Sophos XG Firewall da HA Yapılandırma
High Availability (HA), güç, donanım veya yazılım arızası durumunda kesintisiz hizmet sağlamak için kullanılan bir cluster teknolojisidir.
Sophos XG Firewall cihazları Active-Active ve Active-Passive HA modlarını destekler. Biz bu makalemizde, Sophos XG Firewall cihazları üzende, HA modlarını yapılandırmayı ele alacağız.
Aktif-Aktif modda, adından da anlaşılacağı gibi iki cihazda aktiftir. Trafiği Primary ve Auxiliary Cihaz işler. Yük dengelemeye Birincil Cihaz tarafından karar verilir. Birinci cihazda herhangi bir arıza veya kesinti olması durumunda, yardımcı cihaz yükü devralır.
Aktif-Pasif modunda, birincil cihaz trafiği işler ikinci cihaz pasif moddadır. Birinci cihazda herhangi bir arıza veya kesinti olması durumunda, yardımcı cihaz yükü devralır.
Öncelikle HA Yapabilmek için;
- İki cihazda aynı model ve aynı firmware versionuna sahip olmalıdır.
- Her iki cihazda register edilmiş olmalıdır.
- Her iki cihazdada aynı sayıda Interface olmalıdır.
- Aktif-Aktif modda iki cihaz içinde ayrı ayrı lisans gerekmektedir. Her iki cihazda da aynı lisans türü olmalıdır.
- Aktif-Pasif modda bir tane lisans yeterlidir, ikinci cihaz için lisans gerekmez.
- Her iki cihazda da benzersiz bir ip ye sahip, dedicated bir HA Portu Yapılandırılmalıdır. Ayrıca HA bağlantısı için ayrılan interfaceler, her iki cihaz içinde aynı porta ve DMZ zonunda olmalıdır.(Örneğin birinci cihazda 6. Port seçildiyse, ikinci cihazdada 6. Port seçilmelidir). Bu interfaceler le iki cihaz cross veya düz kabloyla birbirine bağlanmalıdır.
- Aktif-Aktif modda yapılandırılacak ise WAN zonundaki interface lerde pppoe, dhcp veya Cellular Wan configurasyonu devre dışı bırakılmalıdır.
- Kablosuz XG modelleri, yani ürün kodunun sanunda W olanlar, HA desteklememektedir.
Şimdi örnek olarak Active-Pasive Ha yapılandırmasına bakalım.
İlk olarak Network>Interface kısmından birinci ve ikinci cihazlarımız üzerinde DMZ zonunda birer HA portu oluşturuyoruz
ve özel birer ip veriyoruz. Bu IP lerin aynı Subnet te olmasına dikkat ediyoruz.
- Cihaz
İki cihazda da belirlediğimiz portları Çapraz veya düz kabloyla birbirine bağlıyoruz.
Sonraki adımda Administration > Device Access kısmına gidiyoruz ve DMZ zonunda SSH ı aktif hale getiriyoruz.
Bu adımda
ikinci cihazda System Services > High Availability kısmına geliyoruz.
HA Configuration Mode: Active-Pasive
Initial HA Device State: Auxilliary seçelim
Passphrase: İki cihaza da gireceğimiz bir şifre belirleyip yazalım
Dedicated HA Link Port: Yukarıda HA için oluşturduğumuz port
Şimdiki adımda birinci cihazda System Services > High Availability kısmına geliyoruz, ve bilgileri aşağıdaki gibi dolduruyoruz.
HA Configuration Mode: Active-Passive
Initial HA Device State: Primary seçelim
Passphrase: İkinci cihazda oluşturup girdiğimiz şifreyi yazalım
Dedicated HA Link Port: Yukarıda HA için oluşturduğumuz portu seçelim. Burda iki cihazdada aynı portun seçili olmasına dikkat edelim. Biz bu örnekte Port 6 yı seçmiştik
Peer HA Link IPv4: HA için yapılandırılan Portun IP si.
Peer Administration Port: Yardımcı cihazın yönetim portu.
Peer Administration IP: Yardımcı cihazın yönetim ip adresi. Bu ip birinci cihazın ip adresinden farklı olmalıdır. Gerektiğinde system yöneticisi bu adres üzerinden yardımcı cihaza erişebilir.
Select ports to be monitored: HA durumu için izlenecek portları seçin. Burada seçeceğimiz tüm portların kabloları takılı olmalıdır. Ayrıca HA için oluşturduğumuz port seçilmemelidir.
Ayarları tamamlamak için Enable HA yı tıklayın.
Birincil ve yardımcı cihaz arasında HA kurulduktan sonra, Birincil Cihazın tüm konfigürasyonları Yardımcı Cihaz ile senkronize edilir ve ilave konfigürasyon gerekli değildir.
HA yapılandırıldıktan sonra, System Services > High Availability şu şekilde görülecektir.
Ayrıca Conrol Center da HA bağlantı durumunu görebilirsiniz.
Consol üzerinden HA durumunu görmek isterseniz,
- Admin şifresi ile giriş yaparak 4. Seçenekte yer alan Device Console a giriş yapıp aşağıdaki komutu yazabilirsiniz.
system ha show details
Son Yorumlar