Inter-VLAN là phương pháp được thiết lập có hiệu quả nhất bằng cách cung cấp một liên kết trunk duy nhất giữa Switch và Router mà có thể mang lưu lượng truy cập của nhiều VLAN và trong đó các lưu lượng ấy lần lượt có thể được định tuyến bởi Router.

Với Inter-VLAN Routing, Router nhận frame từ Switch với gói tin xuất phát từ một VLAN đã được tag. Nó liên kết các frame với các subinterface thích hợp và sau đó giải mã nội dung của frame (phần IP packet). Router sau đó thực hiện chức năng của Layer 3 dựa trên địa chỉ mạng đích có trong gói tin IP để xác định subinterface cần chuyển tiếp gói IP. Các IP packet bây giờ được đóng gói thành frame theo chuẩn dot1Q (hoặc ISL) để nhận dạng VLAN của subinterface chuyển tiếp và truyền đi trên đường trunk vào Switch.

2.Sơ đồ mạng

Chi tiết sơ đồ mạng:

Chúng ta sẽ có các thiết bị như sau:

• Palo Alto Firewall là thiết bị dùng để thiết lập chính sách ra vào, cấp phát DHCP, VLAN.
• Switch Core là thiết bị dùng để phân phối các IP và VLAN xuống cho các máy tính.
• 3 thiết bị có tên là PC1, PC2, PC3 chạy Windows 7.

3.Tình huống cấu hình

Chúng ta sẽ thực hiện cấu hình Subinterface, DHCP, Virutal Router, chính sách cho phép giao tiếp giữa các VLAN trên thiết bị Palo Alto Firewall và Switch để khi các máy tính kết nối vào sẽ nhận được đúng IP từ VLAN theo như sơ đồ mạng.

4.Các bước thực hiện

Palo Alto Firewall:

• Tạo Address Object.
• Cấu hình Subinterface.
• Tạo DHCP ứng với từng Subinterface.
• Tạo Virtual Router
• Tạo chính sách cho phép lớp mạng của các Subinterface giao tiếp với nhau.

Switch:

• Tạo các VLAN và assign port vào VLAN.
• Thực hiện trunk port.

Kiểm tra kết quả.

5.Hướng dẫn cấu hình

5.1.Palo Alto Firewall

5.1.1.Tạo Address Objects

Chúng ta sẽ thực hiện định nghĩa các subnet của từng VLAN bằng cách tạo Address Object.

Để tạo vào Object > Addresses > nhấn Add.

Tạo Address Object cho subnet 10.145.41.0/24 của VLAN 10 với các thông số sau:

• Name: VLAN10
• Type: IP Netmask – 10.145.41.0/24
• Nhấn OK.

Tương tự chúng ta tạo Address Object cho subnet 10.145.42.0/24 của VLAN 20 với các thông số sau:

• Name: VLAN20
• Type: IP Netmask – 10.145.42.0/24
• Nhấn OK.

Tương tự chúng ta tạo Address Object cho subnet 10.145.43.0/24 của VLAN 30 với các thông số sau:

• Name: VLAN30
• Type: IP Netmask – 10.145.43.0/24
• Nhấn OK.

Nhấn Commit và OK để lưu các thay đổi cấu hình.

5.1.2.Cấu hình Subinterface.

Như sơ đồ mạng chúng ta có 3 VLAN là 10,20,30 nên chúng ta sẽ cần tạo 3 Subinterface và đặt IP cho nó theo như sơ đồ mạng.

Trên thiết bị tường lửa Palo Alto, để tạo được các Subinterface trên một cổng vật lý chúng ta cần phải thiết lập IP cho cổng vật lý đó trước tiên.

Vì vậy theo như sơ đồ chúng ta sẽ thực hiện đặt IP 10.145.40.254/24 cho cổng ethernet1/2.

Để thiết lập vào Network > Interfaces > Ethernet > nhấn chuột trái vào tên của interface ethernet1/2 và cấu hình như sau.

Tab Config:

• Interface type: Layer3
• Security Zone: LAN

Tab IPv4:

• Type: Static
• Click Add và nhập IP 10.145.40.254/24 theo như sơ đồ mạng.
• Nhấn OK.

Để tạo Subinterface cho VLAN 10 trên port ethernet1/2 chúng ta vào Network > Interfaces > Ethernet > nhấn chuột trái vào dòng có chứa cổng ethernet1/2 và nhấn Add Subinterface:

Tab Config:

• Interface Name: ethernet1/2.10
• Tag: 10
• Security Zone: LAN
• Nhấn OK

Tab IPv4:

• Type: Static
• Click Add và nhập IP 10.145.41.254/24 theo như sơ đồ mạng.
• Nhấn OK

Tương tự chúng ta cũng tạo Subinterface cho VLAN 20 với các thông số sau:

Tab Config:

• Interface Name: ethernet1/2.20
• Tag: 20
• Security Zone: LAN
• Nhấn OK

Tab IPv4:

• Type: Static
• Click Add và nhập IP 10.145.42.254/24 theo như sơ đồ mạng.
• Nhấn OK

Tương tự chúng ta cũng tạo Subinterface cho VLAN 30 với các thông số sau:

Tab Config:

• Interface Name: ethernet1/2.30
• Tag: 30
• Security Zone: LAN
• Nhấn OK

Tab IPv4:

• Type: Static
• Click Add và nhập IP 10.145.43.254/24 theo như sơ đồ mạng.
• Nhấn OK

Nhấn Commit và OK để lưu những thay đổi cấu hình.

5.1.3.Tạo DHCP ứng với từng Subinterface

Tiếp theo chúng ta cần tạo DHCP để khi các máy tính kết nối vào sẽ tự động nhận được IP.

Để tạo DHCP vào Network > DHCP > DHCP Server > Add.

Tạo DHCP cho Subinterface ethernet1/2.10 với các thông số sau:

Tab Lease:

• Interface: ethernet1/2.10
• Mode: enabled
• IP POOLS: Click Add và nhập vào dãy IP sẽ cấp phát 10.145.41.1 – 10.145.41.10

Tab Options:

• Gateway: nhập vào IP của cổng Subinterface ethernet1/2.10 là 10.145.41.254/24.
• Subnet Mask: 255.255.255.0.
• Nhấn OK.

Tương tự chúng ta tạo DHCP cho Subinterface ethernet1/2.20 theo các thông số sau:

Tab Lease:

• Interface: ethernet1/2.20
• Mode: enabled
• IP POOLS: Click Add và nhập vào dãy IP sẽ cấp phát 10.145.42.1 – 10.145.42.10

Tab Options:

• Gateway: nhập vào IP của cổng Subinterface ethernet1/2.20 là 10.145.42.254/24.
• Subnet Mask: 255.255.255.0.
• Nhấn OK.

Tương tự chúng ta tạo DHCP cho Subinterface ethernet1/2.30 theo các thông số sau:

Tab Lease:

• Interface: ethernet1/2.30
• Mode: enabled
• IP POOLS: Click Add và nhập vào dãy IP sẽ cấp phát 10.145.43.1 – 10.145.43.10

Tab Options:

• Gateway: nhập vào IP của cổng Subinterface ethernet1/2.30 là 10.145.43.254/24.
• Subnet Mask: 255.255.255.0.
• Nhấn OK.

Nhấn Commit và OK để lưu những thay đổi cấu hình.

5.1.4.Tạo Virtual Router

Để tạo Virutal Router chúng ta vào Network > Virtual Routers > nhấn Add.

Tạo Virtual Router với các thông số sau:

• Name: VR1
• Tại bảng INTERFACES nhấn Add và thêm 3 Subinterface là ethernet1/2.10, ethernet1/2.20 và ethenet1/2.30.
• Nhấn OK.

5.1.5.Tạo chính sách cho phép lớp mạng của các Subinterface giao tiếp với nhau

Để các máy tính thuộc các Suinterface khác nhau có thể giao tiếp với nhau, chúng ta cần tạo 1 policy cho phép điều này xảy ra.

Để tạo vào Policies > Secuirty > nhấn Add và tạo với các thông số như hình sau.

5.2.Switch

5.2.1.Tạo các VLAN và assign port vào VLAN

Chúng ta sẽ thực hiện tạo VLAN 10,20,30 và assign các port vào đúng VLAN theo như sơ đồ mạng.

Tạo VLAN 10 và assign port Gi0/1 vào bằng câu lệnh sau.

Switch(config)#vlan 10

Switch(config-vlan)#exit

Switch(config)#interface gigabitEthernet 0/1

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 10

Switch(config-if)#no shutdown

Tượng tự tạo VLAN 10 và assign port Gi0/2 vào bằng câu lệnh sau.

Switch(config)#vlan 20

Switch(config-vlan)#interface gigabitEthernet 0/2

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 20

Switch(config-if)#no shutdown

Tượng tự tạo VLAN 30 và assign port Gi0/3 vào bằng câu lệnh sau.

Switch(config)#vlan 30

Switch(config-vlan)#exit

Switch(config)#interface gigabitEthernet 0/3

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 30

Switch(config-if)#no shutdown

5.2.2.Thực hiện trunk port

Chúng ta sẽ cấu hình trunk cho port Gi0/0 bằng câu hình sau.

Switch(config)#interface gigabitEthernet 0/0

Switch(config-if)#switchport trunk encapsulation dot1Q

Switch(config-if)#switchport mode trunk

Switch(config-if)#no shutdown

5.3.Kiểm tra kết quả.

PC 1 đã nhận được IP từ DHCP Pool của VLAN 10.

Tương tự PC 2 và PC 3 cũng nhận được IP từ DHCP Pool của VLAN 20 và VLAN 30.

Chúng ta sẽ kiểm tra khả năng giao tiếp giữa các VLAN bằng cách ping giữa các máy tính PC 1, PC 2 và PC 3.

Kết quả ping từ PC 3 sang PC 2.

Kết quả ping từ PC 1 sang PC 2.

Kết quả ping từ PC 1 sang PC 3.

Kết quả cho thấy các máy tính tại các vlan khác nhau đều có thể giao tiếp với nhau.

Inter-VLAN là phương pháp được thiết lập có hiệu quả nhất bằng cách cung cấp một liên kết trunk duy nhất giữa Switch và Router mà có thể mang lưu lượng truy cập của nhiều VLAN và trong đó các lưu lượng ấy lần lượt có thể được định tuyến bởi Router.

Với Inter-VLAN Routing, Router nhận frame từ Switch với gói tin xuất phát từ một VLAN đã được tag. Nó liên kết các frame với các subinterface thích hợp và sau đó giải mã nội dung của frame (phần IP packet). Router sau đó thực hiện chức năng của Layer 3 dựa trên địa chỉ mạng đích có trong gói tin IP để xác định subinterface cần chuyển tiếp gói IP. Các IP packet bây giờ được đóng gói thành frame theo chuẩn dot1Q (hoặc ISL) để nhận dạng VLAN của subinterface chuyển tiếp và truyền đi trên đường trunk vào Switch.

2.Sơ đồ mạng

Chi tiết sơ đồ mạng:

Chúng ta sẽ có các thiết bị như sau:

• Sophos Firewall là thiết bị dùng để thiết lập chính sách ra vào, cấp phát DHCP, VLAN.
• Switch Core là thiết bị dùng để phân phối các IP và VLAN xuống cho các máy tính.
• 3 thiết bị có tên là PC1, PC2, PC3 chạy Windows 7.

3.Tình huống cấu hình

Chúng ta sẽ thực hiện cấu hình interface VLAN, DHCP, chính sách cho phép giao tiếp giữa các VLAN trên thiết bị Sophos Firewall và Switch để khi các máy tính kết nối vào sẽ nhận được đúng IP từ VLAN theo như sơ đồ mạng.

4.Các bước thực hiện

Sophos Firewall:

• Tạo IP Host.
• Cấu hình interface VLAN.
• Tạo DHCP ứng với từng interface VLAN.
• Tạo chính sách cho phép các VLAN giao tiếp với nhau.

Switch:

• Tạo các VLAN và assign port vào VLAN.
• Thực hiện trunk port.

Kiểm tra kết quả.

5.Hướng dẫn cấu hình

5.1.Sophos Firewall

5.1.1.Tạo IP Host

Chúng ta sẽ thực hiện định nghĩa các subnet của từng VLAN bằng cách tạo IP Host.

Để tạo vào Hosts and services > IP Host > nhấn Add.

Tạo IP Host cho subnet 10.145.41.0/24 của VLAN 10 với các thông số sau:

• Name: VLAN10
• IP version: IPv4
• Type: Network
• IP address/Subnet: 10.145.41.0/24.
• Nhấn Save.

Tương tự chúng ta tạo IP Host cho subnet 10.145.42.0/24 của VLAN 20 với các thông số sau:

• Name: VLAN20
• IP version: IPv4
• Type: Network
• IP address/Subnet: 10.145.42.0/24.
• Nhấn Save.

Tương tự chúng ta tạo IP Host cho subnet 10.145.43.0/24 của VLAN 30 với các thông số sau:

• Name: VLAN30
• IP version: IPv4
• Type: Network
• IP address/Subnet: 10.145.43.0/24.
• Nhấn Save.

5.1.2.Cấu hình interface VLAN.

Như sơ đồ mạng chúng ta có 3 VLAN là 10,20,30 nên chúng ta sẽ cần tạo 3 interface VLAN và đặt IP cho nó theo như sơ đồ mạng.

Để tạo interface VLAN cho VLAN 10 trên PortA chúng ta vào Network > Interfaces > Add interface > Add VLAN và cấu hình theo các thông số sau:

• Name: VLAN 10
• Interface: PortA
• Zone: LAN
• VLAN ID : 10
• IP assignment:  Static
• IPv4/netmask: 10.145.41.254/24
• Nhấn Save

Tương tự chúng ta cũng tạo interface VLAN cho VLAN 20 với các thông số sau:

• Name: VLAN 20
• Interface: PortA
• Zone: LAN
• VLAN ID : 20
• IP assignment:  Static
• IPv4/netmask: 10.145.42.254/24
• Nhấn Save

Tương tự chúng ta cũng tạo interface VLAN cho VLAN 30 với các thông số sau:

• Name: VLAN 30
• Interface: PortA
• Zone: LAN
• VLAN ID : 30
• IP assignment:  Static
• IPv4/netmask: 10.145.43.254/24
• Nhấn Save

5.1.3.Tạo DHCP ứng với từng interface VLAN

Tiếp theo chúng ta cần tạo DHCP để khi các máy tính kết nối vào sẽ tự động nhận được IP.

Để tạo DHCP vào Network > DHCP > Add.

Tạo DHCP cho interface VLAN 10 với các thông số sau:

• Name: DHCP_VLAN10
• Interface: chọn VLAN10 – 10.145.41.254 từ danh sách thả xuống
• Dynamic IP Lease: 10.145.41.1 – 10.145.41.10
• Subnet mask: /24 [255.255.255.0]
• Nhấn Save.

Tương tự chúng ta tạo DHCP cho interface VLAN 20 theo các thông số sau:

• Name: DHCP_VLAN20
• Interface: chọn VLAN20 – 10.145.42.254 từ danh sách thả xuống
• Dynamic IP Lease: 10.145.42.1 – 10.145.42.10
• Subnet mask: /24 [255.255.255.0]
• Nhấn Save.

Tương tự chúng ta tạo DHCP cho interface VLAN 20 theo các thông số sau:

• Name: DHCP_VLAN30
• Interface: chọn VLAN30 – 10.145.43.254 từ danh sách thả xuống
• Dynamic IP Lease: 10.145.43.1 – 10.145.43.10
• Subnet mask: /24 [255.255.255.0]
• Nhấn Save.

5.1.4.Tạo chính sách cho phép các VLAN giao tiếp với nhau

Để các máy tính thuộc các VLAN khác nhau có thể giao tiếp với nhau, chúng ta cần tạo 1 policy cho phép điều này xảy ra.

Để tạo vào Rules and policies > Firewall rules > nhấn Add firewall rule > New firewall rule và tạo với các thông số như hình sau.

5.2.Switch

5.2.1.Tạo các VLAN và assign port vào VLAN

Chúng ta sẽ thực hiện tạo VLAN 10,20,30 và assign các port vào đúng VLAN theo như sơ đồ mạng.

Tạo VLAN 10 và assign port Gi0/1 vào bằng câu lệnh sau.

Switch(config)#vlan 10

Switch(config-vlan)#exit

Switch(config)#interface gigabitEthernet 0/1

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 10

Switch(config-if)#no shutdown

Tượng tự tạo VLAN 10 và assign port Gi0/2 vào bằng câu lệnh sau.

Switch(config)#vlan 20

Switch(config-vlan)#interface gigabitEthernet 0/2

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 20

Switch(config-if)#no shutdown

Tượng tự tạo VLAN 30 và assign port Gi0/3 vào bằng câu lệnh sau.

Switch(config)#vlan 30

Switch(config-vlan)#exit

Switch(config)#interface gigabitEthernet 0/3

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 30

Switch(config-if)#no shutdown

5.2.2.Thực hiện trunk port

Chúng ta sẽ cấu hình trunk cho port Gi0/0 bằng câu hình sau.

Switch(config)#interface gigabitEthernet 0/0

Switch(config-if)#switchport trunk encapsulation dot1Q

Switch(config-if)#switchport mode trunk

Switch(config-if)#no shutdown

5.3.Kiểm tra kết quả.

PC 1 đã nhận được IP từ DHCP Pool của VLAN 10.

Tương tự PC 2 và PC 3 cũng nhận được IP từ DHCP Pool của VLAN 20 và VLAN 30.

Chúng ta sẽ kiểm tra khả năng giao tiếp giữa các VLAN bằng cách ping giữa các máy tính PC 1, PC 2 và PC 3.

Kết quả ping từ PC 3 sang PC 2.

Kết quả ping từ PC 1 sang PC 2.

Kết quả ping từ PC 1 sang PC 3.

Kết quả cho thấy các máy tính tại các vlan khác nhau đều có thể giao tiếp với nhau.

Inter-VLAN là phương pháp được thiết lập có hiệu quả nhất bằng cách cung cấp một liên kết trunk duy nhất giữa Switch và Router mà có thể mang lưu lượng truy cập của nhiều VLAN và trong đó các lưu lượng ấy lần lượt có thể được định tuyến bởi Router.

Với Inter-VLAN Routing, Router nhận frame từ Switch với gói tin xuất phát từ một VLAN đã được tag. Nó liên kết các frame với các subinterface thích hợp và sau đó giải mã nội dung của frame (phần IP packet). Router sau đó thực hiện chức năng của Layer 3 dựa trên địa chỉ mạng đích có trong gói tin IP để xác định subinterface cần chuyển tiếp gói IP. Các IP packet bây giờ được đóng gói thành frame theo chuẩn dot1Q (hoặc ISL) để nhận dạng VLAN của subinterface chuyển tiếp và truyền đi trên đường trunk vào Switch.

2.Sơ đồ mạng

Chi tiết sơ đồ mạng:

Chúng ta sẽ có các thiết bị như sau:

• Router R1 là thiết bị dùng để định tuyến, cấp phát DHCP, VLAN.
• Switch Core là thiết bị dùng để phân phối các IP và VLAN xuống cho các máy tính.
• 3 thiết bị có tên là PC1, PC2, PC3 chạy Windows 7.

3.Tình huống cấu hình

Chúng ta sẽ thực hiện cấu hình sub interface, DHCP, VLAN trên thiết bị Router và Switch để khi các máy tính kết nối vào sẽ nhận được đúng IP từ VLAN theo như sơ đồ mạng.

4.Các bước thực hiện

Router:

• Cấu hình sub interface và đặt IP.
• Cấu hình DHCP Pool và routing giữa các VLAN.

Switch:

• Tạo các VLAN và assign port vào VLAN.
• Thực hiện trunk port.

Kiểm tra kết quả.

5.Hướng dẫn cấu hình

5.1.Router

5.1.1.Cấu hình sub interface và đặt IP.

Như sơ đồ mạng chúng ta có 3 VLAN là 10,20,30 nên chúng ta sẽ cần tạo 3 sub interface và đặt IP cho nó theo như sơ đồ mạng.

Để tạo sub interface cho VLAN 10 chúng ta sử dụng câu lệnh như sau.

Router(config)#interface gigabitEthernet 0/0.10

Router(config-subif)#encapsulation dot1Q 10

Router(config-subif)#ip address 10.145.41.254 255.255.255.0

Tương tự chúng ta cũng sẽ tạo sub interface cho VLAN 20 và VLAN 30 như sau.

VLAN 20.

Router(config)#interface gigabitEthernet 0/0.20

Router(config-subif)#encapsulation dot1Q 20

Router(config-subif)#ip address 10.145.42.254 255.255.255.0

VLAN 30.

Router(config)#interface gigabitEthernet 0/0.30

Router(config-subif)#encapsulation dot1Q 30

Router(config-subif)#ip address 10.145.43.254 255.255.255.0

Router(config-subif)#no shutdown

Cuối cùng để các sub interface hoạt động chúng ta cần vào cổng vật lý Gi0/0 và bật nó lên với câu lệnh sau.

Router(config)#interface gigabitEthernet 0/0

Router(config-if)#no shutdown

Router(config-if)#

*Oct  9 18:54:40.466: %LINK-3-UPDOWN: Interface GigabitEthernet0/0, changed state to up

*Oct  9 18:54:41.466: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to up

5.1.2.Cấu hình DHCP Pool và routing giữa các VLAN

Tiếp theo chúng ta cần tạo DHCP Pool để khi các máy tính kết nối vào sẽ tự động nhận được IP.

Chúng ta sẽ tạo DHCP Pool cho VLAN 10 bằng câu lệnh như sau.

Router(config)#ip dhcp pool VLAN10

Router(dhcp-config)#network 10.145.41.0 255.255.255.0

Router(dhcp-config)#default-router 10.145.41.254

Tương tự như VLAN 10 chúng ta sẽ tạo DHCP Pool cho VLAN 20 và 30 như sau.

VLAN 20.

Router(config)#ip dhcp pool VLAN20

Router(dhcp-config)#network 10.145.42.0 255.255.255.0

Router(dhcp-config)#default-router 10.145.42.254

VLAN 30.

Router(config)#ip dhcp pool VLAN30

Router(dhcp-config)#network 10.145.43.0 255.255.255.0

Router(dhcp-config)#default-router 10.145.43.254

Tiếp theo để các VLAN có thể giao tiếp được với nhau chúng ta cần thực hiện lệnh sau.

Router(config)#ip routing

5.2.Switch

5.2.1.Tạo các VLAN và assign port vào VLAN

Chúng ta sẽ thực hiện tạo VLAN 10,20,30 và assign các port vào đúng VLAN theo như sơ đồ mạng.

Tạo VLAN 10 và assign port Gi0/1 vào bằng câu lệnh sau.

Switch(config)#vlan 10

Switch(config-vlan)#exit

Switch(config)#interface gigabitEthernet 0/1

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 10

Switch(config-if)#no shutdown

Tượng tự tạo VLAN 10 và assign port Gi0/2 vào bằng câu lệnh sau.

Switch(config)#vlan 20

Switch(config-vlan)#interface gigabitEthernet 0/2

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 20

Switch(config-if)#no shutdown

Tượng tự tạo VLAN 30 và assign port Gi0/3 vào bằng câu lệnh sau.

Switch(config)#vlan 30

Switch(config-vlan)#exit

Switch(config)#interface gigabitEthernet 0/3

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 30

Switch(config-if)#no shutdown

5.2.2.Thực hiện trunk port

Chúng ta sẽ cấu hình trunk cho port Gi0/0 bằng câu hình sau.

Switch(config)#interface gigabitEthernet 0/0

Switch(config-if)#switchport trunk encapsulation dot1Q

Switch(config-if)#switchport mode trunk

Switch(config-if)#no shutdown

5.3.Kiểm tra kết quả.

PC 1 đã nhận được IP từ DHCP Pool của VLAN 10.

Tương tự PC 2 và PC 3 cũng nhận được IP từ DHCP Pool của VLAN 20 và VLAN 30.

Chúng ta sẽ kiểm tra khả năng giao tiếp giữa các VLAN bằng cách ping giữa các máy tính PC 1, PC 2 và PC 3.

Kết quả ping từ PC 3 sang PC 2.

Kết quả ping từ PC 1 sang PC 2.

Kết quả ping từ PC 1 sang PC 3.

Kết quả cho thấy các máy tính tại các vlan khác nhau đều có thể giao tiếp với nhau.

Chuỗi bài viết này sẽ cung cấp cho các bạn chi tiết các bước cần thực hiện cũng như cách triển khai toàn diện giải pháp Sophos Zero Trust Network Access.

2.Sơ đồ mạng

Chi tiết:

Chúng ta sẽ thiết bị tường lửa Sophos được kết nối với internet tại Port 2 với IP WAN tĩnh là 115.78.x.x.

Mạng nội bộ sẽ được cấu hình tại Port 1 của thiết bị Sophos Firewall với IP 172.16.31.1/24 và đã được cấu hình DHCP.

Trong mạng nội bộ sẽ có một máy chủ chạy hạ tầng ảo hóa VMWware Esxi có IP 172.16.31.11/24 và có các máy ảo như sau:

• Active Directory kiêm DNS server có hostname là pdc.valab.xyz với IP 172.16.31.250/24.
• Sophos ZTNA Gateway có hostname là ztna.valab.xyz với IP 172.16.31.251/24.

Ở phía ngoài internet chúng ta sẽ có các thành phần dùng để triển khai Sophos ZTNA như sau:

• Public domain: đang sử dụng domain của Mắt Bảo.
• Identity Provider: Okta.
• Sophos Central: nơi quản lý các policy, user, logs.
• Hai máy tính Windows 10 với 1 máy đã được cài Agent và 1 máy không cài Agent.

3.Tình huống cấu hình

Trong phần 2 của series này thegioifirewall sẽ hướng dẫn các bạn cấu hình thành phần còn lại là Sophos ZTNA Gateway và thực hiện kết nối với resource trong hệ thống bằng Sophos ZTNA với 2 phương thức là Agent và Agentless.

4.Các bước thực hiện

Sophos ZTNA Gateway:

• Thực hiện NAT.
• Khai báo thông số ZTNA Gateway trên Sophos Central.
• Triển khai Sophos ZTNA Gateway trên VMWare Esxi.

Sophos Central:

• Đồng bộ user từ Active Directory.

Tạo Policy và kiểm tra hoạt động:

• Tạo Policy.
• Khai báo resource.
• Hoạt động với Agent.
• Hoạt động với Agentless.
• Kiểm tra Logs and Reports.

5.Hướng dẫn cấu hình

5.1.Sophos ZTNA Gateway

5.1.1.Thực hiện NAT

5.1.2.Khai báo thông số ZTNA Gateway trên Sophos Central.

Bước đầu tiên chúng ta cần phải khai báo thông số về Sophos ZTNA Gateway như IP Address, Subnet Mask, Default Gateway, DNS Server, Wildcard Certificate, Identity Provider, hệ thống ảo hóa sẽ triển khai trên Sophos Central để nó đóng gói lại cho chúng ta thành file dùng để triển khai.

Để khai báo chúng ta cần đăng nhập vào trang quản trị của Sophos Central với quyền admin.

Vào My Products > ZTNA > Gateways > nhấn Add gateway và khai báo các thông số như sau:

• Name*: ztna.
• FQDN*: ztna.valab.xyz.
• Domain*: valab.xyz.
• Platform type*: VMware ESXi.
• Identity provider: okta.
• Deployment mode*: chọn One-arm.
• IP address*: chọn Static IP (phần dưới chúng ta sẽ khai báo thông số IP, Subnet Mask, … giống như trên sơ đồ mạng).
• IP address*: 172.16.31.251.
• Subnet mask: 255.255.255.0.
• Gateway*: 172.16.31.1.
• DNS server1*: 172.16.31.250.
• Upload certificate*: nhấn Choose và chọn file wildcard certificate fullchain.pem mà chúng ta đã có từ phần 1.
• Upload private key*: nhấn Choose và chọn file key privkey.key (lưu ý là file gốc sẽ có đuôi là privkey.pem, chúng ta cần đổi đuôi file là .key).
• Nhấn Save and generate file.

Sau khi hoàn thành việc khai báo thì ztna gateway đã được tạo thành công.

Tiếp theo chúng ta sẽ cần download 2 file phục vụ cho quá trình cài đặt ở bước sau.

Chúng ta nhấn chuột trái vào Download image (Ready for download) để download file iso về máy tính cá nhân.

Đây là file chứa các thông tin như IP, Subnet Mask, DNS, Identity Provider,… m2 chúng ta đã khai báo phía trên và cũng dùng để thực hiện giao tiếp giữa ZTNA Gateway đã triển khai trong nội bộ và Sophos Central.

Chúng ta nhấn tiếp tục nhấn chuột trái vào Download gateway VM > Download Gateway VM image for VMware để download Sophos ZTNA đã được đóng gói sẵn bằng file ova dùng để triển khai trên VMWare ESXi.

Đây là 2 file mà chúng ta đã download được.

5.1.3.Triển khai Sophos ZTNA Gateway trên VMWare Esxi.

Trước khi chúng ta triển khai Sophos ZTNA trên VMware ESXi chúng ta cần upload file iso mà chúng ta đã tải từ Sophos Central lên Datastore của VMware ESXi.

Để upload chúng ta cần đăng nhập vào trang quản trị của VMware ESXi với quyền admin.

Vào Storage và chọn datastore mà chúng ta sẽ upload, trong bài viết này chúng ta sẽ upload file iso lên datastore tên ISO Storage.

Nhấn Datastore browser.

Nhấn Upload.

Chọn file iso mà chúng ta đã download.

Chúng ta đã upload file iso lên datastore ISO Storage thành công.

Tiếp theo chúng ta sẽ thực hiện triển khai Sophos ZTNA Gateway.

Trên trang quản trị của VMware ESXi nhấn phải chuột vào Virtual Machines > Create/Register VM để tạo máy ảo mới.

Bảng New Virtual Machine xuất hiện, tại Select creation type chọn Deploy a virtual machine from an OVF or OVA file.

Nhấn Next.

Tại Select OVF and VMDK files:

• Enter a name for the virtual machine: điền tên máy ảo là Sophos ZTNA Gateway.
• Nhấn chuột trái vào Click to select files or drag/drop.
• Sau đó chọn file OVA mà chúng ta đã download từ Sophos Central trước đó và nhấn Next.

Tại Select storage chúng ta sẽ chọn nơi lưu máy ảo, trong bài viết này thegioifirewall sẽ lưu máy ảo tại VM Storage 3 và nhấn Next.

Tại Deployment options, chúng ta sẽ chọn card mạng VM Network cho External (WAN) và Local cho Internal (LAN).

Power on automatically: bỏ chọn.

Lưu ý: card VM Network phải có kết nối internet.

Tại Ready to complete, review lại các cấu hình đã thiết lập và nhấn Finish.

Như vậy là chúng ta đã hoàn thành việc tạo máy ảo Sophos ZTNA Gateway từ file OVA.

Tiếp theo chúng ta sẽ cần phải import file iso mà chúng ta đã upload từ trước vào máy ảo này để nó có thể thiết lập các thông số mà chúng ta đã khai báo trên Sophos Central cũng như giao tiếp với Sophos Central và tắt card Internal (LAN).

Để thực hiện chúng ta nhấn phải chuột vào máy ảo Sophos ZTNA Gateway và chọn Edit settings.

Tại CD/DVD Drive: chọn Datastore.

Bảng Datastore browser hiện ra chọn file iso và nhấn Select.

Sau đó tích chọn Connect tại CD/DVD Drive 1 và bỏ chọn Connect tại Network Adapter 2 (đây là card Internal (LAN) của Sophos ZTNA, do chúng ta triển khai theo mode One-arm nên chỉ cần 1 card External (WAN) có kết nối internet).

Nhấn Save để lưu.

Sau đó chúng ta thực hiện Start máy ảo Sophos ZTNA Gateway và nó sẽ hiện thị như hình sau.

Sau khi khởi động và máy ảo đã hoạt động, chúng ta đợi khoảng vài phút để máy ảo thực hiện xác thực với Sophos Central.

Sau khoảng vài phút chúng ta quay trở lại trang quản trị của Sophos Central.

Vào MY PRODUCTS > ZTNA > Gateways.

Chúng ta sẽ thấy chữ Approve tại cột Status của ztna mà chúng ta khai báo đã xuất hiện.

Điều này cho chúng ta biết là máy ảo Sophos ZTNA Gateway trong nội bộ đã giao tiếp thành công với Sophos Central.

Chúng ta nhấn vào Approve để hoàn tất quá trình triển khai.

5.2.Sophos Central

5.2.1.Đồng bộ user từ Active Directory.

5.3.Tạo Policy và kiểm tra hoạt động

Phần này chúng ta sẽ thực hiện việc tạo policy, định nghĩa các resource và phân quyền truy cập vào các resource này.

5.3.1.Tạo Policy

Do Sophos ZTNA hỗ trợ 2 hình thức truy cập là Agent và Agentless nên chúng ta sẽ tạo 2 policy.

Để tạo đăng nhập vào trang quản trị của Sophos Central bằng tài khoản với quyền admin.

Vào MY PRODUCTS > ZTNA > Policies > Nhấn Add policy > Chọn Agent.

Lưu ý: với tùy chọn Agent, nó sẽ hỗ trợ kết hợp với phần mềm antivirus Sophos Intercept X Advanced để kiểm tra trạng thái bảo mật của máy trạm khi truy cập vào resource và hỗ trợ truy cập vào resource bằng nhiều protocol khác nhau như Remote Desktop, SSH, Telnet,… .

Tạo policy tên Agent với các thông số sau:

• Policy name: Agent
• Use condition to manage access: tích chọn (đây chính là lựa chọn sử dụng phần mềm antivirus Sophos Intercept X Advanced kiểm tra trạng thái của máy trạm khi truy cập vào máy trạm.
• Tại Allow access: chọn green (lựa chọn này sẽ chỉ cho phép các máy trạm có trạng thái của phần mềm antivirus là green thì mới có thể truy cập vào resource bên trong).
• Nhấn Save.

Tại Policy enforced chúng ta nhớ bật policy lên.

Tương tự chúng ta cũng nhấn Add policy > chọn Agentless.

Lưu ý: với tùy chọn Agentless, nó sẽ không hỗ trợ kiểm tra trạng thái của phần mềm antivirus khi truy cập cũng như là chỉ hỗ trợ truy cập web resource.

Tạo policy tên Agentless với các thông số sau:

• Policy enforced: bật policy lên.
• Nhấn Save.

5.3.2.Khai báo resource.

Sau khi tạo policy chúng ta sẽ thực hiện khai báo các resource và phân quyền người dung nào sẽ được truy cập vào resource đó.

Để khai báo chúng ta và MY PRODUCTS > ZTNA > Resources & Access > nhấn Add resource.

Chúng ta sẽ khai báo các resource như sau:

• Active Directory: sử dụng máy tính đã được cài Agent, truy cập bằng Remote Desktop và chỉ các user từ group TECHNICAL TEAM mới có thể truy cập.
• Sophos Firewall: sử dụng máy tính đã được cài Agent, truy cập bằng trình duyệt web và chỉ các user từ group TECHNICAL TEAM mới có thể truy cập.
• ESXI11: sử dụng máy tính không được cài Agent, truy cập bằng trình duyệt web và chỉ các user từ group TECHNICAL TEAM mới có thể truy cập.

Chúng ta sẽ tạo resource Active Directory với các thông số sau:

• Name: Active Directory.
• Gateway: chọn ztna.
• Access method: chọn Agent.
• Resource type: chọn RDP.
• External FQDN: nhập vào FQDN mà người dùng bên ngoài sử dụng để truy cập, đặt ngẫu nhiên bằng subdomain valab.xyz, trong bài lab này sẽ đặt là pdc.valab.xyz.
• Internal FQDN/IP address: nhập vào IP của máy chủ AD trong nội bộ là 172.16.31.250.
• Assign user group: chọn group TECHNICAL TEAM và nhấn “>”.
• Nhấn Save.

Tương tự nhấn Add resource và tạo resource Sophos Firewall với các thông số sau:

• Name: Sophos Firewall.
• Gateway: chọn ztna.
• Access method: chọn Agent.
• Resource type: chọn Web Application.
• External FQDN: nhập vào FQDN mà người dùng bên ngoài sử dụng để truy cập, đặt ngẫu nhiên bằng subdomain valab.xyz, trong bài lab này sẽ đặt là sf.valab.xyz.
• Internal FQDN/IP address: nhập vào IP LAN của tường lửa Sophos Firewall trong nội bộ là 172.16.31.1.
• Port: nhập 4444.
• Assign user group: chọn group TECHNICAL TEAM và nhấn “>”.
• Nhấn Save.

Tạo resource ESXI11 với các thông tin sau:

• Name: ESXI11.
• Gateway: chọn ztna.
• Access method: chọn Agentless.
• External FQDN: nhập vào FQDN mà người dùng bên ngoài sử dụng để truy cập, đặt ngẫu nhiên bằng subdomain valab.xyz, trong bài lab này sẽ đặt là esxi11.valab.xyz.
• Internal FQDN/IP address: nhập vào IP của máy chủ Vmware ESXi trong nội bộ là 172.16.31.11.
• Assign user group: chọn group TECHNICAL TEAM và nhấn “>”.
• Nhấn Save.

5.3.3.Hoạt động với Agent.

Chúng ta sẽ truy cập vào 2 resource Active Directory và Sophos Firewall bằng máy tính đã được cài sẵn Sophos Endpoint với 2 module Sophos Antivirus và Sophos ZTNA.

Chúng ta mở phần mềm Remote Desktop Connection và nhập vào External FQDN của resource Active Directory mà chúng ta đã khai báo vào Computer sau đó nhấn Connect.

Lúc này Sophos sẽ chuyển hướng người dùng sang Okta để xác thực bằng tài khoản.

Nhập username và password sau đó nhấn Sign in.

Một dòng thông báo chúng ta đã xác thực thành công hiện ra.

Trở lại với Sophos Endpoint Dashboard chúng ta sẽ tên user đã được xác thực được hiện thị tạo Zero Trust Network Access.

Chúng ta sẽ thực hiện remote desktop vào server và nhập username password.

Nhấn Yes.

Kết quả là đã remote vào server Active Directory thành công.

Tiếp theo chúng ta sẽ truy cập trang quản trị của Sophos Firewall thông qua FQDN mà chúng ta đã khai báo là sf.valab.xyz.

Mở bất kì trình duyệt nào và nhập vào đường dẫn là https://sf.valab.xyz:4444.

Và kết quả là chúng ta đã có thể truy cập vào trang quản trị của Sophos Firewall thông qua ZTNA.

Cuối cùng chúng ta sẽ thực hiện kiểm tra khả năng tự động ngắt kết nối của máy trạm tới máy chủ khi máy trạm bị nhiễm virus.

Chúng ta remote desktop đến Active Diretory và sẽ giải nén một file virus như hình dưới và thấy được rằng Sophos Antivirus đã phát hiện ra nó.

Sau đó trạng thái bảo mật của phần mềm antivirus trên máy tính đã chuyển sang màu cam và đồng nghĩa với việc Sophos ZTNA sẽ ngay lập tức ngắt kết nối từ máy trạm đến máy chủ Active Directory.

Sau khi Sophos antivirus xử lý thành công file virus, nó sẽ tự động chuyển trạng thái bảo mật sang màu xanh và lúc này Sophos ZTNA sẽ trả lại quyền truy cập đến máy chủ Active Directory.

5.3.4.Hoạt động với Agentless.

Chúng ta sẽ cùng kiểm tra xem Agentless sẽ hoạt động như thế nào trong bài viết này.

Với Agentless thì chúng ta có thể truy cập vào máy chủ VMware ESXi bằng trình duyệt web mà chúng ta đã khai báo ở phần trước.

Để truy cập chúng ta mở bất kì một trình duyệt nào và nhập vào FQDN của Sophos ZTNA Gateway là https://ztna.valab.xyz.

Sau đó Sophos sẽ chuyển hướng người dùng sang trang Okta để xác thực.

Sau khi xác thực thành công người dùng sẽ truy cập vào 1 trang gọi là ZTNA Application Portal.

Đây là trang liệt kê tất cả các resource mà user vừa xác thực được phép truy cập.

Như chúng ta thấy trong danh sách là máy chủ VMware ESXI11.

Chúng ta chỉ cần nhấp chuột trái vào máy chủ để truy cập.

Như chúng ta thấy là việc truy cập bị lỗi và lỗi gặp phải ở đây là lỗi DNS.

Chúng ta cần lưu ý là mặc dù chúng ta đã khai báo resource cho máy chủ VMware ESXi với FQDN là esxi11.valab.xyz nhưng do chúng ta chưa trỏ DNS record FQDN này về IP WAN của Sophos Firewall nên khi chúng ta truy cập resource sẽ gặp lỗi này.

Chúng ta cần vào trang quản trị của tên miền và tạo DNS record như hình dưới đây.

Và sau đó quay trở lại ZTNA Application Portal và thử truy cập vào máy chủ VMware ESXi một lần nữa.

Kết quả là chúng ta đã truy cập thành công.

5.2.5.Kiểm tra Logs and Reports.

Do chúng ta đã thực hiện truy cập vào các resource bằng cả 2 phương thức là Agent và Agentless nên trong phần này chúng ta sẽ thực hiện review xem logs của Sophos ZTNA sẽ hiện thị như thế nào và có các loại log nào.

Đầu tiên đó chính là log ghi lại việc các user nào đã xác thực và trạng thái là xác thực thành công hay không.

Như chúng ta thấy tại hình dưới, log của Sophos ZTNA liệt kê rất chi tiết user nào đã xác thực, trạng thái xác thực, OS version mà máy tính người dùng đó dùng để xác thực, nếu là Agentless sẽ có thêm phần trình duyệt nào dùng để xác thực và version của trình duyệt đó.

Nội dung thứ 2 mà Sophos ZTNA ghi log lại đó chính là danh sách các truy cập vào resource bị từ chối.

Ở phần trên chúng ta có thực hiện giải nén file virus và bị ngắt kết nối vào máy chủ Active Directory.

Như hình dưới chúng ta có thể thấy Sophos ZTNA đã ghi lại log rất chi tiết gồm các thông số ngày-giờ, tên resource, user dùng để truy cập, lý do bị từ chối.

Nội dung thứ 3 mà Sophos ghi log lại chính là ghi lại lượng băng thông được truy cập của các resource.

Cuối cùng nội dung mà Sophos ghi log lại chính là băng thông được truy cập của Sophos ZTNA Gateway.

Chuỗi bài viết này sẽ cung cấp cho các bạn chi tiết các bước cần thực hiện cũng như cách triển khai toàn diện giải pháp Sophos Zero Trust Network Access.

2.Sơ đồ mạng

Chi tiết:

Chúng ta sẽ thiết bị tường lửa Sophos được kết nối với internet tại Port 2 với IP WAN tĩnh là 115.78.x.x.

Mạng nội bộ sẽ được cấu hình tại Port 1 của thiết bị Sophos Firewall với IP 172.16.31.1/24 và đã được cấu hình DHCP.

Trong mạng nội bộ sẽ có một máy chủ chạy hạ tầng ảo hóa VMWware Esxi có IP 172.16.31.11/24 và có các máy ảo như sau:

• Active Directory kiêm DNS server có hostname là pdc.valab.xyz với IP 172.16.31.250/24.
• Sophos ZTNA Gateway có hostname là ztna.valab.xyz với IP 172.16.31.251/24.

Ở phía ngoài internet chúng ta sẽ có các thành phần dùng để triển khai Sophos ZTNA như sau:

• Public domain: đang sử dụng domain của Mắt Bảo.
• Identity Provider: Okta.
• Sophos Central: nơi quản lý các policy, user, logs.
• Hai máy tính Windows 10 với 1 máy đã được cài Agent và 1 máy không cài Agent.

3.Tình huống cấu hình

Trong phần 1 của series này thegioifirewall sẽ hướng dẫn các bạn cấu hình 3 thành phần đầu tiên của là khai báo record trên public domain trỏ FQDN của Sophos ZTNA Gateway về IP WAN của Sophos Firewall, cấu hình Wildcard certificate và cấu hình Okta.

4.Các bước thực hiện

Public Domain:

• Tạo record.

Cấu hình Wildcard certificate:

• Get wildcard certificate cho domain valab.xyz.

Identity Provider Okta:

• Sync user từ Active Directory
• Tạo Application cho Sophos ZTNA.
• Tạo Authorization Server cho Sophos ZTNA.
• Khai báo Identity Provider Okta trên Sophos Central.

5.Hướng dẫn cấu hình

5.1.Public Domain

5.1.1.Tạo record.

Do Sophos ZTNA hoạt động bằng tên miền nên thegioifirewall đã chuẩn bị sẵn một tên miền được mua từ Mắt Bảo là valab.xyz.

Việc đầu tiên chúng ta cần làm với tên miền này là trỏ FQDN của Sophos ZTNA về IP WAN của Sophos Firewall.

Để làm chúng ta cần đăng nhập vào trang quản trị DNS cho tên miền valab.xyz trên trang web của Mắt Bảo.

Chúng ta sẽ tạo các record trỏ FQDN của Sophos ZTNA Gateway về IP WAN của Sophos Firewall như hình sau:

Để kiểm tra xem record đã hoạt động chưa chúng ta bật Command Prompt trên máy tính.

Nhập lệnh nslookup > gõ vào tên miền ztna.valab.xyz và chúng ta sẽ thấy tên miền này sẽ được phân giải thành địa chỉ IP 115.78.x.x.

5.2.Cấu hình Wildcard certificate

5.2.1.Đăng kí wildcard certificate cho domain valab.xyz.

Do giải pháp Sophos ZTNA sẽ sử dụng tất cả các subdomain của domain valab.xyz và kết nối mà nó sử dụng là https nên chúng ta cần phải có một wildcard certificate về https để áp dụng cho tất cả subdomain của domain valab.xyz.

Trong bài viết này chúng ta sẽ đăng kí wildcard certificate miễn phí từ Let’s Encrypt.

Đầu tiên chúng ta cần tải xuống phần mềm Certbot client về máy tính cá nhân.

Vào link phía dưới để download.

https://dl.eff.org/certbot-beta-installer-win32.exe

Tiếp theo thực hiện cài đặt phần mềm certbot client vào máy và mở nó lên.

Khi mở lên thì nó sẽ có giao diện như hình dưới đây.

Chúng ta sẽ nhập câu lệnh sau để đăng kí wild certificate cho tên miền valab.xyz.

certbot certonly –manual –preferred-challenges=dns –server https://acme-v02.api.letsencrypt.org/directory –agree-tos –domain valab.xyz

Sau khi chạy dòng lệnh certbot sẽ yêu cầu chúng ta tạo DNS TXT record trên domain valab.xyz với các thông số phía dưới.

Chúng ta cần đăng nhập vào trang quản trị của domain valab.xyz và thêm TXT record như sau.

Sau đó chúng ta vào https://toolbox.googleapps.com/apps/dig/#TXT/ để kiểm tra xem TXT record đã hoạt động hay chưa.

Nhập _acme-challenge.valab.xyz vào ô và nhấn enter, chúng ta sẽ thấy kết quả là TXT record đã hoạt động.

Quay trở lại certbot client nhấn Enter để tiếp tục.

Chúng ta thấy việc đăng kí wild certfificate đã thành công.

Hai file certificate có tên là fullchain.pem và file key có tên là privkey.pem được lưu tại ổ C:/Certbot/Archive/valab.xyz-0001

Lưu ý: chúng ta cần giữ 2 file này để dùng cho việc triển khai Sophos ZTNA Gateway ở phần sau.

5.3.Identity Provider Okta

5.3.1.Sync user từ Active Directory

Mục đích của việc sync user này là để Okta sẽ sử dụng trực tiếp user từ Active Directory cho bước xác thực người dùng.

Hình dưới đây là danh sách các user và groups sẽ được sync lên Okta.

Để sync chúng ta truy cập vào trang quản trị của Okta.

Vào Directory > Directory Integrations > nhấn Add Active Directory.

Nhấn Set Up Active Directory.

Nhấn Download Agent.

Chúng ta sẽ cài đặt file OktaADAgentSetup vừa tải vừa và chúng ta cần copy thông số Your Okta Orgnization URL để sử dụng cho quá trình cài đặt.

Nhấn Next.

Nhấn Install.

Okta AD Agent sẽ tự động phát hiện được tên domain trên máy chủ Active Directory.

Nhấn Next.

Chọn Create or use the OktaService account (recommended), với lựa chọn này Okta Agent sẽ tạo ra một tài khoản với username OktaService chỉ dùng để chạy cho duy nhất dịch vụ của Okta.

Nhấn Next.

Chúng ta nhập password cho tài khoản OktaService và nhấn Next.

Nhấn Next nếu chúng ta không sử dụng proxy trong hệ thống.

Copy Okta Organization URL mà chúng ta đã lưu tại bước download Okta Agent vào ô Enter Organization URL.

Một cửa sổ đăng nhập hiện ta, chúng ta cần đăng nhập tài khoản quản trị của Okta và nhấn Sign in.

Nhấn Allow Access để cho phép các service cần thiết Okta Agent có thể hoạt động.

Quá trình đăng kí Okta Agent và cài đặt sẽ diễn ra trong khoảng 5 giây.

Chúng ta nhấn Finish để hoàn thành việc cài đặt Okta Agent.

Quay trở lại trang quản trị chúng ta sẽ tiếp tục phần cấu hình còn lại.

Tại Basic Settings, chúng ta sẽ chọn OU mà chúng ta sẽ sync lên Okta.

Ở đây chúng ta sẽ chọn OU valab vì đây là nơi chứa users và group.

Tại Okta username format, chúng ta sẽ chọn Email Address và nhấn Next.

Nhấn Next.

Tại Build User Profile nhấn Next.

Nhấn Done để hoàn thành.

Vào Directory > Directory Integrations và chúng ta sẽ thấy Okta đã kết nối với máy chủ Active Directory thành công.

Tiếp theo chúng ta sẽ import users và groups lên Okta, để import chúng ta nhấn chuột trái vào Active Directory.

Tại tab Import nhấn Import Now.

Chọn Incremental import (fastest) và nhấn Next.

Quá trình import sẽ diễn ra trong vài giây.

Okta đã scan thành công 7 user và 2 group.

Để import user lên Okta chúng ta tích chọn tất cả user và nhấn Confirm Assignments.

Tích chọn Auto-active users after confirmation và nhấn Confirm.

Với việc tích chọn Auto-active users after confirmation thì sau khi confirm thành công Okta sẽ gửi email đến cho từng người dùng thông báo về việc tài khoản Okta của user đó đã được tạo và username và mật khẩu sẽ tương tự như của tài khoản domain mà user đang dùng.

Email được gửi đến người dùng sẽ có nội dung như hình sau.

Để xem danh sách user vừa được import vào Directory > People, chúng ta sẽ thấy danh sách user đã được import như hình dưới đây.

Để xem các group đã được import vào Directory > Groups.

5.3.2.Tạo Application cho Sophos ZTNA

Chúng ta cần tạo một Application cho Sophos ZTNA để khi người dùng truy cập và xác thực thì sẽ được chuyển hướng tới trang xác thực của Okta.

Để tạo vào trang quản trị của Okta > Applications > Applications > Create App Integration.

• Sign-in method: chọn OIDC – OpenID Connect.
• Application type: chọn Web Application.

App integration name: Sophos ZTNA.

Tại Grand type: tích chọn Client Credentials và Refresh Token.

Tại Sign-in redirect URIs chúng ta nhập vào đường dẫn, đây là đường dẫn mà người dùng sẽ được chuyển hướng tới để thực hiện xác thực.

Đường dẫn này sẽ có định dạng là https://FQDN<Sophos ZTNA Gateway>/oauth2/callback.

Ví dụ: FQDN của Sophos ZTNA Gateway sẽ được triển khai trong phần sau là ztna.valab.xyz => đường dẫn sẽ là https://ztna.valab.xyz/oauth2/callback.

Tại Assignments chọn Skip group assignment for now và nhấn Save.

Quay lại Applications > Applications chúng ta sẽ thấy Sophos ZTNA đã được tạo.

Chúng ta sẽ cần assign group và điều chỉnh scope cho app Sophos ZTNA này.

Để điều chỉnh nhấn chuột trái vào tên Sophos ZTNA.

Tại tab General chúng ta sẽ cần phải nhấn vào biểu tượng copy tại Client ID và Client Secrets và lưu chúng lại để sử dụng ở phần khai báo Identity Okta trên Sophos Central.

Tại tab Okta API Scopes chúng ta nhấn Grant tại okta.idps.read.

Tại tab Assignments, nhấn Assign > Assign to Groups để chỉ định các groups nào sẽ được sử dụng app Sophos ZTNA này.

Tại Assign Sophos ZTNA to Groups nhấn Assign 2 group SALE TEAM và TECHNICAL TEAM.

Chúng ta sẽ thấy phía bên phải của 2 group hiện chữ Assigned tức đã chỉ định thành công.

Nhấn Done.

Quay trở lại với trang quản trị tại Assignments > Groups, chúng ta sẽ thấy 2 group mà chúng ta vừa Assign đã được liệt kê.

Tại Assignments > People chúng ta cũng sẽ thấy các các user thuộc 2 group đã được liệt kê.

5.3.3.Tạo Authorization Server cho Sophos ZTNA.

Để tạo chúng ta truy cập trang quản trị Okta vào Security > API > Nhấn Add Authorization Server

Bảng Add Authorization Server hiện ra, điền ZTNA vào Name và Audience và nhấn Save.

Chúng ta sẽ thấy là Authorization Server ZTNA đã được tạo, chúng ta cần lưu lại thông tin Issuer URI để phục vụ cho việc khai báo Identity Provider Okta trên Sophos Central.

Tiếp theo chúng ta nhấn vào tên ZTNA để điều chỉnh một vài thông số.

Đầu tiên chúng ta cần tạo Scope tên làm customScope với mục đích duy nhất là kiểm tra kết nối giữa Okta và Sophos Central.

Để tạo vào tab Scope > nhấn Add Scope.

Tại Name điền vào customScope và nhấn Save.

Trên Claim tab, nhấn Add Claim. Một Claim cho phép ZTNA xem các nhóm để xác thực. Nhập các thông tin chi tiết như sau:

• Name: groups.
• Inlcude in token type: ID Token – Iserinfo / id_token request.
• Value type: chọn Expression.
• Value: Arrays.isEmpty(Arrays.toCsvString(Groups.startsWith(“active_directory”,””,100))) ? Groups.startsWith(“OKTA”,””,100) : Arrays.flatten(Groups.startsWith(“OKTA”,””,100), Groups.startsWith(“active_directory”,””,100))
• Include in: chọn Any scope.
• Nhấn Save.

Để mà Sophos Central có thể kết nối đến customScope trên Okta chúng ta cần phải tạo policy cho phép.

Tại tab Access Policies nhấn Add New Access Policy và cấu hình theo thông số sau:

• Name: ZTNA.
• Description: ZTNA.

5.3.4.Khai báo Identity Provider Okta trên Sophos Central,

Để khai báo chúng ta truy cập vào trang quản trị của Sophos Central bằng quyền admin.

Vào ZTNA > Identity Providers > nhấn Add identity provider.

• Name: Okta.0
• Provider: Okta
• Client ID: nhập vào Client ID đã copy ở bước tạo App Integration Sophos ZTNA.
• Client secret: nhập vào Client secrets đã copy ở bước tạo App Integration Sophos ZTNA.
• Issue URI: nhập vào Issue URI đã copy ở bước tạo Authorization Server ZTNA.
• Scope: nhập vào customScope và nhấn Test connection để kiểm tra kết nối giữa Sophos Central và Okta.
• Nhấn Save.

Trong bài viết này thegioifirewall sẽ hướng dẫn các bạn cách cấu hình routing traffic truy cập internet của máy chủ thông qua IP WAN Alias cố định.

2.Sơ đồ mạng

Chi tiết sơ đồ mạng:

Đường truyền internet được kết nối tại port 2 của thiết bị tường lửa Sophos XG Firewall có tên là ISP – Viettel IDC và có IP là 171.x.x.195.

Ngoài ra cũng trên port 2 chúng ta sẽ có thêm 4 IP WAN Alias như sau:

• Port 2 – WAN 1 (Alias IP): 171.x.x.200.
• Port 2 – WAN 2 (Alias IP): 171.x.x.199.
• Port 2 – WAN 3 (Alias IP): 171.x.x.198.
• Port 2 – WAN 3 (Alias IP): 171.x.x.197.

Lớp mạng LAN được cấu hình tại port 1 của thiết bị tường lửa Sophos XG Firewall với IP 172.16.31.1/24 và được cấu hình DHCP Server để cấp phát IP cho các thiết bị kết nối vào.

Cuối cùng là thiết bị máy chủ chạy database có IP 172.16.31.10/24 được kết nối vào port 1 và có tên là IMBX3850-DB-NEW.

3.Tình huống cấu hình

Thegioifirewall sẽ thực hiện cấu hình routing traffic truy cập internet của máy chủ IBMX3850-DB-NEW thông qua Port 2 – WAN 1 với IP 171.x.x.200.

4.Các bước thực hiện

• Tạo Host profile.
• Tạo SD-WAN Policy.
• Tạo Firewall Rule và NAT Rule.
• Kiểm tra kết quả.

5.Hướng dẫn cấu hình

5.1.Tạo Host profile.

Vào Hosts and Services > IP Host và nhấn Add để định nghĩa máy chủ với các thông số sau:

• Name*: IBMX3850-DB-NEW.
• IP version*: IPv4.
• Type*: IP
• IP address*: 172.16.31.10.
• Nhấn Save.

Tương tự chúng ta cũng tạo một host profile cho Port 2 – WAN 1 với IP 171.x.x.200

• Name*: 171.x.x.200.
• IP version*: IPv4.
• Type*: IP
• IP address*: 171.x.x.200.
• Nhấn Save.

5.2.Tạo SD-WAN Policy

Vào CONFIGURE > Routing > SD-WAN routes và cấu hình với các thông số sau:

• Name: test.
• Source networks: chọn host profile IBMX3580-DB-NEW.
• Destination networks: Any.
• Services: Any.
• Application objects: Any.
• User or group: Any.
• Primary gateway: chọn ISP – Viettel IDC.
• Nhấn Save.

5.3.Tạo firewall và NAT rule.

Để tạo vào PROTECT > Rules and policies > Firewall rules > Add Firewall rule > New firewall rule.

Cấu hình theo các thông số sau:

• Rule status: ON
• Rule Name: IMBX3850-DB-NEW to WAN.
• Action: chọn Accept.
• Log firewall traffic: chọn.
• Source zones: LAN.
• Source networks and devices: chọn host profile IBMX3850-DB-NEW.
• Destination zones: WAN.
• Destination networks: Any.

Cũng tại phần cấu hình policy chúng ta nhấn Create linked NAT rule để tạo NAT rule với các thông sau:

• Translated source (SNAT): chọn MASQ.
• Tích chọn Override source translation (SNAT) for specific outbound interfaces.
• Outbound interface: chọn Port 2 – WAN 1.
• Translated source: chọn host profile 171.x.x.200.
• Nhấn Save.

Bài viết này sẽ hướng dẫn cách xử lỗi không cài đặt được Sophos Endpoint mặc dù đã thực thi file cài đặt trên Windows 10.

2.Nguyên nhân.

Nguyên nhân dẫn đến việc không thể cài đặt Sophos Endpoint mặc dù đã thực thi file cài đặt là do máy tính Windows 10 thiếu một certificate tên là DigiCert Trusted Root G4.

Đây là một trong những certificate được yêu cầu để có thể cài đặt Sophos Endpoint. Nếu máy tính không có certificate này thì khi thực thi file cài đặt sẽ không xuất hiện cửa sổ cài đặt của Sophos Endpoint.

3.Hướng dẫn sửa lỗi.

Để sửa lỗi chúng ta cần tải DigiCert Trusted Root G4 và thêm certificate này vào máy tính hoặc chúng ta cần update các bản cập nhật Windows.

Trong bài viết này thegioifirewall sẽ hướng dẫn các bạn tải và thêm certificate này vào máy.

Để tải certificate này chúng ta vào trang https://www.digicert.com/kb/digicert-root-certificates.htm và chọn đúng tên DigiCert Trusted Root G4 và nhấn Download DER/CRT để tải về.

Sau đó chúng ta sẽ thực hiện thêm nó vào máy tính.

Gõ vào thêm tìm kiếm Windows mmc và chọn Run as administrator.

Chọn File > Add/Remove Snap-In…

Chọn Certificate và nhấn Add >.

Do chúng ta thêm certificate cho computer nên cần chọn Computer account.

Lưu ý: nếu không có tùy chọn Computer account tại bước này nguyên nhân là do chúng ta mở mmc với quyền không phải admin.

Nhấn Finish.

Lúc này chúng ta sẽ thấy Certificates (Local computer) đã chuyển từ bảng Available Snap-in sang Selected Snap-in, nhấn OK.

Tại cửa sổ Console1, chúng ta vào Console Root > Certificates > Trusted Root Certificate Authorities > nhấn chuột phải vào All Tasks > Import để thêm certificate.

Bảng Certificate Import Wizard hiện ra nhấn Next.

Tại File to import nhấn Browse…

Sau đó tìm đến nơi đang lưu trữ file DigiCert Trusted Root G4 vừa tải xuống và nhấn đúp chuột trái vào.

Nhấn Next.

Nhấn Next.

Nhấn Finish.

Sau khi hoàn thành việc thêm certificate, chúng ta sẽ thấy nó đã xuất hiện trong danh sách các certificate đã được thêm vào máy tính.

Bài viết này sẽ hướng dẫn các bạn cách migrate máy ảo từ host Esxi này sang host Esxi khác hoàn toàn độc lập về datastore bằng tính năng vMotion khi các bạn sử dụng hạ tầng VMware Esxi và Vcenter.

Trước khi đi vào phần cấu hình chúng ta cùng nhau xem vMotion là gì và vMotion có các dạng nào.

2.vMotion là gì?

VMotion hay còn được gọi là live migration, là một tính năng của ESX / ESXi và vCenter Server cho phép một máy ảo đang chạy có thể được di chuyển từ một máy chủ vật lý này đến một máy chủ vật lý khác mà không cần phải tắt nguồn máy ảo.

Sự di chuyển giữa hai máy chủ vật lý xảy ra không có thời gian chết và không làm mất kết nối mạng đến máy ảo. VMotion đáp ứng cho nhu cầu của một tổ chức nhằm duy trì SLA để đảm bảo tính sẵn sàng cho server.

Quản trị viên có thể dễ dàng dùng VMotion để loại bỏ tất cả các máy ảo từ một máy chủ ESX /ESXi để thực hiện bảo trì. Sau khi bảo trì hoàn tất và máy chủ được đưa trở lại trực tuyến, VMotion một lần nữa có thể được sử dụng để trả các máy ảo đó về với máy chủ ban đầu.

Ngay cả trong các hoạt động bình thường hàng ngày, VMotion có thể được sử dụng khi nhiều máy ảo trên cùng một máy chủ đang cạnh tranh tài nguyên. VMotion có thể giải quyết vấn đề bằng cách cho phép người quản trị di chuyển bất kì máy ảo đang chạy nào đang bị tranh chấp tài nguyên nhưng có nhu cầu sử dụng tài nguyên lớn hơn đến một máy chủ ESX/ESXi khác.

3.Có bao nhiêu loại vMotion

vMotion được chia làm 3 loại khác nhau tùy theo nhu cầu sử dụng của người dung như sau:

• vSphere vMotion Migration: đây là dạng vMotion được sử dụng trong trường hợp người dùng cần migration một hoặc nhiều máy ảo từ một host Esxi sang host Esxi khác và lưu ý rằng cả 2 host Esxi đều phải có chung datastore.
• vSphere Storage vMotion: đây là dạng vMotion được sử dụng trong trường hợp người dung cần migration một hoặc nhiều máy ảo từ một datastore này sang một datastore khác và lưu ý rằng các máy ảo khi được migrate bằng tính năng này vẫn sẽ nằm trên host Esxi ban đầu và chỉ thay đổi datastore lưu trữ.
• Both: đây là dạng vMotion được sử dụng trong trường hợp người dùng cần migration một hoặc nhiều máy ảo từ một host esxi với datastore riêng biệt sang một host esxi khác độc lập hoàn toàn.

Sau khi đã tìm hiểu lý thuyết về vMotion chúng ta sẽ vào phần chính của bài viết đó là phần cấu hình.

4.Sơ đồ mạng

Chi tiết sơ đồ mạng:

Chúng ta sẽ có đường truyền internet được cấu hình tại Port 2 của thiết bị tường lửa Sophos Firewall.

Lớp mạng LAN sẽ được cấu hình tại Port 1 của tường lửa Sophos Firewall với IP 172.20.10.10, đã được cấu hình DHCP để cấp phát IP và được kết nối xuống một switch access để kết nối các thiết bị.

Chúng ta có 2 máy chủ vật lý chạy hệ thống ảo hóa VMware:

Esxi01:

• Có IP là 172.20.10.51/24.
• Đang chạy 3 máy ảo là Nghia01-2, Nghia01-3, Nghia01-4 và các folder nơi mà chứa các tệp tin chạy ảo hóa của 3 máy ảo này đang được lưu tại Local-ESXi01 datastore.
• Ngoài ra Vcenter cũng được cài đặt trên đây với IP 172.20.10.94/24 để quản trị cả 2 host Esxi01 và Esxi02.
• Đang kết nối với 2 Datastore là Local-ESXi01 và một datastore theo dạng sharing là iSCSI Datastore với tên là VMFS-01 và có IP 172.20.10.14/24.
• Có một VMkernel port được cấu hình riêng để chạy dịch vụ vMotion với IP 172.20.10.151/24.

Esxi02:

• Có IP là 172.20.10.52/24.
• Đang kết nối với 2 Datastore là Local-ESXi02 và một datastore theo dạng sharing là iSCSI Datastore với tên là VMFS-01 và có IP 172.20.10.14/24.
• Có một VMkernel port được cấu hình riêng để chạy dịch vụ vMotion với IP 172.20.10.152/24.

5.Tình huống cấu hình

Như có để cập ở phần chi tiết sơ đồ mạng thì cả 3 máy ảo Nghia01-2, Nghia01-3, Nghia01-4 đều đang chạy trên host Esxi01 và các folder nơi mà chứa các tệp tin chạy ảo hóa của 3 máy ảo này đang được lưu tại Local-ESXi01 datastore.

Trong bài viết này chúng ta sẽ sử dụng tính năng vMotion để chuyển hạ tầng ảo hóa (host Esxi01) cũng như datastore (Local-ESXi01 datastore) của máy ảo Nghia01-2 sang host Esxi02 với datastore là VMFS-01.

Chúng ta cần chú ý là việc chuyển máy ảo từ host ESXi này sang host ESXi khác sẽ ảnh hưởng tới performance của kết nối mạng trong hệ thống vì vậy chúng ta cần phải thiết kế 1 kết nối mạng riêng biệt giữa hai host ESXi để chạy dịch vụ vMotion.

Lưu ý: Để sử dụng tính năng này chúng ta cần có license ít nhất là Essential Plus cho host ESXi và bắt buộc phải có vCenter.

6.Các bước cấu hình

• Tạo kết nối mạng chạy dịch vụ vMotion.
• Migrate máy ảo Nghia01-2 từ host Esxi01 sang host Esxi02.

7.Hướng dẫn cấu hình.

7.1.Tạo kết nối mạng chạy dịch vụ vMotion

Chúng ta cần sử dụng cáp kết nối 2 port vật lý của 2 máy chủ chạy 2 host Esxi01 và Esxi02.

Sau đó chúng ta sẽ tạo 2 Vmkernel port để kết nối chúng lại.

Để thực hiện chúng ta cần đăng nhập vào trang quản trị của vCenter bằng tài khoản với quyền admin.

Tiếp theo vào biểu tượng Hosts and Clusters > esxi01 > Configure > Networking > Virtual Switches > nhấn Add Networking…

Bảng Add Networking hiện ra chúng ta sẽ cấu hình như sau.

Tại 1.Select connection type: chọn VMkernel Network Adapter và nhấn Next.

Tại 2.Select target device chọn New standard switch và nhấn Next.

Tại bước này chúng ta sẽ chọn card mạng vật lý trong vmware tương ứng port mà chúng ta đã cắm vào máy chủ ở bước đầu tiên.

Nhấn vào dấu + để thêm.

Bảng Add Physical Adapter to the Swtich hiện ra, chúng ta sẽ chọn card vmnic3 và nhấn OK.

Quay trở lại 3.Create a Standard Switch cần đảm bảo rằng card vmnic3 đã xuất hiện tại Active adapters.

Nhấn Next để tiếp tục.

Tại 4.Port propertise chúng ta khai báo các thông số sau:

• Network label: vMotion
• Enabled services: tích chọn vMotion, tùy chọn này có nghĩa là port này chỉ dùng để chạy dịch vụ vMotion.
• Nhấn Next.

Tại 5.IPv4 settings chọn Use static IPv4 settings và cấu hình các thông số sau:

• IPv4 address: 172.20.10.151
• Subnet mask: 255.255.255.0
• Default gateway: 172.20.10.152 đây là IP của card vMotion trên host Esxi02.
• Nhấn Next.

Tại 6.Ready to complete chúng ta sẽ review lại các tùy chọn và nếu không có thay đổi nhấn Finish.

Để kiểm tra card vMotion đã được tạo thành công chưa chúng ta vào biểu tượng Hosts and Clusters > esxi01 > Configure > Networking > Virtual Switches.

Nhấn vào biểu tượng expand tại vSwitch2 và thấy rằng card vMotion đã được tạo và các traffic sẽ đi ra ngoài bằng card vật lý là card vmnic3 mà chúng ta đã khai báo.

7.2.Migrate máy ảo Nghia01-2 từ host Esxi01 sang host Esxi02

Trước khi migrate chúng ta sẽ kiểm tra lại thông tin về host và datastore mà máy ảo Nghia01-2 đang sử dụng.

Để kiểm tra chúng ta vào trang quản trị của vCenter và đăng nhập bằng tài khoản với quyền admin.

Vào biểu tượng Hosts and Clusters > esxi01 > nhấn chuột trái vào máy ảo Nghia01-2 > tại Summary tab > VM Hardware > nhấn vào biểu tượng Expand tại Hard disk 1 > chúng ta chú ý tại Location thì đây là nơi cho chúng ta biết folder chứa tệp tin chạy ảo hóa của máy ảo Nghia01-2 đang được chứa ở datastore nào.

Như các bạn thấy folder chứa tệp tin chạy ảo hóa của máy ảo Nghia01-2 đang được chứa tại Local-ESXi01 datastore và máy ảo cũng đang chạy tại host Esxi01.

Để migrate nhấn chuột phải vào máy ảo Nghia01-2 và chọn Migrate.

Tại 1.Select migration type: chọn Change both compute resource and storage và nhấn Next.

Tại 2.Select a compute resour… chọn host esxi02 và đảm bảo rằng thông báo Compatibility checks succeeded xuất hiện đều này đảm bảo quá trình migrate sẽ không xảy ra lỗi, nếu thông báo lỗi xuất hiện tại đây chúng ta cần troubleshoot theo nó.

Tại 3.Select storage chọn VMFS-01 datastore và nhấn Next.

Đảm bảo rằng thông báo Compatibility checks succeeded xuất hiện đều này đảm bảo quá trình migrate sẽ không xảy ra lỗi, nếu thông báo lỗi xuất hiện tại đây chúng ta cần troubleshoot theo nó.

Tại 4.Select networks, nếu hạ tầng mạng và các virtual switch, port group tại 2 host là như nhau chúng ta chỉ cần chọn card mạng tương tự cho máy ảo sẽ được migrate.

Ví dụ trong bài lab này hạ tầng mạng, virtual switch, port group của 2 host Esxi01 và Esxi02 là giống nhau hoàn toàn thì nếu tại host Esxi01 máy ảo Nghia01-2 đang chạy card mạng Production (cột Source Network) thì tại host Esxi02 chúng ta cũng chỉ cần khai báo card mạng Production tại Destination Network lúc đó khi migrate qua vMotion sẽ tự động gán card Production vào máy ảo này.

Nếu hạ tầng mạng, virtual switch, port group trên host Esxi02 khác với Esxi01 chúng ta cần chọn card mạng tương ứng cho máy ảo mà chúng ta sẽ migrate.

Ví dụ nếu tại host Exsi01 máy ảo Nghia01-2 đang chạy card Production và tại host Esxi02 cũng là card Production này nhưng chúng ta đặt khác tên thì chúng ta cần phải chọn đúng card tương ứng tại Destination Network.

Đảm bảo rằng thông báo Compatibility checks succeeded xuất hiện đều này đảm bảo quá trình migrate sẽ không xảy ra lỗi, nếu thông báo lỗi xuất hiện tại đây chúng ta cần troubleshoot theo nó.

Tại 5.Select vMotion priority chọn Schedule vMotion with high priority (recommended) và nhấn Next.

Tại 6.Ready to complete chúng ta sẽ review lại các tùy chọn và nếu không có thay đổi nhấn Finish.

Sau khi nhấn Finish chúng ta chú ý tại Recent Tasks chúng ta thấy task migrate chúng ta đang được thực hiện với thanh % tại cột status thể hiện quá trình migrate đã được bao nhiêu %.

Chờ một khoản thời gian chúng ta sẽ thấy xuất chữ Completed tại cột status ở task migrate trong Recent Tasks tức là quá trình migrate đã thành công.

Và chúng ta nhìn vào Hosts and Clusters chúng ta sẽ thấy rằng máy ảo Nghia01-2 đã được migrate sang host Esxi02 và khi nhấn vào máy ảo Nghia01-2 tại bảng Summary các bạn cũng thấy rằng thông tin Host của máy ảo là Esxi02.

Cũng tại bảng Summary > VM Hardware > nhấn vào biểu tượng Expand tại Hard disk 1 chúng ta sẽ thấy tại Location datastore nơi dùng để lưu folder chứa các tệp tin chạy ảo hóa của máy ảo Nghia01-2 đang là VMFS-01.

Như vậy là chúng ta đã hoàn thành việc migrate máy ảo Nghia01-2 từ host Esxi01 với datastore Local-ESXi01 sang host Esxi02 với datastore là VMFS-01 bằng tính năng vMotion.

Bài viết này sẽ hướng dẫn các bạn cách migrate máy ảo từ host ESXi này sang host ESXi khác nhưng cùng datastore bằng tính năng vSphere vMotion Migration khi các bạn sử dụng hạ tầng VMware Esxi và Vcenter.

Trước khi đi vào phần cấu hình chúng ta cùng nhau xem vMotion là gì và vMotion có các dạng nào.

2.vMotion là gì?

VMotion hay còn được gọi là live migration, là một tính năng của ESX / ESXi và vCenter Server cho phép một máy ảo đang chạy có thể được di chuyển từ một máy chủ vật lý này đến một máy chủ vật lý khác mà không cần phải tắt nguồn máy ảo.

Sự di chuyển giữa hai máy chủ vật lý xảy ra không có thời gian chết và không làm mất kết nối mạng đến máy ảo. VMotion đáp ứng cho nhu cầu của một tổ chức nhằm duy trì SLA để đảm bảo tính sẵn sàng cho server.

Quản trị viên có thể dễ dàng dùng VMotion để loại bỏ tất cả các máy ảo từ một máy chủ ESX /ESXi để thực hiện bảo trì. Sau khi bảo trì hoàn tất và máy chủ được đưa trở lại trực tuyến, VMotion một lần nữa có thể được sử dụng để trả các máy ảo đó về với máy chủ ban đầu.

Ngay cả trong các hoạt động bình thường hàng ngày, VMotion có thể được sử dụng khi nhiều máy ảo trên cùng một máy chủ đang cạnh tranh tài nguyên. VMotion có thể giải quyết vấn đề bằng cách cho phép người quản trị di chuyển bất kì máy ảo đang chạy nào đang bị tranh chấp tài nguyên nhưng có nhu cầu sử dụng tài nguyên lớn hơn đến một máy chủ ESX/ESXi khác.

3.Có bao nhiêu loại vMotion

vMotion được chia làm 3 loại khác nhau tùy theo nhu cầu sử dụng của người dung như sau:

• vSphere vMotion Migration: đây là dạng vMotion được sử dụng trong trường hợp người dùng cần migration một hoặc nhiều máy ảo từ một host Esxi sang host Esxi khác và lưu ý rằng cả 2 host Esxi đều phải có chung datastore.
• vSphere Storage vMotion: đây là dạng vMotion được sử dụng trong trường hợp người dung cần migration một hoặc nhiều máy ảo từ một datastore này sang một datastore khác và lưu ý rằng các máy ảo khi được migrate bằng tính năng này vẫn sẽ nằm trên host Esxi ban đầu và chỉ thay đổi datastore lưu trữ.
• Both: đây là dạng vMotion được sử dụng trong trường hợp người dùng cần migration một hoặc nhiều máy ảo từ một host esxi với datastore riêng biệt sang một host esxi khác độc lập hoàn toàn.

Sau khi đã tìm hiểu lý thuyết về vMotion chúng ta sẽ vào phần chính của bài viết đó là phần cấu hình.

4.Sơ đồ mạng

Chi tiết sơ đồ mạng:

Chúng ta sẽ có đường truyền internet được cấu hình tại Port 2 của thiết bị tường lửa Sophos Firewall.

Lớp mạng LAN sẽ được cấu hình tại Port 1 của tường lửa Sophos Firewall với IP 172.20.10.10, đã được cấu hình DHCP để cấp phát IP và được kết nối xuống một switch access để kết nối các thiết bị.

Chúng ta có 2 máy chủ vật lý chạy hệ thống ảo hóa VMware:

Esxi01:

• Có IP là 172.20.10.51/24.
• Đang chạy 3 máy ảo là Nghia01-2, Nghia01-3, Nghia01-4 và các folder nơi mà chứa các tệp tin chạy ảo hóa của 3 máy ảo này đang được lưu tại Local-ESXi01 datastore.
• Ngoài ra Vcenter cũng được cài đặt trên đây với IP 172.20.10.94/24 để quản trị cả 2 host Esxi01 và Esxi02.
• Đang kết nối với 2 Datastore là Local-ESXi01 và một datastore theo dạng sharing là iSCSI Datastore với tên là VMFS-01 và có IP 172.20.10.14/24.
• Có một VMkernel port được cấu hình riêng để chạy dịch vụ vMotion với IP 172.20.10.151/24.

Esxi02:

• Có IP là 172.20.10.52/24.
• Đang kết nối với 2 Datastore là Local-ESXi02 và một datastore theo dạng sharing là iSCSI Datastore với tên là VMFS-01 và có IP 172.20.10.14/24.
• Có một VMkernel port được cấu hình riêng để chạy dịch vụ vMotion với IP 172.20.10.152/24.

5.Tình huống cấu hình

Như có để cập ở phần chi tiết sơ đồ mạng thì cả 3 máy ảo Nghia01-2, Nghia01-3, Nghia01-4 đều đang chạy trên host Esxi01 và các folder nơi mà chứa các tệp tin chạy ảo hóa của 3 máy ảo này đang được lưu tại Local-ESXi01 datastore.

Trong bài viết này chúng ta sẽ sử dụng tính năng Vsphere vMotion Migration để chuyển hạ tầng ảo hóa mà các máy ảo đang chạy từ host Esxi01 sang host Esxi02 mà vẫn giữ nguyên datastore nơi mà các máy ảo này đang lưu trữ.

Chúng ta có 2 điều cần chú ý điều đầu tiên là các máy ảo hiện tại đang lưu tại Local-ESXi01 datastore, đây là local datastore của host Esxi01 vì vậy chúng ta không thể migrate các máy ảo sang host Esxi02 được vì nếu muốn migrate chúng ta sẽ cần 2 host Esxi01 và Esxi02 đều phải sử dụng chung một datastore.

Do cả 2 host Esxi01 và Esxi02 đều đang sử dụng chung datastore VMFS-01 nên chúng ta sẽ cần phải chuyển các folder chứa các tệp tin chạy ảo hóa của các máy ảo từ Local-ESXi01 datastore sang VMFS-01 datastore bằng tính năng vSphere Storage vMotion trước.

Điều thứ 2 chúng ta cần chú ý là việc chuyển máy ảo từ host ESXi này sang host ESXi khác sẽ ảnh hưởng tới performance của kết nối mạng trong hệ thống vì vậy chúng ta cần phải thiết kế 1 kết nối mạng riêng biệt giữa hai host ESXi để chạy dịch vụ vMotion.

Lưu ý: Để sử dụng tính năng này chúng ta cần có license ít nhất là Essential Plus cho host ESXi và bắt buộc phải có vCenter.

6.Các bước thực hiện

• Tạo kết nối mạng chạy dịch vụ vMotion.
• Migrate các máy ảo sang VMFS-01 datastore bằng vSphere Storage vMotion.
• Migrate các máy ảo từ Esxi01 host sang Esxi02 host

7.Hướng dẫn cấu hình

7.1.Tạo kết nối mạng chạy dịch vụ vMotion

Chúng ta cần sử dụng cáp kết nối 2 port vật lý của 2 máy chủ chạy 2 host Esxi01 và Esxi02.

Sau đó chúng ta sẽ tạo 2 Vmkernel port để kết nối chúng lại.

Để thực hiện chúng ta cần đăng nhập vào trang quản trị của vCenter bằng tài khoản với quyền admin.

Tiếp theo vào biểu tượng Hosts and Clusters > esxi01 > Configure > Networking > Virtual Switches > nhấn Add Networking…

Bảng Add Networking hiện ra chúng ta sẽ cấu hình như sau.

Tại 1.Select connection type: chọn VMkernel Network Adapter và nhấn Next.

Tại 2.Select target device chọn New standard switch và nhấn Next.

Tại bước này chúng ta sẽ chọn card mạng vật lý trong vmware tương ứng port mà chúng ta đã cắm vào máy chủ ở bước đầu tiên.

Nhấn vào dấu + để thêm.

Bảng Add Physical Adapter to the Swtich hiện ra, chúng ta sẽ chọn card vmnic3 và nhấn OK.

Quay trở lại 3.Create a Standard Switch cần đảm bảo rằng card vmnic3 đã xuất hiện tại Active adapters.

Nhấn Next để tiếp tục.

Tại 4.Port propertise chúng ta khai báo các thông số sau:

• Network label: vMotion
• Enabled services: tích chọn vMotion, tùy chọn này có nghĩa là port này chỉ dùng để chạy dịch vụ vMotion.
• Nhấn Next.

Tại 5.IPv4 settings chọn Use static IPv4 settings và cấu hình các thông số sau:

• IPv4 address: 172.20.10.151
• Subnet mask: 255.255.255.0
• Default gateway: 172.20.10.152 đây là IP của card vMotion trên host Esxi02.
• Nhấn Next.

Tại 6.Ready to complete chúng ta sẽ review lại các tùy chọn và nếu không có thay đổi nhấn Finish.

Để kiểm tra card vMotion đã được tạo thành công chưa chúng ta vào biểu tượng Hosts and Clusters > esxi01 > Configure > Networking > Virtual Switches.

Nhấn vào biểu tượng expand tại vSwitch2 và thấy rằng card vMotion đã được tạo và các traffic sẽ đi ra ngoài bằng card vật lý là card vmnic3 mà chúng ta đã khai báo.

7.2. Migrate các máy ảo sang VMFS-01 datastore bằng vSphere Storage vMotion

Chúng ta sẽ chỉ thực hiện bước này nếu các folder chứa các tệp tin chạy ảo hóa của các máy ảo đang được lưu trên datastore local thứ mà host Esxi nơi chúng ta muốn chuyển đến không thể thấy được.

Trong bài lab này do các folder chứa các tệp tin chạy ảo hóa của các máy ảo Nghia01-2, Nghia01-3, Nghia01-4 đang được lưu trên Local-ESXi01 datastore một datastore local mà host Esxi02 không thấy được nên chúng ta sẽ cần chuyển chúng sang một datastore mà cả hai host Esxi01 và Esxi02 đều có thể thấy đó là VMFS-01 datastore.

Việc chuyển datastore cho các máy ảo đã được thực hiện thành công bằng tính năng vSphere Storage vMotion.

Các bạn có thể xem hướng dẫn migrate máy ảo từ datastore này sang datastore khác tại đây.

7.3.Migrate các máy ảo từ Esxi01 host sang Esxi02 host

Sau khi đã thỏa 2 điều kiện là các folder chứa tệp tin chạy ảo hóa của các máy ảo đã được lưu tại VMFS-01 datastore một datastore mà cả 2 host Esxi01 và Esxi02 đều sử dụng được và cũng đã có kết nối vMotion riêng biệt chúng ta thực hiện migrate các máy từ host Esxi01 sang Esxi02.

Để migrate chúng ta nhấn chuột phải vào máy Nghia01-2 và nhấn Migrate.

Bảng Migrate | Nghia01-2 hiện ra chúng ta sẽ cấu hình các thông số như sau.

Tại bước 1.Select a migration type: chọn Change compute resource only và nhấn Next.

Tại 2.Select a compute resour… chọn host esxi02 và đảm bảo rằng thông báo Compatibility checks succeeded xuất hiện đều này đảm bảo quá trình migrate sẽ không xảy ra lỗi, nếu thông báo lỗi xuất hiện tại đây chúng ta cần troubleshoot theo nó.

Tại 3.Select networks, nếu hạ tầng mạng và các virtual switch, port group tại 2 host là như nhau chúng ta chỉ cần chọn card mạng tương tự cho máy ảo sẽ được migrate.

Ví dụ trong bài lab này hạ tầng mạng, virtual switch, port group của 2 host Esxi01 và Esxi02 là giống nhau hoàn toàn thì nếu tại host Esxi01 máy ảo Nghia01-2 đang chạy card mạng Production (cột Source Network) thì tại host Esxi02 chúng ta cũng chỉ cần khai báo card mạng Production tại Destination Network lúc đó khi migrate qua vMotion sẽ tự động gán card Production vào máy ảo này.

Nếu hạ tầng mạng, virtual switch, port group trên host Esxi02 khác với Esxi01 chúng ta cần chọn card mạng tương ứng cho máy ảo mà chúng ta sẽ migrate.

Ví dụ nếu tại host Exsi01 máy ảo Nghia01-2 đang chạy card Production và tại host Esxi02 cũng là card Production này nhưng chúng ta đặt khác tên thì chúng ta cần phải chọn đúng card tương ứng tại Destination Network.

Đảm bảo rằng thông báo Compatibility checks succeeded xuất hiện đều này đảm bảo quá trình migrate sẽ không xảy ra lỗi, nếu thông báo lỗi xuất hiện tại đây chúng ta cần troubleshoot theo nó.

Tại 4.Select vMotion priority chọn Schedule vMotion with high priority (recommended) và nhấn Next.

Tại 5.Ready to complete chúng ta sẽ review lại các tùy chọn và nếu không có thay đổi nhấn Finish.

Sau khi nhấn Finish chúng ta chú ý tại Recent Tasks chúng ta thấy task migrate chúng ta đang được thực hiện với thanh % tại cột status thể hiện quá trình migrate đã được bao nhiêu %.

Chờ một khoản thời gian chúng ta sẽ thấy xuất chữ Completed tại cột status ở task migrate trong Recent Tasks tức là quá trình migrate đã thành công.

Và chúng ta nhìn vào Hosts and Clusters chúng ta sẽ thấy rằng máy ảo Nghia01-2 đã được migrate sang host Esxi02 và khi nhấn vào máy ảo Nghia01-2 tại bảng Summary các bạn cũng thấy rằng thông tin Host của máy ảo là Esxi02.

Để chuyển 2 máy ảo còn lại chúng ta sẽ thực hiện lại phần 7.3.

Kết quả là đã chuyển thành công.

Bài viết này sẽ hướng dẫn các bạn cách migrate máy ảo từ datastore này sang datastore khác bằng tính năng vSphere Storage vMotion khi các bạn sử dụng hạ tầng VMware Esxi và Vcenter.

Trước khi đi vào phần cấu hình chúng ta cùng nhau xem vMotion là gì và vMotion có các dạng nào.

2.vMotion là gì?

VMotion hay còn được gọi là live migration, là một tính năng của ESX / ESXi và vCenter Server cho phép một máy ảo đang chạy có thể được di chuyển từ một máy chủ vật lý này đến một máy chủ vật lý khác mà không cần phải tắt nguồn máy ảo.

Sự di chuyển giữa hai máy chủ vật lý xảy ra không có thời gian chết và không làm mất kết nối mạng đến máy ảo. VMotion đáp ứng cho nhu cầu của một tổ chức nhằm duy trì SLA để đảm bảo tính sẵn sàng cho server.

Quản trị viên có thể dễ dàng dùng VMotion để loại bỏ tất cả các máy ảo từ một máy chủ ESX /ESXi để thực hiện bảo trì. Sau khi bảo trì hoàn tất và máy chủ được đưa trở lại trực tuyến, VMotion một lần nữa có thể được sử dụng để trả các máy ảo đó về với máy chủ ban đầu.

Ngay cả trong các hoạt động bình thường hàng ngày, VMotion có thể được sử dụng khi nhiều máy ảo trên cùng một máy chủ đang cạnh tranh tài nguyên. VMotion có thể giải quyết vấn đề bằng cách cho phép người quản trị di chuyển bất kì máy ảo đang chạy nào đang bị tranh chấp tài nguyên nhưng có nhu cầu sử dụng tài nguyên lớn hơn đến một máy chủ ESX/ESXi khác.

3.Có bao nhiêu loại vMotion

vMotion được chia làm 3 loại khác nhau tùy theo nhu cầu sử dụng của người dùng như sau:

• vSphere vMotion Migration: đây là dạng vMotion được sử dụng trong trường hợp người dùng cần migration một hoặc nhiều máy ảo từ một host Esxi sang host Esxi khác và lưu ý rằng cả 2 host Esxi đều phải có chung datastore.
• vSphere Storage vMotion: đây là dạng vMotion được sử dụng trong trường hợp người dung cần migration một hoặc nhiều máy ảo từ một datastore này sang một datastore khác và lưu ý rằng các máy ảo khi được migrate bằng tính năng này vẫn sẽ nằm trên host Esxi ban đầu và chỉ thay đổi datastore lưu trữ.
• Both: đây là dạng vMotion được sử dụng trong trường hợp người dùng cần migration một hoặc nhiều máy ảo từ một host esxi với datastore riêng biệt sang một host esxi khác độc lập hoàn toàn.

Sau khi đã tìm hiểu lý thuyết về vMotion chúng ta sẽ vào phần chính của bài viết đó là phần cấu hình.

4.Sơ đồ mạng

Chi tiết sơ đồ mạng:

Chúng ta sẽ có đường truyền internet được cấu hình tại Port 2 của thiết bị tường lửa Sophos Firewall.

Lớp mạng LAN sẽ được cấu hình tại Port 1 của tường lửa Sophos Firewall với IP 172.20.10.10, đã được cấu hình DHCP để cấp phát IP và được kết nối xuống một switch access để kết nối các thiết bị.

Chúng ta có 2 máy chủ vật lý chạy hệ thống ảo hóa VMware:

Esxi01:

• Có IP là 172.20.10.51/24.
• Đang chạy 3 máy ảo là Nghia01-2, Nghia01-3, Nghia01-4 và các folder nơi mà chứa các tệp tin chạy ảo hóa của 3 máy ảo này đang được lưu tại Local-ESXi01 datastore.
• Ngoài ra Vcenter cũng được cài đặt trên đây với IP 172.20.10.94/24 để quản trị cả 2 host Esxi01 và Esxi02.
• Đang kết nối với 2 Datastore là Local-ESXi01 và một datastore theo dạng sharing là iSCSI Datastore với tên là VMFS-01 và có IP 172.20.10.14/24.
• Có một VMkernel port được cấu hình riêng để chạy dịch vụ vMotion với IP 172.20.10.151/24.

Esxi02:

• Có IP là 172.20.10.52/24.
• Đang kết nối với 2 Datastore là Local-ESXi02 và một datastore theo dạng sharing là iSCSI Datastore với tên là VMFS-01 và có IP 172.20.10.14/24.
• Có một VMkernel port được cấu hình riêng để chạy dịch vụ vMotion với IP 172.20.10.152/24.

5.Tình huống cấu hình

Như có để cập ở phần chi tiết sơ đồ mạng thì cả 3 máy ảo Nghia01-2, Nghia01-3, Nghia01-4 đều đang chạy trên host Esxi01 và các folder nơi mà chứa các tệp tin chạy ảo hóa của 3 máy ảo này đang được lưu tại Local-ESXi01 datastore.

Trong bài viết này chúng ta sẽ sử dụng tính năng Vsphere Storage vMotion để chuyển các folder chứa các tệp tin chạy ảo hóa của 3 máy ảo này từ Local-ESXi01 datastore sang VMFS-01 datastore mà vẫn như nguyên host Esxi01 mà các máy ảo đang chạy.

Lưu ý: Để sử dụng tính năng này chúng ta cần có license ít nhất là Essential Plus cho host ESXi và bắt buộc phải có vCenter.

6.Hướng dẫn cấu hình

Trước khi cấu hình Vsphere Storage vMotion để chuyển các folder chứa các tệp tin ảo hóa từ Local-ESXi01 sang VMFS-01 datastore chúng ta sẽ kiểm tra lại thông tin lưu trữ của 3 máy ảo.

Để kiểm tra chúng ta vào trang quản trị của vCenter và đăng nhập bằng tài khoản với quyền admin.

Vào biểu tượng Hosts and Clusters > esxi01 > nhấn chuột trái vào máy ảo Nghia01-2 > tại Summary tab > VM Hardware > nhấn vào biểu tượng Expand tại Hard disk 1 > chúng ta chú ý tại Location thì đây là nơi cho chúng ta biết folder chứa tệp tin chạy ảo hóa của máy ảo Nghia01-2 đang được chứa ở datastore nào.

Như các bạn thấy folder chứa tệp tin chạy ảo hóa của máy ảo Nghia01-2 đang được chứa tại Local-ESXi01 datastore.

Thực hiện các bước tương tự để kiểm tra nơi lưu các folder của 2 máy ảo Nghia01-3, Nghia4-01 và chúng ta sẽ thấy cả 2 cũng đang được lưu tại Local-ESXi01 datastore.

Sau khi kiểm tra xong chúng ta sẽ thực hiện migrate folder chứa các tệp tin chạy ảo hóa của máy ảo Nghia01-2 từ Local-ESXi01 datastore sang VMFS-01 datastore.

Để migrate nhấn chuột phải vào máy ảo Nghia01-2 và chọn Migrate.

Bảng Migrate | Nghia01-2 hiện ra chúng ta sẽ cấu hình các thông số như sau.

Tại bước 1.Select a migration type: chọn Change storage only và nhấn Next.

Tại 2.Select storage:

• Select virtual disk format: chúng ta chọn Thin Provision (với vMotion thì VMware hỗ trợ cả việc chuyển định dạng của hard disk mà ảo đang sử dụng).
• VM Storage Policy: chọn VMFS-01 datastore.
• Compatibility: chúng ta cần phải đảm bảo rằng thông báo Compatibility checks succeeded xuất hiện đều này đảm bảo quá trình migrate sẽ không xảy ra lỗi, nếu thông báo lỗi xuất hiện tại đây chúng ta cần troubleshoot theo nó.
• Nhấn Next.

Tại 3.Ready to complete chúng ta sẽ review lại các tùy chọn và nếu không chọn nhầm hoặc không có thay đổi nào thêm chúng ta nhấn Finish để hoàn thành quá trình khai báo cấu hình và bắt đầu quá trình migrate.

Sau khi nhấn Finish chúng ta chú ý tại Recent Tasks chúng ta thấy task migrate chúng ta đang được thực hiện với thanh % tại cột status thể hiện quá trình migrate đã được bao nhiêu %.

Chờ một khoản thời gian chúng ta sẽ thấy xuất chữ Completed tại cột status ở task migrate trong Recent Tasks tức là quá trình migrate đã thành công.

Sau khi kiểm tra chúng ta sẽ kiểm tra lại nơi lưu trữ bằng các bước đã thực hiện ở đầu bài viết và thấy rằng tại Location nơi lưu của máy ảo bây giờ là VMFS-01 datastore chứ không còn là Local-ESXi01 datastore nữa.

Và các bạn cũng thấy rằng việc migrate này cũng không yêu cầu chúng ta phải shutdown và khởi động lại máy.

Chúng ta sẽ thực hiện lại các bước như trên để chuyển folder chứa tệp tin chạy ảo của 2 máy ảo Nghia01-3 và Nghia01-4 từ Local-ESXi01 datastore sang VMFS-01 datastore.

Và kết quả là đã chuyển thành công.