HanaLink
Administrator
Trong bài viết này mình sẽ giới thiệu cũng như hướng dẫn các bạn cách cấu hình HA cho Sophos firewall, mình sử dụng Sophos Virtual Firewall version 21.0 trên môi trường VMWare.
Sophos hỗ trợ cấu hình tối đa 2 thiết bị trong cụm HA. Hai thiết bị này sẽ giao tiếp và đồng bộ thông tin cấu hình cũng như phiên kết nối thông qua một kết nối heartbeat, bao gồm một thiết bị gọi là Primary và một thiết bị còn lại là Auxiliary.
Sophos HA cho phép triển khai theo 2 mô hình:
Các điều kiện để xảy ra quá trình failover giữa 2 thiết bị HA với nhau:
Để cấu hình HA cho hệ thống, cần đảm bảo các điều kiện sau.
Tiếp theo mình sẽ hướng dẫn các bạn cấu hình HA cho Sophos với mode Active - Passive.
Bước 1: Đảm bảo các thiết bị đã được active đúng license như mình có đề cập trên. Trường hợp nếu bạn đang quản trị Sophos firewall trên Sophos Central, hãy Degister thiết bị, sau khi cấu hình HA thành công chúng ta sẽ register lại cả 2 thiết bị với Sophos Central. Kiểm tra thông tin này bằng cách truy cập vào GUI, ở mục SYSTEM > Sophos Central:
Sau đó hãy đảm bảo Turn off tính năng Cellular WAN trên cả 2 thiết bị, vào mục CONFIGURE > Network > Cellular WAN:
Bước 2: Cấu hình cho các Interface được sử dụng trong cụm HA. Truy cập vào GUI thiết bị, vào phần CONFIGURE > Network > Interfaces:
Đừng quên bật tính năng SSH cho cổng Dedicated HA Link, vào phần SYSTEM > Administration > Device access. tích chọn service SSH cho cổng DMZ và chọn Apply:
Lưu ý nhỏ nữa là nếu bạn đang cấu hình cho thiết bị Sophos ảo hóa, hãy bật tính năng promiscuous trên vSwitch bạn sử dụng cho thiết bị Sophos HA:
Bước 3: Truy cập thiết bị đóng vai trò Primary trong mô hình, vào phần CONFIGURE > System services > High availability:
Bước 4: Ở mục Initial device role, chọn Primary (active-passive):
Bước 5: Sophos hỗ trợ 2 cơ chế cấu hình:
Bước 6: Tiếp theo, bạn cần cấu hình Node name (tên định danh của thiết bị trong cụm HA) và Passphrase (khóa chia sẻ chung giữa 2 thiết bị HA, cần đảm bảo cấu hình tương tự giữa 2 thiết bị và có thể thay đổi giá trị tùy ý):
Bước 7: Chọn cổng làm Dedicated HA link:
Bước 8: Chọn Initiate HA:
Bước 9: Truy cập vào GUI của thiết bị Auxiliary, cấu hình chọn Role là Auxiliary, chọn mode là QuickHA, cấu hình Node name, cấu hình Passphrase tương tự như thiết bị Primary, chọn Dedicated HA Link và chọn Initiate HA:
Bước 10: Quá trình thiết lập HA giữa 2 thiết bị sẽ khá lâu, thiết bị Auxiliary sẽ cần reboot lại và đồng bộ thông tin cấu hình với thiết bị Primary. Sau khi cấu hình HA đã hoàn thành, bạn tiến hành truy cập lại GUI của thiết bị Primary, vào phần System service > High availability sẽ thấy được trạng thái HA của hệ thống:
Bước 11: Tiếp tục cấu hình 1 số thông tin khác cho thiết bị:
Bạn có thể xem thông tin cấu hình trên Auxiliary, ngoài khả năng xem thì trên Auxiliary bạn có thể thao tác 1 số cấu hình trong HA như:
Chúc các bạn thành công :">
I. Giới thiệu về cơ chế HA của Sophos
Sophos hỗ trợ cấu hình tối đa 2 thiết bị trong cụm HA. Hai thiết bị này sẽ giao tiếp và đồng bộ thông tin cấu hình cũng như phiên kết nối thông qua một kết nối heartbeat, bao gồm một thiết bị gọi là Primary và một thiết bị còn lại là Auxiliary.
Sophos HA cho phép triển khai theo 2 mô hình:
- Active - Passive: Mô hình triển khai để 1 thiết bị active sẽ đảm nhận xử lý tất cả các lưu lượng truy cập và đồng bộ cho thiết bị còn lại đang ở chế độ chờ. Khi thiết bị chính không khả dụng, quá trình failover sẽ diễn ra. Đối với mô hình này, license chỉ yêu cầu cho một thiết bị Primary, thiết bị Auxiliary chỉ cần kích hoạt license hỗ trợ.
- Active - Active: Mô hình triển khai để cả 2 thiết bị đều cùng active để cùng chia sẻ tải và xử lý lưu lượng, tuy nhiên thiết bị chính Primary sẽ nhận tất cả lưu lượng mạng và phân phối tải xuống cho thiết bị Auxiliary. Trường hợp nếu thiết bị Primary không khả dụng, quá trình failover sẽ diễn. Mô hình giúp tăng thông lượng hệ thống cao hơn. Đối với mô hình này, license yêu cầu cần kích hoạt trên cả 2 thiết bị. Tuy nhiên, để sử dụng mô hình Active - Active hãy lưu ý:
- Một số dịch vụ sẽ không được phân phối tải ví dụ UDP, ICMP, multicast, broadcast, Scanned FTP và H.323
- Một số tính năng sau sẽ không hỗ trợ cấu hình trong mô hình Active - Active: Wi-Fi models (không hỗ trợ HA), Cellular WAN (không hỗ trợ HA), DHCP, PPPoE, Synchronized Application Control (SAC), Firewall acceleration (FastPath offloading)
Các điều kiện để xảy ra quá trình failover giữa 2 thiết bị HA với nhau:
- Mất kết nối heartbeat: mặc định thiết bị sẽ gửi gói heartbeat mỗi 250 mili giây, nếu một thiết bị không nhận được 16 gói liên tiếp, thì nó sẽ chỉ định quá trình thiết bị kia không khả dụng.
- Một cổng kết nối trong cụm được giám sát trở nên không khả dụng: Khi cấu hình HA, người quản trị có thể chọn các cổng vật lý nào trên thiết bị trở thành cổng được giám sát (Monitored port).
- Thiết bị không khả dụng: Có thể do các nguyên nhân như mất nguồn, lỗi hardware hoặc lỗi software.
II. Điều kiện cấu hình HA
Để cấu hình HA cho hệ thống, cần đảm bảo các điều kiện sau.
- Đối với thiết bị firewall Sophos phần cứng:
- Cùng một dòng tường lửa và có thể khác phiên bản phần cứng
- Không áp dụng chp các mẫu Wifi của dòng XGS (ví dụng XGS 126w)
- Nếu thiết bị có sử dụng các module mở rộng cho các cổng Flexi, đảm bảo số lượng cổng Flexi giống nhau
- Cùng một phiên bản firmware, bao gồm cả bản phát hành bảo trì.
- Có thể cấu hình HA giữa 2 thiết bị phần cứng và ảo hóa với nhau
- Đối với thiết bị firewall Sophos phần mềm hoặc ảo hóa:
- Sử dụng cùng một loại hypervisor
- Đảm bảo tài nguyên phần cứng giống nhau như CPU, RAM, Storage
- Cùng số lượng giao diện kết nối mạng
- Cùng một phiên bản firmware, bao gồm cả bản phát hành bảo trì.
- Có thể cấu hình HA giữa 2 thiết bị phần cứng và ảo hóa với nhau
- Dedicated HA link: Đây là kết nối giúp 2 thiết bị trong cụm HA trao đổi trạng thái và đồng bộ thông tin với nhau.
- Phải là cổng ở mode DMZ, có thể sử dụng cổng vật lý, VLAN hoặc LAG
- Không có các cấu hình phụ thuộc nào nằm trên cổng này (ví dụ DHCP server)
- Đảm bảo 2 đầu kết nối của liên kết này giữa 2 thiết bị phải có cùng 1 subnet nhưng khác IP và IP được đặt cho cổng là IP tĩnh (không sử dụng DHCP), mặc định sau khi thiết lập HA, thiết bị sẽ nhận IP khác là 169.254.192.0/24
- Tùy chỉnh thông số MTU và MSS của cổng thành giá trị mặc định
- Bật tính năng SSH trên cổng này ở cả 2 thiết bị
- Monitored ports: Đây là kết nối được cơ chế HA giám sát và sẽ ảnh hưởng đến quá trình failover của hệ thống
- Cổng Monitored phải khác với cổng Dedicated HA
- Chỉ áp dụng cho những cổng có IP tĩnh (không cấu hình cho những cổng DHCP hoặc PPPoE)
- Administration ports: Đây là cổng giúp người quản trị có thể truy cập được giao diện của thiết bị Primary và Auxiliary
- Thông thường bạn sẽ không thể truy cập được giao diện của thiết bị Auxiliary, tuy nhiên nếu bạn cấu hình Administration Port thì bạn có thể chỉ định IP quản trị (cùng subnet với thiết bị Primary) để sử dụng trong trường hợp cần xem xét hoặc troubleshoot cho thiết bị Auxiliary.
- Khi bạn truy cập IP quản trị của thiết bị Auxiliary, bạn sẽ không được phép cấu hình, hay hiểu 1 cách đơn giản bạn chỉ có quyền Read, còn mọi thay đổi cấu hình sẽ được thao tác trên thiết bị Primary.
I. Cấu hình HA (mode Active - Passive)
Tiếp theo mình sẽ hướng dẫn các bạn cấu hình HA cho Sophos với mode Active - Passive.
Bước 1: Đảm bảo các thiết bị đã được active đúng license như mình có đề cập trên. Trường hợp nếu bạn đang quản trị Sophos firewall trên Sophos Central, hãy Degister thiết bị, sau khi cấu hình HA thành công chúng ta sẽ register lại cả 2 thiết bị với Sophos Central. Kiểm tra thông tin này bằng cách truy cập vào GUI, ở mục SYSTEM > Sophos Central:
Sau đó hãy đảm bảo Turn off tính năng Cellular WAN trên cả 2 thiết bị, vào mục CONFIGURE > Network > Cellular WAN:
Bước 2: Cấu hình cho các Interface được sử dụng trong cụm HA. Truy cập vào GUI thiết bị, vào phần CONFIGURE > Network > Interfaces:
| Primary | Auxiliary | |
|---|---|---|
| Dedicated HA link | Port C - Mode DMZ 10.10.10.1/30 | Port C - Mode DMZ 10.10.10.2/30 |
| Monitored port | Port B - Mode WAN - Static IP Trạng thái Up | Port B - Mode WAN - Static IP Trạng thái Up |
| Administration port | Port A - Mode LAN 10.30.179.11/24 | Port A - Mode LAN 10.30.179.12/24 |
- Thiết bị Primary:
- Thiết bị Auxiliary:
Đừng quên bật tính năng SSH cho cổng Dedicated HA Link, vào phần SYSTEM > Administration > Device access. tích chọn service SSH cho cổng DMZ và chọn Apply:
Lưu ý nhỏ nữa là nếu bạn đang cấu hình cho thiết bị Sophos ảo hóa, hãy bật tính năng promiscuous trên vSwitch bạn sử dụng cho thiết bị Sophos HA:
Bước 3: Truy cập thiết bị đóng vai trò Primary trong mô hình, vào phần CONFIGURE > System services > High availability:
Bước 4: Ở mục Initial device role, chọn Primary (active-passive):
Bước 5: Sophos hỗ trợ 2 cơ chế cấu hình:
- QuickHA: Với cơ chế này ban đầu chỉ cần bạn chỉ định vai trò của thiết bị Primary, tên Node và liên kết HA chuyên dụng, sau khi các thiết bị đã được cấu hình và thiết lập kết nối HA với nhau, bạn có thể tùy chỉnh các thông tin khác như Cổng giám sát, thiết bị ưu tiên...
- Interactive: Trong chế độ này, bạn cần cấu hình tất cả các thông tin cho thiết bị Auxiliary trước rồi sau đó là thiết bị Primary
Bước 6: Tiếp theo, bạn cần cấu hình Node name (tên định danh của thiết bị trong cụm HA) và Passphrase (khóa chia sẻ chung giữa 2 thiết bị HA, cần đảm bảo cấu hình tương tự giữa 2 thiết bị và có thể thay đổi giá trị tùy ý):
Bước 7: Chọn cổng làm Dedicated HA link:
Bước 8: Chọn Initiate HA:
Bước 9: Truy cập vào GUI của thiết bị Auxiliary, cấu hình chọn Role là Auxiliary, chọn mode là QuickHA, cấu hình Node name, cấu hình Passphrase tương tự như thiết bị Primary, chọn Dedicated HA Link và chọn Initiate HA:
Bước 10: Quá trình thiết lập HA giữa 2 thiết bị sẽ khá lâu, thiết bị Auxiliary sẽ cần reboot lại và đồng bộ thông tin cấu hình với thiết bị Primary. Sau khi cấu hình HA đã hoàn thành, bạn tiến hành truy cập lại GUI của thiết bị Primary, vào phần System service > High availability sẽ thấy được trạng thái HA của hệ thống:
Bước 11: Tiếp tục cấu hình 1 số thông tin khác cho thiết bị:
- Select ports to be monitored: Chọn Add new item để thêm Port muốn giám sát
- Peer administration settings: Sổ chọn Port quản trị và IP quản trị cho thiết bị Auxiliary
- Preferred primary device: Chỉ định thiết bị ưu tiên làm Primary
- Keepalive request interval: Tùy chỉnh thời gian mà thiết bị gửi gói keep-alive cho thiết bị còn lại thông qua Dedicated HA Link
- Keepalive attempts: Tùy chỉnh số lượng gói tin bắt đầu mất kết nối cho đến khi quá trình failover cho cụm HA diễn ra
- Use host or hypervisor-assigned MAC address: Đối với các thiết bị Sophos ảo hóa, tùy chọn này được sử dụng để chọn địa chỉ MAC được gán bởi hypervisor. Nếu bạn bật tùy chọn này, bạn sẽ không cần bật tính năng Promiscuous trên vSwitch nữa.
Bạn có thể xem thông tin cấu hình trên Auxiliary, ngoài khả năng xem thì trên Auxiliary bạn có thể thao tác 1 số cấu hình trong HA như:
- Sync auxiliary device: Tiến hành Restart thiết bị Auxiliary và đồng bộ cấu hình HA
- Disable HA: Gỡ cấu hình HA trên thiết bị Auxiliary, nếu bạn gỡ ở phía Auxiliary thì thiết bị Primary vẫn sẽ chạy cấu hình HA nhưng ở dạng một thiết bị đơn
- Switch to active device: Chuyển đổi thiết bị Active và Passive với nhau, thiết bị Active hiện tại sẽ restart và thiết bị đang Passive sẽ lên làm Active.
Chúc các bạn thành công :">
Attachments
Last edited: