Tweet
🔥 Giới thiệu
Trong nhiều môi trường ISP hoặc doanh nghiệp nhỏ (SOHO), kết nối Internet không phải lúc nào cũng cấp IP tĩnh/dynamic qua DHCP mà thường dùng PPPoE (Point-to-Point Protocol over Ethernet). Với Cisco FTD, bạn có thể cấu hình PPPoE trên interface kết nối WAN để FTD tự động xác thực với ISP và nhận IP.
Điều này rất quan trọng khi triển khai FTD ở biên mạng, thay thế router/modem cũ, nhưng vẫn giữ khả năng quản trị tập trung bằng FMC.
🛠 Các bước cấu hình PPPoE trên Cisco FTD (qua FMC)
1. Chuẩn bị
2. Cấu hình Interface PPPoE trong FMC
3. Chính sách NAT và Access Control
Sau khi interface WAN nhận được IP qua PPPoE, bạn cần:
4. Deploy cấu hình
📌 Kiểm tra
Trên FTD (SSH/console), bạn có thể kiểm tra PPPoE:
> show interface ip brief > show route > system support diagnostic-cli # ifconfig outside # show pppoe session
Nếu kết nối thành công, bạn sẽ thấy IP public/ISP cấp trên interface outside.
✅ Ví dụ Lab thực tế
Khi triển khai:
Client trong LAN ping 8.8.8.8 sẽ đi qua PPPoE ra Internet.
🎯 Lưu ý
So sánh PPPoE trên FTD khi cấu hình trực tiếp bằng FDM (Firepower Device Manager) để bạn tiện hình dung và chọn cách lab.
🔥 PPPoE trên Cisco FTD: FMC vs FDM
1. Cấu hình PPPoE qua FMC (đã nói ở trên)
👉 Nhược điểm: hơi phức tạp cho lab nhỏ, phải deploy mỗi lần thay đổi.
2. Cấu hình PPPoE trực tiếp trên FTD qua FDM (local web UI)
Dùng khi bạn lab nhanh, hoặc triển khai FTD ở môi trường SMB (chỉ 1 thiết bị, không có FMC). Các bước:
3. So sánh nhanh FMC vs FDM
✅ Kinh nghiệm thực tế
Trong nhiều môi trường ISP hoặc doanh nghiệp nhỏ (SOHO), kết nối Internet không phải lúc nào cũng cấp IP tĩnh/dynamic qua DHCP mà thường dùng PPPoE (Point-to-Point Protocol over Ethernet). Với Cisco FTD, bạn có thể cấu hình PPPoE trên interface kết nối WAN để FTD tự động xác thực với ISP và nhận IP.
Điều này rất quan trọng khi triển khai FTD ở biên mạng, thay thế router/modem cũ, nhưng vẫn giữ khả năng quản trị tập trung bằng FMC.
🛠 Các bước cấu hình PPPoE trên Cisco FTD (qua FMC)
1. Chuẩn bị
- FTD đã được add và quản trị trong FMC.
- Thông tin PPPoE do ISP cung cấp:
- Username
- Password
- Interface kết nối tới modem/ONT ở chế độ bridge (thường là Ethernet WAN).
2. Cấu hình Interface PPPoE trong FMC
- Vào FMC
- Điều hướng: Devices > Device Management.
- Chọn thiết bị FTD cần cấu hình.
- Chỉnh sửa Interface WAN
- Tab Interfaces → chọn interface kết nối ra ISP.
- Click Edit.
- Chọn chế độ PPPoE
- Ở mục IP Address Type, thay vì DHCP hoặc Static, chọn PPPoE.
- Nhập Username và Password ISP cung cấp.
- Nếu ISP yêu cầu, nhập thêm Service Name.
- Cấu hình PPPoE Options
- Chọn Obtain default route using PPPoE nếu muốn FTD tự động set default route.
- Tick Obtain DNS server address using PPPoE nếu muốn lấy DNS từ ISP.
3. Chính sách NAT và Access Control
Sau khi interface WAN nhận được IP qua PPPoE, bạn cần:
- NAT:
- Vào Policies > NAT.
- Tạo rule NAT từ Inside → Outside (WAN PPPoE).
- Dạng: Dynamic PAT (Hide NAT) để các client LAN truy cập Internet.
- Access Control Policy (ACP):
- Vào Policies > Access Control.
- Đảm bảo có rule cho phép traffic từ Inside ra Outside.
4. Deploy cấu hình
- Sau khi cấu hình xong: Save > Deploy để đẩy cấu hình xuống FTD.
📌 Kiểm tra
Trên FTD (SSH/console), bạn có thể kiểm tra PPPoE:
> show interface ip brief > show route > system support diagnostic-cli # ifconfig outside # show pppoe session
Nếu kết nối thành công, bạn sẽ thấy IP public/ISP cấp trên interface outside.
✅ Ví dụ Lab thực tế
- Interface Outside (Ethernet1/1) → PPPoE
- ISP cấp username: vnpro@isp / password: Cisco123
- LAN Inside: 192.168.10.0/24
Khi triển khai:
- Interface Outside set PPPoE với vnpro@isp / Cisco123.
- NAT rule: Inside (192.168.10.0/24) → Outside (PPPoE).
- ACP rule: Allow Any từ Inside → Outside.
Client trong LAN ping 8.8.8.8 sẽ đi qua PPPoE ra Internet.
🎯 Lưu ý
- PPPoE chỉ dùng được trên routed interface của FTD, không áp dụng cho subinterface VLAN.
- Nếu ISP đổi username/password, bạn chỉ cần vào FMC chỉnh lại PPPoE config.
- Trong môi trường HA (Active/Standby), mỗi unit sẽ có session PPPoE riêng khi failover.
So sánh PPPoE trên FTD khi cấu hình trực tiếp bằng FDM (Firepower Device Manager) để bạn tiện hình dung và chọn cách lab.
🔥 PPPoE trên Cisco FTD: FMC vs FDM
1. Cấu hình PPPoE qua FMC (đã nói ở trên)
- Mạnh về quản trị tập trung: phù hợp môi trường enterprise, nhiều FTD.
- Quy trình: Devices > Device Management > Edit Interface > PPPoE.
- Sau đó cần deploy chính sách (NAT + ACP).
- Có thể áp dụng đồng bộ nhiều thiết bị.
- Kiểm tra: qua FMC hoặc CLI của FTD.
👉 Nhược điểm: hơi phức tạp cho lab nhỏ, phải deploy mỗi lần thay đổi.
2. Cấu hình PPPoE trực tiếp trên FTD qua FDM (local web UI)
Dùng khi bạn lab nhanh, hoặc triển khai FTD ở môi trường SMB (chỉ 1 thiết bị, không có FMC). Các bước:
- Truy cập FDM
- Mở trình duyệt, truy cập: https://<FTD-IP>
- Đăng nhập bằng tài khoản admin.
- Chỉnh sửa Interface Outside
- Vào Devices > Interfaces.
- Chọn interface kết nối ISP (thường Ethernet1/1).
- Đổi mode IP thành PPPoE.
- Nhập thông tin PPPoE
- Username: do ISP cấp (vd: vnpro@isp)
- Password: do ISP cấp (vd: Cisco123)
- Service name: nếu ISP yêu cầu, thường để trống.
- Chọn:
- Use PPPoE for default route
- Use PPPoE for DNS (nếu không có DNS nội bộ).
- NAT
- Vào Policies > NAT.
- Tạo Dynamic PAT: Inside → Outside (PPPoE).
- Access Control
- Vào Policies > Access Control.
- Tạo rule: Allow Inside → Outside (Any).
- Save & Deploy
- Lưu cấu hình trực tiếp, FTD áp dụng ngay.
3. So sánh nhanh FMC vs FDM
- FMC
- Quản trị nhiều FTD.
- Có correlation, logging tập trung, event analysis.
- Deploy cần thời gian, cấu hình phức tạp hơn.
- FDM
- Đơn giản, nhanh cho lab/test.
- Phù hợp SMB, ít thiết bị.
- Không có event correlation/logging tập trung.
✅ Kinh nghiệm thực tế
- Nếu bạn chỉ có 1 con FTD ở nhà/chi nhánh, dùng FDM để cấu hình PPPoE nhanh nhất.
- Nếu bạn quản trị hệ thống enterprise nhiều FTD, bắt buộc dùng FMC để có chính sách đồng bộ và logging tập trung.
- Trong môi trường ISP VN (VNPT, Viettel, FPT), đa số PPPoE chỉ yêu cầu username/password, không cần service-name.