Konfigurera Sophos Firewall High Availability (HA)
High Availability, förkortat HA, kopplar samman två Sophos Firewalls till ett kluster. Målet är inte att göra en enskild brandvägg oförstörbar, utan att kontrollerat hantera avbrott av en enhet, enskilda kritiska portar eller planerat underhåll.
En HA-miljö är dock ingen ersättning för god nätverksdesign, rena säkerhetskopior och dokumenterade underhållsprocesser. Ett felplanerat kluster kan vid fel vara svårare att hantera än en enskild brandvägg. Denna artikel förklarar därför inte bara var man aktiverar HA, utan hur man på ett meningsfullt sätt planerar, konfigurerar, driver och vid fel kontrollerar ett Sophos Firewall HA-kluster.
Innehållsförteckning
- Kort slutsats
- Videoguider
- Vad High Availability på Sophos Firewall innebär
- Active-Passive eller Active-Active
- Roller, status och arkitektur
- Förutsättningar
- Planering och design
- Förbereda konfiguration
- Konfigurera Active-Passive med QuickHA
- Konfigurera Active-Active med QuickHA
- Manuell HA-konfiguration
- Validera kluster
- Drift och underhåll
- Firmware-uppdateringar och säkerhetskopior
- Felsökning
- Best-Practice-checklistor
Kort slutsats
I de flesta produktiva miljöer är Active-Passive det bättre HA-alternativet. En brandvägg hanterar all trafik, den andra brandväggen står redo och tar över vid avbrott eller underhåll. Designen är enklare, licensieringen är billigare och beteendet vid fel är lättare att förstå.
Active-Active är endast värt det om man medvetet accepterar gränserna och begränsningarna. Det är ingen klassisk symmetrisk lastbalansering där båda brandväggarna står jämbördigt på alla platser i nätverket. Den primära brandväggen tar fortfarande emot trafiken och fördelar vissa anslutningar till den sekundära brandväggen. Inte alla tjänster och inte alla typer av trafik fördelas.
| Fråga | Rekommendation |
|---|---|
| Maximal stabilitet och enkel drift | Active-Passive |
| Använda andra brandväggen utan separat skyddslisens | Active-Passive |
| Mer genomströmning för vissa TCP-anslutningar behövs | Överväg Active-Active |
| Många VPN-, Proxy-, RED-, NDR- eller specialfall | Föredra Active-Passive |
| Liten eller medelstor miljö utan tydligt prestandaproblem | Active-Passive |
| Klara prestandakrav och lämplig licensiering för båda enheterna | Active-Active efter test |
Videoguider
Följande Sophos Techvids visar HA på Sophos Firewall visuellt. Videorna ersätter inte noggrann planering, men hjälper till att förstå QuickHA, roller, statusar och det grundläggande beteendet hos ett HA-kluster.
Vad High Availability på Sophos Firewall innebär
Ett Sophos Firewall HA-kluster består av två brandväggar. Enheterna utbyter via en dedikerad HA-Link hjärtslag, enhetsstatus, anslutningsinformation och konfigurationsdata. Konfigurationen synkroniseras från den primära brandväggen till den sekundära brandväggen.
HA skyddar mot typiska avbrott:
- Avbrott av den primära brandväggen
- Ström- eller hårdvarufel
- Avbrott av en övervakad port
- Programvaru- eller tjänsteproblem som gör en enhet obrukbar
- Planerade firmware-uppdateringar
- Planerat rollbyte vid underhåll
HA löser dock inte alla problem:
- En felaktig brandväggsregel är fortfarande felaktig även i klustret.
- Ett gemensamt switchavbrott kan påverka båda brandväggarna samtidigt.
- En defekt VLAN-design eller ett felaktigt routingkoncept korrigeras inte automatiskt.
- Loggar och rapporter synkroniseras inte fullständigt mellan båda brandväggarna.
- En säkerhetskopia är fortfarande obligatorisk.
Den som planerar HA bör först ha klargjort grunderna för zoner, gränssnitt, VLAN, LAG och bryggor. En passande guide är Planera och konfigurera Sophos Firewall zoner och gränssnitt.
Active-Passive eller Active-Active
Active-Passive
I Active-Passive hanterar en brandvägg all produktiv trafik. Den andra brandväggen är passiv och tar över först när den aktiva brandväggen fallerar eller ett failover utlöses manuellt eller genom underhåll.
Typiska egenskaper:
- Den primära brandväggen hanterar trafiken.
- Den sekundära brandväggen är i standby.
- Sessioner synkroniseras i den mån respektive tjänst stöder det.
- Endast den licensierade enheten behöver skyddssubscriptioner vid hårdvaruenheter.
- Den sekundära brandväggen tar över vid failover med samma virtuella MAC-adress.
- Nätverksenheter behöver vanligtvis inte lära sig om sina grannar på nytt.
Active-Passive är oftast det bästa valet för klassiska företagsmiljöer, filialer, datacenter och miljöer där stabilitet är viktigare än en möjlig prestandaförbättring.
Active-Active
I Active-Active hanterar båda brandväggarna trafik. Trots detta förblir arkitekturen asymmetrisk: Den primära brandväggen tar emot trafiken och bestämmer om den ska hantera en anslutning själv eller vidarebefordra den till den sekundära brandväggen.
Sophos använder bland annat käll-IP-adressen för fördelningen. TCP-anslutningar från jämna käll-IP-adresser hanteras vanligtvis på den primära, medan udda käll-IP-adresser kan vidarebefordras till den sekundära. Icke-TCP-trafik och vissa tjänster fördelas inte lika.
Typiska egenskaper:
- Båda brandväggarna kan hantera trafik.
- Den primära brandväggen förblir den centrala ingångspunkten.
- Båda brandväggarna behöver lämpliga licenser.
- Inte alla tjänster fördelas.
- Loggar och rapporter genereras på den enhet som hanterar respektive trafik.
- Felsökning blir mer komplex eftersom anslutningar kan landa på båda noderna.
Active-Active är meningsfullt när det finns ett tydligt prestandamål och man tidigare har testat om den relevanta trafiken faktiskt fördelas. För ren hög tillgänglighet är Active-Passive oftast renare.
Roller, status och arkitektur
Roller i HA-klustret
| Term | Betydelse |
|---|---|
| Primary | Enhet som hanterar den centrala klusterkonfigurationen. I båda HA-lägen tar den primära emot trafiken. |
| Auxiliary | Andra enheten i klustret. Den synkroniserar konfigurationen från den primära och tar över vid behov. |
| Initial primary | Enheten som startades som primär vid konfigurationen. I Active-Passive är det vanligtvis också den licensierade enheten. |
| Preferred primary | Föredragen enhet som ska bli primär igen efter ett failover så snart den är stabilt tillgänglig. |
Statusvärden i drift
| Status | Betydelse |
|---|---|
| Active | Enheten hanterar trafik. |
| Passive | Enheten är redo men hanterar ingen produktiv trafik i Active-Passive. |
| Standalone | Enheten ser inte sin peer eller HA är inte helt aktiv. Vid HA-Link-problem kan båda enheterna bli Standalone. |
| Faulty | Enheten är inte tillräckligt frisk för att delta normalt i klustret. |
Virtuell MAC-adress
Sophos Firewall använder i HA-klustret virtuella MAC-adresser för de produktiva gränssnitten. Endast den primära svarar på ARP-förfrågningar för klustret. Vid ett failover tar den sekundära över denna virtuella MAC-adress. Detta gör att tillgängligheten för switchar, routrar och klienter förblir stabilare eftersom IP- och MAC-tilldelningen inte ändras grundläggande.
Viktigt är Cluster ID. Denna ID används för den virtuella MAC-adressen. Om flera HA-kluster drivs i samma Layer-2-miljö måste varje kluster ha en unik Cluster ID. Annars kan MAC-konflikter uppstå.
Vad som synkroniseras
| Område | Synkronisering |
|---|---|
| Brandväggsregler, policies, objekt, routing, CLI-konfiguration | Synkroniseras från primär till sekundär. |
| Aktiva sessioner | Synkroniseras beroende på protokoll och tjänst. |
| Secure Storage Master Key och WebAdmin-inloggningsuppgifter | Synkroniseras. |
| Dedikerad HA-länk | Synkroniseras inte som en normal produktiv gränssnittskonfiguration. |
| Peer Admin Port | Behandlas separat och synkroniseras inte som ett normalt gränssnitt. |
| Loggar och rapporter | Synkroniseras inte mellan enheterna. |
Failover-beteende
Ett failover kan utlösas av olika händelser:
- inga hjärtslag längre över HA-Link
- avbrott av en övervakad port
- strömavbrott
- hårdvarufel
- programvaru- eller tjänsteproblem
- planerat rollbyte
- firmware-uppdatering
Hjärtslagen går över den dedikerade HA-Link. Standardmässigt används mycket korta intervall. Om flera hjärtslag i rad saknas anses peeren vara otillgänglig. Därefter kontrollerar brandväggen tillståndet och utför rollbytet.
Vid ett failover fortsätter många anslutningar eller återställs snabbt. Fullständigt transparent är dock inte ett failover för varje applikation. Särskilt stateful TCP-anslutningar, webbsessioner, proxy-anslutningar eller vissa VPN-scenarier kan kort avbrytas eller behöva återställas.
Lastbalansering i Active-Active
Active-Active innebär inte att båda brandväggarna står som två jämbördiga routrar i nätverket. Den primära brandväggen förblir den centrala ingångspunkten och fördelar vissa anslutningar till den sekundära brandväggen.
Viktiga punkter:
- Lastbalansering finns endast i Active-Active.
- Metoden kan inte fritt anpassas.
- Externa lastbalanserare framför ett HA-kluster används inte som standarddesign av Sophos för denna HA-logik.
- Inte all trafik fördelas.
- Icke-TCP-trafik, SD-RED, tunnlad trafik och vissa Layer-7-funktioner kan behandlas annorlunda.
- Felsökning måste inkludera båda noderna.
I praktiken bör Active-Active endast användas om det är klart i förväg vilken trafik som orsakar flaskhalsen och om just denna trafik fördelas.
Stödda och begränsade tjänster
Sophos HA stöder de flesta brandväggstjänster. Vissa tjänster har dock särskilda egenskaper.
| Tjänst eller funktion | Notering |
|---|---|
| Brandväggsregler och NAT | Synkroniseras. I Active-Active måste man veta vilken nod som hanterar en anslutning. |
| VPN | Många VPN-scenarier fungerar med HA, men inte varje sessionstyp faller utan avbrott. IPsec kan stateless UDP/ICMP bättre ta över än stateful TCP. |
| Web Protection | Fungerar i klustret. I Active-Active kan varningar komma från båda noderna. |
| Email Protection | Karantän och frisläppning kan vara nodspecifika eftersom varje enhet lagrar egna data för hanterad e-posttrafik. |
| Synchronized Application Control | Inte lämplig för Active-Active om funktionen inte stöds i den använda SFOS-versionen. |
| NDR Essentials | För HA-miljöer endast med Active-Passive planera. |
| sFlow | Körs i HA-miljöer endast på den primära. |
| Rapporter | Lokala rapporter genereras per enhet. Sammanställda rapporter är mer meningsfulla via Sophos Central Firewall Reporting. |
| Cellular WAN | Måste inaktiveras för HA. |
| XGS Wi-Fi-modeller | HA stöds inte på XGS Wi-Fi-modeller. |
Om rapportering eller loggförvaring är viktigt bör man tidigt planera om en extern Syslog-server eller Sophos Central Firewall Reporting används. Mer om detta finns i Aktivera Central Firewall Reporting.
Förutsättningar
Innan implementeringen bör man noggrant kontrollera HA-förutsättningarna mot den egna miljön. Särskilt modelljämförelse, firmwarestatus, gränssnitt, Cellular WAN och virtuella plattformar är punkter där små avvikelser senare kan få stora konsekvenser.
Hårdvara och modellkompatibilitet
| Förutsättning | Krav |
|---|---|
| Appliance-modell | Båda brandväggarna måste vara samma XGS-modell, till exempel XGS 2100 med XGS 2100. |
| Hårdvarurevision | Olika hårdvarurevisioner är möjliga vid samma XGS-modell. |
| XGS Wi-Fi-modeller | Inte stödda. Exempel är XGS 126w eller XGS 136w. |
| Flexi Port-moduler | Om expansionsmoduler används måste antalet Flexi Ports vara lika på båda enheterna. |
| Firmware | Båda enheterna måste använda samma SFOS-version inklusive Maintenance Release och Build. |
| Hårdvara plus virtuell appliance | Inte möjligt som HA-par. |
Virtuella och programvaruappliances
Virtuella eller programvaruappliances måste också matcha mycket noggrant.
| Förutsättning | Krav |
|---|---|
| Plattform | Samma appliance-typ och samma SFOS-plattform. |
| Hypervisor | Samma hypervisor-typ. |
| Resurser | Samma CPU-kärnor, jämförbara resurser och samma antal nätverksgränssnitt. |
| Firmware | Samma SFOS-version inklusive Build. |
| MAC-adresser | I virtuella miljöer kan alternativet för hypervisor-tilldelade MAC-adresser vara relevant så att inget Promiscuous Mode behövs. En ändring orsakar dock driftstopp. |
Molnimplementeringar
I molnmiljöer gäller ytterligare plattformsföreskrifter. Routing, virtuella gränssnitt, IP-adresser, Security Groups, UDRs eller molnspecifika failover-mekanismer måste passa den aktuella molndesignen. Den normala appliance-HA-ansatsen kan inte överföras okontrollerat till Azure, AWS eller andra molnmiljöer.
Om en Sophos Firewall drivs i molnet bör man före HA-planeringen kontrollera den aktuella Sophos-dokumentationen för respektive plattform och molnnätverksarkitektur.
Licensiering och registrering
HA-licensieringen skiljer sig beroende på plattform och HA-läge. Avgörande är tre frågor: Är det hårdvara eller virtuell/programvara? Används Active-Passive eller Active-Active? Och vilken enhet är den Initial Primary, alltså enheten som håller licensen för klustret? Dessa punkter bör kontrolleras före implementeringen med licensstatus, serienummer och målmodus.
| Scenario | Licenskrav |
|---|---|
| Base Firewall | För HA krävs en Base Firewall-licens. Hårdvaruenheter har denna licens som standard. Vid virtuella/programvaruenheter måste den vara korrekt licensierad. |
| Active-Passive Hårdvara | Endast den Initial-Primary-enheten behöver de produktiva subskriptionerna. Den sekundära brandväggen får en kopia av subskriptionerna och kan hantera trafik efter ett failover. |
| Active-Active Hårdvara | Båda brandväggarna behöver egna lämpliga licenser. Licenstyperna måste matcha, utgångsdatum får vara olika. |
| Active-Passive Virtuell/Programvara | Endast den primära behöver de nödvändiga licenserna inklusive Base Firewall. |
| Active-Active Virtuell/Programvara | Båda enheterna behöver en egen Base Firewall-licens och lämpliga ytterligare skyddslisenser. |
| Registrering Hårdvara | Båda hårdvaruenheterna måste vara kända i Sophos Central respektive i Sophos Licensing-Portal och kunna synkronisera sina licenser. |
| Registrering Virtuell/Programvara Active-Passive | Vid Active-Passive Virtuell/Programvara hävdas enligt Sophos endast den primära. |
| Sophos Central Management | Licenssynkronisering och hävdande innebär inte automatiskt att brandväggarna också hanteras via Sophos Central Firewall Management. För detta krävs en lämplig ytterligare subskription. |
| RMA och support | För hårdvarubyte och Advance Replacement är supportstatus viktig. Vid Active-Passive Hårdvara nämner Sophos Enhanced Plus Support på den primära enheten som relevant förutsättning för Advance Hardware Replacement. Vid Active-Active måste supportstatus på båda enheterna passa. |
Viktigt: Vid Active-Passive är den Initial Primary särskilt viktig eftersom denna enhet håller licensen för klustret. I HA-vyn står det vid den aktuella enheten att den håller licensen för klustret. Vid tveksamhet bör man dokumentera enheten tydligt i driftshandboken.
Om licenserna i Active-Active inte matchar, stoppar enligt Sophos först lastbalanseringen. Om avvikelsen kvarstår längre kan HA inaktiveras. Vid en första konfiguration aktiveras inte Active-Active HA korrekt med icke matchande licenser. Därför är en licenskontroll obligatorisk i driftrutinen.
Vid virtuella/programvaruenheter är Base Firewall-licensen särskilt kritisk. Om den inaktiveras eller om den Initial Primary inte kan synkronisera licensen under en längre tid kan HA inaktiveras och andra skyddsfunktioner blir inaktiva. Relevant här är en synkronisering med licensservern minst en gång inom 90 dagar. För produktiva miljöer betyder det: HA-klustret måste inte bara fungera tekniskt utan också regelbundet kunna nå licensservern.
För driften bör man minst dokumentera:
- vilken enhet som är den Initial Primary
- vilka serienummer eller appliance-ID:n som tillhör klustret
- vilka licenser som är aktiva på vilken enhet
- när licenserna senast synkroniserades
- vilken supportnivå som finns för RMA eller Advance Replacement
- vem som godkänner licensändringar, förnyelser och RMA-processer
Nätverksförutsättningar
| Område | Rekommendation |
|---|---|
| HA-Link | Dedikerad anslutning mellan båda brandväggarna, helst direkt med Ethernet-kabel. |
| HA-Link-Zon | DMZ-zon med aktiverad SSH för zonen. |
| HA-Link-IP-adresser | Statisk IP-adresser i samma subnät men olika adresser. |
| HA-Link-kvalitet | Hög bandbredd, låg latens, ingen paketförlust. |
| Switchar | Aktivera RSTP på switchar som är anslutna till brandväggsportar. |
| Övervakade portar | Endast övervaka portar som verkligen är anslutna och kritiska. |
| Cellular WAN | Inaktivera för HA. |
| Admin Port | Planera separat så att den sekundära brandväggen förblir tillgänglig. |
HA-Link hanterar ingen normal klient- eller servertrafik. Den är endast relevant för hjärtslag, status, sessionssynkronisering, konfigurationssynkronisering och Active-Active-fördelning. Trots detta är den extremt kritisk. Om HA-Link fallerar kan båda brandväggarna tro att de är primära. Just detta split-brain-scenario måste undvikas.
Portar och gränssnitt
| Porttyp | Syfte | Rekommendation |
|---|---|---|
| Dedikerad HA-länk | Hjärtslag, status, konfigurations- och sessionssynkronisering | Anslut direkt eller via mycket pålitlig switch. Använd inte för produktiv trafik. |
| Övervakade portar | Övervakning av kritiska produktiva länkar | Övervaka WAN, viktiga DMZ- eller Core-Uplinks. Välj inga oanvända portar. |
| Peer Admin Port | Åtkomst till sekundär WebAdmin | Planera och dokumentera separat. Klienten måste ligga i rätt subnät. |
| Produktionsgränssnitt | LAN, WAN, DMZ, VLAN, LAG | Anslut identiskt på båda brandväggarna och designa likvärdigt. |
Som dedikerad HA-länk är fysiska gränssnitt, VLAN eller LAG möjliga. Brygggränssnitt och alias-IP-adresser kan inte användas som dedikerad HA-länk. Om en LAG används som HA-länk måste parent-gränssnitten vara lika uppbyggda på båda appliances.
Planering och design
Rekommenderad topologi för Active-Passive
En typisk Active-Passive-design ser ut så här:
- båda brandväggarna står i samma rack eller i närliggande rack
- alla produktiva gränssnitt är lika anslutna
- WAN går till redundanta switchar eller väl dokumenterade leverantörsövergångar
- LAN/DMZ går till redundanta switchstrukturer
- HA-Link är direkt ansluten
- en separat hanterings- eller admin-åtkomst är planerad
- WAN- och Core-/DMZ-portar definieras som övervakade portar
Den viktigaste punkten: Den andra brandväggen måste kunna ta över samma nätverksposition vid fel. Därför måste VLAN, trunks, LAG, switchportar och leverantörsanslutningar planeras konsekvent.
Rekommenderad topologi för Active-Active
Active-Active kräver samma fysiska noggrannhet som Active-Passive, men dessutom en klar förväntan på den fördelbara trafiken.
Innan Active-Active bör man svara på:
- Vilken trafik är flaskhalsen?
- Fördelas just denna trafik i Active-Active?
- Är båda appliances fullständigt och korrekt licensierade?
- Är loggar, rapporter och felsökningsprocesser förberedda för båda noderna?
- Finns det tjänster som VPN, NDR, Synchronized Application Control eller proxy-scenarier som talar emot Active-Active?
Utan klart svar är Active-Passive det bättre valet.
LAN, WAN, DMZ och HA-Link
| Område | Designnotering |
|---|---|
| LAN | Zonera interna nätverk noggrant. Planera VLAN inte bara tekniskt utan också säkerhetsmässigt. |
| WAN | Behandla leverantörsanslutning, failover-gateways och SD-WAN separat från HA. HA ersätter inget WAN-redundanskoncept. |
| DMZ | Håll servernät och externa publiceringar separerade från klientnät. |
| HA-Link | Egen anslutning, statiskt adresserad, DMZ-zon, SSH tillåtet för DMZ. Ingen användar- eller serverkommunikation över den. |
| Management | Begränsa admin-åtkomst, Device Access och ACLs medvetet. |
För att säkra lokala brandväggstjänster passar Säkra Sophos Firewall-åtkomst: Konfigurera Device Access korrekt.
Switchkrav
Switchar är ofta den osynliga riskfaktorn vid HA. Ett HA-kluster fungerar bara så bra som Layer-2-miljön under det.
Rekommendationer:
- Aktivera RSTP på involverade switchar.
- Konfigurera trunks identiskt på båda brandväggarna.
- Tillåt VLAN konsekvent på alla involverade portar.
- Bygg LAGs identiskt.
- Välj inga halvfärdiga eller oanvända övervakade portar.
- Anslut HA-Link direkt om möjligt.
- Om HA-Link går över switchar måste vägen vara stabil, latensfri och paketförlustfri.
VLAN, LAG, bryggor och RED
VLAN och LAG är möjliga i HA, men de ökar planeringskraven. HA-klustret bör inte vara den första platsen där en VLAN- eller LAG-design testas.
| Teknik | HA-notering |
|---|---|
| VLAN | Planera identiskt på båda enheterna. Observera parent-gränssnitt. VLAN som HA-Link är möjligt men endast vid mycket ren design. |
| LAG | Meningsfullt för Core-Uplinks eller redundant switchanslutning. Parent-gränssnitt måste vara konsekventa. |
| Brygga | HA i bryggläge stöds men gör felsökning mer komplex. För nya designer är Gateway Mode oftast mer transparent. |
| RED | RED- och fjärrscenarier kan påverka HA, särskilt om nät sträcks över platser. Prestanda, latens och felbilder bör kontrolleras i förväg. |
| VPN | VPN-failover fungerar olika bra beroende på protokoll och sessionstyp. Testa IPsec och fjärråtkomst separat. |
Undvik split-brain
Split-brain innebär att båda brandväggarna tror att de är aktiva eller standalone ansvariga. Detta kan hända om HA-Link fallerar men enheterna fortfarande finns i produktionsnätet.
Åtgärder:
- Låt inte HA-Link gå över osäkra eller instabila switchvägar.
- Föredra direktanslutning för HA-Link.
- Välj övervakade portar medvetet.
- Konfigurera RSTP noggrant.
- Ingen asymmetrisk kabeldragning.
- Kontrollera HA-status efter varje switch- eller VLAN-ändring.
- Anpassa keepalive-värden endast med anledning.
Förbereda konfiguration
Innan HA-konfigurationen bör man inte improvisera i produktionsnätet. Denna förberedelse sparar mycket tid senare.
Förberedelse av båda brandväggarna
- Ta båda brandväggarna till samma SFOS-version inklusive Build.
- Kontrollera licens- och registreringsstatus.
- Inaktivera Cellular WAN.
- Säkerställ att modellerna är kompatibla.
- Kontrollera Flexi Port-utrustning.
- Dokumentera gränssnitt och switchportar.
- Fastställ HA-Link-port.
- Anslut HA-Link direkt eller kontrollera switchvägen.
- Planera DMZ-zon och SSH-åtkomst för HA-Link.
- Dokumentera admin-åtkomst till båda enheterna.
- Skapa säkerhetskopia av befintlig konfiguration.
Säkerhetskopior är inte valfria vid HA. Innan konfiguration, innan firmware-uppdateringar och innan större gränssnittsändringar bör en säkerhetskopia finnas. Grunderna finns i Skapa eller återställa Sophos Firewall-säkerhetskopia.
QuickHA eller manuell konfiguration
| Metod | När lämplig |
|---|---|
| QuickHA | Standardfall. Snabb, robust och tillräcklig för de flesta Active-Passive- och Active-Active-uppsättningar. |
| Manuell konfiguration | När admin-portar, HA-Link, Cluster ID, peer-adresser och detaljvärden måste anges medvetet. |
QuickHA identifierar peeren via de valda HA-Link-gränssnitten. Så snart enheterna har hittat varandra byggs klustret upp. Lösenfrasen används för att bygga den krypterade SSH-tunneln och behandlas därefter inte som ett återanvändbart lösenord. Om en enhet ersätts måste HA inaktiveras och konfigureras om.
De här beskrivna stegen är baserade på den officiella Sophos-HA-konfigurationen men är medvetet formulerade som en praktisk admin-checklista. För produktiva ändringar bör man inte bara klicka igenom guiden utan dokumentera roller, HA-Link, admin-åtkomst, säkerhetskopia, licensstatus och återgång i förväg.
Konfigurera Active-Passive med QuickHA
1. Förbered den primära brandväggen
- Logga in på den framtida primära brandväggen i WebAdmin.
- Gå till System services > High availability.
- Välj läge Primary (active-passive).
- Använd QuickHA.
- Valfritt: ge en nodnamn, till exempel
FW01. - Ange en HA-lösenfras.
- Spara lösenfrasen säkert eftersom den snart behövs på den sekundära brandväggen.
- Välj den dedikerade HA-länken.
- Starta Initiate HA.
Noteringar:
- HA-Link får inte ha några produktiva beroenden.
- Om QuickHA använder ett obundet gränssnitt tilldelar Sophos detta gränssnitt till DMZ-zonen och ställer in HA-specifika inställningar.
- HA-Link använder statiska IP-adresser i Link-Local-området om QuickHA använder standardvärdena.
- SSH måste tillåtas för HA-Link-zonen eftersom HA-tunneln byggs över den.
2. Förbered den sekundära brandväggen
- Logga in på den framtida sekundära brandväggen.
- Gå till System services > High availability.
- Välj roll Auxiliary.
- Använd QuickHA.
- Valfritt: ge en nodnamn, till exempel
FW02. - Ange samma HA-lösenfras.
- Välj samma HA-Link-port som på den primära sidan.
- Starta Initiate HA.
Efter uppbyggnaden synkroniserar den primära brandväggen konfigurationen till den sekundära brandväggen. På den sekundära brandväggen skrivs många lokala inställningar över. Därför bör den sekundära inte konfigureras parallellt som en självständig produktiv brandvägg innan HA-konfigurationen.
3. Kontrollera avancerade inställningar
Efter klusteruppbyggnaden bör man inte bara klicka bort utan kontrollera följande punkter:
- HA-status för båda noderna
- Roll och status uppe till höger i WebAdmin
- Dedikerad HA-länk
- Övervakade portar
- Peer Admin Port
- Preferred primary
- Keepalive-intervall och försök
- Licenshållare vid Active-Passive
- Sophos Central-registrering, om den används
4. Ställ in övervakade portar
Övervakade portar avgör om ett gränssnittsavbrott utlöser ett failover. Typiska kandidater:
- WAN-Uplink
- Core-LAN-Uplink
- viktiga DMZ- eller server-Uplinks
Man bör inte övervaka portar som ibland medvetet är offline, inte är anslutna eller endast används för valfria scenarier. En felaktigt inställd övervakad port är en vanlig orsak till oväntade failover eller ett kluster som inte startar.
Konfigurera Active-Active med QuickHA
Active-Active konfigureras på liknande sätt men med ett annat mål. Innan måste båda brandväggarna vara korrekt licensierade.
1. Förhandskontroll
- Båda brandväggarna har lämpliga licenser.
- Licenstyperna matchar.
- Båda enheterna är registrerade.
- Båda enheterna kör samma SFOS-version inklusive Build.
- Den relevanta trafiken drar faktiskt nytta av Active-Active.
- Tjänster med Active-Active-begränsningar har kontrollerats.
- Övervakning och felsökning är utformade för båda noderna.
2. Konfigurera den primära brandväggen
- Gå till System services > High availability.
- Välj Primary (active-active).
- Använd QuickHA.
- Ge nodnamn.
- Ange HA-lösenfras.
- Välj dedikerad HA-länk.
- Starta HA.
3. Konfigurera den sekundära brandväggen
- På den andra enheten, gå till System services > High availability.
- Välj Auxiliary.
- Använd QuickHA.
- Ange samma lösenfras.
- Välj samma HA-Link-port.
- Starta HA.
4. Testa efter konfiguration
Vid Active-Active måste mer testas än bara HA-status:
- Fördelas anslutningar på båda noderna?
- Är loggar synliga på båda enheterna?
- Fungerar VPN-anslutningar efter ett rollbyte?
- Fungerar Web Protection, IPS, Application Control och relevanta säkerhetsfunktioner?
- Finns det applikationer som märks av asymmetriskt beteende?
- Genereras rapporter och varningar som förväntat?
Manuell HA-konfiguration
Den manuella HA-konfigurationen är lämplig när den automatiska QuickHA-logiken inte ger tillräcklig kontroll.
Typiska skäl:
- fasta HA-Link-IP-adresser ska användas
- Peer Admin Port måste definieras exakt
- Cluster ID ska medvetet sättas
- flera HA-kluster finns i samma Layer-2-miljö
- virtuella appliances ska drivas med specifika MAC-alternativ
- en mycket kontrollerad utrullning är nödvändig
Vid manuell konfiguration förbereds först den sekundära brandväggen och därefter konfigureras den primära brandväggen. Den primära måste känna till HA-Link-IP-adressen för peeren.
Viktiga fält:
| Fält | Betydelse |
|---|---|
| Driftsläge | Active-Passive eller Active-Active. |
| Initial enhetsroll | Primär eller sekundär. |
| Dedikerad HA-länk | Gränssnitt för hjärtslag, status och synkronisering. |
| Peer HA-link IPv4 | Adress för HA-Link-gränssnittet på den andra enheten. |
| Cluster ID | Grund för virtuella MAC-adresser. Vid flera kluster sätts unikt. |
| Övervakade portar | Kritiska portar vars avbrott ska utlösa ett failover. |
| Peer administration settings | Åtkomst till den sekundära brandväggen. |
| Preferred primary | Enhet som ska bli primär igen efter failover. |
| Keepalive-intervall / Försök | Känslighet för HA-detektering. Anpassa endast medvetet. |
Validera kluster
Efter konfigurationen bör HA-klustret systematiskt kontrolleras.
WebAdmin-kontroll
- Logga in på den primära brandväggen.
- Kontrollera HA-status uppe till höger.
- Gå till System services > High availability.
- Kontrollera roller, status, serienummer och läge.
- Säkerställ att klustret är synkroniserat.
- Vid Active-Passive, kontrollera vilken enhet som håller licensen för klustret.
CLI-kontroll
I Device Console kan man visa HA-status:
system ha show details
Om det är oklart vilken enhet som är den licenshållande Initial Primary kan detta värde i Advanced Shell hjälpa:
nvram get "#li.master"
YES står för den initiala primära enheten, NO för den sekundära enheten. Sådana kommandon bör dokumenteras och endast användas i klara underhålls- eller diagnosfall.
Om Shell-åtkomst ännu inte är förberedd hjälper guiden Anslut Sophos Firewall via SSH.
Funktionellt test
- Testa klient från LAN till internet.
- Testa åtkomst till interna servrar.
- Testa VPN.
- Testa DNAT- eller WAF-scenarier.
- Testa DNS och DHCP om brandväggen tillhandahåller dessa tjänster.
- Kontrollera loggar i Log Viewer.
- Testa HA-rollbyte i ett underhållsfönster.
- Dokumentera därefter roller, status och sessionsbeteende.
Drift och underhåll
Löpande övervakning
Ett HA-kluster bör aktivt övervakas. Bara för att två brandväggar står i racket är miljön inte automatiskt hög tillgänglig.
Övervaka bör:
- HA-status
- Rollstatus Primär/Sekundär
- HA-Link
- Övervakade portar
- Licens- och subskriptionsstatus
- Firmware-versioner
- Resurser som CPU, RAM, disk
- Centrala tjänster som IPS, Web, VPN, DNS, DHCP
- Loggar i Log Viewer
- Varningar i Sophos Central eller via e-post
För disk- och hårdvaruämnen bör man betrakta båda noderna separat. Lokala rapporter, loggfiler och SSD-tillstånd kan skilja sig. Passande artiklar är Kontrollera Sophos Firewall-lagringsutrymme och hantera rapporter och Kontrollera Sophos Firewall SSD-hälsa med SMART.
Loggar och rapporter
Loggar och rapporter smälts inte enkelt samman till en gemensam lokal databas. Varje enhet skriver loggar för den trafik den hanterar. I Active-Active är detta särskilt viktigt eftersom trafik kan dyka upp på båda noderna.
Sophos Central Firewall Reporting är användbart i HA-miljöer eftersom det kan utvärdera data över flera brandväggar centralt. Lokala felsökningsloggar finns på själva brandväggen. Artikeln Sophos Firewall Troubleshooting: Tjänster och loggar förklarar vilka tjänster och loggfiler som är relevanta för analyser.
Runbook för HA-drift
Ett HA-kluster behöver en kort drift-runbook. Där bör det stå vilken enhet som är den Initial Primary, vilka portar som övervakas, hur man når den sekundära, vem som godkänner firmware-uppdateringar och när HA inaktiveras för byte eller ominstallation.
Minst dokumentera:
- Serienummer, plats, rackposition och roll för båda appliances.
- Dedikerad HA-länk, Peer Admin Port, Cluster ID och övervakade portar.
- Preferred primary och förväntat beteende efter failover.
- Licenshållare, supportstatus och RMA-kontaktväg.
- Förfarande för firmware-uppdatering, säkerhetskopia, ominstallation och hårdvarubyte.
- Ansvarig person för loggar, Central Reporting, Syslog och supportärenden.
Om endast WebAdmin på en nod hänger är inte hela HA-klustret automatiskt defekt. Då bör man specifikt kontrollera om en Omstart av WebAdmin GUI eller en kontrollerad tjänstomstart räcker innan man utlöser failover eller omstart.
Ändringar i klustret
Konfigurationsändringar görs på den primära brandväggen. Den sekundära brandväggen är inte platsen för normala regel-, gränssnitts- eller policyändringar.
Innan större ändringar:
- Skapa säkerhetskopia.
- Definiera underhållsfönster.
- Kontrollera HA-status.
- Uppdatera dokumentation.
- Fastställ återställningsväg.
- Efter ändringen, testa synkronisering och trafik.
Detta gäller särskilt för:
- Gränssnitt
- VLAN
- LAG
- Zoner
- Routing
- NAT
- VPN
- Device Access
- SD-WAN
Firmware-uppdateringar och säkerhetskopior
Firmware-uppdateringar i HA-miljöer
Firmware-uppdateringar startas på den primära brandväggen. Enheterna uppdateras i tur och ordning, och klustret kan under tiden byta roller.
Typisk process:
- Starta uppdatering på den primära brandväggen.
- Den sekundära brandväggen uppdateras.
- Den sekundära brandväggen startar om och tar tillfälligt över.
- Den tidigare primära uppdateras.
- Den tidigare primära startar om.
- Om Preferred primary är aktiv kan en återgång till den föredragna enheten ske.
Trots detta gäller: Firmware-uppdateringar hör hemma i ett underhållsfönster. Även om processen är utformad för minimal driftstopp kan enskilda sessioner, VPN-anslutningar eller speciella applikationer reagera kort.
Förberedelsen passar Sophos Firewall Firmware Update - Förberedelse och Best Practices.
Mönsteruppdateringar
Mönsteruppdateringar installeras på den primära brandväggen och synkroniseras till den sekundära brandväggen. Detta gäller även för miljöer där uppdateringar kontrolleras eller installeras offline.
Om ett HA-kluster drivs i en isolerad miljö bör det före varje manuell mönster- eller licensuppdatering vara klart vilken nod som är den Initial Primary och vilken nod som för närvarande är primär. Air-Gap-processen beskrivs i Driva Sophos Firewall Air-Gap-licensiering och mönsteruppdateringar.
Säkerhetskopiering och återställning
Säkerhetskopiering och återställning har särskilda egenskaper i HA-miljöer:
- Säkerhetskopior bör skapas regelbundet och före varje större ändring.
- Återställning sker på den aktuella primära brandväggen.
- Efter återställning avregistreras båda brandväggarna från Sophos Central och måste registreras igen.
- Återställning orsakar omstart och driftstopp, inget normalt failover.
- Om en säkerhetskopia utan HA-konfiguration återställs på ett HA-kluster inaktiveras HA och måste byggas om.
Byte av klusternod
Vid byte eller ominstallation av en nod bör HA inte bara fortsätta med den gamla peeren.
Viktiga punkter:
- Sophos skiljer i RMA-flödet på om Auxiliary eller Primary byts ut.
- RMA och reimage i Active-Passive orsakar planerad downtime och ska inte behandlas som ett normalt failover.
- Inaktivera HA ordentligt före ominstallation eller byte.
- Dokumentera firmware-version och Build.
- Skapa säkerhetskopia.
- Identifiera licenshållare.
- Ta bort enheten från Sophos Central Management om den returneras eller byts ut.
- Registrera ny enhet.
- Konfigurera om HA eftersom den gamla HA-lösenfrasen inte återanvänds för en ny enhet.
Om Auxiliary byts ut fortsätter den friska Primary normalt först som fristående HA-enhet. Om Primary byts ut måste det klargöras extra noggrant vilken enhet som var Initial Primary, vilken backup som ska användas och när kablarna flyttas till ersättningsenheten. I båda fallen bör modell, hårdvarurevision, firmware-version, Build, licensöverföring, Sophos Central-status och msync-status dokumenteras. Tjänsten och rätt loggfil beskrivs i artikeln Sophos Firewall Troubleshooting: Tjänster och loggar.
För teknisk ominstallation passar Installera om Sophos Firewall OS: Ominstallation med USB-sticka. Om en hårdvarudefekt eller RMA-process är aktuell bör dessutom Förbered Sophos hårdvarudefekt och RMA korrekt planeras in.
Felsökning
Vid djupa felbilder bör man förbli strukturerad: först kontrollera status, HA-Link, övervakade portar, firmwarestatus och licensstatus, därefter först specialfall eller tillverkarens anvisningar. Så förblir det klart om ett verkligt HA-problem föreligger eller om licens, gränssnitt, firmwarestatus eller övervakning orsakar felet.
Viktiga loggar och diagnosplatser
| Område | Kontroll |
|---|---|
| HA-status | System services > High availability |
| Händelselogg | Log viewer > System |
| Felsökningsloggar | Diagnostics > Tools eller via SSH under /log |
| HA-Detaljer CLI | system ha show details |
| Gränssnittsproblem | show network interfaces, ifconfig, dmesg i lämpliga diagnosfall |
| Licenshållare | WebAdmin HA-vy eller nvram get "#li.master" |
Vid djupare analyser hjälper ofta artikeln Sophos Firewall CLI Troubleshooting: viktiga kommandon.
Felsökningstabell
| Felbild | Möjlig orsak | Kontroll | Lösning |
|---|---|---|---|
| Kluster bildas inte | Olika firmware-version eller Build | Kontrollera version på båda enheterna | Ta båda enheterna till identisk SFOS-version |
| Kluster bildas inte | Fel modell eller inkompatibel appliance | Kontrollera modell och serienummer | Använd endast kompatibla samma XGS-modeller |
| HA kunde inte aktiveras | Dedikerad HA-länk inte ansluten eller peer inte nåbar | Kontrollera portstatus, kabel, switch, ping på HA-Link-IP | Korrigera kabeldragning, anslut HA-Link stabilt |
| HA-Link nere | Kabel, switchport, VLAN eller LAG felaktig | Kontrollera gränssnittsstatus, hastighet/duplex, VLAN-trunk, LAG-medlemmar | Byt kabel/switchport, korrigera VLAN/LAG |
| Båda enheterna blir Standalone | HA-Link fallerat, split-brain-risk | Kontrollera fysisk HA-Link-anslutning och switchväg | Stäng av en enhet kontrollerat, reparera HA-Link, starta sedan igen |
| Validering misslyckades för HA-gränssnitts-IP | Admin-portar eller HA-Link-adresser inte i förväntat subnät | Kontrollera IP-adresser och /log/syslog.log | Korrigera adressering |
| Failover sker oväntat | Övervakad port fallerat eller felaktigt vald | Kontrollera övervakade portar och switchstatus | Övervaka endast verkligen kritiska och stabila portar |
| Failover sker inte | Relevant port övervakas inte | Kontrollera övervakade portar | Ange kritiska WAN-/Core-/DMZ-portar som övervakade portar |
| Active-Active fördelar inte som förväntat | Trafiktyp fördelas inte | Kontrollera anslutningstyp, protokoll och loggar på båda noderna | Använd Active-Passive eller anpassa design |
| Loggar saknas till synes | Trafik hanterades av den andra noden eller loggning är inte aktiv | Kontrollera på båda noderna och i Log Viewer | Aktivera loggning i regler, använd Central Reporting/Syslog |
| Rapporter skiljer sig | Lokala rapporter är nodspecifika | Jämför rapporter från båda enheterna | Använd Sophos Central Firewall Reporting |
| Licensproblem i Active-Active | Licenstyper matchar inte | Kontrollera licensiering på båda brandväggarna | Matcha och synkronisera licenser |
| Problem efter firmware-uppdatering | En nod är inte korrekt uppdaterad eller kluster är inte synkroniserat | Kontrollera HA-status, firmware-versioner, loggar | Använd underhållsfönster, synkronisera kluster, involvera Sophos Support |
| Flexi-Port-HA-Link fungerar inte | Hastighet/duplex eller auto-negotiation passar inte | Kontrollera avancerade inställningar på båda enheterna | Konfigurera båda sidor lika eller använd fast port |
| Sekundär WebAdmin inte nåbar | Peer Admin Port inte nåbar eller klient inte i subnät | Kontrollera IP/subnät och rutt | Planera admin-åtkomst korrekt |
Åtgärder vid HA-Link-avbrott
Om den dedikerade HA-Link fallerar krävs försiktighet. Båda brandväggarna kan inte längre se varandra. I värsta fall skickar båda enheterna ARP/GARP och försöker hävda kluster-MAC för sig själva.
Säkert förfarande:
- Stabiliser nätverkstillstånd.
- Bestäm vilken enhet som ska förbli aktiv.
- Stäng av den andra enheten kontrollerat eller koppla bort från produktionsnätet.
- Reparera HA-Link-kabel, switchport, VLAN eller LAG.
- Starta enheten igen.
- Kontrollera HA-status.
- Kontrollera loggar och roller.
Relevanta CLI-kommandon
system ha show details
Visar HA-detaljer i Device Console.
show network interfaces
Hjälper vid gränssnittsstatus och länkinformation.
nvram get "#li.master"
Visar i Advanced Shell om enheten är den licenshållande Initial Primary.
dmesg | grep PortE
Kan vid vissa hårdvaru-/gränssnittsproblem ge ledtrådar om länkfluktuationer.
Inte varje kommando hör hemma i varje miljö. För produktiva system gäller: Dokumentera först tillstånd, kontrollera sedan specifikt.
Best-Practice-checklistor
Planering
- Kontrollera Active-Passive som standardalternativ.
- Använd Active-Active endast med klart prestandamål.
- Kontrollera båda enheterna för modell, firmware, Flexi Ports och licensiering.
- Anslut HA-Link dedikerat och helst direkt.
- Välj övervakade portar medvetet.
- Planera hanteringsåtkomst till primär och sekundär.
- Dokumentera Cluster ID unikt.
- Dokumentera switchdesign, VLAN och LAG.
- Planera RSTP på relevanta switchar.
- Tänk igenom split-brain-scenario.
- Dokumentera säkerhetskopierings- och återställningsprocess.
Implementering
- Skapa säkerhetskopia i förväg.
- Ta båda brandväggarna till samma SFOS-version.
- Inaktivera Cellular WAN.
- Förbered HA-Link med statisk adressering och DMZ-zon.
- Tillåt SSH för HA-Link-zonen.
- Namnge primär och sekundär noggrant.
- Använd lösenfras endast för konfiguration och behandla den inte som permanent admin-lösenord.
- Kontrollera avancerade inställningar efter QuickHA.
- Ställ in övervakade portar först när det är klart vilka länkar som är stabila och kritiska.
- Testa failover i ett underhållsfönster.
Drift
- Kontrollera HA-status regelbundet.
- Övervaka licenser och synkronisering.
- Utför firmware-uppdateringar endast förberedda och med underhållsfönster.
- Testa säkerhetskopior regelbundet.
- Gör konfigurationsändringar endast på den primära.
- Kontrollera HA-status efter switch-, VLAN- eller gränssnittsändringar.
- Inkludera loggar från båda noderna.
- Använd Sophos Central Firewall Reporting eller Syslog för längre analyser.
- Utför byte eller ominstallation av en nod endast med planerad HA-inaktivering och omkonfigurering.
Don’ts
- Klustra inte olika modeller.
- Planera inte Wi-Fi-XGS-modeller för HA.
- Låt inte Cellular WAN vara aktiv i HA.
- Sätt inte oanvända portar som övervakade portar.
- Använd inte instabilt VLAN eller switchväg som HA-Link.
- Kör inga produktiva tjänster över HA-Link.
- Betrakta inte Active-Active som en enkel fördubbling av prestanda.
- Förvänta eller planera inga ändringar på den sekundära brandväggen.
- Utför ingen återställning utan underhållsfönster.
FAQ
Behöver man två fulla licenser för Active-Passive?
Kan man klustra två olika XGS-modeller?
Är olika hårdvarurevisioner tillåtna?
Kan man driva en hårdvaruenhet med en virtuell enhet som HA?
Kan HA-Link gå över en switch?
Måste man aktivera Preferred primary?
Synkroniseras loggar mellan båda brandväggarna?
Vem är hauser i Sophos Firewall-loggarna?
hauser är inte en personlig administratör. Det är Sophos Firewalls interna HA-användare, som kan visas vid HA-klusteråtgärder. Det omfattar till exempel synkronisering, rollbyten, failover eller intern klusterkommunikation. Om meddelanden som interface down, monitored port down eller HA-statusändringar visas samtidigt bör man kontrollera HA-status, berörda portar och loggar från båda klusternoderna.
För att avgöra om en person har ändrat en konfiguration är Log Viewer, Central-loggar och Audit Trail Logs mer relevanta än enbart hauser-posten.