Sophos [LAB 2] Cấu Hình HA Mode Active-Passive Trên SophosXG

phile

Internship/Fresher
Jan 4, 2021
71
15
8
CẤU HÌNH HA MODE ACTIVE-PASSIVE TRÊN SOPHOSXG

Tài liệu này hướng dẫn cấu hình HA mode Active-Passive trên SophosXG v18.0.5
Để cấu hình được HA trên Sophos thì có các yêu cầu sau:

  • Hai thiết bị phải giống nhau về model và revision.
  • Hai thiết bị phải được register​
  • Hai thiết bị phải giống nhau về số cổng​
  • Hai thiết bị phải giống nhau về firmware version installed​
1. Mô hình và yêu cầu của bài lab
a. Mô hình bài lab
1629604475340.png

b. Yêu cầu bài lab
Cấu hình cặp firewall internal chạy HA với nhau một con chạy Active và một con Passive để khi con chạy các link hoặc con chạy Active xảy ra vấn đề thì con Passive sẽ tiếp tục forward traffic và giảm thiểu thời gian downtime của hệ thống.
2. Cấu hình HA Active-Passive trên SophosXG
a. Cấu hình trên Active
Trước tiên chúng ta cần đặt ip cho các cổng của SophosXG, default Port1 sẽ thuộc zone LAN còn Port2 sẽ thuộc zone WAN.
Để đặt ip cho cổng ta vào giao diện console chọn mục 1 Network Configuration sau đó chọn mục 1 Interface Configuration. Lúc này Sophos hỏi chúng ta muôn thay đổi ip không thì chọn Y.
1628958656204.png
1628958662862.png

1628961245228.png


Sau khi đã đặt ip ta truy cập vào ip cổng zone LAN bằng port 4444: https://172.16.199.251:4444 lúc này sẽ xuất hình giao diện như hình rồi chọn Click to begin
1628961223054.png

Tiếp theo tại phần Basic Configuration ta cần đặt lại password cho tài khoản admin (default password là admin). Ở chỗ này ta sẽ thấy 2 option Restore backup và Connect as HA spare:
  • Restore backup là option cho phép ta upload config của 1 con sophos đã có vào con mới.
  • Connect as HA spare cho phép ta cấu hình con sophos mới kết nối vào HA với con sophos đã được cấu hình HA mà không cần phải cấu hình các bước setup.
Trong bài lab ta sẽ cài mới hoàn toàn nên sẽ chọn tích vào ô Sophos End User License Agreement rồi chọn Continue
1628961207354.png

Ở phần Internet Connection ta tiến hành cấu hình ip cho cổng thuộc zone WAN cũng như cấu hình gateway và DNS cho nó rồi sau đó Sophos sẽ tiến hành test kết nối Internet nếu thành công sẽ hiện như hình bên dưới. Ngoài ra ở đây ta cũng có thể cấu hình mà không cần kết nối bằng cách chọn option Continue offine.
1628958821704.png
1628958830893.png

1628961182812.png

Ở phần Name and time zone ta sẽ cấu hình tên cho firewall và thời gian cho nó
1628961145901.png

Tiếp theo ở phần Register your firewall nếu có serial number thì bạn nhập vào còn không có ta sẽ chọn phần I don’t have a serial number(start a trial) lúc này sophos sẽ cho ta sẽ dụng license free trong 30 ngày hoặc không bạn cũng có thể chọn option I do not register now nó sẽ yêu cầu register sau khi bạn login trở lại vào sophos.
1628961130303.png

Sau khi chọn Continue ở hình trên, lúc này ta cần đăng nhập vào để register firewall rồi chấp nhận các thông tin kết quả là thiết bị của chúng ta đã register thành công như hình bên dưới
1628958910802.png
1628958921479.png

Tiếp theo ta chỉ cần chọn Continue ở các mục Network Configuration (LAN), Network Protection và Notifications and Backups rồi view lại các cấu hình ở phần Configuraton summary và nhấn finish rồi chờ vài phút để thiết bị khởi động lại
1628958956333.png
1628958969476.png

1628958979366.png
1628958997260.png

Sau khi thiết bị khởi động xong ta truy cập vào lại giao diện web thiết bị với password đã thay đổi ở trên
1628961097791.png

Tiếp theo ta sẽ tiến hành cấu hình link HA, để link HA có thể hoạt động thì nó cần có ip và thuộc zone DMZ ở phần Network
1628961075542.png

Sau đó ta sẽ vào phần Administration->Device access và cho phép chạy SSH thì HA link mới hoạt động được
1628961048690.png

Sau đó ta thiết lập thông số cho HA bằng các vào System services-> High availability
  • Chọn mode HA và chọn role của thiết bị ở bài này ta sẽ chọn Primary(Active-Passive)
  • Phần HA configuration mode ta chọn Interactive mode(sẽ cho phép ta chỉnh các thông số trong HA)
  • Phần Cluster ID có thể chọn 0 hoặc các số khác tùy các bạn
  • Phần Passphrase ta có thể thay đổi hoặc để sophos tự sinh ra thông số này phải giống nhau giữa 2 con tham gia HA
  • Phần Delicated HA Link chọn port đã cấu hình ở trên
  • Phần Delicated peer HA link Ipv4 address là địa ip của HA link của con thiết bị còn lại
  • Phần select ports to be monitored ta chọn các interface muốn moniter vào (nếu interface khi được monitor xảy ra sự cố thì thiết bị sẽ chuyển sang trạng thái Faulty và con Passive sẽ lên làm forward traffic)
  • Phần Peer administration settings ta sẽ chọn interface mà có thể truy cập được các thiết bị (khi HA mode Active-Passive hoạt động cấu hình sẽ được đồng bộ giữa 2 thiết bị nên để có thể truy cập vào con Passive ta sẽ sử dụng ip của cổng này)
  • Ta có thể cấu hình preemt để thiết bị Active sẽ chiếm lại quyền khi nó xảy ra lỗi và trở lại bình thường(recommand không nên dùng vì nó sẽ làm hệ thống bị downtime nhiều hơn để con Active lấy lại quyền) trong phần Fall back to primary device after it recovers.
1628961024237.png

Sau khi nhấn Save thiết bị ở trạng thái Active
1628960990956.png

b. Cấu hình trên con Passive
Cũng tương tự như cấu hình trên con Active sẽ cấu hình ip trong console và vào giao diện Web: https://172.16.199.252:4444 ở phần Basic Configuration sau khi đặt password ta chọn option Connect as HA spare ở đây ta sẽ cấu hình ip cho HA link, nhập serial number và Passphrase trên con Active.
1628959645551.png
1628959649927.png

Trong phần Internet connection ta chọn Continue offline vì sau khi join HA nó sẽ đồng bộ IP cổng zone WAN trên công Active
1628960955882.png

Sau đó ta chọn finish phần Configuration summary
1628960120089.png

Lúc này vào giao diện console ta sẽ thấy log nó join vào HA
1628959689272.png

Ta kiểm tra lại trên web thì thấy được kết quả như hình sau.
1628960048196.png

Phi​
 

Attachments

  • 1628955933933.png
    1628955933933.png
    127.4 KB · Views: 0
  • 1628958579282.png
    1628958579282.png
    53.9 KB · Views: 0
  • 1628958645624.png
    1628958645624.png
    53.9 KB · Views: 0
  • 1628958722086.png
    1628958722086.png
    17.5 KB · Views: 0
  • 1628958755205.png
    1628958755205.png
    108.9 KB · Views: 0
  • 1628958781446.png
    1628958781446.png
    97.9 KB · Views: 0
  • 1628958858923.png
    1628958858923.png
    92.5 KB · Views: 0
  • 1628958878125.png
    1628958878125.png
    101.9 KB · Views: 0
  • 1628958896515.png
    1628958896515.png
    111.7 KB · Views: 0
  • 1628958983769.png
    1628958983769.png
    100.5 KB · Views: 0
  • 1628958986683.png
    1628958986683.png
    100.5 KB · Views: 0
  • 1628959014820.png
    1628959014820.png
    110.5 KB · Views: 0
  • 1628959047802.png
    1628959047802.png
    90 KB · Views: 0
  • 1628959060668.png
    1628959060668.png
    114.3 KB · Views: 0
  • 1628959421820.png
    1628959421820.png
    81.9 KB · Views: 0
  • 1628959604427.png
    1628959604427.png
    115.5 KB · Views: 0
  • 1628959665457.png
    1628959665457.png
    92.6 KB · Views: 0
  • 1628959676479.png
    1628959676479.png
    84.3 KB · Views: 0
  • 1628959699603.png
    1628959699603.png
    103 KB · Views: 0
  • 1628961273131.png
    1628961273131.png
    424.6 KB · Views: 0
Last edited:
  • Like
Reactions: gani

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu