HA (High availability)

1. Mô hình triển khai HA

  • High Availability (HA) trên các thiết bị mạng là một trong các chức năng quan trọng trong việc đảm bảo hệ thống mạng luôn hoạt động liên tục, giảm thiểu tối đa các trường hợp lỗi liên quan đến đường truyền mạng hoặc lỗi liên quan đến 1 thiết bị.

  • HA sẽ hỗ trợ các chức năng sau:

    • Dự phòng thiết bị: Thay vì chỉ một firewall duy nhất sẽ có ít nhất hai thiết bị hoạt động, một thiết bị chính và một thiết bị dự phòng (Master - Backup).VD: khi 1 thiết bị lỗi, gặp sự cố hoặc hỏng thì thiết bị còn lại sẽ đứng ra để thay thế cho thiết bị gặp vấn đề đó.

    • Dự phòng đường truyền: khi 1 trong 2 đường truyền (internet,Lan,..) mất tín hiệu thì sẽ ngay lập tức chuyển sang thiết bị dự phòng, Ví dụ : đường mạng internet của firewall chính bị hỏng, mất kết nối thì sẽ ngay lập tức chuyển sang dùng firewall dự phòng

Dự phòng nguồn (Power Redundancy): Các thiết bị quan trọng thường có nhiều bộ nguồn (power supply) để nếu một bộ nguồn bị hỏng, thiết bị vẫn hoạt động bình thường. Ngoài ra, việc kết nối với các nguồn điện khác nhau hoặc sử dụng bộ lưu điện (UPS) cũng là một phần của dự phòng nguồn.

2. Cấu hình HA

Trước khi đi vào cấu hình thì sẽ cần phải tuân theo các yêu cầu sau:

  • Chuẩn bị sẵn 2 thiết bị Firewall và xác định thiết bị nào là chính (Master) , thiết bị nào là phụ (Backup)

  • IP của các interface trên cả 2 thiết bị đều phải dùng chung 1 dải mạng nhưng phải khác nhau , VD: với interface Lan trên cả 2 thiết bị đều có subnet 172.16.86.0/24 thì trên thiết bị chính (Master) sẽ có ip là 172.16.86.100 còn trên thiết bị phụ (Backup) sẽ có ip là 172.16.86.200

  • Trên cả 2 thiết bị đều đã cấu hình mạng, interface và firewall giống nhau

  • Các mạng đầu vào nên đặt IP tĩnh

Bước 1: Tạo địa chỉ IP ảo cho các interface trên cả 2 firewall Master và Backup.

  • Ở bước này thì cấu hình trên cả 2 thiết bị Firewall đều sẽ giống nhau. Địa chỉ IP ảo sẽ được dùng như 1 Gateway chung cho cả 2 thiết bị firewall với mỗi interface tương ứng sẽ có 1 địa chỉ IP ảo này.

  • Để làm được điều đó thì hãy truy cập vào mục Cấu hình mạng -> HA -> Địa chỉ IP Nhấn nút “Thêm” và Nhập vào các thông tin sau:

    • Tên : Nhập vào 1 tên bất kỳ.

    • Địa chỉ IP ảo: Điền vào 1 ip chưa được sử dụng bởi bất kỳ thiết bị nào và phải thuộc dải IP mà mạng thật đang cấp phát . VD: interface Lan (172.16.86.0/24) cấp phát ip DHCP từ 172.16.86.10 -> 172.16.86.250 thì nên điền vào 1 ip nằm ngoài dải như 172.16.86.252

    • Thiết bị : Là cổng mạng hoặc device (eth1, eth2, br-lan,...) mà interface đang có IP vừa điền ở trên đang dùng.

Sau khi đã cấu hình xong cấu hình này thì hãy ấn nút “Lưu” và ấn “Lưu & áp dụng” rồi tiếp tục cấu hình địa chỉ IP ảo cho các interface khác.

Bước 2: Cấu hình Interface để theo dõi trên cả firewall Master và Backup.

  • Ở bước này thì cấu hình trên cả 2 thiết bị Firewall đều sẽ giống nhau. Cấu hình Interface ở đây nhằm mục đích khai báo các interface sẽ được theo dõi để phục vụ cho việc cấu hình Instance ở bước sau , cấu hình này hỗ trợ phát hiện khi có sự cố xảy ra trên interface đó.

  • Để làm được điều đó thì hãy truy cập vào mục Cấu hình mạng -> HA -> Giao diện mạng Nhấn nút “Thêm” và Nhập vào các thông tin sau:

+ Tên : Nhập vào 1 tên bất kỳ.

+ Thiết bị : Là cổng mạng hoặc device (eth1, eth2, br-lan,...) mà interface ở màn cấu hình interface đang dùng.

  • Sau khi đã cấu hình xong cấu hình này thì hãy ấn nút “Lưu” và ấn “Lưu & áp dụng” rồi tiếp tục cấu hình cho các interface khác.

Bước 3: Cấu hình Instance để chọn thiết bị nào là firewall Master và thiết bị nào sẽ là Backup.

Ở đây sẽ cần cấu hình trên 2 thiết bị master và thiết bị Backup riêng. Để cấu hình được phần này ta sẽ cấu hình trên từng thiết bị một.

  • Trên thiết bị Master : Truy cập vào mục Cấu hình mạng -> HA -> Instance Nhấn nút “Thêm” và Nhập vào các thông tin sau:

    • Tên : Nhập vào 1 tên bất kỳ

    • State: chọn chế độ “Master mode” vì đây sẽ là thiết bị chính

    • Giao diện mạng : Chọn đúng cổng mạng , device được gán với interface mà ta muốn cấu hình.

    • Virtual Id : 1 ID ảo để giao tiếp giữa 2 thiết bị Master và Backup , cả 2 đều phải điền giá trị giống nhau.

    • Độ ưu tiên: Là cấu hình quyết định độ ưu tiên của mạng, thiết bị, số càng cao thì độ ưu tiên càng cao, ở thiết bị làm master luôn phải để giá trị cao hơn ở thiết bị Backup.

    • Virtual IP Address : Chọn địa chỉ IP ảo tương ứng vừa cấu hình ở bước 1 , chỉ nên chọn địa chỉ IP ảo đã được đặt cho đúng interface mà ta đang cấu hình.

    • Mật khẩu (nằm trong mục peer) : điền vào 1 dãy 8 ký tự bất kỳ , ở thiết bị Backup cũng phải điền giống như thiết bị Master đang điền.

    • Track Interfaces (nằm trong mục Tracking): Chọn các interface để theo dõi khi gặp vấn đề. Ở đây khi cấu hình các interface mạng đầu vào (internet) thì nên chọn các interface con để theo dõi (lan, DMZ, wifi, local_Server,..) . Còn khi cấu hình cho các interface con thì nên chỉ chọn các interface đầu vào để theo dõi thôi (wan, wanb,...).

Sau khi đã cấu hình xong cấu hình này thì hãy ấn nút “Lưu” và ấn “Lưu & áp dụng” rồi tiếp tục cấu hình cho các Instance khác.

  • Trên thiết bị Backup : Truy cập vào mục Cấu hình mạng -> HA -> Instance Nhấn nút “Thêm” và Nhập vào các thông tin sau:

    • Tên : Nhập vào 1 tên bất kỳ

    • State: chọn chế độ “Backup mode” vì đây sẽ là thiết bị chính

    • Giao diện mạng : Chọn đúng cổng mạng , device được gán với interface mà ta muốn cấu hình.

    • Virtual Id : 1 ID ảo để giao tiếp giữa 2 thiết bị Master và Backup , cả 2 đều phải điền giá trị giống nhau.

    • Độ ưu tiên: Là cấu hình quyết định độ ưu tiên của mạng , thiết bị, số càng cao thì độ ưu tiên càng cao, ở thiết bị làm master luôn phải để giá trị cao hơn ở thiết bị Backup.

    • Virtual IP Address : Chọn địa chỉ IP ảo tương ứng vừa cấu hình ở bước 1 , chỉ nên chọn địa chỉ IP ảo đã được đặt cho đúng interface mà ta đang cấu hình.

    • Mật khẩu (nằm trong mục peer) : điền vào 1 dãy 8 ký tự bất kỳ , ở thiết bị Backup cũng phải điền giống như thiết bị Master đang điền.

    • Track Interfaces (nằm trong mục Tracking): Chọn các interface để theo dõi khi gặp vấn đề. Ở đây khi cấu hình các interface mạng đầu vào (internet) thì nên chọn các interface con để theo dõi (lan, DMZ, wifi, local_Server,..) . Còn khi cấu hình cho các interface con thì nên chỉ chọn các interface đầu vào để theo dõi thôi (wan, wanb,...).

Sau khi đã cấu hình xong cấu hình này thì hãy ấn nút “Lưu” và ấn “Lưu & áp dụng” rồi tiếp tục cấu hình cho các Instance khác.

PreviousReset Factory

Last updated