Cấu hình IPAM trên thiết bị FortiGate

- Từ phiên bản FortiOS 7.4 tính năng IPAM (IP address management) đã có sẵn trên thiết bị tường lửa FortiGate. Một Standalone FortiGate, hoặc một Fabric root trong Security Fabric, có thể hoạt động như một IPAM server. Các Interface được cấu hình quản lý tự động bằng IPAM sẽ nhận một địa chỉ từ Address/Subnet Pool của IPAM Server. DHCP Server được bật tự động trong GUI, và vùng địa chỉ được cấp phát bằng IPAM. Users có thể thay đổi vùng địa chỉ subnet và kích thước của subnet mà interface có thể yêu cầu.

- IPAM có thể được cấu hình trên giao diện GUI: Network > IPAM sử dụng các mục IPAM Settings, IPAM Rules, và IPAM Interfaces.

​

Để cấu hình các thành phần IPAM trong CLI:

config system ipam
set pool-subnet <class IP and netmask> //đặt IPAM pool subnet, Lớp mạng A hoặc B
set status {enable | disable} //bật/tắt các dịch vụ quản lý địa chỉ IP
config pools //đặt subnet cho IP pool
edit <pool_name>
set subnet <IP address/netmask>
next
end
config rules //đặt thiết bị, interface và IP pool cho các IPAM rules
edit <rule_name>
set device {<FortiGate_serial_number> | *}
set interface {<name> | *}
set pool <pool_name>
next
end
end​

- Trong các phiên bản FortiOS trước, tùy chọn 'set fortiipam-integration' được cấu hình bên dưới dòng lệnh 'config system global'.

- Các tùy chọn dưới đây sẵn có để đặt ra kích thước cho subnet:

config system interface
set managed-subnetwork-size {32 | 64 | 128 | 256 |512 | 1024 | 2048 | 4096 | 8192 | 16384 | 32768 | 65536}
end​

CẤU HÌNH DEMO:
- Trong bài viết này, FGT_AA là một Security Fabric root với IPAM đã được bật, FGT_BB và FGT_CC là hai thiết bị bên dưới trong Fabric và lấy thông tin IPAM từ FGT_AA. Fabric interface trên toàn bộ Fortigate là 'port2'. FGT_AA hoạt động như là DHCP server, và FGT_BB hoạt động như DHCP client.

​

Để cấu hình IPAM bên trong một Security Fabric:
1. Trên Root FortiGate, vào đường dẫn Network > Interfaces và cấu hình trên 'port3'.
2. Ở phần Addressing Mode, chọn Auto-Managed by IPAM. DHCP Server được tự động bật lên.

​

3. Trong ví dụ này, IPAM vẫn chưa được bật. Click Enable IPAM. Một bảng Subnets Managed by IPAM mở lên.

​

4. Chọn Enable, nhập vào Pool Subnets (chỉ lớp mạng Class A và B được cho phép) và click OK. Root FortiGate lúc này trở thành IPAM server trong Security Fabric.

​

Cấu hình trên được thực hiện trong giao diện CLI:

config system interface
edit "port3"
set vdom "root"
set ip 172.31.0.1 255.255.0.0
set type physical
set device-identification enable
set snmp-index 5
set ip-managed-by-fortiipam enable
end
next
end​

config system ipam
set status enable
end​

- IPAM đang quản lý một mạng 172.31.0.0/16 và chỉ định cho 'port3' một mạng /24 ở mặc định.

- Tại ô IP/Netmarsk trong phần Address đã được tự động chỉ định IP class C bằng IPAM. Tại ô Address range và Netmarsk trong DHCP Server cũng được tự động cấu hình bằng IPAM.

​

5. Click OK.

6. Đăng nhập vào 'FGT_BB' và đặt Addressing Mode của 'port4' thành Auto-Managed by IPAM. Subnet được chọn ra từ pool trên root là '172.31.1.1/24'.

6. Đăng nhập vào 'FGT_CC' và đặt Addressing Mode của 'port34' thành Auto-Managed by IPAM. Subnet được chọn ra từ pool trên root là '172.31.3.1/24'.

!Bất kỳ Interface trên Downstream FortiGate có thể được quản lý bởi IPAM server. Interface không được kết nối trực tiếp tới Fabric root FortiGate.

Để thay đổi cài đặt cho IPAM subnet:
1. Vào Network > IPAM > IPAM Settings.

​

2. Thay đổi Pool subnet nếu cần thiết.

​

3. Click OK.

- Trên các thiết bị Downstream FortiGate, các cài đặt trên trang Network > IPAM > IPAM Settings không thể bị thay đổi nếu IPAM đã được bật trên root FortiGate.

!Vào Network > IPAM > IPAM Interfaces để xem các subnet được phân phối (port34, port3 và port3) và thông tin DHCP lease. Trên FGT_BB, port3 là một DHCP client và DHCP server interface (FGT_AA port3) được quản lý bởi IPAM, do đó nó được hiển thị trong phần Manually Configured.

Dấu hiệu xung đột IPAM:
- Phần IPAM Interface hiển thị dấu hiệu gây xung đột khi có IP pool / IP address bị trùng với các địa chỉ IP được cấu hình thủ công. Admin có thể sử dụng bảng Edit Interface để giải quyết thủ công xung đột này.

1. Vào Network > IPAM > IPAM Interfaces.

2. Di trỏ chuột qua dấu báo xung đột. Thông tin gây xung đột sẽ được hiển thị.

​

3. Click Edit Interface. Bảng Edit Interface mở ra.

​

4. Nhập địa chỉ IP mới và Netmask vào ô IP/Netmask.

5. Click OK. Một thông tin xác nhận hiện ra.

6. Click OK.

Sửa lỗi trên CLI:
- Sử dụng lệnh command trong giao diện CLI FortiGate để xem các chẩn đoán lỗi của IPAM.

Để xem kích thước subnet lớn nhất có thể:

# diagnose sys ipam largest-available-subnet
Largest available subnet is a /17.
​

Để kiểm tra lại thông tin IPAM phân bố:

# diagnose sys ipam dump-ipams-entries

IPAM Entries: (sn, vdom, interface, subnet/mask, flag)

F140EP4Q17000000 root port34 172.31.2.1/24 0
FG5H1E5818900001 root port3 172.31.0.1/24 0
FG5H1E5818900002 root port4 172.31.1.1/24 0
FG5H1E5818900003 root port3 172.31.0.2/24 1
​

Để kiểm tra các subnet sẵn có:

# diagnose sys ipam dump-ipams-free-subnets
IPAM free subnets: (subnet/mask)
172.31.3.0/24
172.31.4.0/22
172.31.8.0/21
172.31.16.0/20
172.31.32.0/19
172.31.64.0/18
172.31.128.0/17
​

Để xóa thiết bị khỏi IPAM trong Security Fabric:

# diagnose sys ipam delete-device-from-ipams F140EP4Q17000000
Successfully removed device F140EP4Q17000000 from ipam​