Cookie-Einstellungen
Diese Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt.
Konfiguration
Technisch erforderlich
Diese Cookies sind für die Grundfunktionen des Shops notwendig.
"Alle Cookies ablehnen" Cookie
"Alle Cookies annehmen" Cookie
Ausgewählter Shop
CSRF-Token
Cookie-Einstellungen
Individuelle Preise
Kundenspezifisches Caching
PayPal-Zahlungen
Session
Währungswechsel
Komfortfunktionen
Diese Cookies werden genutzt um das Einkaufserlebnis noch ansprechender zu gestalten, beispielsweise für die Wiedererkennung des Besuchers.
Merkzettel
Popup zu aktuellen Hinweisen nicht mehr anzeigen
Statistik & Tracking
Endgeräteerkennung
Google Analytics
Partnerprogramm
Filter schließen

Konfiguration

02.12.16 00:00

Die HA-Funktionalität von Sophos UTM umfasst vier Grundeinstellungen:

  • Aus
  • Automatische Konfiguration
  • Hot-Standby (aktiv-passiv)
  • Cluster (aktiv-aktiv)

Automatische Konfiguration: Sophos UTM verfügt über eine Plug-and-Play-Konfigurationsoption speziell für UTM-Appliances, die es ermöglicht, ein Hot-Standby-System bzw. ein Cluster aufzubauen, ohne jedes Gerät einzeln konfigurieren oder manuell installieren zu müssen, das zum Cluster hinzugefügt werden soll. Dazu verbindet man einfach die HA-Schnittstellen (eth3) der UTM-Appliances miteinander und wählt auf allen Geräten jeweils die Option Automatische Konfiguration.

Hinweis – Automatische Konfiguration ist standardmäßig nur auf Appliances mit einem festen eth3-Port aktiviert. Auf Appliances, die nur modulare (entfernbare) FlexiPorts bieten, ist diese Funktion standardmäßig deaktiviert, kann aber auf jedem bevorzugten Port (Sync NIC) wie nachstehend beschrieben aktiviert werden.

Hinweis – Damit die Automatische Konfiguration funktioniert, müssen alle UTM-Appliances vom gleichen Modell sein. Sie können z. B. nur zwei UTM-320-Appliances zum Aufbau eines HA-Systems verwenden; eine UTM 220 kann hingegen nicht mit einer UTM 320 kombiniert werden.

Wenn Sie zwei UTM-Appliances über die entsprechende Schnittstelle miteinander verbinden, erkennen sich alle Geräte gegenseitig und konfigurieren sich selbstständig als HA-System. Das Gerät mit der längeren Betriebszeit wird Master. Im unwahrscheinlichen Fall, dass die Betriebszeit identisch ist, wird die Entscheidung, welches Gerät Master werden soll, anhand der MAC-Adresse getroffen.

Wenn Sie UTM-Software verwenden, wird die Option Automatische Konfiguration auf dedizierten Slave-Systemen dazu benutzt, automatisch einem Master- oder bereits konfigurierten Hot-Standby-System bzw. Cluster beizutreten. Aus diesem Grund ist Automatische Konfiguration eher als Übergangsmodus denn als eigenständiger HA-Betriebsmodus zu verstehen. Denn der HA-Betriebsmodus ändert sich in Hot-Standby oder Cluster, sobald das Gerät mit der Einstellung Automatische Konfiguration einem Hot-Standby-System bzw. Cluster beitritt. Voraussetzung dafür allerdings ist, dass die Option Automatische Konfiguration neuer Geräte aktivieren auf dem Master aktiviert ist. Diese Funktion sorgt dafür, dass genau die Geräte automatisch einem Hot-Standby-System bzw. Cluster hinzugefügt werden, deren HA-Betriebsmodus auf Automatische Konfiguration steht.

Hot-Standby (aktiv-passiv): Sophos UTM kann als Hot-Standby-System, bestehend aus zwei Knoten, konfiguriert werden, was die Mindestvoraussetzung für ein redundantes System ist. Eine der größten technischen Verbesserungen der Sophos UTM Software 9 ist, dass die Latenzzeit für eine Übernahme durch das Standby-Gerät auf weniger als zwei Sekunden verringert werden konnte. Zusätzlich zur Firewall-Synchronisierung bietet das Gateway auch eine IPsec-Tunnel-Synchronisierung. Dies bedeutet, dass weder Road-Warrior- noch entfernte VPN-Gateway-Verbindungen nach einer Übernahme neu aufgebaut werden müssen. Objekte, die sich in Quarantäne befinden, werden ebenfalls synchronisiert und sind so auch nach einem Ausfall des Primärsystems noch verfügbar.

Cluster (aktiv-aktiv): (nicht verfügbar mit BasicGuard-Abonnement) Um der steigenden Nachfrage nach der Verarbeitung von großen Mengen an Internetverkehr in Echtzeit gerecht zu werden, kann Sophos UTM als Cluster konfiguriert werden. Ein Cluster besteht aus mehreren Knoten, auf die rechenintensive Aufgaben wie z. B. Inhaltsfilterung, Virenscans, Angriffsschutz und Entschlüsselung gleichmäßig verteilt werden können. So kann ohne ein spezielles Loadbalancer-Gerät die Gesamtleistung des Gateways deutlich erhöht werden.

Hinweis – Wenn Sie einen Cluster konfigurieren, stellen Sie sicher, dass Sie den Master zuerst konfigurieren, bevor Sie die anderen Geräte mit dem Switch verbinden.

Die Einrichtung von Master, Slaves und Workers unterscheidet sich nur in wenigen Punkten. Gehen Sie folgendermaßen vor:

  1. Wählen Sie einen HA-Betriebsmodus.

    Standardmäßig ist die HA-Funktion deaktiviert. Die folgenden Modi sind möglich:

    • Automatische Konfiguration
    • Hot-Standby (aktiv-passiv)
    • Cluster (aktiv-aktiv)

    Hinweis – Falls Sie den Betriebsmodus später ändern möchten, müssen Sie vorher den Modus auf Aus stellen. Erst danach können Sie einen der Betriebsmodi Automatische Konfiguration, Hot-Standby oder Cluster wählen.

    Hinweis – Wenn die Lizenz/das Abonnement abgelaufen oder nicht vorhanden ist, kann der Betriebsmodus nur auf Aus und dem aktuellen Betriebsmodus geändert werden.

    Abhängig von Ihrer Auswahl werden eine oder mehrere Optionen angezeigt.

  2. Nehmen Sie die folgenden Einstellungen vor:

    Sync NIC: Wählen Sie die Netzwerkkarte aus, über die Master- und Slave-Systeme miteinander kommunizieren. Wenn Linkbündelung aktiviert ist, können Sie hier auch eine Linkbündelungsschnittstelle sehen.

    Hinweis – Es ist empfohlen, die HA-Synchronisation von dem restlichen Netzverkehr zu trennen. Zum Beispiel VLAN.

    Hinweis – Beachten Sie, dass nur jene Schnittstellen angezeigt werden, die noch nicht konfiguriert wurden. Es ist möglich, die Synchronisierungsschnittstelle in einer laufenden Konfiguration zu ändern. Beachten Sie, dass danach alle Knoten einen Neustart durchführen werden.

    Die folgenden Optionen können nur konfiguriert werden, wenn entweder Hot-Standby oder Cluster als Betriebsmodus ausgewählt wurde:

    Gerätename: Geben Sie einen aussagekräftigen Namen für das Gerät ein.

    Geräteknoten-ID: Weisen Sie dem Gerät eine Knoten-IDClosed zu. Im Fall eines Ausfalls des Primärsystems wird der Knoten mit der höchsten ID Master.

    Verschlüsselungsschlüssel: Das Kennwort, mit dem die Kommunikation zwischen Master und Slave verschlüsselt wird (zur Sicherheit müssen Sie das Kennwort zweimal eingeben). Der Schlüssel darf maximal 16 Zeichen lang sein.

  3. Klicken Sie auf Übernehmen.

    Die Konfiguration der HA-Ausfallsicherheit auf dem Gerät ist damit abgeschlossen.

Das Gateway im Hot-Standby-Modus wird in regelmäßigen Abständen über die Sync-NIC (Synchronisierungsschnittstelle) aktualisiert. Sollte das Primärsystem ausfallen, wird das Sekundärsystem unmittelbar in den normalen Modus wechseln und die Aufgaben des Primärsystems übernehmen.

Hinweis – Wenn Sie ein Hot-Standby-System bzw. einen Cluster deaktivieren, führen die Slave- und Worker-Knoten eine Werkszurücksetzung durch und fahren herunter.

Weitere Informationen zu diesem Thema (insbesondere Anwendungsfälle) finden Sie im HA/Cluster Guide in der -Knowledgebase. Sophos

Erweitert

In diesem Abschnitt können Sie einige erweiterte Einstellungen vornehmen.

Automatische Konfiguration neuer Geräte aktivieren: Wenn Sie ein Hot-Standby-System bzw. einen Cluster manuell konfiguriert haben, sorgt diese Option dafür, dass genau die Geräte automatisch zu einem Hot-Standby-System bzw. Cluster hinzugefügt werden, deren HA-Betriebsmodus auf Automatische Konfiguration steht Da diese Option jedoch keinen Effekt auf Slave-Systeme hat, können Sie die Option aktiviert lassen, was der Standardeinstellung entspricht.

Knoten während eines Up2Date zurückhalten: Aktivieren Sie diese Option, damit während eines Updates auf eine neue Systemversion die Hälfte der HA/Cluster-Knoten die aktuelle Systemversion beibehält. Sobald die neue Version stabil ist, können Sie die verbleibenden Knoten auf der Seite Verwaltung > Hochverfügbarkeit > Status aktualisieren. Falls die neue Version einen Ausfall der aktualisierten Knoten zur Folge hat, bilden die verbleibenden Knoten einen neuen HA/Cluster mit der alten Version. Anschließend können Sie auf den nicht mehr funktionierenden Knoten wieder die alte Version installieren oder auf das nächste Update warten.

Wenn Knoten während Up2Date zurückhalten aktiv ist, werden reservierte Knoten nach einem Update nicht mehr synchronisiert, da die Synchronisation nur funktioniert, wenn Knoten die gleiche Systemversion besitzen. Stattdessen wird der Status der reservierten Knoten erhalten. Wenn Sie daher aus irgendeinem Grund die reservierten Knoten reaktivieren, sind alle Konfigurationsänderungen und Berichtsdaten aus der Zeit zwischen Updatebeginn und Reaktivierung verloren.

Bevorzugter Master: Hier können Sie einen designierten Master-Knoten bestimmen, indem Sie einen Knoten von der Auswahlliste wählen. Im Fall einer Übernahme wird der gewählte Knoten nicht im Slave-Modus bleiben, nachdem die Verbindung wiederhergestellt ist, sondern in den Master-Modus zurückkehren.

Backup-Schnittstelle: Um zu verhindern, dass sowohl Master als auch Slave gleichzeitig Master werden (Master-Master-Situationen), beispielsweise durch ein Versagen der HA-Synchronisierungsschnittstelle oder das Abziehen eines Netzwerkkabels, kann eine Heartbeat-fähige Backup-Schnittstelle ausgewählt werden. Diese zusätzliche Heartbeat-fähige Schnittstelle kann eine beliebige konfigurierte und aktive Ethernet-Schnittstelle sein (nicht Ethernet-Bridge oder Ethernet-VLAN. Wenn eine Backup-Schnittstelle gewählt wurde, wird ein zusätzliches Heartbeat-Signal über diese Schnittstelle in eine Richtung vom Master zum Slave gesendet, um sicherzustellen, dass die Master-Slave-Konfiguration intakt bleibt. Wenn die Master-Slave-Verbindung deaktiviert ist und die Backup-Schnittstelle aktiv wird, erhält der Administrator eine Benachrichtigung, die ihn darüber informiert, dass einer der Cluster-Knoten tot ist. Da diese Option jedoch keinen Effekt auf Slave-Systeme hat, können Sie sie unkonfiguriert lassen.

Hinweis – Wenn die HA-Synchronisierungsschnittstelle ausfällt, wird keine Konfiguration mehr synchronisiert. Die Backup-Schnittstelle verhindert lediglich Master-Master-Situationen.

Schnelle Lieferung
PayPal Express
Qualifizierter Support
Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung
Ablehnen Alle akzeptieren Konfigurieren