Check Point NGFW [Firewall II - 01, 03 - lab]: Cấu hình LACP để tăng băng thông, đảm bảo dự phòng và VLAN tagging

T

T0ri28

Intern
Trong môi trường mạng doanh nghiệp, nhu cầu tăng băng thông và đảm bảo tính sẵn sàng cao là yêu cầu thiết yếu. Giải pháp Aggregated Ethernet (LACP - Link Aggregation Control Protocol) là một phương pháp phổ biến giúp gộp nhiều đường truyền vật lý thành một liên kết logic, vừa tăng tốc độ truyền dữ liệu, vừa cung cấp khả năng dự phòng khi một trong các đường truyền bị lỗi.

Trong bài lab này, ta sẽ triển khai cấu hình LACP giữa switch Juniper và firewall Check Point R80.40. Đồng thời, thực hiện VLAN tagging để phân tách các lớp mạng và tạo các gateway tương ứng trên firewall. Cuối cùng, ta sẽ kiểm tra khả năng kết nối internet của các VLAN và khả năng chịu lỗi khi một đường truyền trong nhóm LACP bị ngắt.​

Mục lục​

I. Mô hình​

1744560013144.png

II. Yêu cầu​

  • Cấu hình LACP giữa switch với firewall checkpoint​
  • Tạo 3 sub-interface trên firewall để cấu hình gateway cho 3 VLAN​
  • Các VLAN có thể đi internet​
  • Bỏ mất 1 đường LACP, xem vẫn còn giao tiếp bình thường được không​

III. Cấu hình​

Switch RE:
Mã: 
set vlans VLAN10 vlan-id 10
set vlans VLAN20 vlan-id 20
set vlans VLAN30 vlan-id 30

set interfaces xe-0/0/10 ether-options 802.3ad ae0
set interfaces xe-0/0/11 ether-options 802.3ad ae0
set interfaces ae0 aggregated-ether-options lacp active
set interfaces ae0 aggregated-ether-options lacp periodic fast
set interfaces ae0 unit 0 family ethernet-switching interface-mode trunk
set interfaces ae0 unit 0 family ethernet-switching vlan members VLAN10
set interfaces ae0 unit 0 family ethernet-switching vlan members VLAN20
set interfaces ae0 unit 0 family ethernet-switching vlan members VLAN30

set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members VLAN10
set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members VLAN20
set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN30

Firewall CheckPoint:
Đầu tiên, ta xác nhận những cổng ethernet nào sẽ thiết lập LACP, trong trường hợp này theo mô hình sẽ là cổng eth11 và eth10.​
Vào Web GUI, tạo LACP group với hai cổng eth10 và eth11.
Chọn chuẩn 802.3ad (LACP, dùng được với switch bên thứ ba).
Trong tab Advanced, chỉnh LACP rate thành fast để phù hợp với cấu hình trên switch.
1744560459503.png

1744560473691.png


Sau khi đã tạo xong đường LACP, ta tiếp tục tạo sub-interface cho VLAN tagging, điền VLAN ID tương tự với VLAN đã tạo trên switch, và cho nó là member of của đường LACP ta đã tạo ở trên, tiếp theo qua tab IPv4 và điền IP cho sub-interface.
Làm tương tự với VLAN20, VLAN30 với các VLAN ID lần lượt là 20 và 30.
1744560489065.png

1744560500200.png


Tạo rule cơ bản để các VLAN có thể đi internet
1744560514915.png


Tham khảo các bài liên quan:​
Nhấn để mở rộng...

IV. Kiểm tra yêu cầu​

Kiểm tra LACP giữa switch với firewall checkpoint
1744560543415.png


Tạo 3 sub-interface trên firewall để cấu hình gateway cho 3 VLAN
1744560556033.png


Các VLAN có thể đi internet
1744560567317.png

1744560570986.png

1744560575184.png


Bỏ mất 1 đường LACP, xem vẫn còn giao tiếp bình thường được không
1744560595461.png

1744560599846.png

1744560971988.png

Kết luận​

Sau khi hoàn tất cấu hình, hệ thống đã đáp ứng đầy đủ các yêu cầu: kết nối LACP giữa switch và firewall được thiết lập thành công, các VLAN được gắn tag chính xác và định tuyến qua các sub-interface trên firewall, cho phép các thiết bị trong VLAN truy cập internet. Khi thử nghiệm ngắt một đường trong nhóm LACP, kết nối vẫn được duy trì bình thường, chứng tỏ cơ chế dự phòng hoạt động hiệu quả.

Bài lab đã chứng minh hiệu quả của việc kết hợp LACP với VLAN tagging trong việc xây dựng một hạ tầng mạng ổn định, hiệu suất cao và có khả năng chịu lỗi tốt.​
 
Sửa lần cuối:
Bài viết liên quan
CẤU HÌNH NAT TRÊN NGFW: SNAT, DNAT. bởi Nguyễn Thành Công,
CẤU HÌNH OBJECT VÀ SECURITY POLICY TRÊN NGFW CHECK POINT R81.20 bởi Nguyễn Thành Công,
CẤU HÌNH ROUTING STATIC ROUTE, GATEWAY TRÊN THIẾT BỊ NGFW CHECK POINT bởi Nguyễn Thành Công,
Cấu hình Backup và Restore cấu hình thiết bị bởi Nguyễn Thành Công,
CÀI ĐẶT CÁC THÀNH PHẦN TRONG MÔ HÌNH VÀ CẤU HÌNH CÁC THÔNG TIN CƠ BẢN: HOSTNAME, DNS, NTP, LACP,... bởi Nguyễn Thành Công,
[LAB 3]CẤU HÌNH NAT TRÊN CHECK POINT QUANTUM RUGGED 1570R bởi minhtu,
Bài viết mới
CẤU HÌNH NAT TRÊN NGFW: SNAT, DNAT. bởi Nguyễn Thành Công,
CẤU HÌNH OBJECT VÀ SECURITY POLICY TRÊN NGFW CHECK POINT R81.20 bởi Nguyễn Thành Công,
CẤU HÌNH ROUTING STATIC ROUTE, GATEWAY TRÊN THIẾT BỊ NGFW CHECK POINT bởi Nguyễn Thành Công,
Cấu hình Backup và Restore cấu hình thiết bị bởi Nguyễn Thành Công,
CÀI ĐẶT CÁC THÀNH PHẦN TRONG MÔ HÌNH VÀ CẤU HÌNH CÁC THÔNG TIN CƠ BẢN: HOSTNAME, DNS, NTP, LACP,... bởi Nguyễn Thành Công,
[LAB 3]CẤU HÌNH NAT TRÊN CHECK POINT QUANTUM RUGGED 1570R bởi minhtu,
Trường hợp nếu thêm 1 cổng vào cụm LACP thì có làm gián đoạn tín hiệu truyền tin hay không? Và cho mình hỏi tín năng này để làm gì?
1744688694473.png
 
HanaLink nói:
Trường hợp nếu thêm 1 cổng vào cụm LACP thì có làm gián đoạn tín hiệu truyền tin hay không? Và cho mình hỏi tín năng này để làm gì?
Nhấn để mở rộng...
Em xin trả lời:
  • Khi thêm 1 cổng vào cụm LACP sẽ không gây gián đoạn truyền tin, mất vài s hoặc tối đa là 30s nếu LACP rate là slow, từ khi cổng mới được thêm đến lúc nó hoạt động
  • Cái chức năng chị đóng khung nó
    • Là cơ chế xác định gói tin sẽ đi qua interface nào trong nhóm bond (LACP).
    • Layer 2: Hash theo MAC, phù hợp môi trường đơn giản, dễ bị lệch tải nếu MAC đích giống nhau.
    • Layer 3+4: Hash theo IP và port, tối ưu cân bằng tải cho môi trường nhiều kết nối.
 
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top