Настроить VLAN

Последнее изменение: 21 февраля 2024

Настроить VLAN

Виртуальные локальные сети (VLAN) позволяют сегментировать сеть, увеличить производительность и обеспечить дополнительную безопасность сети.

Для создания двух виртуальных сетей с доступом друг к другу и в интернет:

1. Создайте интерфейсы.
2. Настройте политику безопасности.

Создать интерфейсы⁠

Графический интерфейс

1. Перейдите на вкладку Network → Interfaces.
2. Задайте имя новому интерфейсу.
3. Для параметра Type выберите значение VLAN.
4. Задайте идентификатор сети в поле VLAN ID.
5. Выберите для параметра Role значение LAN.
6. В поле IP/Netmask задайте адрес и маску сети.
7. Добавьте адреса для созданных VLAN. Для этого перейдите в раздел Policy & Objects → Addresses.
8. Создайте новый адрес и укажите его имя и IP-адрес. В последних версиях прошивки FortiOS данные адреса создаются автоматически при создании VLAN-интерфейсов.

Консольный интерфейс

Для создания нового интерфейса через CLI введите:

    config system interface
        edit “VLAN 101”
            set vdom root
            set ip 192.168.101.1 255.255.255.0
            set allowaccess ping https ssh http
            set role lan
            set interface lan
            set vlanid 101
        next
        edit “VLAN 102”
            set vdom root
            set ip 192.168.102.1 255.255.255.0
            set allowaccess ping https ssh http
            set role lan
            set interface lan
            set vlanid 102
    end

Добавьте адреса для созданных VLAN:

    config firewall address
        edit VLAN 101 address
            set type ipmask
            set subnet <IP> <MASK>
        next
        edit VLAN 102 address
            set type ipmask
            set subnet <IP> <MASK>
    end

Настроить политику безопасности⁠

Графический интерфейс

Создайте две политики для доступа подсетей VLAN друг другу. В данных политиках убедитесь, что NAT включен.

1. Перейдите в раздел Policy & Objects → IPv4 Policy и создайте новую политику.
2. В качестве Incoming Interface выберите интерфейс первого VLAN, а в качестве Outgoing Interface — интерфейс второго VLAN.
3. В качестве Source выберите адрес первого VLAN, в качестве Destination — адрес второго VLAN.
4. Убедитесь, что выключен NAT.
5. Создайте вторую политику, но поменяйте местами VLAN.
6. Создайте две политики для каждой подсети VLAN для доступа в интернет по аналогии с предыдущими, но в качестве Outgoing Interface выберите внешний интерфейс.

Консольный интерфейс

Для создания новой политики через CLI введите:

    config firewall policy
        edit 3
            set name "VLAN 101 to VLAN 102"
            set srcintf "VLAN 101"
            set dstintf "VLAN 102"
            set srcaddr "VLAN 101 address"
            set dstaddr "VLAN 102 address"
            set action accept
            set schedule "always"
            set service "ALL"
            set nat disable
        next
    edit 4
            set name "VLAN 102 to VLAN 101"
            set srcintf "VLAN 102"
            set dstintf "VLAN 101"
            set srcaddr "VLAN 102 address"
            set dstaddr "VLAN 101 address"
            set action accept
            set schedule "always"
            set service "ALL"
            set nat disable
        next
    end

Создайте две политики для каждой подсети VLAN для доступа в интернет по аналогии с предыдущими:

    config firewall system
        edit 5
            set name "VLAN 101 to Internet"
            set srcintf "VLAN 101"
            set dstintf "wan1"
            set srcaddr "VLAN 101 address"
            set dstaddr "all"
            set action accept
            set schedule "always"
            set service "ALL"
        next
        edit 6
            set name "VLAN 102 to Internet"
            set srcintf "VLAN 102"
            set dstintf "wan1"
            set srcaddr "VLAN 102 address"
            set dstaddr "all"
            set action accept
            set schedule "always"
            set service "ALL"
        next
    end