1. Mục đích bài viết
Thegioifirewall sẽ hướng dẫn cách để cấu hình port LAG (Link Aggregation) trên thiết bị tường lửa Palo Alto.
Trước khi đi vào phần cấu hình chúng ta cần biết được port LAG là gì và công dụng của nó.
2. Port LAG là gì và công dụng
- Port LAG (Link Aggregation) là một phương thức gộp 2 hay nhiều cổng mạng lại với nhau biến chúng trở thành 1 kết nối duy nhất để công gộp băng thông (trunking) hoặc cung cấp khả năng dự phòng (faul tolerance).
- Port LAG với tính năng trunking sẽ tăng cường tốc độ kết nối vượt ngoài tốc độ của một cáp đơn hoặc cổng mạng riêng lẻ.
- Việc cải thiện hiệu suất truyền tải thực sự có ý nghĩa trong môi trường máy chủ thực hiện nhiều kết nối từ các máy con.
- Tính năng dự phòng cũng tạo ra sự sẵn sàng cao hơn và giúp tránh xảy ra sự gián đoạn trong truyền tải mạng.
3. Sơ đồ mạng
Chi tiết sơ đồ mạng:
- Chúng ta sẽ có một thiết bị tường lửa Palo Alto PA – 220 được kết nối internet thông qua cổng ethernet1/1 bằng giao thức PPPoE có IP 14.169.x.x.
- Phía trong mạng LAN chúng ta sẽ có hai port ethernet1/7 và ethernet1/8 sẽ được cấu hình thành port Link Aggregation và kết nối đến 2 port Gi0/1 và Gi0/2 của Switch Cisco 2960.
- Cuối cùng là máy PC 1 nối vào port 1 của switch.
3. Tình huống cấu hình
Chúng ta sẽ thực hiện cấu hình gộp 2 port ethernet1/7 va ethernet1/8 thành port LAG ae1 và kết nối chúng đến 2 port Gi0/1 và Gi0/2 của switch cisco.
Sau đó sẽ tạo DHCP trên port LAG ae1 và dùng PC kết nối vào switch để kiểm tra xem máy có nhận được IP được cấp phát hay không.
4. Các bước thực hiện
- Tạo Aggregation Group.
- Gán port ethernet1/7 và ethernet1/8 vào Aggregation Group.
- Tạo Virtual Routers
- Tạo DHCP pool cho Aggregation Group.
- Kết quả
5.Hướng dẫn cấu hình
5.1 Tạo Aggregation Group
Vào Network > Interfaces.
Nhấn Add Aggregation Group và cấu hình theo các thông số sau:
Tab Config:
- Interface Name: ae.1.
- Interface Type: Layer 3.
- Security Zone: LAN.
Tab IPv4:
- Type: tích chọn Static.
- Nhấn Add và nhập vào IP 10.140.40.1/24.
Tab LACP:
- Tích chọn Enable LACP
- Mode: chọn Passive (thường thì firewall sẽ chạy Passive, còn các thiết bị gắn vào như switch sẽ chạy Active).
- Transmission Rate: chọn Fast (Đây là tốc độ truyền của truy vấn LACP, nếu chọn Slow thì mặc định 30 giây, còn chọn Fast thì nó sẽ truy vấn mỗi giây.
- Fast Failover: tích chọn (Chọn Fast Failover nếu bạn muốn bật chuyển đổi dự phòng sang cổng standby trong vòng chưa đầy một giây. Theo mặc định, tùy chọn này bị tắt và tường lửa sử dụng tiêu chuẩn IEEE 802.1ax để xử lý chuyển đổi dự phòng, mất ít nhất ba giây.)
- System Priority: 32768
- Maximum Interfaces: nhập 2 (đây là số lượng tối đa các cổng được gán vào group. Nếu số lượng cổng bạn gán cho nhóm vượt quá số lượng tối đa, các cổng còn lại sẽ ở chế độ chờ. Tường lửa sử dụng Mức độ ưu tiên cổng LACP – System Priority của mỗi cổng bạn gán để xác định cổng nào đang hoạt động ban đầu và xác định thứ tự các cổng dự phòng sẽ hoạt động khi chuyển đổi dự phòng.
- Nhấn OK để lưu.
Nhấn Commit và OK để lưu các thay đổi cấu hình.
5.2. Gán port ethernet1/7 và ethernet1/8 vào Aggregation Group
Thực hiện gán port bằng cách vào Network > Interface.
Nhấn chuột vào tên của cổng ethernet1/7 và chọn như sau:
- Interface Type: Aggregate Ethernet.
- Aggregate Group: chọn ae1 vừa tạo.
- Nhấn OK.
Tương tự nhấn chuột vào tên của cổng ethernet1/8 và chọn như sau:
- Interface Type: Aggregate Ethernet.
- Aggregate Group: chọn ae1.
- Nhấn OK.
Nhấn Commit và OK để lưu các thay đổi cấu hình.
5.3. Tạo Virtual Routers
Chúng ta vào Network > Virtual Routers > nhấn Add và cấu hình theo các thông số sau:
Tại tab Router Settings > General > nhấn Add và thêm 2 port ae1 và ethernet1/1.
Nhấn OK để lưu.
Lưu ý: Nếu bạn không tạo Virtual Routers bạn sẽ không thể tạo DHCP.
5.4. Tạo DHCP Pool cho Aggregation Group
Vào Network > DHCP > nhấn Add và cấu hình theo các thông tin sau:
Tab Lease:
- Interface: Chọn ae1
- Mode: chọn enabled
- Lease: chọn Unlimited
- IP Pools: nhấn Add và nhập dãy IP 10.140.40.2-10.140.40.100
Tab Options:
- Gateway: 10.140.40.1
- Subnet Mask: 255.255.255.0
- Primary DNS: 8.8.8.8
- Secondary DNS: 8.8.4.4
- Nhấn OK.
Nhấn Commit và OK để lưu thay đổi cấu hình.
5.5. Kết quả
Chúng ta sẽ kết nối hai port ethernet1/7 và ethernet1/8 vào hai port mạng Gi0/1 và Gi0/2.
Sau đó chúng ta sẽ kết nối máy tính PC 1 vào switch để kiểm tra có nhận được DHCP hay không.
Kết quả là máy đã nhận được IP.
em chào add ạ
add cho em hỏi là nếu router chỉ hỗ trợ static LAG thì cấu hình trên palo alto như thế nào để cho nó chạy được ạ?
em cảm ơn add nhiều ạ.