# Cấu hình HA
Trước khi đi vào cấu hình thì sẽ cần phải tuân theo các yêu cầu sau:
* Chuẩn bị sẵn 2 thiết bị Firewall và xác định thiết bị nào là chính (Master) , thiết bị nào là phụ (Backup)
* IP của các interface trên cả 2 thiết bị đều phải dùng chung 1 dải mạng nhưng phải khác nhau , VD: với interface Lan trên cả 2 thiết bị đều có subnet 172.16.86.0/24 thì trên thiết bị chính (Master) sẽ có ip là 172.16.86.100 còn trên thiết bị phụ (Backup) sẽ có ip là 172.16.86.200
* Trên cả 2 thiết bị đều đã cấu hình mạng, interface và firewall giống nhau
* Các mạng đầu vào nên đặt IP tĩnh
**Bước 1: Tạo địa chỉ IP ảo cho các interface trên cả 2 firewall Master và Backup.**
1. Ở bước này thì cấu hình trên cả 2 thiết bị Firewall đều sẽ giống nhau. Địa chỉ IP ảo sẽ được dùng như 1 Gateway chung cho cả 2 thiết bị firewall với mỗi interface tương ứng sẽ có 1 địa chỉ IP ảo này.
2. Để làm được điều đó thì hãy truy cập vào mục Cấu hình mạng -> HA -> Địa chỉ IP
Nhấn nút “Thêm” và Nhập vào các thông tin sau:
+Tên : Nhập vào 1 tên bất kỳ.
\+ Địa chỉ IP ảo: Điền vào 1 ip chưa được sử dụng bởi bất kỳ thiết bị nào và phải thuộc dải IP mà mạng thật đang cấp phát . VD: interface Lan (172.16.86.0/24) cấp phát ip DHCP từ 172.16.86.10 -> 172.16.86.250 thì nên điền vào 1 ip nằm ngoài dải như 172.16.86.252
\+ Thiết bị : Là cổng mạng hoặc device (eth1, eth2, br-lan,...) mà interface đang có IP vừa điền ở trên đang dùng.
Sau khi đã cấu hình xong cấu hình này thì hãy ấn nút “Lưu” và ấn “Lưu & áp dụng” rồi tiếp tục cấu hình địa chỉ IP ảo cho các interface khác.
**Bước 2: Cấu hình Interface để theo dõi trên cả firewall Master và Backup.**
1. Ở bước này thì cấu hình trên cả 2 thiết bị Firewall đều sẽ giống nhau. Cấu hình Interface ở đây nhằm mục đích khai báo các interface sẽ được theo dõi để phục vụ cho việc cấu hình Instance ở bước sau , cấu hình này hỗ trợ phát hiện khi có sự cố xảy ra trên interface đó.
2. Để làm được điều đó thì hãy truy cập vào mục Cấu hình mạng -> HA -> Giao diện mạng Nhấn nút “Thêm” và Nhập vào các thông tin sau:
* Tên : Nhập vào 1 tên bất kỳ.
* Thiết bị : Là cổng mạng hoặc device (eth1, eth2, br-lan,...) mà interface ở màn cấu hình interface đang dùng.
3. Sau khi đã cấu hình xong cấu hình này thì hãy ấn nút “Lưu” và ấn “Lưu & áp dụng” rồi tiếp tục cấu hình cho các interface khác.
**Bước 3: Cấu hình Instance để chọn thiết bị nào là firewall Master và thiết bị nào sẽ là Backup.**
Ở đây sẽ cần cấu hình trên 2 thiết bị master và thiết bị Backup riêng. Để cấu hình được phần này ta sẽ cấu hình trên từng thiết bị một.
1. Trên thiết bị Master : Truy cập vào mục Cấu hình mạng -> HA -> Instance Nhấn nút “Thêm” và Nhập vào các thông tin sau:
* Tên : Nhập vào 1 tên bất kỳ
* State: chọn chế độ “Master mode” vì đây sẽ là thiết bị chính
* Giao diện mạng : Chọn đúng cổng mạng , device được gán với interface mà ta muốn cấu hình.
* Virtual Id : 1 ID ảo để giao tiếp giữa 2 thiết bị Master và Backup , cả 2 đều phải điền giá trị giống nhau.
* Độ ưu tiên: Là cấu hình quyết định độ ưu tiên của mạng, thiết bị, số càng cao thì độ ưu tiên càng cao, ở thiết bị làm master luôn phải để giá trị cao hơn ở thiết bị Backup.
* Virtual IP Address : Chọn địa chỉ IP ảo tương ứng vừa cấu hình ở bước 1 , chỉ nên chọn địa chỉ IP ảo đã được đặt cho đúng interface mà ta đang cấu hình.
* Mật khẩu (nằm trong mục peer) : điền vào 1 dãy 8 ký tự bất kỳ , ở thiết bị Backup cũng phải điền giống như thiết bị Master đang điền.
* Track Interfaces (nằm trong mục Tracking): Chọn các interface để theo dõi khi gặp vấn đề. Ở đây khi cấu hình các interface mạng đầu vào (internet) thì nên chọn các interface con để theo dõi (lan, DMZ, wifi, local\_Server,..) . Còn khi cấu hình cho các interface con thì nên chỉ chọn các interface đầu vào để theo dõi thôi (wan, wanb,...).
Sau khi đã cấu hình xong cấu hình này thì hãy ấn nút “Lưu” và ấn “Lưu & áp dụng” rồi tiếp tục cấu hình cho các Instance khác.
2. Trên thiết bị Backup : Truy cập vào mục Cấu hình mạng -> HA -> Instance Nhấn nút “Thêm” và Nhập vào các thông tin sau:
* Tên : Nhập vào 1 tên bất kỳ
* State: chọn chế độ “Backup mode” vì đây sẽ là thiết bị chính
* Giao diện mạng : Chọn đúng cổng mạng , device được gán với interface mà ta muốn cấu hình.
* Virtual Id : 1 ID ảo để giao tiếp giữa 2 thiết bị Master và Backup , cả 2 đều phải điền giá trị giống nhau.
* Độ ưu tiên: Là cấu hình quyết định độ ưu tiên của mạng , thiết bị, số càng cao thì độ ưu tiên càng cao, ở thiết bị làm master luôn phải để giá trị cao hơn ở thiết bị Backup.
* Virtual IP Address : Chọn địa chỉ IP ảo tương ứng vừa cấu hình ở bước 1 , chỉ nên chọn địa chỉ IP ảo đã được đặt cho đúng interface mà ta đang cấu hình.
* Mật khẩu (nằm trong mục peer) : điền vào 1 dãy 8 ký tự bất kỳ , ở thiết bị Backup cũng phải điền giống như thiết bị Master đang điền.
* Track Interfaces (nằm trong mục Tracking): Chọn các interface để theo dõi khi gặp vấn đề. Ở đây khi cấu hình các interface mạng đầu vào (internet) thì nên chọn các interface con để theo dõi (lan, DMZ, wifi, local\_Server,..) . Còn khi cấu hình cho các interface con thì nên chỉ chọn các interface đầu vào để theo dõi thôi (wan, wanb,...).
Sau khi đã cấu hình xong cấu hình này thì hãy ấn nút “Lưu” và ấn “Lưu & áp dụng” rồi tiếp tục cấu hình cho các Instance khác.
**Bước 4: Cấu hình Traffic rules để cả 2 thiết bị có thể giao tiếp với nhau.**
1. Để 2 thiết bị có thể giao tiếp được với nhau để phát hiện được 1 trong 2 thiết bị gặp sự thì sẽ cần thêm luật Traffic rules để cho phép điều đó trên cả 2 thiết bị Master và Backup.
2. Muốn cấu hình được cấu hình đó thì hãy truy cập vào mục Firewall -> Traffic Rules -> nhấn nút “Thêm”. Ở đây cần chú ý đến các trường sau:
* Tên : Điền bất kỳ
* Giao thức: Kéo xuống cuối nhập vào “112” và nhấn nút “Enter” trên bàn phím thì lúc đó sẽ hiện ra 1 giao thức mới là “VRRP” xong rồi bỏ hết các giao thức khác đi
* Vùng mạng nguồn : Chọn “Bất kỳ vùng mạng nào”
* Vùng mạng đích : Chọn “Input”
* Hành động : Chọn “Chấp nhận”.
Sau khi đã cấu hình xong cấu hình này thì hãy ấn nút “Lưu” và ấn “Lưu & áp dụng” rồi tiếp tục cấu hình luật traffic rule này trên thiết bị Backup.
**Bước 5: Cấu hình cấp phát DHCP cho các interface sao cho các máy client bắt vào sẽ nhận được Gateway là địa chỉ IP ảo.**
* Để các máy client bên trong mạng có thể tự chuyển mạng sang thiết bị dự phòng khi gặp sự cố thì các máy client đó sẽ cần phải đặt Gateway về địa chỉ IP ảo đã được cấu hình ở bước trước.
* Muốn cấu hình được để cho các client bắt vào mạng tự có Gateway là ip ảo đó thì hãy truy cập vào mục Cấu hình mạng -> Giao diện mạng -> sửa interface mong muốn -> DHCP Server -> Cài đặt nâng cao và cấu hình trường “Tuỳ chọn DHCP
* Ở đây hãy điền vào theo công thức sau: “3,$IP\_ảo” rồi ấn dấu cộng. VD: 3,172.16.86.252.
* Sau khi đã cấu hình xong cấu hình này thì hãy ấn nút “Lưu” và ấn “Lưu & áp dụng” rồi tiếp tục cấu hình luật traffic rule này trên các interface khác đã được bật cấu hình DHCP Server và trên thiết bị Backup.
**Bước 6: Test , kiểm tra cấu hình HA**
* Để kiểm tra xem sau khi đã cấu hình xong cấu hình HA thì nếu thiết bị chính (Master) đề thì có tự đổi sang thiết bị dự phòng không thì có thể test trên mạng lan với sơ đồ như sau:
* Trước khi thiết bị Master gặp vấn đề thì ở màn tổng quan ở router master vẫn sẽ thấy Trạng thái là Master/Master : tức là vẫn bình thường, vẫn là đường mạng chính. Còn trên router backup sẽ có trạng thái là : Backup/Backup tức là vẫn đang hoạt động đúng ở chế độ dự phòng. và mạng vẫn đi theo Gateway ip lan là 172.16.86.100
* Sau khi thiết bị Master gặp vấn đề thì ở màn tổng quan ở router master vẫn sẽ thấy Trạng thái là Backup/Master : tức là thiết bị chính đã gặp vấn đề và chuyển về chế độ Backup . Còn trên router backup sẽ có trạng thái là : Master/Backup tức là: ban đầu là backup nhưng bây giờ đã được lên làm thiết bị chính và mạng đang đi đi theo Gateway ip lan là 172.16.86.200 (IP interface Lan trên router Backup)
\
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://help.safegate.network/ha-high-availibility/cau-hinh-ha.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.