Browse Ask a Question
 
Tools Add
Rss Categories

 Featured
Interface Configuration

Author: Partian Co Reference Number: AA-00256 Views: 3587 Created: 2017-05-22 09:52 Last Updated: 2018-01-14 16:53 100 Rating/ 1 Voters


 بررسی تنظیمات مربوط به Interface ، ایجاد Interface جدید ، ایجاد Zone

 

نکته:

در این آموزش از FortiOS 5.2.10 استفاده شده است.

دستگاه های Fortigate با توجه به مدل مربوطه، دارای پورتهای فیزیکی مختلفی می باشند که از جمله می توان به پورت های  ... ,WAN1, WAN2, MGMT, HA1, HA2, Console , DMZ, Port1 اشاره کرد.

برای تنظیمات مربوط به یک Interface باید از منوی سمت چپ به مسیر  System >Network > Interfaces بروید. در صفحه جدید شما لیستی از Interface های موجود را مشاهده خواهید کرد.



لازم به ذکر است Interface ها با عنوان Internal یا Lan شناخته می شوند. در این حالت Interface ها از نوع Hardware Switch بوده و مانند پورت های سویئچ عمل می کنند. در واقع تمامی Interface ها یک Interface در نظر گرفته می شوند. برای خارج کردن Interface مورد نظر خود ابتدا باید بر روی Internal کلیک کرده و مطابق شکل پورت مورد نظر خود را از VLAN Switch خارج کنید.


در ادامه به بررسی چگونگی تنظیمات یک Interface می پردازیم. برای تنظیمات یک Interface ابتدا باید بر روی Interface مورد نظر کلیک کنید.در صفحه جدید مطابق شکل زیر گزینه هایی جهت تنظیمات خواهید داشت که در زیر به بررسی هر کدام از این گزینه ها خواهیم پرداخت.

نکته:

  • : با استفاده از این فیلد می توانید یک نام برای Interface، با توجه به کاربرد آن در شبکه  انتخاب کنید.
  • : این فیلد وضعیت Interface را با مقادیر Up و Down بیان می کند.
  • Type:  مقادیر مربوط به این فیلد Physical Interface و Hardware Switch می باشد. اگر مقدار فیلد مربوطه Physical Interface باشد این بدان معناست که دستگاه Fortigate در حالت Interface Mode قرار دارد و اگر مقدار فیلد مربوطه Hardware Switch باشد، دستگاه Fortigate در حالت Switch Mode  قرار دارد.
  • Addressing Mode: در این قسمت نوع آدرس دهی به Interface مشخص می شود.گزینه های مربوط به این فیلد به قرار زیر می باشد:
  1. Manual: با انتخاب این گزینه می توانید به صورت Static و یا دستی به Interface مورد نظر، IP Address اختصاص دهید.
  2. DHCP: با انتخاب این گزینه، Interface مورد نظر  از یک DHCP Server موجود در شبکه و یا در صورت اتصال Interface به اینترنت، از ISP تامین کننده ی اینترنت، IP Address می گیرد.
  3. PPPoE: با انتخاب این گزینه Interface مورد نظر، IP Address را از یک PPPoE Server می گیرد.
  4.   One-Arm Sniffer:  با انتخاب این گزینه، Interface مورد نظر به عنوان یک One-Armed Sniffer عمل می کند. در واقع با انتخاب این گزینه، Interface به عنوان یک  IDS Appliance جهت Sniff کردن Packet ها بدون هیچ گونه Process بر روی Packet، عمل می کند.
  5. Dedicated to Extension Device: این گزینه برای استفاده از ForiAP و یا FortiSwitch زمانی که مستقیما به Interface مورد نظر وصل شوند بکار می رود.
  6. Dedicated as Ethernet Trunk: با انتخاب این گزینه Interface مورد نظر به عنوان یک Ethernet Trunk در نظر گرفته می شود.

  • در صورت انتخاب گزینه ی DHCP برای فیلد Addressing Mode چند فیلد دیگر به منوی تنظیمات اضافه خواهد شد:

نکته:

  • اگر گزینه Retrieve default gateway from server فعال گردد، Interface آدرس Default Gateway را از DHCP Server می گیرد. در صورت نگرفتن Default Gateway شما می توانید به مسیر Router > Static>Static Route > Create New رفته و یک Static Route جهت ایجاد Default Gateway بنوسید.
  • فیلد Distance مربوط به Administrative Distance می باشد. شما می توانید یک عدد صحیح بین 255-1 را به این فیلد اختصاص دهید. Administrative Distance زمانی کار برد دارد که شما چند Route به سمت یک Destination داشته باشید. به این ترتیب می توانید بین Route ها اولیت بندی کنید.
  • اگر گزینه ی فعال گردد، Interface آدرس DNS را از DHCP Server می گیرد. در صورت نگرفتن DNS شما می توانید به مسیر System > Network >DNS رفته و به صورت دستی تنظیمات DNS را انجام دهید.

  • در صورت انتخاب گزینه ی PPPoE برای فیلد Addressing Mode چند فیلد دیگر به منوی تنظیمات اضافه خواهد شد:

نکته:

  • User Name و Password مربوط به اکانت PPPOE را وارد کرده و در قسمت Unnumbered IP یک IP Address به Interface مورد نظر اختصاص  دهید.
  • برای فیلد Initial Disc Timeout زمان انقضای PPPoE Discovery را وارد کنید. 
  • فیلد Initial PADT Timeout جهت Shut Down کردن PPPoE Session استفاده می شود. به این صورت که اگر PPPoE Session به اندازه ی مدت زمان تعیین شده برای فیلد مذکور به صورت غیر فعال باشد، Shut down می شود. اگر مقدار این فیلد را برابر 0 قرار دهید Initial PADT Timeout غیر فعال می شود.

نکته:

  • : در این قسمت انواع دسترسی های مجاز برای Interface، مشخص می گردد. این قسمت شامل گزینه های زیر می باشد.
  1. HTTPS: با انتخاب این گزینه اجازه ی ایجاد یک Secure Connection و یا دسترسی امن به WebUI  از طریق Interface مورد نظر داده می شود.
  2. PING: با انتخاب این گزینه،Ping را بر روی Interface مورد نظر باز می کنیم.
  3.  HTTP: با انتخاب این گزینه اجازه ی ایجاد یک Connection به WebUI از طریق Interface مورد نظر داده می شود. در مقایسه با HTTPS، این Connection امن نیست.
  4. FMG-Access: برای اتصال FortiManager به دستگاه Fortigate استفاده می شود.
  5. CAPWAP:به Wireless Controller امکان مدیریت یک Wireless Access Point را می دهد.
  6. SSH: با انتخاب این گزینه، اجازه ی یک SSH Connection از طریق Interface مورد نظر داده می شود.
  7. SNMP: برای اتصال Remote SNMP Manager به دستگاه Fortigate استفاده می شود.
  • : با فعال کردن این گزینه Interface فوق به عنوان یک DHCP Server عمل می کند. با فعال کردن این گزینه، فیلد های دیگری به تنظیمات اضافه خواهد شد. لازم به ذک است گزینه ی DHCP Server در حالت Transparent در دسترس نمی باشد.


نکته:

  • در قسمت Address Range و Netmask، با توجه به IP Address اختصاص داده شده به Interface مورد نظر و از همان Subnet، یک IP Address Pool برای DHCP Server در نظر گرفته می شود، البته می توانید این Pool را با انتخاب گزینه Edit تغییر دهید.
  • در قسمت دو گزینه وجود دارد:
  1.  Same as Interface IP: با انتخاب این گزینه مشخص می کنید که DHCP Server همان Gateway مربوط به Interface را به عنوان Default Gateway، جهت اختصاص به کاربران در نظر بگیرد. 
  2. Specify: با انتخاب این گزینه شما یک آدرس جدید را به عنوان Default Gateway جهت اختصاص به کاربران در نظر می گیرید.
  • با انتخاب Advanced شما گزینه های دیگری جهت تنظیم DHCP server خواهید داشت:
  • Mode: در این  قسمت اگر گزینه ی Server انتخاب شود Interface به عنوان DHCP Server در نظر گرفته می شود و اگر گزینه ی Relay انتخاب شود شما قادر خواهید بود آدرس یک DHCP Server را جهت انجام عمل آدرس دهی به Interface مورد نظر معرفی کنید.
  •   NTP Server: از این گزینه می توانید جهت تنظیمات مربوط به زمان استفاده کنید.
  • Time Zone: از این گزینه جهت تنظیم Time Zone ای که DHCP Server به کاربر اختصاص می دهد، استفاده می شود.
  • Next Bootstrap Server: اگر قصد استفاده از یک Secondary DHCP Server را دارید از این گزینه استفاده کنید.
  • : توسط این گزینه شما می توانید بر اساس MAC Address، یک IP Address را به کاربر اختصاص داده، رزرو کنید و یا کاربر فوق را Block کنید.                 
  • Type: این قسمت شامل گزینه های Regular DHCP service و DHCP over IPsec services می باشد.


نکته:

  • Lease Time: توسط این گزینه می توانید مدت زمانی که یک IP Address در اختیار یک کاربر قرار می گیرد را تعیین کنید. بعد از اتمام مدت زمان فوق، این IP Address جهت اختصاص به کاربران دیگری که درخواست آدرس کرده اند آزاد می گردد.   مدت زمان پیش فرض برای Lease Time هفت روز می باشد. لازم به ذکر است تغییر زمان فوق تنها با وارد کردن دستورات امکان پذیر می باشد بدن منظور از منوی سمت چپ به مسیر Global > Dashboard > Statusرفته و CLI Console Widget را انتخاب و دستورات زیر را وارد کنید:

config system dhcp server
edit
server_entry_number
set lease-time
seconds
end

جهت اختصاص مدت زمان تا محدود عدد صفر را در نظر بگیرید.

  • همچنین جهت باز پس گیری یک آدرس اختصاص داده شده می توانید از دستور زیر استفاده کنید:

execute dhcp lease-clear ip_address

جهت مشاهده ی آدرس های اختصاص داده شده به کاربران می توانید از منوی سمت چپ به مسیر System >Monitor > DHCP Monitor بروید. لازم به ذکر است که با کلیک راست بر روی هر کاربر می توانید تنظیماتی از جمله رزرو آدرس برای کاربر فوق را انجام دهید.

نکته:

  • Security Mode: با انتخاب گزینه ی Captive Portal شما می توانید یک Portal Message تعریف کنید. در نتیجه کاربران به هنگام Login کردن با Portal Message فوق روبرو شده و برای دسترسی به Interface مورد نظر و یا اینترنت، ملزم به وارد کردن نام کاربری و پسورد می شوند. همچنین می توانید یک یا تعداد بیشتری گروه کاربری جهت دسترسی به Interface مورد نظر ایجاد و در Captive Portal اعمال کنید. لازم به ذکر است جهت تغییر شکل ظاهری و محتوی صفحه ی Portal Message به مسیر System >Config > Replacement Messages رفته و در صفحه ی جدید Login Page را انتخاب کنید.
  •   : با فعال کردن گزینه ی Detect and Identify Devices، شما می توانید با رفتن به مسیر User & Device > Device> Device Definitions، اطلاعات کاملی از دستگاه های متصل شده به Interface مورد نظر را مشاهده کنید.
  • : با فعال کردن گزینه ی فوق، ترافیک وب سرور بر روی Interface مورد نظر مطابق با تنظیمات Web Proxy رد و بدل می شود. در نتیجه کلیه ی کاربران ابتدا باید proxy با پورت معیین شده در تنظیمات Web Proxy را در سیستم خود فعال کنند تا بتوانند Web Page های مورد نظر خود را باز کنند. با فعال کردن گزینه ی فوق، اگر به مسیر System > Network > Explicit Proxy بروید، Interface مورد نظر را در قسمت Listen on Interfaces مشاهده خواهید کرد.
  • : با فعال کردن این گزینه Interface مورد نظر به عنوان یک Listening Port برای RADIUS Content در نظر گرفته می شود.
  • Secondary IP Address: این گزینه امکان اختصاص Additional IPv4 Address را به Interface مورد نظر فراهم می کند.
  • Comments: از این گزینه برای اضافه کردن توضیحات برای Interface مورد نظر استفاده می شود. لازم به ذکر است طول توضیحات فوق باید بین 1 تا 63 کاراکتر باشد.
  • Administrative Status: این قسمت شامل گزینه های زیر می باشد.
  1. Up: در این حالت Interface  فعال می شود و قابلیت Send و Receive کردن Traffic را دارد.
  2. Down: در این حالت Interface غیر فعال می شود و قابلیت Send و Receive کردن Traffic را ندارد.

ایجاد یک Virtual Interface

 همانطور که می دانید دستگاه Fortigate بر اساس مدل دارای چندین پورت فیزکی می باشد که در بالا به بررسی چگونگی تنظیمات پورت های فیزیکی پرداختیم. دستگاه Fortigate قابلیت ایجاد پورت های منطقی و یا Virtual Interface ها را نیز دارا می باشد که در ادامه به بررسی چگونگی ایجاد این نوع از Interface ها می پردازیم.

  • برای ایجاد یک Interface باید از منوی سمت چپ به مسیر System > Network > Interface رفته و Create New را انتخاب کنید. همانطور که در شکل زیر می بینید بیشتر گزینه های موجود جهت تنظیم Interface مشابه گزینه های موجود جهت تنظیم یک پورت فیزیکی است که در بالا در باره آن ها توضیحات کامل داده شد از این رو در این قسمت فقط به بررسی گزینه های جدید می پردازیم.



 

نکته:

در قسمت Type باید نوع Virtual Interface ای که قصد ایجاد آن را دارید مشخص کنید. در شکل زیر گزینه های موجود برای این قسمت را مشاهده می کنید که در ادامه به بررسی تک تک این گزینه ها می پردازیم.



نکته:

  • VLAN: این نوع از Interface ها، قابلیت های دستگاه Fortigate را افزایش می دهند. VLAN ها باعث افزایش  Security در شبکه شده و همچنین با انجام عمل Tagging باعث می شود Device های شبکه به صورت منطقی و نه فیزیکی به Broadcast Domain های کوچک تر تفکیک شوند. در نتیجه این Domain های کوچک تر، Packet ها را فقط به سمت Device هایی که در یک VLAN مشابه قرار دارند می فرستد که این عمل از یک سو باعث کاهش Traffic در سطح شبکه شده و از سوی دیگر باعث افزایش امنیت می شود. در صورتی که گزینه ی VLAN را انتخاب کنید باید در مرحله ی بعد Interface هایی که قصد دارید به VLAN فوق دسترسی داشته باشند را در قسمت Interface معین کنید. همچنین در قسمت VLAN ID باید شماره VLN مورد نظر خود را وارد کنید.
  • 802.3ad Link Aggregate: این گزینه قابلیتی را برای شما فراهم می کند که دو یا چند Interface را با هم Bind  کنید و در نتیجه یک Aggregated Link و یا همان Combined Link  ایجاد کنید. Bandwidth مربوط به Link جدید برابر مجموع Bandwidth همه ی Interface های ترکیب شده می باشد. اگر یکی از Interface ها به هر دلیلی از کار افتاد، Traffic به صورت اتوماتیک از مابقی Interface های تشکیل دهنده ی Link فوق به مسیر خود ادامه می دهد و تنها Bandwidth کاهش پیدا می کند. این عمل مشابه Redundant Interface می باشد با این تفاوت که Redundant Interface در یک زمان واحد فقط از یک Interface استفاده می کند در حالی که Aggregated Link از کل Bandwidth مربوط به Interface های ترکیبی استفاده می کند.
  •  Redundant Interface: با انتخاب این گزینه شما می توانید توسط دو یا تعداد بیشتری physical interfaces یک Link Redundancy ایجاد کنید.
  • Loopback Interface: یک Loopback Interface در واقع یک Logical Interface است که همیشه در حالت UP قرار دارد و Subnet متعلق به این Interface همیشه در Routing Table قابل مشاهده می باشد.
  • VLAN Switch: این گزینه امکان ساخت یک Virtual Switch را برای شما فراهم می کند.این ویژگی فقط در مدل های 100D, 600C, 1000C, and 1240B وجود دارد.
  • Software Switch: این گزینه امکان ساخت یک Virtual Switch را برای شما فراهم می کند. Software Switch به صورت سخت افزاری اجرا نمی شود بلکه به صورت نرم افزاری اجرا می شود. Software Switch جهت آسان کردن ارتباط بین Device هایی که، به Interface های متمایز در یک Fortigate متصل هستند، مورد استفاده قرار می گیرد. به عنوان مثال شما می توانید Interface متصل به Internal Network خود را، به همراه Interface متصل به Wireless Network  در یک Subnet مشابه قرار دهید، بنابراین Device های موجود در شبکه ی داخلی شما می توانند بدون ایجاد Policy اضافی با دستگاه های موجود در شبکه ی Wireless ارتباط بر قرار کنند. این گزینه زمانی که شما به پورت های فیزیکی بیشتری نیاز دارید کاربردی خواهد بود. برای مثال دستگاه Fortigate دارای چهار Port Switch و همچنین پورت های WAN1, WAN2 , DMZ می باشد و شما به یک پورت بیشتر نیازمندید شما می توانید یک Software Switch ایجاد کرده که شامل چهار Port Switch و پورت DMZ باشد. مشابه Hardware Switch، یک Software Switch نیز شبیه یک Single Interface عمل می کند. Software Switch، یک IP Address دارد و تمامی Interface های موجود در آن در یک Subnet قرار می گیرند.
  • WiFi SSID: برای مشاهده تنظیمات این گزینه می توانید از لینک WIFi SSID استفاده کنید.
  • همانطور که در شکل زیر می بینید اگر گزینه ی 802.3ad link aggregate را برای فیلد Type انتخاب کنید، در ادامه باید Interface هایی که قصد دارید Aggregate شوند را توسط فیلد انتخاب کنید.

نکته:

یک Interface در شرایطی خاص می تواند با دیگر Interface ها Aggregate شود.

  • یک Physical Interface باشد و نه یک VLAN Interface و یا Sub-Interface
  • در حال حاضر جزء Aggregate Interface و یا Redundant Interface دیگری نباشد.
  • Interface ها باید همگی از یک VDOM باشند.
  • Interface نباید IP Address داشته باشد. همچنین نباید تنظیمات  DHCP و یا PPPoE بر وری آن انجام شده باشد.
  • Interface نباید در هیچ Security Policy, VIP, IP Pool و یا Multicast Policy استفاده شده باشد.
  • Interface نباید یک HA Heartbeat Interface باشد.


  • همانطور که در شکل زیر می بینید اگر گزینه ی Redundant Interface را برای فیلد Type انتخاب کنید، در ادامه باید Interface هایی که قصد دارید Redundant شوند را توسط فیلد انتخاب کنید.



نکته:

یک Interface در شرایطی خاص می تواند با دیگر Interface ها Redundant شود.

  • یک Physical Interface باشد و نه یک  VLAN Interface و یا Sub-Interface
  • در حال حاضر جزوAggregate Interface و یا Redundant Interface دیگری نباشد.
  • Interface باید همگی از یک VDOM باشند.
  • Interface نباید IP Address داشته باشد. همچنین نباید تنظیمات  DHCP و یا PPPoE بر وری آن انجام شده باشد.
  • Interface نباید در هیچ Security Policy, VIP, IP Pool و یا Multicast Policy استفاده شده باشد.
  • Interface نباید یک HA Heartbeat Interface باشد.

نکته:

اگر یک Interface در یک Redundant Interface و یا در یک Link Aggregate قرار گیرد، این Interface دیگر در مسیر System > Network > Interface و در لیست Interface ها قابل مشاهده نخواهد بود و شما نمی توانید از این Interface بصورت جداگانه در Policy, VIP, و یا Routing استفاده کنید.

  •  همانطور که در شکل زیر می بینید اگر گزینه ی Loopback Interface  را برای فیلد Type انتخاب کنید، مشاهده خواهید کرد که Loopback Interface شامل هیچ پورت فیزیکی نمی شود. بنابراین شما قادر خواهید بود از طریق چندین Physical Interface و یا VLAN Interface به آن دسترسی داشته باشید.


نکته:

یک Loopback Interface می تواند در موارد زیر مورد استفاده قرار گیرد:

Management Access
BGP (TCP) Peering
PIM RP

 

نکته:

  • Loopback Interface ها می توانند در تنظیمات OSPF مورد استفاده قرار گیرند. شما می توانید از IP Address مربوط بهLoopback Interface به عنوان Router ID در این تنظیمات استفاده کنید که موجب سهولت عمل Troubleshooting می شود.
  • همچنین Dynamic Routing Protocol ها می توانند بر روی Loopback Interface فعال گردند.
  •  لازم به ذکر است که برای Send و Receive کردن ترافیک از طریق این Interface نیاز به ایجاد یک Policy می باشد.

نکته:

تفاوت Software Switch و Hardware Switch و VLAN Switch :

  • Software Switch: ترافیک توسط CPU پردازش می شود. در این Switch شما می توانید VLAN Interface ، Hardware Switch یا Physical Interface را اضافه کنید.
  • Hardware Switch: ترافیک توسط Asic پردازش می شود. در این Switch شما فقط می توانید Physical Interface ها را اضافه کنید.
  • VLAN Switch: در این حالت یک VLAN برای Switch تعریف می کنید. شما همچنین می توانید یک Trunk Port تعریف کنید.

 ایجاد یک Zone
 Zone ها گروهی از یک یا چند Interface هستند. این Interface ها می توانند Physical Interface و یا Virtual Interface و یا ترکیبی از هر دو نوع باشند. در حالتی که قسمت های مختلف شبکه باید از یک Policy و Protection Profile استفاده کنند،  ایجاد یک Zone توسط گروهی از Interface ها و VLAN Sub-Interface ها می تواند باعث تسهیل در ایجاد Policy فوق گردد. و از ایجاد چند Policy مشابه جلوگیری کند.

زمانی که یک Zone ایجاد می کنید و Interface ها و VLAN Sub-Interface هایی را به آن اضافه می کنید، هر کدام از این Interface ها کماکان IP Address مربوط به خود را دارند و عمل Routing همچنان بین Interface ها انجام می پذیرد. همچنین می توان Policy هایی جهت کنترل جریان ترافیک داخل Zone ایجاد کرد.

پس از ایجاد یک Zone، می توانید Policy هایی جهت اتصال به داخل و خارج Zone ایجاد کنید ولی دیگر نمی توانید Policy  هایی جهت اتصال بین Interface های موجود در یک Zone ایجاد کنید.

  • جهت ایجاد یک Zone از منوی سمت چپ به مسیر System > Network > Interface رفته و بر روی علامت فلش در کنار Create New کلیک کرده و Zone را انتخاب کنید.




نکته:

  • ابتدا در فیلد Zone Name یک نام برای Zone  انتخاب کرده سپس گزینه ی Block Intra-Zone Traffic را فعال و در آخر Interface های مورد نظر خود را انتخاب کنید.

 


 




Rss Comments
  • There are no comments for this article.
Info Add Comment
Nickname: Your Email: Subject: Comment:
Enter the code below:
Info Ask a Question