- Tổng quan
High Availability (HA) là tính năng giúp hai thiết bị Sophos Firewall hoạt động song song để đảm bảo tính liên tục dịch vụ. Khi thiết bị chính (Primary/Active) gặp sự cố, thiết bị dự phòng (Auxiliary/Passive) sẽ tự động tiếp quản mà không làm gián đoạn lưu lượng mạng.
HA mang lại:
- Tăng tính sẵn sàng: giảm thiểu downtime.
- Tính dự phòng: tự động failover khi firewall chính bị lỗi.
- Dễ quản lý: cấu hình được đồng bộ giữa hai thiết bị.
Các chế độ HA trên Sophos Firewall:
- Active-Passive (thường dùng nhất): Một thiết bị xử lý lưu lượng, thiết bị còn lại chờ sẵn.
- Điều kiện tiên quyết trước khi cấu hình
Trước khi triển khai, cần chuẩn bị:
- Thiết bị: 2 firewall cùng model, cùng license, cùng phiên bản firmware.
- Địa chỉ IP: Mỗi port phải có IP riêng cho từng thiết bị và một IP ảo (Virtual IP) dùng chung cho hệ thống.
- Kết nối mạng: Nên kết nối ít nhất 3 loại interface:
+ HA Link (đồng bộ cấu hình, heartbeat).
+ Monitoring Port(s) (dùng để kiểm tra tình trạng).
+ Data Port(s) (chuyển lưu lượng mạng).
- Firmware: Đảm bảo cả 2 thiết bị cùng version (ví dụ: SFOS 21.5.0).
- License: Cần license hợp lệ trên cả 2 thiết bị.
- Mô hình
- Hướng dẫn cấu hình
Bước 1: Cài ISO Sophos Firewall lên proxmox
Để cấu hình HA thì bạn phải chuẩn bị sẵn 2 node firewall – chi tiết cách cài đặt tường lửa được hướng dẫn theo đường link sau -> https://vacifcom-my.sharepoint.com/:w:/g/personal/son_luong_vacif_com/EXlV-31mQYFMql3R57DgjK8BkPrMmBuaKVUkgJ1NgPYgSg?rtime=r9_lvFfr3Ug
Sau khi tạo và chạy thành công 2 node firewall thì ta vào node win để truy cập vào giao diện của 2 firewall
Bước 2: Bật SSH trên cả 2 firewall -> Vào mục Administrator -> Device access -> Tick chọn DMZ
Bước 3: Cấu hình HA -> Vào phần network -> Network zone: Chọn là DMZ -> đặt name và IP ngẫu nhiên vì khi cấu hình sẽ tự động thay đổi -> Nhấn Apply.
Vào mục System services -> Chọn Primary (active-passive) -> Tick chọn QuickHA configuration mode -> Dedicated HA link: Chọn Port HA đã tạo từ trước.
Tương tự trên thiết bị phụ
Tick chọn Auxiliary
Bước 4: Kiểm tra cấu hình
- Kiểm thử
1. Khả năng đồng bộ cấu hình HA (Active-passive)
1.2. Tiển khai 2 Sophos Firewall trong chế độ HA (active-passive)
Trên node 1 firewall 1 đang là thiết bị chính primary
Node 2 firewall 2 đang là thiết bị phụ auxiliary
2. Trên node active, tạo mới hoặc chỉnh sửa cấu hình (firewall rule, policy, SD-WAN rule,…)
2.1. Rules and policies
Mô tả: Khi tạo ra 1 rule mới ở con chính primary thì sẽ luôn tự động tạo ra 1 bản sao ở con phụ auxiliary.
ở đây mình sẽ tạo ra 1 rule tên là test rule
Thiết bị sẽ tự động tạo bản sao cho con phụ
2.2. SD-WAN
Mô tả: Khi tạo SD-WAN ở con chính primary cũng đồng thời tạo bản sao ở con phụ auxiliary
3. Kiểm tra log đồng bộ trên Sophos Central và node Passive
4. Thực hiện thử nghiệm: ngắt kết nối node Active để Passive chuyển lên Active -> xác nhận cấu hình vẫn còn nguyên vẹn
Shutdown node firewall chính primary
Sau khi node firewall chính chết thì node firewall phụ sẽ chuyển sang primary và cấu hình vẫn còn nguyên vẹn không bị mất
