Mục đích của bài viết
- Bài viết này sẽ giới thiệu về tính năng High Availability là gì và hướng dẫn cấu hình tính năng này trên thiết bị tường lửa Sophos XG với mode Active-Active.
Tính năng High Availability (HA) là gì ?
- Tính năng High Availability (HA) là một công nghệ phân cụm được sử dụng để duy trì dịch vụ không bị gián đoạn trong trường hợp mất điện, phần cứng hoặc phần mềm. Thiết bị Sophos Firewall có thể được cấu hình ở chế độ Active-Active hoặc Active-thụ động HA. Các thiết bị (Thiết bị chính và phụ) được kết nối vật lý qua cổng liên kết HA chuyên dụng.
- Trong chế độ Active-Active, cả Thiết bị chính và Thiết bị phụ trợ đều chịu trong khi thiết bị chính chịu trách nhiệm cân bằng lưu lượng. Cân bằng tải được quyết định bởi Thiết bị chính. Thiết bị phụ trợ chỉ có thể tiếp quản nếu thiết bị chính gặp sự cố về nguồn / phần cứng / phần mềm.
Điều kiện tiên quyết trước khi cấu hình
- Cả hai thiết bị trong cụm HA (tức là Thiết bị chính và Thiết bị phụ trợ) phải là cùng một kiểu máy và phiên bản. Cả hai thiết bị phải được đăng ký. Cả hai thiết bị phải có cùng số lượng giao diện.
- Cả hai thiết bị phải được cài đặt cùng một phiên bản Firmware. Điều này bao gồm các bản phát hành bảo trì và sửa lỗi nóng cũng như xây dựng Firmware. Bạn có thể xác minh phiên bản Firmware bằng lệnh console sau: system diagnostics show version-info.
- Active-Active: Cần có hai giấy phép riêng biệt; một cho thiết bị chính và một cho thiết bị phụ trợ. Cả hai thiết bị phải có cùng các mô-đun đăng ký được kích hoạt.
- Các mô-đun đăng ký giống nhau phải được bật trên cả hai thiết bị.
- Cáp đến tất cả các cổng được giám sát trên cả hai thiết bị phải được kết nối. Kết nối cổng liên kết HA chuyên dụng của cả hai thiết bị bằng cáp chéo hoặc cáp thẳng, gián tiếp qua mạng Ethernet chuyên dụng (Ví dụ: Vlan chuyên dụng qua mạng Ethernet) hoặc chỉ sử dụng chuyển đổi lớp liên kết 2 lớp được kết nối với công tắc đó để tránh thông tin nhịp tim HA để truyền đến miền phát sóng của công tắc.
- Chỉ định cùng một cổng với cổng liên kết HA trên cả hai thiết bị. (Ví dụ: Nếu bạn chọn Cổng C, thì đó phải là cổng liên kết HA trên cả hai thiết bị). Trên cả hai thiết bị, cổng liên kết HA chuyên dụng phải thuộc vùng DMZ và phải có Địa chỉ IP duy nhất.
- Địa chỉ IP của cổng liên kết HA của cả hai thiết bị phải thuộc cùng một lớp mạng. Các thiết bị sử dụng liên kết này để truyền đạt thông tin cụm và đồng bộ hóa với nhau.
- Quyền truy cập thiết bị qua SSH trên DMZ Zone phải được bật cho cả hai thiết bị; tham khảo Bước 1 bên dưới. Cấu hình giao diện DHCP và PPPoE và cấu hình mạng di động phải được tắt trước khi thử cấu hình HA Active-Active. Xem hành vi HA dưới đây để biết chi tiết.
- Các mô hình XG (w) không dây không hỗ trợ HA.
Hướng dẫn cấu hình High Availability với mode Active-Active
Chúng ta có sơ đồ mạng như sau:
- Trong sơ đồ này các cổng liên kết HA chuyên dụng (Port 3 của 2 thiết bị) được kết nối trực tiếp qua cáp chéo hoặc cáp thẳng.
- Bước đầu tiên chúng ta cần bật SSH cho vùng DMZ trên cả hai thiết bị.
- Để bật nhấn Administrator > Device Access.
- Phía dưới Admin Services tích vào ô SSH ở dòng DMZ đẻ bật và sau đó nhấn Apply.
Cấu hình các thông tin trên thiết bị phụ trợ (Auxiliary Device)
- Trong thiết bị phụ trợ đăng nhập vào giao diện quản trị và nhấn System Services > High Availability và nhập các thông số sau. Nếu các chi tiết này không được định cấu hình trên Thiết bị phụ trợ, thì Thiết bị chính sẽ không thể kết nối với Thiết bị phụ trợ.
- HA Configuration Mode: Active-Active
- Initial HA Device State: Auxilliary
- Passphrase: nhập 1 mật khẩu
- Dedicated HA Link Port: Port3. Port này phải giống nhau trên cả hai thiết bị.
- Nhấn Save để lưu.
Cấu hình các thông tin trên thiết bị chính (Primary Device)
- Nhấn System Services > High Availability và nhập các thông số như sau.
- HA Configuration Mode: Active-Active
- Initial HA Device State: Primary
- Passphrase: Nhập mật khẩu giống như đã đặt ở thiết bị phụ trợ (Auxiliary Device).
- Dedicated HA Link Port: Port3 (phải cùng cổng với thiết bị phụ trợ).
- Peer HA Link IPv4: Địa chỉ IP Port 3 của thiết bị phụ trợ (Auxiliary Device).
- Peer Administration Port: Chọn cổng quản trị cho thiết bị phụ trợ (Auxiliary Device) hoặc peer device.
- Peer Administration IP: Địa chỉ IP này phải nằm trên một mạng khác với Peer HA Link IPv4 của thiết bị này. Bảng điều khiển dành cho quản trị viên của thiết bị phụ trợ có thể được truy cập tại địa chỉ này. Bất kỳ người dùng nào truy cập Bảng điều khiển dành cho quản trị viên của Thiết bị phụ trợ sẽ được đăng nhập bằng Hồ sơ HA và có quyền chỉ đọc.
- Select ports to be monitored: Chọn các cổng cần theo dõi trạng thái HA.
- Click Enable HA để hoàn thành cài đặt.
- Note: Thiết bị mà HA được cấu hình trở thành Thiết bị chính và thiết bị khác trở thành Thiết bị phụ trợ. Khi HA được thiết lập giữa thiết bị chính và thiết bị phụ, tất cả các cấu hình của Thiết bị chính được đồng bộ hóa với Thiết bị phụ trợ và không cần cấu hình bổ sung.
Kiểm tra trạng thái HA
- Để kiểm tra trạng thái HA, nhấn vào Control Center và tìm thông tin về HA. Nó hiển thị chế độ HA vừa cấu hình.
- HA status cũng có thể được xác minh từ bảng điều khiển CLI bằng cách làm theo các bước dưới đây:
- Đăng nhập vào CLI console của thiết bị chính bằng tài khoản quản trị.
- Chọn tùy chọn 4.Device Console từ menu chính.
- Nhập vào dòng lênh system ha show details.
Những điều lưu ý khi cấu hình HA với mode Active-Active
- Mode Active-Active không hỗ trợ DHCP, PPPoE and Cellular WAN trên mọi cổng.
- Tính năng HA không hỗ trợ các dòng Wifi của Sophos XG.
- Thiết bị chính và thiết bị phụ phải cùng một dòng sản phẩm. Ví dụ: XG85 chỉ có thể cấu hình HA với 1 thiết bị XG85 khác.
- Không thể chuyển đổi dự phòng (Session Failover) cho các phiên quét AV hoặc bất kỳ lưu lượng chuyển tiếp IPv4 nào khác, như ICMP, UDP, lưu lượng multicast và broadcast, lưu lượng truy cập qua Proxy Subsystem (lưu lượng transparent,direct và parent proxy) và lưu lượng VPN.
- Không thể chuyển đổi dự phòng (Session Failover) cho lưu lượng chuyển tiếp IPv6 như ICMPv6, UDP, lưu lượng multicast và broadcast.
- HA với mode Active-Active sẽ không thể cân bằng tải các phiên VPN, phiên multicast và broadcast, lưu lượng scanned FTP và lưu lượng truy cập qua các thiết bị RED không dây và điểm truy cập.
- HA với mode Active-Active có thể cân bằng tải cho lưu lượng TCP chuyển tiếp thông thường, NATed (cả SNAT và Vitural host) lưu lượng TCP chuyển tiếp, lưu lượng TCP truyền qua Proxy Subsystem : Transparent Proxy, Direct Proxy, Parent Proxy và lưu lượng VLAN.
- Trong chế độ Active-Active, thư sẽ được cách ly riêng trên cả hai thiết bị, vì lưu lượng SMTP Proxy được cân bằng theo cách thức luân chuyển (round rubin manner).