Fortigate VLAN routing - Netwerken

woensdag 25 oktober 2017 17:23

Acties:

Topicstarter

Ik ga een netwerk opbouwen rond een Fortigate R60D. Het zal voor mij de eerste keer zijn dat ik met Fortigate werk. Ik ben mij al heel de dag aan het inlezen, maar hun implementatie van VLANs is mij niet helemaal duidelijk.
Concreet zou ik het netwerk 6 VLANs bevatten. De VLANs mogen NIET met elkaar communiceren. Is het dan voldoende om vlanforward op disable te zetten voor elke VLAN interface, of moet ik ook bepaalde firewall policies aanmaken?

Tweede vraag: het toestel heeft meerdere LAN poorten. Klopt het dat ik nergens kan instellen of dit access, hybrid of trunk ports zijn? Wil het dan zeggen dat het altijd trunk ports zijn? Wat gebeurt er dan met frames die geen VLAN tag hebben?

woensdag 25 oktober 2017 19:12

Acties:

KennieNL

Je hebt standaard een implicit policy welke verkeer denied, dus als je geen policy maakt die het verkeer tussen VLANs toe staat zal hier ook geen verkeer over gaan.

Standaard staan de internal/lan poorten in switch mode, je kunt ze ook los configureren.
Frames zonder VLAN komen op 'internal' interface uit als het in switch mode is, of 'internal1' etc. als het als losse poorten geconfigureerd is. VLANs zijn aparte interfaces binnen de GUI waarin je aangeeft welke tag erbij hoort.

woensdag 25 oktober 2017 19:40

Acties:

mathias82

Topicstarter

KennieNL schreef op woensdag 25 oktober 2017 @ 19:12:
Je hebt standaard een implicit policy welke verkeer denied, dus als je geen policy maakt die het verkeer tussen VLANs toe staat zal hier ook geen verkeer over gaan.

Standaard staan de internal/lan poorten in switch mode, je kunt ze ook los configureren.
Frames zonder VLAN komen op 'internal' interface uit als het in switch mode is, of 'internal1' etc. als het als losse poorten geconfigureerd is. VLANs zijn aparte interfaces binnen de GUI waarin je aangeeft welke tag erbij hoort.

Bedankt voor je antwoord. Als de standaard policy alles denied, waar dient dan de optie vlanforward voor?

Als ik het goed begrijp kan ik dus niet dit doen:
- Port1 access port VLAN 20
- Port2 access port VLAN 30
- Port3 trunk port VLAN 10,20,30,40
Zoals je met een gewone switch zou doen?

woensdag 25 oktober 2017 20:11

Acties:

KennieNL

Standaard staat vlanforward aan, zover ik weet zorgt het er voor dat pakketten tussen VLANs mogelijk zijn. Ik meen dat je dit uit wilt hebben op het moment dat iets anders je routering tussen VLANs doet (zodat je geen multipath creëert), maar in de praktijk heb ik de optie nooit uitgezet omdat ik het apparaat altijd als router gebruikt.

Wellicht dat je het kan creëren door een software switch (binnen de GUI) te maken:
internal1 (geen verdere config)
internal2 (geen verdere config)
internal3 met 3 VLAN interfaces, bijv: internal3_VLAN10 (tag 10), internal3_VLAN20 (tag 20), internal3_VLAN30 (tag 30), internal3_VLAN40 (tag 40)

Vervolgens een softswitch tussen internal1 en internal3_VLAN20, en een softswitch tussen internal2 en internal3_VLAN30. IP configuratie etc. doe je vervolgens op de softswitches.

Ik weet overigens niet 100% zeker of dit werkt, maar ik zou dit ten zeerste afraden gezien een softswitch door je CPU wordt afgehandeld (hardware switch kun je geen VLANs in verwerken), en daardoor je performance behoorlijk zal inzakken.

Kort advies: laat dit lekker een switch doen

woensdag 25 oktober 2017 21:36

Acties:

mathias82

Topicstarter

Nogmaals bedankt voor je antwoord. Die software switch lijkt inderdaad geen goed idee, dan wordt de configuratie ook complex.

Die vlanforward intrigeert mij toch. Dit staat in de documentatie:

If you are using NAT mode, the solution is to use the vlanforward CLI command for the interface in question. By default, this command is enabled and will forward VLAN traffic to all VLANs on this interface. When disabled, each VLAN on this physical interface can send traffic only to the same VLAN. There is no cross-talk between VLANs, and ARP packets are forced to take one path along the network which prevents the multiple paths problem.

Dat lijkt te doen wat ik wil (verkeer tussen verschillende VLANs blokkeren) maar ik zal het gewoon aan laten staat zoals jij aanraadt en het verkeer tussen VLANs met policies blokkeren.

woensdag 25 oktober 2017 21:41

Acties:

KennieNL

Je hoeft geen aparte policies aan te maken, standaard is (implicit rule) is alles denied mits je een regel er voor aanmaakt!

woensdag 25 oktober 2017 22:21

Acties:

mathias82

Topicstarter

KennieNL schreef op woensdag 25 oktober 2017 @ 21:41:
Je hoeft geen aparte policies aan te maken, standaard is (implicit rule) is alles denied mits je een regel er voor aanmaakt!

Bedankt, ik had inderdaad begrepen dat deny all standaard is, ik moet dan enkel policies aanmaken om de VLANs toegang te geven tot de WAN interfaces.
Maar wat bedoel je met "mits je een regel er voor aanmaakt"? Ik dacht dat die implicit rule er altijd was (impliciet dus) en dat je hem niet kon verwijderen of aanmaken?

donderdag 26 oktober 2017 13:29

Acties:

KennieNL

Die rule is daar inderdaad voor.
Ik bedoel dat je niet extra regels hoeft aan te maken om verkeer tussen je VLANs te blokkeren