Tweet
Xin chào mọi người,
Chào mừng đến với lab tiếp theo trong series Firewall SCADA. Như chúng ta đều biết, firewall chính là “cánh cửa” kiểm soát lưu lượng mạng. Nhưng điều gì sẽ xảy ra khi “cánh cửa” này bị hỏng? Toàn bộ lưu lượng sẽ bị chặn đứng, hạ tầng mạng rơi vào tình trạng “nội bất xuất, ngoại bất nhập”.
Đó là lý do High Availability (HA) ra đời – như một “bảo hiểm” cho hệ thống, đảm bảo rằng nếu firewall chính gặp sự cố, một thiết bị dự phòng sẽ lập tức tiếp quản nhiệm vụ, giữ cho mạng của chúng ta luôn vận hành trơn tru.
LAB 7.2 – Cấu hình HA trên 2 FTD
🔥 Mục tiệu:
Giúp bạn cấu hình thành công tính năng High Availability – Active/Standby + Stateful Failover trên 2 thiết bị Firewall Cisco FTD, đảm bảo tính sẵn sàng cao và tự động chuyển đổi khi thiết bị chính gặp sự cố.
📌 Lưu ý: Đây là hướng dẫn thực hành chi tiết. Chỉ cần làm theo từng bước là bạn sẽ triển khai được mô hình HA trên FTD.
✅ Mô hình mạng (Tóm tắt)
🛠️ Bước 1: Cấu hình Router giả lập ISP
Truy cập thiết bị router và nhập các lệnh sau:
enable
configure terminal
hostname ISP
interface e0/1
no switchport
ip address 10.10.10.2 255.255.255.252
no shutdown
interface e0/0
no switchport
ip address 20.20.20.2 255.255.255.252
interface loopback1
ip address 8.8.8.8 255.255.255.255
no shutdown
do show ip interface brief
🧱 Bước 2: Cấu hình IP Interface trên FTD-Active
Truy cập GUI (Firepower Device Manager – FDM) của thiết bị FTD chính và thực hiện:
1. Vào menu: Devices → Interfaces
2. Click vào cổng G0/0
3. Đặt IP là: 10.10.10.1/30
4. Cổng G0/2 và G0/3 bật trạng thái "Enabled", không cấu hình IP lúc này.
🔁 Bước 3: Cấu hình HA trên 2 FTD
3.1 Trên thiết bị FTD-Active (Primary)
1. Vào mục Configure → High Availability
2. Chọn vai trò: Primary Device
3. Cấu hình Failover Link:
- Interface: G0/2
- Primary IP: 192.168.100.1
- Secondary IP: 192.168.100.2
- Netmask: 255.255.255.252 (/30)
4. Cấu hình Stateful Failover Link:
- Interface: G0/3
- Primary IP: 192.168.200.1
- Secondary IP: 192.168.200.2
- Netmask: 255.255.255.252 (/30)
5. Nhấn "Enable HA" hoặc "Activate HA" để hoàn tất.
3.2 Trên thiết bị FTD-Standby (Secondary)
1. Truy cập GUI → Configure → High Availability
2. Chọn vai trò: Secondary Device
3. Cấu hình giống hệt như FTD-Active:
- Failover link (G0/2):
- Primary IP: 192.168.100.1
- Secondary IP: 192.168.100.2
- Stateful Failover link (G0/3):
- Primary IP: 192.168.200.1
- Secondary IP: 192.168.200.2
4. Nhấn "Enable HA"
🔎 Bước 4: Kiểm tra trạng thái HA
Sau vài phút đồng bộ:
- Trên FTD-Active GUI, bạn sẽ thấy:
Role: Primary
State: Active
Peer: Standby
- Trên FTD-Standby GUI, sẽ hiển thị:
Role: Secondary
State: Standby
Peer: Active
🎯 Ngoài ra, bạn có thể test HA bằng cách shutdown interface G0/0 của thiết bị Active → FTD Standby sẽ tự động trở thành Active.
📌 Tổng kết
Sau khi hoàn thành các bước trên, hệ thống Firewall của bạn sẽ:
✅ Luôn sẵn sàng chuyển đổi sang thiết bị dự phòng nếu thiết bị chính gặp sự cố
✅ Đồng bộ đầy đủ cấu hình (Stateful) giữa 2 thiết bị
✅ Giảm thời gian downtime và tăng độ tin cậy cho hệ thống mạng
Chào mừng đến với lab tiếp theo trong series Firewall SCADA. Như chúng ta đều biết, firewall chính là “cánh cửa” kiểm soát lưu lượng mạng. Nhưng điều gì sẽ xảy ra khi “cánh cửa” này bị hỏng? Toàn bộ lưu lượng sẽ bị chặn đứng, hạ tầng mạng rơi vào tình trạng “nội bất xuất, ngoại bất nhập”.
Đó là lý do High Availability (HA) ra đời – như một “bảo hiểm” cho hệ thống, đảm bảo rằng nếu firewall chính gặp sự cố, một thiết bị dự phòng sẽ lập tức tiếp quản nhiệm vụ, giữ cho mạng của chúng ta luôn vận hành trơn tru.
LAB 7.2 – Cấu hình HA trên 2 FTD
🔥 Mục tiệu:
Giúp bạn cấu hình thành công tính năng High Availability – Active/Standby + Stateful Failover trên 2 thiết bị Firewall Cisco FTD, đảm bảo tính sẵn sàng cao và tự động chuyển đổi khi thiết bị chính gặp sự cố.
📌 Lưu ý: Đây là hướng dẫn thực hành chi tiết. Chỉ cần làm theo từng bước là bạn sẽ triển khai được mô hình HA trên FTD.
✅ Mô hình mạng (Tóm tắt)
🛠️ Bước 1: Cấu hình Router giả lập ISP
Truy cập thiết bị router và nhập các lệnh sau:
enable
configure terminal
hostname ISP
interface e0/1
no switchport
ip address 10.10.10.2 255.255.255.252
no shutdown
interface e0/0
no switchport
ip address 20.20.20.2 255.255.255.252
interface loopback1
ip address 8.8.8.8 255.255.255.255
no shutdown
do show ip interface brief
🧱 Bước 2: Cấu hình IP Interface trên FTD-Active
Truy cập GUI (Firepower Device Manager – FDM) của thiết bị FTD chính và thực hiện:
1. Vào menu: Devices → Interfaces
2. Click vào cổng G0/0
3. Đặt IP là: 10.10.10.1/30
4. Cổng G0/2 và G0/3 bật trạng thái "Enabled", không cấu hình IP lúc này.
🔁 Bước 3: Cấu hình HA trên 2 FTD
3.1 Trên thiết bị FTD-Active (Primary)
1. Vào mục Configure → High Availability
2. Chọn vai trò: Primary Device
3. Cấu hình Failover Link:
- Interface: G0/2
- Primary IP: 192.168.100.1
- Secondary IP: 192.168.100.2
- Netmask: 255.255.255.252 (/30)
4. Cấu hình Stateful Failover Link:
- Interface: G0/3
- Primary IP: 192.168.200.1
- Secondary IP: 192.168.200.2
- Netmask: 255.255.255.252 (/30)
5. Nhấn "Enable HA" hoặc "Activate HA" để hoàn tất.
3.2 Trên thiết bị FTD-Standby (Secondary)
1. Truy cập GUI → Configure → High Availability
2. Chọn vai trò: Secondary Device
3. Cấu hình giống hệt như FTD-Active:
- Failover link (G0/2):
- Primary IP: 192.168.100.1
- Secondary IP: 192.168.100.2
- Stateful Failover link (G0/3):
- Primary IP: 192.168.200.1
- Secondary IP: 192.168.200.2
4. Nhấn "Enable HA"
🔎 Bước 4: Kiểm tra trạng thái HA
Sau vài phút đồng bộ:
- Trên FTD-Active GUI, bạn sẽ thấy:
Role: Primary
State: Active
Peer: Standby
- Trên FTD-Standby GUI, sẽ hiển thị:
Role: Secondary
State: Standby
Peer: Active
🎯 Ngoài ra, bạn có thể test HA bằng cách shutdown interface G0/0 của thiết bị Active → FTD Standby sẽ tự động trở thành Active.
📌 Tổng kết
Sau khi hoàn thành các bước trên, hệ thống Firewall của bạn sẽ:
✅ Luôn sẵn sàng chuyển đổi sang thiết bị dự phòng nếu thiết bị chính gặp sự cố
✅ Đồng bộ đầy đủ cấu hình (Stateful) giữa 2 thiết bị
✅ Giảm thời gian downtime và tăng độ tin cậy cho hệ thống mạng