Trụ sở tại Hà Nội

Số 2A/125 Bùi Xương Trạch – Thanh Xuân – Hà Nội

090 605 1599 - 096 350 6565

kinhdoanh@cnttshop.vn

07h30 đến 17h30

Hướng dẫn cấu hình VLAN trên tường lửa Fortigate

Trong bài viết này mình sẽ hướng dẫn các bạn cấu hình chia VLAN trên Fortigate, cấu hình SubInterface để định tuyến các VLAN, Cấu hình Routing giữa các VLAN để các VLAN có thể giao tiếp được với nhau.

Trong mô hình này mình chia hệ thống mạng thành 4 VLAN. VLAN 40 trong khu vực DMZ cho các server với dải địa chỉ 172.16.1.0/24 và được nối với Port 3 trên Fortigate. 3 VLAN 10 20 30 được cấu hình subinterface trên Port 2 của Fortigate để chia cho các phòng ban. Port 1 được nối ra Internet.

Các Server trong VLAN 40 sử dụng IP tĩnh. Client của các vlan 10 20 30 sử dụng ip động nên chúng ta cấu hình thêm DHCP Scope để cấp cho Client.

Các bước cấu hình VLAN trên Fortigate

  • Bước 1: Tạo VLAN 40 ứng với port 3
  • Bước 2: Tạo VLAN 10 20 30 ứng với Port 2 và tạo các DHCP Scope để cấp cho client
  • Bước 3: Tạo Policy cho phép các VLAN giao tiếp được với nhau và truy cập internet
  • Bước 4: tạo Default Route cho phép các VLAN truy cập Internet

Cấu hình chi tiết

Do hình ảnh trong bài viết mình sử dụng thiết bị thật để chụp ảnh nên sẽ có port DMZ riêng trên thiết bị. Vì vậy nên Port DMZ trong hình ảnh minh họa sẽ tương ứng với port3 trên sơ đồ và trạng thái của các port đang down do mình chưa cắm Uplink.

Mô hình chia vlan trên firewall fortigate

Cấu hình VLAN 40 và đặt IP Gateway cho dải VLAN này

Truy cập Network > Interfaces, kích chuột phải vào interface dmz, chọn Edit

  • Role: chọn role là DMZ
  • Address: mục này chúng ta chọn Manual và để IP là 0.0.0.0/0 để đặt Gateway trên VLAN
  • Administrative Access: chọn ping để kiểm tra kết nối

Cấu hình interface DMZ

Truy cập Network > Interfaces, chọn Create New > Interface

tạo vlan 40 trên cổng dmz

Tạo VLAN 40 tương ứng với interface DMZ

  • Interface Name: tên VLAN
  • Type: chọn VLAN
  • Interface: chọn dmz để gán VLAN 40 vào cổng DMZ
  • VLAN ID: nhập VLAN ID 40
  • Address: Nhập địa chỉ IP Gateway của VLAN 40, trong ví dụ này mình để 172.16.1.1

cấu hình các thông số cho vlan 40Sau khi nhấn OK, chúng ta sẽ có VLAN 40 được gán vào interface DMZ

kiểm tra VLAN đã được tạo

Tạo VLAN 10, 20, 30 trên Port2

Tương tự các bạn tạo thêm VLAN 10, 20, 30, đặt IP Gateway cho từng VLAN và gán vào Port2 như với port DMZ. Tuy nhiên phần này các bạn bật thêm tính năng DHCP Server để cấp IP cho Client.

  • Interface Name: tên VLAN
  • Type: chọn VLAN
  • Interface: chọn ports 2 để gán VLAN 10 vào cổng số 2
  • VLAN ID: nhập VLAN ID 10
  • Address: Nhập địa chỉ IP Gateway của VLAN 10, trong ví dụ này mình để 10.0.0.1
  • DHCP Server: tích enable phần này để bật dịch vụ DHCP
    • Address Range: chọn Create New và nhập địa chỉ Starting IP  End IP
    • Netmask: nhập subnet mask của dải mạng 255.255.255.0
    • Default Gateway: chọn Same as Interface IP để lấy IP của VLAN 10.0.0.1 là Gateway của mạng và cấp cho client.

cấu hình vlan 10 trên cổng 2 fortigate

Sau khi câú hình xong chúng ta sẽ được 3 VLAN gán vào Port2. Phần này giống như chúng ta cấu hình subinterface trên thiết bị Switch Cisco

Kiểm tra lại cấu hình VLANTạo Policy cho phép các vlan giao tiếp với nhau và truy cập Internet

Tạo Policy cho phép các VLAN giao tiếp với nhau

Các VLAN giao tiếp với nhau thì phải tạo các Policy tương ứng 2 chiều. Ví dụ cho phép truy cập giữa VLAN 10 và VLAN 20 chúng ta phải tạo 2 policy từ VLAN 10 > VLAN 20 và từ VLAN 20 sang VLAN 10. Phần này mình sẽ tạo 1 policy từ VLAN 10 sang VLAN 20. Các bạn làm tương tự với các VLAN khác chỉ cần thay đổi Incoming Interface và Outgoing Interface, còn các chính sách thì tùy thuộc vào từng công ty, ở đây mình để all là cho phép tất cả.

Truy cập vào Policy & Objects > IPv4 Policy > Create New

  • Name: Tên Policy
  • Incoming Interface: mình đang tạo từ VLAN 10 sang VLAN 20 nên ở đây là VLAN 10
  • Outgoing Interface: chọn interface VLAN 20
  • Các phần Source, Destination, Service các bạn chọn tùy thuộc vào chính sách áp dụng giữa các VLAN, ở đây mình chọn ALL
  • Schedule: thời gian áp dụng chính sách, chọn Always. Nếu policy chỉ có hiệu lực trong 1 khoảng thời gian nào đó thì các bạn tạo thêm trong phần Schedules và add vào
  • Action: chọn ACCEPT để cho phép. Nếu policy để chặn giao tiếp thì chọn DENY
  • NAT: disable
  • Nếu thiết bị có mua thêm license AntiVirus, Web Filter, DNS Filter, Application Control thì các bạn bật các tính năng này lên. Nếu không có license thì disable.

tạo policy cho phép các vlan giao tiếp được với nhauCác bạn làm tương tự với các VLAN khác. Tổng công chúng ta có 4 VLAN nên sẽ có 12 Policy giữa các VLAN này:

kiểm tra policy giữa các VLANTạo Policy cho phép các VLAN truy cập Internet

Các bạn tạo tương tự như policy giữa các VLAN, thay outgoing interface bằng cổng kết nối tới internet và bật tính năng NAT lên để NAT IP Local sang IP WAN.

tạo policy cho phép VLAN truy cập internetCác bạn tạo tương tự với các VLAN khác.

Tạo Default Route để truy cập internet

Truy cập vào Network > Static Routes > Create New để tạo 1 static route

cấu hình static route trên firewall fortinet

Chọn Destination  Subnet với IP và SubnetMask là 0.0.0.0/0.0.0.0, nhập địa chỉ gateway (đây là địa chỉ IP Next hope), interface là WAN1, Status là Enabled

cấu hình static route trên firewall fortinet 1

Như vậy là các bạn đã tạo xong VLAN trên Fortigate và cấu hình cho các VLAN giao tiếp với nhau và truy cập Internet. 

Chúc các bạn thành công!


Tin liên quan

  • Sử dụng Ruckus Cloud Wifi để quản lý tập trung các Access Point Ruckus
  • Switch Công nghiệp là gì? Sự khác nhau giữa Switch Công nghiệp và Switch thường
  • Cung Cấp Switch Công Nghiệp, Switch Quang, Switch PoE Giá Rẻ
  • Hướng dẫn cấu hình VLAN trên tường lửa Fortigate
  • Hướng dẫn cấu hình wifi Aruba IAP về chế độ CAP hoặc Standalone AP
  • Hướng dẫn cấu hình Wifi Aruba IAP Instant Access Point
  • GRE Tunnel là gì? Hướng dẫn cấu hình GRE Tunnel Trên Router Cisco
  • Hướng dẫn cấu hình IPSEC VPN Site to Site trên Router Cisco
  • Hướng dẫn cấu hình VPN Client to Site trên Router Cisco
  • Spanning-Tree Bridge Assurance là gì? Ứng dụng của Bridge Assurance trong LAN
  • Hướng dẫn kích hoạt giao diện Web Switch Cisco
  • Kiến trúc mạng SD-WAN của Cisco và các thành phần của SD-WAN
  • Hướng dẫn cấu hình Port Forwarding, NAT Port trên Fortigate
  • [Citrix ADC] Hướng dẫn cấu hình cân bằng tải trên Citrix ADC
  • [Citrix ADC] Hướng dẫn cấu hình cơ bản trên Citrix ADC
  • Hướng dẫn cấu hình Firewall Cisco ASA mode Transparent
  • FortiClient là gì? Các tính năng và mô hình hoạt động của FortiClient
  • vPC là gì? Hướng dẫn cấu hình vPC trên Switch Cisco Nexus
  • [CISCO] Hướng dẫn Reset Switch Cisco C9200, C9300 C9500 về cấu hình mặc định
  • [RUCKUS] Hướng dẫn Cấu hình nhiều Vlan trên SSID (Ruckus Unleashed)
  • SSH là gì? Hướng dẫn cấu hình SSH trên các thiết bị Cisco
  • Mesh Wifi là gì? Ưu nhược điểm của Mesh Wifi
  • SFP-DD Next Generation SFP Module to Support 100G
  • QSFP-DD Optical Form Factor: Bước tiến lớn tới kết nối 400GbE
  • [RUCKUS] Hướng dẫn cấu hình LACP trên Wifi Ruckus R710