utmshop Support-Portal - Sophos Firewall OS

Connection Failover ist eine Funktion, mit welcher Sie für VPN-Datenverkehr eine automatische Reserve-Verbindung und dadurch für IPsec-Verbindungen eine Immer an VPN-Konnektivität bieten. Wenn die primäre Verbindung ausfällt, übernimmt die nachfolgende Verbindung in der Gruppe, damit der Datenverkehr weiter fließen kann, ohne dass eine manuelle Intervention nötig ist.

Failover-Gruppe

Eine VPN-Gruppe ist eine Gruppe von IPsec-Verbindungen. Die Sicherheitsparameter für Phase 1 und Phase 2 der einzelnen Verbindungen einer Gruppe können mit Ausnahme der IP-Adresse des entfernten Gateways unterschiedlich oder identisch sein. Die Reihenfolge der Verbindungen in der Gruppe legt fest, welche Priorität die einzelnen Verbindungen im Fall eines Failover haben. Die Failover-Gruppe, welcher die Verbindung angehört, muss aktiviert werden, bevor sie bei Failover berücksichtigt wird. Das Failover zur nächsten Verbindung findet nicht statt, wenn die Gruppe manuell getrennt wird.

Wenn die primäre Verbindung ausfällt, übernimmt die nachfolgende aktive Verbindung in der Gruppe, ohne dass eine manuelle Intervention nötig ist, so dass der Datenverkehr weiter fließen kann. Wenn zum Beispiel die Verbindung über die 4. Verbindung in der Gruppe hergestellt wurde und diese ausfällt, übernimmt die 5. Verbindung.

SFOS betrachtet eine Site-to-Site- und Host-to-Host-Verbindung als fehlgeschlagen, wenn der entfernte Peer nicht antwortet.

Verbindungen, die nicht der Verbindungsgruppe angehören, nehmen am Failover-/Failback-Prozess nicht teil, und solche Verbindungen werden nicht automatisch wiederhergestellt, wenn sie ausfallen.

Um Connection-Failover zu konfigurieren, müssen Sie:

• Verbindungen erstellen.

• Eine Failover-Gruppe erstellen. Eine Failover-Gruppe ist der Zusammenschluss aller Verbindungen, die im Fall eines Failover verwendet werden sollen. Die Reihenfolge der Verbindungen in der Gruppe legt fest, welche Priorität die einzelnen Verbindungen im Fall eines Failover haben.

• Eine Failover-Bedingung festlegen.

Nützliche Hinweise

• Pakete des in der Failover-Bedingung angegebenen Protokolls müssen vom lokalen Server an den entfernten Server zugelassen sein und die Antwort muss auf dem lokalen und entfernten Server erfolgen können.

• Eine Verbindung kann Mitglied von nur einer Gruppe sein.

• Die Verbindung muss aktiv sein, um bei einem Failover berücksichtigt zu werden.

• Sobald die Verbindung aus der Gruppe entfernt wird, werden die ursprünglichen Richtlinien- und Verbindungskonfigurationen berücksichtigt.

• Wenn die Verbindung zum Zeitpunkt, an dem sie der Failover-Gruppe hinzugefügt wurde, bereits besteht, wird sie getrennt.

• Bei Rückstellung auf Werkseinstellungen wird die Failover-Konfiguration nicht beibehalten.

• Fernzugriffsverbindungen können nicht Teil einer Failover-Grupe sein.