Cấu hình VLAN ở chế độ Transparent mode trên Firewall Fortigate

Trong Transparent mode, Fortigate hoạt động giống như một Bridge layer 2 nhưng vẫn có thể cung cấp các dịch vụ như quét virus, lọc web, lọc spam, bảo vệ xâm nhập…Có một số hạn chế trong mode này là bạn không thể sử dụng SSL VPN, PPTP / L2TP VPN, DHCP….

Bạn có thể đặt Fortigate vào giữa (Router và Switch) mà không làm thây đổi hệ thống mạng. Để các trafic Vlan đi qua được Fortigate, bạn add thêm hai subinterface có cùng vlan ID, một trên cổng internal và một trên cổng external. Sau đó bạn tạo các policy cho phép các gói tin chuyển từ Vlan internal sang Vlan external và ngược lại. Trong mode này, không cho phép bạn chuyển các gói tin qua lại giữa các vlan khác nhau.

Khi Fortigate nhân được một gói tin Vlan- tagged trên một cổng vật lí, nó sẽ chuyển gói tin tới Vlan có Vlan ID phù hợp. Thẻ Vlan được lấy ra khỏi gói tin. Dựa vào policy gói tin sẽ được chuyển tới sub-interface Vlan, gói tin được gắn Vlan ID theo sub-interface và gói tin được chuyển đến cổng vật lí tương ứng.

Mô hình mạng như sau:



Các bước cấu hình:

• Cấu hình Firewall Fortigate

- Add subinterface Vlan
- Add policy

• Cấu hình trên Switch Cisco và Router Cisco

1. Cấu hình trên Firewall Fortigate

Add subinterface Vlan
Đối với mỗi Vlan, bạn cần tạo một subinterface vlan trên cổng internal và external cùng Vlan ID
- Vào System > Network > Interface.
- Chọn Create New.
- Điền các thông tin và chọn OK.

VLAN 100




VLAN 200




Tạo policy
Tạo các policy cho phép truyền các gói tin giữa VLAN_x00_int và VLAN_x00_ext.
- Vào Policy & Objects > Policy > IPv4
- Chọn Create New.
- Nhập các thông tin sau và nhấp OK.

VLAN_100_int to VLAN_100_ext


VLAN_100_ext to VLAN_100_int


VLAN_200_int to VLAN_200_ext


VLAN_200_ext to VLAN_200_int


2. Cấu hình trên Switch Cisco.

Trên switch bạn cần tạo 2 vlan 100, 200 và 1 port trunk và gán các port vào Vlan tương ứng sau.


Các lệnh để cấu hình:

interface FastEthernet0/3
switchport access vlan 100
!
interface FastEthernet0/9
switchport access vlan 200
!
interface FastEthernet0/24
switchport trunk encapsulation dot1q
switchport mode trunk

3. Cấu hình trên Router cisco
Bạn cũng tạo subinterface vlan và port trunk như sau:


Các lệnh để cấu hình:

interface FastEthernet0/0
!
interface FastEthernet0/0.1
encapsulation dot1Q 100
ip address 10.100.0.1 255.255.255.0
!
interface FastEthernet0/0.2
encapsulation dot1Q 200
ip address 10.200.0.1 255.255.255.0

4. Kiểm tra cấu hình.
Sử dụng các lệnh như tracert và ping để kiểm tra traffic qua mạng.
Kiểm tra traffic từ Vlan_100 đến Vlan_200

C:\>tracert 10.1.2.2

Tracing route to 10.1.2.2 over a maximum of 30 hops:

1 <10 ms <10 ms <10 ms 10.1.1.1

2 <10 ms <10 ms <10 ms 10.1.2.2

Trace complete.

Như vậy chúng ta cơ bản đã cấu hình VLAN ở chế độ Transparent mode trên Firewall Fortigate thành công.

Cám ơn các bạn đã theo dõi bài viết.

Chi tiết xem tại: Hướng dẫn cấu hình VLAN trên tường lửa Firewall Fortigate