admin 08/01/2026

High Availability (HA) trên FortiGate - Active-Passive để tránh downtime cho doanh nghiệp

Fortigate NAMHI | Giai đoạn 3 | Bài 12

🔁 High Availability (HA) trên FortiGate – Active-Passive để tránh downtime cho doanh nghiệp

Nếu VPN (Bài 10–11) là để “kết nối”, thì HA là để “không bị ngắt”. HA Active-Passive giúp bạn dựng 2 FortiGate chạy theo cặp: 1 con Active xử lý traffic, 1 con Standby đồng bộ cấu hình và sẵn sàng tự động takeover khi thiết bị/đường truyền/port gặp sự cố. Bài này hướng dẫn theo góc nhìn triển khai thực tế: làm đúng – test rõ – vận hành ổn.

⏱️ 40–60 phút 🎯 Level: Trung cấp → Nâng cao 🧰 Dành cho: IT triển khai / IT hệ thống

⬅️ Bài 11: VPN Site-to-Site ➡️ Đi tới Bài 13 (Dual-WAN Failover)

🧭 HA là gì? Vì sao khách doanh nghiệp rất cần?

HA (High Availability) giúp hệ thống firewall có tính sẵn sàng cao. Khi FortiGate là “cửa” Internet, VPN, policy security… thì chỉ cần nó ngừng là toàn hệ thống “đứng”. HA là giải pháp để giảm rủi ro đó.

✅ Giảm downtime khi thiết bị lỗi hoặc phải thay thế
✅ Standby tự đồng bộ cấu hình (không cần restore tay khi có sự cố)
✅ Phù hợp hệ thống có VPN/ERP/camera/VoIP quan trọng

⚠️ HA không thay thế Dual-WAN. HA xử lý “hỏng thiết bị”, còn Dual-WAN xử lý “đứt Internet”. Bài 13 sẽ làm Dual-WAN.

🧩 Các mode HA phổ biến

🔁 Active-Passive (khuyến nghị cho đa số doanh nghiệp)

1 thiết bị Active xử lý traffic
1 thiết bị Standby đồng bộ cấu hình
Failover nhanh, vận hành đơn giản

⚡ Active-Active (ít dùng hơn)

Cả 2 cùng xử lý (theo session/load)
Phức tạp hơn, cần thiết kế kỹ
Thường dùng môi trường lớn/đòi hỏi đặc thù

💡 NAMHI khuyến nghị bắt đầu bằng Active-Passive để ổn định vận hành, nhất là khi khách chưa có đội IT mạnh.

📋 Điều kiện bắt buộc trước khi làm HA

✅ Model & Firmware

2 thiết bị tương thích

Nên cùng model (hoặc cùng series hỗ trợ) và firmware tương thích để sync ổn định.

Khuyến nghị: cùng model + cùng firmware version.

✅ Interface mapping

Port mapping giống nhau

WAN/LAN/VLAN ports phải match đúng giữa 2 con để tránh lỗi sau failover.

Sai mapping = failover xong “mất mạng”.

✅ HA link

Có port làm HA heartbeat

Dùng 1–2 port riêng để heartbeat/sync (không dùng chung với traffic production).

Nên dùng 2 port heartbeat để an toàn.

⚠️ Nếu 2 con đang cấu hình khác nhau quá nhiều, hãy chọn “cấu hình con Primary trước”, rồi join con Secondary vào cluster để sync.

🔌 Sơ đồ đấu dây chuẩn (đỡ lỗi 70%)

Bước 1

Chọn HA heartbeat ports

Chọn 1–2 port trên mỗi FortiGate làm heartbeat (ví dụ port3, port4 hoặc ha1, ha2 tùy model). Kết nối trực tiếp giữa 2 thiết bị.

💡 Nếu có 2 heartbeat links: HA ổn định hơn, tránh false failover khi 1 link chập chờn.

Bước 2

WAN/LAN đấu vào switch/modem giống nhau

Cả 2 FortiGate cần được đấu WAN vào cùng upstream (modem/router/ISP) và LAN vào cùng switch/core (theo đúng port mapping).

Bước 3

Management access

Chuẩn vận hành: có 1 cách quản trị rõ ràng (ví dụ management IP hoặc interface quản trị), tránh “failover xong không vào được GUI”.

1️⃣ Cấu hình HA Active-Passive (lộ trình NAMHI)

Bước 1

Cấu hình con Primary (Active) trước

Làm đầy đủ cấu hình hệ thống (interfaces, VLAN, policy, VPN…). Đây là “source of truth” để đồng bộ sang con Secondary.

Bước 2

Bật HA trên Primary

Mode: Active-Passive
Group Name: ví dụ HA-NAMHI
Group ID: chọn 1 số (ví dụ 10) và 2 đầu phải giống nhau
Password/Key: đặt 1 key chung cho cluster
Heartbeat interfaces: chọn port đã đấu dây

⚠️ Group ID / Password lệch nhau là join không được.

Bước 3

Join con Secondary vào cluster

Trên Secondary: bật HA với cùng Group Name/ID/Key và chọn đúng heartbeat ports. Sau đó chờ thiết bị đồng bộ cấu hình từ Primary.

💡 Sau khi join, Secondary sẽ “ăn cấu hình” từ Primary. Đừng cấu hình lan man trên Secondary trước khi join.

2️⃣ Đồng bộ cấu hình & session – nên bật gì?

🧠 Config sync

Luôn bật để Secondary có cấu hình giống Primary
Đảm bảo port mapping đúng
Kiểm tra trạng thái “in sync”

🔄 Session sync

Giúp giảm gián đoạn session khi failover
Hữu ích cho VPN/VoIP/ERP
Tuỳ môi trường có thể bật theo nhu cầu

💡 Với khách doanh nghiệp có VPN/ERP, NAMHI thường khuyến nghị session sync để trải nghiệm mượt hơn khi failover.

🔍 Test Failover đúng chuẩn (phải test mới bàn giao)

Test 1

Rút dây WAN trên Active

Quan sát Secondary takeover. Kiểm tra Internet/VPN/ERP có phục hồi đúng trong thời gian chấp nhận được.

Test 2

Rút heartbeat link

Nếu dùng 2 heartbeat links: test 1 link đứt không gây false failover.

Test 3

Reboot Active

Test “tình huống xấu nhất”: Active reboot. Secondary phải lên ngay và hệ thống vẫn chạy.

⚠️ Nếu failover xong “mất mạng”, 90% là do port mapping hoặc đấu dây WAN/LAN không đồng nhất giữa 2 con.

❌ Lỗi thường gặp & cách xử lý nhanh (accordion)

❌ Secondary không join được cluster

Group ID / Password không khớp
Heartbeat port chọn sai hoặc chưa cắm dây
Firmware không tương thích

❌ Join được nhưng trạng thái không “in sync”

Port mapping không giống nhau
Interface/VLAN cấu trúc lệch
Heartbeat link không ổn định

❌ Failover xong user mất kết nối lâu

Chưa tối ưu timers / session sync
Upstream switch/modem học MAC lại chậm
Có thể cần tuning theo môi trường thực tế

💡 Nếu khách dùng VoIP/VPN nhiều, ưu tiên session sync và test thực tế theo giờ làm việc.

❌ “False failover” (tự chuyển qua lại) khi không có sự cố

Heartbeat link chập chờn (nên dùng 2 links)
Port/patch cord lỗi
Cần kiểm tra switch path nếu heartbeat đi qua switch

🧩 Kết luận

HA Active-Passive là bước “nâng cấp vận hành” rất quan trọng: khách doanh nghiệp mua sự ổn định. Làm đúng từ đấu dây, port mapping, join cluster, rồi test failover sẽ giúp bạn bàn giao tự tin và support nhẹ nhàng.

➡️ Bài tiếp theo