Hoppa till innehållet
Avanet

Konfigurera Link Aggregation (LAG) i Sophos Firewall

En Link Aggregation Group (LAG) buntar ihop två till fyra fysiska portar på Sophos Firewall till ett logiskt interface. Det ökar antingen den tillgängliga bandbredden till switchen eller ger redundans om en port eller en kabel går sönder. LAG kallas beroende på tillverkare även Trunking, NIC Teaming, NIC Bonding eller EtherChannel.

Konfigurera Sophos Firewall-zoner och interface placerar redan LAG allmänt bredvid VLAN, Bridge och RED och förklarar när en LAG är lämpligare än en enskild trunk-port. Den här artikeln går ett steg längre: den visar den konkreta WebAdmin-konfigurationen, den nödvändiga switch-motparten, Xmit Hash Policy och hur man testar en LAG ordentligt efter konfigurationen.

När en LAG är lämplig

En LAG lönar sig framför allt när:

  • core-switchen ska anslutas redundant, så att ett enskilt portfel eller en trasig kabel inte bryter hela anslutningen,
  • flera VLAN går via samma uplink och enskilda portar närmar sig sin kapacitetsgräns,
  • brandväggen behöver mer genomströmning mellan brandvägg och switch än vad en enskild fysisk port kan leverera,
  • en befintlig zon- och VLAN-struktur ska förbli oförändrad, men den fysiska anslutningen behöver bli mer robust.

För små miljöer med en enskild, korrekt konfigurerad trunk-port är en LAG ofta inte nödvändig. En LAG ersätter dessutom inte en korrekt zonindelning: i slutändan förblir LAG-interfacet ett enda interface som en zon tilldelas och på vilket VLAN-interface kan byggas upp.

Förutsättningar

  • Två till fyra fysiska interface som inte redan är bundna på annat sätt, till exempel inte redan del av en bridge, ett VLAN eller en annan LAG.
  • Alla medlemsinterface måste vara av samma typ och stödja samma hastighet samt Full-Duplex.
  • En hanterad switch med LACP-stöd, om 802.3ad ska användas.
  • Fysisk eller planerad åtkomst till switchen för att konfigurera motparten korrekt.
  • Ett underhållsfönster, eftersom skapandet av en LAG tillfälligt löser de berörda fysiska portarna från deras tidigare zon och konfiguration.

⚠️ PPPoE-, Cellular-WAN- och WLAN-interface kan inte användas som LAG-medlemmar. Endast obundna fysiska interface finns tillgängliga som medlemmar.

1. Välj bonding-läge

Sophos Firewall stöder två bonding-lägen:

  • Active-Backup: En medlemslänk är aktiv, resten förblir i standby. Om den aktiva länken faller bort tar en standby-länk över. Det här läget är enkelt, kräver ingen särskild switch-konfiguration och passar framför allt för redundans.
  • 802.3ad (LACP): Flera länkar används parallellt för lastbalansering. LACP måste vara aktiverat på båda sidor, alla medlemsinterface måste ha samma typ och samma hastighet, och alla länkar måste arbeta i Full-Duplex.

För ren redundans utan extra bandbredd är Active-Backup den enklare vägen. Den som behöver verklig extra genomströmning mellan brandvägg och switch bör välja 802.3ad, men måste då även konfigurera switch-sidan korrekt.

2. Skapa LAG i WebAdmin

  1. Öppna Network > Interfaces.
  2. Välj Add interface, därefter Add LAG.
  3. Ange ett tydligt namn under Name, till exempel LAG_Core_Uplink.
  4. Ange ett kort tekniskt namn under Hardware name, högst 10 tecken, endast alfanumeriskt och understreck. Det här namnet kan inte ändras efter skapandet och får inte använda ett reserverat systemnamn som all, gre, eth eller WLAN.
  5. Lägg till två till fyra passande fysiska interface under Member interface.
  6. Välj Active-Backup eller 802.3ad under Bonding mode.
  7. Ange dessutom Xmit Hash Policy vid 802.3ad: Layer2, Layer2+3 eller Layer3+4.
  8. Tilldela Zone som passar det planerade användningsområdet, till exempel LAN eller en dedikerad core-zon.
  9. Välj IP assignment: statisk eller DHCP, inklusive IPv4- respektive IPv6-adress vid statisk tilldelning.
  10. Anpassa vid behov MTU, om nätverket använder Jumbo Frames eller andra avvikande värden.
  11. Ange vid behov en egen adress under MAC address, istället för att använda den första medlemsportens adress.
  12. Välj Save.

Efter sparandet är LAG-interfacet, till exempel lag0, tillgängligt som ett eget interface. Därefter kan VLAN-interface skapas på det på samma sätt som på en fysisk port. Tillvägagångssättet för VLAN-interface på en LAG är identiskt med VLAN på ett fysiskt interface och beskrivs i konfigurera och testa Sophos Firewall VLAN.

Välj Xmit Hash Policy korrekt

Xmit Hash Policy avgör bara vid 802.3ad hur inkommande trafik fördelas på de enskilda medlemslänkarna. Den påverkar inte om LAG:en fungerar, utan hur jämnt lasten fördelas på medlemsportarna.

  • Layer2: Fördelning efter käll- och mål-MAC-adress. Enkelt, men ofta obalanserat vid få kommunikationspartner.
  • Layer2+3: Fördelning dessutom efter IP-adresser. Oftast en bra grundinställning för blandad nätverkstrafik.
  • Layer3+4: Fördelning dessutom efter portnummer. Kan ge en bättre fördelning vid många parallella anslutningar mellan samma värdar, men fungerar inte lika bra för alla trafiktyper, till exempel vid starkt fragmenterad eller icke-klassisk TCP/UDP-trafik.

Den valda policyn måste stämma överens på brandväggen och switchen, så att båda sidor fördelar trafiken konsekvent. En skillnad leder inte nödvändigtvis till ett totalt avbrott, men kan leda till ensidig belastning av enskilda länkar.

3. Konfigurera switch-sidan

En LAG fungerar bara tillförlitligt om switch-sidan är korrekt konfigurerad. Brandvägg och switch måste vara överens om samma bonding-läge.

Vid Active-Backup räcker det på många switchar med en enkel portkonfiguration utan speciell trunk-gruppering, eftersom bara en länk för aktiv trafik vid varje given tidpunkt. Trots det bör man kontrollera om switchen har Spanning Tree eller portsäkerhet konfigurerat så att ett byte av aktiv länk inte fördröjs ytterligare.

Vid 802.3ad (LACP) måste de berörda switch-portarna:

  • ligga i samma link-aggregation-grupp, till exempel en port-channel på Cisco-switchar eller en LAG-grupp hos andra tillverkare,
  • använda LACP aktivt, inte bara statisk bonding utan protokoll,
  • använda samma hastighet och samma duplexläge som brandväggssidan,
  • vara konfigurerade i samma VLAN-trunking-läge som passar den planerade VLAN-strukturen på brandväggen.

Om en LAG bara skapas på brandväggen medan switchen fortsätter att köra enskilda, oberoende portar uppstår ofta svårspårade problem: delvis paketförlust, asymmetriskt beteende eller en LAG som visas som aktiv men inte levererar den förväntade genomströmningen.

4. Testa LAG efter konfigurationen

En nyskapad LAG bör inte bara kontrolleras för grön status, utan för verkligt beteende vid avbrott och belastning.

Lämpliga tester:

  1. Anslutningstest i normal drift: kontrollera genomströmning och nåbarhet via LAG:en innan ett avbrott simuleras.
  2. Koppla bort en enskild medlemslänk: dra ur en kabel från en medlemsport och kontrollera om anslutningen fortsätter utan märkbart avbrott.
  3. Anslut den andra medlemslänken igen: kontrollera om länken tas upp korrekt i LAG:en igen, utan att manuellt ingrepp behövs.
  4. Fördela last på flera anslutningar: vid 802.3ad skapa flera parallella anslutningar med olika käll-/målkombinationer och kontrollera om trafiken faktiskt går via flera medlemsportar.
  5. Kontrollera status på switch-sidan: kontrollera på switchen om port-channel- respektive LACP-gruppen visar alla förväntade portar som aktiva.

För kontroll av interface-status på brandväggen passar det allmänna tillvägagångssättet från konfigurera Sophos Firewall-zoner och interface. Om managementåtkomst, DNS eller autentisering påverkas efter omställningen hjälper dessutom åtgärda Sophos Firewall ARP-problem efter migrering, om flera interface i samma subnät är inblandade.

Vanliga fel

  • Medlemsinterface med olika hastighet eller duplex: 802.3ad fungerar inte tillförlitligt eller inte alls. Alla medlemsportar måste vara identiskt konfigurerade.
  • Switchen inte omställd till LACP: Brandväggen kan visa LAG:en som aktiv, men i praktiken fungerar bara en länk korrekt eller trafiken är instabil. Kontrollera port-channel- respektive LACP-konfigurationen på switch-sidan.
  • Interface redan bundet på annat sätt: Ett interface som redan är del av en bridge eller ett VLAN finns inte tillgängligt som LAG-medlem. Lös upp den befintliga bindningen först.
  • PPPoE-, Cellular- eller WLAN-interface valt som medlem: Dessa interface-typer stöds inte som LAG-medlem av Sophos Firewall.
  • Xmit Hash Policy olika mellan brandvägg och switch: LAG:en fungerar, men lasten fördelas ensidigt på enskilda länkar. Anpassa policyn på båda sidor.
  • Vill ändra Hardware name i efterhand: Det är inte möjligt. Vid ett felaktigt valt namn måste LAG:en skapas på nytt.
  • Inget failover-test genomfört: En LAG som aldrig testats under verklig störning kan reagera annorlunda än väntat i ett allvarligt läge. Genomför ett kabeldragningstest innan produktionsanvändning.
  • Zon och brandväggsregler inte anpassade: Efter att portar flyttats till en LAG kan gamla regler under vissa omständigheter fortfarande referera till fel interface. Kontrollera zon- och regeltilldelningen efter migreringen.

Checklista

  • Två till fyra passande, obundna fysiska interface identifierade.
  • Bonding-läge medvetet valt: Active-Backup för redundans, 802.3ad för lastbalansering.
  • Switch-sidan konfigurerad med passande port-channel respektive LACP.
  • Xmit Hash Policy anpassad mellan brandvägg och switch, om 802.3ad används.
  • Zon, IP-tilldelning och MTU satta i enlighet med användningsområdet.
  • Failover testad med urdragen kabel.
  • Lastbalansering vid 802.3ad kontrollerad med flera parallella anslutningar.
  • Brandväggsregler och zontilldelning kontrollerade efter omställningen.
  • Underhållsfönster planerat för konfigurationen, eftersom befintliga portar tillfälligt kopplas bort.

FAQ

Hur många interface kan en LAG i Sophos Firewall bunta ihop?

En LAG består av två till fyra fysiska interface. Fler medlemsportar är inte möjligt.

Vilka interface-typer kan inte användas som LAG-medlem?

PPPoE-, Cellular-WAN- och WLAN-interface kan inte användas som medlem i en LAG. Endast obundna fysiska interface finns tillgängliga.

Vad är skillnaden mellan Active-Backup och 802.3ad?

Vid Active-Backup är alltid bara en länk aktiv, de andra är standby. Vid 802.3ad (LACP) arbetar flera länkar parallellt och fördelar lasten, men kräver då en passande LACP-konfiguration på switchen.

Måste switchen konfigureras speciellt för en LAG?

Ja, särskilt vid 802.3ad. De berörda switch-portarna måste ligga i samma link-aggregation-grupp och använda LACP aktivt. Utan passande switch-konfiguration fungerar lastbalanseringen inte tillförlitligt.

Kan man ändra hårdvarunamnet på en LAG senare?

Nej. Hårdvarunamnet fastställs vid skapandet och kan inte ändras därefter. Vid ett felaktigt namn måste LAG:en skapas på nytt.