Sophos XG Firewall Link Aggregation (LAG) / Cisco Switch Etherchannel VLAN Yapılandırması

Merhabalar,

Bu makalemde sizlerle Sophos XG Firewall ve Cisco 2960x Serisi arasında Link Aggregation (LAG) \ Etherchannel VLAN yapılandırmasını paylaşıyorum.

Bir önceki makalemde VLAN nedir diye bahsetmiştim bu makalemizde tekrarda değinmeyeceğim. Teknik olarak VLAN hakkında yeterliliğiniz yoksa aşağıdaki linkten VLAN giriş makaleme göz atmanızda fayda var.

https://www.firatmeray.com/vlan-nedir/

Öncelikle Link Aggregation Control Protocole (802.3ad LACP) değinecek olursak interface arayüzlerimizi mantıksal bir küme içerisinde birleştirip Veri Transferini(Throughput) arttırmaya ve herhangi bir link kaybında yedeklilik sağlamak amacıyla kullandığımız bir protokoldür. LAG teknolojisi tüm üreticilerde farklı isimlerde kullanılır. (Örneğin; Windows Nic Teaming, Linux Bonding, Cisco EtherChannel, Huawei Eth-Trunking, HP Link Aggregation, Sophos LAG)

Etherchannel teknolojisinde fiziksel olarak birden fazla port olmasına karşın mantıksal olarak tek bir port vardır. Normalde üniteler arasında birden fazla port kullanılırsa döngü (loop) oluşur fakat STP ve türleri LAG portlarında engelleme yapmayacaktır.

* Firewall ve Switch üzerinde LAG(Link Aggregation) grubu içindeki tüm portları TRUNK olarak atamalıyız.
* Switch üzerinde sadece belirli Vlanların geçişine izin veriyorsanız LAG portlarının olduğu interface port-channel grubuna vlanların atanması gerekiyor.
* Firewall ve Switch üzerinde LAG(Link Aggregation) grubu içindeki tüm portların interface speed değeri aynı olmak zorunda.
* Sophos XG Firewall Maximum 4 Link LAG(Link Aggregation) desteklemektedir. 4x1Gbps Ethernet Linklerini birleştirdiğimizde 4Gbps veri transferine ulaşabiliriz.

Yapımıza değinecek olursak;

* Ortamımızda Vlanlar Sophos XG Firewall üzerinde olup Default Vlan kapatılacak.
* DHCP Firewall üzerinde olacak. ***Not olarak belirtmem gerekirse DHCP Windows Server üzerinde olacaksa Host(Hyper-V\Vmware) sunucunun bağlı olduğu portu Trunk olarak ve sanal sunucunun ethernet kartını bulunduğu Server Vlana atamalıyız. Ayrıca Sophos XG Firewall üzerinde DHCP-Relay tanımlaması yapmamız gerekmektedir. DHCP-Relay hakkında detaylı bilgiye aşağıdaki makalemden erişebilirsiniz.

https://www.firatmeray.com/sophos-xg-firewall-dhcp-relay-tanimlamasi/

* 4 Port Sophos XG Firewall üzerinde, 4 Portta Cisco Switch üzerinde Link Grubuna dahil edeceğiz böylelikle 4Gbps veri transferi elde edeceğiz ayrıca Link yedekliliği sağlayacağız.
* Sophos üzerinde 5-6-7-8 ve Cisco üzerinde 45-46-47-48 Portlarını gruplayacağız.

Sophos XG Firewall,Sophos XG Firewall Link Aggregation, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Öncelikle LAG Portları üzerinde VLAN yaratacağımız için Configure\Network\Zone\Add diyerek yeni bir Zone yaratıyoruz.

Sophos XG Firewall,Sophos XG Firewall Link Aggregation, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Açacağımız LAG_Zone alanımıza isim verip Lan Zone alanında olduğu gibi servis erişimlerine izin veriyoruz.

Sophos XG Firewall,Sophos XG Firewall Link Aggregation, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Oluşturduğumuz LAG_Zone görüntümüz aşağıdaki gibi olacaktır.

Sophos XG Firewall,Sophos XG Firewall Link Aggregation, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

LAG oluşturmak için Configure\Network\Interface\Add interface\Add LAG alanına tıklıyoruz.

Sophos XG Firewall,Sophos XG Firewall Link Aggregation, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

LAG arayüzümüze isim verip Member interface alanına LAG’a dahil etmek istediğimiz interface portlarını ekliyoruz. Biz Port5,6,7,8 arayüzlerini ekleyeceğiz.

Mode alanından 802.3ad (LACP) seçip Network Zone olarak LAG Zonumuzu seçiyoruz.

LAG interface üzerinde VLAN tanımlamaları yapacağımız için Static IP tanımlaması yapmıyoruz.

Sophos XG Firewall,Sophos XG Firewall Link Aggregation, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Etherchannel mantığında bütün Port arayüzleri aynı hızda olmak zorunda bu yüzden Cisco ve Sophos üzerinde
oluşturacağımız LAG grubunun interface speed değerini 1000 Mbps = 1Gbps Full Duplex olarak ayarlıyoruz..

Ünite üzerinde LAG portlara Vlan atayacağımız için hash policy alanını Layer2+3 olarak seçiyoruz.

Eğer Firewall ve Switch Default Vlan olarak konuşuyor olsaydı yani Firewall ve Switch üzerinde Tagged Vlan olmasaydı hash policy alanını Layer2 olarak seçmemiz gerekmekteydi.

Sophos XG Firewall,Sophos XG Firewall Link Aggregation, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Interface LAG gruplaması yaptıktan sonra Configure\Network\Interface\Add interface\Add VLAN diyerek vlanlarımızı tanımlıyoruz.

Sophos XG Firewall,Sophos XG Firewall Link Aggregation, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Vlanlarımızı yaratırken oluşturduğumuz Lag_Zone alanını seçiyoruz.

Sophos XG Firewall,Sophos XG Firewall Link Aggregation, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Ayarlarımızı kaydettikten sonra LAG Interface görüntümüz aşağıdaki gibi olacaktır.

Sophos XG Firewall,Sophos XG Firewall Link Aggregation, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yapımız gereği DHCP tanımlaması yapıp interface olarak yarattığımız LAG arayüzümüzü seçiyoruz.

Sophos XG Firewall,Sophos XG Firewall Link Aggregation, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Cisco LACP Config;

hostname Kabinet_Backbone
no ip http server
no ip http secure-server
no ip domain-lookup
cdp run

spanning-tree mode rapid-pvst

service password-encryption
enable secret  password
username sshadmin privilege 15 secret password
aaa new-model
aaa authentication login default local-case
aaa local authentication attempts max-fail 5
ip domain-name aktuelsistem.com
crypto key generate rsa
ip ssh version 2
ip ssh time-out 30
ip ssh logging events
ip ssh maxstartups 10
ip ssh authentication-retries 5

line vty 0 4
transport input ssh
access-class ACL-SSH in
exec-timeout 15

ip access-list standard ACL-SSH
permit 192.168.99.0 0.0.0.255 log
deny any

vlan 10
name Personel_Vlan
vlan 20
name Server_Vlan
vlan 30
name Ses_Vlan
vlan 40
name Misafir_Vlan
vlan 99
name Management_Vlan

interface range gigabitEthernet 1/0/45-48
channel-group 1 mode on
no shutdown

interface port-channel 1
speed 1000
switchport mode trunk
switchport trunk allowed vlan all
description Switch To Firewall LAG
no shutdown

interface gigabitEthernet 1/0/44
switchport mode trunk
switchport trunk allowed vlan all
description Switch Trunk Port
no shutdown

interface gigabitEthernet 1/0/43
switchport mode trunk
switchport trunk allowed vlan all
description Controller Trunk Port
no shutdown

interface range gigabitEthernet 1/0/40-42
switchport mode trunk
switchport trunk allowed vlan all
description AP Trunk Port
no shutdown

*** Bildiğiniz üzere Switch ilk açıldığında yada Switche bir bilgisayar bağlandığında Loop(Döngü) oluşmasını engellemek için 15 saniye dinleme15 saniye öğrenme ile toplamda 30 saniyelik beklemenin artından port aktif hale gelir. Bu süreyi kısaltmak için Portfast komutu uygulamaktayız böylelikle Switch üzerine takılan bir port dinlenmeden ve öğrenilmeden direk up edilir. Client Portlarınıza herhangi bir döngüye neden olacak herhangi bir cihazın takılmayacağından eminseniz Portfast yapmanızda fayda var.

interface range gigabitEthernet 1/0/1-39
switchport mode access
switchport access vlan 10
spanning-tree portfast
description Personel Port

no shutdown

interface vlan 1
no ip address
shutdown

interface vlan 99
ip address 192.168.99.2 255.255.255.0
no shutdown

ip default-gateway 192.168.99.1

Yararlı Komutlar;

show vlan
show vlan brief
show vlan id 20
show interface vlan 20
show interfaces status
show interfaces summary
show interfaces switchport
show interfaces trunk
show interfaces gigabitEthernet 1/0/48
show interfaces gigabitEthernet 1/0/48 trunk
show interfaces gigabitEthernet 1/0/48 switchport
show interfaces gigabitEthernet 1/0/48 summary
show interfaces gigabitEthernet 1/0/48 status
show etherchannel summary
show etherchannel port
show etherchannel detail
show ip default-gateway

switchport trunk native vlan 99
switchport trunk allowed vlan all
switchport trunk allowed vlan 10,20,30,99
switchport trunk allowed vlan add 20
switchport trunk allowed vlan remove 30

show running-config
show running-config brief
show running-config interface gigabitEthernet 1/0/48

Firewall ve Switch tarafında ayarlarımızı yaptıktan sonra ICMP Echo (ping) testi ile çalışabilirlik testinizi yapabilirsiniz.

Firewall ICMP Test

Sophos XG Firewall,Sophos XG Firewall Link Aggregation, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Switch ICMP Test

Sophos XG Firewall,Sophos XG Firewall Link Aggregation, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

show etherchannel port

Sophos XG Firewall,Sophos XG Firewall Link Aggregation, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

show etherchannel summary

Sophos XG Firewall,Sophos XG Firewall Link Aggregation, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist