LAB FIREWALL PALO ALTO Phần 2: Cấu hình HA Active/Passive

pluto

pluto

Internship/Fresher
Sep 8, 2020
51
11
8
LAB FIREWALL PALO ALTO
Phần 2: Cấu hình HA Active/Passive
5. Cấu hình HA Active/Passive
5.1 Yêu cầu trước khi cấu hình HA
a)Check các yêu cầu cấu hình HA
Để cấu hình HA Active/Passive hai thiết bị Firewall phải có các đặc điểm dưới đây:
  • Cùng Model: PA-VM
  • Cùng version các tính năng sau đây:
  • Software Version(trong bài LAB là 10.0.4)
  • GlobalProtect Agent(Nếu có)
  • Application Version(Nếu có)
  • Threat Version(Nếu có)
  • Antivirus Version(Nếu có)
  • Cùng Licese:
  • License GlobalProtect Gateway(Nếu có)
  • License Threat Prevention(Nếu có)
  • Premium Partner(Nếu có)
PAN01
1616086827933.jpeg



PAN02
1616086853939.jpeg


b)Backup cấu hình hiện tại
Thực hiện backup cấu hình trước khi cấu hình HA, trong trường cấu hình fail, có thể sử dụng file backup để roll back về cấu hình trước đó, đảm bảo tính an toàn cho hệ thống đang chạy.

Để thực hiện backup cấu hình hiện tại của firewall, chọn DEVICE> Setup> Save named configuration snapshot:
1616086878259.jpeg




Nhập tên cấu hình muốn lưu, sau đó chọn OK:
1616086894409.jpeg





Xuất hiện thông báo đã lưu cấu hình, chọn Close để tiếp tục:
1616086909852.jpeg



Để đảm bảo, xuất file backup vừa lưu ra hệ thống bên ngoài, để lưu trữ ra ổ cứng bên ngoài, đề phòng trường hợp bị mất file cấu hình trên firewall. Để xuất file backup, chọn DEVICE> Setup>Export named configuration snapshot:
1616086933088.jpeg




Chọn tên bản backup muốn export(file backup ở trên), sau đó chọn OK:
1616086948449.jpeg





Chọn thư mục muốn lưu bản backup, sau đó chọn Save:
1616086964575.jpeg




Ngoài ra ta cũng có thể Xuất thông tin trạng thái tường lửa dưới dạng một gói device_state_cfg.tgz , gói này ngoài file cấu hình running config, còn bao gồm thêm thông tin Certificate, thông tin về GlobalProtect và Thông tin trạng thái bao gồm Device Group và cài đặt Mẫu được đẩy về từ Panorama.Chọn DEVICE>Setup>Operations> Export device state:
1616086982601.jpeg



Chọn thư mục chứa, sau đó chọn Save:
1616086996858.jpeg




Như vậy , đã thực hiện xong bước Backup cấu hình Firewall, thực hiện tương tự với Firewall còn lại, chú ý đặt tên để phân biệt, tránh nhầm lẫn giữa các thiết bị Firewall.

5.2 Cấu hình HA trên thiết bị PAN01
a) Enable interface HA
Xem lại bảng sizing các interface PAN01:
1616087020935.jpeg



Theo bảng sizing trên, sử dụng:
  • ethernet1/4: sử dụng để cấu hình HA1
  • ethernet1/5: sử dụng để cấu hình HA1-Backup
  • ethernet1/6: sử dụng để cấu hình HA2
Tiếp theo, cấu hình enable interface HA cho các interface trên.

Chọn NETWORK>Interfaces>Ethernet:
1616087039571.jpeg



Chọn interface ethernet1/4, tại Interface Type, chọn HA, sau đó chọn OK:
1616087096722.jpeg




Thực hiện tương tự với ethernet1/5, ethernet1/6:
1616087142665.jpeg

1616087150797.jpeg




Sau khi cấu hình enable interface HA, trạng thái của các interface trên PAN01 như sau:
1616087170045.jpeg



b) Cấu hình HA trên PAN01
Để cấu hình HA, xem lại thông tin interface của PAN01 và PAN02:
1616087219127.jpeg

1616087210443.jpeg




Để thực hiện Edit cấu hình, chọn biểu tượng
1616087274131.jpeg
tại mỗi phần để Edit:
1616087287136.jpeg




Để cấu hình HA trên PAN01, chọn DEVICE>High Availability:
1616087252371.jpeg




Tại tab General, cấu hình bảng Setup, bảng Election Settings như các tùy chọn dưới đây.

Bảng Setup, chọn như hình dưới, sau đó chọn OK:
  • Chọn Enable HA.
  • Group ID: 10(Hai thiết bị PAN01 và PAN02 phải giống Group ID).
  • Mode: chọn Active Passive.
  • Chọn Enable Config Sync.
  • Peer HA1 IP Address: Địa chỉ IP HA1 của PAN02(theo bảng sizing là 172.16.10.10)
  • Backup Peer IP Address: Địa chỉ Backup IP HA1 của PAN02(theo bảng sizing là 172.16.20.10).
1616087335553.jpeg



Bảng Election Settings, chọn như hình dưới, sau đó chọn OK:
  • Device Priority: Priority của PAN01 là 100 – (PAN02 là 120, do đó PAN01 là Active, PAN02 là Passive)
  • Chọn Preemptive.
  • Chọn Heartbeat Backup.
  • HA Timer Settings: Recommended.
1616087353791.jpeg




Bảng Active/Passive Settings, chọn như hình bên dưới, sau đó chọn OK:
  • Passive Link State: Auto
  • Monitor Fail Hold Down Time: 1
1616087371723.jpeg



Sau khi cấu hình xong Tab General, review lại cấu hình như hình bên dưới:
1616087387536.jpeg




Tại tab HA Communications, cấu hình các bảng HA1, HA1 Backup, HA2 như bên dưới đây.

Bảng HA1, cấu hình như bên dưới, sau đó chọn OK:
  • Chọn Port ethernet1/4 để làm đường HA1.
  • IPv4 Address: 172.16.10.9 (địa chỉ của port HA1 của PAN01).
  • Netmask 255.255.255.252
1616087423163.jpeg




Bảng HA1 Backup, cấu hình như bên dưới, sau đó chọn OK:
  • Chọn Port ethernet1/5 làm đường HA1 Backup.
  • IPv4 Address: 172.16.20.9 (địa chỉ port HA1 Backup của PAN01)
  • Netmask: 255.255.255.252
1616087450732.jpeg



Bảng HA2, cấu hình như bên dưới, sau đó chọn OK:
  • Chọn Port ethernet1/6 làm đường HA2.
  • Chọn Enable Session Synchronization.
  • IPv4: 172.16.30.9
  • Netmask: 255.255.255.252
  • Transport: ethernet
1616087477191.jpeg



Sau khi cấu hình xong Tab HA Communications, review lại cấu hình như hình bên dưới:
1616087490890.jpeg



c) Cấu hình Link Monitoring trên PAN01
Tại tab Link and Path Monitoring, cấu hình như dưới đây.

Bảng Link Monitoring, cấu hình như hình bên dưới, sau đó chọn OK.
  • Chọn Enabled.
  • Failure Condition: Any(điều kiện chuyển đổi dự phòng khi có một cổng vật lý hoặc một nhóm vật lý được giám sát có trạng thái Link down)
1616087528544.jpeg




Bảng Link Group: Chỉ định một cổng vật lý hoặc một nhóm vật lý để giám sát. Để thêm vào Link Group, chọn Add:
1616087545651.jpeg



Tạo Nhóm có tên Internet, gồm có ethernet1/1, sau đó chọn OK:
1616087564295.jpeg


Tạo nhóm có tên Internal01, gồm có ethernet1/2, sau đó chọn OK:
1616087579437.jpeg


Tạo nhóm có tên Internal02, gồm có ethernet1/3, sau đó chọn OK:
1616087592371.jpeg



Sau khi cấu hình xong Tab HA Communications, review lại cấu hình như hình bên dưới:
1616087605933.jpeg



5.3 Cấu hình HA trên thiết bị PAN02
a) Enable interface HA

Xem lại bảng sizing các interface PAN02:
1616087625654.jpeg



Theo bảng sizing trên, sử dụng:
  • ethernet1/4: sử dụng để cấu hình HA1
  • ethernet1/5: sử dụng để cấu hình HA1-Backup
  • ethernet1/6: sử dụng để cấu hình HA2
Tiếp theo, cấu hình enable interface HA cho các interface trên.

Chọn NETWORK>Interfaces>Ethernet:
1616087646768.jpeg



Chọn interface ethernet1/4, tại Interface Type, chọn HA, sau đó chọn OK:
1616087661803.jpeg



Thực hiện tương tự với ethernet1/5, ethernet1/6:
1616087676082.jpeg

1616087681185.jpeg



Sau khi cấu hình enable interface HA, trạng thái của các interface trên PAN01 như sau:
1616087695091.jpeg



b) Cấu hình HA trên PAN02
Để cấu hình HA trên PAN02, chọn DEVICE>High Availability:
1616087711912.jpeg



Tại tab General, cấu hình bảng Setup, bảng Election Settings như các tùy chọn dưới đây.

Bảng Setup, chọn như hình dưới, sau đó chọn OK:
  • Chọn Enable HA.
  • Group ID: 10(Hai thiết bị PAN01 và PAN02 phải giống Group ID).
  • Mode: chọn Active Passive.
  • Chọn Enable Config Sync.
  • Peer HA1 IP Address: Địa chỉ IP HA1 của PAN01(theo bảng sizing là 172.16.10.9)
  • Backup Peer IP Address: Địa chỉ Backup IP HA1 của PAN01(theo bảng sizing là 172.16.20.9).
1616087747470.jpeg



Bảng Election Settings, chọn như hình dưới, sau đó chọn OK:
  • Device Priority: Priority của PAN02 là 120 – (PAN01 là 100, do đó PAN01 là Active, PAN02 là Passive)
  • Chọn Preemptive.
  • Chọn Heartbeat Backup.
  • HA Timer Settings: Recommended.
1616087769917.jpeg




Bảng Active/Passive Settings, chọn như hình bên dưới, sau đó chọn OK:
  • Passive Link State: Auto
  • Monitor Fail Hold Down Time: 1
1616087789180.jpeg



Sau khi cấu hình xong Tab General, review lại cấu hình như hình bên dưới:
1616087801974.jpeg



Tại tab HA Communications, cấu hình các bảng HA1, HA1 Backup, HA2 như bên dưới đây.

Bảng HA1, cấu hình như bên dưới, sau đó chọn OK:
  • Chọn Port ethernet1/4 để làm đường HA1.
  • IPv4 Address: 172.16.10.10 (địa chỉ của port HA1 của PAN02).
  • Netmask 255.255.255.252
1616087823409.jpeg




Bảng HA1 Backup, cấu hình như bên dưới, sau đó chọn OK:
  • Chọn Port ethernet1/5 làm đường HA1 Backup.
  • IPv4 Address: 172.16.20.10 (địa chỉ port HA1 Backup của PAN02)
  • Netmask: 255.255.255.252.
1616087842259.jpeg




Bảng HA2, cấu hình như bên dưới, sau đó chọn OK:
  • Chọn Port ethernet1/6 làm đường HA2.
  • Chọn Enable Session Synchronization.
  • IPv4: 172.16.30.10
  • Netmask: 255.255.255.252
  • Transport: ethernet
1616087858172.jpeg





Sau khi cấu hình xong Tab HA Communications, review lại cấu hình như hình bên dưới:
1616087871292.jpeg



Sau khi hoàn tất cấu hình trên PAN01 và PAN02, tiết hành Commit trên PAN01 và PAN02:
1616087884935.jpeg




PAN02:
1616087898431.jpeg






5.4 Cấu hình sau đã HA thành công
Sau khi cấu hình HA, chọn DASHBOARD, trạng thái bảng High Availiability của PAN01 như sau:
1616087915424.jpeg



Trạng thái bảng High Availiability của PAN02 như sau:
1616087927186.jpeg




Như vậy, đã hoàn tất cấu hình HA cho hai thiết bị tường lửa PAN01 và PAN02.

Tuy nhiên, cấu hình của PAN01 chưa được đồng bộ sang cấu hình của PAN02, do đó cần thực hiện tiếp các bước dưới đây:

a) Cấu hình đồng bộ config từ PAN01 sang PAN02
Để cấu hình đồng bộ config từ PAN01 sang PAN02, trên thiết bị PAN01, chọn DASHBOARD, tại Tab High Availability, chọn Sync to peer:
1616087943432.jpeg




Chọn Yes để tiếp tục:
1616087959949.jpeg



Đợi một khoảng thời gian, trạng thái của PAN01 như sau:
1616087972278.jpeg



Trạng thái của PAN02 như sau:
1616087985150.jpeg




Như vậy, đã hoàn thành cấu hình HA và đồng bộ cấu hình giữa 2 Firewall PAN01 và PAN02.

Tuy nhiên, lúc này , trên PAN02 vẫn chưa cấu hình Link Monitoring, do đó, thực hiện bước tiếp theo.


b) Cấu hình Link Monitoring trên PAN02
Trên thiết bị PAN02, thực hiện tương tự cấu hình Link and Path Monitoring như trên thiết bị PAN01, chọn DEVICE> High Availability> Link and Path Moniroing.

Review lại cấu hình như hình dưới đây, sau đó Commit cấu hình trên PAN02.
1616088004568.jpeg
 

Attachments

  • 1616087411459.jpeg
    1616087411459.jpeg
    43.7 KB · Views: 0
  • 1616087472222.jpeg
    1616087472222.jpeg
    51.8 KB · Views: 0
Last edited:
You must log in or register to reply here.

Similar Threads

[LAB-14] Cấu hình tính năng Zone Protection trên PAN VM-series
Palo Alto [LAB-14] Cấu hình tính năng Zone Protection trên PAN VM-series
Replies
0
Views
756
phile
P
[LAB-13] Cấu hình tính năng DoS Protection trên PAN VM-series
Palo Alto [LAB-13] Cấu hình tính năng DoS Protection trên PAN VM-series
Replies
0
Views
790
phile
P
[LAB-12] Cấu hình tính năng Data Filtering trên PAN VM-series
Palo Alto [LAB-12] Cấu hình tính năng Data Filtering trên PAN VM-series
Replies
0
Views
1K
phile
P
[LAB-11] Cấu hình tính năng WildFire Analysis trên PAN VM-series
Palo Alto [LAB-11] Cấu hình tính năng WildFire Analysis trên PAN VM-series
Replies
0
Views
1K
phile
P
[LAB-10] Cấu hình tính năng File Blocking trên PAN VM-series
Palo Alto [LAB-10] Cấu hình tính năng File Blocking trên PAN VM-series
Replies
0
Views
679
phile
P

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

Home Forums Contact us

User Menu

Login
Top Bottom
Back