Configurar Link Aggregation (LAG) no Sophos Firewall
Um Link Aggregation Group (LAG) agrupa duas a quatro portas físicas do Sophos Firewall num interface lógico. Isto aumenta a largura de banda disponível para o switch ou garante redundância caso uma porta ou um cabo falhe. Dependendo do fabricante, o LAG também é chamado Trunking, NIC Teaming, NIC Bonding ou EtherChannel.
Configurar zonas e interfaces no Sophos Firewall já enquadra o LAG de forma geral junto de VLAN, Bridge e RED e explica quando um LAG faz mais sentido do que uma única porta trunk. Este artigo vai um passo mais longe: mostra a configuração concreta no WebAdmin, o lado do switch necessário, a Xmit Hash Policy e como testar corretamente um LAG depois de o configurar.
Quando um LAG faz sentido
Um LAG compensa sobretudo quando:
- o core switch deve ser ligado com redundância, para que a falha de uma única porta ou um cabo defeituoso não interrompa toda a ligação,
- várias VLANs passam pelo mesmo uplink e as portas individuais atingem o limite de capacidade,
- o firewall precisa de mais throughput entre firewall e switch do que uma única porta física consegue fornecer,
- uma estrutura de zonas e VLANs existente deve permanecer inalterada, mas a ligação física precisa de se tornar mais robusta.
Em ambientes pequenos com uma única porta trunk bem configurada, um LAG muitas vezes não é necessário. Além disso, um LAG não substitui uma zonagem correta: no final, o interface LAG continua a ser um único interface, ao qual é atribuída uma zona e sobre o qual se podem construir interfaces VLAN.
Pré-requisitos
- Duas a quatro interfaces físicas que ainda não estejam associadas de outra forma, por exemplo que não façam já parte de uma bridge, de uma VLAN ou de outro LAG.
- Todas as interfaces membro têm de ser do mesmo tipo e suportar a mesma velocidade e Full-Duplex.
- Um switch gerido com suporte para LACP, caso se pretenda usar 802.3ad.
- Acesso físico ou planeado ao switch, para configurar o lado correspondente.
- Uma janela de manutenção, porque a criação de um LAG desliga temporariamente as portas físicas envolvidas da sua zona e configuração anteriores.
⚠️ Interfaces PPPoE, Cellular-WAN e WLAN não podem ser usadas como membros de um LAG. Apenas interfaces físicas não associadas (unbound) ficam disponíveis como membro.
1. Escolher o modo de bonding
O Sophos Firewall suporta dois modos de bonding:
- Active-Backup: um link membro está ativo, os restantes ficam em standby. Se o link ativo falhar, um link em standby assume o seu lugar. Este modo é simples, não requer configuração especial do switch e é adequado sobretudo para redundância.
- 802.3ad (LACP): vários links são usados em paralelo para distribuição de carga. O LACP tem de estar ativado em ambos os lados, todas as interfaces membro têm de ter o mesmo tipo e a mesma velocidade, e todos os links têm de operar em Full-Duplex.
Para redundância pura, sem largura de banda adicional, Active-Backup é o caminho mais simples. Quem precisa de throughput real adicional entre firewall e switch deve escolher 802.3ad, mas terá também de configurar corretamente o lado do switch.
2. Criar o LAG no WebAdmin
- Abrir Network > Interfaces.
- Selecionar Add interface, depois Add LAG.
- Em Name, atribuir um nome descritivo, por exemplo
LAG_Core_Uplink. - Em Hardware name, definir um nome técnico curto, com no máximo 10 caracteres, apenas alfanumérico e underscores. Este nome não pode ser alterado depois de criado e não pode usar um nome de sistema reservado como
all,gre,ethouWLAN. - Em Member interface, adicionar duas a quatro interfaces físicas adequadas.
- Em Bonding mode, escolher Active-Backup ou 802.3ad.
- Com 802.3ad, definir adicionalmente a Xmit Hash Policy: Layer2, Layer2+3 ou Layer3+4.
- Atribuir a Zone adequada ao propósito planeado, por exemplo
LANou uma zona core dedicada. - Escolher o IP assignment: estático ou DHCP, incluindo o endereço IPv4 ou IPv6 no caso de atribuição estática.
- Opcionalmente, ajustar o MTU, caso a rede use Jumbo Frames ou outros valores diferentes.
- Opcionalmente, em MAC address, definir um endereço próprio, em vez de usar o da primeira porta membro.
- Selecionar Save.
Depois de guardar, o interface LAG, por exemplo lag0, fica disponível como interface autónomo. Sobre ele podem depois criar-se interfaces VLAN da mesma forma que numa porta física. O procedimento para interfaces VLAN sobre um LAG é idêntico ao de VLAN sobre uma interface física e está descrito em Configurar e testar VLAN no Sophos Firewall.
Escolher corretamente a Xmit Hash Policy
A Xmit Hash Policy só decide, no caso de 802.3ad, como o tráfego de saída é distribuído pelos links membro individuais. Não influencia se o LAG funciona, mas sim quão uniformemente a carga é distribuída pelas portas membro.
- Layer2: distribuição por endereço MAC de origem e destino. Simples, mas frequentemente desequilibrada quando há poucos interlocutores de comunicação.
- Layer2+3: distribuição adicional por endereços IP. Normalmente uma boa configuração base para tráfego de rede misto.
- Layer3+4: distribuição adicional por números de porta. Pode oferecer uma melhor distribuição quando há muitas ligações paralelas entre os mesmos hosts, mas não funciona igualmente bem com todos os tipos de tráfego, por exemplo tráfego TCP/UDP fortemente fragmentado ou não clássico.
A policy escolhida tem de corresponder no firewall e no switch, para que ambos os lados distribuam o tráfego de forma consistente. Uma diferença não leva necessariamente a uma falha completa, mas pode causar uma utilização assimétrica de links individuais.
3. Configurar o lado do switch
Um LAG só funciona de forma fiável se o lado do switch estiver configurado de forma adequada. Firewall e switch têm de estar de acordo quanto ao mesmo modo de bonding.
Com Active-Backup, em muitos switches basta uma configuração de porta simples, sem agrupamento trunk especial, porque em cada momento apenas um link transporta tráfego ativamente. Ainda assim, deve verificar-se se o Spanning Tree ou a segurança de porta do switch estão configurados de forma a não atrasarem adicionalmente uma mudança do link ativo.
Com 802.3ad (LACP), as portas do switch envolvidas têm de:
- estar no mesmo grupo de link aggregation, por exemplo um Port-Channel em switches Cisco ou um grupo LAG noutros fabricantes,
- usar LACP ativamente, não apenas bonding estático sem protocolo,
- usar a mesma velocidade e o mesmo modo duplex que o lado do firewall,
- estar configuradas no mesmo modo de VLAN trunking que corresponde à estrutura VLAN planeada no firewall.
Se um LAG for criado apenas no firewall, mas o switch continuar a operar portas individuais e independentes, surgem frequentemente problemas difíceis de identificar: perda parcial de pacotes, comportamento assimétrico ou um LAG que é apresentado como ativo, mas não fornece o throughput esperado.
4. Testar o LAG depois da configuração
Um LAG recém-criado não deve ser verificado apenas quanto ao estado verde, mas sim quanto ao comportamento real em caso de falha e carga.
Testes recomendados:
- Teste de ligação em funcionamento normal: verificar throughput e alcançabilidade através do LAG, antes de simular uma falha.
- Desligar um link membro individual: retirar o cabo de uma porta membro e verificar se a ligação continua sem interrupção percetível.
- Voltar a ligar o segundo link membro: verificar se o link é reintegrado corretamente no LAG, sem necessidade de intervenção manual.
- Distribuir carga por várias ligações: com 802.3ad, gerar várias ligações paralelas com combinações origem/destino diferentes e verificar se o tráfego realmente passa por várias portas membro.
- Verificar o estado do lado do switch: confirmar no switch se o grupo Port-Channel ou LACP mostra todas as portas esperadas como ativas.
Para verificar o estado dos interfaces no firewall, aplica-se o procedimento geral de Configurar zonas e interfaces no Sophos Firewall. Se, após a alteração, o acesso de gestão, o DNS ou a autenticação forem afetados, ajuda também Resolver problemas de ARP no Sophos Firewall após migração, caso várias interfaces estejam envolvidas na mesma sub-rede.
Erros típicos
- Interfaces membro com velocidade ou duplex diferentes: 802.3ad não funciona de forma fiável, ou nem sequer funciona. Todas as portas membro têm de estar configuradas de forma idêntica.
- Switch não alterado para LACP: o firewall pode apresentar o LAG como ativo, mas na realidade apenas um link funciona corretamente ou o tráfego é instável. Verificar a configuração de Port-Channel ou LACP do lado do switch.
- Interface já associado de outra forma: um interface que já faz parte de uma bridge ou de uma VLAN não fica disponível como membro do LAG. Resolver primeiro a associação existente.
- Interface PPPoE, Cellular ou WLAN escolhido como membro: estes tipos de interface não são suportados como membro de LAG no Sophos Firewall.
- Xmit Hash Policy diferente entre firewall e switch: o LAG funciona, mas a carga distribui-se de forma assimétrica pelos links individuais. Alinhar a policy em ambos os lados.
- Querer alterar o Hardware name posteriormente: isto não é possível. Se o nome escolhido estiver errado, o LAG tem de ser recriado.
- Nenhum teste de failover realizado: um LAG que nunca foi testado sob falha real pode reagir de forma diferente do esperado numa situação de emergência. Realizar o teste de desligar o cabo antes de entrar em produção.
- Zona e regras de firewall não ajustadas: depois de mover portas para um LAG, as regras antigas podem continuar referidas às interfaces erradas. Verificar a associação de zonas e regras após a migração.
Checklist
- Identificadas duas a quatro interfaces físicas adequadas e não associadas (unbound).
- Modo de bonding escolhido conscientemente: Active-Backup para redundância, 802.3ad para distribuição de carga.
- Lado do switch configurado com o Port-Channel ou LACP adequado.
- Xmit Hash Policy alinhada entre firewall e switch, caso seja usado 802.3ad.
- Zona, atribuição de IP e MTU definidos de acordo com o propósito.
- Failover testado com o cabo retirado.
- Distribuição de carga testada com 802.3ad e várias ligações paralelas.
- Regras de firewall e associação de zonas verificadas após a alteração.
- Janela de manutenção planeada para a configuração, uma vez que as portas existentes são temporariamente desligadas.