Przejdz do tresci
Avanet

Sprawdzanie łączności Cellular WAN i przełączania awaryjnego 4G/5G w Sophos Firewall

Sophos Firewall

Cellular WAN w Sophos Firewall zazwyczaj nie jest głównym dostępem do Internetu, lecz łączem zapasowym: gdy światłowód, DSL lub kabel przestają działać, połączenie 4G lub 5G ma utrzymać dostępność ważnych usług. Dlatego nie należy sprawdzać Cellular WAN dopiero w przypadku awarii.

W praktyce przełączanie awaryjne rzadko zawodzi z powodu jednego czynnika. Częściej problemem są SIM/PIN, APN, słaba jakość sygnału, niepoprawnie skonfigurowana brama, błędne testy zdrowia SD-WAN lub brak logiki przełączania awaryjnego. Artykuł wyjaśnia, jak planować, testować i ograniczać typowe błędy Cellular WAN.

Dla podstawowej pracy z interfejsami, strefami i bramami najpierw zapoznaj się z Konfiguracja stref i interfejsów w Sophos Firewall. Jeśli chodzi o routing ruchu własnego zapory, pomocne będzie również Sprawdzanie routingu SD-WAN dla pakietów odpowiedzi i ruchu systemowego w Sophos Firewall.

Kiedy Cellular WAN ma sens

Cellular WAN jest szczególnie przydatne jako komponent operacyjny i awaryjny. Nie zastępuje dobrze wymiarowanego głównego łącza, ale może zwiększyć stabilność krytycznych lokalizacji.

Typowe zastosowania:

  • małe biuro z zapasowym łączem 4G/5G dla dostępu do Internetu
  • oddział z przełączaniem awaryjnym SD-WAN w przypadku awarii dostawcy
  • tymczasowa lokalizacja bez stałego łącza
  • zapasowa ścieżka dla monitoringu, dostępu wsparcia lub usług centralnych
  • przełączanie awaryjne dla VPN lokalizacji, jeśli przepustowość i taryfa na to pozwalają

Przed wdrożeniem należy jasno określić, które usługi muszą działać w trybie awaryjnym. Łącze LTE lub 5G z ograniczonym limitem danych zazwyczaj nie jest przeznaczone do obsługi całego normalnego ruchu lokalizacji na stałe.

Ograniczenia i ważne decyzje

Cellular WAN ma swoje ograniczenia. Te kwestie powinny być wyjaśnione przed konfiguracją:

TematDlaczego jest ważny
Limit danychNieprzefiltrowana lokalizacja może szybko zużyć limit danych mobilnych.
CGNATWielu dostawców mobilnych nie przydziela bezpośrednio dostępnego publicznego adresu IPv4. Usługi przychodzące i niektóre scenariusze VPN muszą być wtedy inaczej zaplanowane.
Jakość sygnałuWidoczna sieć to za mało. Słabe wartości sygnału prowadzą do utraty pakietów, szczytów opóźnień i niestabilnych testów przełączania awaryjnego.
Zapora dostawcyNiektóre taryfy blokują połączenia przychodzące lub określone protokoły.
HACellular WAN musi być wyłączone w środowiskach HA Sophos Firewall. Należy to sprawdzić przed zaprojektowaniem HA.
MonitoringPrzełączanie awaryjne musi być aktywnie monitorowane. W przeciwnym razie często dopiero w przypadku awarii zauważa się, że łącze zapasowe nie działa.

Dla środowisk HA istotne jest Warianty i działanie klastra HA Sophos Firewall, ponieważ Cellular WAN nie może być tam traktowane jak normalny zsynchronizowany interfejs.

Wymagania wstępne

Przed konfiguracją należy przygotować następujące elementy:

  • obsługiwany modem 4G/5G lub zintegrowany moduł mobilny
  • aktywna karta SIM z odpowiednim planem danych
  • PIN, jeśli karta SIM nie działa bez PIN-u
  • APN dostawcy
  • opcjonalnie nazwa użytkownika i hasło dostawcy
  • informacja, czy dostawca używa publicznego IP, prywatnego IP czy CGNAT
  • pożądana strefa interfejsu Cellular WAN
  • zaplanowana logika przełączania awaryjnego SD-WAN lub bramy
  • okno testowe, w którym główne łącze może być krótko wyłączone

Jeśli łącze mobilne ma służyć jako zapasowe, należy dodatkowo ustalić, kto odpowiada za plan, limit danych, blokadę SIM, sprzęt zastępczy i regularne testy.

Konfiguracja Cellular WAN

Dokładny interfejs może się nieznacznie różnić w zależności od wersji SFOS, modelu sprzętu i modemu. Praktyczny przebieg pozostaje jednak taki sam: rozpoznanie modemu, poprawne ustawienie SIM i APN, sprawdzenie interfejsu i bramy, a następnie przetestowanie ścieżki przełączania awaryjnego.

1. Przygotowanie modemu i SIM

Najpierw należy przygotować modem lub moduł mobilny bez pośpiechu wprowadzając zmiany w zaporze.

Sprawdź:

  • SIM jest aktywna i nie zablokowana.
  • PIN jest znany lub wyłączony na SIM, jeśli model operacyjny to przewiduje.
  • APN odpowiada taryfie biznesowej, a nie błędnemu profilowi konsumenckiemu lub IoT.
  • Anteny są poprawnie podłączone i sensownie umieszczone.
  • Lokalizacja ma wystarczający zasięg dla wybranego dostawcy.

W przypadku anten zewnętrznych należy zwrócić uwagę nie tylko na siłę sygnału, ale także na prowadzenie kabli. Długie lub słabe kable antenowe mogą zniweczyć korzyści z lepszej pozycji anteny.

2. Sprawdzenie interfejsu Cellular WAN

Po włożeniu modemu Sophos Firewall powinien utworzyć odpowiedni interfejs lub bramę do konfiguracji.

Sprawdź:

Network > Interfaces

Ważne są:

  • Interfejs jest aktywny.
  • Strefa jest świadomie ustawiona, zazwyczaj WAN.
  • Adres IP jest przydzielony.
  • Brama jest utworzona.
  • Parametry DNS lub dostawcy pasują do planowanej operacji.
  • Interfejs nie jest przypadkowo członkiem nieodpowiedniego projektu, takiego jak LAG lub HA.

Jeśli interfejs się nie pojawia, najpierw należy rozpoznać modem. Dopiero potem sprawdzić APN, PIN i bramę.

3. Planowanie bramy i profilu SD-WAN

Brama Cellular WAN nie powinna być po prostu umieszczona obok głównego łącza bez sprawdzenia. Kluczowe jest, kiedy zapora uznaje łącze za aktywne i jaki ruch może przez nie przechodzić w trybie awaryjnym.

Sprawdź:

Routing > Gateways
Routing > SD-WAN profiles
Routing > SD-WAN routes

Dla wielu środowisk sensowne jest jasne projektowanie oparte na First-Available lub SLA:

  • Preferuj główne łącze.
  • Używaj Cellular WAN tylko w przypadku awarii lub słabego głównego łącza.
  • Ustaw test zdrowia z sensownymi celami testowymi.
  • Priorytetyzuj cele krytyczne dla biznesu.
  • Ograniczaj usługi wymagające dużej przepustowości lub niekrytyczne w trybie awaryjnym.

W przypadku testów zdrowia SD-WAN nie należy używać tylko jednego wewnętrznego lub zewnętrznego adresu, jeśli może to prowadzić do fałszywych awarii. Profile SD-WAN mogą używać testów zdrowia z Ping lub TCP i do dwóch celów testowych. W środowiskach mobilnych TCP często jest realistycznym uzupełnieniem, gdy ICMP jest niewiarygodne.

Sprawdzanie siły sygnału przez CLI

Od SFOS 22.0 MR1 Sophos w notatkach wydania podaje polecenie CLI:

system cellular_wan show

To polecenie jest przydatne, gdy interfejs pokazuje tylko ogólnie, że Cellular WAN jest połączone, ale trzeba sprawdzić szczegóły sygnału lub modemu. Powinno być używane i dokumentowane celowo, szczególnie w lokalizacjach z niestabilnym zasięgiem mobilnym.

⚠️ Dostęp do CLI powinien być uzyskiwany tylko z zaufanych sieci administracyjnych. Przed użyciem należy sprawdzić Łączenie z Sophos Firewall przez SSH i wzmocnienie dostępu przez Device Access i Local Service ACL.

Praktycznie rzecz biorąc, wartości sygnału nie powinny być odczytywane tylko raz. Lepiej jest przeprowadzić krótką serię pomiarów:

  • normalna praca
  • po zmianie anteny
  • przy złej pogodzie lub spodziewanym obciążeniu
  • podczas aktywnego przełączania awaryjnego
  • po zmianie lokalizacji lub dostawcy

Jeśli jakość sygnału znacznie się zmienia, konfiguracja routingu nie jest główną przyczyną. Najpierw należy sprawdzić pozycję anteny, zasięg dostawcy, moduł, SIM i lokalizację.

Testowanie przełączania awaryjnego

Test przełączania awaryjnego powinien być zaplanowany i przeprowadzony w sposób zrozumiały. Po prostu wyciągnięcie głównego łącza i otwarcie przeglądarki to za mało.

Przed testem:

  • Dostępna kopia zapasowa konfiguracji zapory.
  • Udokumentowana oczekiwana ścieżka główna i zapasowa.
  • Poinformowani użytkownicy lub osoby odpowiedzialne za lokalizację.
  • Znane limity danych i taryfy.
  • Otwarty Log Viewer i monitoring.

Przebieg testu:

  1. Sprawdzenie stanu początkowego: aktywna główna brama, gotowa brama Cellular WAN.
  2. Generowanie ruchu testowego, na przykład DNS, HTTPS, RDP, VPN lub zdefiniowana aplikacja biznesowa.
  3. Kontrolowane wyłączenie głównego łącza lub celowe niepowodzenie testu zdrowia bramy.
  4. Sprawdzenie, czy SD-WAN lub przełączanie awaryjne bramy przełącza się na Cellular WAN.
  5. Kontrola w Log Viewer, które reguły zapory i ścieżki są używane.
  6. Testowanie dostępności najważniejszych celów.
  7. Przywrócenie głównego łącza.
  8. Sprawdzenie, czy zapora płynnie wraca do normalnego trybu lub pozostaje świadomie na ścieżce zapasowej.

Dla testów reguł i ścieżek odpowiednie jest Testowanie reguł zapory za pomocą Log Viewer, Policy Test i Packet Capture. Jeśli występują problemy z MTU lub fragmentacją, należy uwzględnić Sprawdzanie MTU i MSS w Sophos Firewall przy problemach z VPN.

Logi i diagnostyka

Problemy z Cellular WAN rozprzestrzeniają się na wiele źródeł logów. Pojedynczy log rzadko dowodzi całej przyczyny.

PytanieTypowa kontrola
Czy modem jest rozpoznawany?mdev.log, syslog.log
Czy tworzony jest interfejs?networkd.log
Czy brama jest aktywna?Status bramy, dgd.log, Log Viewer
Czy używana jest właściwa trasa?Trasa SD-WAN, tabela routingu, Log Viewer
Czy ruch jest blokowany?Reguła zapory, NAT, filtr sieciowy, Application Control
Czy występuje utrata pakietów lub fragmentacja?Packet Capture, iPerf, sprawdzanie MTU/MSS

Najważniejsze pliki logów są opisane w artykule Prawidłowe przypisywanie logów usług Sophos Firewall.

Typowe problemy

Modem nie jest rozpoznawany

Najpierw sprawdź kwestie fizyczne: moduł, port USB, zasilanie, anteny, obsługiwany sprzęt i wersję oprogramowania. Następnie sprawdź mdev.log i syslog.log. Jeśli modem nie jest w ogóle rozpoznawany, APN lub SD-WAN nie są jeszcze istotne.

SIM jest aktywna, ale nie ma połączenia

Wtedy zazwyczaj problemem są PIN, APN, profil dostawcy lub zasięg. Możliwa jest również zablokowana SIM po kilku błędnych próbach wprowadzenia PIN-u. W przypadku taryf biznesowych APN nie powinien być zgadywany, lecz sprawdzony u dostawcy.

Brama jest aktywna, ale ruch nie przechodzi przez Cellular WAN

Wtedy przyczyną często jest trasa SD-WAN, priorytet bramy, reguła zapory, NAT lub brakujący powrót. W Log Viewer powinno być widoczne, czy ruch testowy faktycznie używa ścieżki zapasowej.

Przełączanie awaryjne działa, ale aplikacje są niestabilne

Mobilny internet ma wyższą latencję i większe wahania niż stałe łącze. Aplikacje z wrażliwymi sesjami, VoIP, duże transfery plików, VPN-over-VPN lub RDP mogą reagować inaczej. Dodatkowo mogą mieć znaczenie MTU/MSS i utrata pakietów.

VPN działa przez główne łącze, ale nie przez Cellular WAN

W przypadku mobilnego internetu częstymi przyczynami są CGNAT, filtry dostawcy, zmieniające się adresy IP i ograniczenia protokołów. Dla VPN lokalizacji należy sprawdzić, czy ścieżka mobilna działa jako inicjator, czy strona przeciwna akceptuje dynamiczne IP i czy trasa powrotna jest poprawna.

Zalecenia dotyczące eksploatacji

Cellular WAN powinno być traktowane jako ścieżka awaryjna, a nie jako zapomniany element w interfejsie.

Sensowne zasady eksploatacji:

  • Testuj przełączanie awaryjne co najmniej raz na kwartał.
  • Monitoruj limit danych i koszty.
  • Dokumentuj SIM, APN i umowę z dostawcą.
  • Zapisuj pozycję anteny i wartości sygnału.
  • Ograniczaj niekrytyczny ruch w trybie awaryjnym.
  • Uwzględnij status bramy i SD-WAN w monitoringu.
  • Po aktualizacjach oprogramowania zaplanuj krótki test przełączania awaryjnego.
  • Przy planowaniu HA wyklucz Cellular WAN na wczesnym etapie lub dostosuj projekt.

Jeśli lokalizacja polega na Cellular WAN, należy również udokumentować ścieżkę powrotną: kto otrzymuje powiadomienie o awarii, kto może wyłączyć główne łącze, kto sprawdza dostawcę mobilnego i kiedy następuje powrót do normalnej pracy.

Lista kontrolna

  • Modem lub moduł mobilny jest rozpoznawany.
  • SIM jest aktywna i nie zablokowana.
  • PIN i APN są poprawne.
  • Interfejs Cellular WAN ma właściwą strefę.
  • Brama jest utworzona i monitorowana.
  • Profil SD-WAN używa sensownych testów zdrowia.
  • Przełączanie awaryjne zostało przetestowane z rzeczywistym ruchem testowym.
  • Reguły zapory i NAT pasują również w ścieżce zapasowej.
  • Limit danych i koszty są znane.
  • Wartości sygnału zostały udokumentowane.
  • Ograniczenia HA zostały uwzględnione.
  • Źródła logów i proces wsparcia są znane.

FAQ

Czy Cellular WAN może być używane jako główne łącze?

Technicznie może to działać w zależności od lokalizacji. Dla większości firm Cellular WAN jest jednak bardziej ścieżką zapasową. Limit danych, latencja, CGNAT, zmienna jakość sygnału i warunki dostawcy muszą być sprawdzone przed produkcyjnym użytkowaniem na stałe.

Dlaczego brama jest aktywna, ale lokalizacja nadal nie ma Internetu?

Aktywna brama oznacza tylko, że zapora widzi ścieżkę zasadniczo. Następnie muszą pasować trasa SD-WAN, reguła zapory, NAT, DNS, powrót i funkcje bezpieczeństwa. Dlatego należy sprawdzić konkretny ruch testowy w Log Viewer.

Czy wystarczy udany ping jako test przełączania awaryjnego?

Nie. Ping to pierwszy sygnał, ale nie dowód na produktywną dostępność. Dodatkowo należy przetestować DNS, HTTPS, aplikacje centralne, VPN, RDP lub inne naprawdę potrzebne usługi.

Czy Cellular WAN działa w klastrze HA Sophos Firewall?

Dla HA Cellular WAN musi być wyłączone. Jeśli wymagane jest jednoczesne przełączanie awaryjne mobilne i HA, potrzebny jest osobny projekt, na przykład przez urządzenie mobilne przed zaporą lub inną architekturę WAN.

Jakie polecenie CLI pokazuje szczegóły Cellular WAN?

Od SFOS 22.0 MR1 dostępne jest polecenie system cellular_wan show, aby sprawdzić informacje o Cellular WAN, takie jak wartości sygnału, przez CLI.