Документация Selectel/Серверы и оборудование/Межсетевые экраны/Работа с межсетевым экраном FortiGate/

Настроить VLAN

Виртуальные локальные сети (VLAN) позволяют сегментировать сеть, увеличить производительность и обеспечить дополнительную безопасность сети.

Для создания двух виртуальных сетей с доступом друг к другу и в интернет:

Создайте интерфейсы.
Настройте политику безопасности.

Создать интерфейсы

Перейдите на вкладку Network ⟶ Interfaces.
Задайте имя новому интерфейсу.
Для параметра Type выберите значение VLAN.
Задайте идентификатор сети в поле VLAN ID.
Выберите для параметра Role значение LAN.
В поле IP/Netmask задайте адрес и маску сети.
Добавьте адреса для созданных VLAN. Для этого перейдите в раздел Policy & Objects ⟶ Addresses.
Создайте новый адрес и укажите его имя и IP-адрес. В последних версиях прошивки FortiOS данные адреса создаются автоматически при создании VLAN-интерфейсов.

Для создания нового интерфейса через CLI введите:

```
config system interface
    edit “VLAN 101”
        set vdom root
        set ip 192.168.101.1 255.255.255.0
        set allowaccess ping https ssh http
        set role lan
        set interface lan
        set vlanid 101
    next
    edit “VLAN 102”
        set vdom root
        set ip 192.168.102.1 255.255.255.0
        set allowaccess ping https ssh http
        set role lan
        set interface lan
        set vlanid 102
end
```

Добавьте адреса для созданных VLAN:

```
config firewall address
    edit VLAN 101 address
        set type ipmask
        set subnet <IP> <MASK>
    next
    edit VLAN 102 address
        set type ipmask
        set subnet <IP> <MASK>
end
```

Настроить политику безопасности

Создайте две политики для доступа подсетей VLAN друг другу. В данных политиках убедитесь, что NAT включен.

Перейдите в раздел Policy & Objects ⟶ IPv4 Policy и создайте новую политику.
В качестве Incoming Interface выберите интерфейс первого VLAN, а в качестве Outgoing Interface — интерфейс второго VLAN.
В качестве Source выберите адрес первого VLAN, в качестве Destination — адрес второго VLAN.
Убедитесь, что выключен NAT.
Создайте вторую политику, но поменяйте местами VLAN.
Создайте две политики для каждой подсети VLAN для доступа в интернет по аналогии с предыдущими, но в качестве Outgoing Interface выберите внешний интерфейс.

Для создания новой политики через CLI введите:

```
config firewall policy
    edit 3
        set name "VLAN 101 to VLAN 102"
        set srcintf "VLAN 101"
        set dstintf "VLAN 102"
        set srcaddr "VLAN 101 address"
        set dstaddr "VLAN 102 address"
        set action accept
        set schedule "always"
        set service "ALL"
        set nat disable
    next
edit 4
        set name "VLAN 102 to VLAN 101"
        set srcintf "VLAN 102"
        set dstintf "VLAN 101"
        set srcaddr "VLAN 102 address"
        set dstaddr "VLAN 101 address"
        set action accept
        set schedule "always"
        set service "ALL" 
        set nat disable
    next
end
```

Создайте две политики для каждой подсети VLAN для доступа в интернет по аналогии с предыдущими:

```
config firewall system     
    edit 5
        set name "VLAN 101 to Internet"
        set srcintf "VLAN 101"
        set dstintf "wan1"
        set srcaddr "VLAN 101 address"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"
    next
    edit 6
        set name "VLAN 102 to Internet"
        set srcintf "VLAN 102"
        set dstintf "wan1"
        set srcaddr "VLAN 102 address"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"
    next
end
```