Hướng dẫn cấu hình VLAN trên tường lửa Firewall Fortigate

Cấu hình VLAN ở chế độ NAT mode (mode thông dụng) trên Firewall Fortigate

Trong chế độ NAT mode, Fortigate hoạt động như thiết bị lớp 3. Trong chế độ này, FortiGate kiểm soát traffic của các gói tin giữa các VLAN, nhưng cũng có thể loại bỏ các thẻ VLAN từ các gói VLAN gửi đến.
Fortigate hỗ trợ Vlan trunk link theo chuẩn IEEE 802.1Q tương thích với Switch hoặc router.
Ta có thể tạo Vlan trên trên các interface vật lý. Thông thường, trên Fortigate cổng internal sẽ kết nối đến vlan trunk, cổng external kết nối ra internet, trên Fortigate ta có thể áp dụng các policy cho các interface vlan kết nối với cổng internal.

Ta sẽ cấu hình theo mô hình dưới đây:

Các bước cấu hình chung trên Fortigate

- Cấu hình cổng external
- Tạo vlan trên cổng internal
- Thêm địa chỉ mạng nội bộ và mạng bên ngoài
- Tạo các Policy:
+ Cho phép các vlan truy cập được với nhau
+ Các vlan có thể truy cập ra internet

1. Cấu hình trên Firewall Fortigate

- Cấu hình interface external

Vào System > Network > Interface

Chọn Edit trên interface external

Điền các thông tin và nhấn OK



- Cấu hình Vlan

Vào System > Network > Interface.
Chọn Create New
Điền thông tin vào và nhấn OK

Tạo Vlan 100


Tạo Vlan 200


Thêm các Range IP cho vlan 100,200
Vào Firewall Objects > Address > Addresses.
Chọn Create New.




- Tiếp theo chúng ta tạo các Policy như sau:
Vào Policy & Objects > Policy > IPv4 or Policy & Objects > Policy > IPv6 and select Create New.

Cho phép vlan 100 truy cập đến vlan 200


Cho phép vlan 200 truy cập đến vlan 100


Cho phép vlan 100, vlan 200 truy cập được internet





2. Cấu hình vlan trên Switch Cisco
Ta cấu hình vlan 100, 200 và access lần lượt vào port f0/3, f0/9

Cấu hình port f0/24 làm port trunk theo chuẩn IEEE 802.1Q.

!
interface FastEthernet0/3
switchport access vlan 100
!
interface FastEthernet0/9
switchport access vlan 200
!
interface FastEthernet0/24
switchport trunk encapsulation dot1q
switchport mode trunk


3. Kiểm tra và kết quả
Sau khi cấu hình ta kiểm tra như sau
- Từ vlan 100 truy cập đến vlan 200.
C:\>tracert 10.1.2.2
Tracing route to 10.1.2.2 over a maximum of 30 hops:
1 <10 ms <10 ms <10 ms 10.1.1.1
2 <10 ms <10 ms <10 ms 10.1.2.2
Trace complete.

- Từ vlan 200 truy cập đến cổng external
C:\>tracert 172.16.21.2
Tracing route to 172.16.21.2 over a maximum of 30 hops:
1 <10 ms <10 ms <10 ms 10.1.2.1
2 <10 ms <10 ms <10 ms 172.16.21.2
Trace complete.

Đến đây bài viết cấu hình VLAN trong chế độ NAT mode trên Firewall Fortigate cơ bản đã xong

Chúc các bạn thành công.

 

Cấu hình VLAN ở chế độ Transparent mode trên Firewall Fortigate

Trong Transparent mode, Fortigate hoạt động giống như một Bridge layer 2 nhưng vẫn có thể cung cấp các dịch vụ như quét virus, lọc web, lọc spam, bảo vệ xâm nhập…Có một số hạn chế trong mode này là bạn không thể sử dụng SSL VPN, PPTP / L2TP VPN, DHCP….

Bạn có thể đặt Fortigate vào giữa (Router và Switch) mà không làm thây đổi hệ thống mạng. Để các trafic Vlan đi qua được Fortigate, bạn add thêm hai subinterface có cùng vlan ID, một trên cổng internal và một trên cổng external. Sau đó bạn tạo các policy cho phép các gói tin chuyển từ Vlan internal sang Vlan external và ngược lại. Trong mode này, không cho phép bạn chuyển các gói tin qua lại giữa các vlan khác nhau.

Khi Fortigate nhân được một gói tin Vlan- tagged trên một cổng vật lí, nó sẽ chuyển gói tin tới Vlan có Vlan ID phù hợp. Thẻ Vlan được lấy ra khỏi gói tin. Dựa vào policy gói tin sẽ được chuyển tới sub-interface Vlan, gói tin được gắn Vlan ID theo sub-interface và gói tin được chuyển đến cổng vật lí tương ứng.

Mô hình mạng như sau:



Các bước cấu hình:

• Cấu hình Firewall Fortigate

- Add subinterface Vlan
- Add policy​

• Cấu hình trên Switch Cisco và Router Cisco

1. Cấu hình trên Firewall Fortigate

Add subinterface Vlan
Đối với mỗi Vlan, bạn cần tạo một subinterface vlan trên cổng internal và external cùng Vlan ID
- Vào System > Network > Interface.
- Chọn Create New.
- Điền các thông tin và chọn OK.

VLAN 100




VLAN 200




Tạo policy
Tạo các policy cho phép truyền các gói tin giữa VLAN_x00_int và VLAN_x00_ext.
- Vào Policy & Objects > Policy > IPv4
- Chọn Create New.
- Nhập các thông tin sau và nhấp OK.

VLAN_100_int to VLAN_100_ext


VLAN_100_ext to VLAN_100_int


VLAN_200_int to VLAN_200_ext


VLAN_200_ext to VLAN_200_int


2. Cấu hình trên Switch Cisco.

Trên switch bạn cần tạo 2 vlan 100, 200 và 1 port trunk và gán các port vào Vlan tương ứng sau.


Các lệnh để cấu hình:

interface FastEthernet0/3
switchport access vlan 100
!
interface FastEthernet0/9
switchport access vlan 200
!
interface FastEthernet0/24
switchport trunk encapsulation dot1q
switchport mode trunk

3. Cấu hình trên Router cisco
Bạn cũng tạo subinterface vlan và port trunk như sau:


Các lệnh để cấu hình:

interface FastEthernet0/0
!
interface FastEthernet0/0.1
encapsulation dot1Q 100
ip address 10.100.0.1 255.255.255.0
!
interface FastEthernet0/0.2
encapsulation dot1Q 200
ip address 10.200.0.1 255.255.255.0

4. Kiểm tra cấu hình.
Sử dụng các lệnh như tracert và ping để kiểm tra traffic qua mạng.
Kiểm tra traffic từ Vlan_100 đến Vlan_200

C:\>tracert 10.1.2.2

Tracing route to 10.1.2.2 over a maximum of 30 hops:

1 <10 ms <10 ms <10 ms 10.1.1.1

2 <10 ms <10 ms <10 ms 10.1.2.2

Trace complete.

Như vậy chúng ta cơ bản đã cấu hình VLAN ở chế độ Transparent mode trên Firewall Fortigate thành công.

Cám ơn các bạn đã theo dõi bài viết.