog steeds in het productienetwerk bevinden.

Maatregelen:

  • HA-Link niet via onveilige of instabiele switchpaden leiden.
  • Directe verbinding voor HA-Link verkiezen.
  • Monitored Ports bewust selecteren.
  • RSTP correct configureren.
  • Geen asymmetrische bekabeling.
  • HA-status na elke switch- of VLAN-wijziging controleren.
  • Keepalive-waarden alleen met reden aanpassen.

Voorbereiding van de installatie

Voor de HA-installatie moet je niet in het productienetwerk improviseren. Deze voorbereiding bespaart later veel tijd.

Voorbereiding van beide firewalls

  • Beide firewalls op dezelfde SFOS-versie inclusief build brengen.
  • Licentie- en registratiestatus controleren.
  • Cellular WAN uitschakelen.
  • Zorgen dat de modellen compatibel zijn.
  • Flexi Port-uitrusting controleren.
  • Interfaces en switchpoorten documenteren.
  • HA-Link-poort vaststellen.
  • HA-Link direct bekabelen of het switchpad controleren.
  • Voor de HA-Link DMZ-zone en SSH-toegang plannen.
  • Admin-toegang tot beide apparaten documenteren.
  • Back-up van de bestaande configuratie maken.

Back-ups zijn bij HA niet optioneel. Voor de installatie, voor firmware-updates en voor grotere interface-wijzigingen moet een back-up aanwezig zijn. De basisprincipes staan in Sophos Firewall back-up maken of herstellen.

Vóór de klik op Initiate HA moet daarnaast worden gecontroleerd:

  • Admin-Ports in hetzelfde subnet, maar met verschillende IPs: Anders kan HA niet netjes worden opgebouwd of is de Auxiliary later niet bereikbaar.
  • Dedicated HA link zonder productieve afhankelijkheden: HA kan interface-IP-adressen en afhankelijke configuraties wijzigen.
  • Monitored Ports op beide apparaten verbonden: Een niet-verbonden Monitored Port kan de cluster verhinderen of direct failover activeren.
  • Cluster ID eenduidig: Meerdere HA-clusters in hetzelfde Layer-2-gebied hebben verschillende virtuele MACs nodig.
  • Back-up, SSMK en firmware-build gedocumenteerd: Bij restore, RMA of reimage moet de cluster reproduceerbaar zijn.

QuickHA of handmatige configuratie

  • QuickHA: Standaardgeval. Snel, robuust en voor de meeste Active-Passive- en Active-Active-installaties voldoende.
  • Handmatige configuratie: Zinvol als admin-poorten, HA-Link, Cluster ID, peer-adressen en detailwaarden bewust moeten worden opgegeven.

QuickHA herkent de peer via de gekozen HA-Link-interfaces. Zodra de apparaten elkaar hebben gevonden, wordt het cluster opgebouwd. De passphrase wordt gebruikt voor het opzetten van de versleutelde SSH-tunnel en daarna niet als herbruikbaar wachtwoord behandeld. Als een apparaat wordt vervangen, moet HA worden uitgeschakeld en opnieuw worden geconfigureerd.

De hier beschreven stappen zijn gebaseerd op de officiële Sophos-HA-configuratie, maar zijn bewust als praktijkgerichte admin-checklist geformuleerd. Voor productieve wijzigingen moet je niet alleen de wizard doorlopen, maar rollen, HA-Link, admin-toegang, back-up, licentiestatus en terugweg vooraf documenteren.

Active-Passive instellen met QuickHA

1. Primaire firewall voorbereiden

  1. Aanmelden op de toekomstige primaire firewall in WebAdmin.
  2. Ga naar System services > High availability.
  3. Kies als modus Primary (active-passive).
  4. Gebruik QuickHA.
  5. Optioneel een nodenaam toewijzen, bijvoorbeeld FW01.
  6. Een HA-passphrase instellen.
  7. De passphrase veilig opslaan, omdat deze zo meteen op de hulpfirewall nodig is.
  8. De Dedicated HA link selecteren.
  9. Initiate HA starten.

Opmerkingen:

  • De HA-Link mag geen productieve afhankelijkheden hebben.
  • Als QuickHA een ongebonden interface gebruikt, wijst Sophos deze interface toe aan de DMZ-zone en stelt HA-specifieke instellingen in.
  • De HA-Link gebruikt statische IP-adressen in het Link-Local-bereik als QuickHA de standaardwaarden gebruikt.
  • SSH moet voor de HA-Link-zone zijn toegestaan, omdat de HA-tunnel daarover wordt opgebouwd.

2. Hulpfirewall voorbereiden

  1. Aanmelden op de toekomstige hulpfirewall.
  2. Ga naar System services > High availability.
  3. Kies als rol Auxiliary.
  4. Gebruik QuickHA.
  5. Optioneel een nodenaam toewijzen, bijvoorbeeld FW02.
  6. Dezelfde HA-passphrase invoeren.
  7. Dezelfde HA-Link-poort als aan de primaire zijde selecteren.
  8. Initiate HA starten.

Na de opbouw synchroniseert de primaire firewall de configuratie naar de hulpfirewall. Op de hulpfirewall worden veel lokale instellingen overschreven. Daarom moet de hulpfirewall voor de HA-installatie niet parallel als zelfstandige productieve firewall worden geconfigureerd.

3. Geavanceerde instellingen controleren

Na de clusteropbouw moet je niet zomaar wegklikken, maar de volgende punten controleren:

  • HA-status van beide nodes
  • Rol en status rechtsboven in WebAdmin
  • Dedicated HA link
  • Monitored Ports
  • Peer Admin Port
  • Preferred primary
  • Keepalive-interval en pogingen
  • Licentiehouder bij Active-Passive
  • Sophos Central-registratie, indien gebruikt

4. Monitored Ports instellen

Monitored Ports bepalen of een interface-uitval een failover activeert. Typische kandidaten:

  • WAN-uplink
  • Core-LAN-uplink
  • Belangrijke DMZ- of server-uplinks

Je moet geen poorten bewaken die soms bewust offline zijn, niet bekabeld zijn of alleen voor optionele scenario’s worden gebruikt. Een verkeerd ingestelde Monitored Port is een veelvoorkomende oorzaak van onverwachte failovers of een niet startend cluster.

Active-Active instellen met QuickHA

Active-Active wordt op vergelijkbare wijze ingesteld, maar met een ander doel. Vooraf moeten beide firewalls passend gelicenseerd zijn.

1. Vooraf controleren

  • Beide firewalls hebben passende licenties.
  • De licentietypen komen overeen.
  • Beide apparaten zijn geregistreerd.
  • Beide apparaten draaien op dezelfde SFOS-versie inclusief build.
  • Het relevante verkeer profiteert daadwerkelijk van Active-Active.
  • Diensten met Active-Active-beperkingen zijn gecontroleerd.
  • Monitoring en probleemoplossing zijn op beide nodes gericht.

2. Primaire firewall configureren

  1. Ga naar System services > High availability.
  2. Kies Primary (active-active).
  3. Gebruik QuickHA.
  4. Nodenaam toewijzen.
  5. HA-passphrase instellen.
  6. Dedicated HA link selecteren.
  7. HA starten.

3. Hulpfirewall configureren

  1. Ga op het tweede apparaat naar System services > High availability.
  2. Kies Auxiliary.
  3. Gebruik QuickHA.
  4. Dezelfde passphrase invoeren.
  5. Dezelfde HA-Link-poort selecteren.
  6. HA starten.

4. Na de installatie testen

Bij Active-Active moet meer worden getest dan alleen de HA-status:

  • Worden verbindingen op beide nodes verdeeld?
  • Zijn logs op beide apparaten zichtbaar?
  • Werken VPN-verbindingen na een rolwisseling?
  • Werken Web Protection, IPS, Application Control en relevante beveiligingsfuncties?
  • Zijn er toepassingen die opvallen door asymmetrisch gedrag?
  • Worden rapporten en waarschuwingen zoals verwacht gegenereerd?

Handmatige HA-configuratie

De handmatige HA-configuratie is zinvol als de automatische QuickHA-logica niet genoeg controle biedt.

Typische redenen:

  • Vaste HA-Link-IP-adressen moeten worden gebruikt
  • Peer Admin Port moet precies worden gedefinieerd
  • Cluster ID moet bewust worden ingesteld
  • Meerdere HA-clusters bestaan in dezelfde laag-2-omgeving
  • Virtuele appliances moeten met bepaalde MAC-opties worden gebruikt
  • Een zeer gecontroleerde uitrol is noodzakelijk

Bij de handmatige installatie wordt eerst de hulpfirewall voorbereid en daarna de primaire firewall geconfigureerd. De primaire moet het HA-Link-IP-adres van de peer kennen.

Belangrijke velden:

  • Operation mode: Active-Passive of Active-Active.
  • Initial device role: Primary of Auxiliary.
  • Dedicated HA link: Interface voor heartbeat, status en synchronisatie.
  • Peer HA link IPv4: Adres van de HA-Link-interface op het tweede apparaat.
  • Cluster ID: Basis voor virtuele MAC-adressen. Bij meerdere clusters uniek instellen.
  • Monitored ports: Kritieke poorten waarvan uitval een failover moet activeren.
  • Peer administration settings: Toegang tot de Auxiliary Firewall.
  • Preferred primary: Apparaat dat na failover weer Primary moet worden.
  • Keepalive interval / Attempts: Gevoeligheid van de HA-detectie. Alleen bewust aanpassen.

Cluster valideren

Na de installatie moet het HA-cluster systematisch worden gecontroleerd.

WebAdmin-controle

  1. Aanmelden op de primaire firewall.
  2. Rechtsboven de HA-status controleren.
  3. Ga naar System services > High availability.
  4. Rollen, status, serienummers en modus controleren.
  5. Zorgen dat het cluster gesynchroniseerd is.
  6. Bij Active-Passive controleren welk apparaat de licentie voor het cluster houdt.

CLI-controle

In de Device Console kun je de HA-status weergeven:

system ha show details

Als onduidelijk is welk apparaat de licentiehoudende Initial Primary is, kan in de Advanced Shell deze waarde helpen:

nvram get "#li.master"

YES staat voor het initiële primaire apparaat, NO voor het hulpapparaat. Dergelijke commando’s moet je documenteren en alleen in duidelijke onderhouds- of diagnosegevallen gebruiken.

Als de Shell-toegang nog niet is voorbereid, helpt de handleiding Sophos Firewall verbinden via SSH.

Functionele test

  • Client vanuit het LAN naar het internet testen.
  • Toegang tot interne servers testen.
  • VPN testen.
  • DNAT- of WAF-scenario’s testen.
  • DNS en DHCP testen, als de firewall deze diensten levert.
  • Logs in de Log Viewer controleren.
  • HA-rolwisseling in een onderhoudsvenster testen.
  • Daarna rollen, status en sessiegedrag documenteren.

Bediening en onderhoud

Voortdurende monitoring

Een HA-cluster moet actief worden gemonitord. Alleen omdat er twee firewalls in het rack staan, is de omgeving niet automatisch hoogbeschikbaar.

Gecontroleerd moeten worden:

  • HA-status
  • Rollenstatus Primary/Auxiliary
  • HA-Link
  • Monitored Ports
  • Licentie- en abonnementsstatus
  • Firmware-versies
  • Resources zoals CPU, RAM, schijf
  • Centrale diensten zoals IPS, Web, VPN, DNS, DHCP
  • Logs in de Log Viewer
  • Waarschuwingen in Sophos Central of per e-mail

Voor schijf- en hardwarethema’s moet je beide nodes afzonderlijk bekijken. Lokale rapporten, logbestanden en SSD-status kunnen verschillen. De artikelen Sophos Firewall opslagruimte controleren en rapporten beheren en Sophos Firewall SSD-status controleren met SMART passen hierbij.

Logs en rapporten

Logs en rapporten worden niet eenvoudig tot een gezamenlijke lokale databestand samengevoegd. Elk apparaat schrijft logs voor het verkeer dat het verwerkt. In Active-Active is dit bijzonder belangrijk, omdat verkeer op beide nodes kan verschijnen.

Sophos Central Firewall Reporting is in HA-omgevingen nuttig, omdat het gegevens over meerdere firewalls centraal kan analyseren. Lokale probleemoplossingslogs vind je op de firewall zelf. Het artikel Sophos Firewall probleemoplossing: diensten en logs legt uit welke diensten en logbestanden voor analyses relevant zijn.

Runbook voor de HA-bediening

Een HA-cluster heeft een kort bedrijfs-runbook nodig. Daarin moet staan welk apparaat de Initial Primary is, welke poorten worden bewaakt, hoe je de hulpfirewall bereikt, wie firmware-updates goedkeurt en wanneer HA voor vervanging of reimage wordt uitgeschakeld.

Minstens documenteren:

  • Serienummer, locatie, rackpositie en rol van beide appliances.
  • Dedicated HA link, Peer Admin Port, Cluster ID en Monitored Ports.
  • Preferred primary en verwacht gedrag na failover.
  • Licentiehouder, supportstatus en RMA-contactweg.
  • Procedure voor firmware-update, back-up, reimage en hardwarevervanging.
  • Verantwoordelijke persoon voor logs, Central Reporting, Syslog en supportgevallen.

Als alleen de WebAdmin op een node vastloopt, is niet automatisch het hele HA-cluster defect. Dan moet je gericht controleren of een herstart van de WebAdmin GUI of een gecontroleerde service-herstart voldoende is voordat je failover of reboot activeert.

Wijzigingen aan het cluster

Configuratiewijzigingen worden op de primaire firewall uitgevoerd. De hulpfirewall is niet de plaats voor normale regel-, interface- of policy-wijzigingen.

Voor grotere wijzigingen:

  • Back-up maken.
  • Onderhoudsvenster definiëren.
  • HA-status controleren.
  • Documentatie bijwerken.
  • Rollback-pad vaststellen.
  • Na de wijziging synchronisatie en verkeer testen.

Dit geldt vooral voor:

  • Interfaces
  • VLAN’s
  • LAG’s
  • Zones
  • Routing
  • NAT
  • VPN
  • Device Access
  • SD-WAN

Firmware-updates en back-ups

Firmware-updates in HA-omgevingen

Firmware-updates worden op de primaire firewall gestart. De apparaten worden achtereenvolgens bijgewerkt, en het cluster kan tijdens deze tijd van rol wisselen.

Typische procedure:

  1. Update op de primaire firewall starten.
  2. Hulpfirewall wordt bijgewerkt.
  3. Hulpfirewall start opnieuw en neemt tijdelijk over.
  4. Huidige primaire wordt bijgewerkt.
  5. Huidige primaire start opnieuw.
  6. Als Preferred primary actief is, kan een terugwisseling naar het voorkeursapparaat plaatsvinden.

Toch geldt: firmware-updates horen in een onderhoudsvenster. Ook al is het proces gericht op minimale downtime, kunnen enkele sessies, VPN-verbindingen of speciale toepassingen kort reageren.

Voorbereiding past bij Sophos Firewall firmware-update - voorbereiding en best practices.

Pattern-updates

Pattern-updates worden op de primaire firewall geïnstalleerd en gesynchroniseerd naar de hulpfirewall. Dit geldt ook voor omgevingen waarin updates gecontroleerd of offline worden geïnstalleerd.

Als een HA-cluster in een geïsoleerde omgeving wordt gebruikt, moet voor elke handmatige pattern- of licentie-update duidelijk zijn welk node de Initial Primary is en welk node momenteel de primaire is. De Air-Gap-procedure is beschreven in Sophos Firewall Air-Gap-licentieverlening en pattern-updates beheren.

Back-up en herstel

Back-up en herstel hebben in HA-omgevingen bijzonderheden:

  • Back-ups moeten regelmatig en voor elke grote wijziging worden gemaakt.
  • Herstel vindt plaats op de huidige primaire firewall.
  • Na herstel worden beide firewalls uit Sophos Central gederegistreerd en moeten opnieuw worden geregistreerd.
  • Herstel veroorzaakt herstart en downtime, geen normale failover.
  • Als een back-up zonder HA-configuratie op een HA-cluster wordt hersteld, wordt HA uitgeschakeld en moet opnieuw worden opgebouwd.

Vervanging van een cluster-node

Bij vervanging of reimage van een node moet HA niet zomaar met de oude peer worden voortgezet.

Belangrijke punten:

  • Sophos maakt in het RMA-proces onderscheid of de Auxiliary of de Primary wordt vervangen.
  • RMA en reimage in Active-Passive veroorzaken geplande downtime en moeten niet als normale failover worden behandeld.
  • Voor reimage of vervanging HA netjes uitschakelen.
  • Firmware-versie en build documenteren.
  • Back-up maken.
  • Licentiehouder identificeren.
  • Apparaat uit Sophos Central Management verwijderen als het wordt geretourneerd of vervangen.
  • Nieuw apparaat registreren.
  • HA opnieuw configureren, omdat de oude HA-passphrase niet voor een nieuw apparaat opnieuw wordt gebruikt.

Als de Auxiliary wordt vervangen, draait de gezonde Primary doorgaans eerst als Standalone-HA-apparaat verder. Als de Primary wordt vervangen, moet bijzonder zorgvuldig worden opgehelderd welk apparaat de Initial Primary was, welke back-up wordt gebruikt en wanneer de kabels naar het vervangende apparaat worden omgestoken. In beide gevallen moeten model, hardware-revisie, firmwareversie, build, licentietransfer, Sophos-Central-status en de msync-status worden gedocumenteerd. De dienst en het passende logbestand zijn ingedeeld in het artikel Sophos Firewall Troubleshooting: Services en Logs.

Voor de technische herinstallatie past Sophos Firewall OS opnieuw installeren: reimage met USB-stick. Als er sprake is van een hardwaredefect of RMA-proces, moet ook Sophos hardwaredefect en RMA goed voorbereiden worden ingepland.

Probleemoplossing

Bij diepere foutbeelden moet je gestructureerd blijven: eerst status, HA-Link, Monitored Ports, firmwareversie en licentiestatus controleren, daarna pas speciale gevallen of fabrikantaanwijzingen raadplegen. Zo blijft duidelijk of er een echt HA-probleem is of dat licentie, interface, firmwareversie of monitoring de fout veroorzaken.

Belangrijke logs en diagnoseplaatsen

  • HA-status: System services > High availability.
  • Event Logs: Log viewer > System.
  • Troubleshooting Logs: Diagnostics > Tools of via SSH onder /log.
  • HA-Details CLI: system ha show details.
  • Interface-problemen: show network interfaces, ifconfig, dmesg in passende diagnosegevallen.
  • Licentiehouder: WebAdmin HA-weergave of nvram get "#li.master".

Bij diepere analyses helpt vaak het artikel Sophos Firewall CLI probleemoplossing: belangrijke commando’s.

Typische HA-foutbeelden

  • Cluster wordt niet gevormd, firmwareversie of build verschillend: Versie op beide apparaten controleren en beide firewalls op identieke SFOS-versie brengen.
  • Cluster wordt niet gevormd, model of appliance past niet: Model en serienummer controleren. Voor hardware-HA alleen compatibele gelijke XGS-modellen gebruiken.
  • HA could not be enabled: Dedicated HA link is mogelijk niet verbonden of de peer is niet bereikbaar. Poortstatus, kabel, switch en ping op de HA-Link-IP controleren, daarna bekabeling of HA-Link stabiliseren.
  • HA-Link down: Kabel, switchpoort, VLAN of LAG kan defect zijn. Interface-status, speed/duplex, VLAN-trunk en LAG-leden controleren.
  • Beide apparaten worden Standalone: De HA-Link is uitgevallen, split-brain-gevaar. Fysieke HA-Link-verbinding en switchpad controleren, een apparaat gecontroleerd uitschakelen, HA-Link repareren en daarna weer starten.
  • Auxiliary WebAdmin niet bereikbaar: Peer Admin Port, subnet, route of Device Access passen niet. Admin-Port-IP en toegang vanuit het managementnet controleren.
  • Validation failed for HA interface IP: Admin-Ports of HA-Link-adressen liggen niet in het verwachte subnet. IP-adressen en /log/syslog.log controleren en adressering corrigeren.
  • Failover gebeurt onverwacht: Vaak is een Monitored Port uitgevallen of verkeerd geselecteerd. Monitored Ports en switchstatus controleren en alleen echt kritieke stabiele poorten bewaken.
  • Failover gebeurt niet: De relevante poort wordt waarschijnlijk niet bewaakt. Kritieke WAN-, core- of DMZ-poorten als Monitored Ports invoeren.
  • Active-Active verdeelt niet zoals verwacht: De trafficsoort wordt mogelijk niet load-balanced. Verbindingstype, protocol en logs van beide nodes controleren; bij onduidelijke winst Active-Passive gebruiken of ontwerp aanpassen.
  • Logs lijken te ontbreken: Traffic werd mogelijk door de andere node verwerkt of logging is niet actief. Op beide nodes en in de Log Viewer controleren, logging in regels activeren en Central Reporting of syslog gebruiken.
  • Reports verschillen: Lokale reports zijn nodegebonden. Reports van beide apparaten vergelijken of Sophos Central Firewall Reporting gebruiken.
  • Licentieprobleem in Active-Active: Licentietypen komen mogelijk niet overeen. Licensing op beide firewalls controleren en licenties gelijkmaken.
  • Problemen na firmware-update: Een node is niet correct bijgewerkt of de cluster is niet gesynchroniseerd. HA-status, firmwareversies en logs controleren; bij productieve clusters onderhoudsvenster gebruiken en Sophos Support betrekken.
  • Flexi-Port-HA-Link werkt niet: Speed/duplex of Auto-Negotiation past niet. Interface Advanced settings op beide apparaten controleren en beide zijden gelijk configureren of vaste poort gebruiken.

Als de toegewijde HA-Link uitvalt, is voorzichtigheid geboden. Beide firewalls kunnen elkaar niet meer zien. In het ongunstige geval zenden beide apparaten ARP/GARP en proberen ze de cluster-MAC voor zichzelf op te eisen.

Veilige procedure:

  1. Netwerkstatus stabiliseren.
  2. Beslissen welk apparaat actief moet blijven.
  3. Het andere apparaat gecontroleerd uitschakelen of van het productienetwerk loskoppelen.
  4. HA-Link-kabel, switchpoort, VLAN of LAG repareren.
  5. Apparaat weer starten.
  6. HA-status controleren.
  7. Logs en rollen controleren.

Relevante CLI-commando’s

system ha show details

Toont HA-details in de Device Console.

show network interfaces

Helpt bij interface-status en linkinformatie.

nvram get "#li.master"

Toont in de Advanced Shell of het apparaat de licentiehoudende Initial Primary is.

dmesg | grep PortE

Kan bij bepaalde hardware-/interfaceproblemen aanwijzingen geven over link-flaps.

Niet elk commando hoort in elke omgeving. Voor productieve systemen geldt: eerst status documenteren, dan gericht controleren.

Best-practice checklists

Planning

  • Active-Passive als standaardvariant overwegen.
  • Active-Active alleen met duidelijk prestatie-doel inzetten.
  • Beide apparaten op model, firmware, Flexi Ports en licenties controleren.
  • HA-Link toegewijd en zo mogelijk direct bekabelen.
  • Monitored Ports bewust selecteren.
  • Beheerstoegang tot primaire en hulpfirewall plannen.
  • Cluster ID duidelijk documenteren.
  • Switchontwerp, VLAN’s en LAG’s documenteren.
  • RSTP op relevante switches inplannen.
  • Split-brain-scenario doordenken.
  • Back-up- en herstelproces documenteren.

Implementatie

  • Vooraf back-up maken.
  • Beide firewalls op dezelfde SFOS-versie brengen.
  • Cellular WAN uitschakelen.
  • HA-Link met statische adressering en DMZ-zone voorbereiden.
  • SSH voor de HA-Link-zone toestaan.
  • Primaire en hulpfirewall netjes benoemen.
  • Passphrase alleen voor de installatie gebruiken en daarna niet als permanent admin-wachtwoord behandelen.
  • Na QuickHA geavanceerde instellingen controleren.
  • Monitored Ports pas instellen als duidelijk is welke links stabiel en kritiek zijn.
  • Failover in een onderhoudsvenster testen.

Bedrijf

  • HA-status regelmatig controleren.
  • Licenties en synchronisatie monitoren.
  • Firmware-updates alleen voorbereid en met onderhoudsvenster uitvoeren.
  • Back-ups regelmatig testen.
  • Configuratiewijzigingen alleen op de primaire uitvoeren.
  • Na switch-, VLAN- of interface-wijzigingen HA-status controleren.
  • Logs van beide nodes betrekken.
  • Sophos Central Firewall Reporting of Syslog voor langere analyses gebruiken.
  • Vervanging of reimage van een node alleen met gepland HA-uitschakelen en opnieuw configureren uitvoeren.

Don’ts

  • Geen verschillende modellen clusteren.
  • Geen Wi-Fi-XGS-modellen voor HA plannen.
  • Geen Cellular WAN in HA actief laten.
  • Geen ongebruikte poorten als Monitored Ports instellen.
  • Geen instabiel VLAN of switchpad als HA-Link gebruiken.
  • Geen productieve diensten over de HA-Link voeren.
  • Active-Active niet als eenvoudige verdubbeling van de prestaties beschouwen.
  • Geen wijzigingen op de hulpfirewall verwachten of plannen.
  • Geen herstel zonder onderhoudsvenster uitvoeren.

FAQ

Heb je voor Active-Passive twee volledige licenties nodig?

Bij hardware-appliances heeft in Active-Passive normaal gesproken het Initial-Primary-apparaat de beschermingsabonnementen nodig. De hulpfirewall kan bij failover de abonnements-kopie gebruiken. Bij virtuele of software-appliances moet minstens de primaire passend gelicenseerd zijn. Active-Active vereist passende licenties op beide apparaten.

Kun je twee verschillende XGS-modellen clusteren?

Nee. De apparaten moeten hetzelfde XGS-model zijn. XGS 2100 met XGS 2100 is passend, XGS 2100 met XGS 2300 niet.

Zijn verschillende hardware-revisies toegestaan?

Bij hetzelfde XGS-model kunnen verschillende hardware-revisies mogelijk zijn. Doorslaggevend is dat model, platform en firmwarevereisten worden vervuld.

Kun je een hardware-appliance met een virtuele appliance als HA gebruiken?

Nee. Hardware en virtuele appliance kunnen niet samen een normaal Sophos Firewall HA-paar vormen.

Moet je Preferred primary activeren?

Het is aan te raden, vooral in Active-Passive. Zo is duidelijk welk apparaat na een failover weer primaire moet worden. Bovendien is het licentiehoudende Initial Primary gemakkelijker toe te wijzen.

Worden logs tussen beide firewalls gesynchroniseerd?

Nee. Logs en rapporten worden niet eenvoudig tussen beide apparaten gesynchroniseerd. Voor centrale analyse moet je Sophos Central Firewall Reporting of Syslog gebruiken.

Wie is hauser in de Sophos Firewall-logs?

hauser is geen persoonlijke administrator. Het is de interne HA-gebruiker van Sophos Firewall, die kan verschijnen bij HA-clusteractiviteiten. Daarbij gaat het bijvoorbeeld om synchronisatie, rolwissels, failover of interne clustercommunicatie. Als tegelijk meldingen zoals interface down, monitored port down of HA-statuswijzigingen verschijnen, controleer dan de HA-status, de betrokken poorten en de logs van beide clusternodes.

Om vast te stellen of een persoon een configuratie heeft gewijzigd, zijn Log Viewer, Central-logs en Audit Trail Logs relevanter dan alleen de hauser-vermelding.

Is een firmware-update op een HA-cluster zonder onderbreking?

Het HA-updateproces is gericht op rolwisselingen en zo kort mogelijke onderbrekingen. In de praktijk moet je toch een onderhoudsvenster plannen, omdat enkele sessies of toepassingen kort kunnen reageren.

Wanneer moet je HA uitschakelen?

Voor reimage, hardwarevervanging, RMA-processen of grotere herstelacties moet HA gepland worden uitgeschakeld en daarna netjes opnieuw worden opgebouwd.