|
Sophos XG HA在設定時,有以下幾點必需滿足。
- 兩台XG必需是相同型號。
- 兩台都必需註冊過。
- 兩台的port數必需相同。
- 兩台必需有著相同的韌體版本。
順子就曾在第一點吃過虧,原廠拿了兩台XG125,
但其中一台是由SG125改灌韌體變成XG125,
雖然兩台看起來一模一樣,不僅韌體版本相同,port數相同,
原廠也說了硬體規格完全一樣,但就是不能做HA,被廠原擺了一道...
另外HA在設定上,以下情境要特別注意。
- HA在設定上有兩種模式,Active-Active與Active-Passive,
Active-Active需要兩份完全相同的授權,因為兩台設備要同時啟用;
Active-Passive只需要一份授權,當Active端故障時,再切換到Auxiliary端執行。
- 要監控的Port,在兩台設備上都要接網路;
但設定時,只有Primary端那台所有的port都要設定好,Auxiliary端只要設定HA Link port及Administration port,
啟用HA後,Active端的設定會自動抄寫到Auxiliary端。
- HA Link port需為DMZ Zone的成員,且需啟用SSH管理。
HA Link port兩端IP需為獨立網段IP,小網段子網路遮罩255.255.255.252的IP網段已足夠。
- WAN端IP不支援DHCP及PPPoE。
明白了設定上的情境需求,以下就以SG125來做HA的示範吧∼
示範環境IP配置如下,
- 確認兩端DMZ Zone的SSH已啟用。
- 設定Primary端的IP組態。
- 設定另一端,Auxiliary的IP組態。
如上所說,Auxiliary只要設定好HA Link port及Administration port即可,
啟用HA時,會自動把Monitor Port eth1的資訊抄寫到Auxiliary端。
- 在Auxiliary端設定溝通的密碼,並指定HA Link port為eth2。
- 回到Primary端,依需求選擇Active-Active/Active-Passive模式,並輸入剛才於Auxiliary端所設定的密碼;
再鍵入Auxiliary端的HA Link port及Administration port IP與要監控的Port。
- 在密碼與IP正確,Primary端能與Auxiliary端正確溝通的情況下,
HA機制就會成功建立,於HA組態中可看到兩端的設備序號。
最後補充一下HA在進行韌體更新時的一些資訊。
在Cyberoam某個版本之前,HA設備要更新韌體時,需要先解掉HA,逐一完成更新後,再組成HA。
而在Sophos XG,HA的韌體更新已經不用這麼麻煩了!
不論A-P或A-A的HA,在進行韌體更新時,會先由Auxiliary端進行,完成後再由Primary端做更新,
所以可以直接在韌體更新頁面進行韌體更新。
參考資料
How to Configure High Availability (HA) in Sophos Firewall
♥順子老婆的網拍,請多關照∼
If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
|
2016-11-15, 14:56
《分享》HA設定與注意事項
