Hoppa till innehållet
Avanet

Konfigurera Sophos Firewall High Availability (HA)

High Availability, förkortat HA, kopplar samman två Sophos Firewalls till ett kluster. Målet är inte att göra en enskild brandvägg oförstörbar, utan att kontrollerat hantera avbrott av en enhet, enskilda kritiska portar eller planerat underhåll.

En HA-miljö är dock ingen ersättning för god nätverksdesign, rena säkerhetskopior och dokumenterade underhållsprocesser. Ett felplanerat kluster kan vid fel vara svårare att hantera än en enskild brandvägg. Denna artikel förklarar därför inte bara var man aktiverar HA, utan hur man på ett meningsfullt sätt planerar, konfigurerar, driver och vid fel kontrollerar ett Sophos Firewall HA-kluster.

Innehållsförteckning

Kort slutsats

I de flesta produktiva miljöer är Active-Passive det bättre HA-alternativet. En brandvägg hanterar all trafik, den andra brandväggen står redo och tar över vid avbrott eller underhåll. Designen är enklare, licensieringen är billigare och beteendet vid fel är lättare att förstå.

Active-Active är endast värt det om man medvetet accepterar gränserna och begränsningarna. Det är ingen klassisk symmetrisk lastbalansering där båda brandväggarna står jämbördigt på alla platser i nätverket. Den primära brandväggen tar fortfarande emot trafiken och fördelar vissa anslutningar till den sekundära brandväggen. Inte alla tjänster och inte alla typer av trafik fördelas.

FrågaRekommendation
Maximal stabilitet och enkel driftActive-Passive
Använda andra brandväggen utan separat skyddslisensActive-Passive
Mer genomströmning för vissa TCP-anslutningar behövsÖverväg Active-Active
Många VPN-, Proxy-, RED-, NDR- eller specialfallFöredra Active-Passive
Liten eller medelstor miljö utan tydligt prestandaproblemActive-Passive
Klara prestandakrav och lämplig licensiering för båda enheternaActive-Active efter test

Videoguider

Följande Sophos Techvids visar HA på Sophos Firewall visuellt. Videorna ersätter inte noggrann planering, men hjälper till att förstå QuickHA, roller, statusar och det grundläggande beteendet hos ett HA-kluster.

Videoguide för HA-konfiguration och beteendet hos ett Active-Passive-kluster.
Videoguide för HA-konfiguration och beteendet hos ett Active-Active-kluster.

Vad High Availability på Sophos Firewall innebär

Ett Sophos Firewall HA-kluster består av två brandväggar. Enheterna utbyter via en dedikerad HA-Link hjärtslag, enhetsstatus, anslutningsinformation och konfigurationsdata. Konfigurationen synkroniseras från den primära brandväggen till den sekundära brandväggen.

HA skyddar mot typiska avbrott:

  • Avbrott av den primära brandväggen
  • Ström- eller hårdvarufel
  • Avbrott av en övervakad port
  • Programvaru- eller tjänsteproblem som gör en enhet obrukbar
  • Planerade firmware-uppdateringar
  • Planerat rollbyte vid underhåll

HA löser dock inte alla problem:

  • En felaktig brandväggsregel är fortfarande felaktig även i klustret.
  • Ett gemensamt switchavbrott kan påverka båda brandväggarna samtidigt.
  • En defekt VLAN-design eller ett felaktigt routingkoncept korrigeras inte automatiskt.
  • Loggar och rapporter synkroniseras inte fullständigt mellan båda brandväggarna.
  • En säkerhetskopia är fortfarande obligatorisk.

Den som planerar HA bör först ha klargjort grunderna för zoner, gränssnitt, VLAN, LAG och bryggor. En passande guide är Planera och konfigurera Sophos Firewall zoner och gränssnitt.

Active-Passive eller Active-Active

Active-Passive

I Active-Passive hanterar en brandvägg all produktiv trafik. Den andra brandväggen är passiv och tar över först när den aktiva brandväggen fallerar eller ett failover utlöses manuellt eller genom underhåll.

Typiska egenskaper:

  • Den primära brandväggen hanterar trafiken.
  • Den sekundära brandväggen är i standby.
  • Sessioner synkroniseras i den mån respektive tjänst stöder det.
  • Endast den licensierade enheten behöver skyddssubscriptioner vid hårdvaruenheter.
  • Den sekundära brandväggen tar över vid failover med samma virtuella MAC-adress.
  • Nätverksenheter behöver vanligtvis inte lära sig om sina grannar på nytt.

Active-Passive är oftast det bästa valet för klassiska företagsmiljöer, filialer, datacenter och miljöer där stabilitet är viktigare än en möjlig prestandaförbättring.

Active-Active

I Active-Active hanterar båda brandväggarna trafik. Trots detta förblir arkitekturen asymmetrisk: Den primära brandväggen tar emot trafiken och bestämmer om den ska hantera en anslutning själv eller vidarebefordra den till den sekundära brandväggen.

Sophos använder bland annat käll-IP-adressen för fördelningen. TCP-anslutningar från jämna käll-IP-adresser hanteras vanligtvis på den primära, medan udda käll-IP-adresser kan vidarebefordras till den sekundära. Icke-TCP-trafik och vissa tjänster fördelas inte lika.

Typiska egenskaper:

  • Båda brandväggarna kan hantera trafik.
  • Den primära brandväggen förblir den centrala ingångspunkten.
  • Båda brandväggarna behöver lämpliga licenser.
  • Inte alla tjänster fördelas.
  • Loggar och rapporter genereras på den enhet som hanterar respektive trafik.
  • Felsökning blir mer komplex eftersom anslutningar kan landa på båda noderna.

Active-Active är meningsfullt när det finns ett tydligt prestandamål och man tidigare har testat om den relevanta trafiken faktiskt fördelas. För ren hög tillgänglighet är Active-Passive oftast renare.

Roller, status och arkitektur

Roller i HA-klustret

TermBetydelse
PrimaryEnhet som hanterar den centrala klusterkonfigurationen. I båda HA-lägen tar den primära emot trafiken.
AuxiliaryAndra enheten i klustret. Den synkroniserar konfigurationen från den primära och tar över vid behov.
Initial primaryEnheten som startades som primär vid konfigurationen. I Active-Passive är det vanligtvis också den licensierade enheten.
Preferred primaryFöredragen enhet som ska bli primär igen efter ett failover så snart den är stabilt tillgänglig.

Statusvärden i drift

StatusBetydelse
ActiveEnheten hanterar trafik.
PassiveEnheten är redo men hanterar ingen produktiv trafik i Active-Passive.
StandaloneEnheten ser inte sin peer eller HA är inte helt aktiv. Vid HA-Link-problem kan båda enheterna bli Standalone.
FaultyEnheten är inte tillräckligt frisk för att delta normalt i klustret.

Virtuell MAC-adress

Sophos Firewall använder i HA-klustret virtuella MAC-adresser för de produktiva gränssnitten. Endast den primära svarar på ARP-förfrågningar för klustret. Vid ett failover tar den sekundära över denna virtuella MAC-adress. Detta gör att tillgängligheten för switchar, routrar och klienter förblir stabilare eftersom IP- och MAC-tilldelningen inte ändras grundläggande.

Viktigt är Cluster ID. Denna ID används för den virtuella MAC-adressen. Om flera HA-kluster drivs i samma Layer-2-miljö måste varje kluster ha en unik Cluster ID. Annars kan MAC-konflikter uppstå.

Vad som synkroniseras

OmrådeSynkronisering
Brandväggsregler, policies, objekt, routing, CLI-konfigurationSynkroniseras från primär till sekundär.
Aktiva sessionerSynkroniseras beroende på protokoll och tjänst.
Secure Storage Master Key och WebAdmin-inloggningsuppgifterSynkroniseras.
Dedikerad HA-länkSynkroniseras inte som en normal produktiv gränssnittskonfiguration.
Peer Admin PortBehandlas separat och synkroniseras inte som ett normalt gränssnitt.
Loggar och rapporterSynkroniseras inte mellan enheterna.

Failover-beteende

Ett failover kan utlösas av olika händelser:

  • inga hjärtslag längre över HA-Link
  • avbrott av en övervakad port
  • strömavbrott
  • hårdvarufel
  • programvaru- eller tjänsteproblem
  • planerat rollbyte
  • firmware-uppdatering

Hjärtslagen går över den dedikerade HA-Link. Standardmässigt används mycket korta intervall. Om flera hjärtslag i rad saknas anses peeren vara otillgänglig. Därefter kontrollerar brandväggen tillståndet och utför rollbytet.

Vid ett failover fortsätter många anslutningar eller återställs snabbt. Fullständigt transparent är dock inte ett failover för varje applikation. Särskilt stateful TCP-anslutningar, webbsessioner, proxy-anslutningar eller vissa VPN-scenarier kan kort avbrytas eller behöva återställas.

Lastbalansering i Active-Active

Active-Active innebär inte att båda brandväggarna står som två jämbördiga routrar i nätverket. Den primära brandväggen förblir den centrala ingångspunkten och fördelar vissa anslutningar till den sekundära brandväggen.

Viktiga punkter:

  • Lastbalansering finns endast i Active-Active.
  • Metoden kan inte fritt anpassas.
  • Externa lastbalanserare framför ett HA-kluster används inte som standarddesign av Sophos för denna HA-logik.
  • Inte all trafik fördelas.
  • Icke-TCP-trafik, SD-RED, tunnlad trafik och vissa Layer-7-funktioner kan behandlas annorlunda.
  • Felsökning måste inkludera båda noderna.

I praktiken bör Active-Active endast användas om det är klart i förväg vilken trafik som orsakar flaskhalsen och om just denna trafik fördelas.

Stödda och begränsade tjänster

Sophos HA stöder de flesta brandväggstjänster. Vissa tjänster har dock särskilda egenskaper.

Tjänst eller funktionNotering
Brandväggsregler och NATSynkroniseras. I Active-Active måste man veta vilken nod som hanterar en anslutning.
VPNMånga VPN-scenarier fungerar med HA, men inte varje sessionstyp faller utan avbrott. IPsec kan stateless UDP/ICMP bättre ta över än stateful TCP.
Web ProtectionFungerar i klustret. I Active-Active kan varningar komma från båda noderna.
Email ProtectionKarantän och frisläppning kan vara nodspecifika eftersom varje enhet lagrar egna data för hanterad e-posttrafik.
Synchronized Application ControlInte lämplig för Active-Active om funktionen inte stöds i den använda SFOS-versionen.
NDR EssentialsFör HA-miljöer endast med Active-Passive planera.
sFlowKörs i HA-miljöer endast på den primära.
RapporterLokala rapporter genereras per enhet. Sammanställda rapporter är mer meningsfulla via Sophos Central Firewall Reporting.
Cellular WANMåste inaktiveras för HA.
XGS Wi-Fi-modellerHA stöds inte på XGS Wi-Fi-modeller.

Om rapportering eller loggförvaring är viktigt bör man tidigt planera om en extern Syslog-server eller Sophos Central Firewall Reporting används. Mer om detta finns i Aktivera Central Firewall Reporting.

Förutsättningar

Innan implementeringen bör man noggrant kontrollera HA-förutsättningarna mot den egna miljön. Särskilt modelljämförelse, firmwarestatus, gränssnitt, Cellular WAN och virtuella plattformar är punkter där små avvikelser senare kan få stora konsekvenser.

Hårdvara och modellkompatibilitet

FörutsättningKrav
Appliance-modellBåda brandväggarna måste vara samma XGS-modell, till exempel XGS 2100 med XGS 2100.
HårdvarurevisionOlika hårdvarurevisioner är möjliga vid samma XGS-modell.
XGS Wi-Fi-modellerInte stödda. Exempel är XGS 126w eller XGS 136w.
Flexi Port-modulerOm expansionsmoduler används måste antalet Flexi Ports vara lika på båda enheterna.
FirmwareBåda enheterna måste använda samma SFOS-version inklusive Maintenance Release och Build.
Hårdvara plus virtuell applianceInte möjligt som HA-par.

Virtuella och programvaruappliances

Virtuella eller programvaruappliances måste också matcha mycket noggrant.

FörutsättningKrav
PlattformSamma appliance-typ och samma SFOS-plattform.
HypervisorSamma hypervisor-typ.
ResurserSamma CPU-kärnor, jämförbara resurser och samma antal nätverksgränssnitt.
FirmwareSamma SFOS-version inklusive Build.
MAC-adresserI virtuella miljöer kan alternativet för hypervisor-tilldelade MAC-adresser vara relevant så att inget Promiscuous Mode behövs. En ändring orsakar dock driftstopp.

Molnimplementeringar

I molnmiljöer gäller ytterligare plattformsföreskrifter. Routing, virtuella gränssnitt, IP-adresser, Security Groups, UDRs eller molnspecifika failover-mekanismer måste passa den aktuella molndesignen. Den normala appliance-HA-ansatsen kan inte överföras okontrollerat till Azure, AWS eller andra molnmiljöer.

Om en Sophos Firewall drivs i molnet bör man före HA-planeringen kontrollera den aktuella Sophos-dokumentationen för respektive plattform och molnnätverksarkitektur.

Licensiering och registrering

HA-licensieringen skiljer sig beroende på plattform och HA-läge. Avgörande är tre frågor: Är det hårdvara eller virtuell/programvara? Används Active-Passive eller Active-Active? Och vilken enhet är den Initial Primary, alltså enheten som håller licensen för klustret? Dessa punkter bör kontrolleras före implementeringen med licensstatus, serienummer och målmodus.

ScenarioLicenskrav
Base FirewallFör HA krävs en Base Firewall-licens. Hårdvaruenheter har denna licens som standard. Vid virtuella/programvaruenheter måste den vara korrekt licensierad.
Active-Passive HårdvaraEndast den Initial-Primary-enheten behöver de produktiva subskriptionerna. Den sekundära brandväggen får en kopia av subskriptionerna och kan hantera trafik efter ett failover.
Active-Active HårdvaraBåda brandväggarna behöver egna lämpliga licenser. Licenstyperna måste matcha, utgångsdatum får vara olika.
Active-Passive Virtuell/ProgramvaraEndast den primära behöver de nödvändiga licenserna inklusive Base Firewall.
Active-Active Virtuell/ProgramvaraBåda enheterna behöver en egen Base Firewall-licens och lämpliga ytterligare skyddslisenser.
Registrering HårdvaraBåda hårdvaruenheterna måste vara kända i Sophos Central respektive i Sophos Licensing-Portal och kunna synkronisera sina licenser.
Registrering Virtuell/Programvara Active-PassiveVid Active-Passive Virtuell/Programvara hävdas enligt Sophos endast den primära.
Sophos Central ManagementLicenssynkronisering och hävdande innebär inte automatiskt att brandväggarna också hanteras via Sophos Central Firewall Management. För detta krävs en lämplig ytterligare subskription.
RMA och supportFör hårdvarubyte och Advance Replacement är supportstatus viktig. Vid Active-Passive Hårdvara nämner Sophos Enhanced Plus Support på den primära enheten som relevant förutsättning för Advance Hardware Replacement. Vid Active-Active måste supportstatus på båda enheterna passa.

Viktigt: Vid Active-Passive är den Initial Primary särskilt viktig eftersom denna enhet håller licensen för klustret. I HA-vyn står det vid den aktuella enheten att den håller licensen för klustret. Vid tveksamhet bör man dokumentera enheten tydligt i driftshandboken.

Om licenserna i Active-Active inte matchar, stoppar enligt Sophos först lastbalanseringen. Om avvikelsen kvarstår längre kan HA inaktiveras. Vid en första konfiguration aktiveras inte Active-Active HA korrekt med icke matchande licenser. Därför är en licenskontroll obligatorisk i driftrutinen.

Vid virtuella/programvaruenheter är Base Firewall-licensen särskilt kritisk. Om den inaktiveras eller om den Initial Primary inte kan synkronisera licensen under en längre tid kan HA inaktiveras och andra skyddsfunktioner blir inaktiva. Relevant här är en synkronisering med licensservern minst en gång inom 90 dagar. För produktiva miljöer betyder det: HA-klustret måste inte bara fungera tekniskt utan också regelbundet kunna nå licensservern.

För driften bör man minst dokumentera:

  • vilken enhet som är den Initial Primary
  • vilka serienummer eller appliance-ID:n som tillhör klustret
  • vilka licenser som är aktiva på vilken enhet
  • när licenserna senast synkroniserades
  • vilken supportnivå som finns för RMA eller Advance Replacement
  • vem som godkänner licensändringar, förnyelser och RMA-processer

Nätverksförutsättningar

OmrådeRekommendation
HA-LinkDedikerad anslutning mellan båda brandväggarna, helst direkt med Ethernet-kabel.
HA-Link-ZonDMZ-zon med aktiverad SSH för zonen.
HA-Link-IP-adresserStatisk IP-adresser i samma subnät men olika adresser.
HA-Link-kvalitetHög bandbredd, låg latens, ingen paketförlust.
SwitcharAktivera RSTP på switchar som är anslutna till brandväggsportar.
Övervakade portarEndast övervaka portar som verkligen är anslutna och kritiska.
Cellular WANInaktivera för HA.
Admin PortPlanera separat så att den sekundära brandväggen förblir tillgänglig.

HA-Link hanterar ingen normal klient- eller servertrafik. Den är endast relevant för hjärtslag, status, sessionssynkronisering, konfigurationssynkronisering och Active-Active-fördelning. Trots detta är den extremt kritisk. Om HA-Link fallerar kan båda brandväggarna tro att de är primära. Just detta split-brain-scenario måste undvikas.

Portar och gränssnitt

PorttypSyfteRekommendation
Dedikerad HA-länkHjärtslag, status, konfigurations- och sessionssynkroniseringAnslut direkt eller via mycket pålitlig switch. Använd inte för produktiv trafik.
Övervakade portarÖvervakning av kritiska produktiva länkarÖvervaka WAN, viktiga DMZ- eller Core-Uplinks. Välj inga oanvända portar.
Peer Admin PortÅtkomst till sekundär WebAdminPlanera och dokumentera separat. Klienten måste ligga i rätt subnät.
ProduktionsgränssnittLAN, WAN, DMZ, VLAN, LAGAnslut identiskt på båda brandväggarna och designa likvärdigt.

Som dedikerad HA-länk är fysiska gränssnitt, VLAN eller LAG möjliga. Brygggränssnitt och alias-IP-adresser kan inte användas som dedikerad HA-länk. Om en LAG används som HA-länk måste parent-gränssnitten vara lika uppbyggda på båda appliances.

Planering och design

Rekommenderad topologi för Active-Passive

En typisk Active-Passive-design ser ut så här:

  • båda brandväggarna står i samma rack eller i närliggande rack
  • alla produktiva gränssnitt är lika anslutna
  • WAN går till redundanta switchar eller väl dokumenterade leverantörsövergångar
  • LAN/DMZ går till redundanta switchstrukturer
  • HA-Link är direkt ansluten
  • en separat hanterings- eller admin-åtkomst är planerad
  • WAN- och Core-/DMZ-portar definieras som övervakade portar

Den viktigaste punkten: Den andra brandväggen måste kunna ta över samma nätverksposition vid fel. Därför måste VLAN, trunks, LAG, switchportar och leverantörsanslutningar planeras konsekvent.

Rekommenderad topologi för Active-Active

Active-Active kräver samma fysiska noggrannhet som Active-Passive, men dessutom en klar förväntan på den fördelbara trafiken.

Innan Active-Active bör man svara på:

  • Vilken trafik är flaskhalsen?
  • Fördelas just denna trafik i Active-Active?
  • Är båda appliances fullständigt och korrekt licensierade?
  • Är loggar, rapporter och felsökningsprocesser förberedda för båda noderna?
  • Finns det tjänster som VPN, NDR, Synchronized Application Control eller proxy-scenarier som talar emot Active-Active?

Utan klart svar är Active-Passive det bättre valet.

OmrådeDesignnotering
LANZonera interna nätverk noggrant. Planera VLAN inte bara tekniskt utan också säkerhetsmässigt.
WANBehandla leverantörsanslutning, failover-gateways och SD-WAN separat från HA. HA ersätter inget WAN-redundanskoncept.
DMZHåll servernät och externa publiceringar separerade från klientnät.
HA-LinkEgen anslutning, statiskt adresserad, DMZ-zon, SSH tillåtet för DMZ. Ingen användar- eller serverkommunikation över den.
ManagementBegränsa admin-åtkomst, Device Access och ACLs medvetet.

För att säkra lokala brandväggstjänster passar Säkra Sophos Firewall-åtkomst: Konfigurera Device Access korrekt.

Switchkrav

Switchar är ofta den osynliga riskfaktorn vid HA. Ett HA-kluster fungerar bara så bra som Layer-2-miljön under det.

Rekommendationer:

  • Aktivera RSTP på involverade switchar.
  • Konfigurera trunks identiskt på båda brandväggarna.
  • Tillåt VLAN konsekvent på alla involverade portar.
  • Bygg LAGs identiskt.
  • Välj inga halvfärdiga eller oanvända övervakade portar.
  • Anslut HA-Link direkt om möjligt.
  • Om HA-Link går över switchar måste vägen vara stabil, latensfri och paketförlustfri.

VLAN, LAG, bryggor och RED

VLAN och LAG är möjliga i HA, men de ökar planeringskraven. HA-klustret bör inte vara den första platsen där en VLAN- eller LAG-design testas.

TeknikHA-notering
VLANPlanera identiskt på båda enheterna. Observera parent-gränssnitt. VLAN som HA-Link är möjligt men endast vid mycket ren design.
LAGMeningsfullt för Core-Uplinks eller redundant switchanslutning. Parent-gränssnitt måste vara konsekventa.
BryggaHA i bryggläge stöds men gör felsökning mer komplex. För nya designer är Gateway Mode oftast mer transparent.
REDRED- och fjärrscenarier kan påverka HA, särskilt om nät sträcks över platser. Prestanda, latens och felbilder bör kontrolleras i förväg.
VPNVPN-failover fungerar olika bra beroende på protokoll och sessionstyp. Testa IPsec och fjärråtkomst separat.

Undvik split-brain

Split-brain innebär att båda brandväggarna tror att de är aktiva eller standalone ansvariga. Detta kan hända om HA-Link fallerar men enheterna fortfarande finns i produktionsnätet.

Åtgärder:

  • Låt inte HA-Link gå över osäkra eller instabila switchvägar.
  • Föredra direktanslutning för HA-Link.
  • Välj övervakade portar medvetet.
  • Konfigurera RSTP noggrant.
  • Ingen asymmetrisk kabeldragning.
  • Kontrollera HA-status efter varje switch- eller VLAN-ändring.
  • Anpassa keepalive-värden endast med anledning.

Förbereda konfiguration

Innan HA-konfigurationen bör man inte improvisera i produktionsnätet. Denna förberedelse sparar mycket tid senare.

Förberedelse av båda brandväggarna

  • Ta båda brandväggarna till samma SFOS-version inklusive Build.
  • Kontrollera licens- och registreringsstatus.
  • Inaktivera Cellular WAN.
  • Säkerställ att modellerna är kompatibla.
  • Kontrollera Flexi Port-utrustning.
  • Dokumentera gränssnitt och switchportar.
  • Fastställ HA-Link-port.
  • Anslut HA-Link direkt eller kontrollera switchvägen.
  • Planera DMZ-zon och SSH-åtkomst för HA-Link.
  • Dokumentera admin-åtkomst till båda enheterna.
  • Skapa säkerhetskopia av befintlig konfiguration.

Säkerhetskopior är inte valfria vid HA. Innan konfiguration, innan firmware-uppdateringar och innan större gränssnittsändringar bör en säkerhetskopia finnas. Grunderna finns i Skapa eller återställa Sophos Firewall-säkerhetskopia.

QuickHA eller manuell konfiguration

MetodNär lämplig
QuickHAStandardfall. Snabb, robust och tillräcklig för de flesta Active-Passive- och Active-Active-uppsättningar.
Manuell konfigurationNär admin-portar, HA-Link, Cluster ID, peer-adresser och detaljvärden måste anges medvetet.

QuickHA identifierar peeren via de valda HA-Link-gränssnitten. Så snart enheterna har hittat varandra byggs klustret upp. Lösenfrasen används för att bygga den krypterade SSH-tunneln och behandlas därefter inte som ett återanvändbart lösenord. Om en enhet ersätts måste HA inaktiveras och konfigureras om.

De här beskrivna stegen är baserade på den officiella Sophos-HA-konfigurationen men är medvetet formulerade som en praktisk admin-checklista. För produktiva ändringar bör man inte bara klicka igenom guiden utan dokumentera roller, HA-Link, admin-åtkomst, säkerhetskopia, licensstatus och återgång i förväg.

Konfigurera Active-Passive med QuickHA

1. Förbered den primära brandväggen

  1. Logga in på den framtida primära brandväggen i WebAdmin.
  2. Gå till System services > High availability.
  3. Välj läge Primary (active-passive).
  4. Använd QuickHA.
  5. Valfritt: ge en nodnamn, till exempel FW01.
  6. Ange en HA-lösenfras.
  7. Spara lösenfrasen säkert eftersom den snart behövs på den sekundära brandväggen.
  8. Välj den dedikerade HA-länken.
  9. Starta Initiate HA.

Noteringar:

  • HA-Link får inte ha några produktiva beroenden.
  • Om QuickHA använder ett obundet gränssnitt tilldelar Sophos detta gränssnitt till DMZ-zonen och ställer in HA-specifika inställningar.
  • HA-Link använder statiska IP-adresser i Link-Local-området om QuickHA använder standardvärdena.
  • SSH måste tillåtas för HA-Link-zonen eftersom HA-tunneln byggs över den.

2. Förbered den sekundära brandväggen

  1. Logga in på den framtida sekundära brandväggen.
  2. Gå till System services > High availability.
  3. Välj roll Auxiliary.
  4. Använd QuickHA.
  5. Valfritt: ge en nodnamn, till exempel FW02.
  6. Ange samma HA-lösenfras.
  7. Välj samma HA-Link-port som på den primära sidan.
  8. Starta Initiate HA.

Efter uppbyggnaden synkroniserar den primära brandväggen konfigurationen till den sekundära brandväggen. På den sekundära brandväggen skrivs många lokala inställningar över. Därför bör den sekundära inte konfigureras parallellt som en självständig produktiv brandvägg innan HA-konfigurationen.

3. Kontrollera avancerade inställningar

Efter klusteruppbyggnaden bör man inte bara klicka bort utan kontrollera följande punkter:

  • HA-status för båda noderna
  • Roll och status uppe till höger i WebAdmin
  • Dedikerad HA-länk
  • Övervakade portar
  • Peer Admin Port
  • Preferred primary
  • Keepalive-intervall och försök
  • Licenshållare vid Active-Passive
  • Sophos Central-registrering, om den används

4. Ställ in övervakade portar

Övervakade portar avgör om ett gränssnittsavbrott utlöser ett failover. Typiska kandidater:

  • WAN-Uplink
  • Core-LAN-Uplink
  • viktiga DMZ- eller server-Uplinks

Man bör inte övervaka portar som ibland medvetet är offline, inte är anslutna eller endast används för valfria scenarier. En felaktigt inställd övervakad port är en vanlig orsak till oväntade failover eller ett kluster som inte startar.

Konfigurera Active-Active med QuickHA

Active-Active konfigureras på liknande sätt men med ett annat mål. Innan måste båda brandväggarna vara korrekt licensierade.

1. Förhandskontroll

  • Båda brandväggarna har lämpliga licenser.
  • Licenstyperna matchar.
  • Båda enheterna är registrerade.
  • Båda enheterna kör samma SFOS-version inklusive Build.
  • Den relevanta trafiken drar faktiskt nytta av Active-Active.
  • Tjänster med Active-Active-begränsningar har kontrollerats.
  • Övervakning och felsökning är utformade för båda noderna.

2. Konfigurera den primära brandväggen

  1. Gå till System services > High availability.
  2. Välj Primary (active-active).
  3. Använd QuickHA.
  4. Ge nodnamn.
  5. Ange HA-lösenfras.
  6. Välj dedikerad HA-länk.
  7. Starta HA.

3. Konfigurera den sekundära brandväggen

  1. På den andra enheten, gå till System services > High availability.
  2. Välj Auxiliary.
  3. Använd QuickHA.
  4. Ange samma lösenfras.
  5. Välj samma HA-Link-port.
  6. Starta HA.

4. Testa efter konfiguration

Vid Active-Active måste mer testas än bara HA-status:

  • Fördelas anslutningar på båda noderna?
  • Är loggar synliga på båda enheterna?
  • Fungerar VPN-anslutningar efter ett rollbyte?
  • Fungerar Web Protection, IPS, Application Control och relevanta säkerhetsfunktioner?
  • Finns det applikationer som märks av asymmetriskt beteende?
  • Genereras rapporter och varningar som förväntat?

Manuell HA-konfiguration

Den manuella HA-konfigurationen är lämplig när den automatiska QuickHA-logiken inte ger tillräcklig kontroll.

Typiska skäl:

  • fasta HA-Link-IP-adresser ska användas
  • Peer Admin Port måste definieras exakt
  • Cluster ID ska medvetet sättas
  • flera HA-kluster finns i samma Layer-2-miljö
  • virtuella appliances ska drivas med specifika MAC-alternativ
  • en mycket kontrollerad utrullning är nödvändig

Vid manuell konfiguration förbereds först den sekundära brandväggen och därefter konfigureras den primära brandväggen. Den primära måste känna till HA-Link-IP-adressen för peeren.

Viktiga fält:

FältBetydelse
DriftslägeActive-Passive eller Active-Active.
Initial enhetsrollPrimär eller sekundär.
Dedikerad HA-länkGränssnitt för hjärtslag, status och synkronisering.
Peer HA-link IPv4Adress för HA-Link-gränssnittet på den andra enheten.
Cluster IDGrund för virtuella MAC-adresser. Vid flera kluster sätts unikt.
Övervakade portarKritiska portar vars avbrott ska utlösa ett failover.
Peer administration settingsÅtkomst till den sekundära brandväggen.
Preferred primaryEnhet som ska bli primär igen efter failover.
Keepalive-intervall / FörsökKänslighet för HA-detektering. Anpassa endast medvetet.

Validera kluster

Efter konfigurationen bör HA-klustret systematiskt kontrolleras.

WebAdmin-kontroll

  1. Logga in på den primära brandväggen.
  2. Kontrollera HA-status uppe till höger.
  3. Gå till System services > High availability.
  4. Kontrollera roller, status, serienummer och läge.
  5. Säkerställ att klustret är synkroniserat.
  6. Vid Active-Passive, kontrollera vilken enhet som håller licensen för klustret.

CLI-kontroll

I Device Console kan man visa HA-status:

system ha show details

Om det är oklart vilken enhet som är den licenshållande Initial Primary kan detta värde i Advanced Shell hjälpa:

nvram get "#li.master"

YES står för den initiala primära enheten, NO för den sekundära enheten. Sådana kommandon bör dokumenteras och endast användas i klara underhålls- eller diagnosfall.

Om Shell-åtkomst ännu inte är förberedd hjälper guiden Anslut Sophos Firewall via SSH.

Funktionellt test

  • Testa klient från LAN till internet.
  • Testa åtkomst till interna servrar.
  • Testa VPN.
  • Testa DNAT- eller WAF-scenarier.
  • Testa DNS och DHCP om brandväggen tillhandahåller dessa tjänster.
  • Kontrollera loggar i Log Viewer.
  • Testa HA-rollbyte i ett underhållsfönster.
  • Dokumentera därefter roller, status och sessionsbeteende.

Drift och underhåll

Löpande övervakning

Ett HA-kluster bör aktivt övervakas. Bara för att två brandväggar står i racket är miljön inte automatiskt hög tillgänglig.

Övervaka bör:

  • HA-status
  • Rollstatus Primär/Sekundär
  • HA-Link
  • Övervakade portar
  • Licens- och subskriptionsstatus
  • Firmware-versioner
  • Resurser som CPU, RAM, disk
  • Centrala tjänster som IPS, Web, VPN, DNS, DHCP
  • Loggar i Log Viewer
  • Varningar i Sophos Central eller via e-post

För disk- och hårdvaruämnen bör man betrakta båda noderna separat. Lokala rapporter, loggfiler och SSD-tillstånd kan skilja sig. Passande artiklar är Kontrollera Sophos Firewall-lagringsutrymme och hantera rapporter och Kontrollera Sophos Firewall SSD-hälsa med SMART.

Loggar och rapporter

Loggar och rapporter smälts inte enkelt samman till en gemensam lokal databas. Varje enhet skriver loggar för den trafik den hanterar. I Active-Active är detta särskilt viktigt eftersom trafik kan dyka upp på båda noderna.

Sophos Central Firewall Reporting är användbart i HA-miljöer eftersom det kan utvärdera data över flera brandväggar centralt. Lokala felsökningsloggar finns på själva brandväggen. Artikeln Sophos Firewall Troubleshooting: Tjänster och loggar förklarar vilka tjänster och loggfiler som är relevanta för analyser.

Runbook för HA-drift

Ett HA-kluster behöver en kort drift-runbook. Där bör det stå vilken enhet som är den Initial Primary, vilka portar som övervakas, hur man når den sekundära, vem som godkänner firmware-uppdateringar och när HA inaktiveras för byte eller ominstallation.

Minst dokumentera:

  • Serienummer, plats, rackposition och roll för båda appliances.
  • Dedikerad HA-länk, Peer Admin Port, Cluster ID och övervakade portar.
  • Preferred primary och förväntat beteende efter failover.
  • Licenshållare, supportstatus och RMA-kontaktväg.
  • Förfarande för firmware-uppdatering, säkerhetskopia, ominstallation och hårdvarubyte.
  • Ansvarig person för loggar, Central Reporting, Syslog och supportärenden.

Om endast WebAdmin på en nod hänger är inte hela HA-klustret automatiskt defekt. Då bör man specifikt kontrollera om en Omstart av WebAdmin GUI eller en kontrollerad tjänstomstart räcker innan man utlöser failover eller omstart.

Ändringar i klustret

Konfigurationsändringar görs på den primära brandväggen. Den sekundära brandväggen är inte platsen för normala regel-, gränssnitts- eller policyändringar.

Innan större ändringar:

  • Skapa säkerhetskopia.
  • Definiera underhållsfönster.
  • Kontrollera HA-status.
  • Uppdatera dokumentation.
  • Fastställ återställningsväg.
  • Efter ändringen, testa synkronisering och trafik.

Detta gäller särskilt för:

  • Gränssnitt
  • VLAN
  • LAG
  • Zoner
  • Routing
  • NAT
  • VPN
  • Device Access
  • SD-WAN

Firmware-uppdateringar och säkerhetskopior

Firmware-uppdateringar i HA-miljöer

Firmware-uppdateringar startas på den primära brandväggen. Enheterna uppdateras i tur och ordning, och klustret kan under tiden byta roller.

Typisk process:

  1. Starta uppdatering på den primära brandväggen.
  2. Den sekundära brandväggen uppdateras.
  3. Den sekundära brandväggen startar om och tar tillfälligt över.
  4. Den tidigare primära uppdateras.
  5. Den tidigare primära startar om.
  6. Om Preferred primary är aktiv kan en återgång till den föredragna enheten ske.

Trots detta gäller: Firmware-uppdateringar hör hemma i ett underhållsfönster. Även om processen är utformad för minimal driftstopp kan enskilda sessioner, VPN-anslutningar eller speciella applikationer reagera kort.

Förberedelsen passar Sophos Firewall Firmware Update - Förberedelse och Best Practices.

Mönsteruppdateringar

Mönsteruppdateringar installeras på den primära brandväggen och synkroniseras till den sekundära brandväggen. Detta gäller även för miljöer där uppdateringar kontrolleras eller installeras offline.

Om ett HA-kluster drivs i en isolerad miljö bör det före varje manuell mönster- eller licensuppdatering vara klart vilken nod som är den Initial Primary och vilken nod som för närvarande är primär. Air-Gap-processen beskrivs i Driva Sophos Firewall Air-Gap-licensiering och mönsteruppdateringar.

Säkerhetskopiering och återställning

Säkerhetskopiering och återställning har särskilda egenskaper i HA-miljöer:

  • Säkerhetskopior bör skapas regelbundet och före varje större ändring.
  • Återställning sker på den aktuella primära brandväggen.
  • Efter återställning avregistreras båda brandväggarna från Sophos Central och måste registreras igen.
  • Återställning orsakar omstart och driftstopp, inget normalt failover.
  • Om en säkerhetskopia utan HA-konfiguration återställs på ett HA-kluster inaktiveras HA och måste byggas om.

Byte av klusternod

Vid byte eller ominstallation av en nod bör HA inte bara fortsätta med den gamla peeren.

Viktiga punkter:

  • Sophos skiljer i RMA-flödet på om Auxiliary eller Primary byts ut.
  • RMA och reimage i Active-Passive orsakar planerad downtime och ska inte behandlas som ett normalt failover.
  • Inaktivera HA ordentligt före ominstallation eller byte.
  • Dokumentera firmware-version och Build.
  • Skapa säkerhetskopia.
  • Identifiera licenshållare.
  • Ta bort enheten från Sophos Central Management om den returneras eller byts ut.
  • Registrera ny enhet.
  • Konfigurera om HA eftersom den gamla HA-lösenfrasen inte återanvänds för en ny enhet.

Om Auxiliary byts ut fortsätter den friska Primary normalt först som fristående HA-enhet. Om Primary byts ut måste det klargöras extra noggrant vilken enhet som var Initial Primary, vilken backup som ska användas och när kablarna flyttas till ersättningsenheten. I båda fallen bör modell, hårdvarurevision, firmware-version, Build, licensöverföring, Sophos Central-status och msync-status dokumenteras. Tjänsten och rätt loggfil beskrivs i artikeln Sophos Firewall Troubleshooting: Tjänster och loggar.

För teknisk ominstallation passar Installera om Sophos Firewall OS: Ominstallation med USB-sticka. Om en hårdvarudefekt eller RMA-process är aktuell bör dessutom Förbered Sophos hårdvarudefekt och RMA korrekt planeras in.

Felsökning

Vid djupa felbilder bör man förbli strukturerad: först kontrollera status, HA-Link, övervakade portar, firmwarestatus och licensstatus, därefter först specialfall eller tillverkarens anvisningar. Så förblir det klart om ett verkligt HA-problem föreligger eller om licens, gränssnitt, firmwarestatus eller övervakning orsakar felet.

Viktiga loggar och diagnosplatser

OmrådeKontroll
HA-statusSystem services > High availability
HändelseloggLog viewer > System
FelsökningsloggarDiagnostics > Tools eller via SSH under /log
HA-Detaljer CLIsystem ha show details
Gränssnittsproblemshow network interfaces, ifconfig, dmesg i lämpliga diagnosfall
LicenshållareWebAdmin HA-vy eller nvram get "#li.master"

Vid djupare analyser hjälper ofta artikeln Sophos Firewall CLI Troubleshooting: viktiga kommandon.

Felsökningstabell

FelbildMöjlig orsakKontrollLösning
Kluster bildas inteOlika firmware-version eller BuildKontrollera version på båda enheternaTa båda enheterna till identisk SFOS-version
Kluster bildas inteFel modell eller inkompatibel applianceKontrollera modell och serienummerAnvänd endast kompatibla samma XGS-modeller
HA kunde inte aktiverasDedikerad HA-länk inte ansluten eller peer inte nåbarKontrollera portstatus, kabel, switch, ping på HA-Link-IPKorrigera kabeldragning, anslut HA-Link stabilt
HA-Link nereKabel, switchport, VLAN eller LAG felaktigKontrollera gränssnittsstatus, hastighet/duplex, VLAN-trunk, LAG-medlemmarByt kabel/switchport, korrigera VLAN/LAG
Båda enheterna blir StandaloneHA-Link fallerat, split-brain-riskKontrollera fysisk HA-Link-anslutning och switchvägStäng av en enhet kontrollerat, reparera HA-Link, starta sedan igen
Validering misslyckades för HA-gränssnitts-IPAdmin-portar eller HA-Link-adresser inte i förväntat subnätKontrollera IP-adresser och /log/syslog.logKorrigera adressering
Failover sker oväntatÖvervakad port fallerat eller felaktigt valdKontrollera övervakade portar och switchstatusÖvervaka endast verkligen kritiska och stabila portar
Failover sker inteRelevant port övervakas inteKontrollera övervakade portarAnge kritiska WAN-/Core-/DMZ-portar som övervakade portar
Active-Active fördelar inte som förväntatTrafiktyp fördelas inteKontrollera anslutningstyp, protokoll och loggar på båda nodernaAnvänd Active-Passive eller anpassa design
Loggar saknas till synesTrafik hanterades av den andra noden eller loggning är inte aktivKontrollera på båda noderna och i Log ViewerAktivera loggning i regler, använd Central Reporting/Syslog
Rapporter skiljer sigLokala rapporter är nodspecifikaJämför rapporter från båda enheternaAnvänd Sophos Central Firewall Reporting
Licensproblem i Active-ActiveLicenstyper matchar inteKontrollera licensiering på båda brandväggarnaMatcha och synkronisera licenser
Problem efter firmware-uppdateringEn nod är inte korrekt uppdaterad eller kluster är inte synkroniseratKontrollera HA-status, firmware-versioner, loggarAnvänd underhållsfönster, synkronisera kluster, involvera Sophos Support
Flexi-Port-HA-Link fungerar inteHastighet/duplex eller auto-negotiation passar inteKontrollera avancerade inställningar på båda enheternaKonfigurera båda sidor lika eller använd fast port
Sekundär WebAdmin inte nåbarPeer Admin Port inte nåbar eller klient inte i subnätKontrollera IP/subnät och ruttPlanera admin-åtkomst korrekt

Om den dedikerade HA-Link fallerar krävs försiktighet. Båda brandväggarna kan inte längre se varandra. I värsta fall skickar båda enheterna ARP/GARP och försöker hävda kluster-MAC för sig själva.

Säkert förfarande:

  1. Stabiliser nätverkstillstånd.
  2. Bestäm vilken enhet som ska förbli aktiv.
  3. Stäng av den andra enheten kontrollerat eller koppla bort från produktionsnätet.
  4. Reparera HA-Link-kabel, switchport, VLAN eller LAG.
  5. Starta enheten igen.
  6. Kontrollera HA-status.
  7. Kontrollera loggar och roller.

Relevanta CLI-kommandon

system ha show details

Visar HA-detaljer i Device Console.

show network interfaces

Hjälper vid gränssnittsstatus och länkinformation.

nvram get "#li.master"

Visar i Advanced Shell om enheten är den licenshållande Initial Primary.

dmesg | grep PortE

Kan vid vissa hårdvaru-/gränssnittsproblem ge ledtrådar om länkfluktuationer.

Inte varje kommando hör hemma i varje miljö. För produktiva system gäller: Dokumentera först tillstånd, kontrollera sedan specifikt.

Best-Practice-checklistor

Planering

  • Kontrollera Active-Passive som standardalternativ.
  • Använd Active-Active endast med klart prestandamål.
  • Kontrollera båda enheterna för modell, firmware, Flexi Ports och licensiering.
  • Anslut HA-Link dedikerat och helst direkt.
  • Välj övervakade portar medvetet.
  • Planera hanteringsåtkomst till primär och sekundär.
  • Dokumentera Cluster ID unikt.
  • Dokumentera switchdesign, VLAN och LAG.
  • Planera RSTP på relevanta switchar.
  • Tänk igenom split-brain-scenario.
  • Dokumentera säkerhetskopierings- och återställningsprocess.

Implementering

  • Skapa säkerhetskopia i förväg.
  • Ta båda brandväggarna till samma SFOS-version.
  • Inaktivera Cellular WAN.
  • Förbered HA-Link med statisk adressering och DMZ-zon.
  • Tillåt SSH för HA-Link-zonen.
  • Namnge primär och sekundär noggrant.
  • Använd lösenfras endast för konfiguration och behandla den inte som permanent admin-lösenord.
  • Kontrollera avancerade inställningar efter QuickHA.
  • Ställ in övervakade portar först när det är klart vilka länkar som är stabila och kritiska.
  • Testa failover i ett underhållsfönster.

Drift

  • Kontrollera HA-status regelbundet.
  • Övervaka licenser och synkronisering.
  • Utför firmware-uppdateringar endast förberedda och med underhållsfönster.
  • Testa säkerhetskopior regelbundet.
  • Gör konfigurationsändringar endast på den primära.
  • Kontrollera HA-status efter switch-, VLAN- eller gränssnittsändringar.
  • Inkludera loggar från båda noderna.
  • Använd Sophos Central Firewall Reporting eller Syslog för längre analyser.
  • Utför byte eller ominstallation av en nod endast med planerad HA-inaktivering och omkonfigurering.

Don’ts

  • Klustra inte olika modeller.
  • Planera inte Wi-Fi-XGS-modeller för HA.
  • Låt inte Cellular WAN vara aktiv i HA.
  • Sätt inte oanvända portar som övervakade portar.
  • Använd inte instabilt VLAN eller switchväg som HA-Link.
  • Kör inga produktiva tjänster över HA-Link.
  • Betrakta inte Active-Active som en enkel fördubbling av prestanda.
  • Förvänta eller planera inga ändringar på den sekundära brandväggen.
  • Utför ingen återställning utan underhållsfönster.

FAQ

Behöver man två fulla licenser för Active-Passive?

Vid hårdvaruenheter behöver normalt den Initial-Primary-enheten skyddssubscriptionerna i Active-Passive. Den sekundära brandväggen kan använda subskriptionskopian vid failover. Vid virtuella eller programvaruenheter måste minst den primära vara korrekt licensierad. Active-Active kräver lämpliga licenser på båda enheterna.

Kan man klustra två olika XGS-modeller?

Nej. Enheterna måste vara samma XGS-modell. XGS 2100 med XGS 2100 är lämpligt, XGS 2100 med XGS 2300 är det inte.

Är olika hårdvarurevisioner tillåtna?

Vid samma XGS-modell kan olika hårdvarurevisioner vara möjliga. Avgörande är att modell, plattform och firmwarekrav uppfylls.

Kan man driva en hårdvaruenhet med en virtuell enhet som HA?

Nej. Hårdvara och virtuell enhet kan inte tillsammans bilda ett normalt Sophos Firewall HA-par.

Måste man aktivera Preferred primary?

Det är rekommenderat, särskilt i Active-Passive. Så är det klart vilken enhet som ska bli primär igen efter ett failover. Dessutom är den licenshållande Initial Primary lättare att tilldela.

Synkroniseras loggar mellan båda brandväggarna?

Nej. Loggar och rapporter synkroniseras inte enkelt mellan båda enheterna. För central utvärdering bör man använda Sophos Central Firewall Reporting eller Syslog.

Vem är hauser i Sophos Firewall-loggarna?

hauser är inte en personlig administratör. Det är Sophos Firewalls interna HA-användare, som kan visas vid HA-klusteråtgärder. Det omfattar till exempel synkronisering, rollbyten, failover eller intern klusterkommunikation. Om meddelanden som interface down, monitored port down eller HA-statusändringar visas samtidigt bör man kontrollera HA-status, berörda portar och loggar från båda klusternoderna.

För att avgöra om en person har ändrat en konfiguration är Log Viewer, Central-loggar och Audit Trail Logs mer relevanta än enbart hauser-posten.

Är en firmware-uppdatering på ett HA-kluster utan avbrott?

HA-uppdateringsprocessen är utformad för rollbyten och så korta avbrott som möjligt. I praktiken bör dock ett underhållsfönster planeras eftersom enskilda sessioner eller applikationer kan reagera kort.

När bör man inaktivera HA?

Före ominstallation, hårdvarubyte, RMA-processer eller större återställningar bör HA planerat inaktiveras och därefter byggas om ordentligt.