Sophos XG Firewall High Availability Configuration

Merhabalar,

High Availability en basit tanımıyla güç(power), donanım veya yazılımsal arıza durumunda kesintisiz hizmet sağlamak için kullanılan bir cluster teknolojisidir.

Full-Cluster
yapıda ISP devrelerinizin Karasal ve Radio-Link olarak yedeklenmesi, Firewall ünitelerinizin HA olarak yedeklenmesi ve son olarak Backbone Switchlerinizin Stackable olarak yedeklenmesi ile birlikte Networksel olarak Full-Cluster yapıya geçiş sağlayabilirsiniz.

Wireless entegreli üniteler hariç Sophos XG Firewall üniteleri hem Aktif-Aktif hemde Aktif-Pasif modları desteklemektedir.

HA Aktif-Aktif Modda;

– Aktif-Aktif modda Primary(Birinci) ve Auxiliary(Yardımcı) cihaz trafiği işler.
– Aktif-Aktif modda Yük dengeleme işlemine Primary cihaz karar verir.
– Aktif-Aktif modda Primary cihazda herhangi bir arıza veya kesinti olması durumunda Auxiliary cihaz yükü devralır.
 Aktif-Aktif modda Primary ve Auxiliary cihaz için ayrı ayrı lisans alınması gerekir.
– Aktif-Aktif modda cihazların lisansları aynı tarihte kayıt(register) edilmesi gerekmektedir.
Not: Aktif-Aktif kurulum yapılacak bir lokasyonda iki cihazdan birisi bir gün önceden deneme yapılmak için lisanslandığı için Cluster kümesine dahil etme problem ile karşılaştım. Sizlerde böyle bir durum ile karşılaşırsanız Support ekibi ile iletişime geçmeniz en hızlı ve sağlıklı yöntem olacaktır.
– Aktif-Aktif modda Synchronized Application Control (SAC) desteklenmemektedir
– Aktif-Aktif modda xDSL(PPPoE) ve Dynamic Connection desteklenmemektedir. Bu yüzden DHCP ve PPPoE arayüzleri devre dışı bırakılmalıdır.
– Aktif-Aktif veya Aktif-Pasif modda 3G/4G Cellular WAN desteklenmemektedir.
– Aktif-Aktif veya Aktif-Pasif modda tüm DDNS sağlayıcıları(Sophos DDNS sağlayıcısı hariç) destekleniyor. DDNS hizmeti HA modlarından(AA veya AP) bağımsız olarak yalnızca Primary cihazda çalışır.
– Aktif-Aktif modda “IPSEC VPN Session Load Balancing” desteklenmemektedir. Sophos TCP Load Balancing yaptığı için ve IPSEC 500 portu UDP üzerinden konuştuğu için trafik her zaman priority değeri yüksek olan Primary cihaza geliyor olacaktır.

*** Aktif-Aktif HA kümesi içerisinde Sophos XG Firewall (Route Mode, Bridge Mode, Mixed Mode ve Multiport Bridge Mode) olarak çalışıtırılıyor olsa bile aşağıdaki bağlantılar için Session Load Balancing desteklememektedir.

IPSEC VPN bağlantıları
– TCP hariç UDP, ICMP, Multicast ve Broadcast traffikleri
RED ve Access Pointlerden gelen trafikler
TCP User Portal, Admin Console ve Telnet Console traffiği
SIP ve H323 trafiği
– Taranan FTP trafiği

HA Aktif-Pasif Modda;

– Aktif-Pasif modda sadece Primary(Birinci) cihaz trafiği işler. Auxiliary(Yardımcı) cihaz bekleme modunda kalır.
– Aktif-Pasif modda Primary cihazda herhangi bir arıza veya kesinti olması durumunda Auxiliary cihaz yükü devralır.
– Aktif-Pasif modda sadece Primary cihaz için lisans alınması gerekir. Auxiliary cihaz için lisans alınması gerekmez.
– Aktif-Pasif modda Synchronized Application Control (SAC) desteklenmektedir
– Aktif-Pasif modda xDSL(PPPoE) desteklenmektedir. Not: Modem Bridge modda değil Route modunda çalıştırılmalı, Firewall portu ise Dynamic olarak yapılandırılmalıdır.
– Aktif-Pasif veya Aktif-Aktif modda 3G/4G Cellular WAN desteklenmemektedir.
– Aktif-Pasif veya Aktif-Aktif modda tüm DDNS sağlayıcıları(Sophos DDNS sağlayıcısı hariç) destekleniyor. DDNS hizmeti HA modlarından(AA veya AP) bağımsız olarak yalnızca Primary cihazda çalışır.

HQ Kurulumu İçin Gereksinimler;

 HA kümesindeki her iki cihaz aynı modele ve revizyona sahip olmalıdır.
– Her iki cihaz da aynı hesap altına kaydedilmiş(registered) ve aynı abonelik paketlerine(subscription module) sahip olmalıdır.
– Her iki cihaz da aynı port sayısına ve modüler(FleXi Port module) yapıya sahip olmalıdır.
 Her iki cihaz da aynı Firmware versionuna ve Pattern güncellemelerine sahip olmalıdır.
Not: system diagnostics show version-info komut sayesinde Firmware & Pattern update bilgisini kontrol edebilirsiniz.
 Her iki cihazda HA link portlarina Networkte boşta olan ve kullanılmayan IPler atanmalıdır. Tanımlanacak ip adresleri kesinlikle aynı Subnette olmalıdır.
 Her iki cihazda bulunan HA Link portları DMZ Zone üyesi olmalı ayrıca Device Access/SSH erişimi DMZ Zone için açılmalıdır.
 Her iki cihaz da HA Cluster Link atlaması yapılacak Ethernet Portları aynı hızlarda(1/10 Gbps) ve aynı konumda olmalı, örneğin Primary Device Port8, Auxiliary Device Port8 gibi.
 Switch ve Firewall bağlantı Portları aynı hızlarda(1/10 Gbps) olmalı. Mümkün olduğunca auto modda bırakmamaya özen gösterin.
– Bildiğiniz üzere Switch To Switch yada Switch to Stand-Alone Firewall yapılarda Trunk Portlara PortFast önermiyoruz. fakat Firewall HA kurduğunuz yapılarda HA kablolarının sonlandırıldığı Switch üzerinde STP açıksa HA kablolarının takılı olduğu portlara spanning-tree portfast yapmanızı öneriyorum. Böylelikle Switch kapanıp açılınca veya Firewall ünitelerinin geçişi sırasında Switch üzerinde 15 saniye dinleme + 15 saniye öğrenme ile toplamda 30 saniyelik bir bekleme/gecikme yaşamıyor olacaksınız.
 Bazı paylaşımlarda Primary ve Auxiliary cihazı birbirine bağlayacağınız için Cross-Cable gerekli olduğu yazılmaktadır fakat bu eskide kalmış bir teknoloji yeni cihazlar Auto-MDI/MDIX desteklediği için çapraz veya düz kablo kullanabilirsiniz. Karşılıklı bağlantı sağlanan portlardan birisi kendisini çeviriyor olacaktır.
 Her iki cihazda kullanacağınız Wan Portlarına takılı olan kabloları ISP Switch üzerinde sonlandırabilmek için Metro Ethernet Servis Sağlayıcısına kayıt açtırıp Port-Mirroring(ETH1,ETH2) yaptırmalısınız.

HA Destekleyen Modeller ve Revizyonlar;

Sophos XG Firewall,Sophos XG Firewall High Availability, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Sophos XG Firewall Aktif-Pasif HA Yapılandırması;

Sophos XG Firewall,Sophos XG Firewall High Availability, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yukarıdaki şemamızı özetleyecek olursak;

 Primary Port 1 ile Auxiliary Port 1, Local Network olarak tanımlanacak.
 Primary Port 2 ile Auxiliary Port 2, WAN Metro Ethernet olarak tanımlanacak.
 Primary Port 8 ile Auxiliary Port 8, Dedicated HA Link olarak tanımlanacak.

Öncelikle Primary(Birinci) ve Auxiliary(Yardımcı) cihazın Firmware ve Pattern sürümlerini aynı olacak şekilde güncelliyoruz.

Sophos XG Firewall,Sophos XG Firewall High Availability, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall,Sophos XG Firewall High Availability, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Daha sonra iki cihazı birbiriyle iletişim kurabilecek hale getirebilmek için HA Link atlamalarını(Port 8) aynı subnette olacak şekilde IP adresleri tanımlayıp DMZ Zone için SSH erişimini açıyoruz.

Primary Device\Configure\Network\Interfaces\Port8 üzerine tıklayarak interface içerisine giriş yapıyoruz.

Sophos XG Firewall,Sophos XG Firewall High Availability, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Network zone alanından DMZ zonumuzu seçip Primary HA Link portumuza 172.23.56.1/30 ip adresimizi tanımlıyoruz.

Advanced settings alanında bulunan Ethernet Interface speed alanını auto modda bırakmamanızı öneriyorum. Her iki ünitede Speed değerini 1000 Mbps = 1 Gbps – Full Duplex olacak şekilde tanımlayıp ayarlarımızı kaydediyoruz.

Sophos XG Firewall,Sophos XG Firewall High Availability, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall,Sophos XG Firewall High Availability, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Kaydettiğimiz ayarlardan sonra Interfaces alanımızdaki Primary HA Link portunun görüntüsü aşağıdaki gibi olacaktır.

Sophos XG Firewall,Sophos XG Firewall High Availability, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Primary Device\System\Administration\Device access\Admin services\SSH erişimi için DMZ zonumuza yetki veriyoruz.

Sophos XG Firewall,Sophos XG Firewall High Availability, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Primary cihazda yaptığımız gibi Auxiliary HA Link atlama(Port 8) aynı subnette olacak şekilde IP adresleri tanımlayıp DMZ Zone için SSH erişimini açıyoruz.

Auxiliary Device\Configure\Network\Interfaces\Port8 üzerine tıklayarak interface içerisine giriş yapıyoruz.

Sophos XG Firewall,Sophos XG Firewall High Availability, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Network zone alanından DMZ zonumuzu seçip Auxiliary HA Link portumuza 172.23.56.2/30 ip adresimizi tanımlıyoruz.

Advanced settings alanında bulunan Ethernet Interface speed alanını auto modda bırakmamanızı öneriyorum. Her iki ünitede Speed değerini 1000 Mbps = 1 Gbps – Full Duplex olacak şekilde tanımlayıp ayarlarımızı kaydediyoruz.

Sophos XG Firewall,Sophos XG Firewall High Availability, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall,Sophos XG Firewall High Availability, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Kaydettiğimiz ayarlardan sonra Interfaces alanımızdaki Auxiliary HA Link portunun görüntüsü aşağıdaki gibi olacaktır.

Sophos XG Firewall,Sophos XG Firewall High Availability, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Auxiliary Device\System\Administration\Device access\Admin services\SSH erişimi için DMZ zonumuza yetki veriyoruz.

Sophos XG Firewall,Sophos XG Firewall High Availability, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Interface ayarlarını yaptıktan sonra sıra geldi HA kümesi içerisine cihazları dahil etmeye.

Auxiliary Device\Configure\System services\High availability alanından cihazın çalışacağı modu, şifrelemeyi ve HA olarak iletişim kurcağımız portu seçtikten sonra ayarlarımızı kaydediyoruz.

Initial HA device status: Cihazın çalışacağı HA modunu Auxiliary(Yardımcı) olarak seçiyoruz.
Passphrase: Primary ve Auxiliary cihazın bilgi alışverişi sırasında iletişimi onaylayacağı şifre.
Dedicated HA link: HA haberleşmesi için kullandığımız Ethernet portu.

Sophos XG Firewall,Sophos XG Firewall High Availability, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall,Sophos XG Firewall High Availability, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Auxiliary cihazdaki ayarlarımızı yaptıktan sonra sıra geldi Primary cihazdaki ayarlarımıza.

Primary Device\Configure\System services\High availability alanından cihazın çalışacağı modu, şifrelemeyi ve IP/Port tanımlamalarını yaptıktan sonra ayarlarımızı kaydediyoruz.

 HA configuration mode: Cihazın çalışma modunu Aktif-Pasif olarak seçiyoruz.
 Initial HA device status: Cihazın çalışacağı HA modunu Primary(Birinci) olarak seçiyoruz.
 Passphrase: Primary ve Auxiliary cihazın bilgi alışverişi sırasında iletişimi onaylayacağı şifre.
 Dedicated HA link: HA haberleşmesi için kullandığımız Ethernet portu.
– Peer HA Link IPv4: Auxiliary cihazın HA Portunun IP adresini yazıyoruz.
 Peer administration port: Primary ve Auxiliary cihazın yönetim portunu seçiyoruz.
 Peer administration IP: Auxiliary cihazın yönetim IP adresini yazıyoruz. Auxiliary arayüzüne erişen tüm kullanıcılar HA Profili ile oturum açar ve sadece read-only haklara sahiptir.
 Select ports to be monitored: Monitor edilecek portları seçiyoruz. Burada seçeceğimiz portların kabloları takılı olmalıdır aksi halde uyarı ile karşılacaksınız.

Sophos XG Firewall,Sophos XG Firewall High Availability, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall,Sophos XG Firewall High Availability, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall,Sophos XG Firewall High Availability, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yaptığımız ayarlardan sonra Primary(Birinci) ve Auxiliary(Yardımcı) cihaz eşleşmesi sağlanacak. Bu aşamada Auxiliary cihaz, Primary cihaz üzerindeki konfigurasyon yedeğini kendi üzerine alıp reboot olacak.

Sophos XG Firewall,Sophos XG Firewall High Availability, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Primary cihaz üzerinde bulunan WAN portunu çektiğimizde 4 Ping kaybından sonra trafiğin Auxiliary cihaz üzerinden geçtiğini görebiliriz.

Sophos XG Firewall,Sophos XG Firewall High Availability, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Cisco Switch Trunk & Portfast Config;

*** Bildiğiniz üzere Switch ilk açıldığında yada Switche bir bilgisayar bağlandığında Loop(Döngü) oluşmasını engellemek için 15 saniye dinleme – 15 saniye öğrenme ile toplamda 30 saniyelik beklemenin artından port aktif hale gelir.

Cihazlarda(Firewall&Switch) yaşanabilecek herhangi bir elektirik kesintisi sonrası, Switch to Firewall portlarında gecikme olmaması için Portfast komutunu kullanmaktayız. Böylelikle Switch ve Firewall arasındaki atlama portları dinlenmeden ve öğrenilmeden direk up edilir. 

*** Firewall üzerinde VLAN varsa;
interface range gigabitEthernet 1/0/47-48
switchport mode trunk
switchport trunk allowed vlan all
spanning-tree portfast
description Switch to Firewall
no shutdown

*** Firewall üzerinde VLAN yoksa;
interface range gigabitEthernet 1/0/47-48
switchport mode access
switchport access vlan 1
spanning-tree portfast
description Switch to Firewall
no shutdown

HA Firmware Upgrade;

High Availability modda Primary(Birinci) cihazı yükselttiğinizde Auxiliary(Yardımcı) cihaz otomatik olarak güncellenir.

HA CLI Komutları;

system ha load-balancing on/off
Bu komutu kullanarak HA kümesinde yük dengelemesini etkinleştirebilir veya devre dışı bırakabiliriz. Yük dengelemesi kapandıktan sonra, tüm trafik Primary(Birinci) cihazdan geçer. Bu komut Aktif-Aktif modda yapılandırıldığında kullanışlıdır.

system ha disable
Bu komutu kullanarak HA’yı devre dışı bırakabilirsiniz. Primary(Birinci) cihaza uyguladığınızda her iki cihazda HA devre dışı kalır, Auxiliary(Yardımcı) cihaza uyguladığınızda ise HA sadece Auxiliary(Yardımcı) cihazda devre dışı kalır.

system ha show details
Bu komutu kullanarak HA yapılandırma detaylarına ulaşabilirsiniz.

Sophos XG Firewall,Sophos XG Firewall High Availability, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

system ha show logs
Bu komutu kullanarak HA üzerinde oluşan logların çıktılarına ulaşabilirsiniz.

Sophos XG Firewall,Sophos XG Firewall High Availability, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Sophos XG Firewall Active-Passive High Availability (HA) & Cisco Link Aggregation (LAG) Yapılandırması;

Sophos XG Firewall & Cisco Switch arasında HA Active Passive LAG yapılandırmak için aşağıdaki yazılarımı referans olarak kullanabilirsiniz;

Sophos XG Firewall Link Aggregation (LAG) / Cisco Switch Etherchannel VLAN Yapılandırması
https://www.firatmeray.com/sophos-xg-firewall-cisco-link-aggregation-lag-vlan-yapilandirmasi/

Sophos XG Firewall Link Aggregation (LAG) / Cisco Switch Etherchannel Yapılandırması
https://www.firatmeray.com/sophos-xg-firewall-lag-cisco-switch-etherchannel-yapilandirmasi/

Sophos XG Firewall HA ve LAG Örnek Seneryolar;

Sophos XG Firewall,Sophos XG Firewall High Availability, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Referanslar aldığım yazılar;

https://community.sophos.com/kb/en-us/125612
https://community.sophos.com/kb/en-us/123174
https://community.sophos.com/kb/en-us/120973
https://community.sophos.com/kb/en-us/122820

Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist