HƯỚNG DẪN CẤU HÌNH LACP TRÊN FIREWALL SOPHOS

Trong các môi trường mạng ngày nay, yêu cầu về băng thông và độ ổn định ngày càng cao. Để đáp ứng nhu cầu này, các giải pháp tổng hợp liên kết LAG (Link Aggregation) đã được phát triển trên hầu hết các thiết bị mạng. Trong đó phổ biến nhất là giao thức LACP. LACP cho phép nhóm nhiều liên kết vật lý thành một liên kết về mặt logic nhằm tăng tính dự phòng và tăng băng thông cho mạng.

Là một trong những thương hiệu tường lửa hàng đầu, Sophos cũng cung cấp tính năng LACP trên tất cả các dòng firewall nhằm tối ưu hóa kết nối. Trong bài viết này, CNTTShop sẽ hướng dẫn các bạn cấu hình tính năng LACP trên firewall Sophos nhé.

Mô hình

Trong bài hướng dẫn này, mình sẽ sử dụng mô hình kết nối thường được sử dụng bao gồm một firewall Sophos kết nối trực tiếp với Internet, bên dưới kết nối qua link LACP với switch Mikrotik. Phiên bản OS của firewall đang sử dụng là version 21.x và của switch là RouterOS 7.11.x. Các phiên bản OS thấp hơn của firewall cũng cấu hình hoàn toàn tương tự. Lưu ý là để cấu hình thành công, các bạn cần cấu hình LACP trên cả 2 thiết bị nhé.

Cấu hình LACP trên firewall Sophos

Trước hết chúng ta hãy cùng cấu hình trên firewall Sophos. Để cấu hình LACP, các bạn cần tạo một interface logic trước, thường được gọi là interface LAG (tương tự như Port-channel trên Cisco). Các bạn vào menu Network ⇒ Interfaces ⇒ Add interface và chọn Add LAG.

Tại đây các bạn cần điền các thông tin như sau:

• Name: đặt tên cho interface này. Các bạn cũng có thể chỉnh sửa lại name sau
• Hardware: được dùng để hệ thống định nghĩa, tương tự như name nhưng chỉ được đặt tối đa 10 ký tự và không bao gồm các tên dành riêng của hệ thống như: all, gre, ppp, USB, GE, WLAN,… Để đơn giản, các bạn nên đặt tên Hardware giống như Name.
• Member interface: Click “Add new item” để chọn các port vật lý sẽ tham gia vào interace LAG. Lưu ý là các port đã được cấu hình DHCP, PPPoE, WLAN hoặc cellular WAN sẽ không thể được add vào interface LAG này. Do đó các bạn cần sử dụng các port mặc định chưa được cấu hình.
• Mode: Tại đây các bạn chọn chế độ hoạt động của interface LAG. Có 2 chế độ là “Active – Backup” và “802.3ad [LACP]”. Với “Active – Backup”, chỉ có 1 port vật lý hoạt động, các port khác sẽ ở chế độ chờ và khi port active down, 1 port backup sẽ được bầu chọn để trở thành port active. Ở đây mình sẽ chọn mode LACP nhé.
• Network zone: các bạn cấu hình interface LAG ở zone nào thì chọn zone đó, ở đây mình chọn là LAN.
• IPv4/v6 configuration: cấu hình đặt IP cho interface. Các bạn có thể đặt IP tĩnh hoặc để là DHCP để nhận IP cho interface này.

Ngoài những tham số cơ bản trên, các bạn cũng có thể cấu hình tùy chọn thêm ở mục “Advanced setting” bên dưới, trong đó có các mục đáng chú ý là:

• Link mode: Tùy chỉnh tốc độ của interface LAG và chế độ song công hoạt động. Tuy nhiên các bạn cũng cần lưu ý rằng nếu chọn tốc độ không khớp với thiết bị còn lại thì kết nối có thể bị chậm hoặc thậm chí không thể kết nối giữa 2 thiết bị chạy LACP.
• MTU: mặc định kích thước tối đa của mỗi gói tin là 1500 byte. Nếu giá trị MTU giữa 2 đầu thiết bị khác nhau, các gói tin khi đi qua interface có MTU nhỏ hơn sẽ bị phân mảnh, gây tăng độ trễ cho kết nối mạng.
• Xmit hash policy: đây là cơ chế chia tải trên các liên kết dựa trên thuật toán băm, firewall sẽ quyết định gửi gói tin qua liên kết vật lý nào dựa trên một giá trị băm đươc tạo ra dựa vào địa chỉ MAC nguồn/đích (Layer 2), địa chỉ MAC kết hợp IP nguồn/đích (Layer 2+3) và địa chỉ IP kết hợp port nguồn/đích (Layer 3+4). Các layer cao hơn sẽ cho phép chia tải một cách chi tiết hơn.

Cấu hình xong mục này, các bạn ấn “Save” để lưu lại

Ngoài ra các bạn cũng có thể cấu hình thêm DHCP server để cấp IP thông qua interface này trong tab DHCP

Cấu hình LACP trên switch Mikrotik

Bây giờ, các bạn cần cấu hình LACP trên 2 cổng eth1 và eth2. Với cấu hình LACP trên thiết bị Mikrotik chạy RouterOS thì CNTTShop đã có bài hướng dẫn chi tiết, các bạn có thể tham khảo tại: Hướng dẫn cấu hình LACP trên router Mikrotik

Trong mô hình này, các bạn cũng lần lượt tạo interface bonding và add 2 port eth1 và eth2 như trong hình bên dưới, sau đó cho interface bonding này nằm cùng một bridge với các port khác:

Kiểm tra kết quả

Sau khi cấu hình xong LACP trên cả 2 thiết bị, bây giờ mình sẽ kiểm tra trên một PC để xem kết nối đã thành công hay chưa.

OK như vậy là PC của mình đã nhận được IP từ firewall Sophos và kết nối được ra Internet, cấu hình LACP đã thành công.

LACP đóng vai trò quan trọng trong việc xây dựng hệ thống mạng có khả năng mở rộng và chịu lỗi cao. Bằng cách kết hợp nhiều liên kết vật lý thành một liên kết logic, LACP giúp tăng cường băng thông, giảm thiểu điểm nghẽn và đảm bảo sự liên tục của dịch vụ. Trên đây là toàn bộ bài hướng dẫn cấu hình LACP trên firewall Sophos, nếu các bạn có thắc mắc nào hãy để lại comment bên dưới để được CNTTShop giải đáp nhé. Chúc các bạn thành công!