Hướng dẫn cấu hình VLAN trên Firewall Fortigate

Hướng dẫn cấu hình VLAN trên tường lửa Fortigate

 

Trong bài viết này mình sẽ hướng dẫn các bạn cấu hình chia VLAN trên Fortigate, cấu hình SubInterface để định tuyến các VLAN, Cấu hình Routing giữa các VLAN để các VLAN có thể giao tiếp được với nhau.

Trong mô hình này mình chia hệ thống mạng thành 3 VLAN.  3 VLAN 10 11 12 được cấu hình subinterface trên Dải Lan  của Fortigate để chia cho các phòng ban. Port WAN1 được nối ra Internet.

Client của các vlan 10 11 12 sử dụng ip động nên chúng ta cấu hình thêm DHCP Scope để cấp cho Client.

Các bước cấu hình VLAN trên Fortigate

  • Bước 1: Cấu Hình WAN interface

  • Bước 2: Tạo VLAN 10 11 12 ứng với Dải Lan và tạo các DHCP Scope để cấp cho client

  • Bước 3: Tạo Policy cho phép các VLAN giao tiếp được với nhau và truy cập internet

  • Bước 4: Tạo Default Route cho phép các VLAN truy cập Internet

  • Bước 5: Cấu hình port trunk và vlan trên Switch Access

Cấu hình chi tiết

 

null

Cấu hình WAN Interface 

Cấu hình WanNetwork ->Interfaces

  • Chọn Wan1 -> Edit

null

 

Tạo VLAN 10 11 12 trên Local Lan

Tạo VLAN 10, 11, 12, đặt IP Gateway cho từng VLAN và gán vào Local Lan và bật thêm tính năng DHCP Server để cấp IP cho Client.

  • Interface Name: tên VLAN
  • Type: chọn VLAN
  • Interface: chọn Local Lan để gán VLAN 10 vào cổng số Local Lan
  • VLAN ID: nhập VLAN ID 10
  • Address: Nhập địa chỉ IP Gateway của VLAN 10, trong ví dụ này mình để 172.168.10.1
  • DHCP Server: tích enable phần này để bật dịch vụ DHCP
    • Address Range: chọn Create New và nhập địa chỉ Starting IP và End IP
    • Netmask: nhập subnet mask của dải mạng 255.255.255.0
    • Default Gateway: chọn Same as Interface IP để lấy IP của VLAN 172.168.10.1  là Gateway của mạng và cấp cho client.

null

Sau khi câú hình xong chúng ta sẽ được 3 VLAN gán vào Local Lan. Phần này giống như chúng ta cấu hình subinterface trên thiết bị Switch Cisco

Tạo Policy cho phép các vlan giao tiếp với nhau và truy cập Internet

Tạo Policy cho phép các VLAN giao tiếp với nhau

Các VLAN giao tiếp với nhau thì phải tạo các Policy tương ứng 2 chiều. Ví dụ cho phép truy cập giữa VLAN 10 và VLAN 11 chúng ta phải tạo 2 policy từ VLAN 10 > VLAN 12 và từ VLAN 11 sang VLAN 12. Phần này mình sẽ tạo 1 policy từ VLAN 10 sang VLAN 11. Các bạn làm tương tự với các VLAN khác chỉ cần thay đổi Incoming Interface và Outgoing Interface, còn các chính sách thì tùy thuộc vào từng công ty, ở đây mình để all là cho phép tất cả.

Truy cập vào Policy & Objects > IPv4 Policy > Create New

  • Name: Tên Policy
  • Incoming Interface: mình đang tạo từ VLAN 10 sang VLAN 11 nên ở đây là VLAN 10
  • Outgoing Interface: chọn interface VLAN 11
  • Các phần Source, Destination, Service các bạn chọn tùy thuộc vào chính sách áp dụng giữa các VLAN, ở đây mình chọn ALL
  • Schedule: thời gian áp dụng chính sách, chọn Always. Nếu policy chỉ có hiệu lực trong 1 khoảng thời gian nào đó thì các bạn tạo thêm trong phần Schedules và add vào
  • Action: chọn ACCEPT để cho phép. Nếu policy để chặn giao tiếp thì chọn DENY
  • NAT: disable
  • Nếu thiết bị có mua thêm license AntiVirus, Web Filter, DNS Filter, Application Control thì các bạn bật các tính năng này lên. Nếu không có license thì disable.

null

Các bạn làm tương tự với các VLAN khác. Tổng công chúng ta có 3 VLAN nên sẽ có 6 Policy giữa các VLAN này:

null

Tạo Policy cho phép các VLAN truy cập Internet

Các bạn tạo tương tự như policy giữa các VLAN, thay outgoing interface bằng cổng kết nối tới internet và bật tính năng NAT lên để NAT IP Local sang IP WAN.

null

Các bạn tạo tương tự với các VLAN khác.

Tạo Default Route để truy cập internet

Truy cập vào Network > Static Routes > Create New để tạo 1 static route

null

 

Chọn Destination là Subnet với IP và SubnetMask là 0.0.0.0/0.0.0.0, nhập địa chỉ gateway (đây là địa chỉ IP Next hope), interface là WAN1, Status là Enabled

Như vậy là các bạn đã tạo xong VLAN trên Fortigate và cấu hình cho các VLAN giao tiếp với nhau và truy cập Internet. 

Cấu hình Port trunk và vlan trên Switch Layer 2 

- Tạo vlan 10 11 12 

- Access port vào VLan

- Trunk port nối tới Firewall Fortigate ( ở đây là cổng 24) 

Kết Luận 

Trên đây là bài viết hướng dẫn cấu hình VLAN trên thiết bị tường lửa Fortigate. Nếu có thắc mắc và tư vấn mua bán thiết bị thì các bạn để lại comment hoặc liên hệ với chúng tôi qua trang web https://datech.vn để được hỗ trợ.