Sophos XG Firewall High Availability (HA) Yapılandırması
High Availability en basit tanımıyla güç(power), donanım veya yazılımsal arıza durumunda kesintisiz hizmet sağlamak için kullanılan bir cluster teknolojisidir.
Full-Cluster yapıda ISP devrelerinizin Karasal ve Radio-Link olarak yedeklenmesi, Firewall ünitelerinizin HA olarak yedeklenmesi ve son olarak Backbone Switchlerinizin Stackable olarak yedeklenmesi ile birlikte Networksel olarak Full-Cluster yapıya geçiş sağlayabilirsiniz.
Wireless entegreli üniteler hariç Sophos XG Firewall üniteleri hem Aktif-Aktif hemde Aktif-Passive modları desteklemektedir.
HA Aktif-Aktif Modda;
– Aktif-Aktif modda Primary(Birinci) ve Auxiliary(Yardımcı) cihaz trafiği işler.
– Aktif-Aktif modda Yük dengeleme işlemine Primary cihaz karar verir.
– Aktif-Aktif modda Primary cihazda herhangi bir arıza veya kesinti olması durumunda Auxiliary cihaz yükü devralır.
– Aktif-Aktif modda Primary ve Auxiliary cihaz için ayrı ayrı lisans alınması gerekir.
– Aktif-Aktif modda cihazların lisansları aynı tarihte kayıt(register) edilmesi gerekmektedir.
Not: Aktif-Aktif kurulum yapılacak bir lokasyonda iki cihazdan birisi bir gün önceden deneme yapılmak için lisanslandığı için Cluster kümesine dahil etme problem ile karşılaştım. Sizlerde böyle bir durum ile karşılaşırsanız Support ekibi ile iletişime geçmeniz en hızlı ve sağlıklı yöntem olacaktır.
– Aktif-Aktif modda Synchronized Application Control (SAC) desteklenmemektedir
– Aktif-Aktif modda xDSL(PPPoE) ve Dynamic Connection desteklenmemektedir. Bu yüzden DHCP ve PPPoE arayüzleri devre dışı bırakılmalıdır.
– Aktif-Aktif veya Aktif-Pasif modda 3G/4G Cellular WAN desteklenmemektedir.
– Aktif-Aktif veya Aktif-Pasif modda tüm DDNS sağlayıcıları(Sophos DDNS sağlayıcısı hariç) destekleniyor. DDNS hizmeti HA modlarından(AA veya AP) bağımsız olarak yalnızca Primary cihazda çalışır.
– Aktif-Aktif modda “IPSEC VPN Session Load Balancing” desteklenmemektedir. Sophos TCP Load Balancing yaptığı için ve IPSEC 500 portu UDP üzerinden konuştuğu için trafik her zaman priority değeri yüksek olan Primary cihaza geliyor olacaktır.
*** Aktif-Aktif HA kümesi içerisinde Sophos XG Firewall (Route Mode, Bridge Mode, Mixed Mode ve Multiport Bridge Mode) olarak çalışıtırılıyor olsa bile aşağıdaki bağlantılar için Session Load Balancing desteklememektedir.
– IPSEC VPN bağlantıları
– TCP hariç UDP, ICMP, Multicast ve Broadcast traffikleri
– RED ve Access Pointlerden gelen trafikler
– TCP User Portal, Admin Console ve Telnet Console traffiği
– SIP ve H323 trafiği
– Taranan FTP trafiği
HA Aktif-Passive Modda;
– Aktif-Pasif modda sadece Primary(Birinci) cihaz trafiği işler. Auxiliary(Yardımcı) cihaz bekleme modunda kalır.
– Aktif-Pasif modda Primary cihazda herhangi bir arıza veya kesinti olması durumunda Auxiliary cihaz yükü devralır.
– Aktif-Pasif modda sadece Primary cihaz için lisans alınması gerekir. Auxiliary cihaz için lisans alınması gerekmez.
– Aktif-Pasif modda Synchronized Application Control (SAC) desteklenmektedir
– Aktif-Pasif modda xDSL(PPPoE) desteklenmektedir. Not: Modem Bridge modda değil Route modunda çalıştırılmalı, Firewall portu ise Dynamic olarak yapılandırılmalıdır.
– Aktif-Pasif veya Aktif-Aktif modda 3G/4G Cellular WAN desteklenmemektedir.
– Aktif-Pasif veya Aktif-Aktif modda tüm DDNS sağlayıcıları(Sophos DDNS sağlayıcısı hariç) destekleniyor. DDNS hizmeti HA modlarından(AA veya AP) bağımsız olarak yalnızca Primary cihazda çalışır.
HQ Kurulumu İçin Gereksinimler;
– HA kümesindeki her iki cihaz aynı modele ve revizyona sahip olmalıdır.
– Her iki cihaz da kaydedilmiş(registered) ve aynı abonelik paketlerine(subscription module) sahip olmalıdır. .
– Her iki cihaz da aynı port sayısına ve modüler(FleXi Port module) yapıya sahip olmalıdır.
– Her iki cihaz da aynı Firmware versionuna ve Pattern güncellemelerine sahip olmalıdır.
Not: system diagnostics show version-info komut sayesinde Firmware & Pattern update bilgisini kontrol edebilirsiniz.
– Her iki cihazda HA link portlarina Networkte boşta olan ve kullanılmayan IPler atanmalıdır. Tanımlanacak ip adresleri kesinlikle aynı Subnette olmalıdır.
– Her iki cihazda bulunan HA Link portları DMZ Zone üyesi olmalı ayrıca Device Access/SSH erişimi DMZ Zone için açılmalıdır.
– Her iki cihaz da HA Cluster Link atlaması yapılacak Ethernet Portları aynı hızlarda(1/10 Gbps) ve aynı konumda olmalı, örneğin Primary Device Port8, Auxiliary Device Port8 gibi.
– Switch ve Firewall bağlantı Portları aynı hızlarda(1/10 Gbps) olmalı. Mümkün olduğunca auto modda bırakmamaya özen gösterin.
– Bildiğiniz üzere Switch To Switch yada Switch to Stand-Alone Firewall yapılarda Trunk Portlara PortFast önermiyoruz. fakat Firewall HA kurduğunuz yapılarda HA kablolarının sonlandırıldığı Switch üzerinde STP açıksa HA kablolarının takılı olduğu portlara spanning-tree portfast yapmanızı öneriyorum. Böylelikle Switch kapanıp açılınca veya Firewall ünitelerinin geçişi sırasında Switch üzerinde 15 saniye dinleme + 15 saniye öğrenme ile toplamda 30 saniyelik bir bekleme/gecikme yaşamıyor olacaksınız.
– Bazı paylaşımlarda Primary ve Auxiliary cihazı birbirine bağlayacağınız için Cross-Cable gerekli olduğu yazılmaktadır fakat bu eskide kalmış bir teknoloji yeni cihazlar Auto-MDI/MDIX desteklediği için çapraz veya düz kablo kullanabilirsiniz. Karşılıklı bağlantı sağlanan portlardan birisi kendisini çeviriyor olacaktır.
– Her iki cihazda kullanacağınız Wan Portlarına takılı olan kabloları ISP Switch üzerinde sonlandırabilmek için Metro Ethernet Servis Sağlayıcısına kayıt açtırıp Port-Mirroring(ETH1,ETH2) yaptırmalısınız.
HA Destekleyen Modeller ve Revizyonlar;
Sophos XG Firewall Aktif-Pasif HA Yapılandırması;
Yukarıdaki şemamızı özetleyecek olursak;
– Primary Port 1 ile Auxiliary Port 1, Local Network olarak tanımlanacak.
– Primary Port 2 ile Auxiliary Port 2, WAN Metro Ethernet olarak tanımlanacak.
– Primary Port 8 ile Auxiliary Port 8, Dedicated HA Link olarak tanımlanacak.
Öncelikle Primary(Birinci) ve Auxiliary(Yardımcı) cihazın Firmware ve Pattern sürümlerini aynı olacak şekilde güncelliyoruz.
Daha sonra iki cihazı birbiriyle iletişim kurabilecek hale getirebilmek için HA Link atlamalarını(Port 8) aynı subnette olacak şekilde IP adresleri tanımlayıp DMZ Zone için SSH erişimini açıyoruz.
Primary Device\Configure\Network\Interfaces\Port8 üzerine tıklayarak interface içerisine giriş yapıyoruz.
Network zone alanından DMZ zonumuzu seçip Primary HA Link portumuza 172.23.56.1/30 ip adresimizi tanımlıyoruz.
Advanced settings alanında bulunan Ethernet Interface speed alanını auto modda bırakmamanızı öneriyorum. Her iki ünitede Speed değerini 1000 Mbps = 1 Gbps – Full Duplex olacak şekilde tanımlayıp ayarlarımızı kaydediyoruz.
Kaydettiğimiz ayarlardan sonra Interfaces alanımızdaki Primary HA Link portunun görüntüsü aşağıdaki gibi olacaktır.
Primary Device\System\Administration\Device access\Admin services\SSH erişimi için DMZ zonumuza yetki veriyoruz.
Primary cihazda yaptığımız gibi Auxiliary HA Link atlama(Port 8) aynı subnette olacak şekilde IP adresleri tanımlayıp DMZ Zone için SSH erişimini açıyoruz.
Auxiliary Device\Configure\Network\Interfaces\Port8 üzerine tıklayarak interface içerisine giriş yapıyoruz.
Network zone alanından DMZ zonumuzu seçip Auxiliary HA Link portumuza 172.23.56.2/30 ip adresimizi tanımlıyoruz.
Advanced settings alanında bulunan Ethernet Interface speed alanını auto modda bırakmamanızı öneriyorum. Her iki ünitede Speed değerini 1000 Mbps = 1 Gbps – Full Duplex olacak şekilde tanımlayıp ayarlarımızı kaydediyoruz.
Kaydettiğimiz ayarlardan sonra Interfaces alanımızdaki Auxiliary HA Link portunun görüntüsü aşağıdaki gibi olacaktır.
Auxiliary Device\System\Administration\Device access\Admin services\SSH erişimi için DMZ zonumuza yetki veriyoruz.
Interface ayarlarını yaptıktan sonra sıra geldi HA kümesi içerisine cihazları dahil etmeye.
Auxiliary Device\Configure\System services\High availability alanından cihazın çalışacağı modu, şifrelemeyi ve HA olarak iletişim kurcağımız portu seçtikten sonra ayarlarımızı kaydediyoruz.
Initial HA device status: Cihazın çalışacağı HA modunu Auxiliary(Yardımcı) olarak seçiyoruz.
Passphrase: Primary ve Auxiliary cihazın bilgi alışverişi sırasında iletişimi onaylayacağı şifre.
Dedicated HA link: HA haberleşmesi için kullandığımız Ethernet portu.
Auxiliary cihazdaki ayarlarımızı yaptıktan sonra sıra geldi Primary cihazdaki ayarlarımıza.
Primary Device\Configure\System services\High availability alanından cihazın çalışacağı modu, şifrelemeyi ve IP/Port tanımlamalarını yaptıktan sonra ayarlarımızı kaydediyoruz.
– HA configuration mode: Cihazın çalışma modunu Aktif-Pasif olarak seçiyoruz.
– Initial HA device status: Cihazın çalışacağı HA modunu Primary(Birinci) olarak seçiyoruz.
– Passphrase: Primary ve Auxiliary cihazın bilgi alışverişi sırasında iletişimi onaylayacağı şifre.
– Dedicated HA link: HA haberleşmesi için kullandığımız Ethernet portu.
– Peer HA Link IPv4: Auxiliary cihazın HA Portunun IP adresini yazıyoruz.
– Peer administration port: Primary ve Auxiliary cihazın yönetim portunu seçiyoruz.
– Peer administration IP: Auxiliary cihazın yönetim IP adresini yazıyoruz. Auxiliary arayüzüne erişen tüm kullanıcılar HA Profili ile oturum açar ve sadece read-only haklara sahiptir.
– Select ports to be monitored: Monitor edilecek portları seçiyoruz. Burada seçeceğimiz portların kabloları takılı olmalıdır aksi halde uyarı ile karşılacaksınız.
Yaptığımız ayarlardan sonra Primary(Birinci) ve Auxiliary(Yardımcı) cihaz eşleşmesi sağlanacak. Bu aşamada Auxiliary cihaz, Primary cihaz üzerindeki konfigurasyon yedeğini kendi üzerine alıp reboot olacak.
Primary cihaz üzerinde bulunan WAN portunu çektiğimizde 4 Ping kaybından sonra trafiğin Auxiliary cihaz üzerinden geçtiğini görebiliriz.
Cisco Switch Portfast Config;
interface range gigabitEthernet 1/0/47-48
switchport mode trunk
switchport trunk allowed vlan all
spanning-tree portfast
description Switch to Firewall
no shutdown
HA Firmware Upgrade;
High Availability modda Primary(Birinci) cihazı yükselttiğinizde Auxiliary(Yardımcı) cihaz otomatik olarak güncellenir.
HA CLI Komutları;
– system ha load-balancing on/off
Bu komutu kullanarak HA kümesinde yük dengelemesini etkinleştirebilir veya devre dışı bırakabiliriz. Yük dengelemesi kapandıktan sonra, tüm trafik Primary(Birinci) cihazdan geçer. Bu komut Aktif-Aktif modda yapılandırıldığında kullanışlıdır.
– system ha disable
Bu komutu kullanarak HA’yı devre dışı bırakabilirsiniz. Primary(Birinci) cihaza uyguladığınızda her iki cihazda HA devre dışı kalır, Auxiliary(Yardımcı) cihaza uyguladığınızda ise HA sadece Auxiliary(Yardımcı) cihazda devre dışı kalır.
– system ha show details
Bu komutu kullanarak HA yapılandırma detaylarına ulaşabilirsiniz.
– system ha show logs
Bu komutu kullanarak HA üzerinde oluşan logların çıktılarına ulaşabilirsiniz.
Sophos XG Firewall Active-Passive High Availability (HA) & Cisco Link Aggregation (LAG) Yapılandırması;
Sophos XG Firewall & Cisco Switch arasında HA Active Passive LAG yapılandırmak için aşağıdaki yazılarımı referans olarak kullanabilirsiniz;
Sophos XG Firewall Link Aggregation (LAG) / Cisco Switch Etherchannel VLAN Yapılandırması
https://www.firatmeray.com/sophos-xg-firewall-cisco-link-aggregation-lag-vlan-yapilandirmasi/
Sophos XG Firewall Link Aggregation (LAG) / Cisco Switch Etherchannel Yapılandırması
https://www.firatmeray.com/sophos-xg-firewall-lag-cisco-switch-etherchannel-yapilandirmasi/
Sophos XG Firewall HA ve LAG Örnek Seneryolar;
Referanslar aldığım yazılar;
Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist