Tường lửa Sophos XG/XGS v18.5: Hướng dẫn cấu hình High Availability (HA)
30/10/2021 08:57 3760 lần Chuyên mục: Bài viết kỹ thuật
High Availability (HA) là công nghệ clustering sử dụng để bảo đảm, duy trì dịch vụ không bị gián đoạn trong trường hợp gặp vấn đề về nguồn điện, phần cứng hoặc phần mềm bị lỗi. Điều này đảm bảo kết nối WAN, tính khả dụng của thiết bị và chuyển đổi dự phòng của lưu lượng và dịch vụ, giúp giảm thiểu thời gian chết và gián đoạn mạng. HA có thể được cấu hình ở các chế độ Active-Active hoặc Active-Passive HA mode. Các Thiết bị chính và phụ được kết nối vật lý qua một cổng liên kết HA.
Hướng dẫn cấu hình:
Trong bài viết này ta sẽ cấu hình High Availability (HA) cho phép bạn đặt hai tường lửa trong một nhóm và đồng bộ hóa cấu hình của chúng. Điều này ngăn chặn một điểm lỗi duy nhất trong mạng . Hai tường lửa có một kết nối heartbeat, đảm bảo chuyển đổi dự phòng nếu một trong các tường lửa gặp sự cố.
Yêu cầu về Hardware và Software
- Cả hai thiết bị High Availability (HA):Cùng model và SF-OS version, có cùng số lượng port.
- Đối với mode Active-Active HA, cả hai thiết bị phải được đăng ký có cùng loại license. Với mode Active-Passive HA, chỉ cần mua và active license cho thiết bị Primary, không cần license cho thiết bị Auxiliary.
- Hai thiết bị HA phải được kết nối vật lý qua cable. Cables phải kết nối và monitored tất cả các ports của hai thiết bị HA.
- Port dùng để kết nối HA giữa hai thiết bị phải thuộc DMZ zone. DMZ zone phải bật truy cập thiết bị qua SSH.
- Port kết nối HA có IP Address duy nhất và phải thuộc cùng một subnet.
- Disabled DHCP, PPPoE, WAN và LAN trước khi cấu hình HA.
HA implementation Diagram
Cấu hình Acitive-Passive High Availability(HA)
Bước 1: Cấu hình trên Auxiliary Device.
Trên tường lửa vào phần SYSTEM >> Administraton >> Device access >> bật SSH cho DMZ Zone.
Sau đó vào CONFIGURE >> System services >> High Availability.
Set Initial device role là Auxiliary >>Nhập Passpharase(sẽ cùng với mật khẩu trên primary device ) >> Chọn Port chọn kết nối HA với primary device thuộc DMZ zone
Chọn Initiate HA
Bước 2: Cấu hình trên Primary Device.
Vào Firewall Sophos sẽ làm Primary Device.
Trên tường lửa vào phần SYSTEM >> Administraton >> Device access >> bật SSH cho DMZ Zone.
Sau đó vào CONFIGURE >> System services >> High Availability.
Set Initial device role là Primary (active-passive) >> Nhập Passpharase(mật khẩu trên Auxiliary device ) >> Chọn Port chọn kết nối HA với Auxiliary device thuộc DMZ zone.
Chọn Initiate HA.
Bước 3: Kiểm tra.
Kiểm tra trạng thái của HA. Control Center>> System
Console: Main Menu >> Chọn 4. Device Console >> Nhập: console> System ha show details
Cấu hình Acitive-Active High Availability(HA).
Bước 1: Cấu hình trên Auxiliary Device.
Trên tường lửa vào phần SYSTEM >> Administraton >> Device access >> bật SSH cho DMZ Zone.
Sau đó vào CONFIGURE >> System services >> High Availability.
Set Initial device role là Auxiliary >>Nhập Passpharase(sẽ cùng với mật khẩu trên primary device ) >> Chọn Port chọn kết nối HA với primary device thuộc DMZ zone
Chọn Initiate HA
Bước 2: Cấu hình trên Primary Device.
Vào Firewall Sophos sẽ làm Primary Device.
Trên tường lửa vào phần SYSTEM >> Administraton >> Device access >> bật SSH cho DMZ Zone.
Sau đó vào CONFIGURE >> System services >> High Availability.
Set Initial device role là Primary (active-active) >> Nhập Passpharase(mật khẩu trên Auxiliary device ) >> Chọn Port chọn kết nối HA với Auxiliary device thuộc DMZ zone.
Chọn Initiate HA.
Bước 3: Kiểm tra.
Kiểm tra trạng thái của HA. Control Center>> System
Console: Main Menu >> Chọn 4. Device Console >> Nhập: console> System ha show details
Kết thúc.
Tham khảo thêm: Tường lửa Sophos XG/XGS v18.5: Hướng dẫn cấu hình SD-WAN VPN orchestration
Fan page: Công ty Cổ Phần DASS
