@xdev-asia/xdev-knowledge-mcp 1.0.54 → 1.0.56

package/content/series/devsecops/vyos-tu-co-ban-den-nang-cao/chapters/01-vyos-tu-co-ban-den-nang-cao/lessons/08-bai-8-static-routing-va-policy-based-routing.md

@@ -0,0 +1,85 @@
+---
+id: 019d65ef-d36f-773e-bf0a-9e36c62f858f
+title: 'Bài 8: Static Routing và Policy-Based Routing'
+slug: bai-8-static-routing-va-policy-based-routing
+description: >-
+  Cấu hình định tuyến tĩnh (Static Routing) và Policy-Based Routing trên VyOS, ví dụ thực tế, lab và tổng kết.
+duration_minutes: 150
+is_free: true
+video_url: null
+sort_order: 8
+section_title: "VyOS từ Cơ bản đến Nâng cao"
+course:
+  id: 019d65ef-d36f-773e-bf0a-9e2efc5e19df
+  title: VyOS từ Cơ bản đến Nâng Cao
+  slug: vyos-tu-co-ban-den-nang-cao
+---
+<img src="/storage/uploads/2026/04/vyos-08-routing-pbr.png" alt="Static Routing và Policy-Based Routing" style="display:block;margin:24px auto 32px auto;max-width:700px;width:100%;border-radius:18px;box-shadow:0 4px 32px #0002" loading="lazy" />
+
+<h2>Giới thiệu về Static Routing và Policy-Based Routing trên VyOS</h2>
+<p>Bài học này hướng dẫn cấu hình <strong>Static Routing</strong> (định tuyến tĩnh) và <strong>Policy-Based Routing</strong> (định tuyến theo chính sách) trên VyOS 1.4.x/1.5 rolling release. Đây là các kỹ thuật quan trọng để kiểm soát đường đi của gói tin trong mạng.</p>
+
+<h3>1. Định tuyến tĩnh (Static Routing)</h3>
+<p>Static route cho phép chỉ định đường đi cố định cho các mạng đích.</p>
+<pre><code class="language-bash">set protocols static route 10.10.20.0/24 next-hop 192.168.10.2
+set protocols static route 0.0.0.0/0 next-hop 192.168.10.254
+set protocols static route 192.168.30.0/24 blackhole
+</code></pre>
+<ul>
+  <li><strong>Failover route với interface health:</strong></li>
+</ul>
+<pre><code class="language-bash">set protocols static route 0.0.0.0/0 next-hop 192.168.10.254
+set protocols static route 0.0.0.0/0 next-hop 192.168.20.254 distance 10
+set protocols static route 0.0.0.0/0 next-hop 192.168.20.254 check-gateway ping
+</code></pre>
+
+<h3>2. Policy-Based Routing (PBR)</h3>
+<p>PBR cho phép định tuyến dựa trên nguồn, đích, giao thức hoặc cổng.</p>
+<pre><code class="language-bash">set policy route PBR-OUT rule 10 source address 192.168.10.0/24
+set policy route PBR-OUT rule 10 set table 100
+set interfaces ethernet eth0 policy route PBR-OUT
+set protocols static table 100 route 0.0.0.0/0 next-hop 203.0.113.1
+</code></pre>
+<ul>
+  <li><strong>Routing nhiều uplink theo nguồn:</strong></li>
+</ul>
+<pre><code class="language-bash">set policy route MULTI-WAN rule 20 source address 192.168.20.0/24
+set policy route MULTI-WAN rule 20 set table 200
+set protocols static table 200 route 0.0.0.0/0 next-hop 198.51.100.1
+</code></pre>
+
+<h3>3. VRF (Virtual Routing and Forwarding) cơ bản</h3>
+<pre><code class="language-bash">set vrf name VRF1 table 10
+set interfaces ethernet eth2 vrf VRF1
+set protocols static table 10 route 0.0.0.0/0 next-hop 10.10.10.2
+</code></pre>
+
+<h3>4. Ví dụ thực tế & sơ đồ mạng</h3>
+<pre><code>+-------------------+      +-------------------+
+|   VyOS Router     |------|   ISP1           |
+| 192.168.10.1/24   |      | 203.0.113.1      |
+| 192.168.20.1/24   |      +------------------+
++-------------------+      +------------------+
+           |                        |
+      LAN, WAN1, WAN2           Internet
+</code></pre>
+
+<h3>5. Lab thực hành: Static Routing & PBR</h3>
+<ol>
+  <li>Đăng nhập VyOS, xác định các interface và uplink.</li>
+  <li>Cấu hình static route, PBR, VRF như trên.</li>
+  <li>Commit và save cấu hình:</li>
+</ol>
+<pre><code class="language-bash">commit
+save
+</code></pre>
+<ol start="4">
+  <li>Kiểm tra định tuyến:</li>
+</ol>
+<pre><code class="language-bash">show ip route
+show policy route
+show vrf
+</code></pre>
+
+<h3>6. Tổng kết</h3>
+<p>Bạn đã biết cách cấu hình định tuyến tĩnh, policy-based routing và VRF trên VyOS, ứng dụng vào các kịch bản đa uplink, phân đoạn mạng và kiểm soát đường đi gói tin.</p>

package/content/series/devsecops/vyos-tu-co-ban-den-nang-cao/chapters/01-vyos-tu-co-ban-den-nang-cao/lessons/09-bai-9-dynamic-routing-ospf.md

@@ -0,0 +1,81 @@
+---
+id: 019d65ef-d36f-773e-bf0a-9e37dfd74e6b
+title: 'Bài 9: Dynamic Routing — OSPF'
+slug: bai-9-dynamic-routing-ospf
+description: >-
+  Cấu hình định tuyến động OSPF trên VyOS, lý thuyết, ví dụ thực tế, lab và tổng kết.
+duration_minutes: 170
+is_free: true
+video_url: null
+sort_order: 9
+section_title: "VyOS từ Cơ bản đến Nâng cao"
+course:
+  id: 019d65ef-d36f-773e-bf0a-9e2efc5e19df
+  title: VyOS từ Cơ bản đến Nâng cao
+  slug: vyos-tu-co-ban-den-nang-cao
+---
+<img src="/storage/uploads/2026/04/vyos-09-ospf.png" alt="Dynamic Routing — OSPF" style="display:block;margin:24px auto 32px auto;max-width:700px;width:100%;border-radius:18px;box-shadow:0 4px 32px #0002" loading="lazy" />
+
+<h2>Giới thiệu về OSPF trên VyOS</h2>
+<p>Bài học này hướng dẫn cấu hình <strong>OSPF</strong> (Open Shortest Path First) trên VyOS 1.4.x/1.5 rolling release. OSPF là giao thức định tuyến động phổ biến trong các hệ thống mạng doanh nghiệp.</p>
+
+<h3>1. Kiến thức cơ bản về OSPF</h3>
+<ul>
+  <li><strong>Area</strong>: Vùng logic để chia nhỏ mạng OSPF.</li>
+  <li><strong>LSA</strong>: Link State Advertisement, các loại LSA (Type 1, 2, 3...)</li>
+  <li><strong>Cost</strong>: Trọng số đường đi, ảnh hưởng đến lựa chọn đường.</li>
+  <li><strong>SPF</strong>: Thuật toán Dijkstra tính đường đi ngắn nhất.</li>
+</ul>
+
+<h3>2. Cấu hình OSPF cơ bản</h3>
+<pre><code class="language-bash">set protocols ospf area 0 network 192.168.10.0/24
+set protocols ospf area 0 network 192.168.20.0/24
+set protocols ospf area 1 network 10.10.10.0/24
+set protocols ospf parameters router-id 1.1.1.1
+set protocols ospf passive-interface eth2
+set protocols ospf redistribute connected
+set protocols ospf redistribute static
+</code></pre>
+<ul>
+  <li><strong>OSPF Unnumbered & ECMP:</strong></li>
+</ul>
+<pre><code class="language-bash">set protocols ospf interface eth3 network-type point-to-point
+set protocols ospf parameters ecmp-limit 4
+</code></pre>
+
+<h3>3. OSPF Authentication</h3>
+<pre><code class="language-bash">set protocols ospf area 0 authentication md5
+set protocols ospf area 0 authentication-key-id 1 md5-key "VyOSSecret"
+</code></pre>
+
+<h3>4. Kiểm tra trạng thái OSPF</h3>
+<pre><code class="language-bash">show ip ospf neighbor
+show ip ospf route
+show ip ospf database
+</code></pre>
+
+<h3>5. Sơ đồ mạng ví dụ</h3>
+<pre><code>+---------+     +---------+     +---------+
+| VyOS 1 |-----| VyOS 2 |-----| VyOS 3 |
+| Area 0 |     | Area 0 |     | Area 1 |
++---------+     +---------+     +---------+
+</code></pre>
+
+<h3>6. Lab thực hành: OSPF Multi-Area</h3>
+<ol>
+  <li>Cấu hình OSPF trên 3 router VyOS như sơ đồ.</li>
+  <li>Thiết lập area, router-id, network, authentication.</li>
+  <li>Commit và save cấu hình:</li>
+</ol>
+<pre><code class="language-bash">commit
+save
+</code></pre>
+<ol start="4">
+  <li>Kiểm tra trạng thái OSPF, neighbor, route.</li>
+</ol>
+<pre><code class="language-bash">show ip ospf neighbor
+show ip ospf route
+</code></pre>
+
+<h3>7. Tổng kết</h3>
+<p>Bạn đã biết cách cấu hình OSPF trên VyOS, ứng dụng vào các hệ thống mạng doanh nghiệp với nhiều area, authentication và kiểm soát định tuyến động.</p>

package/content/series/devsecops/vyos-tu-co-ban-den-nang-cao/chapters/01-vyos-tu-co-ban-den-nang-cao/lessons/10-bai-10-dynamic-routing-bgp.md

@@ -0,0 +1,84 @@
+---
+id: 019d65ef-d36f-773e-bf0a-9e387917d59e
+title: 'Bài 10: Dynamic Routing — BGP'
+slug: bai-10-dynamic-routing-bgp
+description: >-
+  Cấu hình định tuyến động BGP trên VyOS, lý thuyết, ví dụ thực tế, lab và tổng kết.
+duration_minutes: 180
+is_free: true
+video_url: null
+sort_order: 10
+section_title: "VyOS từ Cơ bản đến Nâng cao"
+course:
+  id: 019d65ef-d36f-773e-bf0a-9e2efc5e19df
+  title: VyOS từ Cơ bản đến Nâng cao
+  slug: vyos-tu-co-ban-den-nang-cao
+---
+<img src="/storage/uploads/2026/04/vyos-10-bgp.png" alt="Dynamic Routing — BGP" style="display:block;margin:24px auto 32px auto;max-width:700px;width:100%;border-radius:18px;box-shadow:0 4px 32px #0002" loading="lazy" />
+
+<h2>Giới thiệu về BGP trên VyOS</h2>
+<p>Bài học này hướng dẫn cấu hình <strong>BGP</strong> (Border Gateway Protocol) trên VyOS 1.4.x/1.5 rolling release. BGP là giao thức định tuyến động tiêu chuẩn cho các hệ thống mạng lớn, ISP và kết nối đa nhà cung cấp.</p>
+
+<h3>1. Kiến thức cơ bản về BGP</h3>
+<ul>
+  <li><strong>AS (Autonomous System)</strong>: Hệ thống tự trị.</li>
+  <li><strong>iBGP vs eBGP</strong>: iBGP (nội bộ), eBGP (liên kết ngoài).</li>
+  <li><strong>Path Selection</strong>: Quy tắc chọn đường đi tốt nhất.</li>
+</ul>
+
+<h3>2. Cấu hình BGP cơ bản</h3>
+<pre><code class="language-bash">set protocols bgp 65001 parameters router-id 1.1.1.1
+set protocols bgp 65001 neighbor 2.2.2.2 remote-as 65002
+set protocols bgp 65001 neighbor 2.2.2.2 address-family ipv4-unicast
+set protocols bgp 65001 network 192.168.10.0/24
+set protocols bgp 65001 network 10.10.10.0/24
+</code></pre>
+<ul>
+  <li><strong>Route-map, prefix-list, AS-path:</strong></li>
+</ul>
+<pre><code class="language-bash">set policy prefix-list PL-OUT rule 10 action permit prefix 192.168.10.0/24
+set policy route-map RM-OUT rule 10 action permit
+set policy route-map RM-OUT rule 10 match ip address prefix-list PL-OUT
+set protocols bgp 65001 neighbor 2.2.2.2 route-map export RM-OUT
+set protocols bgp 65001 neighbor 2.2.2.2 as-path-prepend '65001 65001'
+</code></pre>
+
+<h3>3. BGP Communities, Route Reflector, IPv6</h3>
+<pre><code class="language-bash">set protocols bgp 65001 neighbor 3.3.3.3 remote-as 65001
+set protocols bgp 65001 neighbor 3.3.3.3 route-reflector-client
+set protocols bgp 65001 neighbor 2.2.2.2 address-family ipv6-unicast
+set protocols bgp 65001 neighbor 2.2.2.2 extended-nexthop
+set protocols bgp 65001 neighbor 2.2.2.2 soft-reconfiguration inbound
+</code></pre>
+
+<h3>4. Kiểm tra trạng thái BGP</h3>
+<pre><code class="language-bash">show ip bgp summary
+show ip bgp
+show ip bgp neighbors
+</code></pre>
+
+<h3>5. Sơ đồ mạng ví dụ</h3>
+<pre><code>+---------+     +---------+
+| VyOS 1 |-----| VyOS 2 |
+| AS65001|     | AS65002|
++---------+     +---------+
+</code></pre>
+
+<h3>6. Lab thực hành: BGP Peering 2 AS</h3>
+<ol>
+  <li>Cấu hình BGP trên 2 VyOS với AS khác nhau.</li>
+  <li>Thiết lập neighbor, route-map, prefix-list, as-path-prepend.</li>
+  <li>Commit và save cấu hình:</li>
+</ol>
+<pre><code class="language-bash">commit
+save
+</code></pre>
+<ol start="4">
+  <li>Kiểm tra trạng thái BGP, routes.</li>
+</ol>
+<pre><code class="language-bash">show ip bgp summary
+show ip bgp
+</code></pre>
+
+<h3>7. Tổng kết</h3>
+<p>Bạn đã biết cách cấu hình BGP trên VyOS, ứng dụng vào các hệ thống mạng lớn, đa nhà cung cấp, kiểm soát chính sách định tuyến động.</p>

package/content/series/devsecops/vyos-tu-co-ban-den-nang-cao/chapters/01-vyos-tu-co-ban-den-nang-cao/lessons/11-bai-11-vpn-wireguard-va-openvpn.md

@@ -0,0 +1,87 @@
+---
+id: 019d65ef-d36f-773e-bf0a-9e3982d5a422
+title: 'Bài 11: VPN — WireGuard và OpenVPN'
+slug: bai-11-vpn-wireguard-va-openvpn
+description: >-
+  Hướng dẫn cấu hình VPN trên VyOS với WireGuard và OpenVPN, so sánh hiệu năng, bảo mật, thực hành site-to-site và remote access, routing và firewall cho VPN.
+duration_minutes: 170
+is_free: true
+video_url: null
+sort_order: 11
+section_title: "VyOS từ Cơ bản đến Nâng cao"
+course:
+  id: 019d65ef-d36f-773e-bf0a-9e2efc5e19df
+  title: VyOS từ Cơ bản đến Nâng Cao
+  slug: vyos-tu-co-ban-den-nang-cao
+---
+<img src="/storage/uploads/2026/04/vyos-11-vpn-wireguard.png" alt="VPN — WireGuard và OpenVPN" style="display:block;margin:24px auto 32px auto;max-width:700px;width:100%;border-radius:18px;box-shadow:0 4px 32px #0002" loading="lazy" />
+
+<h2>Giới thiệu VPN trên VyOS: WireGuard và OpenVPN</h2>
+<p>VPN (Virtual Private Network) là giải pháp bảo mật kết nối giữa các site hoặc truy cập từ xa. VyOS hỗ trợ nhiều loại VPN hiện đại như WireGuard, OpenVPN và IPsec. Bài này tập trung vào WireGuard và OpenVPN, hai giải pháp phổ biến với ưu điểm về hiệu năng, bảo mật và cấu hình linh hoạt.</p>
+<h3>WireGuard: Site-to-Site VPN</h3>
+<p><strong>WireGuard</strong> là giao thức VPN hiện đại, đơn giản, hiệu năng cao. Để cấu hình site-to-site giữa hai VyOS:</p>
+<pre><code class="language-bash"># Tạo key pair trên mỗi VyOS
+run generate wireguard key
+# Lấy public key: run generate wireguard pubkey key &lt;private-key&gt;
+
+# Cấu hình WireGuard interface
+set interfaces wireguard wg0 address '10.10.10.1/24'
+set interfaces wireguard wg0 port '51820'
+set interfaces wireguard wg0 private-key '&lt;private-key&gt;'
+
+# Thêm peer
+set interfaces wireguard wg0 peer &lt;peer-public-key&gt; allowed-ips '10.10.10.2/32'
+set interfaces wireguard wg0 peer &lt;peer-public-key&gt; endpoint 'WAN_IP_PEER:51820'
+</code></pre>
+<p>Thực hiện tương tự ở site bên kia, đổi địa chỉ IP và key.</p>
+<h3>WireGuard: Remote Access VPN</h3>
+<p>Cho phép client (laptop, điện thoại) truy cập mạng nội bộ qua WireGuard:</p>
+<pre><code class="language-bash">set interfaces wireguard wg0 address '10.10.20.1/24'
+set interfaces wireguard wg0 port '51820'
+set interfaces wireguard wg0 private-key '&lt;server-private-key&gt;'
+set interfaces wireguard wg0 peer &lt;client-public-key&gt; allowed-ips '10.10.20.2/32'
+</code></pre>
+<p>Client cấu hình tương ứng với public key của server.</p>
+<h3>OpenVPN: Site-to-Site với Pre-Shared Key</h3>
+<pre><code class="language-bash">set interfaces openvpn vtun0 mode site-to-site
+set interfaces openvpn vtun0 local-address '10.20.20.1'
+set interfaces openvpn vtun0 remote-address '10.20.20.2'
+set interfaces openvpn vtun0 shared-secret-key-file '/config/auth/ovpn.key'
+set interfaces openvpn vtun0 local-port '1194'
+set interfaces openvpn vtun0 remote-host '&lt;peer-wan-ip&gt;'
+</code></pre>
+<h3>OpenVPN: Remote Access với Certificates</h3>
+<pre><code class="language-bash">set interfaces openvpn vtun1 mode server
+set interfaces openvpn vtun1 server subnet '10.30.30.0/24'
+set interfaces openvpn vtun1 tls ca-cert-file '/config/auth/ca.crt'
+set interfaces openvpn vtun1 tls cert-file '/config/auth/server.crt'
+set interfaces openvpn vtun1 tls key-file '/config/auth/server.key'
+set interfaces openvpn vtun1 client-cert-required
+</code></pre>
+<h3>So sánh WireGuard, OpenVPN và IPsec</h3>
+<ul>
+  <li><strong>WireGuard</strong>: Hiệu năng cao, cấu hình đơn giản, mã nguồn nhỏ, hỗ trợ tốt trên VyOS 1.4/1.5.</li>
+  <li><strong>OpenVPN</strong>: Linh hoạt, nhiều chế độ, hỗ trợ certificate, nhưng hiệu năng thấp hơn WireGuard.</li>
+  <li><strong>IPsec</strong>: Chuẩn công nghiệp, tích hợp sâu, cấu hình phức tạp hơn.</li>
+</ul>
+<h3>Routing và Firewall cho VPN</h3>
+<p>Sau khi thiết lập tunnel, cần định tuyến traffic và mở firewall:</p>
+<pre><code class="language-bash">set protocols static route 192.168.2.0/24 next-hop 10.10.10.2
+set firewall name VPN-IN default-action accept
+set interfaces wireguard wg0 firewall in name VPN-IN
+</code></pre>
+<h3>Lab thực hành: WireGuard Site-to-Site giữa 2 VyOS</h3>
+<ol>
+  <li>Trên mỗi VyOS, tạo key pair và trao đổi public key.</li>
+  <li>Cấu hình interface wg0 với địa chỉ riêng, port, private key.</li>
+  <li>Thêm peer với public key và endpoint của site bên kia.</li>
+  <li>Định tuyến mạng nội bộ qua tunnel.</li>
+  <li>Kiểm tra kết nối: <code>show interfaces wireguard</code>, <code>ping</code> qua tunnel.</li>
+</ol>
+<pre><code class="language-bash"># Kiểm tra trạng thái WireGuard
+show interfaces wireguard
+# Kiểm tra routing
+show ip route
+</code></pre>
+<h3>Tổng kết</h3>
+<p>Bài này giúp bạn nắm vững cấu hình VPN với WireGuard và OpenVPN trên VyOS, so sánh ưu nhược điểm, thực hành site-to-site và remote access, routing và firewall cho VPN. Hãy thực hành lab để hiểu sâu hơn về vận hành thực tế.</p>

package/content/series/devsecops/vyos-tu-co-ban-den-nang-cao/chapters/01-vyos-tu-co-ban-den-nang-cao/lessons/12-bai-12-vpn-ipsec-site-to-site.md

@@ -0,0 +1,89 @@
+---
+id: 019d65ef-d36f-773e-bf0a-9e3a653e2f50
+title: 'Bài 12: VPN — IPsec Site-to-Site'
+slug: bai-12-vpn-ipsec-site-to-site
+description: >-
+  Hướng dẫn cấu hình IPsec site-to-site trên VyOS, phân biệt policy-based và route-based, tích hợp với Cisco/Palo Alto, lab thực hành với BGP overlay, kiểm tra và khắc phục sự cố.
+duration_minutes: 180
+is_free: true
+video_url: null
+sort_order: 12
+section_title: "VyOS từ Cơ bản đến Nâng cao"
+course:
+  id: 019d65ef-d36f-773e-bf0a-9e2efc5e19df
+  title: VyOS từ Cơ bản đến Nâng Cao
+  slug: vyos-tu-co-ban-den-nang-cao
+---
+<img src="/storage/uploads/2026/04/vyos-12-ipsec.png" alt="VPN — IPsec Site-to-Site" style="display:block;margin:24px auto 32px auto;max-width:700px;width:100%;border-radius:18px;box-shadow:0 4px 32px #0002" loading="lazy" />
+
+<h2>Giới thiệu IPsec VPN trên VyOS</h2>
+<p><strong>IPsec</strong> là chuẩn công nghiệp cho VPN bảo mật giữa các site. VyOS hỗ trợ đầy đủ IPsec với IKEv2, ESP, NAT-T, VTI. Bài này hướng dẫn cấu hình site-to-site, phân biệt policy-based và route-based, tích hợp với thiết bị khác và thực hành lab với BGP overlay.</p>
+<h3>Kiến thức nền tảng IPsec</h3>
+<ul>
+  <li><strong>IKEv2</strong>: Giao thức thương lượng key, bảo mật hơn IKEv1.</li>
+  <li><strong>ESP</strong>: Encapsulating Security Payload, mã hóa dữ liệu.</li>
+  <li><strong>SA</strong>: Security Association, thông số bảo mật cho mỗi kết nối.</li>
+  <li><strong>Proposal</strong>: Tập hợp thuật toán mã hóa, xác thực.</li>
+  <li><strong>DH Group</strong>: Diffie-Hellman group, xác định độ mạnh key exchange.</li>
+</ul>
+<h3>Policy-based vs Route-based (VTI) VPN</h3>
+<ul>
+  <li><strong>Policy-based</strong>: Định nghĩa traffic nào sẽ được mã hóa dựa trên policy.</li>
+  <li><strong>Route-based (VTI)</strong>: Tạo interface ảo (vti) để routing linh hoạt, hỗ trợ dynamic routing như BGP.</li>
+</ul>
+<h3>Cấu hình IPsec Site-to-Site giữa 2 VyOS</h3>
+<pre><code class="language-bash"># Tạo proposal
+set vpn ipsec esp-group ESP-GROUP proposal 1 encryption aes256
+set vpn ipsec esp-group ESP-GROUP proposal 1 hash sha256
+set vpn ipsec ike-group IKE-GROUP proposal 1 encryption aes256
+set vpn ipsec ike-group IKE-GROUP proposal 1 dh-group 14
+set vpn ipsec ike-group IKE-GROUP proposal 1 hash sha256
+
+# Peer
+set vpn ipsec site-to-site peer &lt;peer-wan-ip&gt; authentication mode pre-shared-secret
+set vpn ipsec site-to-site peer &lt;peer-wan-ip&gt; authentication pre-shared-secret '&lt;secret&gt;'
+set vpn ipsec site-to-site peer &lt;peer-wan-ip&gt; ike-group IKE-GROUP
+set vpn ipsec site-to-site peer &lt;peer-wan-ip&gt; esp-group ESP-GROUP
+set vpn ipsec site-to-site peer &lt;peer-wan-ip&gt; local-address '&lt;local-wan-ip&gt;'
+set vpn ipsec site-to-site peer &lt;peer-wan-ip&gt; tunnel 1 local prefix '192.168.1.0/24'
+set vpn ipsec site-to-site peer &lt;peer-wan-ip&gt; tunnel 1 remote prefix '192.168.2.0/24'
+</code></pre>
+<h3>Route-based VPN với VTI</h3>
+<pre><code class="language-bash">set interfaces vti vti0 address '10.100.100.1/30'
+set vpn ipsec site-to-site peer &lt;peer-wan-ip&gt; vti bind vti0
+set vpn ipsec site-to-site peer &lt;peer-wan-ip&gt; vti esp-group ESP-GROUP
+set vpn ipsec site-to-site peer &lt;peer-wan-ip&gt; vti ike-group IKE-GROUP
+</code></pre>
+<h3>Kết nối IPsec với Cisco/Palo Alto</h3>
+<p>Chỉ cần đồng bộ proposal, pre-shared key, local/remote subnet. Đảm bảo NAT-T bật nếu có NAT.</p>
+<h3>Route-based VPN tới Azure với BGP</h3>
+<pre><code class="language-bash">set interfaces vti vti1 address '169.254.21.2/30'
+set protocols bgp 65001 neighbor 169.254.21.1 remote-as 65515
+set protocols bgp 65001 neighbor 169.254.21.1 update-source vti1
+</code></pre>
+<h3>DMVPN Dual Hub Concept</h3>
+<p>VyOS hỗ trợ DMVPN với nhiều hub, tăng tính sẵn sàng. Cấu hình tương tự route-based, thêm nhiều peer.</p>
+<h3>Kiểm tra và khắc phục sự cố IPsec</h3>
+<pre><code class="language-bash">show vpn ipsec sa
+show vpn ipsec status
+run monitor vpn ipsec
+</code></pre>
+<p>Debug peer nếu không lên tunnel:</p>
+<pre><code class="language-bash">run monitor vpn ipsec log peer &lt;peer-wan-ip&gt;
+</code></pre>
+<h3>Lab thực hành: Route-based IPsec VPN với BGP overlay</h3>
+<ol>
+  <li>Cấu hình VTI interface trên cả hai VyOS.</li>
+  <li>Cấu hình IPsec peer, proposal, pre-shared key.</li>
+  <li>Thiết lập BGP trên VTI interface để trao đổi route.</li>
+  <li>Kiểm tra trạng thái tunnel và routing.</li>
+</ol>
+<pre><code class="language-bash"># Kiểm tra trạng thái IPsec
+show vpn ipsec sa
+# Kiểm tra VTI interface
+show interfaces vti
+# Kiểm tra BGP
+show ip bgp summary
+</code></pre>
+<h3>Tổng kết</h3>
+<p>Bài này giúp bạn hiểu rõ IPsec trên VyOS, phân biệt policy-based và route-based, tích hợp với thiết bị khác, thực hành lab với BGP overlay và kỹ năng kiểm tra, khắc phục sự cố thực tế.</p>

package/content/series/devsecops/vyos-tu-co-ban-den-nang-cao/chapters/01-vyos-tu-co-ban-den-nang-cao/lessons/13-bai-13-high-availability-vrrp-va-conntrack-sync.md

@@ -0,0 +1,63 @@
+---
+id: 019d65ef-d36f-773e-bf0a-9e3bbb16e57f
+title: 'Bài 13: High Availability — VRRP và Conntrack Sync'
+slug: bai-13-high-availability-vrrp-va-conntrack-sync
+description: >-
+  Hướng dẫn cấu hình High Availability trên VyOS với VRRP, conntrack-sync, NAT rules cho HA, kiểm tra failover, lab thực hành HA pair VyOS.
+duration_minutes: 160
+is_free: true
+video_url: null
+sort_order: 13
+section_title: "VyOS từ Cơ bản đến Nâng cao"
+course:
+  id: 019d65ef-d36f-773e-bf0a-9e2efc5e19df
+  title: VyOS từ Cơ bản đến Nâng Cao
+  slug: vyos-tu-co-ban-den-nang-cao
+---
+<img src="/storage/uploads/2026/04/vyos-13-ha-vrrp.png" alt="High Availability — VRRP và Conntrack Sync" style="display:block;margin:24px auto 32px auto;max-width:700px;width:100%;border-radius:18px;box-shadow:0 4px 32px #0002" loading="lazy" />
+
+<h2>High Availability trên VyOS: VRRP và Conntrack Sync</h2>
+<p>Đảm bảo tính sẵn sàng cao (HA) là yêu cầu quan trọng cho hệ thống mạng. VyOS hỗ trợ VRRP (Virtual Router Redundancy Protocol) và conntrack-sync để đồng bộ trạng thái NAT/connection giữa các node.</p>
+<h3>VRRP: Virtual Router Redundancy Protocol</h3>
+<p>VRRP cho phép nhiều router chia sẻ một địa chỉ ảo (virtual IP), khi node chính gặp sự cố, node dự phòng sẽ tiếp quản IP này.</p>
+<pre><code class="language-bash">set high-availability vrrp group G1 interface eth0
+set high-availability vrrp group G1 virtual-address 192.168.100.254/24
+set high-availability vrrp group G1 priority 200
+set high-availability vrrp group G1 preempt true
+set high-availability vrrp group G1 rfc-compatibility 3
+</code></pre>
+<h3>Conntrack Sync: Đồng bộ trạng thái NAT/Connection</h3>
+<pre><code class="language-bash">set service conntrack-sync interface eth1
+set service conntrack-sync accept-protocol vrrp
+</code></pre>
+<p>Đảm bảo các kết nối NAT không bị gián đoạn khi failover.</p>
+<h3>Config Sync giữa HA Pair</h3>
+<pre><code class="language-bash">set service config-sync peer 192.168.100.2
+set service config-sync interface eth1
+</code></pre>
+<h3>NAT Rules cho HA</h3>
+<p>Áp dụng NAT rule cho virtual IP:</p>
+<pre><code class="language-bash">set nat source rule 100 outbound-interface eth0
+set nat source rule 100 source address 192.168.100.0/24
+set nat source rule 100 translation address masquerade
+</code></pre>
+<h3>Kiểm tra và kiểm soát Failover</h3>
+<pre><code class="language-bash">show high-availability vrrp
+show service conntrack-sync
+</code></pre>
+<h3>Thiết kế HA: VM primary + physical backup</h3>
+<p>Khuyến nghị triển khai VyOS chính trên VM, backup trên thiết bị vật lý để tăng độ tin cậy.</p>
+<h3>Lab thực hành: HA Pair VyOS với VRRP + Conntrack Sync</h3>
+<ol>
+  <li>Cấu hình VRRP group trên cả hai VyOS, chọn priority khác nhau.</li>
+  <li>Cấu hình conntrack-sync trên interface kết nối nội bộ.</li>
+  <li>Kiểm tra failover bằng cách shutdown node chính, quan sát virtual IP chuyển sang node dự phòng.</li>
+  <li>Kiểm tra trạng thái NAT/connection sau failover.</li>
+</ol>
+<pre><code class="language-bash"># Kiểm tra trạng thái VRRP
+show high-availability vrrp
+# Kiểm tra đồng bộ conntrack
+show service conntrack-sync
+</code></pre>
+<h3>Tổng kết</h3>
+<p>Bài này giúp bạn cấu hình HA trên VyOS với VRRP, conntrack-sync, NAT rules, kiểm tra failover và thực hành lab thực tế. Đảm bảo hệ thống mạng luôn sẵn sàng, giảm downtime tối đa.</p>

package/content/series/devsecops/vyos-tu-co-ban-den-nang-cao/chapters/01-vyos-tu-co-ban-den-nang-cao/lessons/14-bai-14-wan-load-balancing-qos-va-monitoring.md

@@ -0,0 +1,64 @@
+---
+id: 019d65ef-d36f-773e-bf0a-9e3cc2fa6f1e
+title: 'Bài 14: WAN Load Balancing, QoS và Monitoring'
+slug: bai-14-wan-load-balancing-qos-va-monitoring
+description: >-
+  Hướng dẫn cấu hình cân bằng tải WAN, QoS, giám sát lưu lượng trên VyOS, lab thực hành dual-WAN, cấu hình NetFlow, SNMP, syslog, Prometheus.
+duration_minutes: 160
+is_free: true
+video_url: null
+sort_order: 14
+section_title: "VyOS từ Cơ bản đến Nâng cao"
+course:
+  id: 019d65ef-d36f-773e-bf0a-9e2efc5e19df
+  title: VyOS từ Cơ bản đến Nâng Cao
+  slug: vyos-tu-co-ban-den-nang-cao
+---
+<img src="/storage/uploads/2026/04/vyos-14-wan-lb-qos.png" alt="WAN Load Balancing, QoS và Monitoring" style="display:block;margin:24px auto 32px auto;max-width:700px;width:100%;border-radius:18px;box-shadow:0 4px 32px #0002" loading="lazy" />
+
+<h2>WAN Load Balancing, QoS và Monitoring trên VyOS</h2>
+<p>Đảm bảo kết nối Internet ổn định, tối ưu hóa băng thông và giám sát lưu lượng là yêu cầu quan trọng. VyOS cung cấp các tính năng mạnh mẽ cho cân bằng tải WAN, QoS và monitoring.</p>
+<h3>WAN Load Balancing</h3>
+<pre><code class="language-bash">set load-balancing wan rule 10 inbound-interface eth0
+set load-balancing wan rule 10 interface eth1 weight 100
+set load-balancing wan rule 10 interface eth2 weight 50
+set load-balancing wan rule 10 failover
+set load-balancing wan rule 10 exclude traffic source address 192.168.1.0/24
+set load-balancing wan interface-health eth1 test 10 type ping target 8.8.8.8
+set load-balancing wan interface-health eth2 test 10 type ping target 1.1.1.1
+</code></pre>
+<h3>QoS: Traffic Shaping và Ưu tiên</h3>
+<pre><code class="language-bash">set qos policy shaper SHAPER bandwidth 100mbit
+set qos policy shaper SHAPER default bandwidth 80mbit
+set qos policy shaper SHAPER class 10 match ip destination address 192.168.2.0/24
+set qos policy shaper SHAPER class 10 bandwidth 20mbit
+set interfaces ethernet eth0 qos policy shaper SHAPER
+</code></pre>
+<p>Ưu tiên traffic VoIP/gaming bằng CAKE hoặc HTB.</p>
+<h3>NetFlow/sFlow, SNMP, Syslog</h3>
+<pre><code class="language-bash">set system flow-accounting interface eth0
+set system flow-accounting netflow server 192.168.10.10 port 2055
+set service snmp community public authorization ro
+set service snmp listen-address 0.0.0.0
+set system syslog host 192.168.10.20 facility all level info
+set system syslog host 192.168.10.20 transport tls
+</code></pre>
+<h3>Prometheus Monitoring Integration</h3>
+<p>VyOS hỗ trợ xuất số liệu qua SNMP hoặc exporter container.</p>
+<h3>Lab thực hành: Dual-WAN Load Balancing + QoS</h3>
+<ol>
+  <li>Cấu hình hai WAN interface (eth1, eth2) với rule cân bằng tải.</li>
+  <li>Thiết lập interface-health kiểm tra ping.</li>
+  <li>Cấu hình QoS shaper cho eth0, ưu tiên traffic cần thiết.</li>
+  <li>Kiểm tra failover bằng cách ngắt một WAN.</li>
+  <li>Kiểm tra NetFlow, SNMP, syslog gửi về server giám sát.</li>
+</ol>
+<pre><code class="language-bash"># Kiểm tra trạng thái load balancing
+show load-balancing wan
+# Kiểm tra QoS
+show qos
+# Kiểm tra flow-accounting
+show system flow-accounting
+</code></pre>
+<h3>Tổng kết</h3>
+<p>Bài này giúp bạn cấu hình cân bằng tải WAN, QoS, giám sát lưu lượng trên VyOS, thực hành dual-WAN, cấu hình NetFlow, SNMP, syslog, Prometheus để vận hành hệ thống mạng chuyên nghiệp.</p>

package/content/series/devsecops/vyos-tu-co-ban-den-nang-cao/chapters/01-vyos-tu-co-ban-den-nang-cao/lessons/15-bai-15-containers-automation-va-production-best-practices.md

@@ -0,0 +1,82 @@
+---
+id: 019d65ef-d36f-773e-bf0a-9e3dd57adcb1
+title: 'Bài 15: Containers, Automation và Production Best Practices'
+slug: bai-15-containers-automation-va-production-best-practices
+description: >-
+  Hướng dẫn sử dụng container trên VyOS, tự động hóa với Ansible, API, backup, upgrade, bảo mật và triển khai thực tế, lab thực hành Ansible playbook.
+duration_minutes: 170
+is_free: true
+video_url: null
+sort_order: 15
+section_title: "VyOS từ Cơ bản đến Nâng cao"
+course:
+  id: 019d65ef-d36f-773e-bf0a-9e2efc5e19df
+  title: VyOS từ Cơ bản đến Nâng Cao
+  slug: vyos-tu-co-ban-den-nang-cao
+---
+<img src="/storage/uploads/2026/04/vyos-15-automation.png" alt="Containers, Automation và Production Best Practices" style="display:block;margin:24px auto 32px auto;max-width:700px;width:100%;border-radius:18px;box-shadow:0 4px 32px #0002" loading="lazy" />
+
+<h2>Containers, Automation và Production Best Practices trên VyOS</h2>
+<p>VyOS 1.4/1.5 hỗ trợ container (Podman) cho phép chạy dịch vụ phụ trợ, exporter, monitoring. Ngoài ra, VyOS cung cấp API, hỗ trợ Ansible, backup, upgrade và các best practices cho môi trường production.</p>
+<h3>Containers trên VyOS</h3>
+<pre><code class="language-bash">set container name prometheus-exporter image prom/node-exporter
+set container name prometheus-exporter network bridge address 192.168.50.10/24
+set container name prometheus-exporter health-check interval 30
+</code></pre>
+<p>Hỗ trợ bridge, macvlan, health-check, quản lý bằng Podman CLI.</p>
+<h3>Tự động hóa với Ansible</h3>
+<pre><code class="language-bash"># ansible.cfg
+[defaults]
+inventory = ./hosts
+host_key_checking = False
+
+# playbook.yaml
+- hosts: vyos
+  gather_facts: no
+  tasks:
+    - name: Push config
+      vyos.vyos.vyos_config:
+        lines:
+          - set interfaces ethernet eth0 address 192.168.1.1/24
+</code></pre>
+<h3>VyOS HTTP API và REST API</h3>
+<pre><code class="language-bash">set service https api listen-address 0.0.0.0
+set service https api port 8443
+</code></pre>
+<p>Gửi lệnh cấu hình qua REST API:</p>
+<pre><code class="language-bash">curl -k -u vyos:password -X POST https://vyos:8443/configure -d '{"op": "set", "path": ["interfaces", "ethernet", "eth0", "address"], "value": "192.168.1.2/24"}'
+</code></pre>
+<h3>Scripting và Custom Commands</h3>
+<pre><code class="language-bash">set system login user vyos authentication plaintext-password 'password'
+run show version
+</code></pre>
+<h3>Backup, Upgrade và Rollback</h3>
+<pre><code class="language-bash"># Backup config
+cp /config/config.boot /config/backup-$(date +%F).boot
+# Upgrade image
+add system image https://downloads.vyos.io/rolling/current/amd64/vyos-1.5-rolling.iso
+# Rollback
+set system image default-boot vyos-1.4-rolling
+</code></pre>
+<h3>Security Hardening Checklist</h3>
+<ul>
+  <li>Đổi port SSH, tắt root login, chỉ cho phép key.</li>
+  <li>Tắt dịch vụ không dùng: <code>delete service telnet</code>, <code>delete service ftp</code>.</li>
+  <li>Thiết lập firewall bảo vệ chính VyOS.</li>
+</ul>
+<h3>Production Deployment Scenarios</h3>
+<ul>
+  <li>Home router: NAT, VPN, firewall, monitoring.</li>
+  <li>Small business: dual-WAN, HA, container exporter.</li>
+  <li>ISP edge: BGP, IPsec, automation, backup.</li>
+</ul>
+<h3>Lab thực hành: Ansible Playbook triển khai VyOS config</h3>
+<ol>
+  <li>Chuẩn bị file <code>ansible.cfg</code> và <code>hosts</code> với IP VyOS.</li>
+  <li>Viết playbook sử dụng module <code>vyos_config</code> để đẩy cấu hình.</li>
+  <li>Chạy playbook và kiểm tra trạng thái trên VyOS.</li>
+</ol>
+<pre><code class="language-bash">ansible-playbook -i hosts playbook.yaml
+</code></pre>
+<h3>Tổng kết</h3>
+<p>Bài này giúp bạn vận dụng container, tự động hóa với Ansible, sử dụng API, backup, upgrade, bảo mật và triển khai VyOS trong môi trường production thực tế.</p>