Cấu hình VLAN ở chế độ NAT mode (mode thông dụng) trên Firewall Fortigate

Trong chế độ NAT mode, Fortigate hoạt động như thiết bị lớp 3. Trong chế độ này, FortiGate kiểm soát traffic của các gói tin giữa các VLAN, nhưng cũng có thể loại bỏ các thẻ VLAN từ các gói VLAN gửi đến.
Fortigate hỗ trợ Vlan trunk link theo chuẩn IEEE 802.1Q tương thích với Switch hoặc router.
Ta có thể tạo Vlan trên trên các interface vật lý. Thông thường, trên Fortigate cổng internal sẽ kết nối đến vlan trunk, cổng external kết nối ra internet, trên Fortigate ta có thể áp dụng các policy cho các interface vlan kết nối với cổng internal.

Ta sẽ cấu hình theo mô hình dưới đây:

Các bước cấu hình chung trên Fortigate

- Cấu hình cổng external
- Tạo vlan trên cổng internal
- Thêm địa chỉ mạng nội bộ và mạng bên ngoài
- Tạo các Policy:
+ Cho phép các vlan truy cập được với nhau
+ Các vlan có thể truy cập ra internet

1. Cấu hình trên Firewall Fortigate

- Cấu hình interface external

Vào System > Network > Interface

Chọn Edit trên interface external

Điền các thông tin và nhấn OK



- Cấu hình Vlan

Vào System > Network > Interface.
Chọn Create New
Điền thông tin vào và nhấn OK

Tạo Vlan 100


Tạo Vlan 200


Thêm các Range IP cho vlan 100,200
Vào Firewall Objects > Address > Addresses.
Chọn Create New.




- Tiếp theo chúng ta tạo các Policy như sau:
Vào Policy & Objects > Policy > IPv4 or Policy & Objects > Policy > IPv6 and select Create New.

Cho phép vlan 100 truy cập đến vlan 200


Cho phép vlan 200 truy cập đến vlan 100


Cho phép vlan 100, vlan 200 truy cập được internet





2. Cấu hình vlan trên Switch
Ta cấu hình vlan 100, 200 và access lần lượt vào port f0/3, f0/9

Cấu hình port f0/24 làm port trunk theo chuẩn IEEE 802.1Q.

!
interface FastEthernet0/3
switchport access vlan 100
!
interface FastEthernet0/9
switchport access vlan 200
!
interface FastEthernet0/24
switchport trunk encapsulation dot1q
switchport mode trunk


3. Kiểm tra và kết quả
Sau khi cấu hình ta kiểm tra như sau
- Từ vlan 100 truy cập đến vlan 200.
C:\>tracert 10.1.2.2
Tracing route to 10.1.2.2 over a maximum of 30 hops:
1 <10 ms <10 ms <10 ms 10.1.1.1
2 <10 ms <10 ms <10 ms 10.1.2.2
Trace complete.

- Từ vlan 200 truy cập đến cổng external
C:\>tracert 172.16.21.2
Tracing route to 172.16.21.2 over a maximum of 30 hops:
1 <10 ms <10 ms <10 ms 10.1.2.1
2 <10 ms <10 ms <10 ms 172.16.21.2
Trace complete.

Đến đây bài viết cấu hình VLAN trong chế độ NAT mode trên Firewall Fortigate cơ bản đã xong

Chúc các bạn thành công.

Chi tiết xem tại: Hướng dẫn cấu hình VLAN trên tường lửa Firewall Fortigate