Sophos [LAB 2] Cấu Hình HA Mode Active-Passive Trên SophosXG

Tài liệu này hướng dẫn cấu hình HA mode Active-Passive trên SophosXG v18.0.5
Để cấu hình được HA trên Sophos thì có các yêu cầu sau:

• Hai thiết bị phải giống nhau về model và revision. ​
• Hai thiết bị phải được register​
• Hai thiết bị phải giống nhau về số cổng​
• Hai thiết bị phải giống nhau về firmware version installed​

1. Mô hình và yêu cầu của bài lab

Cấu hình cặp firewall internal chạy HA với nhau một con chạy Active và một con Passive để khi con chạy các link hoặc con chạy Active xảy ra vấn đề thì con Passive sẽ tiếp tục forward traffic và giảm thiểu thời gian downtime của hệ thống.
2. Cấu hình HA Active-Passive trên SophosXG
Trước tiên chúng ta cần đặt ip cho các cổng của SophosXG, default Port1 sẽ thuộc zone LAN còn Port2 sẽ thuộc zone WAN.
Để đặt ip cho cổng ta vào giao diện console chọn mục 1 Network Configuration sau đó chọn mục 1 Interface Configuration. Lúc này Sophos hỏi chúng ta muôn thay đổi ip không thì chọn Y.



Sau khi đã đặt ip ta truy cập vào ip cổng zone LAN bằng port 4444: https://172.16.199.251:4444 lúc này sẽ xuất hình giao diện như hình rồi chọn Click to begin

Tiếp theo tại phần Basic Configuration ta cần đặt lại password cho tài khoản admin (default password là admin). Ở chỗ này ta sẽ thấy 2 option Restore backup và Connect as HA spare:

• Restore backup là option cho phép ta upload config của 1 con sophos đã có vào con mới.
• Connect as HA spare cho phép ta cấu hình con sophos mới kết nối vào HA với con sophos đã được cấu hình HA mà không cần phải cấu hình các bước setup.

Trong bài lab ta sẽ cài mới hoàn toàn nên sẽ chọn tích vào ô Sophos End User License Agreement rồi chọn Continue

Ở phần Internet Connection ta tiến hành cấu hình ip cho cổng thuộc zone WAN cũng như cấu hình gateway và DNS cho nó rồi sau đó Sophos sẽ tiến hành test kết nối Internet nếu thành công sẽ hiện như hình bên dưới. Ngoài ra ở đây ta cũng có thể cấu hình mà không cần kết nối bằng cách chọn option Continue offine.


Ở phần Name and time zone ta sẽ cấu hình tên cho firewall và thời gian cho nó

Tiếp theo ở phần Register your firewall nếu có serial number thì bạn nhập vào còn không có ta sẽ chọn phần I don’t have a serial number(start a trial) lúc này sophos sẽ cho ta sẽ dụng license free trong 30 ngày hoặc không bạn cũng có thể chọn option I do not register now nó sẽ yêu cầu register sau khi bạn login trở lại vào sophos.

Sau khi chọn Continue ở hình trên, lúc này ta cần đăng nhập vào để register firewall rồi chấp nhận các thông tin kết quả là thiết bị của chúng ta đã register thành công như hình bên dưới

Tiếp theo ta chỉ cần chọn Continue ở các mục Network Configuration (LAN), Network Protection và Notifications and Backups rồi view lại các cấu hình ở phần Configuraton summary và nhấn finish rồi chờ vài phút để thiết bị khởi động lại


Sau khi thiết bị khởi động xong ta truy cập vào lại giao diện web thiết bị với password đã thay đổi ở trên

Tiếp theo ta sẽ tiến hành cấu hình link HA, để link HA có thể hoạt động thì nó cần có ip và thuộc zone DMZ ở phần Network

Sau đó ta sẽ vào phần Administration->Device access và cho phép chạy SSH thì HA link mới hoạt động được

Sau đó ta thiết lập thông số cho HA bằng các vào System services-> High availability

• Chọn mode HA và chọn role của thiết bị ở bài này ta sẽ chọn Primary(Active-Passive)
• Phần HA configuration mode ta chọn Interactive mode(sẽ cho phép ta chỉnh các thông số trong HA)
• Phần Cluster ID có thể chọn 0 hoặc các số khác tùy các bạn
• Phần Passphrase ta có thể thay đổi hoặc để sophos tự sinh ra thông số này phải giống nhau giữa 2 con tham gia HA
• Phần Delicated HA Link chọn port đã cấu hình ở trên
• Phần Delicated peer HA link Ipv4 address là địa ip của HA link của con thiết bị còn lại
• Phần select ports to be monitored ta chọn các interface muốn moniter vào (nếu interface khi được monitor xảy ra sự cố thì thiết bị sẽ chuyển sang trạng thái Faulty và con Passive sẽ lên làm forward traffic)
• Phần Peer administration settings ta sẽ chọn interface mà có thể truy cập được các thiết bị (khi HA mode Active-Passive hoạt động cấu hình sẽ được đồng bộ giữa 2 thiết bị nên để có thể truy cập vào con Passive ta sẽ sử dụng ip của cổng này)
• Ta có thể cấu hình preemt để thiết bị Active sẽ chiếm lại quyền khi nó xảy ra lỗi và trở lại bình thường(recommand không nên dùng vì nó sẽ làm hệ thống bị downtime nhiều hơn để con Active lấy lại quyền) trong phần Fall back to primary device after it recovers.

Sau khi nhấn Save thiết bị ở trạng thái Active

Cũng tương tự như cấu hình trên con Active sẽ cấu hình ip trong console và vào giao diện Web: https://172.16.199.252:4444 ở phần Basic Configuration sau khi đặt password ta chọn option Connect as HA spare ở đây ta sẽ cấu hình ip cho HA link, nhập serial number và Passphrase trên con Active.

Trong phần Internet connection ta chọn Continue offline vì sau khi join HA nó sẽ đồng bộ IP cổng zone WAN trên công Active

Sau đó ta chọn finish phần Configuration summary

Lúc này vào giao diện console ta sẽ thấy log nó join vào HA

Ta kiểm tra lại trên web thì thấy được kết quả như hình sau.