HOTLINE Kỹ Thuật: 098.114.9449

Tường lửa Sophos XG/XGS v18.5: Hướng dẫn cấu hình High Availability (HA)

30/10/2021 08:57 4141 lần Chuyên mục: Bài viết kỹ thuật

High Availability (HA) là công nghệ clustering sử dụng để bảo đảm, duy trì dịch vụ không bị gián đoạn trong trường hợp gặp vấn đề về nguồn điện, phần cứng hoặc phần mềm bị lỗi. Điều này đảm bảo kết nối WAN, tính khả dụng của thiết bị và chuyển đổi dự phòng của lưu lượng và dịch vụ, giúp giảm thiểu thời gian chết và gián đoạn mạng. HA có thể được cấu hình ở các chế độ Active-Active hoặc Active-Passive HA mode. Các Thiết bị chính và phụ được kết nối vật lý qua một cổng liên kết HA.

Hướng dẫn cấu hình:

Trong bài viết này ta sẽ cấu hình High Availability (HA) cho phép bạn đặt hai tường lửa trong một nhóm và đồng bộ hóa cấu hình của chúng. Điều này ngăn chặn một điểm lỗi duy nhất trong mạng . Hai tường lửa có một kết nối heartbeat, đảm bảo chuyển đổi dự phòng nếu một trong các tường lửa gặp sự cố.

Yêu cầu về Hardware và Software

  • Cả hai thiết bị High Availability (HA):Cùng model và SF-OS version, có cùng số lượng port.
  • Đối với mode Active-Active HA, cả hai thiết bị phải được đăng ký có cùng loại license. Với mode Active-Passive HA, chỉ cần mua và active license cho thiết bị Primary, không cần license cho thiết bị Auxiliary.
  • Hai thiết bị HA phải được kết nối vật lý qua cable. Cables phải kết nối và monitored tất cả các ports của hai thiết bị HA.
  • Port dùng để kết nối HA giữa hai thiết bị phải thuộc DMZ zone. DMZ zone phải bật truy cập thiết bị qua SSH.
  • Port kết nối HA có IP Address duy nhất và phải thuộc cùng một subnet.
  • Disabled DHCP, PPPoE, WAN và LAN trước khi cấu hình HA.

HA implementation Diagram

Cấu hình Acitive-Passive High Availability(HA)

Bước 1: Cấu hình trên Auxiliary Device.

Trên tường lửa vào phần SYSTEM >> Administraton >> Device access >> bật SSH cho DMZ Zone.

 

Sau đó vào CONFIGURE >> System services  >> High Availability.

Set Initial device roleAuxiliary >>Nhập Passpharase(sẽ cùng với mật khẩu trên primary device ) >> Chọn Port chọn kết nối HA với primary device thuộc DMZ zone

Chọn Initiate HA

Bước 2: Cấu hình trên Primary Device.

Vào  Firewall Sophos sẽ làm Primary Device.

Trên tường lửa vào phần SYSTEM >> Administraton >> Device access >> bật SSH cho DMZ Zone.

Sau đó vào CONFIGURE >> System services  >> High Availability.

Set Initial device rolePrimary (active-passive) >> Nhập Passpharase(mật khẩu trên Auxiliary device ) >> Chọn Port chọn kết nối HA với Auxiliary device thuộc DMZ zone.

Chọn Initiate HA.

Bước 3: Kiểm tra.

Kiểm tra trạng thái của HA. Control Center>> System 

Console: Main Menu >> Chọn 4. Device Console >> Nhập: console> System ha show details

 

Cấu hình Acitive-Active High Availability(HA).

Bước 1: Cấu hình trên Auxiliary Device.

Trên tường lửa vào phần SYSTEM >> Administraton >> Device access >> bật SSH cho DMZ Zone.

Sau đó vào CONFIGURE >> System services  >> High Availability.

Set Initial device roleAuxiliary >>Nhập Passpharase(sẽ cùng với mật khẩu trên primary device ) >> Chọn Port chọn kết nối HA với primary device thuộc DMZ zone

Chọn Initiate HA

Bước 2: Cấu hình trên Primary Device.

Vào  Firewall Sophos sẽ làm Primary Device.

Trên tường lửa vào phần SYSTEM >> Administraton >> Device access >> bật SSH cho DMZ Zone.

Sau đó vào CONFIGURE >> System services  >> High Availability.

Set Initial device rolePrimary (active-active) >> Nhập Passpharase(mật khẩu trên Auxiliary device ) >> Chọn Port chọn kết nối HA với Auxiliary device thuộc DMZ zone.

Chọn Initiate HA.

Bước 3: Kiểm tra.

Kiểm tra trạng thái của HA. Control Center>> System 

Console: Main Menu >> Chọn 4. Device Console >> Nhập: console> System ha show details

 

Kết thúc.

 

Tham khảo thêm: Tường lửa Sophos XG/XGS v18.5: Hướng dẫn cấu hình SD-WAN VPN orchestration

Fan page: Công ty Cổ Phần DASS