场景:
fortigate 200B防火墙一台,数台Cisco、H3C二层交换机。内网划分多个VLAN,由于之前
设计的是每个VLAN 对应fortigate 200B防火墙的一个物理端口,这样内网VLAN达到一定
数量后,就会受到防火墙物理端口数量的限制。 因此需要启用防火墙的VLAN功能,只使用
一个物理端口,类似于Cisco路由器中的单臂路由功能。
简单的网络结构如下图所示:
这里介绍一下配置过程。
一、接口配置部分
1. Web登录防火墙,定位到【系统管理】->【网络】->【接口】,点击"创建新的",如图示
2. 弹出接口创建界面,输入相关信息,这里需要注意:
接口名称: 可以任意取名,但以能唯一标识接口为目的
类型: 这里接口类型要选择VLAN接口,可选择的接口类型包括
接口: 从下拉列表选择要配置VLAN子接口的物理端口,这里以Port 14为例
VLAN ID: ID一定要要与交换机里配置好的VLAN ID相对应
IP地址/子网掩码: 为接口分配IP地址
管理访问: 勾选以启用访问类型
输入完成后,点击"OK"完成配置。
3. 重复以上步骤,依次配置其他VLAN接口,配置完成后如下所示:
这里一定要注意:
Port 14 , 即启用VLAN子接口的物理端口,不可以配置IP地址(蓝色标注部分)。这样可
以使物理端口处于Trunk模式,以识别交换网络的VLAN ID。
为了之后策略管理和维护方便,我们可以将VLAN接口根据区域来配置。
【网络】->【区】,点击"创建新的",弹出区域创建界面,如图示:
名称: 设置区域名称
接口成员: 勾选属于要设置区域的成员端口
设置完毕,单击"OK"即可.
这里我创建了三个区,如图示:
二、DHCP配置部分
接口配置完毕后,就可以为内网配置并启用DHCP Server了。
【系统管理】->【DHCP服务器】->【服务】,选择"创建新的", 弹出的DHCP配置界面,
如下所示:
接口名称: 选择要配置IP地址的VLAN接口名称,即配置接口时为接口设置的名称
模式: 这里选择服务器模式
2. 点击高级,展开高级配置界面,设置DHCP服务器高级选项:
如 域名称、地址租约、wins服务器地址等
重复以上步骤,增加其他DHCP服务器。
配置完毕后,如下图:
三、防火墙策略配置部分
要求:
1. Wired区和Wireless区网络可以互访,且都可以访问公网
2. Wireless-Guset 可以访问公网,但是不能访问内网
3. Wired 区和Wireless区可以访问Wireless-Guses区,以便于管理本段内设备
策略配置过程如下:
要求1:
【防火墙】->【策略】,选择"创建新的":
Wired->Wirelss:
Wireless->Wired:
Wired,Wireless-> WAN:
要求2:
Wireless-Guest-> WAN:
要求3:
Wired,Wireless->Wireless-Guset:
配置完成。
四、交换机配置部分
二层交换机上最重要的配置是: 与防火墙相连的端口配置为Trunk。
其他的就是创建vlan和分配端口和常规配置无差异。
这样就实现了fortigate的VLAN功能了。