|
Sophos FW支援Active/Standby與Active/Active兩種HA架構。
在A/S模式下,只要一份授權,然後加買Enhanced Support Plus提供對端的保固;
而在A/A模式下,則需要兩份相同授權。
以下記錄在A/A模式下,客戶提問的問題。
- 解除HA後,Auxiliary Node的IP配置是否會衝突?
在解除HA後,Auxiliary Node上只會保留管理Port (LAN Port)原本設定的對端IP與HA對接Port IP,
其它Port的IP配置都會被清掉,
所以不會跟Primary Node上的IP衝突。
- Primary/Auxiliary 角色上的差異
雖然A/A HA同時間兩台都在運作(所以各需要一份授權),
但在角色上還是有一些差異,會由Primary Node統一接受封包,然後分散到兩台設備上。
但有些服務在A/A HA並不支援,例如3/4G Wifi模組,DHCP,PPPoE,SAC等。
另外,部分服務也不支援分流,僅會由Primary Node獨自處理,例如ICMP,UDP,多撥封包,廣撥封包,VPN等。
詳情請參考以下連線.
https://docs.sophos.com/nsg/sophos-firew...tion/index.html
- 啟用/停用HA會不會造成斷線?
會!
啟用HA時,會由Primary Node產生一個Virtual MAC給HA對外使用,所以會短暫的斷線。
同理,停用HA時,MAC會恢復到原本的實體MAC,也會造成短暫的斷線。
以實際的架設經驗來看,大多在1,2個ping的時間就恢復正常了。
- 監控port有什麼作用?
在HA組態中,有一個監控port可供設置。
設定在此的Port會被做為HA切換與否的一個根據,
例如Port1很重要,不能斷,那麼就可以把Port1加到監控port中,
當Primay Node上的Port1故障(例如網路線被拔掉,對端設備停電)時,就會觸發切換,由Auxiliary Node來獨立運作(Standalone);
原本的Primary Node會變成Fault狀態,直到問題排除才會恢復HA。
- 當Primary Node上的port異常時
當Primary Node上的Port有異常時,若此Port在監控Port中,那會觸發HA切換,
Primary Node變成Fault,由Auxiliary Node變成Standalone獨立運作。
若此Port不在監控Port中,那會由於此Port故障,所以無法從此Port聽流量,
即便Auxiliary Node的該Port是正常的,也無法提供服務。
- 當Auxiliary Node上的port異常時
當Auxiliary Node上的有異常時,若此Port在監控Port中,那會因為監控機制的關係,
Auxiliary Node會變成Fault,由Primary Node變成Standalone獨立運作。
若此Port不在監控Port中,會由Primary Node接受封包,如同正常狀況。
但因為Auxiliary Node的此Port故障,所以這Port的流量不會分享到Auxiliary Node上。
- 當Primary與Auxiliary Node上各有一port異常,且都是監控Port,是否會造成HA failover迴圈?
不會的。
因為Primary上有一Port故障,所以會由Auxiliary Node變成Standalone獨立接手服務,
不會因自己身上的另一個監控Port故障而切換,因為此時角色是Standalone而不是Primary Node。
直到原本Primay Node上的Port故障排除,重新加入HA後,這時才會因為Primary Node上的監控Port故障,而造成切換。
- Log查詢
在A/A HA架構下,log會同步抄寫至兩台。
所以在任何一台都可以查詢到完整log。
 |
 |
♥順子老婆的網拍,請多關照∼
If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
|
2023-12-18, 17:41
《分享》Sophos FW A/A HA行為特性
