Настройка VLAN
Виртуальные локальные сети (VLAN) позволяют сегментировать сеть, увеличить производительность и обеспечить дополнительную безопасность сети.
В качестве примера создадим две виртуальных сети с доступом друг к другу и в интернет.
Создание интерфейсов
Графический интерфейс
Для создания нового интерфейса:
- Перейдите на вкладку Network → Interfaces.
- Задайте имя новому интерфейсу.
- Для параметра Type выберите значение VLAN.
- Задайте идентификатор сети в поле VLAN ID.
- Выберите для параметра Role значение LAN.
- В поле IP/Netmask задайте адрес и маску сети.
- Добавьте адреса для созданных VLAN. Для этого перейдите в раздел Policy & Objects → Addresses.
- Создайте новый адрес и укажите его имя и IP-адрес. В последних версиях прошивки FortiOS данные адреса создаются автоматически при создании VLAN-интерфейсов.
Консольный интерфейс
Для создания нового интерфейса через CLI введите:
config system interface
edit “VLAN 101”
set vdom root
set ip 192.168.101.1 255.255.255.0
set allowaccess ping https ssh http
set role lan
set interface lan
set vlanid 101
next
edit “VLAN 102”
set vdom root
set ip 192.168.102.1 255.255.255.0
set allowaccess ping https ssh http
set role lan
set interface lan
set vlanid 102
end
Добавьте адреса для созданных VLAN:
config firewall address
edit VLAN 101 address
set type ipmask
set subnet <IP> <MASK>
next
edit VLAN 102 address
set type ipmask
set subnet <IP> <MASK>
end
Настройка политики безопасности
Графический интерфейс
Создайте две политики для доступа подсетей VLAN друг другу. Для добавления правил:
- Перейдите в раздел Policy & Objects → IPv4 Policy и создайте новую политику.
- В качестве Incoming Interface выберите интерфейс первого VLAN, а в качестве Outgoing Interface — интерфейс второго VLAN.
- В качестве Source выберите адрес первого VLAN, в качестве Destination — адрес второго VLAN.
- В данной политике NAT не нужен, поэтому убедитесь, что он выключен.
- Создайте вторую политику, но поменяйте местами VLAN.
- Создайте две политики для каждой подсети VLAN для доступа в интернет по аналогии с предыдущими, но в качестве Outgoing Interface выберите внешний интерфейс.
В данных политиках убедитесь, что NAT включен.
Консольный интерфейс
Для создания новой политики через CLI введите:
config firewall policy
edit 3
set name "VLAN 101 to VLAN 102"
set srcintf "VLAN 101"
set dstintf "VLAN 102"
set srcaddr "VLAN 101 address"
set dstaddr "VLAN 102 address"
set action accept
set schedule "always"
set service "ALL"
set nat disable
next
edit 4
set name "VLAN 102 to VLAN 101"
set srcintf "VLAN 102"
set dstintf "VLAN 101"
set srcaddr "VLAN 102 address"
set dstaddr "VLAN 101 address"
set action accept
set schedule "always"
set service "ALL"
set nat disable
next
end
Создайте две политики для каждой подсети VLAN для доступа в интернет по аналогии с предыдущими:
config firewall system
edit 5
set name "VLAN 101 to Internet"
set srcintf "VLAN 101"
set dstintf "wan1"
set srcaddr "VLAN 101 address"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
next
edit 6
set name "VLAN 102 to Internet"
set srcintf "VLAN 102"
set dstintf "wan1"
set srcaddr "VLAN 102 address"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
next
end