Shunze 學園 >資訊設備專區 >Sophos XG > 《分享》HA設定與注意事項 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380

shunze 離線
《分享》HA設定與注意事項引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos XG HA在設定時,有以下幾點必需滿足。

  1. 兩台XG必需是相同型號。
  2. 兩台都必需註冊過。
  3. 兩台的port數必需相同。
  4. 兩台必需有著相同的韌體版本。

順子就曾在第一點吃過虧,原廠拿了兩台XG125,
但其中一台是由SG125改灌韌體變成XG125,
雖然兩台看起來一模一樣,不僅韌體版本相同,port數相同,
原廠也說了硬體規格完全一樣,但就是不能做HA,被廠原擺了一道...



另外HA在設定上,以下情境要特別注意。
  • HA在設定上有兩種模式,Active-Active與Active-Passive,
    Active-Active需要兩份完全相同的授權,因為兩台設備要同時啟用;
    Active-Passive只需要一份授權,當Active端故障時,再切換到Auxiliary端執行。
  • 要監控的Port,在兩台設備上都要接網路;
    但設定時,只有Primary端那台所有的port都要設定好,Auxiliary端只要設定HA Link port及Administration port,
    啟用HA後,Active端的設定會自動抄寫到Auxiliary端。
  • HA Link port需為DMZ Zone的成員,且需啟用SSH管理。
    HA Link port兩端IP需為獨立網段IP,小網段子網路遮罩255.255.255.252的IP網段已足夠。
  • WAN端IP不支援DHCP及PPPoE。



明白了設定上的情境需求,以下就以SG125來做HA的示範吧∼
示範環境IP配置如下,



  • 確認兩端DMZ Zone的SSH已啟用。



  • 設定Primary端的IP組態。



  • 設定另一端,Auxiliary的IP組態。
    如上所說,Auxiliary只要設定好HA Link port及Administration port即可,
    啟用HA時,會自動把Monitor Port eth1的資訊抄寫到Auxiliary端。



  • 在Auxiliary端設定溝通的密碼,並指定HA Link port為eth2。



  • 回到Primary端,依需求選擇Active-Active/Active-Passive模式,並輸入剛才於Auxiliary端所設定的密碼;
    再鍵入Auxiliary端的HA Link port及Administration port IP與要監控的Port。



  • 在密碼與IP正確,Primary端能與Auxiliary端正確溝通的情況下,
    HA機制就會成功建立,於HA組態中可看到兩端的設備序號。



最後補充一下HA在進行韌體更新時的一些資訊。
在Cyberoam某個版本之前,HA設備要更新韌體時,需要先解掉HA,逐一完成更新後,再組成HA。
而在Sophos XG,HA的韌體更新已經不用這麼麻煩了!
不論A-P或A-A的HA,在進行韌體更新時,會先由Auxiliary端進行,完成後再由Primary端做更新,
所以可以直接在韌體更新頁面進行韌體更新。


參考資料
How to Configure High Availability (HA) in Sophos Firewall



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2016-11-15, 14:56 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR