Phân phối thiết bị mạng FORTINET, FIREWALL FORTIGATE, FORTIWIFI, SWITCH

13/11/2020

Dịch vụ Tin tức

Phân phối thiết bị mạng juniper - Switch Juniper, firewall Juniper, wifi Juniper

20/11/2021

Tin tức

Phân phối thiết bị mạng CISCO - GIỚI THIỆU TẬP ĐOÀN CISCO, HÃNG CISCO

20/11/2021

Tin tức

Phân phối thiết bị mạng D-Link - Router Dlink, Switch Dlink, Wifi Dlink

20/11/2021

Tin tức

Cho thuê thiết bị mạng

13/12/2021

Dịch vụ

Cài đặt cấu hình thiết bị mạng

13/12/2021

Dịch vụ

Hướng dẫn cấu hình High Availability (HA) trên tường lửa Palo Alto

19/06/2023

Hướng dẫn kỹ thuật

Danh sách nội dung [Ẩn]

Hướng dẫn cấu hình High Availability (HA) trên tường lửa Palo Alto

Hướng dẫn cấu hình High Availability (HA) trên tường lửa Palo Alto

Bạn có thể định cấu hình hai tường lửa Palo Alto Networks dưới dạng một cặp HA hoặc định cấu hình tối đa 16 tường lửa với tư cách là thành viên ngang hàng của một cụm HA. Các đồng nghiệp trong cụm có thể là cặp HA hoặc tường lửa độc lập. HA cho phép bạn giảm thiểu thời gian ngừng hoạt động bằng cách đảm bảo rằng có một tường lửa thay thế trong trường hợp tường lửa ngang hàng bị lỗi. Tường lửa trong một cặp hoặc cụm HA sử dụng các cổng HA chuyên dụng hoặc trong băng tần trên tường lửa để đồng bộ hóa dữ liệu—cấu hình mạng, đối tượng và chính sách—và để duy trì thông tin trạng thái. Cấu hình dành riêng cho tường lửa, chẳng hạn như địa chỉ IP giao diện quản lý hoặc hồ sơ quản trị viên, cấu hình dành riêng cho HA, dữ liệu nhật ký và thông tin Trung tâm chỉ huy ứng dụng (ACC) không được chia sẻ giữa các đồng nghiệp.

Bạn có thể thiết lập tường lửa theo cặp HA ở một trong hai chế độ:

Active/Passive : Một tường lửa chủ động quản lý lưu lượng trong khi tường lửa kia được đồng bộ hóa và sẵn sàng chuyển sang trạng thái hoạt động nếu xảy ra lỗi. Trong chế độ này, cả hai tường lửa đều có chung cài đặt cấu hình và một tường lửa chủ động quản lý lưu lượng cho đến khi xảy ra lỗi đường dẫn, liên kết, hệ thống hoặc mạng. Khi tường lửa hoạt động bị lỗi, tường lửa thụ động sẽ chuyển sang trạng thái hoạt động và tiếp quản liền mạch và thực thi các chính sách tương tự để duy trì an ninh mạng. HA chủ động/thụ động được hỗ trợ trong các triển khai dây ảo, Lớp 2 và Lớp 3
Active/Active : Cả hai tường lửa trong cặp đều đang hoạt động và đang xử lý lưu lượng truy cập cũng như hoạt động đồng bộ để xử lý thiết lập phiên và quyền sở hữu phiên. Cả hai tường lửa đều duy trì các bảng phiên và bả ng định tuyến và đồng bộ hóa với nhau. HA hoạt động/hoạt động được hỗ trợ trong dây ảo và triển khai Lớp 3.
Ở chế độ HA hoạt động/hoạt động, tường lửa không hỗ trợ máy khách DHCP. Hơn nữa, chỉ có tường lửa chính hoạt động mới có thể hoạt động như một DHCP Relay . Nếu tường lửa thứ cấp đang hoạt động nhận được các gói quảng bá DHCP, nó sẽ loại bỏ chúng.

Khi quyết định nên sử dụng chế độ chủ Active/Passive hay Active/Active, hãy xem xét những điểm khác biệt sau:

Chế độ Active/Passive có thiết kế đơn giản; việc khắc phục sự cố định tuyến và luồng lưu lượng ở chế độ hoạt động/thụ động sẽ dễ dàng hơn nhiều. Chế độ hoạt Active/Passive hỗ trợ triển khai Lớp 2; chế độ Active/Active thì không.
Chế độ Active/Active yêu cầu các khái niệm thiết kế nâng cao có thể dẫn đến các mạng phức tạp hơn. Tùy thuộc vào cách bạn triển khai HA Active/Active, nó có thể yêu cầu cấu hình bổ sung, chẳng hạn như kích hoạt giao thức mạng trên cả hai tường lửa, sao chép nhóm NAT và triển khai địa chỉ IP nổi để cung cấp khả năng chuyển đổi dự phòng thích hợp. Do cả hai tường lửa đang tích cực xử lý lưu lượng, nên tường lửa sử dụng các khái niệm bổ sung về chủ sở hữu phiên và thiết lập phiên để thực hiện kiểm tra nội dung Lớp 7. Chế độ Active/Active được khuyến nghị nếu mỗi tường lửa cần các phiên bản định tuyến riêng và bạn luôn yêu cầu dự phòng đầy đủ, theo thời gian thực từ cả hai tường lửa. Chế độ Active/Active có khả năng chuyển đổi dự phòng nhanh hơn và có thể xử lý các luồng lưu lượng cao nhất tốt hơn chế độ Active/Passive vì cả hai tường lửa đều đang tích cực xử lý lưu lượng.

Ở bài viết này mình sẽ hướng dẫn các bạn cấu hình ở cả 2 mode Active/Passive và Active/Active

Mode Active/Passive

Quy trình sau đây cho biết cách định cấu hình một cặp tường lửa trong triển khai chủ động/thụ động như được mô tả trong cấu trúc liên kết ví dụ sau

Kết nối các cổng HA để thiết lập kết nối vật lý giữa các tường lửa

- Đối với tường lửa có cổng HA chuyên dụng, hãy sử dụng cáp Ethernet để kết nối các cổng HA1 chuyên dụng và cổng HA2 trên các thiết bị ngang hàng. Sử dụng cáp chéo nếu các thiết bị ngang hàng được kết nối trực tiếp với nhau.

- Sử dụng cổng quản lý cho liên kết HA1 và đảm bảo rằng các cổng quản lý có thể kết nối với nhau trên mạng của bạn.

Bật ping trên cổng quản lý.

- Chọn Device > Setup > Interfaces > Management.

- Lựa chọn Ping như một dịch vụ được cho phép trên giao diện.

Nếu tường lửa không có các cổng HA chuyên dụng, hãy thiết lập các cổng dữ liệu để hoạt động như các cổng HA.

Đối với tường lửa có cổng HA chuyên dụng, hãy tiếp tục bước tiếp theo.

- Chọn Network > Interfaces.

- Xác nhận rằng liên kết được thiết lập trên các cổng mà bạn muốn sử dụng

- Chọn giao diện và thiết lập Interfaces Type > HA

- Đặt Link Speed và Link Duplex

Đặt chế đọ HA và ID nhóm

- Chọn Device > High Availability > General và chỉnh sửa phần thiết lập.

- Đặt một Group ID và tùy chọn một Description cho cặp. ID nhóm xác định duy nhất từng cặp HA trên mạng của bạn. Nếu bạn có nhiều cặp HA chia sẻ cùng một miền quảng bá, bạn phải đặt ID nhóm duy nhất cho mỗi cặp.

- Đặt chế độ thành Active/Passive

Thiết lập kết nối liên kết điều khiển

Ví dụ này cho thấy một cổng trong dải được đặt thành giao diện HA.

Đối với tường lửa sử dụng cổng quản lý làm liên kết điều khiển, thông tin địa chỉ IP sẽ tự động được điền trước.

- Trong Device > High Availability > General và chỉnh sửa liên kết điều khiển (HA1).

- Chọn Port mà bạn đã cắm cáp để sử dụng làm liên kết HA1.

- Đặt địa chỉ IPv4/IPv6 và Netmask

Nếu các giao diện HA1 nằm trên các mạng con riêng biệt, hãy nhập địa chỉ IP của cổng. Không thêm địa chỉ cổng nếu tường lửa được kết nối trực tiếp hoặc nằm trên cùng một VLAN.

Thiết lập kết nối liên kết điều khiển dự phòng

- Trong Device > High Availability > Ha Comminocations , chỉnh sửa Control Link (HA1 Backup).

- Chọn giao diện sao lưu HA1 và đặt địa chỉ IPv4/IPv6 và Netmask.

Thiết lập kết nối liên kết dữ liệu(HA2) và kết nối HA2 dự phòng giữa các tường lửa

- Trong Device > High Availability > General , chỉnh sửa phần Data Link (HA2).

- Chọn Port để sử dụng cho liên kết nối liên kết dữ liệu.

- Chọn phương thức Transport. Mặc định là ethernet và sẽ hoạt động khi cặp HA được kết nối trực tiếp hoặc thông qua một công tắc. Nếu bạn cần định tuyến lưu lượng liên kết dữ liệu qua mạng, hãy chọn IP hoặc UDP làm chế độ truyền tải.

- Nếu bạn sử dụng IP hoặc UDP làm phương thức vận chuyển, hãy nhập Địa chỉ IPv4/IPv6 và Netmask.

- Xác minh rằng Enable Session Synchronization đã được chọn.

- Lựa chọn HA2 Keep-alive để cho phép giám sát liên kết dữ liệu HA2 giữa các đồng nghiệp HA. Nếu xảy ra lỗi dựa trên ngưỡng được đặt ( mặc định là 10000 ms) hành động đã xác định sẽ xảy ra. Đối với cấu hình Active/Passive, một thông báo nhật ký hệ thống quan trọng được tạo khi xảy ra lỗi liên tục duy trì HA2.

- Chỉnh sửa phần Data Link(HA2 Backup) chọn giao diện và thêm Địa chỉ IPv4/IPv6 và Netmask.

- Nhấp OK.

Enable heartbeat backup if your control link uses a dedicated HA port or an in-band port

You do not need to enable heartbeat backup if you are using the management port for the control link.

- Trong Device > High Availability > General , chỉnh sửa cài đặt Election.

- Chọn Heartbeat Backup.

Để cho phép heartbeat giữa các tường lửa, bạn phải xác minh rằng cổng quản lý trên cả hai thiết bị ngang hàng có thể định tuyến cho nhau.

Đạt mức độ ưu tiên của thiết bị và bật quyền ưu tiên

Cài đặt này chỉ được yêu cầu nếu bạn muốn đảm bảo rằng tường lửa cụ thể là tường lửa hoạt động ưu tiên.

- Trong Device > High Availability > General, Chỉnh sửa cài đặt Election.

- Đặt giá trị số trong Device Priority. Đảm bảo đặt giá trị số thấp hơn trên tường lửa mà bạn muốn chỉ định mức độ ưu tiên cao hơn.

- Chọn Preemptive.

Bạn phải kích hoạt ưu tiên trên cả tưởng lửa hoạt động và tường lựa thụ động.

Enable HA

- Chọn Device > High Availability > General và chọn chỉnh sửa phần cài đặt.

- Chọn Enable HA

- Chọn Enable Config Sync. Cài đặt này cho phép đồng bộ hóa cài đặt cấu hình giữa tường lửa hoạt động và thụ động.

- Nhập địa chỉ IP được gán cho liên kết điều khiển của thiết bị ngang hàng trong Địa chỉ IP Peer HA1. For firewalls without dedicated HA ports, if the peer uses the management port for the HA1 link, enter the management port IP address of the peer.

- Nhập Backup HA1 IP Address.

Lưu lại cấu hình đã thay đổi

- Click Commit.

Sau khi bạn hoàn tất việc định cấu hình cả hai tường lửa, hãy xác minh rằng các tường lửa được ghép nối trong HA Active/Passive

- Truy cập Bảng điều khiển trên cả hai tường lửa và xem tiện ích tính khả dụng cao.

- Trên tường lửa đang hoạt động, nhấp vào liên kết Sync to peer.

- Xác nhận rằng tường lửa đã được ghép nối và đồng bộ hóa, như minh họa như sau:

+ Trên tưởng lửa Passive : trạng thái của tường lửa cục bộ sẽ hiển thị thụ động và cấu hình đang chạy sẽ hiển thị là đã đồng bộ hóa.

+ Trên tường lửa đang hoạt động : trạng thái của tường lửa cục bộ sẽ hiển thị đang hoạt động và cấu hình đang chạy sẽ hiển thị là đẫ đồng bộ hóa

Mode Active/Active

Quy trình sau đây mô tả quy trình làm việc cơ bản để định cấu hình tường lửa của bạn trong cấu hình đang hoạt động/hoạt động. Tuy nhiên, trước khi bạn bắt đầu, hãy Xác định trường hợp sử dụng đang hoạt động/đang hoạt động của bạn để biết các ví dụ cấu hình phù hợp hơn với môi trường mạng cụ thể của bạn

null

Để định cấu hình đang hoạt động/đang hoạt động, trước tiên hãy hoàn thành các bước sau trên một thiết bị ngang hàng và sau đó hoàn thành chúng trên thiết bị ngang hàng thứ hai, đảm bảo rằng bạn đặt ID thiết bị thành các giá trị khác nhau (0 hoặc 1) trên mỗi thiết bị ngang hàng

Kết nối các cổng HA để thiết lập kết nối vật lý giữa các tường lửa

- Đối với tường lửa không có cổng HA chuyên dụng, hãy chọn hai giao diện dữ liệu cho liên kết HA2 và liên kết HA1 dự phòng. Sau đó, sử dụng cáp Ethernet để kết nối các giao diện HA trong dải này trên cả hai tường lửa. Sử dụng cổng quản lý cho liên kết HA1 và đảm bảo rằng các cổng quản lý có thể kết nối với nhau trên mạng của bạn.

Bật ping trên cổng quản lý.

- Chọn Device > Setup > Interfaces > Management.

- Lựa chọn Ping như một dịch vụ được cho phép trên giao diện.

Nếu tường lửa không có các cổng HA chuyên dụng, hãy thiết lập các cổng dữ liệu để hoạt động như các cổng HA.

Đối với tường lửa có cổng HA chuyên dụng, hãy tiếp tục bước tiếp theo.

- Chọn Network > Interfaces.

- Xác nhận rằng liên kết được thiết lập trên các cổng mà bạn muốn sử dụng

- Chọn giao diện và thiết lập Interfaces Type > HA

- Đặt Link Speed và Link Duplex

Bật HA Active/Active và đặt ID nhóm

- Trong Device > High Availability > General, chỉnh sửa cài đặt.

- Lựa chọn Enable HA

- Chọn một Group ID, phải giống nhau cho cả hai tường lửa. Tường lửa sử dụng ID nhóm để tính toán địa chỉ MAC ảo (phạm vi là 1-63).

- Đối với Mode, chọn Active Active.

Đặt ID thiết bị, bật đồng bộ hóa và xác định liên kết điều khiển trên tường lửa ngang hàng

- Trong Device > High Availability > General, chỉnh sửa cài đặt.

- Chọn ID thiết bị như sau :

+ Khi định cấu hình thiết bị ngang hàng đầu tiên, hãy đặt ID thiết bị thành 0.

+ When configuring the second peer, set the Device ID to 1.

- Chọn Enable Config Sync. Cần có cài đặt này để đồng bộ hóa hai cấu hình tường lửa (được bật theo mặc định).

- Nhập địa chỉ Peer HA1, đó là địa chỉ IP của liên kết điều khiển HA1 trên tường lửa ngang hàng.

- Click OK.

Xác định xem tường lửa có ID thiết bị thấp hơn có ưu tiên tường lửa chính đang hoạt động khi khôi phục sau lỗi hay không.

- Trong Device > High Availability > General, chỉnh sửa cài đặt.

- Chọn Preemptive để khiến tường lửa có ID thiết bị thấp hơn tự động khôi phục hoạt động chính đang hoạt động sau khi một trong hai tường lửa phục hồi sau sự cố. Cả hai tường lửa phải được chọn Ưu tiên trước để ưu tiên xảy ra. Không chọn Preemptive nếu bạn muốn vai trò hoạt động chính vẫn còn với tường lửa hiện tại cho đến khi bạn đặt tường lửa đã khôi phục thành tường lửa hoạt động chính theo cách thủ công.

Enable heartbeat backup if your control link uses a dedicated HA port or an in-band port.

Bạn không cần bật sao lưu nhịp tim nếu bạn đang sử dụng cổng quản lý cho liên kết điều khiển.

- Trong Device > High Availability > General, chỉnh sửa cài đặt.

- Chọn Heartbeat Backup.

Thiết lập kết nối liên kết điều khiển.

Ví dụ này sử dụng cổng trong dải được đặt thành loại giao diện HA. Đối với tường lửa sử dụng cổng quản lý làm liên kết điều khiển, thông tin địa chỉ IP sẽ tự động được điền trước.

- Trong Device > High Availability > General, chỉnh sửa cài đặt.

- Chọn Port mà bạn đã cắm cáp để sử dụng làm liên kết HA1.

- Cài đặt địa chỉ IPv4/IPv6 và Netmask.

Không thêm địa chỉ cổng nếu tường lửa được kết nối trực tiếp.

Thiết lập kết nối liên kết điều khiển dự phòng

- Trong Device > High Availability > HA Communications, chỉnh sửa Control Link (HA1 Backup).

- Chọn giao diện sao lưu HA1 và đặt Địa chỉ IPv4/IPv6 và Netmask.

Thiết lập kết nối liên kết dữ liệu (HA2) và kết nối HA2 dự phòng giữa các tường lửa

- Trong Device >High Availability > General, chỉnh sửa Data Link (HA2).

- Chọn Port để sử dụng cho kết nối liên kết dữ liệu.

- Nếu bạn sử dụng IP hoặc UDP làm phương thức vận chuyển, hãy nhập Địa chỉ IPv4/IPv6 và Netmask.

- Xác minh rằng Enable Session Synchronization đã được chọn.

- Chỉnh sửa phần Data Link(HA2 Backup) chọn giao diện và thêm Địa chỉ IPv4/IPv6 và Netmask.

- Chọn OK.

Định cấu hình liên kết HA3 để chuyển tiếp gói

- Trong Device > High Availability > Active/Active Config , chỉnh sửa Packet Forwarding.

- Đối với HA3 Interface , hãy chọn giao diện bạn muốn sử dụng để chuyển tiếp các gói giữa các đồng nghiệp HA đang hoạt động/đang hoạt động. Nó phải là một giao diện chuyên dụng có khả năng vận chuyển Lớp 2 và được đặt thành Interface Type HA.

- Chọn VR Sync để buộc đồng bộ hóa tất cả các bộ định tuyến ảo được định cấu hình trên các đồng nghiệp HA. Chọn khi bộ định tuyến ảo không được cấu hình cho các giao thức định tuyến động. Cả hai thiết bị ngang hàng phải được kết nối với cùng một bộ định tuyến chặng tiếp theo thông qua mạng chuyển mạch và chỉ được sử dụng định tuyến tĩnh.

- Chọn QoS Sync để đồng bộ hóa lựa chọn cấu hình QoS trên tất cả các giao diện vật lý. Chọn khi cả hai thiết bị ngang hàng có tốc độ liên kết giống nhau và yêu cầu cấu hình QoS giống nhau trên tất cả các giao diện vật lý. Cài đặt này ảnh hưởng đến việc đồng bộ hóa cài đặt QoS trên tab Mạng. Chính sách QoS được đồng bộ hóa bất kể cài đặt này.

Định cấu hình Session Owner và Session Setup

- Trong Device > High Availability > Active/Active Config, chỉnh sửa chuyển tiếp gói tin.

- Đối với Session Owner Selection, hãy chọn một trong các tùy chọn sau:

+ First Packet - Tường lửa nhận gói đầu tiên của phiên mới là chủ sở hữu phiên (cài đặt được khuyến nghị). Cài đặt này giảm thiểu lưu lượng trên HA3 và tải lưu lượng chia sẻ giữa các đồng nghiệp.

+ Primary Device - Tường lửa ở trạng thái hoạt động chính là chủ sở hữu phiên.

- Đối với Session Setup, hãy chọn một trong các tùy chọn sau:

+ IP Modulo - Tường lửa thực hiện thao tác XOR trên địa chỉ IP nguồn và đích từ gói và dựa trên kết quả, tường lửa chọn HA ngang hàng nào sẽ thiết lập phiên.

+ Primary Device - Tường lửa hoạt động chính thiết lập tất cả các phiên.

+ First Packet - Tường lửa nhận gói đầu tiên của phiên mới sẽ thực hiện thiết lập phiên (cài đặt được khuyến nghị).

+ IP Hash — Tường lửa sử dụng hàm băm của địa chỉ IP nguồn hoặc kết hợp địa chỉ IP nguồn và đích để phân phối trách nhiệm thiết lập phiên.

- Chọn OK.

Định cấu hình địa chỉ ảo HA

- Trong Device > High Availability > Active/Active Config, thêm một địa chỉ ảo.

- Nhập hoặc chọn một Interface

- Chọn tab IPv4 hoặc IPv6 và nhấp vào Add.

- Nhập địa chỉ IPv4 hoặc địa chỉ IPv6.

Định cấu hình địa chỉ IP Floating

- Không chọn IP nổi được liên kết với thiết bị Chính-Hoạt động trừ khi bạn muốn cặp HA active/active hoạt động giống như một cặp HA active/passive.

- Đối với Mức độ ưu tiên của thiết bị 0 và Mức độ ưu tiên của thiết bị 1, hãy nhập mức độ ưu tiên cho tường lửa được định cấu hình tương ứng với ID thiết bị 0 và ID thiết bị 1. Các ưu tiên tương đối xác định máy ngang hàng nào sở hữu địa chỉ IP nổi mà bạn vừa cấu hình (phạm vi là 0-255). Tường lửa có giá trị ưu tiên thấp nhất (ưu tiên cao nhất) sở hữu địa chỉ IP nổi.

- Chọn Địa chỉ chuyển đổi dự phòng nếu trạng thái liên kết không hoạt động để khiến tường lửa sử dụng địa chỉ chuyển đổi dự phòng khi trạng thái liên kết trên giao diện không hoạt động.

- Chọn OK.

Định cấu hình chia sẻ tải ARP

Thuật toán lựa chọn thiết bị xác định tường lửa HA nào đáp ứng các yêu cầu ARP để cung cấp chia sẻ tải.

- Đối với Device Selection Algorithm, hãy chọn một trong các tùy chọn sau:

+ IP Modulo—Tường lửa sẽ phản hồi các yêu cầu ARP dựa trên tính chẵn lẻ của địa chỉ IP của người yêu cầu ARP.

+ IP Hash—Tường lửa sẽ phản hồi các yêu cầu ARP dựa trên hàm băm của địa chỉ IP của người yêu cầu ARP.

- Nhấp vào OK.

Lưu cấu hình

- Commit.

Lời Kết

Trên đây là hướng dẫn cấu hình High Availability (HA) trên firewall của Palo Alto. Nếu có bất kỳ nào thắc mắc hoặc cần tư vấn tới sản phẩm hãy liên hệ với chúng tôi.

CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH

• Địa chỉ: Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội

• Điện thoại: 02432012368

• Hotline: 098 115 6699

• Email: info@datech.vn

• Website: https://datech.vn