Mục đích của bài viết
- Bài viết này sẽ hướng dẫn cách cấu hình High Availability (HA) khi thiết bị phụ được cấu hình HA mode Active-Active trước đó có sự cố.
Sơ đồ mạng và kịch bản cấu hình
- Chúng ta sẽ có 1 cặp thiệt bị tường lửa đã được cấu hình High Availability (HA) với mode Active-Active.
- Sau đó giả sử thiết bị phụ bị Factory Reset thành một thiết bị mới hoàn toàn hoặc gặp sự cố hỏng phần cứng phải thay thiết bị mới thì chúng ta cần phải cấu hình HA trở lại như thế nào.
Điều kiện tiên quyết trước khi cấu hình
- Đối với trường hợp cấu hình High Availability từ thiết bị phụ đã được cấu hình HA trước đó và bị reset factory thì chúng ta không cần quan tâm đến điều kiện tiên quyết này do nó đã được cấu hình HA trước đó.
- Lưu ý rằng trong cả 2 mode Active-Active và Active-Passive, chúng ta tuyệt đối không nên Factory Reset thiết bị chính vì khi làm như vậy cả hai thiết bị chính và phụ sẽ cùng Factory Reset và dữ liệu sẽ bị mất hoàn toàn.
- Đối với trường hợp thiết bị phụ bị hỏng và chúng ta phải lắp thiết bị mới thì chúng ta cần phải đảm bảo được các điều kiện sau đây.
- Cả hai thiết bị trong cụm HA (tức là Thiết bị chính và Thiết bị phụ trợ) phải là cùng một kiểu máy và phiên bản. Cả hai thiết bị phải được đăng ký. Cả hai thiết bị phải có cùng số lượng cổng.
- Cả hai thiết bị phải được cài đặt cùng một phiên bản Firmware. Điều này bao gồm các bản phát hành bảo trì và sửa lỗi nóng cũng như xây dựng Firmware. Bạn có thể xác minh phiên bản Firmware bằng lệnh console sau: system diagnostics show version-info.
- Active-Active: Cần có hai giấy phép riêng biệt; một cho thiết bị chính và một cho thiết bị phụ trợ. Cả hai thiết bị phải có cùng các mô-đun đăng ký được kích hoạt.
- Active-Passive: Cần có một giấy phép cho Thiết bị chính. Không có giấy phép là cần thiết cho các thiết bị phụ trợ.
- Các mô-đun đăng ký giống nhau phải được bật trên cả hai thiết bị.
- Cáp đến tất cả các cổng được giám sát trên cả hai thiết bị phải được kết nối. Kết nối cổng liên kết HA chuyên dụng của cả hai thiết bị bằng cáp chéo hoặc cáp thẳng, gián tiếp qua mạng Ethernet chuyên dụng (Ví dụ: Vlan chuyên dụng qua mạng Ethernet) hoặc chỉ sử dụng chuyển đổi lớp liên kết 2 lớp được kết nối với công tắc đó để tránh thông tin nhịp tim HA để truyền đến miền phát sóng của công tắc.
- Chỉ định cùng một cổng với cổng liên kết HA trên cả hai thiết bị. (Ví dụ: Nếu bạn chọn Cổng C, thì đó phải là cổng liên kết HA trên cả hai thiết bị). Trên cả hai thiết bị, cổng liên kết HA chuyên dụng phải thuộc vùng DMZ và phải có Địa chỉ IP duy nhất.
- Địa chỉ IP của cổng liên kết HA của cả hai thiết bị phải thuộc cùng một lớp mạng. Các thiết bị sử dụng liên kết này để truyền đạt thông tin cụm và đồng bộ hóa với nhau.
- Quyền truy cập thiết bị qua SSH trên DMZ Zone phải được bật cho cả hai thiết bị; tham khảo Bước 1 bên dưới. Cấu hình giao diện DHCP và PPPoE và cấu hình mạng di động phải được tắt trước khi thử cấu hình HA Active-Active. Xem hành vi HA dưới đây để biết chi tiết.
- Các mô hình XG (w) không dây không hỗ trợ HA.
Hướng dẫn cấu hình
- Chúng ta cần phải cấu hình HA với mode Active-Active cho hai thiết bị trước, các bạn có thể xem hướng dẫn cấu hình HA với mode Active-Active.
- Ở đây mình đã cấu hình sẵn HA với mode Active-Active cho 2 firewall với số serial là C010016QYQ8XQ7C (gọi tắt là FW1) là thiết bị chính (Primary) và thiết bị phụ (Auxiliary) với số serial là C01001T3228TREA (gọi tắt là FW2).
- Ở phần địa chỉ IP và cổng kết nối các bạn có xem ở sơ đồ phía trên.
- Sau khi cấu hình xong chúng ta sẽ đăng nhập vào giao diện console của thiết bị phụ FW2 thông qua cổng console bằng ứng dụng Putty.
- Tiếp theo nhập password để đăng nhập.
- Tiếp theo nhấn phím 5 để vào Device Management, nhấn 1 để Reset to Factory Defaults thiết bị, nhấn y và nhấn phím Enter 2 lần để thiết bị bắt đầu reset.
- Sau khi thiết bị khởi động lại, chúng ta sẽ dùng mới tính kết nối với thiết bị FW2 bằng cổng LAN và đăng nhập vào trang quản trị với đường dẫn https://172.16.16.16:4444.
- Màn hình giới thiệu xuất hiện nhấn vào Click to Begin để tiếp tục.
- Trang Basic Configuration hiện ra chúng ta điền mật khẩu vào 2 ô trống, tích bỏ ở ô ‘Install the lastest fireware automatically during setup(recommended)’ và tích vào ô ‘ I agree to the license agreement ‘.
- Tiếp theo nhấn vào Connect as HA spare, bảng Connect as HA spare hiện ra điền các thông tin như sau.
- Peer serial number* : điền vào số serial của thiết bị FW1 là C010016QYQ8XQ7C.
- Passphrase* : điền vào mật khẩu mà bạn muốn (lưu ý mật khẩu này phải giống nhau giữa cả hai thiết bị)
- Dedicated HA link*: Port 3 (đây là cổng trao đổi dữ liệu backup giữa thiết bị chính là phụ).
- IP address*: nhập IP là 10.2.2.21 (đây là IP của Port 3 cổng trao đổi dữ liệu, IP này phải cùng lớp mạng với IP của Port 3 bên thiết bị chính và 2 cổng phải ping thấy nhau).
- Subnet mask*: /24(255.255.255.0).
- Sau đó nhấn Apply để hoàn thành
- Sau đó nhấn Continue > nhấn Finish và chờ 1 lúc để cấu hình được áp dụng.
- Tiếp theo chúng ta sẽ truy cập vào giao diện quản trị web của thiết bị FW1 bằng đường dẫn https://172.16.16.16:4444.
- Sau đó nhấn vào System Services > High Availability để kiểm tra cấu hình.
- Chúng ta sẽ thấy rằng kế bên số serial C010016QYQ8XQ7C sẽ là chữ Standalone màu đỏ có nghĩa là thiết bị đang chạy độc lập.
- Kế bên số serial C01001T3228TREA là chữ Faulty màu đỏ nghĩa là thiết bị này bị lỗi do trước đó chúng ta đã Factory Reset thiết bị này.
- Tiếp theo chúng ta sẽ nhấn vào Disable HA và nhấn OK để tắt tính năng HA.
- Để kết nối HA với thiết bị phụ đã được cấu hình trước đó chúng ta cần điền vào những thông tin sau.
- HA configuration mode* : Active-Passive.
- Initial HA device status* : Primary.
- Passphrase : điền vào mật khẩu mà chúng ta đã nhập ở thiết bị FW2 (mật khẩu đã nhập ở bảng Connect as HA spare).
- Dedicated HA link* : chọn Port 3 giống với bên thiết bị phụ.
- Peer HA link IPv4* : nhập vào 10.2.2.21 là IP của cổng trao đổi bên thiết bị phụ.
- Peer administration port* : chọn Port 1.
- Peer administration IP* : 172.16.16.100.
- Select ports to be monitored : chọn Port 1 và Port 2.
- Sau đó nhấn Enable HA.
- Đợi một khoảng vài phút, reload lại trang quản trị nhấn System Services > High Availability để kiểm tra chúng ta sẽ thấy rằng thiết bị FW1 với số serial
C010016QYQ8XQ7C là thiết bị chính (Primary) và thiết bị phụ (Auxiliary) với số serial là C01001T3228TREA là thiết bị phụ đang chạy HA với mode Active-Passive.