[Palo Alto] Cấu hình High Availability với chế độ hoạt động Active/Passive

- Bài viết này sẽ hướng dẫn người dùng tường lửa Palo Alto cấu hình High Availability với mode Active/Passive.
- Bài viết này sẽ hướng dẫn các cấu hình sau:

• Hiển thị tiện ích Bảng điều khiển HA.
• Cấu hình HA interface chuyên dụng.
• Cấu hình HA Active / Passive mode.
• Định cấu hình HA Monitoring.
• Theo dõi trạng thái trong tiện ích HA.

Hướng dẫn cấu hình:

Sơ đồ mạng​

1. Hiển thị bản tiện ích HA:
- Nếu tính năng High Availability (HA) đã được bật, tiện ích High Availability trên Bảng điều khiển (Dashboard) cho biết trạng thái HA.

- Trong giao diện GUI của Firewall Palo Alto, click vào tab Dashboard để hiển thị thông tin tường lửa hiện tại.

- Nếu bảng High Availability không được hiển thị, hãy chọn Widget > System > High Availability để bật tiện ích này.

​

- Tiện ích High Availability hiện đã hiển thị trên Dashboard.

​

2. Cấu hình HA Interface:
- Mỗi HA interface có một chức năng cụ thể: Một interface dành cho đồng bộ hóa cấu hình cùng với hearbeat, và interface khác dành cho đồng bộ hóa trạng thái (không được định cấu hình trong phần này).

- Vào Network > Interfaces > Ethernet. Click ethernet1/6 để mở cửa sổ cấu hình cho cổng này.

- Chọn HA trong danh sách thả xuống ở Interface Type và click OK.

​

3. Cấu hình Active/Passive HA:
- Trong triển khai này, tường lửa hoạt động (Active) liên tục đồng bộ hóa thông tin cấu hình và phiên của nó với tường lửa thụ động (Passive) qua hai interface chuyên dụng. Nếu sự gián đoạn phần cứng hoặc phần mềm xảy ra trên Active firewall, thì Passive firewall sẽ thay thế hoạt động mà không mất dịch vụ. Việc triển khai HA ở chuẩn Active/Passive được hỗ trợ bởi các chế độ giao diện Virtual Wire, Layer 2 và Layer 3.

- Vào Device > High Availability > General. Click vào icon bánh răng ở bảng Setup để mở cửa sổ cấu hình Setup.

- Cấu hình theo các thông số sau :

• Enable HA : tích chọn Enable HA
• Group ID : 60 (Trường này là bắt buộc và phải là duy nhất, nếu nhiều cặp HA cặp cư trú trên cùng một broadcast domain.)
• Mode : Active Passive
• Enable Config Sync : tich chọn (Tùy chọn này để cho phép đồng bộ hóa cài đặt cấu hình giữa các thiết bị.)
• Peer HA1 IP Address : 172.16.3.11.
• Click OK để lưu.

​

- Bấm vào icon bánh răng của Active/Passive Settings.

- Chọn Auto. Khi Auto được chọn, các liên kết có kết nối vật lý vẫn hoạt động bình thường nhưng ở trạng thái bị tắt. Chúng không tham gia vào ARP hoặc chuyển tiếp gói tin. Cấu hình này giúp giảm thời gian hội tụ trong quá trình chuyển đổi dự phòng vì không cần thời gian để kích hoạt các liên kết. Để tránh các vòng lặp mạng, không chọn tùy chọn này nếu tường lửa có bất kỳ interface Layer 2 nào được cấu hình.

​

- Click OK. Và tiếp tục bấm vào icon bánh răng ở bảng Election Settings để cấu hình failover behavior với các thông số sau.

• Device Priority : 80 (Nhập một giá trị ưu tiên (phạm vi từ 0 đến 255) để xác định thiết bị Active. Firewall có giá trị thấp hơn (mức ưu tiên cao hơn) trở thành Active khi khả năng phòng ngừa được bật trên cả hai tường lửa trong cặp.)
• Preemtive : tich chọn Preemtive (Cho phép tường lửa ưu tiên cao hơn để tiếp tục hoạt động sau khi khôi phục từ một sự cố. Tham số này phải được bật trên cả hai tường lửa nhưng không phải lúc nào cũng được khuyến nghị)
• Heartbeat Backup : Bỏ tích tùy chọn này(Sử dụng các cổng quản lý trên tường lửa HA để cung cấp đường dẫn dự phòng cho các gói tin heartbeat và hello)
• Click OK.

​

- Click vào icon bánh răng ở bảng Control Link (HA1) để cấu hình HA1 Link. Tường lửa trong cặp HA sử dụng HA link để đồng bộ hóa dữ liệu và duy trì thông tin trạng thái.

• Port : ethernet1/\
• IPv4/IPv6 address : 172.16.3.10
• Netmask : 255.255.255
• Click OK để lưu lại.

​

- Click tiếp vào icon bánh răng ở cửa sổ cấu hình Data Link (HA2). Bỏ chọn ô Enable Session Synchronization. Và click OK.

​

4. Cấu hình HA Monitoring:
- Vào Device > High Availability > Link and Path Monitoring.
- Bấm vào icon bánh răng trong bảng Link Monitoring để cấu hình phát hiện liên kết bị gián đoạn. Link Monitoring cho phép chuyển đổi dự phòng khi liên kết vật lý hoặc nhóm liên kết vật lý không thành công.

• Enable : tich chọn Enable
• Failure Condition : Any.

​

- Click Add ở bảng Link Group để cấu hình traffic link để giám sát :

• Name : traffic-links
• Enable : tich chọn (Lưu ý : Không hỗ trợ cho bản VM-Series trên ESXi)
• Failure Condition : Any
• Interface : ethernet1/1 và ethernet1/2.
• Click OK.

​

- Vào icon bánh răng của bảng Path Monitoring để cấu hình path Failure detection.
- Path Monitoring cho phép tường lửa giám sát các địa chỉ IP đích được chỉ định bằng cách gửi tin nhắn ping ICMP để đảm bảo rằng chúng phản hồi.

• Enable : tích chọn
• Failure Condition : Any
• Click OK để lưu lại.

​

- Tìm bảng Path Group và click Add Virtual Router Path để cấu hình path failure condition.

• Name : lab-vr
• Enable : tích chọn
• Failure Condition : Any
• Destination IP :8.8.8.8
• Click OK để lưu lại

​

- Click Commit để xác nhận các thay đổi trong cấu hình.

5. Quan sát trạng thái trong tiện ích HA:
- Trong giao diện GUI của Firewall Palo Alto, nhấp vào Dashboard và xem tiện ích trạng thái của High Availability. Active-Passive mode nên được bật và tường lửa cục bộ phải hoạt động (màu xanh lá cây). Bạn có thể cần làm mới ngăn High Availability nếu tường lửa cục bộ vẫn hiển thị rằng nó đang khởi tạo. Tuy nhiên, vì không có firewall ngang hàng, trạng thái của hầu hết các mục được giám sát là không xác định (màu vàng). Vì HA1 không có peer, trạng thái của nó không hoạt động (màu đỏ).

​

- Nếu một thiết bị ngang hàng được định cấu hình và hoạt động ở chế độ Passive, bảng High Availability trên Dashboard sẽ xuất hiện như sau. Để tránh ghi đè cấu hình tường lửa sai, tường lửa không được tự động đồng bộ hóa. Bạn phải đồng bộ hóa thủ công bằng cách nhấp vào Sync to peer.

​

---o0o---​