Implementación de un Fortigate para dar salida a internet a 3 redes locas usando VLAN

» » Implementación de un Fortigate para dar salida a internet a 3 redes locas usando VLAN

sábado, 25 de septiembre de 2021

Implementación de un Fortigate para dar salida a internet a 3 redes locas usando VLAN

   septiembre 25, 2021       Moderador

 Implementación de un Fortigate para dar salida a internet a 3 redes locas usando VLAN

Fortigate en GNS3 - VLAN

La empresa Telecom  Corp quiere la implementación de un Fortigate para administrar los 3 oficinas, IT, VENTAS y RRHH.  La empresa cuenta con un pequeño router que les da salida a Internet instalado por la empresa que les brinda el servicio tienen un SW Core y cada oficina con su propio SW (cisco) administrable.

Requerimientos de la Empresa:

1.- Salida de Internet de las 3 Oficinas; IT, VENTAS y RRHH

2.- Conectividad entre las oficinas de VENTAS y RRHH y estas no pueden ver a IT.

3.- Todo debe ser por DHCP.

Conexiones:

Fortigate 

Port 1: Internet (192.168.74.131/24) IP que me da el NAT para salir a internet en GNS3

Port 10: Port trunk to Sw Cisco

Distribución IP

VLAN 10 - IT - 192.168.10.1/24

VLAN 20 - VENTAS - 192.168.20.1/24

VLAN 30 - RRHH - 192.168.30.1/24

Topología


Configuración Fortigate

Port 1
CLI

config system interface
    edit "port1"
        set vdom "root"
        set ip 192.168.74.131 255.255.255.0
        set allowaccess ping https ssh http fgfm
        set type physical
        set snmp-index 1
    next
end


WEB


Seleccionamos el puerto 1 y damos en editar

ALIAS: INTERNET
ROLE: WAN
OK


Todavía no tenemos salida a internet


Se requiere crear una ruta por defecto.

En NETWORK - Static Route - Create New

Device: el puerto por donde salimos a internet, en este ejemplo es el Port 1.
Gateway: Es la IP Gateway de la red con la que sales a internet para mi es la 192.168.74.2
OK


Ahora ya podemos salir a internet, se prueba desde el fortigate



Procedemos a crear nuestras 3 subredes, de acuerdo a la topología el puerto troncal que va hasta el Sw Core R1 es el Port10 del Fortigate.

Se procede a crearle un Alias al Puerto.

Alias: Troncal
OK


Se procede a crear la primera subred:

Network - Interface - Create new - Interface

Interface Name: IT
Alias: IT (puede ser otro nombre)
Type: VLAN
Interface: Port10 (Puerto Troncal)
VLAN: 10
Role: LAN
Habilitamos: https, ping, fmg access, ssh
Habilitamos DHCP server
DNS Server - Specify: 8.8.8.8
OK



Interface Name: VENTAS
Alias: VENTAS (puede ser otro nombre)
Type: VLAN
Interface: Port10 (Puerto Troncal)
VLAN: 20
Role: LAN
Habilitamos: https, ping, fmg access, ssh
Habilitamos DHCP server
DNS Server - Specify: 8.8.8.8
OK



Interface Name: RRHH
Alias: RRHH (puede ser otro nombre)
Type: VLAN
Interface: Port10 (Puerto Troncal)
VLAN: 30
Role: LAN
Habilitamos: https, ping, fmg access, ssh
Habilitamos DHCP server
DNS Server - Specify: 8.8.8.8
OK


Network - Interface - Port 10 Podemos ver nuestras sudredes creadas.



Debemos configurar los SW cisco identificando los puertos troncales y puertos accesos.

SW Core R1

Puertos: 

interface FastEthernet0/0
 switchport mode trunk
!
interface FastEthernet0/1
 switchport mode trunk
!
interface FastEthernet0/2
 switchport mode trunk
!
interface FastEthernet0/3
 switchport mode trunk
!

agregamos las vlan a pasar por el Sw core:

R1#vlan database
R1(vlan)#vlan 10
VLAN 10 added:
    Name: VLAN0010
R1(vlan)#vlan 20
VLAN 20 added:
    Name: VLAN0020
R1(vlan)#vlan 30
VLAN 30 added:
    Name: VLAN0030
R1(vlan)#exit
APPLY completed.
Exiting....
R1#

SW IT R2

Puertos

interface FastEthernet0/0
 switchport access vlan 10
!
interface FastEthernet0/1
 switchport mode trunk
!

Agegamos la vlan


R2#vlan database
R2(vlan)#vlan 10
VLAN 10 added:
    Name: VLAN0010
R2(vlan)#exit
APPLY completed.
Exiting....
R2#



SW VENTAS R3


interface FastEthernet0/0
 switchport mode trunk
!
interface FastEthernet0/1
 switchport access vlan 20
!

Agregamos la vlan

R3#vlan database
R3(vlan)#vlan 20
VLAN 20 added:
    Name: VLAN0020
R3(vlan)#exit
APPLY completed.
Exiting....
R3#



SW RRHH R4


interface FastEthernet0/0
 switchport mode trunk
!
interface FastEthernet0/1
 switchport access vlan 30
!

Agregamos la vlan

R4#vlan database
R4(vlan)#vlan 30
VLAN 30 added:
    Name: VLAN0030
R4(vlan)#exit
APPLY completed.
Exiting....
R4#


                                       Los equipos finales deben tomar su IP por DHCP:

IT VLAN 10


VENTAS VLAN 20




RRHH VLAN 30



Vamos a crear una regla, para que VENTAS y RRHH tengan conectividad.

POLICY & OBJECT
IPv4 Policy

PERMITIMOS DESDE VENTAS A RRH
OK



POLICY & OBJECT
IPv4 Policy - Create New


PERMITIMOS DESDE RRHH A VENTAS
OK



VALIDAMOS CONECTIVIDAD EN LAS PC

VENTAS


RRHH



Vamos a crear una política para dar salida a internet a las 3 redes; IT, VENTAS, RRHH.

NAME: IT INTERNET
INCOMMING INTERFACE: IT(IT) (INTERFACE LOCAL)
OUTGOING INTERFACE: PORT1 (PUERTO QUE SALIMOS A INTERNET)



NAME: VENTAS INTERNET
INCOMMING INTERFACE: VENTAS(VENTAS) (INTERFACE LOCAL)
OUTGOING INTERFACE: PORT1 (PUERTO QUE SALIMOS A INTERNET)





NAME: RRHH INTERNET
INCOMMING INTERFACE: RRHH (RRHH) (INTERFACE LOCAL)
OUTGOING INTERFACE: PORT1 (PUERTO QUE SALIMOS A INTERNET)



Todas las políticas configuradas.



VERIFICACION IT


VERIFICACION VENTAS



VERIFICACION RRHH



Se puede verificar que todas las redes tienen su respectiva salida a internet, todo esta por dhcp y las redes VENTAS y RRHH tienen comunicación entre si.

   / /