Настроить VLAN
Виртуальные локальные сети (VLAN) позволяют сегментировать сеть, увеличить производительность и обеспечить дополнительную безопасность сети.
Настройки в инструкции актуальны для версий FortiOS 6.x и 7.x. Если у вас другая версия FortiOS, вы можете найти документацию для нее в панели управления FortiGate в верхнем правом углу или на официальном сайте FortiGate.
Для создания двух виртуальных сетей с доступом друг к другу и в интернет:
Создать сетевые интерфейсы
Графический интерфейс
CLI
FortiOS 6.x
FortiOS 7.x
-
Перейдите на вкладку Network → Interfaces.
-
Укажите имя интерфейса.
-
В поле Type выберите значение — VLAN.
-
В поле VLAN ID укажите идентификатор сети.
-
В поле Role выберите значение — LAN.
-
В поле IP/Netmask укажите IP-адрес и маску подсети для VLAN.
-
Нажмите ОК.
-
Повторите шаги 1—8, чтобы создать второй сетевой интерфейс.
-
Перейдите в раздел Policy & Objects → Addresses.
-
Нажмите Create new.
-
Перейдите на вкладку Network → Interfaces.
-
Выберите Create New → Interface.
-
Укажите название интерфейса.
-
В поле Type выберите значение — VLAN.
-
Укажите идентификатор сети в поле VLAN ID.
-
В поле Role выберите значение — LAN.
-
В поле IP/Netmask укажите адрес и маску подсети.
-
Включите Create address object matching subnet. В разделе Policy & Objects → Addresses будет автоматически создан адрес для VLAN.
-
Повторите шаги 1–9, чтобы создать второй сетевой интерфейс.
-
Создайте два интерфейса:
config system interface
edit "<vlan_name_1>"
set vdom root
set ip <ip_address_1> <mask_1>
set allowaccess ping https ssh
set role lan
set interface lan
set vlanid <vlan_id_1>
next
edit "<vlan_name_2>"
set vdom root
set ip <ip_address_2> <mask_2>
set allowaccess ping https ssh
set role lan
set interface lan
set vlanid <vlan_id_2>
endУкажите:
<vlan_name_1>— имя первого сетевого интерфейса;<ip_address_1>— IP-адрес, который будет назначен первому интерфейсу;<mask_1>— маска подсети первого интерфейса вида255.255.255.0;<vlan_id_1>— идентификатор первого интерфейса;<vlan_name_2>— имя второго интерфейса;<ip_address_2>— IP-адрес, который будет назначен второму интерфейсу;<mask_2>— маска подсети второго интерфейса вида255.255.255.0;<vlan_id_2>— идентификатор второго VLAN.
-
Добавьте два адреса для созданных VLAN:
config firewall address
edit <vlan_address_1>
set type ipmask
set subnet <ip_address_1> <mask_1>
next
edit <vlan_address_2>
set type ipmask
set subnet <ip_address_2> <mask_2>
endУкажите:
<vlan_address_1>— имя IP-адреса, назначенного на первый VLAN;<ip_address_1>— IP-адрес, назначенный на первый VLAN;<mask_1>— маска подсети первого VLAN;<vlan_address_2>— имя IP-адреса, назначенного на второй VLAN;<ip_address_2>— IP-адрес. назначенный на второй VLAN;<mask_2>— маска подсети второго VLAN.
Наст�роить политику безопасности
Графический интерфейс
CLI
-
Перейдите в раздел Policy & Objects → IPv4 Policy и создайте новую политику.
-
В поле Incoming Interface выберите первый VLAN.
-
В поле Outgoing Interface выберите второй VLAN.
-
В поле Source выберите адрес первого VLAN.
-
В поле Destination выберите адрес второго VLAN.
-
Убедитесь, что в политике выключен NAT.
-
Повторите шаги 1–6, чтобы создать вторую политику. В политике поменяйте первый и второй VLAN местами.
-
Перейдите в раздел Policy & Objects → IPv4 Policy и создайте новую политику.
-
В Incoming Interface выберите первый VLAN.
-
В Outgoing Interface выберите внешний интерфейс.
-
В Source выберите адрес первого VLAN.
-
В Destination выберите адрес внешнего интерфейса.
-
Повторите шаги 8–12, чтобы создать политику для второго VLAN.
-
Создайте новую политику:
config firewall policy
edit 3
set name "<vlan_name_1> to <vlan_name_2>"
set srcintf "<vlan_name_1>"
set dstintf "<vlan_name_2>"
set srcaddr "<vlan_address_1>"
set dstaddr "<vlan_address_2>"
set action accept
set schedule "always"
set service "ALL"
set nat disable
next
edit 4
set name "<vlan_name_2> to <vlan_name_1>"
set srcintf "<vlan_name_2>"
set dstintf "<vlan_name_1>"
set srcaddr "<vlan_address_2>"
set dstaddr "<vlan_address_1>"
set action accept
set schedule "always"
set service "ALL"
set nat disable
next
endУкажите:
<vlan_name_1>— имя первого сетевого интерфейса;<vlan_name_2>— имя второго сетевого интерфейса;<vlan_address_1>— имя IP-адреса, назначенного на первый VLAN;<vlan_address_2>— имя IP-ад�реса, назначенного на второй VLAN.
-
Создайте две политики для каждой подсети VLAN для доступа в интернет:
config firewall system
edit 5
set name "<vlan_name_1> to Internet"
set srcintf "<vlan_name_1>"
set dstintf "wan1"
set srcaddr "<vlan_address_1>"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
next
edit 6
set name "<vlan_name_2> to Internet"
set srcintf "<vlan_name_2>"
set dstintf "wan1"
set srcaddr "<vlan_address_2>"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
next
end
Укажите:
<vlan_name_1>— имя первого сетевого интерфейса;<vlan_name_2>— имя второго сетевого интерфейса;<vlan_address_1>— имя IP-адреса, назначенного на первый VLAN;<vlan_address_2>— имя IP-адреса, назначенного на второй VLAN.