Hướng dẫn cấu hình Link Aggregation trên tường lửa Palo Alto

Port LAG (Link Aggregation) là một phương thức gộp 2 hay nhiều cổng mạng lại với nhau biến chúng trở thành 1 kết nối duy nhất để công gộp băng thông (trunking) hoặc cung cấp khả năng dự phòng (faul tolerance).Port LAG với tính năng trunking sẽ tăng cường tốc độ kết nối vượt ngoài tốc độ của một cáp đơn hoặc cổng mạng riêng lẻ. Việc cải thiện hiệu suất truyền tải thực sự có ý nghĩa trong môi trường máy chủ thực hiện nhiều kết nối từ các máy con. Tính năng dự phòng cũng tạo ra sự sẵn sàng cao hơn và giúp tránh xảy ra sự gián đoạn trong truyền tải mạng.

 

null

 

  • Chúng ta sẽ có một thiết bị tường lửa Palo Alto PA – 220 được kết nối internet thông qua cổng ethernet1/1 bằng giao thức PPPoE có IP 14.169.x.x.
  • Phía trong mạng LAN chúng ta sẽ có hai port ethernet1/7 và ethernet1/8 sẽ được cấu hình thành port Link Aggregation và kết nối đến 2 port Gi0/1 và Gi0/2 của Switch Cisco 2960.
  • Cuối cùng là máy PC 1 nối vào port 1 của switch.

Hướng dẫn cấu hình

Tạo Aggregation Group

Vào Network > Interfaces.

Nhấn Add Aggregation Group và cấu hình theo các thông số sau:

Tab Config:

  • Interface Name: ae.1.
  • Interface Type: Layer 3.
  • Security Zone: LAN.

null

Tab IPv4:

  • Type: tích chọn Static.
  • Nhấn Add và nhập vào IP 10.140.40.1/24.

null

Tab LACP:

  • Tích chọn Enable LACP
  • Mode: chọn Passive (thường thì firewall sẽ chạy Passive, còn các thiết bị gắn vào như switch sẽ chạy Active).
  • Transmission Rate: chọn Fast (Đây là tốc độ truyền của truy vấn LACP, nếu chọn Slow thì mặc định 30 giây, còn chọn Fast thì nó sẽ truy vấn mỗi giây.
  • Fast Failover: tích chọn (Chọn Fast Failover nếu bạn muốn bật chuyển đổi dự phòng sang cổng standby trong vòng chưa đầy một giây. Theo mặc định, tùy chọn này bị tắt và tường lửa sử dụng tiêu chuẩn IEEE 802.1ax để xử lý chuyển đổi dự phòng, mất ít nhất ba giây.)
  • System Priority: 32768
  • Maximum Interfaces: nhập 2 (đây là số lượng tối đa các cổng được gán vào group. Nếu số lượng cổng bạn gán cho nhóm vượt quá số lượng tối đa, các cổng còn lại sẽ ở chế độ chờ. Tường lửa sử dụng Mức độ ưu tiên cổng LACP – System Priority của mỗi cổng bạn gán để xác định cổng nào đang hoạt động ban đầu và xác định thứ tự các cổng dự phòng sẽ hoạt động khi chuyển đổi dự phòng.
  • Nhấn OK để lưu.

null

Nhấn Commit và OK để lưu các thay đổi cấu hình. 

Gán port vào Aggregation Group

Thực hiện gán port bằng cách vào Network > Interface.

Nhấn chuột vào tên của cổng ethernet1/7 và chọn như sau:

  • Interface Type: Aggregate Ethernet.
  • Aggregate Group: chọn ae1 vừa tạo.
  • Nhấn OK.

null

Tương tự nhấn chuột vào tên của cổng ethernet1/8 và chọn như sau:

  • Interface Type: Aggregate Ethernet.
  • Aggregate Group: chọn ae1.
  • Nhấn OK.

null

Tạo Virtual Routers

Chúng ta vào Network > Virtual Routers > nhấn Add và cấu hình theo các thông số sau:

Tại tab Router Settings > General > nhấn Add và thêm 2 port ae1 và ethernet1/1.

Nhấn OK để lưu.

Lưu ý: Nếu bạn không tạo Virtual Routers bạn sẽ không thể tạo DHCP.

null

 

DHCP Pool cho Aggregation Group

Vào Network > DHCP > nhấn Add và cấu hình theo các thông tin sau:

Tab Lease:

  • Interface: Chọn ae1
  • Mode: chọn enabled
  • Lease: chọn Unlimited
  • IP Pools: nhấn Add và nhập dãy IP 10.140.40.2-10.140.40.100

null

Tab Options:

  • Gateway: 10.140.40.1
  • Subnet Mask: 255.255.255.0
  • Primary DNS: 8.8.8.8
  • Secondary DNS: 8.8.4.4
  • Nhấn OK

null

Nhấn Commit và OK để lưu thay đổi cấu hình.

Chúng ta sẽ kết nối hai port ethernet1/7 và ethernet1/8 vào hai port mạng Gi0/1 và Gi0/2.

Sau đó chúng ta sẽ kết nối máy tính PC 1 vào switch để kiểm tra có nhận được DHCP hay không.

Kết quả là máy đã nhận được IP.

null

Lời Kết

Trên đây hướng dẫn LINK AGGREGATION trên Firewall Palo Alto. Nếu có bất kỳ thắc mắc hay hỗ trợ về sản phẩm, đừng ngại mà hãy liên hệ với chúng tôi. 

CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH

• Địa chỉ: Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội

• Điện thoại: 02432012368

• Hotline: 098 115 6699

• Email: info@datech.vn

• Website: https://datech.vn