Ngoài yêu cầu về bảo mật thì một hệ thống mạng có khả năng chịu lỗi cao sẽ là mục tiêu hướng đến tiếp theo của người quản trị mạng. Bài viết này blog Thư viện hay sẽ giới thiệu đến bạn cách cấu hình High Availability (HA) trên pfSense, đây là một tính năng rất quan trọng trên firewall pfSense, giúp cho hệ thống mạng của bạn tăng thêm tính sẵn sàng và đáng tin cậy.
High Availability là gì?
High Availability (HA) có nghĩa là “Tính sẵn sàng cao”, là tính năng thường được tích hợp trên các thiết bị công nghệ thông tin nhằm đảm bảo hệ thống hoạt động liên tục, không bị gián đoạn trong thời gian dài. Để sử dụng công nghệ High Availability (HA) cần yêu cầu tối thiểu 2 máy chủ cùng chạy song song và hoạt động liên tục. Nếu một máy chủ xảy ra lỗi thì máy chủ còn lại sẽ hoạt động thay thế giúp cho hệ thống vẫn hoạt động bình thường.
Cấu hình High Availability (HA) trên pfSense
I. Tóm tắt sơ đồ mạng
Với mô hình mạng này bạn cần chuẩn bị:
- 2 firewall pfSense: Master và Backup
- Mỗi firewall có 3 card mạng: WAN, LAN, SYNC (port dùng để đồng bộ cấu hình từ pfSense Master sang pfSense Backup)
- 2 pfSense chạy cùng phiên bản version giống nhau (nên cập nhật version mới nhất)
II. Cấu hình High Availability trên pfSense
Trên pfSense Master bạn vào System -> High Availability Sync và cấu hình các thông số như sau:
- Synchronize states: Check chọn vào ô pfsync transfers state insertion, update, and deletion messages between firewalls
- Synchronize Interface: Chọn port SYNC
- pfsync Synchronize Peer IP: 100.0.0.2 (IP của port SYNC phía pfSense Backup)
- Synchronize Config to IP: 100.0.0.2 (IP của port SYNC phía pfSense Backup)
- Remote System Username: admin (Sử dụng user bên phía pfSense Backup, ở đây mình lấy user admin)
- Remote System Password: **** **** (Nhập 2 lần mật khẩu của user phía pfSense Backup)
- Select options to sync: Bạn check chọn những thông tin muốn đồng bộ từ pfSense Master sang pfSense Backup
-> Chọn Save để lưu cài đặt.
Vậy là bạn đã hoàn thành cấu hình High Availability (HA) trên pfSense, để kiểm tra High Availability (HA) đã hoạt động hay chưa bằng cách bạn chỉ cần thay đổi một vài cài đặt trên pfSense Master thì trên pfSense Backup cũng tự động thay đổi theo.
Lưu ý: High Availability (HA) trên pfSense không đồng bộ cấu hình cổng interface và các packages cài đặt thêm vào pfSense.
III. Cấu hình CARP trên pfSense
1. Cấu hình CARP trên pfSense Master
Trên pfSense Master bạn vào Firewall -> Virtual IPs -> + Add để tạo mới Virtual IP
Bạn cấu hình các thông số Virtual IP như sau:
- Type: CARP
- Interface: LAN
- Address type: Single address
- Address(es): 10.1.48.3 (Lấy IP này làm IP LAN ảo)
- Virtual IP Password: **** **** (nhập 2 lần mật khẩu bất kỳ, mật khẩu này cũng sẽ sử dụng bên pfSense Backup)
- VHID Group: chọn 1 (Nếu sử dụng nhiều Virtual IP thì cài VHID Group giá trị khác nhau)
- Advertising frequency: Base=1, Skew=0
-> Chọn Save để lưu cài đặt.
2. Cấu hình CARP trên pfSense Backup
Trên pfSense Backup ta cũng làm tương tự, tạo Virtual IP và cấu hình các thông số như sau:
- Type: CARP
- Interface: LAN
- Address type: Single address
- Address(es): 10.1.48.3 (Lấy IP này làm IP LAN ảo)
- Virtual IP Password: **** **** (nhập 2 lần mật khẩu, mật khẩu này giống với mật khẩu Virtual IP bên pfSense Master)
- VHID Group: chọn 1 (Chọn giống với VHID Group bên pfSense Master)
- Advertising frequency: Base=1, Skew=100 (giá trị Skew trên pfSense Backup cao hơn pfSense Master vì vậy pfSense Master sẽ được bầu làm firewall chính)
-> Chọn Save để lưu cài đặt.
3. Kiểm tra cấu hình CARP trên 2 pfSense
Trên 2 firewall pfSense bạn vào mục Status -> CARP, chúng ta thấy pfSense Master được bầu làm MASTER.
và pfSense Backup được bầu làm BACKUP.
Bây giờ các thiết bị User trỏ Default gateway về IP 10.1.48.3 (IP LAN ảo) là có thể truy cập internet, trong trường hợp firewall pfSense Master gặp sự cố thì hệ thống tự động bầu pfSense Backup làm MASTER và hệ thống vẫn hoạt động bình thường, không làm ảnh hưởng tới User.
Như vậy qua bài viết này, bạn đã nắm được cách cấu hình High Availability (HA) trên pfSense. Chúc bạn thành công!
Nếu Bạn thấy nội dung này có giá trị, hãy mời Mình một ly cà phê nhé!
Xin chào các Bạn, Mình là Đăng Lê, đang làm việc trong lĩnh vực CNTT. Mình là người yêu thích viết blog, đang cố gắng để trở thành một blogger chuyên nghiệp. Với blog thuvienhay.com, Mình mong muốn được chia sẻ những kiến thức, kinh nghiệm đến với mọi người.
Mong các bạn hãy theo dõi và ủng hộ blog thuvienhay.com. Chân thành cảm ơn!