Aykut Genç
İş kariyerimde edindiğim bilgileri paylaşıyorum.
Aykut Genç
İş kariyerimde edindiğim bilgileri paylaşıyorum.

Makalem

Virtual UTM Sophos Ha Yapımı

October 17, 2021 Sophos
Virtual UTM Sophos Ha Yapımı

Kurulumu başlamadan önce öncellikle ortam hakkında birkaç bilgi vermek istiyorum;

Ortamda 1 adet vmware vcenter var ve distributed switch yapısı bulunmaktadır.

Birbirinde farklı üç adet vlan kullanacağız. Wan , Lan, Ha_Lan şeklinde, bu vlanların idsi de farklı olması gerekiyor.

Kurulum için 2 adet virtual sophos utm kullanıyorum.

Vlanları vcenter üzerinde açıyoruz. Vlanları açarken dikkat etmeniz gerekenler;

Promiscuous mode, MAC address changes, Forged transmits bunların accept olması gerekiyor.

Sophosları normal olarak kuruyoruz. Virtual UTM kurulumunu bir önceki makelemde görebilirsiniz. Ben normal olarak sophos utm kuruyorum. Sophosların console üzerinde aşağıda ayarları yapıyoruz.

cc set ha advanced mtu 1500

cc set ha advanced virtual_mac 0

Bu işlemleri yaptıktan sonra sophosları kapatıyoruz. Kapattıkdan sonra HA için kullanacağız vlan hariç her vlanın mac adresini manuel’e çekiyoruz, iki sophos üzerinde wan, lan vlanların macı aynı olması gerekiyor. Sophosları açmadan önce HA vlanı sophoslarda disconnet olması gerekiyor. Her iki sophosda aşağıdaki ayarları yapmamız gerekiyor.  HA lanı sophos üzerinde interface tarafında tanımlı olmaması gerekiyor.

Vmware üzerinde Edit Settings > VM options > Advanced > Configuration Parameters > Edit Configuration > Add Configuration Params diyerek aşağıda değerleri giriyoruz.  

ethernet0.ignoreMACAddressConflict = “TRUE”

ethernet1.ignoreMACAddressConflict = “TRUE”

ethernet2.ignoreMACAddressConflict = “TRUE”

Her iki sophos’da bu değerleri girdikten sonra HA lanı disconnet olacak şekilde utmleri açıyoruz.

Utmler açıldıktan sonra Management >  High Availability > Configuration geliyoruz.

Operation Mode = Hot Standby (Active – Passive) olacak şekilde yapılandırıyoruz.

Configuration tarafında ise HA lanı seçiyoruz.

Device bir isim veriyoruz.  

Device Node ID ise 1 diyoruz.

Encryption key: random bir şifre belirliyoruz. Her iki node aynı şifreyi gireceğiz.

Advanced kısmını her iki sophosda default bırakabiliriz.

Bu işlemleri yaptık dan sonra ise vcenter üzerinde ha_lan connect etmemiz gerekiyor. Ha lanı ayağa kalktıktan sonra ise sophoslar bir kaç reboot edecektir. Reboot sonrası System Status da her ikisininde device olarak görmeniz gerekiyor.

Statusde ise aşağıda şekilde görmeniz gerekiyor.

Master reboot etmeniz halinde ortalama 10 ile 15 ping kaybı sonrasında ha devreye girerek diğer node ayağa kalmaktadır.

Fiziksel olan utm ürünlerinde ortalama 2 -3 ping kaybı sonrası HA ayağa kalkmaktadır. Virtual ortamda ise distributed switch’in arp silmesi süresi ile ilgili olarak süre değişmektedir.

Herhangi bir sorunla karşılaşmanız halinde yorumlar veya iletişim sayfamdan bana ulaşabilirsiniz.

Görüşmek üzere…

Taggs:
Write a comment