前置条件
设备和固件
HA群集中的设备(主设备和辅助设备)必须具有相同的型号和版本。例如,XG 210 rev3只能连接到另一个XG 210 rev3。XG230甚至SG 210都不能使用。
所有设备必须具有相同数量的端口或接口。这包括何时安装任何FleXi端口扩展模块。
这些设备必须安装相同的固件版本。这包括维护版本和修补程序。
在A-A模式下,两个设备都需要许可证。
在A-S模式下,您只需要主设备的许可证。辅助设备不需要许可证。
如果使用软件或虚拟设备,则只需购买一个基本许可证。注册序列号后,SFOS管理被动设备的创建;无需为被动设备购买单独的基本防火墙许可证或单独的序列号。在这种情况下,您可以在使用安装助手时将设备添加到HA。
HA群集上不支持以下配置:
DHCP和PPPoE:当使用DHCP或PPPoE动态配置接口时,仅支持主动-被动模式下的HA。不支持处于活动模式的HA。在任何HA模式下都不支持蜂窝WAN配置。
专用HA端口上的别名IP地址或VLAN。
覆盖专用端口上的MAC地址。
活动模式下任何接口上的动态IP地址。
在主动-被动模式下使用动态接口进行会话故障切换。
专用HA接口上的延迟(LACP或LLDP)。
配置过程
###您必须确保两个设备在初始化QuickHA模式时具有不同的IP地址。例如,不能同时使用默认172.16.16.16地址的两个设备。###
- 使用插入两台设备上专用HA端口的网络电缆连接Sophos防火墙设备。
- 登录Sophos主防火墙设备的web管理控制台,进入系统服务>高可用性。选择主(主动-被动)作为初始设备角色
- 确保选择了QuickHA。您将看到默认设置(您可以更改),如以下步骤所述。
- QuickHA自动生成密码短语。您还可以手动更改密码短语。 ###密码短语仅用于生成SSH密钥一次,SSH密钥用于加密HA链路上的通信。然后就被删除了。###
- QuickHA自动选择专用HA链接。您也可以手动选择一个界面。
- 默认情况下,QuickHA选择第一个未绑定的接口。如果这不可用,它将使用第一个DMZ端口。此接口重命名为QuickHA模式接口,并从链路本地范围169.254.0.0/16分配了IPv4地址。 ###警告:如果QuickHA选择已在使用的DMZ端口,则其当前配置将被覆盖。###
- 单击启动HA。
- 从PortA登录辅助Sophos防火墙的web管理控制台,然后进入网络>接口。确保PortA的IP地址与Sophos主防火墙的PortA位于同一子网中。
- 转到,系统服务>高可用性。
- 选择辅助作为设备角色。
- 选择QuickHA并输入Sophos主防火墙设备上使用的相同密码短语。
- 单击启动HA。您会看到一条关于配置被覆盖的消息。这是因为配置将从Sophos主防火墙设备同步。
HA状态
登录Sophos防火墙 进入系统服务-高可用性
模式选择主备(Active-Passive)
主防火墙选择Primary
备防火墙选择Axiliary
心跳接口以及被监控接口两边配置需一致 如下图
等待协商完成即可
主备协商成功后的状态如下图