1.Giới Thiệu
Bài viết này sẽ hướng dẫn người dùng tường lửa Palo Alto cấu hình High Availability với mode Active/Passive
Bài viết này sẽ hướng dẫn các cấu hình sau :
- Hiển thị tiện ích Bảng điều khiển HA.
- Cấu hình HA interface chuyên dụng.
- Cấu hình HA Active / Pssive.
- Định cấu hình HA Monitoring.
- Quan sát hành vi trong tiện ích HA.
2 Hướng dẫn cấu hình
Chúng ta có sơ đồ mạng như sau
2.1 Hiển thị bản tiện ích HA
Nếu High Availability (HA) được bật, tiện ích High Availability trên Bảng điều khiển (Dashboard) cho biết trạng thái HA.
Trong giao diện web, nhấp vào tab Dashboard để hiển thị thông tin tường lửa hiện tại.
Nếu bảng High Availability không được hiển thị, hãy chọn Widget > System > High Availability để bật tiện ích này.
Tiện ích High Availability hiện đã hiển thị trên Dashboard.
2.2 Cấu hình HA Interface
Mỗi HA interface có một chức năng cụ thể: Một interface dành cho đồng bộ hóa cấu hình và nhịp tim, và interface khác dành cho đồng bộ hóa trạng thái (không được định cấu hình trong phần này).
Vào Network > Interfaces > Ethernet.
Bấm ethernet1/6 để mở cửa sổ cấu hình cho cổng này.
Chọn HA trong danh sách thả xuống ở Interface Type và bấm OK
2.3 Cấu hình Active/Passive HA
Trong triển khai này, tường lửa hoạt động liên tục đồng bộ hóa thông tin cấu hình và phiên của nó với tường lửa thụ động qua hai interface chuyên dụng. Nếu sự gián đoạn phần cứng hoặc phần mềm xảy ra trên tường lửa hoạt động, tường lửa thụ động sẽ thay thế tường lửa chủ động hoạt động mà không mất dịch vụ. Việc triển khai HA chủ động / thụ động được hỗ trợ bởi các chế độ giao diện Virtual Wire, Layer 2 và Layer 3.
Vào Device > High Availability > General.
Bấm vào icon bánh răng ở bảng Setup để mở cửa sổ cấu hình Setup.
Cấu hình theo các thông số sau :
- Enable HA : tích chọn Enable HA
- Group ID : 60 (Trường này là bắt buộc và phải là duy nhất, nếu nhiều cặp HA cặp cư trú trên cùng một broadcast domain.)
- Mode : Active Passive
- Enable Config Sync : tich chọn Enable Config Sync (Chọn tùy chọn này để cho phép đồng bộ hóa cài đặt cấu hình giữa các thiết bị.)
- Peer HA1 IP Address : 172.16.3.11
Bấm OK để lưu.
Bấm vào icon bánh răng của Active/Passive Settings.
Chọn Auto. Khi Auto được chọn, các liên kết có kết nối vật lý vẫn hoạt động bình thường nhưng ở trạng thái bị tắt. Chúng không tham gia vào ARP hoặc chuyển tiếp gói. Cấu hình này giúp giảm thời gian hội tụ trong quá trình chuyển đổi dự phòng vì không cần thời gian để kích hoạt các liên kết. Để tránh các vòng lặp mạng, không chọn tùy chọn này nếu tường lửa có bất kỳ interface Layer 2 nào được cấu hình.
Bấm OK để lưu.
Bấm vào icon bánh răng ở bảng Election Settings để cấu hình failover behavior với các thông số sau.
- Device Priority : 80 (Nhập một giá trị ưu tiên (phạm vi từ 0 đến 255) để xác định tường lửa hoạt động. Tường lửa có giá trị thấp hơn (mức ưu tiên cao hơn) trở thành tường lửa hoạt động khi khả năng phòng ngừa được bật trên cả hai tường lửa trong cặp.)
- Preemtive : tich chọn Preemtive (Cho phép tường lửa ưu tiên cao hơn để tiếp tục hoạt động sau khi khôi phục từ một sự cố. Tham số này phải được bật trên cả hai tường lửa nhưng không phải lúc nào cũng được khuyến nghị)
- Heartbeat Backup : Bỏ chọn Heartbeat backup (Sử dụng các cổng quản lý trên tường lửa HA để cung cấp đường dẫn dự phòng cho tin nhắn heartbeat và hello)
Bấm OK để lưu.
Bấm vào icon bánh răng ở bảng Control Link (HA1) để cấu hình HA1 Link. Tường lửa trong cặp HA sử dụng HA link để đồng bộ hóa dữ liệu và duy trì thông tin trạng thái.
- Port : ethernet1/6
- IPv4/IPv6 address : 172.16.3.10
- Netmask : 255.255.255
Bấm OK để lưu.
Bấm vào icon bánh răng ở cửa sổ cấu hình Data Link (HA2).
Bỏ chọn Enable Session Synchronization check box.
Bấm OK để lưu.
2.4 Cấu hình HA Monitoring
Vào Device > High Availability > Link and Path Monitoring.
Bấm vào icon bánh răng torng bảng Link Monitoring để cấu hình link failure detection. Link Monitoring cho phép chuyển đổi dự phòng khi liên kết vật lý hoặc nhóm liên kết vật lý không thành công.
- Enable : tich chọn Enable
- Failure Condition : Any
Bấm Add ở bảng Link Group để cấu hình traffic link để giám sát :
- Name : traffic-links
- Enable : tich chọn Enable (Lưu ý : Không hỗ trợ cho VM-Series trên ESXi)
- Failure Condition : Any
- Interface : ethernet1/1 và ethernet1/2
Bấm OK để lưu.
Bấm vào icon bánh răng của bảng Path Monitoring để cấu hình path Failure detection.
Path Monitoring cho phép tường lửa giám sát các địa chỉ IP đích được chỉ định bằng cách gửi tin nhắn ping ICMP để đảm bảo rằng chúng phản hồi.
- Enable : tích chọn Enable
- Failure Condition : Any
Bấm OK để lưu.
Tìm bảng Path Group và bấm Add Virtual Router Path để cấu hình path failure condition.
- Name : lab-vr
- Enable : tích chọn Enable
- Failure Condition : Any
- Destination IP :8.8.8.8
Bấm OK để lưu.
Bấm Commit để cam kết các thay đổi.
2.5 Quan sát trạng thái trong tiện ích HA
Trong giao diện web, nhấp vào Dashboard tab và xem tiện ích trạng thái High Availability cho tường lửa. Active Passive mode nên được bật và tường lửa cục bộ phải hoạt động (màu xanh lá cây). Bạn có thể cần làm mới ngăn High Availability nếu tường lửa cục bộ vẫn hiển thị rằng nó đang khởi tạo. Tuy nhiên, vì không có tường lửa ngang hàng, trạng thái của hầu hết các mục được giám sát là không xác định (màu vàng). Vì HA1 không có peer, trạng thái của nó không hoạt động (màu đỏ).
Nếu một thiết bị ngang hàng được định cấu hình và hoạt động ở chế độ thụ động, tiện ích High Availability trên Dashboard sẽ xuất hiện như sau. Để tránh ghi đè cấu hình tường lửa sai, tường lửa không được tự động đồng bộ hóa. Bạn phải đồng bộ hóa thủ công bằng cách nhấp vào Sync to peer.
