Chung Anh Kiệt
Intern
Chào anh em, làm hạ tầng mạng mà không có dự phòng (Backup/Redundancy) thì đêm ngủ không bao giờ ngon giấc. Tưởng tượng một ngày đẹp trời con Firewall duy nhất lăn ra chết, cả công ty "ngồi chơi xơi nước" thì anh em IT xác định "tới công chuyện".
Hôm nay, chúng ta sẽ thiết lập HA (High Availability). Trước khi bắt tay vào làm, anh em lướt qua bảng so sánh nhanh 2 chế độ HA phổ biến nhất:
Trong bài Lab này, chúng ta sẽ triển khai Active / Passive. Nếu con số 1 (Active) sập, con số 2 (Passive) sẽ tự động bay vào thay thế trong vài phần nghìn giây mà người dùng không hề hay biết.
Cấu hình trên con SophosXG_2
Ấn 1 để đổi ip con SophosXG_2
Đổi ip thành 172.16.16.2
À trước tiên hãy nhớ setup con SophosXG_2 như con 1 mình đã chỉ ở bước những Lab đầu nhé.
Đúng ip 172.16.16.2
Bước 1: Quy hoạch IP tĩnh cho đường nhịp tim (Heartbeat)
Bắt buộc phải tách biệt hoàn toàn đường này khỏi mạng LAN/WAN để tránh xung đột.
Nguyên tắc sống còn: Phải cấu hình cho con Phụ "nằm chờ" trước, rồi mới kích hoạt con Chính.
Tại Firewall 2 (Con phụ):
Tại Firewall 1 (Con chính):
Sau khi nhấn Initiate trên cả 2 thiết bị, anh em chờ khoảng 3-5 phút để hệ thống đẩy cấu hình (Sync). Lúc này, giao diện web của con số 2 sẽ tự động bị ngắt do nó đã chuyển quyền điều khiển hoàn toàn về con số 1.
F5 lại tab trình duyệt của con số 1, nếu anh em thấy xuất hiện dòng trạng thái Connected (Active-Passive) và 2 thiết bị sáng đèn xanh lá ở hai vai trò Primary/Auxiliary thì xin chúc mừng, cụm Tường lửa của anh em đã trở nên "bất tử"!
Chúc anh em thực hành thành công, hẹn gặp lại ở lab tiếp theo :3
Hôm nay, chúng ta sẽ thiết lập HA (High Availability). Trước khi bắt tay vào làm, anh em lướt qua bảng so sánh nhanh 2 chế độ HA phổ biến nhất:
| Tiêu chí | Active / Passive (Khuyên dùng) | Active / Active |
| Cơ chế hoạt động | 1 con gánh toàn bộ tải, 1 con ngồi chờ. | Cả 2 con cùng chạy, tải chia đều. |
| Ưu điểm | Cực kỳ ổn định, dễ xử lý lỗi, luồng dữ liệu chuẩn. | Tận dụng tối đa phần cứng, băng thông lớn. |
| Nhược điểm | Lãng phí tài nguyên của con phụ (Passive). | Cấu hình phức tạp, dễ bị quá tải (overload) nếu 1 con sập. |
Trong bài Lab này, chúng ta sẽ triển khai Active / Passive. Nếu con số 1 (Active) sập, con số 2 (Passive) sẽ tự động bay vào thay thế trong vài phần nghìn giây mà người dùng không hề hay biết.
Giai đoạn chuẩn bị: "Luật thép" của Sophos HA
Để HA chạy được, anh em phải tuân thủ tuyệt đối các quy tắc sau:- Hai con Tường lửa (Primary và Auxiliary) phải giống hệt nhau 100% về CPU, RAM, số lượng cổng mạng, và bắt buộc chạy cùng một phiên bản Firmware.
- Phải có một Switch ở mặt mạng nội bộ (LAN) để đảm bảo 2 tường lửa đều có đường kết nối xuống Client.
- Phải dùng 1 sợi cáp mạng nối trực tiếp 2 cổng chuyên dụng trên 2 tường lửa lại với nhau. Cổng này gọi là Dedicated HA Link (Đường nhịp tim - Heartbeat). Ở bài này, ta dùng PortC.
- Con số 2 (Auxiliary) chưa cần cấu hình IP hay vào giao diện Web, chỉ cần cắm cáp và bật nguồn cho nó khởi động xong.
Cấu hình trên con SophosXG_2
Ấn 1 để đổi ip con SophosXG_2
Đổi ip thành 172.16.16.2
À trước tiên hãy nhớ setup con SophosXG_2 như con 1 mình đã chỉ ở bước những Lab đầu nhé.
Đúng ip 172.16.16.2
Bước 1: Quy hoạch IP tĩnh cho đường nhịp tim (Heartbeat)
Bắt buộc phải tách biệt hoàn toàn đường này khỏi mạng LAN/WAN để tránh xung đột.
- Trên Firewall 1 (Sẽ làm con chính): Vào Network -> Interfaces, cấu hình PortC thuộc Zone DMZ, IP tĩnh: 192.168.99.1 /24.
- Trên Firewall 2 (Sẽ làm con phụ): Vào Network -> Interfaces, cấu hình PortC thuộc Zone DMZ, IP tĩnh: 192.168.99.2 /24.
Bước 2: Kích hoạt "Bắt tay" HA (Interactive Mode)Nguyên tắc sống còn: Phải cấu hình cho con Phụ "nằm chờ" trước, rồi mới kích hoạt con Chính.
Tại Firewall 2 (Con phụ):
- Vào System services -> High availability.
- HA configuration mode: Chọn Interactive mode.
- Initial device role: Chọn Auxiliary.
- Passphrase: Đặt mật khẩu đồng bộ (Ví dụ: #1Anhkietjun).
- Dedicated HA link: Chọn cổng PortC.
- Peer HA link IPv4: Trỏ về IP con chính là 192.168.99.1. Nhấn Initiate HA.
Tại Firewall 1 (Con chính):
- Làm tương tự nhưng ở mục Role chọn Primary (active-passive).
- Passphrase: Gõ y hệt mật khẩu bên kia.
- Peer HA link IPv4: Trỏ về IP con phụ là 192.168.99.2.
- Peer administration settings: Điền IP LAN của con phụ (ví dụ 172.16.16.2) để sau này tiện truy cập. Nhấn Initiate HA.
Lúc này ở PortC sẽ đổi thành HA Link, sửa ip
- SophosXG_2 thành 192.168.99.2
- SophosXG thành 192.168.99.1
SophosXG_2 thông số
SophosXG chính thông số
Bước 3: Tận hưởng thành quảSau khi nhấn Initiate trên cả 2 thiết bị, anh em chờ khoảng 3-5 phút để hệ thống đẩy cấu hình (Sync). Lúc này, giao diện web của con số 2 sẽ tự động bị ngắt do nó đã chuyển quyền điều khiển hoàn toàn về con số 1.
F5 lại tab trình duyệt của con số 1, nếu anh em thấy xuất hiện dòng trạng thái Connected (Active-Passive) và 2 thiết bị sáng đèn xanh lá ở hai vai trò Primary/Auxiliary thì xin chúc mừng, cụm Tường lửa của anh em đã trở nên "bất tử"!
Chúc anh em thực hành thành công, hẹn gặp lại ở lab tiếp theo :3
Đính kèm
Bài viết liên quan
Được quan tâm
Bài viết mới