TuanKhai3112
Intern
Mục lục
I. Các thành phần trong mô hình
II. Nội dung triển khai
1. Cấu hình High Availability (HA) với IP ảo CARP
2. Cấu hình đồng bộ cấu hình giữa Master và Backup
3. Thiết lập backup tự động và thử restore cấu hình
III. Kết luận
I. Các thành phần trong mô hình
II. Nội dung triển khai
1. Cấu hình High Availability (HA) với IP ảo CARP
Vào Status :
Vào status :
Vào thử bằng IP ảo CARP :
Sau đó tắt máy Master :
Opnsense backup sẽ thành master và vẫn truy cập web được :
2. Cấu hình đồng bộ cấu hình giữa Master và Backup
Trên Master :
3. Thiết lập backup tự động và thử restore cấu hình
Vào System > Configuration > Backups :
Cũng cõ thể restore qua console mục 13 :
III. Kết luận
I. Các thành phần trong mô hình
II. Nội dung triển khai
1. Cấu hình High Availability (HA) với IP ảo CARP
2. Cấu hình đồng bộ cấu hình giữa Master và Backup
3. Thiết lập backup tự động và thử restore cấu hình
III. Kết luận
I. Các thành phần trong mô hình
- OPNsense Master
- Giao diện WAN: NAT kết nối ra Internet.
- Giao diện LAN (vmnet5): IP 192.168.1.2, kết nối với các máy Kali, Windows, Ubuntu.
- Chạy Suricata và đóng vai trò chính (Master) trong hệ thống HA.
- Quản lý IP ảo CARP: 192.168.1.1
- OPNsense Backup (máy thêm vào ở bài lab này )
- Giao diện WAN: NAT kết nối ra Internet.
- Giao diện LAN (vmnet5): IP 192.168.1.3, cùng subnet với Master.
- Dự phòng tự động, sẽ tiếp nhận IP ảo CARP khi Master gặp sự cố.
- Đồng bộ cấu hình từ Master qua tính năng HA Sync.
- IP ảo CARP
- IP: 192.168.1.3
- Là gateway cho toàn bộ máy trong mạng LAN.
- Tự động chuyển đổi giữa Master ↔ Backup khi có sự cố xảy ra.
- Máy Windows 7 (IP: 192.168.1.10)
- Gắn card mạng vmnet5.
- Là máy mục tiêu để kiểm tra cảnh báo từ Suricata (scan port, brute-force, v.v.).
- Máy Kali Linux (IP: 192.168.1.20)
- Gắn 2 card mạng:
- NAT (kết nối Internet).
- vmnet5 (gửi lưu lượng nội bộ).
- Dùng để tạo traffic kiểm thử như ping, scan, HTTPS, brute-force, v.v.
- Máy Ubuntu (IP: 192.168.1.30)
- Gắn 2 card mạng:
- NAT (kết nối Internet).
- vmnet5 (kết nối nội bộ).
- Sử dụng để gửi và phân tích log Suricata, có thể cài đặt hệ thống giám sát như Graylog.
II. Nội dung triển khai
1. Cấu hình High Availability (HA) với IP ảo CARP
- Chuẩn bị :
- Master OPNsense: 192.168.1.1
- Backup OPNsense: 192.168.1.2
- IP ảo CARP (Shared): 192.168.1.3/24
- Cùng kết nối mạng LAN vmnet5
- Cấu hình IP ảo CARP :
- Vào Interfaces > Assignments > Virtual IPs
Master :
Vào Status :
Máy backup :
Vào status :
Vào thử bằng IP ảo CARP :
Sau đó tắt máy Master :
Opnsense backup sẽ thành master và vẫn truy cập web được :
2. Cấu hình đồng bộ cấu hình giữa Master và Backup
Trên Master :
- Vào System > High Availability Sync
- Nhập IP node Backup: 192.168.1.2
- Điền tài khoản admin và password
- Tick các mục cần đồng bộ:
- Firewall
- IDS/IPS
- NAT,...
3. Thiết lập backup tự động và thử restore cấu hình
Vào System > Configuration > Backups :
Cũng cõ thể restore qua console mục 13 :
III. Kết luận
- Qua quá trình triển khai mô hình, hệ thống đã được cấu hình hoạt động ở chế độ High Availability (HA) sử dụng OPNsense Master–Backup với IP ảo CARP, đảm bảo tính sẵn sàng khi có sự cố xảy ra với node chính. Khi node Master bị ngắt kết nối hoặc tắt máy, node Backup sẽ tự động tiếp quản và duy trì hoạt động bình thường của hệ thống mà không làm gián đoạn lưu lượng mạng.
- Bên cạnh đó, việc cấu hình backup định kỳ giúp đảm bảo an toàn cấu hình hệ thống, sẵn sàng khôi phục (restore) trong trường hợp cấu hình bị lỗi hoặc cần rollback. Chức năng restore có thể thực hiện được thông qua console hoặc Web GUI tùy nhu cầu, đảm bảo sự linh hoạt và thuận tiện cho quản trị viên.
- Việc kết hợp giữa HA và backup giúp nâng cao tính ổn định, độ tin cậy và khả năng khôi phục sự cố của hệ thống IPS/IDS, từ đó đảm bảo hệ thống giám sát và phát hiện tấn công luôn được duy trì liên tục trong môi trường mạng doanh nghiệp.
Đính kèm
Bài viết liên quan
Được quan tâm
Bài viết mới