Browse Ask a Question
 
Tools Add
Rss Categories

VLAN Configuration in NAT Mode

Author: Partian Co Reference Number: AA-00347 Views: 1961 Created: 2017-10-15 16:12 Last Updated: 2017-12-28 10:22 0 Rating/ Voters

ایجاد VLAN در شرایطی که دستگاه FortiGate در حالت NAT عمل می کند

 Virtual Local Area Network که با نام VLAN نیز معرفی می شود، قابلیت های دستگاه FortiGate را افزایش داده و باعث افزایش امنیت شبکه می شود. VLAN در واقع توسط عمل Tag کردن، به صورت منطقی دستگاه های موجود در شبکه را در Broadcast Domain های کوچک تر تقسیم می کند. این دامین ها ی کوچک تر پکت ها را تنها بین دستگاه های موجود در خود رد و بدل می کنند. این موضوع باعث کاهش ترافیک در سطح شبکه شده و امنیت شبکه را افزایش می دهد.

هر دستگاه FortiGate بدون فعال سازی VDOM قادر به داشتن حداکثر  255 پورت در حالت Transparent می باشد. لازم به ذکر است که در صورت فعال ساز ی VDOM این مقدار برای هر VDOM نیز صدق می کند. در حالت NAT تعداد پورت می تواند از 0 تا 8192 در هر VDOM باشد. که البته تعداد فوق بستگی به مدل دستگاه FortiGate دارد. این تعداد پورت شامل VLAN ها، دیگر پورت های منطقی و پورت های فیزیکی می شود. جهت داشتن بیشتر از  255 پورت در حالت Transparent باید چند VDOM بر روی دستگاه تنظیم شود.

VLAN ID Rules

سوئیچ های لایه ی دو و دستگاه های لایه ی سه هنگام ورود ترافیک یک Tagرا به آن اضافه می کنند و هنگام تحویل ترافیک به مقصد نهایی این Tag را حذف می کنند. دستگاه هایی از قبیل کامپیوتر ها و سرور ها نیاز به تنظیمات خاصی در رابطه با VLAN ها ندارند. تعداد VLAN ID از 1 تا 4094 می باشد در حالی که 0 برای فریم های با اولویت بالا و 4095 نیز رزرو می باشد.

در سوئیچ های لایه ی دو به ازای هر پورت فیزیکی تنها می توانید یک VLAN Subinterface داشته باشید مگر این که آن پورت به عنوان یک پورت Trunk تنظیم شده باشد. در FortiGate می توانید چندین VLAN به یک پورت فیزیکی اضافه کنید. لازم به ذکر است VLAN Subinterface هایی که به یک پورت فیزیکی اضافه می شوند نمی توانند دارای VLAN ID مشابه و یا IP Address با Subnet مشابه باشند. شما می توانید VLAN Subinterface هایی با VLAN ID مشابه را در پورت فیزیکی های مختلف اضافه کنید. توجه شود که ایجاد VLAN Subinterface هایی با VLAN ID مشابه موجب ایجاد یک ارتباط داخلی بین آن ها نمی شود. به عنوان مثال ایجاد VLAN ID با شماره ی 300 بر روی پورت 1 و VLAN ID با شماره ی 300 بر روی پورت 2 مجاز می باشد اما با هم ارتباط داخلی ندارند.  بلکه ارتباط بین این دو همانند ارتباط دو پورت فیزیکی در FortiGate می باشد.

VLAN Switching and Routing

VLAN Switching در لایه ی دو مدل OSI انجام می شود. VLAN Routing در لایه ی سه مدل OSI انجام می شود. در VLAN Switching پکت ها به سادگی به سمت مقصد فرستاده می شود اما در VLAN Routing این امکان وجود دارد که پکت باز شده و Tag مربوطه، جهت فرستاده شدن به مقصد جدید تغییر یابد.

در حالت NAT دستگاه FortiGate به عنوان یک دستگاه لایه ی سه عمل می کند. در این حالت دستگاه FortiGate جریان پکت بین VLAN ها را کنترل می کند. همچنین Tag ها را از پکت های ورودی حذف می کند. دستگاه FortiGate همچنین می تواند پکت هایی که Tag نشده اند را نیز به سمت شبکه های دیگر از جمله اینترنت بفرستد.

معمولا در تنظیمات VLAN پورت داخلی دستگاه FortiGate به یک VLAN Trunk متصل می شود و پوت External به یک Internet Router که تنظیمات VLAN بر روی آن انجام نشده وصل می شود. در این تنظیمات می توانید Policy های مختلفی را بر روی هر VLAN Interface ای که به پورت داخلی متصل شده است اعمال کنید.

ایجاد VLAN Subinterface

یک VLAN Subinterface که با نام VLAN نیز معرفی می شود، در واقع یک پورت منطقی می باشد که بر روی یک پورت فیزیکی اضافه می شود. این Subinterface برای پکت هایی که دارای Tag هستند امکان Routing را توسط پورت فیزیکی فراهم می کند. 

ایجاد یک VLAN Subinterface شامل تنظیمات زیر می باشد :

  1. Physical Interface
  2. IP Address and Netmask
  3. VLAN ID
  4. VDOM

Physical interface

VLAN Subinterface به این موضوع اشاره دارد که یک Interface از نوع VLAN به تنهایی یک Interface کامل نیست. در واقع شما یک VLAN Subinterface را در یک پورت فیزیکی که پکت های دارای Tag را دریافت می کند، اضافه می کنید. پورت فیزیکی می تواند متعلق به یک VDOM دیگر باشد اما باید به روتر ی که تنظیمات VLAN بر روی آن انجام شده است متصل باشد زیرا بدون این روتر، VLAN نمی تواند به شبکه متصل شود.

جهت تنظیمات پورت فیزیکی از منوی سمت چپ به مسیر System > Network > Interface رفته و پورت مورد نظر خود را انتخاب کنید. جهت آشنایی بیشتر می توانید به آموزش Interface Configuration مراجعه نمایید.

IP Address and Netmask

در دستگاه FortiGate پورت ها نمی توانند دارای IP Addresses با Subnet مشترک باشند. در واقع از Overlap شدن آدرس ها جلوگیری می شود. این قانون شامل پورت های فیزیکی و پورت های منطقی از قبیل VLAN می شود.

اگر شما قادر به تغییر تنظیمات فعلی خود جهت جلوگیری از IP Overlap نمی باشید. می توانید از منوی سمت چپ به مسیر Global > Dashboard > Status رفته و CLI Console Widget را انتخاب و دستورات زیر را جهت مجاز کردن IP Address overlap وارد کنید:

config system settings

set allow-subnet-overlap enable

با وارد کردن دستورات فوق چندین VLAN Interface می توانند دارای IP Address با Subnet مشابه باشند. توصیه می شود کاربرانی که دارای مهارت پیشرفته در زمینه ی شبکه می باشند از این دستور استفاده کنند.

VLAN ID

VLAN ID بخشی از Tag ای است که به پکت اضافه می شود. VLAN ID یک عدد بین 1 و 4094 می باشد که اجازه می دهد گروهی از IP Address ها که دارای VLAN ID مشابه هستند با یکدیگر در ارتباط باشند. تمامی دستگاه های موجود در مسیر باید از عملیات VLAN بندی پشتیبانی کرده و تنظیمات جهت عبور ترافیک از VLAN ID مربوطه انجام شده باشد. در غیر این صورت ترافیک قبل از رسیدن به مقصد Discard می شود.

VDOM

اگر تنظیمات VDOM را انجام داده اید هر VLAN Subinterface ای که ایجاد می کنید، باید متعلق به یک VDOM باشد. در واقع شما باید مشخص کنید  VLAN Subinterface فوق در کدام VDOM قرار دارد. VLAN Subinterface هایی که در VDOM های متفاوت قرار دارند نمی توانند مستقیما با یکدیگر ارتباط بر قرار کنند. در این حالت ترافیک مربوط به VLAN باید از FortiGate خارج شده و مجددا به FortiGate وارد شود.

تنظیمات مربوط به اضافه کردن  VLAN Subinterface در حالت NAT

  • از منوی سمت چپ به مسیر System > Network > Interface رفته و گزینه ی Create New را انتخاب و مطابق شکل زیر تنظیمات را انجام دهید.

نکته:

  • برای فیلد Type گزینه ی VLAN را انتخاب کنید.
  • در صورت فعال بودن VDOM ابتدا باید از منوی سمت چپ و از لیست VDOM ها، Global را انتخاب کنید و سپس تنظیمات فوق را انجام دهید.

  •  پس از انجام تنظیمات جهت مشاهده ی VLAN به مسیر System > Network > Interface رفته و پورت مربوطه را انتخاب و بر روی علامت + کلیک کنید.



  •  در صورتی که از طریق وارد کردن دستورات مایل به ایجاد VLAN هستید، از منوی سمت چپ به مسیر Global > Dashboard > Status رفته و CLI Console Widget را انتخاب کرده و دستورات زیر را وارد کنید:

config system interface
edit
VLAN_100
set interface
internal1
set type
vlan
set vlanid
100
set ip
172.100.1.1 255.255.255.0
set allowaccess
https ping telnet
end

نکته:

 در صورتی که از طریق وارد کردن دستورات، تصمیم به ایجاد VLAN دارید، توجه شود که قبل از مشخص کردن VLAN ID باید توسط دستور set type vlan نوع Interface را مشخص کرده باشید.

 ایجاد Policy برای ترافیک مربوط به VLAN

با ایجاد Policy می توانید بر قراری ارتباط بین پورت های FortiGate را بر اساس آدرس مبدا و مقصد فراهم کنید. همچنین جهت بر قراری ارتباط بین پورت های دستگاه Fortigate و VLAN Interface ها نیز نیاز به ایجاد Policy می باشد.

هر  VLAN در موارد زیر نیاز به ایجاد یک Policy دارد:

  1. اتصال VLAN به یک شبکه ی خارجی
  2. اتصال شبکه ی خارجی به VLAN
  3. اتصال VLAN به یک VLAN دیگر در همان VDOM
  4. اتصال یک VLAN دیگر در همان VDOM به این VLAN

تنظیمات Routing

 برای ترافیک مربوط به VLAN نیاز به انجام تنظیمات Routing و اضافه کردن Gateway می باشد. بدین ترتیب ارسال پکت ها به خارج از Subnet مربوطه و دریافت پکت ها امکان پذیر خواهد بود. انتخاب نوع عمل Routing اعم از استاتیک یا داینامیک، بستگی به نوع Routing مربوط به Subnet و Interface هایی که شما به آن ها متصل هستید دارد.

مثال: اضافه کردن  VLAN در حالت NAT

نکته:

در این مثال دو VLAN برای شبکه های داخلی وجود دارد. VLAN_100 در Subnet با آدرس 10.1.1.0/24 و VLAN_200 در Subnet با آدرس 10.1.2.0/24 قرار دارند. VLAN های فوق به یک سوئیچ Cisco 2950 متصل هستند. پورت داخلی یا Internal دستگاه FortiGate از طریق 802.1Q trunk به سوئیچ متصل شده است. این پورت دارای آدرس 192.168.110.126 بوده و دارای دو VLAN Subinterface به نام VLAN_100 و VLAN_200 می باشد. پورت خارجی یا External دستگاه FortiGate دارای آدرس  172.16.21.2 بوده و به اینترنت متصل شده است. این پورت دارای VLAN Subinterface نمی باشد. در ضمن VDOM در دستگاه FortiGate غیر فعال می باشد.

مراحل انجام تنظیمات به قرار زیر می باشد:

1)  تنظیمات مربوط به FortiGate
  1. تنظیمات مربوط به پورت External
  2. اضافه کردن دو VLAN Subinterface به پورت Internal
  3. ایجاد Firewall Address برای شبکه ی داخلی
  4. ایجاد Policy جهت دسترسی شبکه های VLAN به یکدیگر و دسترسی شبکه های VLAN به شبکه ی خارجی

2)  تنظیمات مربوط به سوئیچ

  1. دسترسی پورت های فیزیکی سوئیچ به VLAN ها
  2. Trunk کردن پورتی که به Fortigate متصل می شود

تنظیمات مربوط به پورت External

  • از منوی سمت چپ به مسیر System > Network > Interface رفته و پورت External مورد نظر خود را انتخاب و مطابق شکل زیر تنظیمات را انجام دهید.


اضافه کردن دو VLAN Subinterface به پورت Internal

  • از منوی سمت چپ به مسیر System > Network > Interface رفته و گزینه ی Create New را انتخاب و مطابق شکل زیر تنظیمات را انجام دهید.



  • مجددا از منوی سمت چپ به مسیر System > Network > Interface رفته و گزینه ی Create New را انتخاب و مطابق شکل زیر تنظیمات را انجام دهید.



ایجاد Firewall Address برای شبکه ی داخلی

  • از منوی سمت چپ به مسیر Policy & Objects > Objects > Addresses رفته و گزینه ی Create New را انتخاب و مطابق شکل زیر تنظیمات را انجام دهید.



  • مجددا از منوی سمت چپ به مسیر  Policy & Objects > Objects > Addresses رفته و گزینه ی Create New را انتخاب و مطابق شکل زیر تنظیمات را انجام دهید.



نکته: 

از آدرس های فوق در مراحل بعدی در ایجاد Policy استفاده می شود.

 ایجاد Policy جهت دسترسی شبکه های VLAN به یکدیگر و دسترسی شبکه های VLAN به شبکه ی خارجی

  • از منوی سمت چپ به مسیر Policy & Objects > Policy > IPv4 رفته و گزینه ی Create New را انتخاب و مطابق شکل زیر تنظیمات را جهت دسترسی VLAN-100 به VLAN-200 انجام دهید.


  • از منوی سمت چپ به مسیر Policy & Objects > Policy > IPv4 رفته و گزینه ی Create New را انتخاب و مطابق شکل زیر تنظیمات را جهت دسترسی VLAN-200 به VLAN-100 انجام دهید.


  • از منوی سمت چپ به مسیر Policy & Objects > Policy > IPv4 رفته و گزینه ی Create New را انتخاب و مطابق شکل زیر تنظیمات را جهت دسترسی VLAN-100 به اینترنت انجام دهید.


  • از منوی سمت چپ به مسیر Policy & Objects > Policy > IPv4 رفته و گزینه ی Create New را انتخاب و مطابق شکل زیر تنظیمات را جهت دسترسی VLAN-200 به اینترنت انجام دهید.

نکته:

همانطور که در تنظیمات مشاهده کردید در دستگاه ForiGate نیاز به تنظیمات جداگانه جهت Trunk کردن لینک بین سوئیچ و FortiGate نمی باشد و با انجام تنظیمات مربوط به VLAN در Internal1، لینک مربوطه به صورت خودکار Trunk می شود.

 تنظیمات LAN Switch

  • در ادامه تنظیمات سوئیچ را انجام دهید. بدین منظور دستورات زیر را در سوئیچ مربوطه وارد کنید.

interface FastEthernet0/3
switchport access vlan 100

interface FastEthernet0/9
switchport access vlan 200

interface FastEthernet0/24
switchport trunk encapsulation dot1q
switchport mode trunk

 جهت آزمایش درستی تنظیمات می تواتید از دستورات Ping و Tracert استفاده کنید. به عنوان مثال:

  • عبور ترافیک از VLAN_100 به سمت VLAN_200

tracert 10.1.2.2

  •  عبور ترافیک از VLAN_200 به سمت اینترنت

tracert 172.16.21.2

در آموزش بعدی ایجاد VLAN در شرایطی که دستگاه FortiGate در حالت Transparentعمل می کند را مورد بررسی قرار خواهیم داد. جهت آشنایی می توانید به آموزش VLAN Configuration in Transparent Mode مراجعه نمایید.









Rss Comments
  • There are no comments for this article.
Info Add Comment
Nickname: Your Email: Subject: Comment:
Enter the code below:
Info Ask a Question