Sophos NGFW Cấu hình dự phòng NGFW theo cơ chế: Active/Passive

HƯỚNG DẪN CẤU HÌNH HIGH AVAILABILITY (HA) QUA QUICKHA MODE​

Để cấu hình dự phòng bằng tính năng QuickHA, bạn cần thực hiện tuần tự trên hai thiết bị (Thiết bị Chính và Thiết bị Phụ). Hãy đảm bảo hai thiết bị đã được kết nối trực tiếp với nhau qua một cổng mạng chuyên dụng (HA Link).

Bước 1: Cấu hình trên thiết bị CHÍNH (Primary Device)​

Bạn truy cập vào System services > High availability và thiết lập các thông số sau:

• Initial device role: Tùy thuộc vào nhu cầu vận hành của hệ thống, bạn tích chọn một trong hai chế độ:
  
  • Primary (active-passive): Nếu muốn con chính xử lý traffic, con phụ chỉ đứng đợi thay thế khi có sự cố.
  • Primary (active-active): Nếu muốn cả hai con cùng tham gia xử lý và cân bằng tải traffic.
  • Lưu ý từ cảnh báo hệ thống: Bản quyền (License) của thiết bị được cấu hình làm Primary ban đầu sẽ áp dụng cho toàn bộ Cluster. Hãy chắc chắn thiết bị này sở hữu đầy đủ các license bạn cần.
• HA configuration mode: Tích chọn QuickHA mode (Chế độ cấu hình nhanh).
• Node name: Nhập tên định danh cho thiết bị này (Ví dụ mặc định trong hình là Node1).
• Passphrase: Nhập một chuỗi mật khẩu bảo mật dùng để mã hóa và xác thực kết nối giữa hai thiết bị. Bạn có thể nhấn nút Copy bên cạnh để lưu lại chuỗi này cho bước sau.
• Dedicated HA link: Nhấn vào mục Add new item để chọn cổng vật lý (Physical Interface) hoặc các cổng LAG, VLAN được dùng để cắm dây cáp kết nối trực tiếp sang thiết bị kia.

Sau khi điền đầy đủ, nhấn Initiate ở phía cuối trang. Thiết bị sẽ chuyển sang trạng thái chờ đồng bộ.

Bước 2: Cấu hình trên thiết bị PHỤ (Auxiliary Device)​

Bạn truy cập vào giao diện Web Admin của con Firewall thứ hai, đi đến mục System services > High availability và cấu hình các mục tương ứng:

• Initial device role: Chọn Auxiliary.
• HA configuration mode: Chọn QuickHA mode.
• Passphrase: Dán (Paste) chính xác chuỗi mật khẩu bảo mật mà bạn đã sao chép từ thiết bị Chính (Node1) ở bước trước.
• Dedicated HA link: Chọn đúng cổng mạng tương ứng đang kết nối trực tiếp với thiết bị Chính.

Cuối cùng, nhấn Initiate.

Quá trình đồng bộ tự động​

Sau khi hai thiết bị được cấu hình xong bằng QuickHA mode:

1. Thiết bị Primary sẽ tự động cấp phát một dải IP nội bộ thông minh trên cổng HA Link để thiết lập kênh giao tiếp an toàn với thiết bị Auxiliary.
2. Hệ thống sẽ mất khoảng 5 - 10 phút để đồng bộ hóa toàn bộ cấu hình hệ thống (Firewall Rules, NAT, Network Objects...).
3. Khi hoàn tất, trạng thái kết nối tại mục High Availability sẽ chuyển sang Established, và bạn có thể kiểm tra trạng thái hoạt động của cả Cluster ngay trên góc phải màn hình quản trị của thiết bị chính.

Bạn có thể F5 để ra màn hình đăng nhập và đợi


Sau khoảng vài phút nó sẽ đồng bộ như hình dưới là ok