Cấu hình High Availability (HA) hay còn được gọi là cấu hình Failover cho 2 thiết bị Cisco Firepower Threat Defense (FTD) giống nhau kết nối với nhau thông qua liên kết chuyển đổi dự phòng chuyên biệt, trong đó ta sẽ cấu hình theo mode Active/Standby nghĩa là sẽ có 1 thiết bị đóng vai trò Active và toàn bộ traffic sẽ đi qua thiết bị Active này, còn thiết bị Standby không chủ động truyền lưu lượng nhưng sẽ được đồng bộ hóa toàn bộ cấu hình và thông tin trạng thái khác từ thiết bị Active. Khi chuyển đổi dự phòng diễn ra, thiết bị Standby sẽ chuyển lên làm Active và xử lý traffic.
Để chuyển đổi dự phòng diễn ra, yêu cầu về phần cứng, giao diện, phần mềm và trạng thái của thiết bị Active sẽ được theo dõi để đảm bảo đáp ứng được các điều kiện chuyển đổi dự phòng. Chúng ta sẽ điểm qua đổi chút yêu cầu về việc triển khai HA cho 2 thiết bị FTD.
Để chuyển đổi dự phòng diễn ra, yêu cầu về phần cứng, giao diện, phần mềm và trạng thái của thiết bị Active sẽ được theo dõi để đảm bảo đáp ứng được các điều kiện chuyển đổi dự phòng. Chúng ta sẽ điểm qua đổi chút yêu cầu về việc triển khai HA cho 2 thiết bị FTD.
- Yêu cầu phần cứng:
- Có cùng model.
- Có cùng số lượng và loại Interface.
- Lưu ý:
- Đối với dòng Firepower 4100/9300, tất cả các giao diện phải được cấu hình sẵn trong FXOS giống hệt nhau trước khi bạn cấu hình HA. Nếu bạn thay đổi giao diện sau khi bật HA, hãy thực hiện các thay đổi giao diện trong FXOS trên thiết bị Standby, sau đó thực hiện các thay đổi tương tự trên thiết bị Active.
- Nếu bạn đang sử dụng các thiết bị có kích thước bộ nhớ flash khác nhau trong cấu hình HA, hãy đảm bảo thiết bị có bộ nhớ flash nhỏ hơn có đủ dung lượng để chứa các tệp image, phần mềm và tệp cấu hình. Nếu không, đồng bộ hóa cấu hình từ thiết bị có bộ nhớ flash lớn hơn sang thiết bị có bộ nhớ flash nhỏ hơn sẽ không thành công.
- Yêu cầu phần mềm:
- Ở cùng chế độ tường lửa (Routed hoặc Transparent).
- Có cùng phiên bản phần mềm.
- Ở trong cùng một Domain hoặc Group trên Cisco Management Center (FMC).
- Có cùng cấu hình NTP.
- Được triển khai đầy đủ trên FMC với mọi thay đổi đều đã được Commited.
- Chưa cấu hình DHCP hoặc PPPoE trong bất kỳ Interface nào.
- Lưu ý: Với dòng Firepower 4100/9300 yêu cầu phải có cùng chế độ giảm tải luồng (đều được bật hoặc cả hai đều bị tắt.
- Yêu cầu về License:
- Được cài đặt License giống nhau.
- Cài đặt Smart License trên cả 2 thiết bị
- Lưu ý: Khi cấu hình HA, FMC sẽ dựa trên Cisco Smart Software Manager để đồng bộ license từ thiết bị Active cho thiết bị Standby nếu tài khoản của bạn đã mua và kích hoạt quyền đầy đủ, trong trường hợp nếu tài khoản của bạn không đáp ứng được thì tài khoản của bạn sẽ bị Cảnh báo Out-of-Compliance cho đến khi bạn thanh toán đầy đủ các license cần thiết.
Last edited: