Cisco FTD [LAB 4] Cấu Hình High Availability (HA) Active/Passive cho Cisco FTD qua FDM

AnhTuIS

AnhTuIS

Moderator

Cấu Hình High Availability (HA) Active/Passive cho Cisco FTD qua FDM​

- High Availability (HA), hay còn gọi là Failover Active/Standby, là một tính năng thiết yếu trên Cisco Firepower Threat Defense (FTD) nhằm đảm bảo tính liên tục của dịch vụ (business continuity) và khả năng phục hồi sau thảm họa. Khi cấu hình HA, hai thiết bị FTD giống hệt nhau sẽ hoạt động như một cặp, trong đó một thiết bị là Active (xử lý toàn bộ lưu lượng) và thiết bị còn lại là Standby (sẵn sàng tiếp quản ngay lập tức khi thiết bị Active gặp sự cố).
- Bài viết này hướng dẫn chi tiết quy trình cấu hình HA Active/Passive cho FTD thông qua giao diện quản lý cục bộ Firewall Device Manager (FDM), đồng thời đề cập đến các bước kiểm thử Failover và quy trình Backup/Restore trong môi trường HA

Mục lục

I. Chuẩn Bị Trước Khi Cấu Hình HA​


- Để cấu hình HA thành công, hai thiết bị FTD phải đáp ứng các yêu cầu sau:
  • Thiết Bị: Hai thiết bị FTD (vật lý hoặc ảo) cùng model, cùng phiên bản phần mềm (OS version) và cùng phiên bản VDB.
  • Giấy Phép: Cả hai thiết bị phải có giấy phép (Smart License) hợp lệ và giống nhau.
  • Cấu Hình Ban Đầu: Cả hai thiết bị phải được cấu hình ban đầu (Initial Setup) và có thể truy cập được qua FDM.
  • Interface: Cần ít nhất hai interface dành riêng cho HA: Failover Link và Stateful Failover Link (Có thể dùng 1 interface vật lý)
  • Kết Nối: Hai thiết bị phải được kết nối trực tiếp với nhau qua các interface dành cho HA.
- Vai trò của các Interface HA:

InterfaceMục ĐíchYêu Cầu
Failover LinkDùng để trao đổi thông tin trạng thái hoạt động (Active/Standby) và kiểm tra tình trạng (health check) của các interface dữ liệu.Cần một dải IP riêng biệt (ví dụ: /30 hoặc /29) và không được sử dụng cho lưu lượng dữ liệu thông thường.
Stateful Failover LinkDùng để đồng bộ hóa các thông tin trạng thái kết nối (connection state), NAT, VPN, v.v., giúp các phiên làm việc không bị gián đoạn khi xảy ra Failover.Cisco khuyến nghị sử dụng cùng một interface vật lý với Failover Link (đánh dấu vào tùy chọn Use the same interface as the Failover Link).


II. Cấu Hình High Availability (HA) qua FDM

1. Cấu Hình Thiết Bị Primary (Active)​

- Bước 1: Enable các interface cần thiết để cấu hình HA
1763698169294.png

- Bước 2: Đăng nhập vào FDM của thiết bị sẽ là Primary. Trong mục High Availability, nhấn nút CONFIGURE.
1763698117424.png



- Bước 3: Trên trang High Availability, chọn Primary Device.
1763698189805.png


- Bước 4: Cấu hình các thông số yêu cầu:
  • Cấu hình Failover Link:
    • Chọn Interface vật lý/ảo dành cho Failover Link.
    • Đặt Primary IP (IP của thiết bị Primary) và Secondary IP (IP của thiết bị Peer/Standby). Lưu ý: Hai IP này phải nằm trong cùng một subnet dành riêng cho HA.
    • Đặt Netmask phù hợp.
  • Cấu hình Stateful Failover Link: - Chọn Use the same interface as the Failover Link.
  • IPsec Encryption Key (Tùy chọn):
  • Nhấn Activate HA.
1763698201645.png



- Bước 5: Sau khi triển khai thành công, nhấn Copy to Clipboard để sao chép cấu hình HA (trừ khóa mã hóa) của thiết bị Primary.
1763698528869.png

2. Cấu Hình Thiết Bị Secondary (Standby)​

- Bước 1: Đăng nhập vào FDM của thiết bị sẽ là Secondary. Trong mục High Availability, nhấn nút CONFIGURE. Trên trang High Availability, chọn Secondary Device.
1763698670800.png

- Bước 2: Nhấn nút PASTE FROM CLIPBOARD. (Dán cấu hình đã sao chép từ thiết bị Primary).
1763698643258.png



- Bước 3: Kiểm tra lại các thông số Failover Link và Stateful Failover Link đã được điền chính xác. Nhấn Activate HA. (Bạn sẽ bị logout) Thiết bị Secondary sẽ bắt đầu quá trình đồng bộ hóa cấu hình từ Primary.
1763698752996.png


1763698762408.png


3. Kiểm Tra Trạng Thái HA​

  • Sau khi cấu hình hoàn tất, trạng thái HA sẽ được hiển thị trên trang Device Summary của cả hai thiết bị:
  • Primary Device: Current Device Mode: Active, Peer: Standby
1763698824195.png

  • Secondary Device: Current Device Mode: Standby, Peer: Active
1763698897212.png


III. Kiểm Thử Tính Năng Failover​

- Kiểm thử Failover là bước quan trọng để xác nhận HA hoạt động đúng. Có hai cách để kiểm thử:

1. Kiểm Thử Failover Thủ Công (Switch Mode)​


- Trên trang High Availability, nhấn vào biểu tượng bánh răng ở góc trên bên phải. Chọn Switch Mode (Thao tác này sẽ buộc thiết bị Active chuyển sang Standby và thiết bị Standby chuyển sang Active).
1763714782052.png


- Xác nhận hành động. Sau khi chuyển đổi xong thiết bị Primary sẽ chuyển sang Standby, thiết bị Secondary sẽ chuyển sang Active.

1763714830211.png



2. Kiểm tra bằng CLI​

- Dùng lệnh show failover state để xem trạng thái Cluster giữa 2 thiết bị
1763715038099.png



IV. Quy Trình Backup và Restore trong Môi Trường HA​

- Quy trình Backup và Restore trong môi trường HA có một số điểm khác biệt so với thiết bị độc lập:

1. Backup Cấu Hình​

  • Bạn chỉ nên thực hiện Backup cấu hình trên thiết bị Active.
  • Backup trên thiết bị Standby chỉ chứa cấu hình cơ bản của thiết bị đó, không chứa toàn bộ cấu hình bảo mật đã đồng bộ.
  • Thao tác: Trên FDM, chọn Device > Backup and Restore > View Configuration > Backup.

2. Restore Cấu Hình​

  • Lưu ý quan trọng: Bạn không thể Restore cấu hình khi thiết bị đang ở trong cặp HA.

Tình HuốngQuy Trình Restore
Restore trên thiết bị Active/StandbyBắt buộc phải Break HA trước. Sau khi Restore thành công, bạn phải cấu hình lại HA.
Thay thế thiết bị bị lỗi (RMA)1. Break HA: Ngắt kết nối HA trên thiết bị còn lại.
2. Cấu hình lại thiết bị mới: Cấu hình Initial Setup cho thiết bị mới.
3. Restore: Restore bản Backup lên thiết bị mới.
4. Cấu hình lại HA: Thiết lập lại cặp HA giữa thiết bị tốt và thiết bị mới.


- Quy trình Break HA:
  1. Đăng nhập vào FDM của thiết bị đang hoạt động.
  2. Truy cập trang High Availability.
  3. Nhấn vào biểu tượng Gear (bánh răng) và chọn Break HA.
  4. Xác nhận hành động. Cả hai thiết bị sẽ trở về trạng thái độc lập (Standalone)
1763715802356.png



V. Kết Luận​

- Cấu hình High Availability Active/Passive là một bước không thể thiếu để bảo vệ mạng lưới khỏi các sự cố phần cứng hoặc phần mềm bất ngờ. Việc tuân thủ quy trình cấu hình chi tiết qua FDM, đặc biệt là việc thiết lập chính xác các liên kết Failover và Stateful Failover, sẽ đảm bảo quá trình chuyển đổi dự phòng diễn ra nhanh chóng và không làm gián đoạn các phiên kết nối hiện tại. Hơn nữa, việc nắm vững các thao tác kiểm thử Failover và quy trình Backup/Restore trong môi trường HA sẽ giúp quản trị viên tự tin hơn trong việc quản lý và duy trì tính sẵn sàng cao cho hệ thống bảo mật Cisco FTD.
 
Sửa lần cuối:
Bài viết liên quan
[LAB 3] Upgrade/Downgrade OS cho Cisco FTD (Firepower Threat Defense) qua FDM bởi AnhTuIS,
[LAB 2] Cấu hình Backup/restore cấu hình trên FTD dùng FDM bởi AnhTuIS,
[LAB 01 - 2] Cài Đặt Cisco Firepower Threat Defense Virtual (FTDv) trên Môi Trường VMware bởi AnhTuIS,
[LAB 01 - 1] Cài Đặt Cisco Firepower Threat Defense Virtual (FTDv) trên Môi Trường VMware bởi AnhTuIS,
Hướng dẫn Renew và Transfer License trên Cisco Firepower Threat Defense bởi AnhTuIS,
[LAB 04] Cài đặt Cisco FMC trên VMware bởi HanaLink,
Được quan tâm
[LAB 01 - 1] Cài Đặt Cisco Firepower Threat Defense Virtual (FTDv) trên Môi Trường VMware bởi AnhTuIS,
[LAB 2] Cấu hình Backup/restore cấu hình trên FTD dùng FDM bởi AnhTuIS,
[LAB 01 - 2] Cài Đặt Cisco Firepower Threat Defense Virtual (FTDv) trên Môi Trường VMware bởi AnhTuIS,
[LAB 3] Upgrade/Downgrade OS cho Cisco FTD (Firepower Threat Defense) qua FDM bởi AnhTuIS,
Bài viết mới
[LAB 3] Upgrade/Downgrade OS cho Cisco FTD (Firepower Threat Defense) qua FDM bởi AnhTuIS,
[LAB 2] Cấu hình Backup/restore cấu hình trên FTD dùng FDM bởi AnhTuIS,
[LAB 01 - 2] Cài Đặt Cisco Firepower Threat Defense Virtual (FTDv) trên Môi Trường VMware bởi AnhTuIS,
[LAB 01 - 1] Cài Đặt Cisco Firepower Threat Defense Virtual (FTDv) trên Môi Trường VMware bởi AnhTuIS,
Hướng dẫn Renew và Transfer License trên Cisco Firepower Threat Defense bởi AnhTuIS,
[LAB 04] Cài đặt Cisco FMC trên VMware bởi HanaLink,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top