Tổng quan về High Availability trên Sophos, Yêu cầu và License
Trong bài viết này, chúng ta sẽ tìm hiểu về tính năng High Availability trên firewall Sophos, trường hợp sử dụng, cách mua license và các yêu cầu bắt buộc khi cấu hình High Availability nhé. Do nội dung khá dài nên mình sẽ tách phần lý thuyết và các yêu cầu về HA ra 1 bài viết, còn phần cấu hình HA mình sẽ hướng dẫn trong 1 bài viết khác.
Nếu các bạn đã có sẵn 2 firewall để cấu hình, thì các bạn có thể tham khảo các bài viết bên dưới tùy theo thiết bị hoặc version firmware đang sử dụng:
Tổng quan về HA trên firewall Sophos
High Availability trên firewall Sophos, viết tắt là HA, là 1 công nghệ clustering được sử dụng để duy trì dịch vụ không bị gián đoạn trong trường hợp nguồn điện, phần cứng hoặc phần mềm bị lỗi. Các bạn có thể so sánh 2 mô hình bên dưới.
Mô hình bên trái là mô hình thông thường, chúng ta chỉ có 1 firewall. Nếu Firewall này bị lỗi thì toàn bộ hệ thống sẽ bị down. Còn với mô hình HA bên phải, chúng ta sẽ có 2 firewall được đấu nối, nếu Firewall 1 bị lỗi thì toàn bộ traffic sẽ được firewall 2 xử lý, nên hệ thống mạng vẫn hoạt động bình thường. Đối với các hệ thống quan trọng, yêu cầu downtime thấp thì HA là 1 tính năng bắt buộc phải có khi thiết kế.
Các thiết bị Sophos Firewall có thể được cấu hình ở các chế độ Active-Active hoặc Active-Passive HA. Trên Sophos thì thiết bị chính sẽ được gọi là Primary, và thiết bị Phụ sẽ được gọi là Auxiliary, được kết nối vật lý qua một hoặc nhiều cổng liên kết HA. HA link có thể sử dụng các cổng mạng thông thường, nên nếu còn dư cổng thì các bạn có thể sử dụng nhiều cổng để dự phòng cổng HA này.
Trong chế độ Active-Active, thiết bị chính sẽ phản hồi tất cả các yêu cầu ARP bằng 1 địa chỉ MAC ảo. Do đó, thiết bị chính sẽ nhận tất cả lưu lượng mạng, sau đó cân bằng tải lưu lượng này với thiết bị phụ. Lưu lượng này sẽ được gửi theo đúng hướng mà traffic sẽ đi vào.
Nếu thiết bị chính không khả dụng, HA sẽ chuyển đổi dự phòng và thiết bị phụ sẽ bắt đầu xử lý tất cả lưu lượng cho đến khi thiết bị chính khả dụng.
Trong chế độ Active-Passive, chỉ Thiết bị chính xử lý lưu lượng trong khi Thiết bị phụ ở chế độ chờ, sẵn sàng trở thành Primary nếu Thiết bị chính gặp sự cố về nguồn / phần cứng / phần mềm.
Trong cả 2 chế độ, thì toàn bộ cấu hình trên firewall, trừ cấu hình liên quan đến cổng HA, cổng quản trị sẽ được đồng bộ. Sự khác biệt chính giữa 2 chế độ HA là ở việc Firewall nào sẽ xử lý lưu lượng mạng. Trong chế độ Active-Active thì cả 2 firewall đều xử lý lưu lượng nên thông lượng sẽ cao hơn. Còn chế độ Active- Passive thì chỉ có 1 firewall hoạt động tại 1 thời điểm, nên nó sẽ cung cấp khả năng dự phòng.
Lựa chọn loại HA
Việc lựa chọn sử dụng mô hình HA nào thì còn tùy thuộc vào mô hình mạng và các dịch vụ sử dụng.
HA Active-Active sẽ không hỗ trợ DHCP và PPPoE, nên trong trường hợp các bạn sử dụng firewall để quay PPPoE mà không có router phía trước, thì các bạn sẽ cần phải sử dụng HA Active-Passive.
Cả 2 mô hình thì đều không hỗ trợ wifi model và WAN 4G, 5G.
Tính năng Synchronized Application Control và Firewall Acceleration cũng không được hỗ trợ trên HA Active-Active. Synchronized Application Control sẽ giám sát tất cả các ứng dụng trên các Endpoint được kết nối thông qua Security Heartbeat. Mặc định thì Sophos sẽ đi kèm với 1 số danh mục ứng dụng mặc định, là các ứng dụng phổ biến nhất. Các ứng dụng không các định được phát hiện sẽ được đưa vào 1 danh mục riêng để kiểm soát lưu lượng truy cập của chúng.
Tính năng Firewall Acceleration là Virtual Fast Path. Về cơ bản thì Firewall Acceleration là kỹ thuật ảo hóa trên firewall để xử lý 1 số lưu lượng đáng tin cậy nhanh hơn. Fast Path có thể được kiểm soát thông qua các chính sách để tăng tốc lưu lượng ứng dụng Cloud quan trọng bởi công cụ DPI dựa trên đặc điểm của lưu lượng, nên nếu các bạn sử dụng 2 tính năng này, thì các bạn cũng sẽ cần phải lựa chọn HA Active-Passive.
Nếu không sử dụng các tính năng mà mình vừa đề cập, thì các bạn có thể lựa chọn mô hình nào cũng được, HA Active-Active thì ngoài dự phòng nó cũng cho thông lượng cao hơn.
Yêu cầu về HA
Để cấu hình HA thì chúng ta cũng phải đáp ứng các yêu cầu về phần cứng và phần mềm.
- Về phần cứng thì 2 thiết bị cần phải giống nhau, nghĩa là chung model.
- Đối với dòng XGS Series, thì chúng ta chỉ cần giống mã sản phẩm, revision có thể khác nhau. Ví dụ XGS 2100 revision 1 có thể cấu hình HA với XGS 2100 revision 2. Revision thì các bạn có thể xem trên tem trên thùng của thiết bị.
- Đối với dòng XG Series thì chúng ta cần sử dụng cùng mã firewall và revision cũng phải giống nhau. Ví dụ XG 750 revision 1 có thể HA với XG 750 revision 1, nhưng không thể HA với XG 750 revision 2.
- Nếu các bạn có gắn thêm module card Flexi cho firewall, thì số lượng cổng của module, nghĩa là loại module cũng phải giống nhau.
- Các thiết bị cũng phải sử dụng chung phiên bản firmware, bao gồm cả phần đuôi phía sau.
- Đối với phiên bản ảo hóa, thì cả 2 thiết bị đều phải sử dụng chung nền tảng ảo hóa, ví dụ VMWare, KVM, cloud…
- Cấu hình phần cứng server sử dụng cho 2 firewall ảo hóa cũng cần giống hệt nhau, ví dụ CPU Core, số lượng cổng mạng…
- Phiên bản phần mềm ảo hóa cũng phải giống nhau, tương tự như yêu cầu trên firewall cứng.
Nói chung, để cấu hình 2 firewall chạy HA, thì các bạn cần phải sử dụng 2 firewall có cấu hình giống hệt nhau, trừ phần revision thì tùy từng series.
Yêu cầu về License
Đối với License thì tùy thuộc vào loại HA mà các bạn sử dụng.
Đối với HA Active-Passive, thì các bạn sẽ chỉ cần mua License cho thiết bị sẽ được cấu hình là primary thôi. Thiết bị phụ sẽ có bản sao của license, nên nó có thể xử lý được lưu lượng mạng sau khi có chuyển đổi dự phòng. Tuy nhiên license này trên thiết bị phụ là bản sao, nên chỉ có thể hoạt động khi trong cụm HA thôi nhé.
Đối với License RMA, là license thay thế thiết bị, thì các bạn cũng chỉ cần mua trên Firewall Primary, nhưng sẽ cần phải có license Enhanced Plus Support.
Đối với HA Active-Active, thì cả 2 thiết bị chính và phụ đều cần phải có License. Và cả 2 thiết bị này phải có cùng loại giấy phép. Ngày hết hạn của giấy phép thì có thể khác nhau, nên nếu các bạn đang có 1 firewall có license rồi và muốn mua thêm 1 firewall nữa để HA, thì các bạn vẫn mua bình thường, chỉ cần cùng model và license thôi. Tuy nhiên các bạn cần phải gia hạn license trước khi hết hạn, nếu không thì sẽ bị lỗi traffic trong lúc 1 trong 2 firewall hết hạn license.
Kết luận
High Avaiability là 1 tính năng cần thiết trong những môi trường mạng phức tạp, quan trọng, yêu cầu downtime thấp. Do vậy các bạn cần phải lên kế hoạch thiết kế mô hình có HA ngay từ ban đầu để giảm thiểu thay đổi về mô hình. Nếu các bạn có thắc mắc hay góp ý nào thì hãy để lại comment để mọi người cùng trao đổi nhé.
Chúc các bạn thành công!
Switch
.png){kind=icon}
.png){kind=logo}
.png "Hướng dẫn cấu hình IPsec VPN Remote access trên firewall Sophos")
Bình luận bài viết!