Sophos NGFW High Availability (HA)

T

tayle

Intern

High Availability (HA)

1. Lý thuyết​

1. High Availability​

  1. Trên Sophos XG Firewall là một bước cực kỳ quan trọng để đảm bảo hệ thống mạng của doanh nghiệp luôn hoạt động liên tục ngay cả khi có sự cố.
  2. Active-Passive: Một thiết bị chạy chính (Primary), thiết bị kia ở chế độ chờ (Auxiliary). Nếu Primary hỏng, Auxiliary lập tức thay thế. Chế độ này ổn định và không yêu cầu mua 2 license Full (chỉ cần license cho thiết bị chính).
  3. Active-Active: Cả hai thiết bị cùng xử lý lưu lượng mạng, nhưng Primary là máy điều tiết lưu lượng cho Auxiliary xử lý. Chế độ này giúp tăng thông lượng nhưng yêu cầu cả 2 thiết bị phải có License

2. Để HA hoạt động, hai thiết bị Sophos XG phải tuân thủ nghiêm ngặt các điều kiện sau​

  1. Phần cứng: Cùng model (ví dụ: cùng là XG 210), cùng số lượng port, và cùng phiên bản phần cứng (Revision).
  2. Firmware: Cả hai phải chạy chính xác cùng một phiên bản firmware (ví dụ: SFOS 19.5.1 MR-1).
  3. Với Active-Passive: Thiết bị Primary cần kích hoạt License. Thiết bị Auxiliary không cần License (nhưng phải được đăng ký Serial Number).
  4. Với Active-Active: Cả 2 thiết bị phải có License đầy đủ
  5. Cáp kết nối: Cần ít nhất một sợi cáp mạng để làm đường HA Link (Heartbeat) nối trực tiếp giữa 2 thiết bị.
  6. LAN/WAN/DMZ: Cổng Port 1 (LAN) của thiết bị A và thiết bị B phải cùng cắm vào Switch Core. Cổng Port WAN cũng phải cùng cắm vào Converter/Modem.
  7. HA Link (Heartbeat): Chọn một cổng riêng biệt (ví dụ: Port C hoặc một cổng DMZ chưa dùng) để nối trực tiếp giữa thiết bị A và thiết bị B.
  8. Lưu ý: Cổng HA Link nên được nối trực tiếp cáp mạng giữa 2 firewall, không nên đi qua Switch để tránh độ trễ (latency).

3. Đặc điểm của Active-Active​

  1. Trong chế độ Active-Active, cả hai firewall đều tham gia xử lý lưu lượng mạng, nhưng chúng không chia tải theo tỉ lệ 50/50 cho mọi tác vụ.
  2. Primary Node (Node Chính): Điều khiển cụm (cluster), đồng bộ cấu hình và xử lý traffic.
  3. Auxiliary Node (Node Phụ): Xử lý một phần traffic và đóng vai trò dự phòng cho Node Chính.
  4. Logic Cân bằng tải (Load Balancing)
  5. TCP cân bằng cho 2 node
  6. Non-TCP Traffic (UDP, ICMP, VPN, Wireless): KHÔNG được cân bằng tải. Toàn bộ lưu lượng này chỉ được xử lý bởi Primary Node.
  7. Lưu ý: Nếu Node Chính gặp sự cố, Node Phụ sẽ đảm nhận toàn bộ trách nhiệm. Nếu tải mạng hiện tại vượt quá khả năng xử lý của 1 thiết bị đơn lẻ, việc hư hỏng một node sẽ khiến mạng bị chậm.

Mô hình​

1769345063072.png


2. Cấu hình HA Active-Passive (Interactive mode)​

Bước 1. Zone HA_LINK
Tại sao phải tạo Zone HA_LINK riêng biệt?
Giải thích:
Bảo mật: Zone DMZ mặc định có thể đang cho phép nhiều dịch vụ khác (như VPN, Client Authentication...) hoặc có các Rule firewall khác áp vào. Tách riêng Zone HA_LINK giúp bạn cô lập hoàn toàn lưu lượng Heartbeat
Quản lý: Dễ dàng nhận diện và quản lý
1.1. Trên máy Auxiliary (Interactive mode)
Tạo Zone HA_LINK (thuộc DMZ, cho phép SSH, Ping).
Vào Port C, gán IP 10.0.0.2, chọn Zone là HA_LINK
1769345063078.png

Hình 1.1. Tạo HA_LINK Zone

1769345063084.png

Hình. Cấu hình IP cho Port C (HA_LINK Zone)

1.2. Trên máy Primary
Tạo Zone HA (thuộc DMZ, cho phép SSH, Ping).
Vào Port C, gán IP 10.0.0.1, chọn Zone là HA_LINK
Sau cấu hình: Đảm bảo bạn có thể Ping thấy IP 10.0.0.2 của thiết bị phụ từ thiết bị chính (vào Diagnostics -> Tools -> Ping).
Bước 2: Chuẩn bị thiết bị phụ (Auxiliary Device)
  1. Vào System Services > High Availability.
  2. Tại mục Initial Device Role, chọn Auxiliary.
  3. Tại mục HA Configuration Mode, chọn Interactive Mode.
  4. Nhập Node Name của thiết bị Auxiliary
  5. Nhập Passphrase (mật khẩu giao tiếp giữa 2 node)
  6. Nhấn Save. Lúc này thiết bị phụ sẽ chờ tín hiệu từ thiết bị chính.
1769345063090.png

Hình 1.2. Cấu hình Auxiliary - Interactive mode

Bước 2: Cấu hình Primary (Interactive mode)
  1. Truy cập vào trang quản trị của thiết bị Primary (Thiết bị chính đang có License).
  2. Vào System Services > High Availability.
  3. Tại mục Initial Device Role, chọn Primary (Active-Passive).
  4. Tại mục HA Configuration Mode, chọn Interactive Mode.
  5. Cluster ID:
Mã định danh của cặp HA này.
Giữ nguyên mặc định là 0. (Chỉ đổi nếu trong mạng của bạn có nhiều cặp firewall Sophos XG khác nhau để tránh xung đột).
  1. Node name: Tên gọi cho thiết bị này để dễ phân biệt.
  2. Passphrase:
Mật khẩu dùng để mã hóa dữ liệu trao đổi giữa 2 thiết bị.
Lưu ý: Mật khẩu này phải khớp hoàn toàn với mật khẩu bạn đã nhập trên thiết bị Auxiliary (thiết bị phụ) trước đó.
  1. Dedicated HA link: Cổng vật lý dùng để nối dây trực tiếp giữa 2 thiết bị (trao đổi Heartbeat).
  2. Dedicated peer HA link IPv4 address: Đây là địa chỉ IP của cổng HA_LINK trên thiết bị Auxiliary.
  3. Select ports to be monitored:
Các cổng cần giám sát. Nếu dây mạng cắm vào các cổng này bị lỗi (không có tín hiệu), thiết bị sẽ tự động chuyển (Failover) sang thiết bị phụ.
Nên chọn các cổng quan trọng như Port1 (LAN) và Port2 (WAN). Không chọn cổng HA Link ở đây.
  1. Peer administration settings:
Cấu hình này giúp bạn có thể truy cập vào trang quản trị của thiết bị Phụ (Auxiliary) ngay cả khi nó đang ở chế độ chờ.
Interface: Chọn cổng mạng nội bộ (thường là PortA).
IPv4 address: Điền một IP trống (chưa được sử dụng) nằm trong dải mạng PortA của Auxiliary.
  1. Preferred primary device:
Xác định xem thiết bị nào sẽ luôn ở trạng thái Active, dù là nó bị down thì sau khi hoạt động lại cũng quay về trạng thái Active.
  1. No preference (không chiếm quyền/không ưu tiên): Khi thiết bị chính hỏng, thiết bị phụ lên thay. Khi thiết bị chính sửa xong, nó sẽ làm thiết bị phụ (không tự tranh giành quyền chính). Điều này giúp mạng ổn định hơn.
  2. Keepalive request interval & attempts:
Độ nhạy của việc phát hiện sự cố.
Interval (250ms): Cứ 250 mili-giây gửi tin hiệu kiểm tra 1 lần.
Attempts (16): Nếu thất bại 16 lần liên tiếp thì coi như thiết bị kia đã chết.
  1. Use host or hypervisor-assigned MAC address
Dùng cho môi trường ảo hóa (VMware, Hyper-V).
Không dùng nếu là thiết bị phần cứng thật
Nếu chạy trên máy ảo: Sử dụng để tránh lỗi xung đột địa chỉ MAC ảo.
  1. Nhấn Enable HA (hoặc Initiate HA).
1769345063097.png

1769345063103.png

Hình 1.3. Cấu hình Primary - Interactive mode

Bước 3: Kiểm tra kết nối HA
1769345063109.png

Hình 1.4. Kết quả kết nối HA trên Primary


1769345063115.png
Hình 1.5. Trên thiết bị Auxiliary truy cập vào GUI thất bại

1769345063121.png

Hình 1.6. Truy cập được vào GUI của Auxiliary

  1. Sync auxiliary device (Đồng bộ thiết bị phụ)
Chức năng: Nút này dùng để ép buộc Primary gửi lại toàn bộ cấu hình sang Auxiliary một lần nữa.
Chỉ dùng khi trạng thái HA báo lỗi màu đỏ (ví dụ: Out of Sync hoặc Not synchronized).
  1. Switch to passive device (Chuyển sang thiết bị thụ động)
Giúp chuyển đổi vai trò (Failover thủ công).
Primary đang cấu hình sẽ lập tức khởi động lại (hoặc chuyển sang chế độ chờ), Auxiliary sẽ lên làm Primary
Khi bạn muốn Test xem HA có hoạt động thật không.
Khi bạn cần bảo trì/nâng cấp firmware cho con Chính và muốn chuyển mạng sang con Phụ để chạy tạm.
  1. Disable HA (Tắt HA)
Phá bỏ HA, tách 2 máy ra chạy riêng lẻ.
  1. Dòng chữ "This is an auxiliary device. You can't change the configuration from this device" là tín hiệu tốt nhất.
Nó xác nhận bạn đang truy cập đúng vào con Phụ (Auxiliary).
Nó cho biết con Phụ đã tự động khóa quyền chỉnh sửa để đảm bảo đồng bộ dữ liệu tuyệt đối với con Chính. (Bạn chỉ được xem, không được sửa tại đây là đúng).
  1. Trạng thái kết nối (Status):
Connected (Active-Passive): Hệ thống đã thông suốt.
SophosXG2 (Local): Đang là Auxiliary - Passive.
SophosXG1 (Peer): Đang là Primary - Active.
  1. Kết quả: Đồng bộ thành công
Việc bạn đăng nhập được vào giao diện này chứng tỏ đường truyền "Peer Admin" mà chúng ta vất vả cấu hình lúc nãy đã hoạt động thành công

3. Cấu hình HA Active-Active (QuickHA)​

Bước 1: Kiểm tra license của 2 firewall Sophos XG
1769345063128.png

1769345063134.png

Hình 2.1. Kiểm tra license trên 2 Firewall

1769345063139.png

Hình 2.2. Lỗi thường gặp khi cấu hình Active-Active

1. "You can't configure active-active HA if you turn on cellular WAN or set IP assignment to DHCP, Delegated, or PPPoE on any interface"
  1. Chế độ Active-Active bắt buộc tất cả các cổng mạng (WAN, LAN, DMZ...) phải sử dụng IP Tĩnh (Static IP).
  2. Không có cổng nào trên thiết bị của bạn đang được cài đặt ở chế độ DHCP (xin IP động), PPPoE (quay số mạng) hoặc bạn đang bật tính năng Cellular WAN (3G/4G).
2. Một lưu ý quan trọng của Active-Active. Dù bạn chạy Active-Active, quy trình xử lý thông tin diễn ra như sau:
  1. Bước 1 (Client gửi): Máy Client gửi gói tin đến Gateway (Virtual IP)
  2. Bước 2 (Primary nhận): Primary Node luôn là người nhận gói tin này đầu tiên (vì nó đang nắm giữ địa chỉ MAC của Virtual IP).
  3. Bước 3 (Phân loại - Load Balancing): Tại đây, Primary mới tính toán:
  4. TCP: Primary chuyển gói tin đó qua HA Link sang cho Auxiliary xử lý.
  5. Nếu KHÔNG (ví dụ Ping, UDP, VPN): Primary tự xử lý.
  6. Bước 4 (Xử lý): Auxiliary nhận được gói tin từ Primary chuyển sang, xử lý nó (quét virus, lọc web...), rồi đẩy ra Internet.
Bước 2: Cấu hình Auxiliary (QuickHA)
  1. Vào menu System Services > High Availability.
  2. Tại mục Initial Device Role, chọn Auxiliary
  3. Tại mục HA Configuration Mode, chọn QuickHA.
  4. QuickHA Interface: Chọn cổng bạn đã nối cáp HA (Port C).
  5. Lưu ý: Port C phải là port gốc chưa cần cấu hình gì cả. Không cần đặt IP cho cổng này, QuickHA sẽ tự dùng IP 169.254.x.x. (khác với chế độ Interactive mode)
  6. Passphrase: Đặt một mật khẩu bảo mật
  7. Nhấn Initiate HA- > Auxiliary sẽ chờ kết nối từ Primary đến
1769345063145.png

Hình 2.3. Cấu hình Auxiliary (QuickHA mode)

Bước 3: Cấu hình trên thiết bị Chính (Primary Node)
  1. Vào menu System Services > High Availability.
  2. Tại mục Initial Device Role, chọn Primary (Active-Active).
  3. Tại mục HA Configuration Mode, chọn QuickHA.
  4. QuickHA Interface: Chọn cổng bạn đã nối cáp HA (ví dụ: Port A hoặc Port DMZ).
Lưu ý: Không cần đặt IP cho cổng này, QuickHA sẽ tự dùng IP 169.254.x.x.
  1. Passphrase: Đặt một mật khẩu bảo mật (bạn phải nhớ mật khẩu này).
  2. Nhấn Initiate HA.
1769345063151.png

Hình 2.4. Cấu hình Primary (QuickHA mode)

Bước 4: Kiểm tra kết nối HA
1769345063158.png

Hình 2.5. Kết nối HA Active-Active

Sau khi Primary khởi tạo kết nối thành công, kiểm tra Port C
1769345063165.png

Hình 2.6. Kết quả Port C được cấu hình tự động với QuickHA mode


1769345063170.png

Hình 2.7. Truy cập Auxiliary thất bại

Bước 5: Cấu hình Peer Administration Settings để có thể truy cập vào Auxiliary
1769345063176.png

Hình 2.8. Cấu hình Peer Administration IP

1769345063185.png

Hình 2.9. Truy cập thành công vào Auxiliary sử dụng Peer Administration IP

Kiểm tra Port C trên Auxiliary
1769345063192.png

Hình 2.10. Port C được cấu hình tự động với QuickHA mode

Kết luận và lưu ý:
HA sau khi thiết lập kết nối thành công, Primary down thì truy cập vào Auxiliary bằng thông tin của Primary, vì nó đồng bộ cấu hình của 2 node.
Nếu Primary Up lại, sẽ đồng bộ cấu hình từ con phụ gốc (đang làm chính hiện tại) sang, nhưng mà do cơ chế không chiếm quyền nên là nó sẽ làm phụ và để truy cập được vào nó thì dùng ip Peer Administrator IP
 
Được quan tâm
DLP (Data Loss Prevention) bởi tayle,
Upgrade Firmware Sophos XG bởi tayle,
VPN Site-to-Site SOPHOS XG (P1) bởi tayle,
VPN Site-to-Site SOPHOS XG (P2) bởi tayle,
VPN Remote cho phép người dùng kết nối vào hệ thống nội bộ sử dụng Active Directory/User local (P1) bởi tayle,
Ngăn chặn Malware dựa vào Sandboxing bởi tayle,
Bài viết mới
VPN Remote cho phép người dùng kết nối vào hệ thống nội bộ sử dụng Active Directory/User local (P1) bởi tayle,
VPN Site-to-Site SOPHOS XG (P2) bởi tayle,
VPN Site-to-Site SOPHOS XG (P1) bởi tayle,
Upgrade Firmware Sophos XG bởi tayle,
DLP (Data Loss Prevention) bởi tayle,
Anti-virus/Anti-bot/Anti-spam bởi tayle,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top