Hướng dẫn cấu hình High Availability (HA) trên Sophos XG Firewall

High Availability (HA) là 1 công nghệ clustering được sử dụng để duy trì dịch vụ không bị gián đoạn trong trường hợp nguồn điện, phần cứng hoặc phần mềm bị lỗi. Các thiết bị Sophos Firewall có thể được cấu hình ở các chế độ Active-Active hoặc Active-Passive HA. Các Thiết bị Chính (Primary) và Phụ (Auxiliary) được kết nối vật lý qua một cổng liên kết HA chuyên dụng.

Trong chế độ Active-Active, cả Thiết bị chính và Thiết bị phụ đều xử lý lưu lượng trong khi thiết bị chính phụ trách cân bằng lưu lượng. Việc cân bằng tải do Thiết bị chính quyết định.

Trong chế độ Active-Passive, chỉ Thiết bị chính xử lý lưu lượng trong khi Thiết bị phụ ở chế độ chờ, sẵn sàng trở thành Primary nếu Thiết bị chính gặp sự cố về nguồn / phần cứng / phần mềm.

Bài viết này mình sẽ hướng dẫn các bạn cấu hình HA mode Active-Active trên Firewall Sophos, với chế độ Active Passive chúng ta chỉ cần chọn Active-Passive trong mục HA Configuration Mode.

Yêu cầu về Hardware và Software

• Cả 2 thiết bị cấu hình trong HA phải cùng model và revision.
• Cả 2 thiết bị đều phải được đăng ký trên Sophos portal.
• Cả hai thiết bị phải có cùng số lượng Ports trên thiết bị.
• Cổng được chọn là cổng HA phải giống nhau trên 2 thiết bị.
• Cả 2 thiết bị đều phải cùng phiên bản OS, bạn có thể kiểm tra version của Firewall bằng lệnh: system diagnostics show version-info
• Đối với chế độ HA Active-Active, cả 2 thiết bị phải được active cùng loại license. Với chế độ HA Active-Passive, các bạn chỉ cần mua và active license cho thiết bị Primary. Không cần license cho thiết bị Auxiliary.
• Cáp tới tất cả các cổng được Monitor trên cả hai thiết bị phải được kết nối. Kết nối 2 thiết bị bằng cable mạng trên cổng HA chuyên dụng.
• Trên cả hai thiết bị, cổng HA chuyên dụng phải thuộc cùng một vùng với loại là DMZ và phải có Địa chỉ IP duy nhất và phải thuộc cùng 1 subnet.
• Quyền truy cập thiết bị qua SSH trên Vùng DMZ phải được bật cho cả hai thiết bị.
• Cấu hình tính năng DHCP và PPPoE phải được tắt trước khi cấu hình HA Active-Active.
• Trong chế độ HA, bạn không thể cấu hình Cellular WAN.
• Các mã XG (w) wifi không hỗ trợ tính năng HA.

Các bước cấu hình HA trên Firewall Sophos

Bước 1: Bật SSH trên cho DMZ zone

Tính năng HA trên Firewall Sophos yêu cầu phải bật tính năng SSH cho DMZ zone. Để bật SSH, truy cập Administration > Device Access. Dưới mục Admin Services, tích mục SSH để bật tính năng này trên cả 2 thiết bị.

Bước 2: Cấu hình HA trên thiết bị Auxiliary

Trên thiết bị Auxiliary, System Services > High Availability và thiết lập các thông số trên Auxiliary

• Initial HA Device State: chọn Auxiliary để thiết lập thiết bị là thiết bị phụ trong HA.
• Passphrase: thông số này cần giống nhau trên cả 2 thiết bị.
• Dedicated HA Link Port: chọn cổng sẽ được sử dụng làm cổng HA, cổng này cần giống nhau trên cả 2 hết bị.

Click Save để lưu cấu hình.

Bước 3: Cấu hình HA trên thiết bị Primary

Trên thiết bị Primary, truy cập System Services > HA và thiết lập các thông số:

• HA Configuration Mode: chọn Active-Active hoặc Active-Passive tùy theo yêu cầu
• Initial HA Device State: Primary
• Passphrase: Cấu hình Passphrase giống trên Auxiliary.
• Dedicated HA Link Port: PortC (cần chọn cổng giống cổng trên thiết bị Auxiliary).
• Peer HA Link IPv4: IP được cấu hình trên Port C của Auxiliary. IP cần cùng subnet với IP được cấu hình trên PortC của Primary.
• Peer Administration Port: chọn cổng được sử dụng IP để quản trị thiết bị
• Peer Administration IP: địa chỉ IP được cấu hình trên Administration Port của Auxiliary.
• Select ports to be monitored: chọn các cổng cần Monitor trong HA. Khi các cổng monitor bị down hoặc bị lỗi, thiết bị Auxiliary sẽ chiếm quyền Primary và xử lý lưu lượng.

Click Enable HA để hoàn tất cấu hình. Sau khi hoàn tất, toàn bộ cấu hình trên thiết bị Primary sẽ được đồng bộ xuống thiết bị Auxiliary.

Kiểm tra cấu hình HA

Để kiểm tra trạng thái của HA, truy cập Control Center và tìm phần HA Detail.

Bạn cũng có thể kiểm tra trạng thái HA trong giao diện Console.

Chọn mục 4: Device Console trong Main Menu.

Sử dụng lệnh system ha show details để kiểm tra trạng thái HA.

Lưu ý sau khi cấu hình HA

• Các giao thức DHCP, PPPoE chỉ được hỗ trợ ở chế độ Active-Passive. HA ở chế độ Active-Active KHÔNG được hỗ trợ.
• Cellular WAN không được hỗ trợ ở bất cứ chế độ HA nào.
• Khi cần lắp thêm module Flexi cần tắt nguồn trên cả 2 thiết bị, lắp cùng loại module.
• Cụm HA Active-Active không cân bằng tải các phiên VPN, UDP, ICMP, Multicast và broadcast, lưu lượng FTP và lưu lượng đến các thiết bị RED không dây và Điểm truy cập. Lưu lượng TCP cho Cổng thông tin người dùng, Bảng điều khiển dành cho quản trị viên hoặc Bảng điều khiển Telnet và các phiên lưu lượng truy cập H323 cũng không được cân bằng tải giữa các thiết bị cụm. Kiểm soát lưu lượng cho tất cả các mô-đun sẽ không được cân bằng tải. Active-Active HA cluster sẽ cân bằng tải lưu lượng TCP chuyển tiếp thông thường, NAT (cả SNAT & máy chủ ảo) Lưu lượng TCP được chuyển tiếp, HTTPS, Lưu lượng TCP đi qua hệ thống proxy: Transparent Proxy, Direct Proxy, Parent Proxy, và VLAN traffic
• HA có thể bị tắt từ một trong hai thiết bị. Nếu bị vô hiệu hóa từ Thiết bị chính, HA sẽ bị tắt trên cả hai thiết bị. Nếu bị vô hiệu hóa từ Thiết bị phụ, HA sẽ không bị tắt trên Thiết bị chính và sẽ hoạt động như một thiết bị độc lập. Sau khi tắt HA, các cấu hình IP sẽ không thay đổi.
• Sau khi tắt HA, tất cả các dịch vụ quản trị cho vùng LAN (HTTP, HTTPS, Telnet, SSH) được phép trong khi vùng DMZ chỉ được phép sử dụng các dịch vụ HTTPS và SSH.
• Khi HA được bật, một địa chỉ MAC ảo sẽ được tạo cho cặp HA.
• Nếu một bản sao lưu có cấu hình HA được khôi phục trên thiết bị chính, nó sẽ khôi phục cấu hình và sau đó khởi động lại thiết bị chính. Sau đó, nó sẽ khôi phục cấu hình cho thiết bị phụ và sau đó khởi động lại thiết bị phụ. HA sẽ được khôi phục tự động và không cần cấu hình bổ sung.