Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 6060 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ESXi Server with Hot Standby

DaMaN841
Hey Folks,

I've decided to pull the trigger on an ESXi Server build running a Haswell Xeon E3-1275v3 with 32 GiB of Memory to virtualize my old hardware. In light of that, I realized it would be a good opportunity virtualize the UTM and SUM. Once that idea bounced around in my noggin, I started to become curious with playing around with High Availability.

With that said, if I make two identical VM's running UTM on the ESXi Server, what is the ideal way to wire this such that in case of an update or restart, the slave will pick up the slack without any physical interaction? E.g. Given I utilize a Dual Gigabit NIC for the Firewall, one for the Cable Modem and the other to a Switch to connect the LAN, and I assign those two NIC's to UTM #1 as well as to UTM #2, will the ESXi Virtual NIC's do the rest, even communicate between UTM #1 & #2?

Network Example:
Cable Modem --> ESXi Server (UTM #1 & #2) --> Cisco SG200

Note: The ESXi Server will have other onboard NIC's for internal use only.

I've paroozed the forums a bit and read HA Deployment, however, the case I'm trying to implement doesn't necessary seem covered. I'd also like to avoid placing a switch between the cable modem and UTM's if at all possible.

Thanks in advance.


This thread was automatically locked due to age.
Parents
  • 0
    Solae and Drew,
    Thanks for the info!

    Barry
  • 0 in reply to BarryG
    Thank you very much for the info! I'll be using a single ESXi Server at the moment, so that will work seamlessly, especially if the UTM handles the Virtual MAC's. Thanks for the advice.

    TheDrew: That's exactly the reason I want to implement this strategy! Happy wife happy life, aye? No longer will I need to find the optimal time to tinker or update.

    Cheers
Reply
  • 0 in reply to BarryG
    Thank you very much for the info! I'll be using a single ESXi Server at the moment, so that will work seamlessly, especially if the UTM handles the Virtual MAC's. Thanks for the advice.

    TheDrew: That's exactly the reason I want to implement this strategy! Happy wife happy life, aye? No longer will I need to find the optimal time to tinker or update.

    Cheers
Children
  • 0 in reply to DaMaN841
    Thank you very much for the info! I'll be using a single ESXi Server at the moment, so that will work seamlessly, especially if the UTM handles the Virtual MAC's. Thanks for the advice.

    TheDrew: That's exactly the reason I want to implement this strategy! Happy wife happy life, aye? No longer will I need to find the optimal time to tinker or update.

    Cheers


    Hi Daman,

    how you solved the problem? With Hot Standby and ESXi?

    Thanks for your help!
  • 0 in reply to GGreco
    My ESXi Server contains 6 NIC's. Within ESXi Network Configuration, I created a WAN Primary, WAN Secondary, LAN and VM Network. The LAN and VM Network each have two physical NIC's grouped. 

    WAN Primary is connected directly to the Cable Modem.
    LAN are both connected directly to the Switch.
    VM Network are both connected directly to the Switch.

    When creating a new VM for the UTM, I recommend using the latest iso. I then ensure I have 4 VMXNET3 Network Adapters. WAN Primary, WAN Secondary, LAN and VM Network. Within the UTM, WAN Primary is my External, WAN Secondary is currently unused, LAN is my Internal and I have VM Network in there for H/A Sync NIC with the Internal (LAN) as my Back Up Interface.

    So far, High Availability has worked nicely. Wired hosts tend to only lose a single ping or two when they swap. Wireless Clients (utilizing Sophos AP's) tend to go offline for a longer duration, especially when Up2Date's require an AP Firmware Update. I always have a backup non-Sophos AP just in case.

    Any other questions that I haven't covered or with which you would like more detail, please let me know.
  • 0 in reply to DaMaN841
    Instead of recreating an almost identical thread, I thought I'd bring back life to this one. Hope that's alright.

    I was curious if Promiscuous mode is still necessary with two UTM's (Active-Passive) on the same ESXi host using the same vSwitches for WAN, LAN and the Sync interface? (the UTM's share the same physical NIC's, in case that isn't clear)

    Cheers,
    Kyle
Unfiltered HTML