Gateway-Lastverteilung und Failover konfigurieren

Konfigurieren Sie die Sophos Firewall für Lastausgleich und Failover für mehrere ISP-Uplinks basierend auf der Anzahl der auf dem Gerät verfügbaren WAN-Ports.

Einführung

Wenn Sie über mehrere ISP-Verbindungen verfügen, können Sie jede Verbindung an einer physischen WAN-Schnittstelle terminieren. Die Firewall leitet den Datenverkehr zur ISP-Verbindung über das für diese Verbindung konfigurierte Gateway weiter.

Sie können ein Gateway als aktiv oder als Backup konfigurieren.

• Aktiv-Aktiv: Die Sophos Firewall verteilt den Datenverkehr gleichmäßig auf die aktiven Gateways. Standardmäßig wird ein neues Gateway als aktives Gateway hinzugefügt. Dadurch erfolgt der Lastausgleich automatisch zwischen den bestehenden und den neu hinzugefügten ISP-Verbindungen. Die Sophos Firewall verwendet einen gewichteten Round-Robin-Algorithmus für den Lastausgleich und verteilt den Datenverkehr anhand der für die Verbindungen festgelegten Gewichtung auf die ISP-Verbindungen.
• Aktives Backup: Sie konfigurieren ein oder mehrere Gateways als Backup-Gateways. Fällt ein aktives Gateway aus, wird der Datenverkehr automatisch auf ein verfügbares Backup-Gateway umgeleitet.

Lastverteilung und Failover werden sowohl für IPv4- als auch für IPv6-Datenverkehr unterstützt. Sie können zwei IPv4-Gateways oder zwei IPv6-Gateways verwenden.

Das Netzwerkdiagramm zeigt, dass eine ISP-Verbindung an Port B terminiert ist und Port D ein ungebundener Port ist. Die folgenden Anweisungen beschreiben, wie eine weitere ISP-Uplink-Verbindung an Port D terminiert wird.

Neues Gateway hinzufügen

Sie müssen einen ungebundenen physischen Port konfigurieren. In diesem Beispiel wird durchgehend Port D verwendet.

Um ein neues Gateway hinzuzufügen, gehen Sie wie folgt vor:

1. Gehe zu Netzwerk > Schnittstelle.

2. Wählen Sie einen nicht belegten Port aus und klicken Sie darauf, um dessen Einstellungen zu bearbeiten.

   

3. Geben Sie die folgenden Informationen für Ihre neue Benutzeroberfläche ein:

   • Netzwerkzone: Wählen VAN.
   • IPv4-Konfiguration: Bei Bedarf einschalten.
   • IP-Zuweisung
   • IPv4/Netzwerkmaske
   • Gateway-Name
   • Gateway-ID

4. Klicken Speichern.

   Beispieleinstellungen für Port D:

   

   Das Gateway wird der Liste der Gateways hinzugefügt.

Lastverteilung konfigurieren

Sie müssen den Lastausgleich für Ihr neues Gateway konfigurieren.

Die Sophos Firewall fügt ein neues Gateway als aktives Gateway hinzu. Der Lastausgleich zwischen bestehenden und neuen Verbindungen wird automatisch aktiviert.

Die Sophos Firewall verwendet einen gewichteten Round-Robin-Algorithmus für den Lastausgleich. Dabei wird jeder Verbindung ein Gewicht zugewiesen. Die Sophos Firewall verteilt den Datenverkehr proportional zu diesem Gewicht auf die Verbindungen.

Einem Glied ein Gewicht zuweisen:

1. Gehe zu Netzwerk > WAN-Verbindungsmanager.

   Bearbeiten Sie das Gateway.

   PortD-Gateway bearbeiten:

   

2. Geben Sie ein Gewicht ein.

   Beispielgewicht für Port D:

   

Gateway-Failover konfigurieren

Sie können Gateway-Failover sowohl in Aktiv-Aktiv- als auch in Aktiv-Backup-Konfigurationen einrichten.

In einer Aktiv-Aktiv-Konfiguration wird der Datenverkehr bei Ausfall eines der aktiven Gateways auf das andere aktive Gateway umgeleitet. Sie können Failover-Bedingungen festlegen, um zu bestimmen, wie das ausgefallene Gateway erkannt werden soll. Beim Hinzufügen eines Gateways fügt die Sophos Firewall eine Standard-Failover-Regel hinzu: Kann die Sophos Firewall die IP-Adresse des neu hinzugefügten Gateways nicht anpingen, gilt das Gateway als ausgefallen.

Bei einem Verbindungsausfall prüft die Sophos Firewall regelmäßig den Verbindungsstatus, um die Verbindung nach Wiederherstellung des Internetdienstes schneller wiederherstellen zu können. Sobald die Verbindung wiederhergestellt und das Gateway wieder verfügbar ist, wird der Datenverkehr automatisch über das aktive Gateway umgeleitet.

Die Sophos Firewall benachrichtigt Administratoren per E-Mail über alle Änderungen des Gateway-Status. Diese Informationen können Sie auch im Protokoll-Viewer einsehen.

In einer Aktiv-Backup-Konfiguration muss der Datenverkehr auf ein Backup-Gateway umgeleitet werden, wenn ein aktives Gateway ausfällt.

Um ein Gateway-Failover einzurichten, wählen Sie aus, ob Sie Failover-Bedingungen konfigurieren oder auf ein Backup-Gateway umleiten möchten.

• Um die Ausfallbedingungen zu konfigurieren, gehen Sie wie folgt vor:

  1. Klicken Hinzufügen Sie können eine neue Failover-Regel hinzufügen. Sie können auch eine bestehende Regel bearbeiten.

  2. Geben Sie die Details für die Regel ein.

     Dieser Screenshot zeigt eine Beispielregel. Die Regel besagt, dass das Gateway als ausgefallen gilt, wenn die Sophos Firewall die Gateway-IP-Adresse 172.16.16.15 nicht anpingen oder keine TCP-Verbindung über Port 80 zu 4.2.2.2 herstellen kann.

     

     Notiz

     Bei WAN- oder ISP-basierten Gateways muss eine bekannte öffentliche IP-Adresse wie 8.8.8.8 oder 8.8.4.4 angegeben werden, um ein ordnungsgemäßes Failover zu gewährleisten. Bei benutzerdefinierten Gateways für routenbasierte VPNs (RBVPN), RED und MPLS-Schnittstellen muss eine IP-Adresse hinter dem Gateway angegeben werden, um ein ordnungsgemäßes Failover zu gewährleisten.

• Um den Datenverkehr auf ein Backup-Gateway umzuleiten, gehen Sie wie folgt vor:

  1. Gehe zu Netzwerk > WAN-Verbindungsmanager.

  2. Bearbeiten Sie das Gateway.

     Bearbeiten Sie das PortD-Gateway:

     

  3. Wählen Backup als Typ.

  4. Konfigurieren Sie das Gateway so, dass es startet, wenn ein aktives Gateway ausfällt.

  5. Es soll das Gewicht vom ausgefallenen Gateway übernehmen.

     Beispielhafte Backup-Einstellungen für Port D:

     

  6. Klicken Speichern: Fällt ein aktives Gateway aus, wird das Backup-Gateway aktiviert und übernimmt dessen Gewichtung.

Weitere Ressourcen

• WAN-Verbindungsmanager
• Bearbeiten Sie ein WAN-Gateway
• Schnittstellen