Hướng dẫn cấu hình pfSense 2.0 Cluster sử dụng
CARP
Yêu cầu hệ thống
Để thực hiện quá trình này chúng ta cần hai máy tính giống hệt nhau, với tối thiểu
3 card mạng và một subnet dành riêng cho đồng bộ hóa lưu lượng mạng (network
traffic).
Ví dụ địa chỉ IP sẽ được sử dụng trong bài viết:
Cấu hình mạng:
Firewall 1
WAN IP: 192.168.100.1

SYNC IP: 10.155.0.1

LAN IP: 192.168.1.252
Firewall 2
WAN IP: 192.168.100.2

SYNC IP: 10.155.0.2
LAN IP: 192.168.1.253
Hai địa chỉ IP dưới đây dùng để chia sẻ giữa các tường lửa:
 IP mạng WAN ảo: 192.168.100.200
 IP mạng LAN ảo: 192.168.1.254
Hướng dẫn này giả sử rằng bạn đã cài đặt sẵn pfSense trên cả hai máy tính và card
mạng đã cấu hình với địa chỉ IP và người dùng từng có kinh nghiệm làm việc
với pfSense (chủ yếu là xung quanh các giao diện quản trị web).
Ví dụ minh họa về mô hình mà chúng ta xây dựng:
Xây dựng Cluster
Trước tiên bạn cần cấu hình một quy tắc tường lửa trên cả hai ô box để cho phép
các tường lửa giao tiếp với nhau trên thẻ SYNC.
Để làm điều này, kích chuột vào "Firewall | Rules”, chọn SYNC tại
mục Interface. Kích nút Plus để thêm một mục firewall rule mới. Thiết lập

sách hai IPs ảo theo kiểuCARP.
Nếu đăng nhập vào giao diện web của tưởng lửa backup và kích vào "Firewall |
Virtual IPs" bạn sẽ thấy virtual IPs đồng bộ với firewall backup.
Bây giờ là lúc xem nó hoạt động như thế nào. Hai bức tường lửa pfSense sẽ liên
tục đồng bộ các quy tắc của chúng, NAT, virtual Ips và bất kỳ thiết lập nào khác
bạn đã chọn trong tùy chọn Synchronize. Vì lý do nào đó mà tường lửa chính bị
ngưng hoạt động thì bản sao của nó vẫn làm việc liên tục.
Trong điều kiện thử nghiệm, các bản sao tường lửa sẽ tiếp nhận với độ chễ là 10
giây, bởi hệ điều hành freeBSD sẽ áp dụng các địa chỉ IP ảo cho giao diện một khi
bị mất kết nối với tường lửa chính.
Thử nghiệm Failover
Bạn có thể thử nghiệm bằng cách rút cáp mạng hoặc tắt tường lửa chính trong khi
liên tục ping tới địa chỉ IP của LAN hoặc WAN. Bạn sẽ thấy các IP giảm xuống
một vài giây trong các tường lửa khác.