pfSense là má»™t ứng dụng mã nguồn mở có chức năng định tuyến và o tÆ°á»ng lá»a mạnh và miá»…n phÃ, ứng dụng nà y sẽ cho phép bạn mở rá»™ng mạng của mình mà không bị thá»a hiệp vá» sá»± bảo máºt. Vá»›i nhiá»u Æ°u Ä‘iểm của nó nên được phổ biến ở má»i nÆ¡i, từ nhà riêng đến các doanh nghiệp. Trong bà i viết sau chúng tôi sẽ hÆ°á»›ng dẫn các bạn cấu hình má»™t pfSense 2.0 Cluster bằng cách sá» dụng CARP Failover.
Yêu cầu hệ thống
Äể thá»±c hiện quá trình nà y chúng ta cần hai máy tÃnh giống hệt nhau, vá»›i tối thiểu 3 card mạng và má»™t subnet dà nh riêng cho đồng bá»™ hóa lÆ°u lượng mạng (network traffic).
Và dụ địa chỉ IP sẽ được sỠdụng trong bà i viết:
Cấu hình mạng:
Firewall 1
WAN IP: 192.168.100.1
SYNC IP: 10.155.0.1
LAN IP: 192.168.1.252 Firewall 2
WAN IP: 192.168.100.2
SYNC IP: 10.155.0.2
LAN IP: 192.168.1.253
Hai địa chỉ IP dÆ°á»›i đây dùng để chia sẻ giữa các tÆ°á»ng lá»a:
- IP mạng WAN ảo: 192.168.100.200
- IP mạng LAN ảo: 192.168.1.254
HÆ°á»›ng dẫn nà y giả sá» rằng bạn đã cà i đặt sẵn pfSense trên cả hai máy tÃnh và card mạng đã cấu hình vá»›i địa chỉ IP... và ngÆ°á»i dùng từng có kinh nghiệm là m việc vá»›i pfSense (chủ yếu là xung quanh các giao diện quản trị web).
Và dụ minh há»a vá» mô hình mà chúng ta xây dá»±ng:
Xây dựng Cluster
TrÆ°á»›c tiên bạn cần cấu hình má»™t quy tắc tÆ°á»ng lá»a trên cả hai ô box để cho phép các tÆ°á»ng lá»a giao tiếp vá»›i nhau trên thẻ
SYNC.
Äể là m Ä‘iá»u nà y, kÃch chuá»™t và o "
Firewall | Rulesâ€, chá»n
SYNC tại mục
Interface. KÃch nút
Plus để thêm má»™t mục firewall rule má»›i. Thiết láºp "
Protocol" cho "
any", thêm một mô tả để có thể xác định quy tắc. Nhấn
Save, sau đó nhấn
Apply Changes nếu cần thiết.
Vẫn trên backup tÆ°á»ng lá»a, ở đây chúng ta cần cấu hình đồng bá»™ hóa
CARP và cấu hình cho nó chỉ là má»™t bản sao. KÃch "
Firewall | Vitrual IPs" > "
Firewall | Vitrual Ips", đánh dấu tÃch và o há»™p "
Synchronize Enabled". Chá»n "
Synchronize Interface to SYNC", sau đó lưu lại thay đổi nà y.
Hoà n thà nh việc cấu hình sao lÆ°u tÆ°á»ng lá»a, bây giá» chúng ta tiến hà nh cấu hình đồng bá»™ hóa CARP trên tÆ°á»ng lá»a chÃnh.
Äăng nháºp và o firewall chÃnh của bạn, kÃch "
Firewall | Virtual Ips", chuyển sang tab "
CARP Settings" và đánh dấu tÃch và o há»™p "
Synchronize Enabled". Tại mục
Synchronize Interface chá»n "
SYNC" là m mặc định, đánh dấu check và o các hộp dưới mục
"Synchronize Rules", "Synchronize NAT", "Synchronize Virtual IPs".
Sau đó nháºp địa chỉ
IP SYNC của bản sao tÆ°á»ng lá»a và o há»™p "
Synchronize to IP" và thiết láºp máºt khẩu tại há»™p "
Remote System Password".
Nhấn
Save để lưu thay đổi.
Tiếp theo chúng ta cấu hình Virtual IP address cho cả hai tÆ°á»ng lá»a sẽ sá» dụng. Äể là m Ä‘iá»u nà y và o "
Firewall | Virtual IPs" và chuyển sang tab "
Virtual Ips".
TrÆ°á»›c tiên là thiết láºp địa chỉ IP cho mạng
WAN của mục
Interface, nhấn nút
Plus để thêm mới IP ảo, chắc chắn rằng kiểu IP được set ở
CARP. Äịa chỉ WAN nà y sẽ được sá» dụng trên toà n hệ thống của bạn bất kể tÆ°á»ng lá»a chÃnh hay bản sao được kÃch hoạt.
Tiếp theo tạo má»™t máºt khẩu trong há»™p "
Virtual IP Password", giữ nguyên giá trị
1 đối với "
VHID Group" và giá trị
0 đối với "
Advertising Frequency", thêm một chút mô tả tại
Description và nhấn Save để lưu lại.
TÆ°Æ¡ng tá»± nhÆ° váºy, chúng ta cấu hình
Virtual IP address cho mạng
LAN trong mục
Interface. Các bước tiến hà nh không có gì khác so với hướng dẫn trên đối với WAN, riêng phần “
VHID Group" bạn thay và o giá trị lÃ
3, đặt một mô tả khác rồi nhấn
Save để lưu thay đổi.
Và giỠđây bạn sẽ nhìn tháy trong section "
Firewall | Virtual IPs" xuất hiện danh sách hai IPs ảo theo kiểu
CARP.
Nếu đăng nháºp và o giao diện web của tưởng lá»a backup và kÃch và o "
Firewall | Virtual IPs" bạn sẽ thấy
virtual IPs đồng bộ với firewall backup.
Bây giá» là lúc xem nó hoạt Ä‘á»™ng nhÆ° thế nà o. Hai bức tÆ°á»ng lá»a pfSense sẽ liên tục đồng bá»™ các quy tắc của chúng, NAT, virtual Ips và bất kỳ thiết láºp nà o khác bạn đã chá»n trong tùy chá»n Synchronize. Vì lý do nà o đó mà tÆ°á»ng lá»a chÃnh bị ngÆ°ng hoạt Ä‘á»™ng thì bản sao của nó vẫn là m việc liên tục.
Trong Ä‘iá»u kiện thá» nghiệm, các bản sao tÆ°á»ng lá»a sẽ tiếp nháºn vá»›i Ä‘á»™ chá»… là 10 giây, bởi hệ Ä‘iá»u hà nh freeBSD sẽ áp dụng các địa chỉ IP ảo cho giao diện má»™t khi bị mất kết nối vá»›i tÆ°á»ng lá»a chÃnh.
ThỠnghiệm Failover
Bạn có thể thá» nghiệm bằng cách rút cáp mạng hoặc tắt tÆ°á»ng lá»a chÃnh trong khi liên tục ping tá»›i địa chỉ IP của LAN hoặc WAN. Bạn sẽ thấy các IP giảm xuống má»™t và i giây trong các tÆ°á»ng lá»a khác.
Ä.Hải (Nguồn HowtoForge )
Các chủ đỠkhác cùng chuyên mục nà y: