Przejdz do tresci
Avanet

Konfiguracja wysokiej dostępności (HA) Sophos Firewall

Wysoka dostępność, w skrócie HA, łączy dwie zapory Sophos w klaster. Celem nie jest uczynienie pojedynczej zapory niezniszczalną, lecz kontrolowane przechwytywanie awarii urządzenia, poszczególnych krytycznych portów lub planowanych prac konserwacyjnych.

Środowisko HA nie zastępuje jednak dobrego projektowania sieci, czystych kopii zapasowych i udokumentowanych procesów konserwacyjnych. Źle zaplanowany klaster może w przypadku awarii być trudniejszy w obsłudze niż pojedyncza zapora. Dlatego ten artykuł wyjaśnia nie tylko, gdzie włączyć HA, ale także jak sensownie zaplanować, skonfigurować, obsługiwać i sprawdzać klaster HA Sophos Firewall w przypadku awarii.

Spis treści

Podsumowanie

W większości środowisk produkcyjnych Active-Passive jest lepszym wariantem HA. Jedna zapora przetwarza cały ruch, druga jest gotowa do przejęcia w przypadku awarii lub konserwacji. Projekt jest prostszy, licencjonowanie tańsze, a zachowanie w przypadku awarii łatwiejsze do zrozumienia.

Active-Active ma sens tylko wtedy, gdy świadomie akceptuje się jego ograniczenia. Nie jest to klasyczne symetryczne równoważenie obciążenia, w którym obie zapory są równorzędne w całej sieci. Główna zapora nadal przyjmuje ruch i rozdziela określone połączenia do pomocniczej zapory. Nie każda usługa i nie każdy rodzaj ruchu jest rozdzielany.

PytanieRekomendacja
Maksymalna stabilność i łatwość obsługiActive-Passive
Wykorzystanie drugiej zapory bez osobnej licencji ochronnejActive-Passive
Potrzeba większej przepustowości dla określonych połączeń TCPRozważyć Active-Active
Wiele przypadków VPN, proxy, RED, NDR lub specjalnychPreferować Active-Passive
Małe lub średnie środowisko bez wyraźnego problemu z wydajnościąActive-Passive
Wyraźne wymagania dotyczące wydajności i odpowiednie licencjonowanie dla obu urządzeńActive-Active po testach

Przewodniki wideo

Poniższe Sophos Techvids pokazują HA na Sophos Firewall w formie wizualnej. Filmy nie zastępują starannego planowania, ale pomagają lepiej zrozumieć QuickHA, role, statusy i podstawowe zachowanie klastra HA.

Przewodnik wideo po konfiguracji HA i zachowaniu klastra Active-Passive.
Przewodnik wideo po konfiguracji HA i zachowaniu klastra Active-Active.

Co oznacza wysoka dostępność na Sophos Firewall

Klaster HA Sophos Firewall składa się z dwóch zapór. Urządzenia wymieniają się za pośrednictwem dedykowanego linku HA sygnałami Heartbeat, statusami urządzeń, informacjami o połączeniach i danymi konfiguracyjnymi. Konfiguracja jest synchronizowana z głównej zapory na pomocniczą.

HA chroni przed typowymi awariami:

  • Awaria głównej zapory
  • Awaria zasilania lub sprzętu
  • Awaria monitorowanego interfejsu
  • Problem z oprogramowaniem lub usługą, który uniemożliwia działanie urządzenia
  • Planowane aktualizacje oprogramowania
  • Planowana zmiana ról podczas konserwacji

HA nie rozwiązuje jednak każdego problemu:

  • Błędna polityka zapory pozostaje błędna również w klastrze.
  • Awaria wspólnego przełącznika może dotknąć obie zapory jednocześnie.
  • Wadliwy projekt VLAN lub błędna koncepcja routingu nie zostaną automatycznie skorygowane.
  • Logi i raporty nie są w pełni synchronizowane między obiema zaporami.
  • Kopia zapasowa pozostaje nadal obowiązkowa.

Planowanie HA powinno poprzedzać dokładne wyjaśnienie podstaw dotyczących stref, interfejsów, VLAN-ów, LAG-ów i mostów. Do tego pasuje instrukcja Planowanie i konfiguracja stref i interfejsów Sophos Firewall.

Active-Passive czy Active-Active

Active-Passive

W trybie Active-Passive jedna zapora przetwarza cały ruch produkcyjny. Druga zapora jest pasywna i przejmuje dopiero wtedy, gdy aktywna zapora ulegnie awarii lub zostanie ręcznie lub w wyniku konserwacji wywołane przełączenie.

Typowe cechy:

  • Główna zapora przetwarza ruch.
  • Pomocnicza zapora pozostaje w trybie gotowości.
  • Sesje są synchronizowane, o ile dana usługa to wspiera.
  • Tylko urządzenie posiadające licencję wymaga subskrypcji ochronnych w przypadku urządzeń sprzętowych.
  • Pomocnicza zapora przejmuje w przypadku przełączenia z tą samą wirtualną adresem MAC.
  • Urządzenia sieciowe zazwyczaj nie muszą ponownie uczyć się sąsiedztw.

Active-Passive jest zazwyczaj najlepszym wyborem dla klasycznych środowisk firmowych, oddziałów, centrów danych i środowisk, w których stabilność jest ważniejsza niż potencjalny zysk wydajności.

Active-Active

W trybie Active-Active obie zapory przetwarzają ruch. Mimo to architektura pozostaje asymetryczna: Główna zapora przyjmuje ruch i decyduje, czy przetworzy połączenie samodzielnie, czy przekaże je do pomocniczej zapory.

Sophos używa do rozdzielania m.in. adresu IP źródła. Połączenia TCP z parzystymi adresami IP źródła są zazwyczaj przetwarzane na głównej zaporze, a nieparzyste adresy IP źródła mogą być przekazywane do pomocniczej. Ruch nie-TCP i niektóre usługi nie są równomiernie rozdzielane.

Typowe cechy:

  • Obie zapory mogą przetwarzać ruch.
  • Główna zapora pozostaje centralnym punktem wejścia.
  • Obie zapory wymagają odpowiednich licencji.
  • Nie wszystkie usługi są rozdzielane.
  • Logi i raporty są generowane na urządzeniu, które przetwarza dany ruch.
  • Rozwiązywanie problemów jest bardziej złożone, ponieważ połączenia mogą trafiać na oba węzły.

Active-Active ma sens, gdy istnieje jasny cel wydajnościowy i wcześniej przetestowano, czy odpowiedni ruch jest faktycznie rozdzielany. Dla czystej wysokiej dostępności Active-Passive jest zazwyczaj bardziej przejrzysty.

Role, status i architektura

Role w klastrze HA

TerminZnaczenie
PrimaryUrządzenie, które prowadzi centralną konfigurację klastra. W obu trybach HA główna zapora przyjmuje ruch.
AuxiliaryDrugie urządzenie w klastrze. Synchronizuje konfigurację z głównej zapory i przejmuje w razie potrzeby.
Initial primaryUrządzenie, które zostało uruchomione jako główne podczas konfiguracji. W trybie Active-Passive jest to zazwyczaj urządzenie posiadające licencję.
Preferred primaryPreferowane urządzenie, które po przełączeniu powinno ponownie stać się głównym, gdy tylko będzie stabilnie dostępne.

Statusy w działaniu

StatusZnaczenie
ActiveUrządzenie przetwarza ruch.
PassiveUrządzenie jest gotowe, ale w trybie Active-Passive nie przetwarza ruchu produkcyjnego.
StandaloneUrządzenie nie widzi partnera lub HA nie jest w pełni aktywne. W przypadku problemów z linkiem HA oba urządzenia mogą stać się samodzielne.
FaultyUrządzenie nie jest wystarczająco zdrowe, aby normalnie uczestniczyć w klastrze.

Wirtualny adres MAC

Sophos Firewall używa w klastrze HA wirtualnych adresów MAC dla interfejsów produkcyjnych. Tylko główna zapora odpowiada na zapytania ARP dla klastra. W przypadku przełączenia pomocnicza zapora przejmuje ten wirtualny adres MAC. Dzięki temu dostępność dla przełączników, routerów i klientów jest bardziej stabilna, ponieważ przypisanie IP i MAC nie zmienia się zasadniczo.

Ważna jest ID klastra. Ta ID jest używana dla wirtualnego adresu MAC. Jeśli kilka klastrów HA działa w tym samym środowisku warstwy 2, każdy klaster musi mieć unikalną ID klastra. W przeciwnym razie mogą wystąpić konflikty MAC.

Co jest synchronizowane

ObszarSynchronizacja
Zasady zapory, polityki, obiekty, routing, konfiguracja CLISynchronizowane z głównej na pomocniczą.
Aktywne sesjeSynchronizowane w zależności od protokołu i usługi.
Klucz główny bezpiecznego magazynu i dane logowania do WebAdminSynchronizowane.
Dedykowany link HANie jest synchronizowany jako normalna konfiguracja interfejsu produkcyjnego.
Port administracyjny partneraTraktowany osobno i nie synchronizowany jak normalny interfejs.
Logi i raportyNie są synchronizowane między urządzeniami.

Zachowanie podczas przełączenia

Przełączenie może być wywołane przez różne zdarzenia:

  • brak sygnałów Heartbeat przez link HA
  • awaria monitorowanego portu
  • awaria zasilania
  • awaria sprzętu
  • problem z oprogramowaniem lub usługą
  • planowana zmiana ról
  • aktualizacja oprogramowania

Sygnały Heartbeat są przesyłane przez dedykowany link HA. Domyślnie używane są bardzo krótkie interwały. Jeśli kilka sygnałów Heartbeat z rzędu zostanie pominiętych, partner uznawany jest za niedostępny. Następnie zapora sprawdza stan i przeprowadza zmianę ról.

Podczas przełączenia wiele połączeń jest kontynuowanych lub szybko nawiązywanych na nowo. Przełączenie nie jest jednak całkowicie przezroczyste dla każdej aplikacji. Szczególnie połączenia TCP z zachowaniem stanu, sesje internetowe, połączenia proxy lub niektóre scenariusze VPN mogą wymagać krótkiego przerwania lub ponownego nawiązania.

Równoważenie obciążenia w Active-Active

Active-Active nie oznacza, że obie zapory stoją jak dwa równorzędne routery w sieci. Główna zapora pozostaje centralnym punktem wejścia i rozdziela określone połączenia do pomocniczej zapory.

Ważne punkty:

  • Równoważenie obciążenia występuje tylko w Active-Active.
  • Metoda nie może być dowolnie dostosowywana.
  • Zewnętrzne równoważniki obciążenia przed klastrem HA nie są standardowym projektem według Sophos dla tej logiki HA.
  • Nie każdy ruch jest rozdzielany.
  • Ruch nie-TCP, SD-RED, ruch tunelowany i niektóre funkcje warstwy 7 mogą być traktowane inaczej.
  • Rozwiązywanie problemów musi obejmować oba węzły.

W praktyce Active-Active powinno być stosowane tylko wtedy, gdy wcześniej wiadomo, jaki ruch powoduje wąskie gardło i czy dokładnie ten ruch jest rozdzielany.

Obsługiwane i ograniczone usługi

Sophos HA obsługuje większość usług zapory. Niektóre usługi mają jednak szczególne cechy.

Usługa lub funkcjaUwagi
Zasady zapory i NATSynchronizowane. W Active-Active trzeba wiedzieć, który węzeł przetwarza połączenie.
VPNWiele scenariuszy VPN działa z HA, ale nie każdy rodzaj sesji przełącza się bez przerwy. IPsec może lepiej przejąć stateless UDP/ICMP niż stateful TCP.
Ochrona sieci WebDziała w klastrze. W Active-Active alerty mogą pochodzić z obu węzłów.
Ochrona poczty e-mailKwarantanna i zwolnienia mogą być związane z węzłem, ponieważ każde urządzenie przechowuje własne dane dla przetwarzanego ruchu pocztowego.
Synchronizowana kontrola aplikacjiNie nadaje się do Active-Active, jeśli funkcja nie jest obsługiwana w używanej wersji SFOS.
NDR EssentialsPlanować tylko z Active-Passive dla środowisk HA.
sFlowDziała w środowiskach HA tylko na głównej zaporze.
RaportyLokalne raporty są generowane na urządzeniu. Zintegrowane raporty są bardziej sensowne za pomocą Sophos Central Firewall Reporting.
Cellular WANMusi być wyłączony dla HA.
Modele Wi-Fi XGSHA nie jest obsługiwane na modelach Wi-Fi XGS.

Jeśli raportowanie lub przechowywanie logów jest ważne, należy wcześniej zaplanować, czy zostanie użyty zewnętrzny serwer Syslog lub Sophos Central Firewall Reporting. Więcej na ten temat w Aktywacja Central Firewall Reporting.

Wymagania

Przed wdrożeniem należy dokładnie sprawdzić wymagania HA w odniesieniu do własnego środowiska. Szczególnie zgodność modeli, wersja oprogramowania, interfejsy, Cellular WAN i platformy wirtualne to punkty, w których małe odchylenia mogą później mieć duże znaczenie.

Kompatybilność sprzętu i modeli

WymaganieWymóg
Model urządzeniaObie zapory muszą być tym samym modelem XGS, na przykład XGS 2100 z XGS 2100.
Rewizja sprzętuRóżne rewizje sprzętu są możliwe przy tym samym modelu XGS.
Modele Wi-Fi XGSNieobsługiwane. Przykłady to XGS 126w lub XGS 136w.
Moduły Flexi PortJeśli używane są moduły rozszerzeń, liczba portów Flexi musi być taka sama na obu urządzeniach.
OprogramowanieOba urządzenia muszą używać tej samej wersji SFOS, w tym wersji konserwacyjnej i kompilacji.
Sprzęt plus wirtualna aplikacjaNie można używać jako pary HA.

Wirtualne i programowe aplikacje

Wirtualne lub programowe aplikacje muszą również bardzo dokładnie do siebie pasować.

WymaganieWymóg
PlatformaTen sam typ aplikacji i ta sama platforma SFOS.
HypervisorTen sam typ hypervisora.
ZasobyTe same rdzenie CPU, porównywalne zasoby i ta sama liczba interfejsów sieciowych.
OprogramowanieTa sama wersja SFOS, w tym kompilacja.
Adresy MACW środowiskach wirtualnych opcja dla przypisanych przez hypervisora adresów MAC może być istotna, aby nie był wymagany tryb promiskuitywny. Zmiana powoduje jednak przestój.

Wdrożenia w chmurze

W środowiskach chmurowych obowiązują dodatkowe wymagania platformowe. Routing, wirtualne interfejsy, adresy IP, grupy zabezpieczeń, UDR-y lub mechanizmy przełączania awaryjnego specyficzne dla chmury muszą pasować do odpowiedniego projektu chmurowego. Normalne podejście do HA dla urządzeń nie może być bez sprawdzenia przenoszone na Azure, AWS lub inne środowiska chmurowe.

Jeśli zapora Sophos jest uruchamiana w chmurze, przed planowaniem HA należy sprawdzić aktualną dokumentację Sophos dla odpowiedniej platformy i architektury sieci chmurowej.

Licencjonowanie i rejestracja

Licencjonowanie HA różni się w zależności od platformy i trybu HA. Kluczowe są trzy pytania: Czy chodzi o sprzęt czy wirtualne/programowe? Czy używany jest tryb Active-Passive czy Active-Active? I które urządzenie jest Initial Primary, czyli urządzeniem, które posiada licencję dla klastra? Te punkty powinny być sprawdzone przed wdrożeniem z licencjami, numerami seryjnymi i docelowym trybem.

ScenariuszWymaganie licencyjne
Base FirewallDla HA wymagana jest licencja Base Firewall. Urządzenia sprzętowe mają tę licencję standardowo. W przypadku wirtualnych/programowych aplikacji musi być odpowiednio licencjonowana.
Active-Passive HardwareTylko urządzenie Initial Primary wymaga subskrypcji produkcyjnych. Pomocnicza zapora otrzymuje kopię subskrypcji i może przetwarzać ruch po przełączeniu.
Active-Active HardwareObie zapory wymagają własnych odpowiednich licencji. Typy licencji muszą się zgadzać, daty wygaśnięcia mogą się różnić.
Active-Passive Virtual/SoftwareTylko główna zapora wymaga odpowiednich licencji, w tym Base Firewall.
Active-Active Virtual/SoftwareOba urządzenia wymagają własnej licencji Base Firewall i odpowiednich dodatkowych licencji ochronnych.
Rejestracja sprzętuOba urządzenia sprzętowe muszą być znane w Sophos Central lub w portalu licencyjnym Sophos i muszą synchronizować swoje licencje.
Rejestracja Virtual/Software Active-PassiveW przypadku Active-Passive Virtual/Software według Sophos tylko główna zapora jest rejestrowana.
Zarządzanie Sophos CentralSynchronizacja licencji i rejestracja nie oznaczają automatycznie, że zapory są również zarządzane przez Sophos Central Firewall Management. Wymagana jest odpowiednia dodatkowa subskrypcja.
RMA i wsparcieDla wymiany sprzętu i zaawansowanej wymiany sprzętu ważny jest status wsparcia. W przypadku Active-Passive Hardware Sophos wymienia Enhanced Plus Support na głównym urządzeniu jako istotny wymóg dla zaawansowanej wymiany sprzętu. W przypadku Active-Active status wsparcia musi być odpowiedni na obu urządzeniach.

Ważne: W trybie Active-Passive Initial Primary jest szczególnie ważne, ponieważ to urządzenie posiada licencję dla klastra. W widoku HA przy odpowiednim urządzeniu widnieje informacja, że posiada licencję dla klastra. W razie wątpliwości urządzenie to powinno być jednoznacznie udokumentowane w podręczniku operacyjnym.

Jeśli licencje w Active-Active nie są zgodne, według Sophos najpierw zatrzymuje się równoważenie obciążenia. Jeśli różnica utrzymuje się dłużej, HA może zostać wyłączone. Przy pierwszej konfiguracji Active-Active HA z nieodpowiednimi licencjami nie zostanie poprawnie aktywowane. Dlatego kontrola licencji jest obowiązkowa w rutynowej eksploatacji.

W przypadku wirtualnych/programowych aplikacji licencja Base Firewall jest szczególnie krytyczna. Jeśli zostanie wyłączona lub Initial Primary nie może synchronizować licencji przez dłuższy czas, HA może zostać wyłączone, a inne funkcje ochronne staną się nieaktywne. Istotna jest tutaj synchronizacja z serwerem licencji co najmniej raz na 90 dni. Dla środowisk produkcyjnych oznacza to: Klaster HA musi nie tylko działać technicznie, ale także regularnie osiągać serwer licencji.

Dla eksploatacji należy co najmniej udokumentować:

  • które urządzenie jest Initial Primary
  • jakie numery seryjne lub ID urządzeń należą do klastra
  • jakie licencje są aktywne na którym urządzeniu
  • kiedy licencje były ostatnio synchronizowane
  • jaki poziom wsparcia jest dostępny dla RMA lub zaawansowanej wymiany
  • kto zatwierdza zmiany licencji, odnowienia i procesy RMA

Wymagania sieciowe

ObszarRekomendacja
Link HADedykowane połączenie między obiema zaporami, najlepiej bezpośrednio za pomocą kabla Ethernet.
Strefa linku HAStrefa DMZ z włączonym SSH dla strefy.
Adresy IP linku HAStatyczne adresy IP w tej samej podsieci, ale różne adresy.
Jakość linku HAWysoka przepustowość, niskie opóźnienia, brak utraty pakietów.
PrzełącznikiWłączyć RSTP na przełącznikach połączonych z portami zapory.
Monitorowane portyMonitorować tylko porty, które są naprawdę podłączone i krytyczne.
Cellular WANWyłączyć dla HA.
Port administracyjnyZaplanować osobno, aby pomocnicza zapora była dostępna.

Link HA nie przetwarza normalnego ruchu klienta ani serwera. Jest używany tylko do sygnałów Heartbeat, statusu, synchronizacji sesji, synchronizacji konfiguracji i rozdzielania w Active-Active. Mimo to jest niezwykle krytyczny. Jeśli link HA ulegnie awarii, obie zapory mogą uważać się za główne. Dokładnie tego scenariusza Split-Brain należy unikać.

Porty i interfejsy

Typ portuCelRekomendacja
Dedykowany link HAHeartbeat, status, synchronizacja konfiguracji i sesjiPołączyć bezpośrednio lub przez bardzo niezawodny przełącznik. Nie używać do ruchu produkcyjnego.
Monitorowane portyMonitorowanie krytycznych linków produkcyjnychMonitorować WAN, ważne DMZ lub rdzeniowe uplinki. Nie wybierać nieużywanych portów.
Port administracyjny partneraDostęp do WebAdmin pomocniczej zaporyZaplanować i udokumentować osobno. Klient musi znajdować się w odpowiedniej podsieci.
Interfejsy produkcyjneLAN, WAN, DMZ, VLAN-y, LAG-iPodłączyć identycznie na obu zaporach i zaprojektować równorzędnie.

Jako dedykowany link HA można używać interfejsów fizycznych, VLAN-ów lub LAG-ów. Interfejsy mostkowe i adresy IP aliasów nie mogą być używane jako dedykowany link HA. Jeśli LAG jest używany jako link HA, interfejsy nadrzędne muszą być identycznie skonfigurowane na obu urządzeniach.

Planowanie i projektowanie

Zalecana topologia dla Active-Passive

Typowy projekt Active-Passive wygląda tak:

  • obie zapory znajdują się w tym samym racku lub w blisko położonych rackach
  • wszystkie interfejsy produkcyjne są identycznie podłączone
  • WAN jest podłączony do redundantnych przełączników lub dobrze udokumentowanych przejść dostawcy
  • LAN/DMZ są podłączone do redundantnych struktur przełączników
  • link HA jest połączony bezpośrednio
  • przewidziany jest osobny dostęp do zarządzania lub administracji
  • porty WAN i rdzeniowe/DMZ są zdefiniowane jako monitorowane porty

Najważniejszy punkt: Druga zapora musi w przypadku awarii przejąć tę samą pozycję w sieci. Dlatego VLAN-y, trunki, LAG-i, porty przełączników i połączenia dostawcy muszą być konsekwentnie zaplanowane.

Zalecana topologia dla Active-Active

Active-Active wymaga tej samej fizycznej czystości co Active-Passive, ale dodatkowo jasnego oczekiwania co do rozdzielanego ruchu.

Przed Active-Active należy odpowiedzieć:

  • Jaki ruch jest wąskim gardłem?
  • Czy dokładnie ten ruch jest rozdzielany w Active-Active?
  • Czy obie zapory są w pełni i odpowiednio licencjonowane?
  • Czy logi, raporty i procesy rozwiązywania problemów są przygotowane na oba węzły?
  • Czy istnieją usługi, takie jak VPN, NDR, Synchronizowana kontrola aplikacji lub scenariusze proxy, które przemawiają przeciwko Active-Active?

Bez jasnej odpowiedzi Active-Passive jest lepszym wyborem.

ObszarWskazówka projektowa
LANCzysto strefować sieci wewnętrzne. Planować VLAN-y nie tylko technicznie, ale także pod względem bezpieczeństwa.
WANPołączenie z dostawcą, bramy przełączania awaryjnego i SD-WAN rozpatrywać oddzielnie od HA. HA nie zastępuje koncepcji redundancji WAN.
DMZSieci serwerowe i publikacje zewnętrzne trzymać oddzielnie od sieci klienckich.
Link HAWłasne połączenie, statycznie adresowane, strefa DMZ, SSH dozwolone dla DMZ. Nie prowadzić przez nie komunikacji użytkowników ani serwerów.
ZarządzanieŚwiadomie ograniczać dostęp administracyjny, dostęp do urządzeń i ACL.

Do zabezpieczenia lokalnych usług zapory pasuje Zabezpieczenie dostępu do Sophos Firewall: Prawidłowa konfiguracja Device Access.

Wymagania dotyczące przełączników

Przełączniki są często niewidocznym czynnikiem ryzyka w HA. Klaster HA działa tylko tak dobrze, jak środowisko warstwy 2 pod nim.

Rekomendacje:

  • Włączyć RSTP na zaangażowanych przełącznikach.
  • Konfigurować trunki identycznie na obu zaporach.
  • Konsystentnie zezwalać na VLAN-y na wszystkich zaangażowanych portach.
  • Budować LAG-i identycznie.
  • Nie wybierać niekompletnych lub nieużywanych monitorowanych portów.
  • Link HA połączyć możliwie bezpośrednio.
  • Jeśli link HA przechodzi przez przełączniki, ścieżka musi być stabilna, o niskim opóźnieniu i bez utraty pakietów.

VLAN-y, LAG-i, mosty i RED

VLAN-y i LAG-i są możliwe w HA, ale zwiększają wymagania dotyczące planowania. Klaster HA nie powinien być pierwszym miejscem, w którym testuje się projekt VLAN lub LAG.

TechnologiaWskazówka dotycząca HA
VLANPlanować identycznie na obu urządzeniach. Zwracać uwagę na interfejs nadrzędny. VLAN jako link HA jest możliwy, ale tylko przy bardzo czystym projekcie.
LAGSensowne dla rdzeniowych uplinków lub redundantnego połączenia przełączników. Interfejsy nadrzędne muszą być spójne.
MostHA w trybie mostkowym jest obsługiwane, ale utrudnia rozwiązywanie problemów. Dla nowych projektów tryb bramy jest zazwyczaj bardziej przejrzysty.
REDScenariusze RED i zdalne mogą wpływać na HA, szczególnie gdy sieci są rozciągane między lokalizacjami. Wcześniej sprawdzić wydajność, opóźnienia i obrazy błędów.
VPNPrzełączanie awaryjne VPN działa różnie w zależności od protokołu i rodzaju sesji. Osobno testować IPsec i zdalny dostęp.

Unikanie Split-Brain

Split-Brain oznacza, że obie zapory uważają się za aktywne lub samodzielne odpowiedzialne. Może się to zdarzyć, gdy link HA ulegnie awarii, ale urządzenia nadal znajdują się w sieci produkcyjnej.

Środki:

  • Nie prowadzić linku HA przez niepewne lub niestabilne ścieżki przełączników.
  • Preferować bezpośrednie połączenie dla linku HA.
  • Świadomie wybierać monitorowane porty.
  • Konfigurować RSTP czysto.
  • Unikać asymetrycznego okablowania.
  • Sprawdzać status HA po każdej zmianie przełącznika lub VLAN-u.
  • Dostosowywać wartości Keepalive tylko z uzasadnieniem.

Przygotowanie do konfiguracji

Przed konfiguracją HA nie należy improwizować w sieci produkcyjnej. To przygotowanie oszczędza później dużo czasu.

Przygotowanie obu zapór

  • Obie zapory na tę samą wersję SFOS, w tym kompilację.
  • Sprawdzić status licencji i rejestracji.
  • Wyłączyć Cellular WAN.
  • Upewnić się, że modele są kompatybilne.
  • Sprawdzić wyposażenie portów Flexi.
  • Udokumentować interfejsy i porty przełączników.
  • Określić port linku HA.
  • Bezpośrednio połączyć link HA lub sprawdzić ścieżkę przełącznika.
  • Zaplanować strefę DMZ i dostęp SSH dla linku HA.
  • Udokumentować dostęp administracyjny do obu urządzeń.
  • Utworzyć kopię zapasową istniejącej konfiguracji.

Kopie zapasowe nie są opcjonalne w HA. Przed konfiguracją, przed aktualizacjami oprogramowania i przed większymi zmianami interfejsów powinna być dostępna kopia zapasowa. Podstawy znajdują się w Tworzenie lub przywracanie kopii zapasowej Sophos Firewall.

QuickHA lub ręczna konfiguracja

MetodaKiedy sensowna
QuickHAStandardowy przypadek. Szybka, solidna i wystarczająca dla większości konfiguracji Active-Passive i Active-Active.
Ręczna konfiguracjaGdy porty administracyjne, link HA, ID klastra, adresy partnerów i wartości szczegółowe muszą być świadomie określone.

QuickHA rozpoznaje partnera przez wybrane interfejsy linku HA. Gdy urządzenia się znajdą, klaster jest tworzony. Hasło jest używane do utworzenia zaszyfrowanego tunelu SSH i nie jest traktowane jako ponownie używane hasło. Jeśli urządzenie zostanie wymienione, HA musi zostać wyłączone i ponownie skonfigurowane.

Opisane tutaj kroki są oparte na oficjalnej konfiguracji HA Sophos, ale są świadomie sformułowane jako praktyczna lista kontrolna dla administratora. Dla zmian produkcyjnych nie należy tylko klikać przez kreatora, ale wcześniej udokumentować role, link HA, dostęp administracyjny, kopię zapasową, status licencji i drogę powrotną.

Konfiguracja Active-Passive z QuickHA

1. Przygotowanie głównej zapory

  1. Zalogować się do WebAdmin na przyszłej głównej zaporze.
  2. Przejść do System services > High availability.
  3. Wybrać tryb Primary (active-passive).
  4. Użyć QuickHA.
  5. Opcjonalnie nadać nazwę węzła, na przykład FW01.
  6. Ustawić hasło HA.
  7. Bezpiecznie przechować hasło, ponieważ będzie potrzebne na pomocniczej zaporze.
  8. Wybrać dedykowany link HA.
  9. Rozpocząć Initiate HA.

Uwagi:

  • Link HA nie może mieć zależności produkcyjnych.
  • Jeśli QuickHA używa nieprzypisanego interfejsu, Sophos przypisuje temu interfejsowi strefę DMZ i ustawia specyficzne ustawienia HA.
  • Link HA używa statycznych adresów IP w zakresie lokalnym, jeśli QuickHA używa wartości domyślnych.
  • SSH musi być dozwolone dla strefy linku HA, ponieważ tunel HA jest przez niego tworzony.

2. Przygotowanie pomocniczej zapory

  1. Zalogować się do pomocniczej zapory.
  2. Przejść do System services > High availability.
  3. Wybrać rolę Auxiliary.
  4. Użyć QuickHA.
  5. Opcjonalnie nadać nazwę węzła, na przykład FW02.
  6. Wprowadzić to samo hasło HA.
  7. Wybrać ten sam port linku HA co po stronie głównej.
  8. Rozpocząć Initiate HA.

Po utworzeniu klastra główna zapora synchronizuje konfigurację z pomocniczą zaporą. Na pomocniczej zaporze wiele lokalnych ustawień zostanie nadpisanych. Dlatego pomocnicza zapora nie powinna być konfigurowana równolegle jako samodzielna zapora produkcyjna przed konfiguracją HA.

3. Sprawdzenie zaawansowanych ustawień

Po utworzeniu klastra nie należy po prostu klikać dalej, ale sprawdzić następujące punkty:

  • Status HA obu węzłów
  • Rola i status w prawym górnym rogu WebAdmin
  • Dedykowany link HA
  • Monitorowane porty
  • Port administracyjny partnera
  • Preferowane główne
  • Interwał Keepalive i próby
  • Posiadacz licencji w trybie Active-Passive
  • Rejestracja w Sophos Central, jeśli używana

4. Ustawienie monitorowanych portów

Monitorowane porty decydują, czy awaria interfejsu wywoła przełączenie. Typowe kandydaty:

  • Uplink WAN
  • Uplink rdzeniowy LAN
  • Ważne uplinki DMZ lub serwerowe

Nie należy monitorować portów, które czasami są świadomie offline, nie są podłączone lub są używane tylko w opcjonalnych scenariuszach. Źle ustawiony monitorowany port jest częstą przyczyną nieoczekiwanych przełączeń lub nieuruchamiającego się klastra.

Konfiguracja Active-Active z QuickHA

Active-Active jest konfigurowane podobnie, ale z innym celem. Przedtem obie zapory muszą być odpowiednio licencjonowane.

1. Wstępne sprawdzenie

  • Obie zapory mają odpowiednie licencje.
  • Typy licencji są zgodne.
  • Oba urządzenia są zarejestrowane.
  • Oba urządzenia działają na tej samej wersji SFOS, w tym kompilacji.
  • Odpowiedni ruch faktycznie korzysta z Active-Active.
  • Usługi z ograniczeniami Active-Active zostały sprawdzone.
  • Monitorowanie i rozwiązywanie problemów są przygotowane na oba węzły.

2. Konfiguracja głównej zapory

  1. Przejść do System services > High availability.
  2. Wybrać Primary (active-active).
  3. Użyć QuickHA.
  4. Nadać nazwę węzła.
  5. Ustawić hasło HA.
  6. Wybrać dedykowany link HA.
  7. Rozpocząć HA.

3. Konfiguracja pomocniczej zapory

  1. Na drugim urządzeniu przejść do System services > High availability.
  2. Wybrać Auxiliary.
  3. Użyć QuickHA.
  4. Wprowadzić to samo hasło.
  5. Wybrać ten sam port linku HA.
  6. Rozpocząć HA.

4. Testowanie po konfiguracji

W Active-Active trzeba przetestować więcej niż tylko status HA:

  • Czy połączenia są rozdzielane na oba węzły?
  • Czy logi są widoczne na obu urządzeniach?
  • Czy połączenia VPN działają po zmianie ról?
  • Czy ochrona sieci Web, IPS, kontrola aplikacji i odpowiednie funkcje bezpieczeństwa działają?
  • Czy są aplikacje, które wyróżniają się asymetrycznym zachowaniem?
  • Czy raporty i alerty są generowane zgodnie z oczekiwaniami?

Ręczna konfiguracja HA

Ręczna konfiguracja HA jest sensowna, gdy automatyczna logika QuickHA nie zapewnia wystarczającej kontroli.

Typowe powody:

  • mają być używane stałe adresy IP linku HA
  • port administracyjny partnera musi być dokładnie zdefiniowany
  • ID klastra ma być świadomie ustawione
  • istnieje kilka klastrów HA w tym samym środowisku warstwy 2
  • wirtualne aplikacje mają być używane z określonymi opcjami MAC
  • konieczne jest bardzo kontrolowane wdrożenie

Podczas ręcznej konfiguracji najpierw przygotowuje się pomocniczą zaporę, a następnie konfiguruje główną zaporę. Główna zapora musi znać adres IP linku HA partnera.

Ważne pola:

PoleZnaczenie
Tryb operacyjnyActive-Passive lub Active-Active.
Rola początkowego urządzeniaPrimary lub Auxiliary.
Dedykowany link HAInterfejs dla Heartbeat, statusu i synchronizacji.
Adres IPv4 linku HA partneraAdres interfejsu linku HA na drugim urządzeniu.
ID klastraPodstawa dla wirtualnych adresów MAC. Ustawiać jednoznacznie przy kilku klastrach.
Monitorowane portyKrytyczne porty, których awaria ma wywołać przełączenie.
Ustawienia administracyjne partneraDostęp do pomocniczej zapory.
Preferowane główneUrządzenie, które po przełączeniu powinno ponownie stać się głównym.
Interwał Keepalive / PróbyCzułość wykrywania HA. Dostosowywać tylko świadomie.

Walidacja klastra

Po konfiguracji klaster HA powinien być systematycznie sprawdzany.

Sprawdzenie WebAdmin

  1. Zalogować się do głównej zapory.
  2. Sprawdzić status HA w prawym górnym rogu.
  3. Przejść do System services > High availability.
  4. Sprawdzić role, status, numery seryjne i tryb.
  5. Upewnić się, że klaster jest zsynchronizowany.
  6. W trybie Active-Passive sprawdzić, które urządzenie posiada licencję dla klastra.

Sprawdzenie CLI

W konsoli urządzenia można wyświetlić status HA:

system ha show details

Jeśli nie jest jasne, które urządzenie jest licencjonowanym Initial Primary, w powłoce zaawansowanej ten wartość może pomóc:

nvram get "#li.master"

YES oznacza urządzenie główne, NO urządzenie pomocnicze. Takie polecenia należy dokumentować i używać tylko w jasnych przypadkach konserwacji lub diagnostyki.

Jeśli dostęp do powłoki nie jest jeszcze przygotowany, pomocna jest instrukcja Łączenie z Sophos Firewall przez SSH.

Test funkcjonalny

  • Testować klienta z LAN do Internetu.
  • Testować dostęp do wewnętrznych serwerów.
  • Testować VPN.
  • Testować scenariusze DNAT lub WAF.
  • Testować DNS i DHCP, jeśli zapora świadczy te usługi.
  • Sprawdzać logi w Log Viewer.
  • Testować przełączenie ról HA w oknie konserwacyjnym.
  • Następnie dokumentować role, status i zachowanie sesji.

Działanie i utrzymanie

Ciągłe monitorowanie

Klaster HA powinien być aktywnie monitorowany. Tylko dlatego, że dwie zapory stoją w racku, środowisko nie jest automatycznie wysokodostępne.

Należy monitorować:

  • Status HA
  • Status ról Primary/Auxiliary
  • Link HA
  • Monitorowane porty
  • Status licencji i subskrypcji
  • Wersje oprogramowania
  • Zasoby, takie jak CPU, RAM, dysk
  • Centralne usługi, takie jak IPS, Web, VPN, DNS, DHCP
  • Logi w Log Viewer
  • Alerty w Sophos Central lub przez e-mail

Dla tematów związanych z dyskiem i sprzętem należy rozpatrywać oba węzły osobno. Lokalne raporty, pliki logów i stan SSD mogą się różnić. Do tego pasują artykuły Sprawdzanie miejsca na dysku i zarządzanie raportami Sophos Firewall i Sprawdzanie zdrowia SSD Sophos Firewall za pomocą SMART.

Logi i raporty

Logi i raporty nie są po prostu łączone w jeden wspólny lokalny zbiór danych. Każde urządzenie zapisuje logi dla ruchu, który przetwarza. W Active-Active jest to szczególnie ważne, ponieważ ruch może pojawiać się na obu węzłach.

Sophos Central Firewall Reporting jest pomocne w środowiskach HA, ponieważ może centralnie analizować dane z kilku zapór. Lokalne logi do rozwiązywania problemów można znaleźć na samej zaporze. Artykuł Rozwiązywanie problemów z usługami i logami Sophos Firewall wyjaśnia, które usługi i pliki logów są istotne dla analiz.

Runbook dla działania HA

Klaster HA potrzebuje krótkiego runbooka operacyjnego. Powinno w nim być zapisane, które urządzenie jest Initial Primary, które porty są monitorowane, jak uzyskać dostęp do pomocniczej, kto zatwierdza aktualizacje oprogramowania i kiedy HA jest wyłączane dla wymiany lub ponownego obrazu.

Należy co najmniej udokumentować:

  • Numer seryjny, lokalizację, pozycję w racku i rolę obu urządzeń.
  • Dedykowany link HA, port administracyjny partnera, ID klastra i monitorowane porty.
  • Preferowane główne i oczekiwane zachowanie po przełączeniu.
  • Posiadacza licencji, status wsparcia i kontakt do RMA.
  • Procedurę aktualizacji oprogramowania, kopii zapasowej, ponownego obrazu i wymiany sprzętu.
  • Osobę odpowiedzialną za logi, Central Reporting, Syslog i przypadki wsparcia.

Jeśli tylko WebAdmin na jednym węźle nie działa, nie oznacza to automatycznie, że cały klaster HA jest uszkodzony. Wtedy należy celowo sprawdzić, czy Ponowne uruchomienie GUI WebAdmin lub kontrolowane ponowne uruchomienie usługi wystarczy, zanim wywoła się przełączenie lub ponowne uruchomienie.

Zmiany w klastrze

Zmiany konfiguracyjne są dokonywane na głównej zaporze. Pomocnicza zapora nie jest miejscem dla normalnych zmian zasad, interfejsów czy polityk.

Przed większymi zmianami:

  • Utworzyć kopię zapasową.
  • Zdefiniować okno konserwacyjne.
  • Sprawdzić status HA.
  • Zaktualizować dokumentację.
  • Określić drogę powrotu.
  • Po zmianie przetestować synchronizację i ruch.

Dotyczy to szczególnie:

  • Interfejsów
  • VLAN-ów
  • LAG-ów
  • Stref
  • Routingu
  • NAT
  • VPN
  • Dostępu do urządzeń
  • SD-WAN

Aktualizacje oprogramowania i kopie zapasowe

Aktualizacje oprogramowania w środowiskach HA

Aktualizacje oprogramowania są uruchamiane na głównej zaporze. Urządzenia są aktualizowane kolejno, a klaster może podczas tego procesu zmieniać role.

Typowy przebieg:

  1. Rozpocząć aktualizację na głównej zaporze.
  2. Pomocnicza zapora jest aktualizowana.
  3. Pomocnicza zapora uruchamia się ponownie i tymczasowo przejmuje.
  4. Dotychczasowa główna zapora jest aktualizowana.
  5. Dotychczasowa główna zapora uruchamia się ponownie.
  6. Jeśli preferowane główne jest aktywne, może nastąpić powrót do preferowanego urządzenia.

Mimo to: Aktualizacje oprogramowania należą do okna konserwacyjnego. Nawet jeśli proces jest zaprojektowany na minimalne przestoje, niektóre sesje, połączenia VPN lub specjalne aplikacje mogą krótko reagować.

Do przygotowania pasuje Aktualizacja oprogramowania Sophos Firewall - Przygotowanie i najlepsze praktyki.

Aktualizacje wzorców

Aktualizacje wzorców są instalowane na głównej zaporze i synchronizowane z pomocniczą zaporą. Dotyczy to również środowisk, w których aktualizacje są kontrolowane lub wgrywane offline.

Jeśli klaster HA jest uruchamiany w izolowanym środowisku, przed każdą ręczną aktualizacją wzorców lub licencji powinno być jasne, który węzeł jest Initial Primary i który węzeł jest aktualnie główny. Przebieg Air-Gap jest opisany w Obsługa licencjonowania i aktualizacji wzorców Sophos Firewall Air-Gap.

Kopia zapasowa i przywracanie

Kopia zapasowa i przywracanie mają w środowiskach HA szczególne cechy:

  • Kopie zapasowe powinny być tworzone regularnie i przed każdą większą zmianą.
  • Przywracanie odbywa się na aktualną główną zaporę.
  • Po przywróceniu obie zapory są wyrejestrowane z Sophos Central i muszą być ponownie zarejestrowane.
  • Przywracanie powoduje ponowne uruchomienie i przestój, a nie normalne przełączenie.
  • Jeśli kopia zapasowa bez konfiguracji HA zostanie przywrócona na klaster HA, HA zostanie wyłączone i musi być ponownie skonfigurowane.

Wymiana węzła klastra

Podczas wymiany lub ponownego obrazu węzła HA nie powinno być po prostu kontynuowane z starym partnerem.

Ważne punkty:

  • Przed ponownym obrazem lub wymianą wyłączyć HA.
  • Udokumentować wersję oprogramowania i kompilację.
  • Utworzyć kopię zapasową.
  • Zidentyfikować posiadacza licencji.
  • Usunąć urządzenie z zarządzania Sophos Central, jeśli ma być zwrócone lub wymienione.
  • Zarejestrować nowe urządzenie.
  • Ponownie skonfigurować HA, ponieważ stare hasło HA nie może być ponownie używane dla nowego urządzenia.

Jeśli wymieniany jest Auxiliary, zdrowy Primary zwykle działa najpierw dalej jako standalone HA device. Jeśli wymieniany jest Primary, trzeba szczególnie dokładnie ustalić, które urządzenie było Initial Primary, który backup zostanie użyty i kiedy kable zostaną przełączone na urządzenie zastępcze. W obu przypadkach należy udokumentować model, hardware revision, firmware version, build, transfer licencji, status Sophos Central i status msync. Usługa i właściwy plik logu są omówione w artykule Sophos Firewall Troubleshooting: Services i logi.

Do technicznej nowej instalacji pasuje Ponowna instalacja systemu operacyjnego Sophos Firewall: Ponowne obrazowanie za pomocą pamięci USB. Jeśli istnieje problem sprzętowy lub proces RMA, należy dodatkowo zaplanować Przygotowanie do awarii sprzętu i RMA Sophos.

Rozwiązywanie problemów

W przypadku głębokich problemów należy zachować strukturę: najpierw sprawdzić status, link HA, monitorowane porty, wersję oprogramowania i status licencji, a dopiero potem sięgnąć po przypadki specjalne lub wskazówki producenta. Dzięki temu jest jasne, czy istnieje prawdziwy problem HA, czy też błąd jest spowodowany licencją, interfejsem, wersją oprogramowania lub monitorowaniem.

Ważne logi i miejsca diagnostyczne

ObszarSprawdzenie
Status HASystem services > High availability
Logi zdarzeńLog viewer > System
Logi do rozwiązywania problemówDiagnostics > Tools lub przez SSH w /log
Szczegóły HA CLIsystem ha show details
Problemy z interfejsemshow network interfaces, ifconfig, dmesg w odpowiednich przypadkach diagnostycznych
Posiadacz licencjiWidok HA WebAdmin lub nvram get "#li.master"

W przypadku głębszych analiz często pomocny jest artykuł Rozwiązywanie problemów z CLI Sophos Firewall: ważne polecenia.

Tabela rozwiązywania problemów

ProblemMożliwa przyczynaSprawdzenieRozwiązanie
Klaster nie jest tworzonyRóżna wersja oprogramowania lub kompilacjaSprawdzić wersję na obu urządzeniachDoprowadzić oba urządzenia do identycznej wersji SFOS
Klaster nie jest tworzonyBłędny model lub niekompatybilna aplikacjaSprawdzić model i numer seryjnyUżywać tylko kompatybilnych modeli XGS
HA nie mogło być włączoneDedykowany link HA nie jest podłączony lub partner nieosiągalnySprawdzić status portu, kabel, przełącznik, ping na IP linku HAPoprawić okablowanie, stabilnie połączyć link HA
Link HA nie działaBłąd kabla, portu przełącznika, VLAN-u lub LAG-uSprawdzić status interfejsu, prędkość/duplex, trunk VLAN-u, członków LAG-uWymienić kabel/port przełącznika, poprawić VLAN/LAG
Oba urządzenia stają się samodzielneLink HA uległ awarii, zagrożenie Split-BrainSprawdzić fizyczne połączenie linku HA i ścieżkę przełącznikaKontrolowane wyłączenie jednego urządzenia, naprawa linku HA, następnie ponowne uruchomienie
Walidacja nie powiodła się dla interfejsu HAPorty administracyjne lub adresy linku HA nie w oczekiwanej podsieciSprawdzić adresy IP i /log/syslog.logPoprawić adresację
Przełączenie następuje nieoczekiwanieMonitorowany port uległ awarii lub został źle wybranySprawdzić monitorowane porty i status przełącznikaMonitorować tylko naprawdę krytyczne i stabilne porty
Przełączenie nie następujeIstotny port nie jest monitorowanySprawdzić monitorowane portyWpisać krytyczne porty WAN/rdzeniowe/DMZ jako monitorowane porty
Active-Active nie rozdziela zgodnie z oczekiwaniamiRodzaj ruchu nie jest równoważonySprawdzić typ połączenia, protokół i logi obu węzłówUżywać Active-Passive lub dostosować projekt
Logi wydają się brakowaćRuch został przetworzony przez inny węzeł lub logowanie nie jest aktywneSprawdzić na obu węzłach i w Log ViewerAktywować logowanie w zasadach, używać Central Reporting/Syslog
Raporty różnią sięLokalne raporty są związane z węzłemPorównać raporty obu urządzeńUżywać Sophos Central Firewall Reporting
Problem z licencją w Active-ActiveTypy licencji nie są zgodneSprawdzić licencjonowanie na obu zaporachDopasować i synchronizować licencje
Problemy po aktualizacji oprogramowaniaJeden węzeł nie został poprawnie zaktualizowany lub klaster nie jest zsynchronizowanySprawdzić status HA, wersje oprogramowania, logiUżyć okna konserwacyjnego, zsynchronizować klaster, zaangażować wsparcie Sophos
Link HA Flexi-Port nie działaPrędkość/duplex lub auto-negocjacja nie pasujeSprawdzić zaawansowane ustawienia interfejsu na obu urządzeniachSkonfigurować obie strony identycznie lub użyć stałego portu
WebAdmin pomocniczej zapory nieosiągalnyPort administracyjny partnera nieosiągalny lub klient nie w podsieciSprawdzić IP/podsieć i trasęPoprawnie zaplanować dostęp administracyjny

Postępowanie w przypadku awarii linku HA

Jeśli dedykowany link HA ulegnie awarii, należy zachować ostrożność. Obie zapory mogą się wzajemnie nie widzieć. W niekorzystnym przypadku oba urządzenia wysyłają ARP/GARP i próbują przejąć adres MAC klastra dla siebie.

Bezpieczne postępowanie:

  1. Ustabilizować stan sieci.
  2. Zdecydować, które urządzenie ma pozostać aktywne.
  3. Kontrolowane wyłączenie drugiego urządzenia lub odłączenie od sieci produkcyjnej.
  4. Naprawa kabla linku HA, portu przełącznika, VLAN-u lub LAG-u.
  5. Ponowne uruchomienie urządzenia.
  6. Sprawdzenie statusu HA.
  7. Kontrola logów i ról.

Istotne polecenia CLI

system ha show details

Wyświetla szczegóły HA w konsoli urządzenia.

show network interfaces

Pomaga w statusie interfejsu i informacjach o linku.

nvram get "#li.master"

Wyświetla w powłoce zaawansowanej, czy urządzenie jest licencjonowanym Initial Primary.

dmesg | grep PortE

Może w przypadku określonych problemów sprzętowych/interfejsowych dostarczyć wskazówek na temat fluktuacji linku.

Nie każde polecenie pasuje do każdej sytuacji. Dla systemów produkcyjnych obowiązuje: Najpierw dokumentować stan, potem celowo sprawdzać.

Listy kontrolne najlepszych praktyk

Planowanie

  • Sprawdzić Active-Passive jako standardowy wariant.
  • Używać Active-Active tylko z jasnym celem wydajnościowym.
  • Sprawdzić oba urządzenia pod kątem modelu, oprogramowania, portów Flexi i licencjonowania.
  • Dedykowany link HA połączyć bezpośrednio i możliwie bezpośrednio.
  • Świadomie wybierać monitorowane porty.
  • Planować dostęp do zarządzania dla głównej i pomocniczej.
  • Jednoznacznie dokumentować ID klastra.
  • Dokumentować projekt przełączników, VLAN-ów i LAG-ów.
  • Zaplanować RSTP na odpowiednich przełącznikach.
  • Przemyśleć scenariusz Split-Brain.
  • Dokumentować proces kopii zapasowej i przywracania.

Wdrożenie

  • Przedtem utworzyć kopię zapasową.
  • Doprowadzić obie zapory do tej samej wersji SFOS.
  • Wyłączyć Cellular WAN.
  • Przygotować link HA z adresacją statyczną i strefą DMZ.
  • Zezwolić na SSH dla strefy linku HA.
  • Czysto nazwać główną i pomocniczą.
  • Używać hasła tylko do konfiguracji i nie traktować go jako trwałego hasła administratora.
  • Po QuickHA sprawdzić zaawansowane ustawienia.
  • Ustawiać monitorowane porty dopiero wtedy, gdy jest jasne, które linki są stabilne i krytyczne.
  • Testować przełączenie w oknie konserwacyjnym.

Działanie

  • Regularnie sprawdzać status HA.
  • Monitorować licencje i synchronizację.
  • Przeprowadzać aktualizacje oprogramowania tylko przygotowane i z oknem konserwacyjnym.
  • Regularnie testować kopie zapasowe.
  • Dokonywać zmian konfiguracyjnych tylko na głównej zaporze.
  • Po zmianach przełączników, VLAN-ów lub interfejsów sprawdzać status HA.
  • Uwzględniać logi obu węzłów.
  • Używać Sophos Central Firewall Reporting lub Syslog do dłuższych analiz.
  • Wymianę lub ponowne obrazowanie węzła przeprowadzać tylko z zaplanowanym wyłączeniem HA i ponowną konfiguracją.

Don’ts

  • Nie klastrować różnych modeli.
  • Nie planować modeli Wi-Fi XGS dla HA.
  • Nie pozostawiać Cellular WAN aktywnego w HA.
  • Nie ustawiać niepodłączonych portów jako monitorowanych portów.
  • Nie używać niestabilnego VLAN-u lub ścieżki przełącznika jako linku HA.
  • Nie prowadzić przez link HA usług produkcyjnych.
  • Nie traktować Active-Active jako prostego podwojenia wydajności.
  • Nie oczekiwać ani nie planować zmian na pomocniczej zaporze.
  • Nie przeprowadzać przywracania bez okna konserwacyjnego.

FAQ

Czy do Active-Passive potrzebne są dwie pełne licencje?

W przypadku urządzeń sprzętowych w trybie Active-Passive zazwyczaj urządzenie Initial Primary wymaga subskrypcji ochronnych. Pomocnicza zapora może korzystać z kopii subskrypcji w przypadku przełączenia. W przypadku wirtualnych lub programowych aplikacji co najmniej główna zapora musi być odpowiednio licencjonowana. Active-Active wymaga odpowiednich licencji na obu urządzeniach.

Czy można klastrować dwa różne modele XGS?

Nie. Urządzenia muszą być tym samym modelem XGS. XGS 2100 z XGS 2100 jest odpowiednie, XGS 2100 z XGS 2300 nie.

Czy różne rewizje sprzętu są dozwolone?

Przy tym samym modelu XGS różne rewizje sprzętu mogą być możliwe. Kluczowe jest, aby spełnione były wymagania dotyczące modelu, platformy i oprogramowania.

Czy można używać sprzętowej aplikacji z wirtualną jako HA?

Nie. Sprzęt i wirtualna aplikacja nie mogą razem tworzyć normalnej pary HA Sophos Firewall.

Czy trzeba aktywować preferowane główne?

Jest to zalecane, szczególnie w trybie Active-Passive. Dzięki temu wiadomo, które urządzenie powinno ponownie stać się głównym po przełączeniu. Ponadto łatwiej przypisać licencjonowane Initial Primary.

Czy logi są synchronizowane między obiema zaporami?

Nie. Logi i raporty nie są po prostu synchronizowane między obiema urządzeniami. Do centralnej analizy należy używać Sophos Central Firewall Reporting lub Syslog.

Kim jest hauser w logach Sophos Firewall?

hauser nie jest osobistym administratorem. To wewnętrzny użytkownik HA Sophos Firewall, który może pojawiać się przy operacjach klastra HA. Obejmuje to na przykład synchronizację, zmiany ról, failover lub wewnętrzną komunikację klastra. Jeśli jednocześnie pojawiają się komunikaty takie jak interface down, monitored port down lub zmiany statusu HA, należy sprawdzić status HA, dotknięte porty oraz logi z obu węzłów klastra.

Aby ustalić, czy konkretna osoba zmieniła konfigurację, bardziej przydatne niż sam wpis hauser są Log Viewer, logi Central oraz Audit Trail Logs.

Czy aktualizacja oprogramowania na klastrze HA jest bez przerwy?

Proces aktualizacji HA jest zaprojektowany na zmianę ról i możliwie krótkie przerwy. W praktyce jednak należy zaplanować okno konserwacyjne, ponieważ niektóre sesje lub aplikacje mogą krótko reagować.

Kiedy należy wyłączyć HA?

Przed ponownym obrazem, wymianą sprzętu, procesami RMA lub większymi przywróceniami HA powinno być zaplanowane wyłączenie i następnie czysto ponownie skonfigurowane.