場景:
fortigate 200B防火牆一台,數台Cisco、H3C二層交換機。内網劃分多個VLAN,由于之前
設計的是每個VLAN 對應fortigate 200B防火牆的一個實體端口,這樣内網VLAN達到一定
數量後,就會受到防火牆實體端口數量的限制。 是以需要啟用防火牆的VLAN功能,隻使用
一個實體端口,類似于Cisco路由器中的單臂路由功能。
簡單的網絡結構如下圖所示:
這裡介紹一下配置過程。
一、接口配置部分
1. Web登入防火牆,定位到【系統管理】->【網絡】->【接口】,點選"建立新的",如圖示
2. 彈出接口建立界面,輸入相關資訊,這裡需要注意:
接口名稱: 可以任意取名,但以能唯一辨別接口為目的
類型: 這裡接口類型要選擇VLAN接口,可選擇的接口類型包括
接口: 從下拉清單選擇要配置VLAN子接口的實體端口,這裡以Port 14為例
VLAN ID: ID一定要要與交換機裡配置好的VLAN ID相對應
IP位址/子網路遮罩: 為接口配置設定IP位址
管理通路: 勾選以啟用通路類型
輸入完成後,點選"OK"完成配置。
3. 重複以上步驟,依次配置其他VLAN接口,配置完成後如下所示:
這裡一定要注意:
Port 14 , 即啟用VLAN子接口的實體端口,不可以配置IP位址(藍色标注部分)。這樣可
以使實體端口處于Trunk模式,以識别交換網絡的VLAN ID。
為了之後政策管理和維護友善,我們可以将VLAN接口根據區域來配置。
【網絡】->【區】,點選"建立新的",彈出區域建立界面,如圖示:
名稱: 設定區域名稱
接口成員: 勾選屬于要設定區域的成員端口
設定完畢,單擊"OK"即可.
這裡我建立了三個區,如圖示:
二、DHCP配置部分
接口配置完畢後,就可以為内網配置并啟用DHCP Server了。
【系統管理】->【DHCP伺服器】->【服務】,選擇"建立新的", 彈出的DHCP配置界面,
如下所示:
接口名稱: 選擇要配置IP位址的VLAN接口名稱,即配置接口時為接口設定的名稱
模式: 這裡選擇伺服器模式
2. 點選進階,展開進階配置界面,設定DHCP伺服器進階選項:
如 域名稱、位址租約、wins伺服器位址等
重複以上步驟,增加其他DHCP伺服器。
配置完畢後,如下圖:
三、防火牆政策配置部分
要求:
1. Wired區和Wireless區網絡可以互訪,且都可以通路公網
2. Wireless-Guset 可以通路公網,但是不能通路内網
3. Wired 區和Wireless區可以通路Wireless-Guses區,以便于管理本段内裝置
政策配置過程如下:
要求1:
【防火牆】->【政策】,選擇"建立新的":
Wired->Wirelss:
Wireless->Wired:
Wired,Wireless-> WAN:
要求2:
Wireless-Guest-> WAN:
要求3:
Wired,Wireless->Wireless-Guset:
<a href="http://s3.51cto.com/wyfs02/M01/46/4C/wKiom1PxqYPz_Jt-AAEcAshF3GY716.jpg" target="_blank"></a>
<a href="http://s3.51cto.com/wyfs02/M00/46/4E/wKioL1PxqpvABFTCAAEJodKl8b4937.jpg" target="_blank"></a>
配置完成。
四、交換機配置部分
二層交換機上最重要的配置是: 與防火牆相連的端口配置為Trunk。
其他的就是建立vlan和配置設定端口和正常配置無差異。
這樣就實作了fortigate的VLAN功能了。
本文轉自marbury 51CTO部落格,原文連結:http://blog.51cto.com/magic3/1541538,如需轉載請自行聯系原作者
![vulnhub DC-4靶機實戰0X01 環境部署[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)