Fortigate 防火墙如何配置VLAN功能

场景:

fortigate 200B防火墙一台,数台Cisco、H3C二层交换机。内网划分多个VLAN,由于之前

设计的是每个VLAN 对应fortigate 200B防火墙的一个物理端口,这样内网VLAN达到一定

数量后,就会受到防火墙物理端口数量的限制。 因此需要启用防火墙的VLAN功能,只使用

一个物理端口,类似于Cisco路由器中的单臂路由功能。

简单的网络结构如下图所示:

这里介绍一下配置过程。

一、接口配置部分

1. Web登录防火墙,定位到【系统管理】->【网络】->【接口】,点击"创建新的",如图示

2. 弹出接口创建界面,输入相关信息,这里需要注意:

接口名称:    可以任意取名,但以能唯一标识接口为目的

类型:  这里接口类型要选择VLAN接口,可选择的接口类型包括

接口:   从下拉列表选择要配置VLAN子接口的物理端口,这里以Port 14为例

VLAN ID:  ID一定要要与交换机里配置好的VLAN ID相对应

IP地址/子网掩码: 为接口分配IP地址

管理访问:   勾选以启用访问类型

输入完成后,点击"OK"完成配置。

3.  重复以上步骤,依次配置其他VLAN接口,配置完成后如下所示:

这里一定要注意:

Port 14 , 即启用VLAN子接口的物理端口,不可以配置IP地址(蓝色标注部分)。这样可

以使物理端口处于Trunk模式,以识别交换网络的VLAN ID。

为了之后策略管理和维护方便,我们可以将VLAN接口根据区域来配置。

【网络】->【区】,点击"创建新的",弹出区域创建界面,如图示:

名称:   设置区域名称

接口成员:  勾选属于要设置区域的成员端口

设置完毕,单击"OK"即可.

这里我创建了三个区,如图示:

二、DHCP配置部分

接口配置完毕后,就可以为内网配置并启用DHCP Server了。

【系统管理】->【DHCP服务器】->【服务】,选择"创建新的", 弹出的DHCP配置界面,

如下所示:

接口名称:   选择要配置IP地址的VLAN接口名称,即配置接口时为接口设置的名称

模式:  这里选择服务器模式

其他信息就可以根据网络状态自行配置了

2.   点击高级,展开高级配置界面,设置DHCP服务器高级选项:

如 域名称、地址租约、wins服务器地址等

重复以上步骤,增加其他DHCP服务器。

配置完毕后,如下图:

三、防火墙策略配置部分

要求:

1. Wired区和Wireless区网络可以互访,且都可以访问公网

2. Wireless-Guset 可以访问公网,但是不能访问内网

3. Wired 区和Wireless区可以访问Wireless-Guses区,以便于管理本段内设备

策略配置过程如下:

要求1:

【防火墙】->【策略】,选择"创建新的":

Wired->Wirelss:

Wireless->Wired:

Wired,Wireless-> WAN:

要求2:

Wireless-Guest-> WAN:

要求3:

Wired,Wireless->Wireless-Guset:

配置完成。

四、交换机配置部分

二层交换机上最重要的配置是: 与防火墙相连的端口配置为Trunk。

其他的就是创建vlan和分配端口和常规配置无差异。

这样就实现了fortigate的VLAN功能了。

本文转自marbury 51CTO博客,原文链接:http://blog.51cto.com/magic3/1541538,如需转载请自行联系原作者

上一篇:利用ISA防火墙发布邮件服务器并部署OWA访问
下一篇:配置使用rsyslog+loganalyzer收集防火墙及交换机日志