Sophos XG Firewall Link Aggregation (LAG) / Cisco Switch Etherchannel Yapılandırması

Merhabalar,

Bu makalemde sizlerle Sophos XG Firewall ve Cisco 2960x Serisi arasında Link Aggregation (LAG) \ Etherchannel yapılandırmasını paylaşıyorum.

Öncelikle Link Aggregation Control Protocole (802.3ad LACP) değinecek olursak interface arayüzlerimizi mantıksal bir küme içerisinde birleştirip Veri Transferini(Throughput) arttırmaya ve herhangi bir link kaybında yedeklilik sağlamak amacıyla kullandığımız bir protokoldür. LAG teknolojisi tüm üreticilerde farklı isimlerde kullanılır. (Örneğin; Windows Nic Teaming, Linux Bonding, Cisco EtherChannel, Huawei Eth-Trunking, HP Link Aggregation, Sophos LAG)

Etherchannel teknolojisinde fiziksel olarak birden fazla port olmasına karşın mantıksal olarak tek bir port vardır. Normalde üniteler arasında birden fazla port kullanılırsa döngü (loop) oluşur fakat STP ve türleri LAG portlarında engelleme yapmayacaktır.

Bu makalemizdeki yapımıza değinecek olursak;

* Ortamımızda Vlan bulunmuyor bütün üniteler Default Vlan üzerinden yönetiliyor\konuşuyor. Eğer ortamınızda Vlan varsa aşağıdaki link üzerinden LACP Vlan makaleme göz atabilirsiniz
https://www.firatmeray.com/sophos-xg-firewall-cisco-link-aggregation-lag-vlan-yapilandirmasi
* DHCP Sophos XG Firewall üzerinde olacak.
* 4 Port Sophos XG Firewall üzerinde, 4 Portta Cisco Switch üzerinde Link Grubuna dahil edeceğiz böylelikle 4Gbps veri transferi elde edeceğiz.

Yapımız aşağıdaki gibi olacak Sophos 5-6-7-8 ve Cisco 45-46-47-48 Portlarını gruplayacağız.

Sophos XG Firewall,Sophos XG Firewall LAG, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

LAG Link Group oluşturmak için Configure\Network\Interface\Add interface\Add LAG alanına tıklıyoruz.

Sophos XG Firewall,Sophos XG Firewall LAG, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

LAG arayüzümüze isim verip Member interface alanına LAG’a dahil etmek istediğimiz interface portlarını ekleyip Mode alanından 802.3ad (LACP) seçip Network Zone olarak Lan Zonumuzu seçiyoruz.

4 LAG Portlarımız tek bir ip üzerinden konuşacağı için Local Gateway ipmizi tanımlıyoruz.

Sophos XG Firewall,Sophos XG Firewall LAG, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Etherchannel mantığında bütün Port arayüzleri aynı hızda olmak zorunda bu yüzden Cisco ve Sophos üzerinde oluşturacağımız LAG grubunun interface speed değerini 1000 Mbps = 1Gbps Full Duplex seçiyoruz.

Ünitemiz Default Vlan olarak konuştuğu için ve Vlan Routing olmadığı için hash policy alanını Layer2 olarak seçiyoruz.

Sophos XG Firewall,Sophos XG Firewall LAG, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Ayarlarımızı kaydettikten sonra LAG Interface görüntümüz aşağıdaki gibi olacaktır.

Sophos XG Firewall,Sophos XG Firewall LAG, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yapımız gereği DHCP tanımlaması yapıp interface olarak yarattığımız LAG arayüzümüzü seçiyoruz.

Sophos XG Firewall,Sophos XG Firewall LAG, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Cisco Switch Config;

hostname Kabinet_Backbone
no ip http server
no ip http secure-server
no ip domain-lookup
cdp run

spanning-tree mode rapid-pvst

service password-encryption
enable secret  password
username sshadmin privilege 15 secret password
aaa new-model
aaa authentication login default local-case
aaa local authentication attempts max-fail 5
ip domain-name aktuelsistem.com
crypto key generate rsa
ip ssh version 2
ip ssh time-out 30
ip ssh logging events
ip ssh maxstartups 10
ip ssh authentication-retries 5

line vty 0 4
transport input ssh
access-class ACL-SSH in
exec-timeout 15

ip access-list standard ACL-SSH
permit 192.168.99.0 0.0.0.255 log
deny any

interface range gigabitEthernet 1/0/45-48
channel-group 1 mode on
no shutdown

interface port-channel 1
speed 1000
switchport mode access
switchport access vlan 1
description Switch To Firewall LAG
no shutdown

*** Bildiğiniz üzere Switch ilk açıldığında yada Switche bir bilgisayar bağlandığında Loop(Döngü) oluşmasını engellemek için 15 saniye dinleme15 saniye öğrenme ile toplamda 30 saniyelik beklemenin artından port aktif hale gelir. Bu süreyi kısaltmak için Portfast komutu uygulamaktayız böylelikle Switch üzerine takılan bir port dinlenmeden ve öğrenilmeden direk up edilir. Client Portlarınıza herhangi bir döngüye neden olacak herhangi bir cihazın takılmayacağından eminseniz Portfast yapmanızda fayda var.

interface range gigabitEthernet 1/0/1-44
switchport mode access
switchport access vlan 1
spanning-tree portfast
no shutdown

*** Not: Varsayılan olarak kutudan çıkardığınız bütün üreticilerin Switchleri Default Vlana dahil. Yukarıdaki ayar daha önceden config atılan üniteler için geçerli.

interface vlan 1
ip address 192.168.1.2 255.255.255.0
no shutdown

ip default-gateway 192.168.1.1

Yararlı Komutlar
show interfaces status
show interfaces summary
show interfaces gigabitEthernet 1/0/48
show interfaces gigabitEthernet 1/0/48 summary
show interfaces gigabitEthernet 1/0/48 status
show running-config interface gigabitEthernet 1/0/48
show etherchannel summary
show etherchannel port
show etherchannel detail
show ip default-gateway

Cisco Switch LAG çıktıları aşağıdaki gibidir;

Sophos XG Firewall LAG, Cisco Switch Etherchannel, Sophos XG Firewall Link Aggregation (LAG), fırat meray

show etherchannel summary

Sophos XG Firewall LAG, Cisco Switch Etherchannel, Sophos XG Firewall Link Aggregation (LAG), fırat meray

show etherchannel port

Sophos XG Firewall LAG, Cisco Switch Etherchannel, Sophos XG Firewall Link Aggregation (LAG), fırat meray

IP Test

Sophos XG Firewall LAG, Cisco Switch Etherchannel, Sophos XG Firewall Link Aggregation (LAG), fırat meray

Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist