Tuần 12 – Tổng kết, Go-Live Checklist & Bài Lab Cuối Kỳ

🗺️ Sơ đồ Topology Hoàn chỉnh – Lab Cuối Kỳ

graph TD
    Internet(["Internet"])
    Cloud0["Cloud0 - NAT\nGateway: 192.168.1.254"]
    Cloud1["Cloud1 - Bridge\nKet noi may host"]
    HOST["May Host\nTruy cap GUI FortiGate"]

    subgraph FGT["FGT-PROD-01 - FortiOS 7.6.6"]
        port1["port1 MGMT\n192.168.1.1/24"]
        port2["port2 WAN\nDHCP tu Cloud0"]

        subgraph VLAN_IF["VLAN Interfaces"]
            v10["port3.10 - VLAN10\n10.10.10.1/24\nDHCP Server"]
            v20["port3.20 - VLAN20\n10.10.20.1/24\nStatic IP"]
        end

        subgraph Policies["Firewall Policies"]
            P1["Policy 1: CLIENT to INET\nAccept + NAT + Log all"]
            P2["Policy 2: CLIENT to SERVER\nAccept HTTP/HTTPS/SSH"]
            P100["Policy 100: DENY_ALL\nDeny + Log all"]
        end

        subgraph Services["Dich vu dang chay"]
            NTP["NTP: time.google.com"]
            SyslogS["Syslog to 10.10.20.100:514"]
            LDAPS["LDAP to AD DC 10.10.20.50"]
            SNMPS["SNMP v2c\nCommunity: lab-community"]
        end

        subgraph AdminAccounts["Tai khoan Admin"]
            na["netadmin\nProfile: net_operator"]
            sa["secadmin\nProfile: super_admin"]
            ro["ro_viewer\nProfile: read_only"]
        end
    end

    subgraph SW["SW-LAB-01 - Cisco IOSv-L2"]
        e00["e0/0 - Trunk\nVLAN10 + VLAN20"]
        e01["e0/1 - Access VLAN10"]
        e02["e0/2 - Access VLAN20"]
    end

    subgraph VLAN10_net["VLAN10 - Client Network"]
        PC1["PC-Client-01\n10.10.10.100 DHCP"]
        PC2["PC-Client-02\n10.10.10.101 DHCP"]
    end

    subgraph VLAN20_net["VLAN20 - Server Network"]
        SRV["Web Server\n10.10.20.100"]
        DC["AD Domain Controller\n10.10.20.50"]
        LogSrv["Syslog Server\n10.10.20.100"]
    end

    Internet --> Cloud0 --> port2
    Cloud1 --> port1
    HOST --> Cloud1
    v10 --> e00 --> e01 --> PC1
    e01 --> PC2
    v20 --> e00 --> e02 --> SRV
    e02 --> DC

📋 Ôn tập nhanh 12 tuần

Tuần	Chủ đề	Kiến thức chính
1	Tổng quan FortiOS	FortiOS là gì, PnetLab, khởi động lab, đổi mật khẩu
2	Admin & Phân quyền	Admin profile, tài khoản named, password policy
3	CLI Basics	Cú pháp config/get/show, lệnh thường dùng
4	Interface & VLAN	Physical/VLAN interface, Trunk/Access, Static route
5	Firewall Policy & NAT	Policy components, NAT, Flow/Proxy inspection
6	Logging & SNMP	Log categories, Syslog, SNMP v2c/v3
7	VDOM & HA	VDOM tách môi trường, HA Active-Passive
8	Certificates & SSL	Certificate types, TLS, SSL Inspection
9	DHCP, DNS, SD-WAN	DHCP server, DNS forwarder, SD-WAN 2 ISP
10	Automation & Backup	Automation Stitch, backup strategy, change management
11	Authentication LDAP	LDAP/AD integration, user group, policy theo user
12	Tổng kết & Go-Live	Checklist, lab cuối kỳ

✅ Go-Live Checklist – Trước khi đưa vào Production

🔐 Bảo mật tài khoản

Đổi mật khẩu admin mặc định

Tạo tài khoản named riêng cho từng thành viên

Bật password policy (12 ký tự, expire 90 ngày)

Không dùng super_admin cho vận hành hàng ngày

🌐 Mạng và Interface

Cấu hình interface + VLAN đúng theo thiết kế

Kiểm tra trunk port trên Switch Cisco

Static route / SD-WAN đã hoạt động

Test ping từ FortiGate ra Internet

📜 Firewall Policy

Policy theo nguyên tắc least-privilege (chỉ cho phép đủ dùng)

NAT bật đúng cho policy ra Internet

Inspection profile (AV, Web Filter) áp dụng cho policy ra Internet

Policy DENY_ALL ở cuối

Logtraffic bật cho tất cả policy quan trọng

📊 Logging & Monitoring

Bật log disk

Syslog gửi ra server giám sát

SNMP cấu hình từ host giám sát xác định

Test nhận log trên Syslog server

💾 Backup

Backup cấu hình ban đầu

Test restore từ backup

Script backup định kỳ đã chạy

Backup lưu ngoài thiết bị

🔒 Security Final

Certificate GUI không phải self-signed mặc định

HTTPS/SSH chỉ mở trên interface quản trị, không trên WAN

LDAP/AD dùng LDAPS (port 636) nếu có thể

HA test failover thành công (nếu có HA)

Tài liệu hóa cấu hình hoàn chỉnh

🎯 Bài Lab Cuối Kỳ – Yêu cầu

Dựng lại toàn bộ từ đầu mà không xem tài liệu:

Yêu cầu	Chi tiết
Hostname	FGT-PROD-01
VLAN10 Client	10.10.10.0/24, DHCP server (pool .100-.200)
VLAN20 Server	10.10.20.0/24, static IP
WAN	DHCP từ Cloud0
Policy CLIENT→INET	Accept, NAT, Log all
Policy CLIENT→SERVER	Accept, HTTP/HTTPS/SSH, Log all
Admin tách quyền	netadmin, secadmin, ro_viewer
Password policy	12 ký tự, expire 90 ngày
Syslog	Gửi đến 10.10.20.100:514
SNMP	Community lab-community, host 10.10.20.100
Backup script	Chạy mỗi tuần qua TFTP
LDAP	Kết nối DC 10.10.20.50, group IT-STAFF
NTP	time.google.com, timezone +7

📖 Lời khuyên cho sinh viên mới bắt đầu

🎓 Hành trình học Network:

1. Đừng sợ sai – Lab là nơi để thử nghiệm và học từ lỗi.

2. Đọc log – Khi không hiểu chuyện gì đang xảy ra, hãy đọc log.

3. Tra tài liệu chính thức – Fortinet có documentation rất đầy đủ tại docs.fortinet.com.

4. Thực hành > Lý thuyết – Gõ lệnh, làm lab, không chỉ đọc.

5. Mỗi lần cấu hình = Backup trước – Thói quen này sẽ cứu bạn nhiều lần.

📚 Tài liệu tham khảo

FortiOS 7.6 Admin Guide – docs.fortinet.com/document/fortigate/7.6.0/administration-guide
FortiOS 7.6 CLI Reference – docs.fortinet.com/document/fortigate/7.6.0/cli-reference
PnetLab Documentation – pnetlab.com/pages/documentation
Fortinet NSE Training – training.fortinet.com (NSE1, NSE2 miễn phí)

📅 Tuần 12/12 – FortiOS 7.6.6 Administration Lab – HOÀN THÀNH! 🎉

📘 Tuần 12 – Tổng kết, Go-Live Checklist & Bài Lab Cuối Kỳ