Fortigate 防火墙如何配置VLAN功能

  1. 云栖社区>
  2. 博客>
  3. 正文

Fortigate 防火墙如何配置VLAN功能

技术小胖子 2017-11-03 20:07:00 浏览847
展开阅读全文

 

场景: 

fortigate 200B防火墙一台,数台Cisco、H3C二层交换机。内网划分多个VLAN,由于之前

设计的是每个VLAN 对应fortigate 200B防火墙的一个物理端口,这样内网VLAN达到一定

数量后,就会受到防火墙物理端口数量的限制。 因此需要启用防火墙的VLAN功能,只使用

一个物理端口,类似于Cisco路由器中的单臂路由功能。

 

简单的网络结构如下图所示:

      wKioL1PxlNmiRTaIAACGt3mMCwE288.jpg

 

这里介绍一下配置过程。

 

一、接口配置部分

 

1. Web登录防火墙,定位到【系统管理】->【网络】->【接口】,点击"创建新的",如图示 

      wKioL1PxkB3g00lLAAFtt4ZDqUw672.jpg 

2. 弹出接口创建界面,输入相关信息,这里需要注意:

        接口名称:    可以任意取名,但以能唯一标识接口为目的

        类型:  这里接口类型要选择VLAN接口,可选择的接口类型包括

                            wKioL1PxkTKi8-MWAABRCCVNKYU943.jpg     

 

        接口:   从下拉列表选择要配置VLAN子接口的物理端口,这里以Port 14为例

        VLAN ID:  ID一定要要与交换机里配置好的VLAN ID相对应

        IP地址/子网掩码: 为接口分配IP地址

        管理访问:   勾选以启用访问类型 

 

wKiom1Pxj1njqIeqAAGeTjg9s5w690.jpg

 

 输入完成后,点击"OK"完成配置。

 

3.  重复以上步骤,依次配置其他VLAN接口,配置完成后如下所示:

     

      wKiom1PxlNqAA_gdAAHD8HADwFM514.jpg

 

 这里一定要注意:

        Port 14 , 即启用VLAN子接口的物理端口,不可以配置IP地址(蓝色标注部分)。这样可

以使物理端口处于Trunk模式,以识别交换网络的VLAN ID。

 

为了之后策略管理和维护方便,我们可以将VLAN接口根据区域来配置。

【网络】->【区】,点击"创建新的",弹出区域创建界面,如图示:

     名称:   设置区域名称

     接口成员:  勾选属于要设置区域的成员端口

     wKioL1Pxn2SA7uoJAACbLD68v18245.jpg

    设置完毕,单击"OK"即可.

 

 这里我创建了三个区,如图示:

     wKiom1PxnsCgvH_bAADOWdICw_0098.jpg

 

 

二、DHCP配置部分

 

 接口配置完毕后,就可以为内网配置并启用DHCP Server了。

 

  1. 【系统管理】->【DHCP服务器】->【服务】,选择"创建新的", 弹出的DHCP配置界面,

     如下所示:

    接口名称:   选择要配置IP地址的VLAN接口名称,即配置接口时为接口设置的名称

    模式:  这里选择服务器模式

    其他信息就可以根据网络状态自行配置了

    wKiom1PxnIviIA99AAGTNvsUdTg187.jpg

     

 2.   点击高级,展开高级配置界面,设置DHCP服务器高级选项:

       如 域名称、地址租约、wins服务器地址等

        wKioL1PxncmDJTWPAAESG6_6jWA223.jpg

        

重复以上步骤,增加其他DHCP服务器。

配置完毕后,如下图:

  wKioL1PxnnKgYJg-AAF-KLl8cJE559.jpg

 

 

三、防火墙策略配置部分

  

      要求:

           1. Wired区和Wireless区网络可以互访,且都可以访问公网

           2. Wireless-Guset 可以访问公网,但是不能访问内网

           3. Wired 区和Wireless区可以访问Wireless-Guses区,以便于管理本段内设备

 

策略配置过程如下:

 

要求1:

【防火墙】->【策略】,选择"创建新的":

  Wired->Wirelss:

     wKioL1PxoaGz-4NdAAFkhT41SgY484.jpg

 Wireless->Wired:

    wKiom1PxoQqDIR0cAAFeanhgU1A976.jpg

Wired,Wireless-> WAN:   

    wKioL1PxoqHy2tAlAAFcOlMxKWc226.jpg

    wKiom1PxoYjxTO4JAAFlSLpaIaA753.jpg

 

 要求2:

     Wireless-Guest-> WAN:

     wKiom1PxqNKyd8rvAAEr8_saXF0365.jpg

 

要求3:  

  Wired,Wireless->Wireless-Guset:  

wKiom1PxqYPz_Jt-AAEcAshF3GY716.jpg

wKioL1PxqpvABFTCAAEJodKl8b4937.jpg

 

配置完成。


四、交换机配置部分 

 

    二层交换机上最重要的配置是: 与防火墙相连的端口配置为Trunk。

    其他的就是创建vlan和分配端口和常规配置无差异。



这样就实现了fortigate的VLAN功能了。



     本文转自marbury 51CTO博客,原文链接:http://blog.51cto.com/magic3/1541538,如需转载请自行联系原作者



网友评论

登录后评论
0/500
评论
技术小胖子
+ 关注