Uplink-Ausgleich

Mit der Uplink-Ausgleich-Funktion können Sie mehrere Internetverbindungen zusammenfassen, entweder um Zusatzverbindungen bei einem Ausfall zu haben oder um die Last auf mehrere Verbindungen zu verteilen. Die Kombination von bis zu 32 unterschiedlichen Internetverbindungen wird unterstützt. Beachten Sie, dass mit dem BasicGuard-Abonnement nur zwei Uplinks kombiniert werden können.

Der Uplink-Ausgleich ist automatisch aktiviert, wenn Sie einer Schnittstelle zusätzlich zu einer bereits vorhandenen Schnittstelle mit Standardgateway ein Standardgateway zuweisen. Alle Schnittstellen mit Standardgateway werden zum Feld Aktive Schnittstellen hinzugefügt und der Uplink-Ausgleich wird ab diesem Zeitpunkt automatisch durchgeführt. Weitere Schnittstellen mit Standardgateway werden ebenfalls automatisch hinzugefügt.

Auf der Registerkarte Multipathregeln können Sie konkrete Regeln für den auszugleichenden Datenverkehr definieren.

Um den Uplink-Ausgleich manuell einzurichten, gehen Sie folgendermaßen vor:

  1. Aktivieren Sie den Uplink-Ausgleich.

    Klicken Sie auf den Schieberegler.

    Der Schieberegler wird gelb und der Abschnitt Uplink-Ausgleich kann nun bearbeitet werden.

  2. Wählen Sie aktive Schnittstellen aus.

    Fügen Sie eine oder mehrere Schnittstellen hinzu, indem Sie auf das Ordnersymbol klicken und danach Schnittstellen aus der Objektleiste herüberziehen. Bei mehreren Schnittstellen wird der von Clients kommende Verkehr über die Quelle ausgeglichen, d. h., der gesamte von einer Quelle kommende Verkehr verwendet dieselbe Schnittstelle, während Verkehr von anderen Quellen zu anderen Schnittstellen geleitet werden kann. Wenn eine der Schnittstellen nicht erreichbar ist, wird der Verkehr von der/den verbleibenden Schnittstelle(n) übernommen.

    Hinweis – Wenn der Uplink-Ausgleich automatisch aktiviert wurde, enthält die Liste Aktive Schnittstellen zunächst bereits alle Schnittstellen mit Standardgateway. Wenn Sie eine Schnittstelle aus der Liste entfernen, wird das Auswahlkästchen Standardgateway der Schnittstelle automatisch deaktiviert. Daher muss jede Schnittstelle mit Standardgateway entweder auf dieser Liste oder im Feld Standby-Schnittstellen unten aufgeführt sein. Sie können jedoch Schnittstellen ohne Standardgateway hinzufügen und die Standardgatewayadresse später eingeben.

    Hinweis – Die Reihenfolge der Schnittstellen ist wichtig: In Konfigurationen, in denen nur eine Schnittstelle verwendet werden kann, sowie für Pakete, die von der UTM selbst gesendet werden, wird standardmäßig die erste verfügbare aktive Schnittstelle verwendet. Sie können die Reihenfolge der Schnittstellen mit Hilfe der Sortieren-Symbole ändern.

    Über das Symbol „Planer bearbeiten“ in der Kopfzeile des Feldes können Sie das Verteilungsverhalten und die Schnittstellenbindung der aktiven Schnittstellen festlegen:

    Gewichtung: Die Gewichtung kann auf einen Wert zwischen 0 und 100 festgelegt werden und gibt an, wie viel Datenverkehr eine Schnittstelle im Vergleich zu allen anderen Schnittstellen verarbeitet. Hierfür wird ein gewichteter Round-Robin-Algorithmus verwendet. Ein höherer Wert bedeutet, dass mehr Datenverkehr über die jeweilige Schnittstelle geroutet wird. Die Werte werden im Verhältnis zueinander bewertet, daher muss ihre Summe nicht 100 ergeben. So ist z. B. eine Konfiguration möglich, bei der Schnittstelle 1 den Wert 100, Schnittstelle 2 den Wert 50 und Schnittstelle 3 den Wert 0 hat. Dabei bearbeitet Schnittstelle 2 nur halb so viel Datenverkehr wie Schnittstelle 1, während Schnittstelle 3 nur aktiv wird, wenn keine der anderen Schnittstellen verfügbar ist. Der Wert Null bedeutet, dass grundsätzlich eine andere Schnittstelle mit höherem Wert gewählt wird, wenn diese verfügbar ist.

    Bindung: Die Schnittstellen-Bindung ist ein Verfahren, das gewährleistet, dass Datenverkehr mit bestimmten Attributen immer über dieselbe Uplink-Schnittstelle geroutet wird. Die Bindung hat eine Zeitbeschränkung von einer Stunde.

  3. Wählen Sie Standby-Schnittstellen aus (optional).

    Hier können Sie optional Ersatz-Schnittstellen hinzufügen, die nur in Aktion treten, wenn alle aktiven Schnittstellen unerreichbar sind. In diesem Fall wird die erste verfügbare Standby-Schnittstelle entsprechend der gegebenen Reihenfolge verwendet. Sie können die Reihenfolge der Schnittstellen mit Hilfe der Sortieren-Symbole ändern.

  4. Ändern Sie die Überwachungseinstellungen (optional).

    Automatische Überwachung ist standardmäßig aktiviert, um ein mögliches Versagen einer Schnittstelle zu entdecken. Dies bedeutet, dass der Zustand aller Uplink-Schnittstellen überwacht wird, indem ein bestimmter Host im Internet in einem Abstand von 15 Sekunden angesprochen wird. Standardmäßig ist der überwachende Host der dritte Pings zulassende Hop auf dem Weg zu einem der Root-DNS-Server. Sie können die Hosts zum Überwachen der Server auch selbst bestimmen. Für diese Hosts können Sie einen anderen Dienst als Ping auswählen und Überwachungsintervall und -zeitüberschreitung anpassen:

    Sobald die überwachenden Hosts keine Antwort mehr senden, wird die entsprechende Schnittstelle als tot betrachtet und nicht mehr für die Verteilung verwendet. Auf dem Dashboard wird dann in der Spalte Link der Schnittstelle Fehler angezeigt.

    Hinweis – Automatisch werden dieselben Überwachungseinstellungen sowohl für die Uplink-Überwachung (Uplink-Überwachung > Erweitert) als auch für den Uplink-Ausgleich (Schnittstellen > Uplink-Ausgleich) verwendet.

  5. Klicken Sie auf Übernehmen.

    Ihre Einstellungen werden gespeichert.

    Der Schieberegler wird grün.

Eine neue virtuelle Schnittstelle namens Uplink Interfaces wird automatisch angelegt und steht anderen Funktionen von Sophos UTM zur Verfügung, z. B. IPsec-Regeln. Die virtuelle Netzwerkschnittstelle Uplink-Schnittstellen umfasst alle Uplink-Schnittstellen, die der Schnittstellen-Liste hinzugefügt wurden.

Eine neue virtuelle Schnittstelle namens Primäre Uplink-Adressen wird automatisch angelegt und steht anderen Funktionen von Sophos UTM zur Verfügung, z. B. Firewallregeln. Sie bezieht sich auf die Hauptadressen sämtlicher Uplink-Schnittstellen.

Im Fall des Versagens einer Schnittstelle können offene VPN-Tunnel automatisch über die nächste verfügbare Schnittstelle wiederhergestellt werden, vorausgesetzt, dass DynDNS verwendet wird oder der entfernte Server die IP-Adressen aller Uplink-Schnittstellen akzeptiert. Voraussetzung ist, dass die IPsec-Regel die Uplink-Schnittstellen als Lokale Schnittstelle verwendet.

Überwachungs-Hosts definieren

Um eigene Hosts für die Überwachung des Server-Pools zu definieren, gehen Sie folgendermaßen vor:

  1. Deaktivieren Sie das Auswahlkästchen Automatische Überwachung.

    Das Feld Überwachende Hosts kann nun bearbeitet werden.

  2. Fügen Sie die überwachenden Hosts hinzu.

    Wählen Sie einen oder mehrere Hosts aus oder fügen Sie Hosts hinzu, die anstelle einer zufälligen Auswahl an Hosts die Überwachung übernehmen sollen. Wenn eine Schnittstelle von mehr als einem Host überwacht wird, wird sie nur als tot betrachtet, wenn keiner der überwachenden Hosts in der festgelegten Zeitspanne antwortet. Das Hinzufügen einer Definition wird auf der Seite Definitionen & Benutzer > Netzwerkdefinitionen > Netzwerkdefinitionen erläutert.

    Hinweis – Wenn ein ausgewählter Host an eine Schnittstelle gebunden ist, wird er nur zur Überwachung dieser Schnittstelle verwendet. Ist ein Host nicht an eine Schnittstelle gebunden, wird er zur Überwachung aller Schnittstellen verwendet. Schnittstellen, die nicht von den ausgewählten Hosts überwacht werden, werden automatisch überwacht.

    Klicken Sie auf das Symbol Überwachungseinstellungen bearbeiten im Kopf des Feldes, um die Überwachungsdetails festzulegen:

    Überwachungstyp: Wählen Sie das Dienstprotokoll für die Überwachungsprüfungen aus. Wählen Sie für die Dienstüberwachung entweder TCP (TCPClosed-Verbindungsaufbau), UDP (UDPClosed-Verbindungsaufbau), Ping (ICMPClosed-Ping), HTTP Host (HTTPClosed-Anfragen) oder HTTPS Host (HTTPSClosed-Anfragen). Wenn Sie UDP verwenden, wird zunächst eine Ping-Anfrage versendet. Ist diese erfolgreich, folgt ein UDP-Paket mit der Payload 0. Ist der Ping erfolglos oder der ICMP-Port nicht erreichbar, gilt die Verbindung als ausgefallen.

    Port (nur bei den Überwachungstypen TCP und UDP): Port-Nummer, an die die Anfrage gesendet wird.

    URL (optional, nur bei Überwachungstypen HTTP/S Host): Anzufragende URL. Sie können statt den Standard-Ports 80 und 443 auch andere Ports verwenden, indem Sie die Port-Information an die URL anhängen, z. B. http://beispiel.domaene:8080/index.html. Wenn keine URL angegeben ist, wird das Wurzelverzeichnis angefragt.

    Intervall: Geben Sie eine Zeitspanne in Sekunden an, in der die Hosts überprüft werden.

    Zeitüberschreitung: Geben Sie einen maximalen Zeitraum in Sekunden an, in dem die überwachenden Hosts eine Antwort senden können. Wenn keiner der überwachenden Hosts einer Schnittstelle in diesem Zeitraum antwortet, wird die Schnittstelle als tot betrachtet.

  3. Klicken Sie auf Übernehmen.

    Ihre Einstellungen werden gespeichert.