Konfigurieren des Gateway-Lastausgleichs und -Failovers

Konfigurieren Sie die Sophos Firewall für Lastenausgleich und Failover für mehrere ISP-Uplinks basierend auf der Anzahl der auf dem Gerät verfügbaren WAN-Ports.

Einführung

Wenn Sie über mehrere ISP-Verbindungen verfügen, können Sie jede Verbindung an einer physischen WAN-Schnittstelle terminieren. Die Firewall leitet den Datenverkehr über das für die Verbindung konfigurierte Gateway an die ISP-Verbindung weiter.

Sie können ein Gateway als aktiv oder als Backup konfigurieren.

• Aktiv-Aktiv: Die Sophos Firewall verteilt den Datenverkehr zwischen den aktiven Gateways. Standardmäßig wird ein neues Gateway als aktives Gateway hinzugefügt. Dadurch erfolgt automatisch ein Lastausgleich zwischen den bestehenden und neu hinzugefügten ISP-Verbindungen. Die Sophos Firewall verwendet einen gewichteten Round-Robin-Algorithmus für den Lastausgleich und verteilt den Datenverkehr basierend auf der für die Verbindungen festgelegten Gewichtung auf die ISP-Verbindungen.
• Aktive Sicherung: Sie konfigurieren ein oder mehrere Gateways als Backup-Gateways. Fällt ein aktives Gateway aus, wird der Datenverkehr auf ein verfügbares Backup-Gateway umgeleitet.

Lastausgleich und Failover werden sowohl für IPv4- als auch für IPv6-Verkehr unterstützt. Sie können zwei IPv4-Gateways oder zwei IPv6-Gateways verwenden.

Das Netzwerkdiagramm zeigt, dass ein ISP-Link an Port B terminiert ist und Port D ein ungebundener Port ist. Die folgenden Anweisungen zeigen, wie Sie einen weiteren ISP-Uplink an Port D terminieren.

Hinzufügen eines neuen Gateways

Sie müssen einen ungebundenen physischen Port konfigurieren. In diesem Beispiel wird durchgehend PortD verwendet.

Um ein neues Gateway hinzuzufügen, gehen Sie wie folgt vor:

1. Gehe zu Netzwerk > Schnittstelle.

2. Wählen Sie einen ungebundenen Port aus und klicken Sie darauf, um seine Einstellungen zu bearbeiten.

   

3. Geben Sie die folgenden Informationen für Ihre neue Schnittstelle ein:

   • Netzwerkzone: Wählen VAN.
   • IPv4-Konfiguration: Bei Bedarf einschalten.
   • IP-Zuweisung
   • IPv4/Netzwerkmaske
   • Gateway-Name
   • Gateway-ID

4. Klicken Speichern.

   Beispieleinstellungen für PortD:

   

   Das Gateway wird der Gateway-Liste hinzugefügt.

Konfigurieren des Lastenausgleichs

Sie müssen den Lastenausgleich für Ihr neues Gateway konfigurieren.

Die Sophos Firewall fügt ein neues Gateway als aktives Gateway hinzu. Der Lastenausgleich zwischen bestehenden und neuen Links wird automatisch aktiviert.

Die Sophos Firewall verwendet einen gewichteten Round-Robin-Algorithmus für den Lastenausgleich. Dabei wird jedem Link eine Gewichtung zugewiesen. Die Sophos Firewall verteilt den Datenverkehr proportional zur Gewichtung auf die Links.

So weisen Sie einem Link eine Gewichtung zu:

1. Gehe zu Netzwerk > WAN-Link-Manager.

   Bearbeiten Sie das Gateway.

   PortD-Gateway bearbeiten:

   

2. Geben Sie ein Gewicht ein.

   Beispielgewicht für PortD:

   

Konfigurieren des Gateway-Failovers

Sie können Gateway-Failover sowohl in Active-Active- als auch in Active-Backup-Konfigurationen einrichten.

In einer Active-Active-Konfiguration wird der Datenverkehr bei Ausfall eines der aktiven Gateways an das andere aktive Gateway umgeleitet. Sie können Failover-Bedingungen festlegen, um festzulegen, wie das ausgefallene Gateway erkannt werden soll. Beim Hinzufügen eines Gateways fügt Sophos Firewall eine Standard-Failover-Regel hinzu: Wenn Sophos Firewall die neu hinzugefügte Gateway-IP-Adresse nicht anpingen kann, gilt das Gateway als ausgefallen.

Bei einem Verbindungsausfall prüft die Sophos Firewall regelmäßig die Verbindungsintegrität, um diese bei Wiederherstellung des Internetdienstes schneller wiederherstellen zu können. Sobald die Verbindung wiederhergestellt ist und das Gateway wieder aktiv ist, wird der Datenverkehr automatisch über das aktive Gateway umgeleitet.

Die Sophos Firewall benachrichtigt Administratoren per E-Mail über alle Änderungen des Gateway-Status. Sie können dies auch im Protokoll-Viewer sehen.

Wenn in einer Active-Backup-Konfiguration ein aktives Gateway ausfällt, müssen Sie den Datenverkehr auf ein Backup-Gateway umleiten.

Um ein Gateway-Failover einzurichten, wählen Sie, ob Sie Failover-Bedingungen konfigurieren oder zu einem Backup-Gateway umleiten möchten.

• Gehen Sie folgendermaßen vor, um Failover-Bedingungen zu konfigurieren:

  1. Klicken Hinzufügen , um eine neue Failover-Regel hinzuzufügen. Sie können auch eine vorhandene Regel bearbeiten.

  2. Geben Sie die Details für die Regel ein.

     Dieser Screenshot zeigt eine Beispielregel. Die Regel besagt, dass das Gateway als ausgefallen gilt, wenn die Sophos Firewall die Gateway-IP-Adresse 172.16.16.15 nicht anpingen oder keine TCP-Verbindung über Port 80 zu 4.2.2.2 herstellen kann.

     

     Notiz

     Für WAN- oder ISP-basierte Gateways müssen Sie eine bekannte öffentliche IP-Adresse eingeben, um ein ordnungsgemäßes Failover zu gewährleisten, z. B. 8.8.8.8 oder 8.8.4.4. Für benutzerdefinierte Gateways, die für die Schnittstellentypen routenbasiertes VPN (RBVPN), RED und MPLS hinzugefügt wurden, müssen Sie eine IP-Adresse hinter dem Gateway eingeben, um ein ordnungsgemäßes Failover zu gewährleisten.

• Um den Datenverkehr auf ein Backup-Gateway umzuleiten, gehen Sie wie folgt vor:

  1. Gehe zu Netzwerk > WAN-Link-Manager.

  2. Bearbeiten Sie das Gateway.

     Bearbeiten Sie das PortD-Gateway:

     

  3. Wählen Sicherung als Typ.

  4. Stellen Sie das Gateway so ein, dass es gestartet wird, wenn ein aktives Gateway ausfällt.

  5. Stellen Sie es so ein, dass es das Gewicht vom ausgefallenen Gateway übernimmt.

     Beispiel-Sicherungseinstellungen für Port D:

     

  6. Klicken SpeichernWenn ein aktives Gateway ausfällt, wird das Backup-Gateway aktiviert und übernimmt die Gewichtung des ausgefallenen Gateways.

Weitere Ressourcen

• WAN-Link-Manager
• Gatewaydetails bearbeiten
• Schnittstellen