ในยุคที่ภัยคุกคามทางไซเบอร์มีความซับซ้อนและปริมาณการรับส่งข้อมูลเครือข่ายเติบโตขึ้นอย่างต่อเนื่อง การมี Firewall เพียงอุปกรณ์เดียวอาจไม่เพียงพอต่อความต้องการขององค์กรระดับใหญ่อีกต่อไป Cisco Firepower Threat Defense (FTD) Clustering จึงเป็นคำตอบที่ตอบโจทย์ทั้งด้าน High Availability, Scalability และ Performance ในคราวเดียวกัน
Cisco FTD Clustering คือการนำ FTD หลายตัวมาทำงานร่วมกันเสมือนเป็นอุปกรณ์เดียว โดยแต่ละโหนดจะแบ่งภาระการประมวลผล Traffic ออกจากกัน ทำให้สามารถรองรับ Throughput ที่สูงขึ้นได้หลายเท่า พร้อมทั้งยังคงความต่อเนื่องของการทำงาน (Failover) หากโหนดใดโหนดหนึ่งเกิดปัญหาขึ้น
บทความนี้จะพาไปดูขั้นตอนการติดตั้ง Cisco FTD Clustering ครอบคลุมตั้งแต่การทำความเข้าใจสถาปัตยกรรมพื้นฐาน ไปจนถึงการกำหนดค่าจริงบนระบบ
สถาปัตยกรรมของ Cisco FTD Clustering
Cisco FTD Clustering ประกอบด้วยโหนดหลายตัวที่ทำงานร่วมกัน โดยมีบทบาทแบ่งออกเป็น 2 ประเภท ได้แก่
- Control Node (Primary) — โหนดที่ทำหน้าที่บริหารจัดการ Cluster ทั้งหมด รับผิดชอบการสื่อสารกับ Firepower Management Center (FMC) และกำหนดนโยบายให้กับโหนดอื่น ๆ ใน Cluster
- Data Node (Secondary) — โหนดที่รับ Traffic จริงและประมวลผล ทำงานภายใต้การควบคุมของ Control Node โดยสามารถมีได้สูงสุด 16 โหนดต่อ Cluster (ขึ้นอยู่กับรุ่นของ Hardware)
การสื่อสารระหว่างโหนดทั้งหมดเกิดขึ้นผ่านลิงก์พิเศษที่เรียกว่า Cluster Control Link (CCL) ซึ่งใช้สำหรับแลกเปลี่ยนสถานะ Session (State Synchronization), Health Monitoring และ Configuration Replication
รูปแบบ Interface ของ Cluster
หนึ่งในการตัดสินใจที่สำคัญที่สุดในการออกแบบ Cluster คือการเลือกรูปแบบ Interface ซึ่งมีอยู่ 2 แบบหลัก ได้แก่ Individual Interface และ Spanned EtherChannel
1 Individual Interface
ในโหมด Individual Interface แต่ละโหนดใน Cluster จะมี IP Address ของตัวเองบน Interface แต่ละพอร์ต ทำให้แต่ละโหนดดูเหมือนเป็น Firewall แยกกันจากมุมมองของ Routing
ลักษณะการทำงาน
- แต่ละโหนดมี IP Address เป็นของตัวเอง (ทั้ง Inside และ Outside Interface)
- ใช้ Routing Protocol (เช่น OSPF หรือ ECMP) เพื่อกระจาย Traffic ไปยังแต่ละโหนด
ข้อดี
- ตั้งค่าได้ง่ายกว่าในบางสถานการณ์
- เหมาะกับ Environment ที่มี Routing Protocol อยู่แล้ว
- รองรับ Asymmetric Routing ได้ดีกว่า
ข้อเสีย
- ต้องมีการจัดการ IP Address หลายชุด
- Load Balancing ขึ้นอยู่กับ Routing Protocol ซึ่งอาจไม่สม่ำเสมอ
- มีความซับซ้อนในการ Configure Routing มากกว่า
ตัวอย่าง Topology Individual Interface
Internet
|
[Router]
/ \
[FTD1] [FTD2] <--- แต่ละตัวมี IP ของตัวเอง
\ /
[Switch]
|
[Internal Network]
2 Spanned EtherChannel
ในโหมด Spanned EtherChannel ทุกโหนดใน Cluster จะแชร์ IP Address เดียวกัน โดย Interface ของทุกโหนดจะถูกรวมเข้าเป็น EtherChannel เดียว ทำให้ Network มองเห็นเป็นอุปกรณ์เดียว
ลักษณะการทำงาน
- ทุกโหนดแชร์ IP Address เดียวกัน (Shared IP)
- Switch ที่เชื่อมต่ออยู่จะต้องรองรับ vPC (Virtual Port Channel) หรือ VSS เพื่อทำ Multi-chassis EtherChannel
- เหมาะสำหรับทั้ง Routed Mode และ Transparent Mode
ข้อดี
- Load Balancing มีประสิทธิภาพสูงและสม่ำเสมอกว่า
- มองเห็นเป็นอุปกรณ์เดียวจาก Network มุมมอง
- ลดความซับซ้อนด้าน IP Address Management
- รองรับ Director-based Connection Forwarding ที่มีประสิทธิภาพสูง
ข้อเสีย
- ต้องการ Switch ที่รองรับ PC,vPC
- ซับซ้อนกว่าในการตั้งค่าฝั่ง Switch
ตัวอย่าง Topology Spanned EtherChannel
Internet | [Router/Switch with vPC] | <--- (EtherChannel) [FTD1][FTD2][FTD3] <--- แชร์ IP เดียวกัน | <--- (EtherChannel) [Switch with vPC] | [Internal Network]
ขั้นตอนการ Deploy Cisco FTD Clustering
โดยก่อนการสร้าง Cluster ให้ทำการ Add FTD มายัง FMC ก่อนโดยสามารถดูขั้นตอนได้ที่ วิธีการเริ่ม Configure Cisco FTD และ FMC และมีรายการข้อมูลที่ต้องเตรียมเช่น IP Address และ Subnet สำหรับ Cluster Control Link(CCL) ,Cluster Key และตัว Switch ที่ต่อกับ Interface ที่จะทำ Cluster Control Link(CCL) ต้องเปิด jumbo frame ไว้โดยขนาดที่ต้องใช้เป็น MTU = 1654 แต่สามารถเปิดเป็น 9000 เลยก็ได้ โดยในตัวอย่างนี้จะเป็นขั้นตอนการตั้งค่าบน FTD Virtual (FTDv) ซึ่งใช้เทคโนโลยี VXLAN ในการสร้าง Cluster Control Link แทนที่จะเป็น Physical Interface แบบปกติ
ขั้นตอนที่ 1: เข้าสู่หน้า Device Management บน FMC ไปที่ Devices > Device Management คลิกปุ่ม Add แล้วเลือก Cluster
ขั้นตอนที่ 2: กำหนดค่า Cluster Configuration กรอกข้อมูลในฟิลด์ต่าง ๆ ดังนี้
Cluster Name — ตั้งชื่อ Cluster ที่ต้องการ (เช่น FTD-Cluster)
Cluster Key — กำหนด Key สำหรับ Authentication ระหว่างโหนด
Control Node — เลือก FTD ที่ต้องการให้เป็น Control Node
CCL Interface — เลือก Interface ที่จะใช้เป็น CCL
CCL IP Network — กำหนด Subnet สำหรับ CCL ทั้ง VNI และ VTEP Network และ IP (เช่น 192.168.5.224/27)
จากนั้นสามารถกด Add a data node เพื่อเพื่ม data node มายัง Cluster แล้วใส่ VTEP IP ของ แต่ละ Node ได้เลยครับหรือจะเพิ่มหลังสร้าง Cluster เสร็จก็ได้ครับ เมื่อตั้งค่าเสร็จแล้วกด Continue และ Save ได้เลยครับ
หลังจากนั้นรอระบบสร้าง Cluster ให้สักครู่โดยหลังจากสร้างเสร็จสามารถกดที่เมนูที่อยู่ข้างๆEdit (ดินสอ) เพื่อทำการเพิ่ม Data Node หรือแก้ไข Cluster ได้โดยถ้าเกิด Data Node Fail ตอน Deploy ขึ้นมาสามารถ ฺBreak Node ออกไปก่อนได้
การตรวจสอบและ Verify การทำงานของ Cluster
หลังจากตั้งค่าเสร็จสิ้นต้องการตรวจสอบว่า Cluster ทำงานถูกต้องไปที่ System > Health > Health Monitor เพื่อดู Health ของ Cluster หรือ Load Distribution และการทำงานต่างๆได้
