pluto
Moderator
LAB FIREWALL PALO ALTO
Phần 2: Cấu hình HA Active/Passive
5. Cấu hình HA Active/PassivePhần 2: Cấu hình HA Active/Passive
5.1 Yêu cầu trước khi cấu hình HA
a)Check các yêu cầu cấu hình HA
Để cấu hình HA Active/Passive hai thiết bị Firewall phải có các đặc điểm dưới đây:
- Cùng Model: PA-VM
- Cùng version các tính năng sau đây:
- Software Version(trong bài LAB là 10.0.4)
- GlobalProtect Agent(Nếu có)
- Application Version(Nếu có)
- Threat Version(Nếu có)
- Antivirus Version(Nếu có)
- Cùng Licese:
- License GlobalProtect Gateway(Nếu có)
- License Threat Prevention(Nếu có)
- Premium Partner(Nếu có)
PAN02
b)Backup cấu hình hiện tại
Thực hiện backup cấu hình trước khi cấu hình HA, trong trường cấu hình fail, có thể sử dụng file backup để roll back về cấu hình trước đó, đảm bảo tính an toàn cho hệ thống đang chạy.
Để thực hiện backup cấu hình hiện tại của firewall, chọn DEVICE> Setup> Save named configuration snapshot:
Nhập tên cấu hình muốn lưu, sau đó chọn OK:
Xuất hiện thông báo đã lưu cấu hình, chọn Close để tiếp tục:
Để đảm bảo, xuất file backup vừa lưu ra hệ thống bên ngoài, để lưu trữ ra ổ cứng bên ngoài, đề phòng trường hợp bị mất file cấu hình trên firewall. Để xuất file backup, chọn DEVICE> Setup>Export named configuration snapshot:
Chọn tên bản backup muốn export(file backup ở trên), sau đó chọn OK:
Chọn thư mục muốn lưu bản backup, sau đó chọn Save:
Ngoài ra ta cũng có thể Xuất thông tin trạng thái tường lửa dưới dạng một gói device_state_cfg.tgz , gói này ngoài file cấu hình running config, còn bao gồm thêm thông tin Certificate, thông tin về GlobalProtect và Thông tin trạng thái bao gồm Device Group và cài đặt Mẫu được đẩy về từ Panorama.Chọn DEVICE>Setup>Operations> Export device state:
Chọn thư mục chứa, sau đó chọn Save:
Như vậy , đã thực hiện xong bước Backup cấu hình Firewall, thực hiện tương tự với Firewall còn lại, chú ý đặt tên để phân biệt, tránh nhầm lẫn giữa các thiết bị Firewall.
5.2 Cấu hình HA trên thiết bị PAN01
a) Enable interface HA
Xem lại bảng sizing các interface PAN01:
Theo bảng sizing trên, sử dụng:
- ethernet1/4: sử dụng để cấu hình HA1
- ethernet1/5: sử dụng để cấu hình HA1-Backup
- ethernet1/6: sử dụng để cấu hình HA2
Chọn NETWORK>Interfaces>Ethernet:
Chọn interface ethernet1/4, tại Interface Type, chọn HA, sau đó chọn OK:
Thực hiện tương tự với ethernet1/5, ethernet1/6:
Sau khi cấu hình enable interface HA, trạng thái của các interface trên PAN01 như sau:
b) Cấu hình HA trên PAN01
Để cấu hình HA, xem lại thông tin interface của PAN01 và PAN02:
Để thực hiện Edit cấu hình, chọn biểu tượng
Để cấu hình HA trên PAN01, chọn DEVICE>High Availability:
Tại tab General, cấu hình bảng Setup, bảng Election Settings như các tùy chọn dưới đây.
Bảng Setup, chọn như hình dưới, sau đó chọn OK:
- Chọn Enable HA.
- Group ID: 10(Hai thiết bị PAN01 và PAN02 phải giống Group ID).
- Mode: chọn Active Passive.
- Chọn Enable Config Sync.
- Peer HA1 IP Address: Địa chỉ IP HA1 của PAN02(theo bảng sizing là 172.16.10.10)
- Backup Peer IP Address: Địa chỉ Backup IP HA1 của PAN02(theo bảng sizing là 172.16.20.10).
Bảng Election Settings, chọn như hình dưới, sau đó chọn OK:
- Device Priority: Priority của PAN01 là 100 – (PAN02 là 120, do đó PAN01 là Active, PAN02 là Passive)
- Chọn Preemptive.
- Chọn Heartbeat Backup.
- HA Timer Settings: Recommended.
Bảng Active/Passive Settings, chọn như hình bên dưới, sau đó chọn OK:
- Passive Link State: Auto
- Monitor Fail Hold Down Time: 1
Sau khi cấu hình xong Tab General, review lại cấu hình như hình bên dưới:
Tại tab HA Communications, cấu hình các bảng HA1, HA1 Backup, HA2 như bên dưới đây.
Bảng HA1, cấu hình như bên dưới, sau đó chọn OK:
- Chọn Port ethernet1/4 để làm đường HA1.
- IPv4 Address: 172.16.10.9 (địa chỉ của port HA1 của PAN01).
- Netmask 255.255.255.252
Bảng HA1 Backup, cấu hình như bên dưới, sau đó chọn OK:
- Chọn Port ethernet1/5 làm đường HA1 Backup.
- IPv4 Address: 172.16.20.9 (địa chỉ port HA1 Backup của PAN01)
- Netmask: 255.255.255.252
Bảng HA2, cấu hình như bên dưới, sau đó chọn OK:
- Chọn Port ethernet1/6 làm đường HA2.
- Chọn Enable Session Synchronization.
- IPv4: 172.16.30.9
- Netmask: 255.255.255.252
- Transport: ethernet
Sau khi cấu hình xong Tab HA Communications, review lại cấu hình như hình bên dưới:
c) Cấu hình Link Monitoring trên PAN01
Tại tab Link and Path Monitoring, cấu hình như dưới đây.
Bảng Link Monitoring, cấu hình như hình bên dưới, sau đó chọn OK.
- Chọn Enabled.
- Failure Condition: Any(điều kiện chuyển đổi dự phòng khi có một cổng vật lý hoặc một nhóm vật lý được giám sát có trạng thái Link down)
Bảng Link Group: Chỉ định một cổng vật lý hoặc một nhóm vật lý để giám sát. Để thêm vào Link Group, chọn Add:
Tạo Nhóm có tên Internet, gồm có ethernet1/1, sau đó chọn OK:
Tạo nhóm có tên Internal01, gồm có ethernet1/2, sau đó chọn OK:
Tạo nhóm có tên Internal02, gồm có ethernet1/3, sau đó chọn OK:
Sau khi cấu hình xong Tab HA Communications, review lại cấu hình như hình bên dưới:
5.3 Cấu hình HA trên thiết bị PAN02
a) Enable interface HA
Xem lại bảng sizing các interface PAN02:
Theo bảng sizing trên, sử dụng:
- ethernet1/4: sử dụng để cấu hình HA1
- ethernet1/5: sử dụng để cấu hình HA1-Backup
- ethernet1/6: sử dụng để cấu hình HA2
Chọn NETWORK>Interfaces>Ethernet:
Chọn interface ethernet1/4, tại Interface Type, chọn HA, sau đó chọn OK:
Thực hiện tương tự với ethernet1/5, ethernet1/6:
Sau khi cấu hình enable interface HA, trạng thái của các interface trên PAN01 như sau:
b) Cấu hình HA trên PAN02
Để cấu hình HA trên PAN02, chọn DEVICE>High Availability:
Tại tab General, cấu hình bảng Setup, bảng Election Settings như các tùy chọn dưới đây.
Bảng Setup, chọn như hình dưới, sau đó chọn OK:
- Chọn Enable HA.
- Group ID: 10(Hai thiết bị PAN01 và PAN02 phải giống Group ID).
- Mode: chọn Active Passive.
- Chọn Enable Config Sync.
- Peer HA1 IP Address: Địa chỉ IP HA1 của PAN01(theo bảng sizing là 172.16.10.9)
- Backup Peer IP Address: Địa chỉ Backup IP HA1 của PAN01(theo bảng sizing là 172.16.20.9).
Bảng Election Settings, chọn như hình dưới, sau đó chọn OK:
- Device Priority: Priority của PAN02 là 120 – (PAN01 là 100, do đó PAN01 là Active, PAN02 là Passive)
- Chọn Preemptive.
- Chọn Heartbeat Backup.
- HA Timer Settings: Recommended.
Bảng Active/Passive Settings, chọn như hình bên dưới, sau đó chọn OK:
- Passive Link State: Auto
- Monitor Fail Hold Down Time: 1
Sau khi cấu hình xong Tab General, review lại cấu hình như hình bên dưới:
Tại tab HA Communications, cấu hình các bảng HA1, HA1 Backup, HA2 như bên dưới đây.
Bảng HA1, cấu hình như bên dưới, sau đó chọn OK:
- Chọn Port ethernet1/4 để làm đường HA1.
- IPv4 Address: 172.16.10.10 (địa chỉ của port HA1 của PAN02).
- Netmask 255.255.255.252
Bảng HA1 Backup, cấu hình như bên dưới, sau đó chọn OK:
- Chọn Port ethernet1/5 làm đường HA1 Backup.
- IPv4 Address: 172.16.20.10 (địa chỉ port HA1 Backup của PAN02)
- Netmask: 255.255.255.252.
Bảng HA2, cấu hình như bên dưới, sau đó chọn OK:
- Chọn Port ethernet1/6 làm đường HA2.
- Chọn Enable Session Synchronization.
- IPv4: 172.16.30.10
- Netmask: 255.255.255.252
- Transport: ethernet
Sau khi cấu hình xong Tab HA Communications, review lại cấu hình như hình bên dưới:
Sau khi hoàn tất cấu hình trên PAN01 và PAN02, tiết hành Commit trên PAN01 và PAN02:
PAN02:
5.4 Cấu hình sau đã HA thành công
Sau khi cấu hình HA, chọn DASHBOARD, trạng thái bảng High Availiability của PAN01 như sau:
Trạng thái bảng High Availiability của PAN02 như sau:
Như vậy, đã hoàn tất cấu hình HA cho hai thiết bị tường lửa PAN01 và PAN02.
Tuy nhiên, cấu hình của PAN01 chưa được đồng bộ sang cấu hình của PAN02, do đó cần thực hiện tiếp các bước dưới đây:
a) Cấu hình đồng bộ config từ PAN01 sang PAN02
Để cấu hình đồng bộ config từ PAN01 sang PAN02, trên thiết bị PAN01, chọn DASHBOARD, tại Tab High Availability, chọn Sync to peer:
Chọn Yes để tiếp tục:
Đợi một khoảng thời gian, trạng thái của PAN01 như sau:
Trạng thái của PAN02 như sau:
Như vậy, đã hoàn thành cấu hình HA và đồng bộ cấu hình giữa 2 Firewall PAN01 và PAN02.
Tuy nhiên, lúc này , trên PAN02 vẫn chưa cấu hình Link Monitoring, do đó, thực hiện bước tiếp theo.
b) Cấu hình Link Monitoring trên PAN02
Trên thiết bị PAN02, thực hiện tương tự cấu hình Link and Path Monitoring như trên thiết bị PAN01, chọn DEVICE> High Availability> Link and Path Moniroing.
Review lại cấu hình như hình dưới đây, sau đó Commit cấu hình trên PAN02.
Đính kèm
Sửa lần cuối:
Bài viết liên quan
Bài viết mới