Logo CNTTShop.vn

Hotline: 0966 658 525

Hà Nội: NTT03, Line 1, Thống Nhất Complex, 82 Nguyễn Tuân, Thanh Xuân, Hà Nội. ● HCM: Số 31B, Đường 1, Phường An Phú, Quận 2 (Thủ Đức), TP HCM. ===> Đơn Vị Hàng Đầu Trong Lĩnh Vực Cung Cấp Thiết Bị Security - Network - Wifi - CCTV - Conference - Máy chủ Server - Lưu trữ Storge.
Thiết bị mạng: 0862 158 859 - 0966 658 525 Máy chủ Server: 0866 176 188 - 0968 498 887 Purchase: 096 350 6565
Danh mục sản phẩm

Hướng dẫn cấu hình VLAN trên tường lửa Fortigate

 

Trong bài viết này mình sẽ hướng dẫn các bạn cấu hình chia VLAN trên Fortigate, cấu hình SubInterface để định tuyến các VLAN, Cấu hình Routing giữa các VLAN để các VLAN có thể giao tiếp được với nhau.

Trong mô hình này mình chia hệ thống mạng thành 4 VLAN. VLAN 40 trong khu vực DMZ cho các server với dải địa chỉ 172.16.1.0/24 và được nối với Port 3 trên Fortigate. 3 VLAN 10 20 30 được cấu hình subinterface trên Port 2 của Fortigate để chia cho các phòng ban. Port 1 được nối ra Internet.

Các Server trong VLAN 40 sử dụng IP tĩnh. Client của các vlan 10 20 30 sử dụng ip động nên chúng ta cấu hình thêm DHCP Scope để cấp cho Client.

Các bước cấu hình VLAN trên Fortigate

  • Bước 1: Tạo VLAN 40 ứng với port 3
  • Bước 2: Tạo VLAN 10 20 30 ứng với Port 2 và tạo các DHCP Scope để cấp cho client
  • Bước 3: Tạo Policy cho phép các VLAN giao tiếp được với nhau và truy cập internet
  • Bước 4: tạo Default Route cho phép các VLAN truy cập Internet

Cấu hình chi tiết

Do hình ảnh trong bài viết mình sử dụng thiết bị thật để chụp ảnh nên sẽ có port DMZ riêng trên thiết bị. Vì vậy nên Port DMZ trong hình ảnh minh họa sẽ tương ứng với port3 trên sơ đồ và trạng thái của các port đang down do mình chưa cắm Uplink.

Mô hình chia vlan trên firewall fortigate

Cấu hình VLAN 40 và đặt IP Gateway cho dải VLAN này

Truy cập Network > Interfaces, kích chuột phải vào interface dmz, chọn Edit

  • Role: chọn role là DMZ
  • Address: mục này chúng ta chọn Manual và để IP là 0.0.0.0/0 để đặt Gateway trên VLAN
  • Administrative Access: chọn ping để kiểm tra kết nối

Cấu hình interface DMZ

Truy cập Network > Interfaces, chọn Create New > Interface

tạo vlan 40 trên cổng dmz

Tạo VLAN 40 tương ứng với interface DMZ

  • Interface Name: tên VLAN
  • Type: chọn VLAN
  • Interface: chọn dmz để gán VLAN 40 vào cổng DMZ
  • VLAN ID: nhập VLAN ID 40
  • Address: Nhập địa chỉ IP Gateway của VLAN 40, trong ví dụ này mình để 172.16.1.1

cấu hình các thông số cho vlan 40Sau khi nhấn OK, chúng ta sẽ có VLAN 40 được gán vào interface DMZ

kiểm tra VLAN đã được tạo

Tạo VLAN 10, 20, 30 trên Port2

Tương tự các bạn tạo thêm VLAN 10, 20, 30, đặt IP Gateway cho từng VLAN và gán vào Port2 như với port DMZ. Tuy nhiên phần này các bạn bật thêm tính năng DHCP Server để cấp IP cho Client.

  • Interface Name: tên VLAN
  • Type: chọn VLAN
  • Interface: chọn ports 2 để gán VLAN 10 vào cổng số 2
  • VLAN ID: nhập VLAN ID 10
  • Address: Nhập địa chỉ IP Gateway của VLAN 10, trong ví dụ này mình để 10.0.0.1
  • DHCP Server: tích enable phần này để bật dịch vụ DHCP
    • Address Range: chọn Create New và nhập địa chỉ Starting IP  End IP
    • Netmask: nhập subnet mask của dải mạng 255.255.255.0
    • Default Gateway: chọn Same as Interface IP để lấy IP của VLAN 10.0.0.1 là Gateway của mạng và cấp cho client.

cấu hình vlan 10 trên cổng 2 fortigate

Sau khi câú hình xong chúng ta sẽ được 3 VLAN gán vào Port2. Phần này giống như chúng ta cấu hình subinterface trên thiết bị Switch Cisco

Kiểm tra lại cấu hình VLANTạo Policy cho phép các vlan giao tiếp với nhau và truy cập Internet

Tạo Policy cho phép các VLAN giao tiếp với nhau

Các VLAN giao tiếp với nhau thì phải tạo các Policy tương ứng 2 chiều. Ví dụ cho phép truy cập giữa VLAN 10 và VLAN 20 chúng ta phải tạo 2 policy từ VLAN 10 > VLAN 20 và từ VLAN 20 sang VLAN 10. Phần này mình sẽ tạo 1 policy từ VLAN 10 sang VLAN 20. Các bạn làm tương tự với các VLAN khác chỉ cần thay đổi Incoming Interface và Outgoing Interface, còn các chính sách thì tùy thuộc vào từng công ty, ở đây mình để all là cho phép tất cả.

Truy cập vào Policy & Objects > IPv4 Policy > Create New

  • Name: Tên Policy
  • Incoming Interface: mình đang tạo từ VLAN 10 sang VLAN 20 nên ở đây là VLAN 10
  • Outgoing Interface: chọn interface VLAN 20
  • Các phần Source, Destination, Service các bạn chọn tùy thuộc vào chính sách áp dụng giữa các VLAN, ở đây mình chọn ALL
  • Schedule: thời gian áp dụng chính sách, chọn Always. Nếu policy chỉ có hiệu lực trong 1 khoảng thời gian nào đó thì các bạn tạo thêm trong phần Schedules và add vào
  • Action: chọn ACCEPT để cho phép. Nếu policy để chặn giao tiếp thì chọn DENY
  • NAT: disable
  • Nếu thiết bị có mua thêm license AntiVirus, Web Filter, DNS Filter, Application Control thì các bạn bật các tính năng này lên. Nếu không có license thì disable.

tạo policy cho phép các vlan giao tiếp được với nhauCác bạn làm tương tự với các VLAN khác. Tổng công chúng ta có 4 VLAN nên sẽ có 12 Policy giữa các VLAN này:

kiểm tra policy giữa các VLANTạo Policy cho phép các VLAN truy cập Internet

Các bạn tạo tương tự như policy giữa các VLAN, thay outgoing interface bằng cổng kết nối tới internet và bật tính năng NAT lên để NAT IP Local sang IP WAN.

tạo policy cho phép VLAN truy cập internetCác bạn tạo tương tự với các VLAN khác.

Tạo Default Route để truy cập internet

Truy cập vào Network > Static Routes > Create New để tạo 1 static route

cấu hình static route trên firewall fortinet

 

Chọn Destination  Subnet với IP và SubnetMask là 0.0.0.0/0.0.0.0, nhập địa chỉ gateway (đây là địa chỉ IP Next hope), interface là WAN1, Status là Enabled

cấu hình static route trên firewall fortinet 1

Như vậy là các bạn đã tạo xong VLAN trên Fortigate và cấu hình cho các VLAN giao tiếp với nhau và truy cập Internet. 

Chúc các bạn thành công!

Lê Văn Tuấn

Là chuyên gia trong lĩnh vực Network System, Security, Server.. Có kinh nghiệm nhiều năm tư vấn giải pháp mạng, triển khai các giải pháp CNTT và phân phối thiết bị mạng Switch, Wifi, Router, Máy chủ Server, Lưu trữ Storage, Tường lửa Firewall, Video Conferencing, Module quang, Load Balancing. Hiện tại tôi là Founder và Managing Director công ty TNHH Công Nghệ Việt Thái Dương (CNTTShop.vn).

Bình luận bài viết!

Có 18 bình luận:
H
Phạm Hà
Trên Video của anh. Cho em hỏi là khi ping từ PC4 (VLAN12) tới PC3 (VLAN 11) thì mình có cần ruote trên con switch core về VLAN 11 route 172.16.1.0/24 10.0.2.1 không ạ. ở vị trí video 21:55 anh có nói mà e chưa hiểu lắm.
28 ngày
C
CNTTShopAdmin

Trên switch core thì bạn không cần Route về VLAN 11 nữa vì trên switch core lúc này sẽ sử dụng default route 0/0 luôn. Bạn chỉ cần route trên Fortigate về 2 VLAN 12 và 13, sau đó mở policy giữa VLAN 11 và 2 VLAN này là được.

P
Lê Hoàng Phát
cho em hỏi là em đang dùng fortinet wirewall để làm đồ án á anh, hôm trc có 1 bài viết có nói về license của fortinet á hong bik anh có thể hướng dẫn em được không, tại bản dùng thử có 15 ngày cũng hơi bất tiện ạ
2 tháng
C
CNTTShopAdmin

Nếu bạn dùng các bản dùng các bản ảo hóa thì sẽ không sử dụng được license, hoặc sẽ cần mua license để sử dụng, do License của Fortigate được kết nối lên cloud để active.

S
Dao Van Son
Mình chỉ muốn VLAN truy cập đến một IP của VLAN khác thì phải làm như thế nào?
6 tháng
C
CNTTShopAdmin

Bạn tạo policy với source là dải IP của VLAN A, đích là IP của host cụ thể thuộc VLAN B nhé.

H
Hungnk
Mình sử dụng Fw Fortigate cấp dhcp cho các vlan, và gateway của các vlan đặt trên Sw-Core . Trên các SVI trên Sw-core đã cấu hình dhcp-relay đến Fortigate nhưng các PC thuộc Vlan tương ứng vẫn không nhận ip.
1 năm
C
CNTTShopAdmin

Anh thử đặt IP tĩnh và ping đến IP của DHCP server xem được chưa nhé, có thể do thiếu routing

t
nguyễn xuân trường
cái đầu tiên và cái thứ 3 ( sw core layer 3 ) thì ping được gg và truy cập đc internet bằng trình duyệt được . nhưng cái thứ 2 tạo 2 interface trên 1 cổng và cấp dhcp trực tiếp cho client trên cổng đó thì lại k truy cập đc bằng trình duyệt nhưng vẫn ping đc google là sao nhỉ ad ? mk đã thử đi thử lại rồi nhưng vẫn k đc ( mình làm theo video hướng dẫn trên youtube)
1 năm
C
CNTTShopAdmin

Bạn đang làm ảo hóa hay trên thiết bị thật. Trên Client bạn có thể traceroute để kiểm tra xem traffic đi đúng chưa nhé.

Chuyên mục chính
Bài viết liên quan
Bài viết cùng danh mục
Sản phẩm liên quan