🗺️ Sơ đồ – VDOM (Virtual Domain)
graph TD
subgraph FGT["FortiGate VM - VDOM Mode"]
Global["Global Config\nHA, NTP, DNS"]
subgraph PROD["VDOM: PROD - Moi truong Production"]
P_if["port3.10 - VLAN10 Client\nport3.20 - VLAN20 Server"]
P_policy["Policy rieng\nAdmin rieng: prod_admin"]
end
subgraph GUEST["VDOM: GUEST - Wifi khach"]
G_if["port3.30 - VLAN30 Guest Wifi"]
G_policy["Policy rieng\nChi cho ra Internet\nAdmin: guest_admin"]
end
end
Internet(["Internet"])
ProdUser["PC nhan vien\nVLAN10/20"]
GuestUser["Dien thoai khach\nVLAN30"]
PROD --> Internet
GUEST --> Internet
ProdUser --> PROD
GuestUser --> GUEST
🗺️ Sơ đồ – HA (High Availability)
graph TD
Internet(["Internet"])
Switch["Switch noi bo"]
subgraph HA["FortiGate HA Cluster"]
Master["FGT-Master\nPriority: 200\nACTIVE\nDang xu ly traffic"]
Slave["FGT-Slave\nPriority: 100\nSTANDBY\nCho san"]
HB["Heartbeat Link\nport4 - port4\nSync cau hinh va session"]
end
Internet --> Master
Master -->|"Neu Master chet Slave len thay"| Slave
Master <-->|"Sync lien tuc"| HB
Slave <--> HB
Master --> Switch
Slave -.->|"Khi failover"| Switch
📚 Lý thuyết cơ bản (Dành cho người mới)
🔰 VDOM là gì?
VDOM (Virtual Domain) = Chia một FortiGate vật lý thành nhiều firewall logic hoàn toàn độc lập.
💡 Hãy nghĩ đến một căn hộ chung cư:
- Mỗi căn hộ (VDOM) có khóa riêng, nội thất riêng, không ai vào được nhà người khác.
- Nhưng tất cả vẫn dùng chung một tòa nhà (FortiGate phần cứng).
Lợi ích: Tiết kiệm chi phí: 1 thiết bị phục vụ nhiều mục đích. Bảo mật tốt hơn: VDOM Production và VDOM Guest hoàn toàn cô lập. Quản lý riêng biệt: mỗi VDOM có admin riêng.
🔰 HA (High Availability) là gì?
HA = Cơ chế đảm bảo luôn hoạt động – không có downtime (thời gian ngừng hoạt động).
💡 Giống như máy phát điện dự phòng:
- Khi điện lưới (FortiGate chính) mất, máy phát (FortiGate dự phòng) tự động bật.
- Người dùng hầu như không cảm nhận được sự gián đoạn.
| Active-Passive (A-P) | Active-Active (A-A) | |
|---|---|---|
| Hoạt động | 1 chính + 1 dự phòng chờ | Cả 2 cùng xử lý traffic |
| Khi có sự cố | Passive lên thay trong vài giây | Traffic tự phân tán sang cái còn lại |
| Độ phức tạp | Đơn giản hơn | Phức tạp hơn |
| Phổ biến | Rất phổ biến trong lab/thực tế | Dùng khi cần hiệu suất cao |
🔰 Heartbeat là gì?
Heartbeat = "Nhịp tim" – tín hiệu liên tục giữa 2 FortiGate để kiểm tra nhau còn sống không.
Cứ mỗi vài giây, Master gửi tín hiệu "Tôi vẫn ổn!". Nếu Slave không nhận được tín hiệu này trong một thời gian → Slave biết Master đã chết → tự động lên thay.
🛠️ Thực hành
Bật VDOM Mode và tạo VDOM
# Bật VDOM mode
config system global
set vdom-admin enable
end
# Tạo 2 VDOM mới
config vdom
edit "PROD"
next
edit "GUEST"
next
end
# Gán interface vào từng VDOM
config system interface
edit "port3.10"
set vdom "PROD"
next
edit "port3.30"
set vdom "GUEST"
next
endCấu hình HA – FortiGate Master
config system ha
set mode a-p
set group-name "HA_LAB"
set group-id 1
set password HA_SecretP@ss
set hbdev "port4" 50
set priority 200
endCấu hình HA – FortiGate Slave
config system ha
set mode a-p
set group-name "HA_LAB"
set group-id 1
set password HA_SecretP@ss
set hbdev "port4" 50
set priority 100
endKiểm tra trạng thái HA
get system ha status
diagnose sys ha status🔒 Bảo mật cần nhớ
- ✅ Admin của VDOM này không thể truy cập VDOM khác.
- ✅ Backup cấu hình trước khi thay đổi HA.
- ✅ Test failover định kỳ (DR drill) – tắt Master để xem Slave có lên không.
📖 Case thực tế
Công ty có 2 bộ phận: Production (data nhạy cảm) và Guest Wifi (cho khách tham quan).
Dùng VDOM để: VDOM PROD – admin IT quản lý, policy nghiêm ngặt. VDOM GUEST – admin lễ tân quản lý, chỉ mở Internet.
2 môi trường hoàn toàn cô lập, không ảnh hưởng nhau.
📅 Tuần 7/12 – FortiOS 7.6.6 Administration Lab