Przejdz do tresci
Avanet

Konfiguracja Link Aggregation (LAG) w Sophos Firewall

Link Aggregation Group (LAG) łączy od dwóch do czterech fizycznych portów Sophos Firewall w jeden logiczny interfejs. Zwiększa to albo dostępną przepustowość do switcha, albo zapewnia redundancję, gdy port lub kabel ulegnie awarii. LAG w zależności od producenta nazywany jest też trunkingiem, NIC Teaming, NIC Bonding lub EtherChannel.

Konfiguracja stref i interfejsów Sophos Firewall klasyfikuje już ogólnie LAG obok VLAN, Bridge i RED oraz wyjaśnia, kiedy LAG ma sens zamiast pojedynczego portu trunk. Ten artykuł idzie krok dalej: pokazuje konkretną konfigurację w WebAdmin, konieczną stronę switcha, Xmit Hash Policy oraz sposób poprawnego przetestowania LAG po jego skonfigurowaniu.

Kiedy LAG ma sens

LAG opłaca się przede wszystkim, gdy:

  • core switch ma być podłączony redundantnie, aby pojedyncza awaria portu lub uszkodzony kabel nie przerywały całego połączenia,
  • kilka VLAN-ów działa przez ten sam uplink, a poszczególne porty osiągają swój limit przepustowości,
  • firewall potrzebuje większej przepustowości między firewallem a switchem, niż dostarcza pojedynczy port fizyczny,
  • istniejąca struktura stref i VLAN-ów ma pozostać niezmieniona, ale fizyczne połączenie musi stać się bardziej odporne.

Dla małych środowisk z pojedynczym, poprawnie skonfigurowanym portem trunk LAG często nie jest konieczny. LAG nie zastępuje też czystej strefikacji: na końcu interfejs LAG pozostaje pojedynczym interfejsem, do którego przypisywana jest strefa i na którym mogą być budowane interfejsy VLAN.

Wymagania wstępne

  • Dwa do czterech interfejsów fizycznych, które jeszcze nie są związane w inny sposób, na przykład nie są już częścią bridge, VLAN-u lub innego LAG.
  • Wszystkie interfejsy członkowskie muszą być tego samego typu oraz obsługiwać tę samą prędkość i tryb Full-Duplex.
  • Zarządzany switch z obsługą LACP, jeśli ma być używane 802.3ad.
  • Fizyczny lub zaplanowany dostęp do switcha, aby odpowiednio skonfigurować drugą stronę.
  • Okno serwisowe, ponieważ utworzenie LAG tymczasowo odłącza uczestniczące porty fizyczne od ich dotychczasowej strefy i konfiguracji.

⚠️ Interfejsy PPPoE, Cellular-WAN i WLAN nie mogą być używane jako członkowie LAG. Do wyboru jako member dostępne są tylko unbound interfejsy fizyczne.

1. Wybór trybu bondingu

Sophos Firewall obsługuje dwa tryby bondingu:

  • Active-Backup: jeden link członkowski jest aktywny, pozostałe pozostają w trybie standby. Jeśli aktywny link ulegnie awarii, przejmuje go link standby. Ten tryb jest prosty, nie wymaga specjalnej konfiguracji switcha i nadaje się przede wszystkim do redundancji.
  • 802.3ad (LACP): kilka linków jest wykorzystywanych równolegle do rozłożenia obciążenia. LACP musi być aktywowany po obu stronach, wszystkie interfejsy członkowskie muszą mieć ten sam typ i tę samą prędkość, a wszystkie linki muszą działać w trybie Full-Duplex.

Dla czystej redundancji bez dodatkowej przepustowości Active-Backup jest prostszą drogą. Kto potrzebuje rzeczywistego zwiększenia przepustowości między firewallem a switchem, powinien wybrać 802.3ad, ale musi wtedy również poprawnie skonfigurować stronę switcha.

2. Utworzenie LAG w WebAdmin

  1. Otworzyć Network > Interfaces.
  2. Wybrać Add interface, następnie Add LAG.
  3. W polu Name nadać czytelną nazwę, na przykład LAG_Core_Uplink.
  4. W polu Hardware name ustawić krótką nazwę techniczną, maksymalnie 10 znaków, tylko alfanumeryczną i podkreślenia. Ta nazwa nie może zostać zmieniona po utworzeniu i nie może używać zarezerwowanej nazwy systemowej, takiej jak all, gre, eth lub WLAN.
  5. W polu Member interface dodać od dwóch do czterech odpowiednich interfejsów fizycznych.
  6. W polu Bonding mode wybrać Active-Backup lub 802.3ad.
  7. Przy 802.3ad dodatkowo ustawić Xmit Hash Policy: Layer2, Layer2+3 lub Layer3+4.
  8. Przypisać Zone odpowiednią do planowanego zastosowania, na przykład LAN lub dedykowaną strefę core.
  9. Wybrać IP assignment: statyczne lub DHCP, wraz z adresem IPv4 lub IPv6 przy przypisaniu statycznym.
  10. Opcjonalnie dostosować MTU, jeśli sieć wykorzystuje Jumbo Frames lub inne odbiegające wartości.
  11. Opcjonalnie w polu MAC address ustawić własny adres, zamiast przejmować adres pierwszego portu członkowskiego.
  12. Wybrać Save.

Po zapisaniu interfejs LAG, na przykład lag0, jest dostępny jako samodzielny interfejs. Na nim można następnie tworzyć interfejsy VLAN dokładnie tak samo jak na porcie fizycznym. Sposób postępowania przy interfejsach VLAN na LAG jest identyczny jak przy VLAN na interfejsie fizycznym i opisany w Konfiguracja i testowanie VLAN w Sophos Firewall.

Właściwy wybór Xmit Hash Policy

Xmit Hash Policy decyduje tylko przy 802.3ad, jak ruch przychodzący jest rozdzielany na poszczególne linki członkowskie. Nie wpływa na to, czy LAG działa, tylko na to, jak równomiernie obciążenie jest rozdzielane na porty członkowskie.

  • Layer2: rozdział według adresu MAC źródła i celu. Prosty, ale przy niewielu partnerach komunikacji często nierównomierny.
  • Layer2+3: rozdział dodatkowo według adresów IP. Zwykle dobre ustawienie podstawowe dla mieszanego ruchu sieciowego.
  • Layer3+4: rozdział dodatkowo według numerów portów. Może zapewnić lepszy rozkład przy wielu równoległych połączeniach między tymi samymi hostami, ale nie działa jednakowo dobrze przy każdym typie ruchu, na przykład przy silnie fragmentowanym lub nieklasycznym ruchu TCP/UDP.

Wybrana policy musi pasować na firewallu i na switchu, aby obie strony rozdzielały ruch spójnie. Różnica niekoniecznie prowadzi do całkowitej awarii, ale może powodować jednostronne obciążenie poszczególnych linków.

3. Konfiguracja strony switcha

LAG działa niezawodnie tylko wtedy, gdy strona switcha jest odpowiednio skonfigurowana. Firewall i switch muszą być zgodne co do tego samego trybu bondingu.

Przy Active-Backup na wielu switchach wystarcza prosta konfiguracja portu bez specjalnego grupowania trunk, ponieważ w każdym momencie tylko jeden link aktywnie prowadzi ruch. Mimo to należy sprawdzić, czy switch skonfigurował Spanning Tree lub port security tak, aby zmiana aktywnego linku nie była dodatkowo opóźniana.

Przy 802.3ad (LACP) zaangażowane porty switcha muszą:

  • znajdować się w tej samej grupie Link Aggregation, na przykład Port-Channel przy switchach Cisco lub grupie LAG u innych producentów,
  • aktywnie używać LACP, a nie tylko statycznego bondingu bez protokołu,
  • używać tej samej prędkości i tego samego trybu duplex co strona firewalla,
  • być skonfigurowane w tym samym trybie VLAN trunking, który pasuje do planowanej struktury VLAN na firewallu.

Jeśli LAG jest tworzony tylko na firewallu, a switch nadal obsługuje pojedyncze, niezależne porty, powstają często trudne do zdiagnozowania problemy: częściowa utrata pakietów, asymetryczne zachowanie lub LAG, który wprawdzie wyświetlany jest jako aktywny, ale nie dostarcza oczekiwanej przepustowości.

4. Testowanie LAG po konfiguracji

Nowo utworzony LAG nie powinien być sprawdzany tylko pod kątem zielonego statusu, ale pod kątem rzeczywistego zachowania przy awarii i obciążeniu.

Sensowne testy:

  1. Test połączenia w normalnym trybie pracy: sprawdzić przepustowość i osiągalność przez LAG, zanim zostanie zasymulowana awaria.
  2. Odłączenie pojedynczego linku członkowskiego: wyciągnąć kabel jednego portu członkowskiego i sprawdzić, czy połączenie działa dalej bez odczuwalnej przerwy.
  3. Ponowne podłączenie drugiego linku członkowskiego: sprawdzić, czy link jest poprawnie ponownie przyjmowany do LAG bez konieczności ręcznej interwencji.
  4. Rozłożenie obciążenia na kilka połączeń: przy 802.3ad wygenerować kilka równoległych połączeń z różnymi kombinacjami źródło/cel i sprawdzić, czy ruch faktycznie przebiega przez kilka portów członkowskich.
  5. Sprawdzenie statusu po stronie switcha: na switchu skontrolować, czy grupa Port-Channel lub LACP pokazuje wszystkie oczekiwane porty jako aktywne.

Do sprawdzenia statusu interfejsu na firewallu pasuje ogólny sposób postępowania z Konfiguracja stref i interfejsów Sophos Firewall. Jeśli po zmianie dotknięty jest dostęp zarządzania, DNS lub uwierzytelnianie, dodatkowo pomaga Rozwiązywanie problemów z ARP po migracji Sophos Firewall, jeśli w tej samej podsieci uczestniczy kilka interfejsów.

Typowe błędy

  • Interfejsy członkowskie o różnej prędkości lub duplex: 802.3ad nie działa niezawodnie lub w ogóle. Wszystkie porty członkowskie muszą być skonfigurowane identycznie.
  • Switch nieprzestawiony na LACP: firewall może pokazywać LAG jako aktywny, ale w rzeczywistości tylko jeden link działa poprawnie lub ruch jest niestabilny. Sprawdzić konfigurację Port-Channel lub LACP po stronie switcha.
  • Interfejs już związany w inny sposób: interfejs, który jest już częścią bridge lub VLAN-u, nie jest dostępny jako member LAG. Najpierw rozwiązać istniejące powiązanie.
  • Wybrano interfejs PPPoE, Cellular lub WLAN jako member: te typy interfejsów nie są obsługiwane przez Sophos Firewall jako member LAG.
  • Xmit Hash Policy różna między firewallem a switchem: LAG działa, ale obciążenie rozkłada się jednostronnie na poszczególne linki. Dopasować policy po obu stronach.
  • Chęć późniejszej zmiany Hardware name: to niemożliwe. Przy błędnie wybranej nazwie LAG musi zostać utworzony na nowo.
  • Brak przeprowadzonego testu failover: LAG, który nigdy nie został przetestowany pod rzeczywistą awarią, może w realnej sytuacji zachować się inaczej niż oczekiwano. Przeprowadzić test wyciągania kabla przed wdrożeniem produkcyjnym.
  • Niedostosowana strefa i reguły firewalla: po przeniesieniu portów do LAG stare reguły mogą nadal odnosić się do niewłaściwych interfejsów. Sprawdzić przypisanie stref i reguł po migracji.

Checklista

  • Zidentyfikowano dwa do czterech odpowiednich, unbound interfejsów fizycznych.
  • Świadomie wybrano tryb bondingu: Active-Backup dla redundancji, 802.3ad dla rozłożenia obciążenia.
  • Skonfigurowano stronę switcha z odpowiednim Port-Channel lub LACP.
  • Xmit Hash Policy dopasowana na firewallu i switchu, jeśli używane jest 802.3ad.
  • Ustawiono strefę, przypisanie IP i MTU odpowiednie do zastosowania.
  • Przetestowano failover z wyciągniętym kablem.
  • Sprawdzono rozłożenie obciążenia przy 802.3ad z kilkoma równoległymi połączeniami.
  • Skontrolowano reguły firewalla i przypisanie stref po zmianie.
  • Zaplanowano okno serwisowe na konfigurację, ponieważ istniejące porty są tymczasowo odłączane.

FAQ

Ile interfejsów może łączyć LAG na Sophos Firewall?

LAG składa się z dwóch do czterech interfejsów fizycznych. Więcej portów członkowskich nie jest możliwe.

Które typy interfejsów nie mogą być używane jako member LAG?

Interfejsy PPPoE, Cellular-WAN i WLAN nie mogą być używane jako członkowie LAG. Do wyboru są tylko unbound interfejsy fizyczne.

Jaka jest różnica między Active-Backup a 802.3ad?

Przy Active-Backup zawsze aktywny jest tylko jeden link, pozostałe są w trybie standby. Przy 802.3ad (LACP) kilka linków pracuje równolegle i rozdziela obciążenie, ale wymaga to odpowiedniej konfiguracji LACP na switchu.

Czy switch musi być specjalnie skonfigurowany dla LAG?

Tak, zwłaszcza przy 802.3ad. Zaangażowane porty switcha muszą znajdować się w tej samej grupie Link Aggregation i aktywnie używać LACP. Bez odpowiedniej konfiguracji switcha rozłożenie obciążenia nie działa niezawodnie.

Czy można później zmienić nazwę hardware LAG?

Nie. Nazwa hardware jest ustalana przy tworzeniu i nie może być później zmieniona. Przy błędnej nazwie LAG musi zostać utworzony na nowo.