FortiGate Virtual Domains (VDOMs)
Na urządzeniach FortiGate w systemie operacyjnym FortiOS dostępna jest funkcja tworzenia domen wirtualnych VDOM na jednym urządzeniu (domeny są odseparowane).
Na przykład dwie firmy w tym samym budynku (firma A i firma B) – korzystają z tego samego FortiGate, ale mają różnych dostawców usług internetowych (ISP). Każda firma ma własny VDOM, który jest zarządzany niezależnie od innych. Główny VDOM (root VDOM) będzie używany do zarządzania globalnymi ustawieniami FortiGate i konfiguracją dwóch pozostałych wirtualnych domen (VDOM-ów). Dla wirtualnej domeny VDOM-A będzie wydzielino dwa interfejsy, a po drugiej stronie VDOM będzie miał bardziej złożoną sieć wewnętrzną wykorzystującą 5 interfejsów (z nich 1 WAN i 4 LAN).
Pierwszym krokiem jaki należy wykonać, to przełączenie FortiGate na tryb VDOM z poziomu administratora. Informacja o trybie dostępna jest od razu w panelu nawigacyjnym, gdzie można go zmienić.
Jednak w niektórych modelach FortiGate powyższa opcja nie będzie wyświetlana w widżecie. Dlatego w tym wypadku tryb można zmienić w konsoli:
Po włączeniu domen wirtualnych użytkownik będzie wylogowany.
Po ponownym zalogowaniu pojawia się możliwość wybrania domeny wirtualnej. Na tym etapie dostępny będzie tylko root VDOM oraz możliwość globalnej konfiguracji.
W trybie globalnej konfiguracji w rozdziale System – VDOM dodane muszą być dwie domeny wirtualne (VDOMs).
Pierwsza domena wirtualna będzie o nazwie VDOM-A w trybie Proxy Inspection Mode. Umożliwi to korzystanie ze skanowania opartego zarówno na trybie proxy based, jak i flow based.
Druga domena wirtualna VDOM-B – w trybie flow-based.
Na głównym koncie administratora można określić adresy IP oraz sieci z których możliwy będzie dostęp. Na przykład konfiguracja dostępna tylko z komputera administratora.
Po czym muszą być stworzone konta administratorów dla poszczególnych wirtualnych domen (VDOM-A, VDOM-B).
Konfiguracja domeny wirtualnej (VDOM-A)
Na poniższym przykładzie do VDOM-A zostały dodane dwa interfejsy (pierwszy – dostęp do Internetu, a drugi do sieci wewnętrznej). Jeśli te interfejsy są używane w istniejącej konfiguracji FortiGate – dodanie ich do domen wirtualnych będzie niemożliwe, ponieważ niektóre modele FortiGate mają domyślną konfigurację.
W trybie Global w rozdziale Network – Interfaces należy skonfigurować odpowiednie interfejsy dla domeny wirtualnej VDOM-A. To będzie interfejs WAN1 i port1 jako LAN.
Opcjonalnie można włączyć serwer DHCP na interfejsie wewnętrznym
Podstawowa konfiguracja VDOM-A
Najpierw została skonfigurowana trasa statyczna
Aby uzyskać dostęp do sieci internet należało skonfigurować podstawową politykę
Ponieważ VDOM-A wykorzystuje inspekcję proxy-based, można włączyć różne profile bezpieczeństwa, które wykorzystują inspekcję opartą na proxy-based lub flow-based.
Dodanie kolejnej wirtualnej domeny (VDOM-B) z poziomu globalnej konfiguracji
W tym przykładzie jeden interfejs zewnętrzny oraz cztery interfejsy wewnętrzne zostały dodane jako hardware switch o nazwie LAN-B.
Aby stworzyć hardware switch dodajemy grupę (interface members) na portach od 5 do 8.
Skonfigurowany hardware switch dla VDOM-B
Konfiguracja VDOM-B odbyła się w taki sam sposób jak i VDOM-A. Najpierw została dodana trasa statyczna.
oraz podstawowa polityka
Ponieważ ten VDOM używa flow-based, można włączyć tylko te profile, które używają inspekcji flow-based.
Po konfiguracji domen wirtualnych każda firma będzie miała własny adres IP do zarządzania.
Jeżeli jesteś zainteresowany wdrożeniem FortiGate w swojej organizacji, to skontaktuj się z nami.
Nasz dział techniczny odpowie na wszelkie Twoje pytania i wesprze Cię w doborze najlepszego rozwiązania.
Autorem wpisu jest
Vladyslav Diadenko – NOC Engineer
W Network Expert nadzoruje i utrzymuje właściwe działanie sieci u klientów. Jego zawodową pasją są sieci, programowanie i automatyzacja, a w ramach odpoczynku od codzienności lubi czytać książki i grać na gitarze.
