Senaryo:
Şu linkteki altyapıyı kurmak istediğimizi düşünelim:
1) Fortigate'e "admin" olarak giriş yapıyoruz. "Network" bölümündeki "Interfaces" bölümüne girilerek "Create New Interface" seçilir:
2) Interface "type" olarak "802.3ad Aggregate" seçilir. Senaryomuza göre port 17 ve Port 18'i Aggregation yani tek port gibi göstereceğimizden bu portları member olarak seçiyoruz (Huawei switch'deki eth trunk mantığına benzer).
Vlan 1 yani Management vlan'ımızın interface ip adresini 192.168.100.254 olarak belirlemiştik. "IP/Network Mask" Bölümüne bu ip adresini ve subnet mask'ı giriyoruz. Networkteki cihazları tespit etmek istediğimiz için "Device Detection" seçeneğini de işaretliyoruz. Networksel erişim için "Ping" ve "Ssh" i da işaretliyoruz. DHCP server olarak sunucu networkündeki 192.168.200.10 ip adresindeki Windows DHCP sunucumuzu kullanacağız. Dolayısıyla burada herhangi bir "DHCP server" ayarı girmiyoruz.
3) Şimdi sıra VLAN'ları tanıtmaya geldi.
IDARE VLAN'ını (101) tanıtalım:
1. adımdaki "aggregated port" grubunun üzerine tıkladıktan sonra üst menüden "Create New" seçip ardından "Interface" seçiyoruz.
Bu sefer "Type" olarak "VLAN" seçeceğiz ve IP olarak 192.168.101.1 gireceğiz. DHCP server olarak "Relay" ayarlayıp, sunucu networkumuzdeki 192.168.200.10 dhcp sunucumuzu göstereceğiz:
Benzer şekilde MUHASEBE (102) ve SERVER (200) VLAN'larını da tanıtacağız.
4) Artık Firewall üzerinde vlan'larımız arasında erişim kuralı tanımlamak için hazırız.
IDARE VLAN'ındaki tüm personelin sunuculara RDP (uzak masaüstü) bağlantısı yapmak istediklerini varsayalım:
"Policy Objects" Bölümünde "IPv4 Policy" ye tıklıyoruz ve sağdaki menüden "Create New" seçip aşağıdaki şekilde kuralı oluşturuyoruz:
**DHCP trafiği için; Sunucu networkunden, MUHASEBE ve IDARE networklerine doğru DHCP trafiğine izin veren kural yazmayı unutmayalım.
**DNS,Active Directory servisleri için de MUHASEBE ve IDARE networkunden SUNUCU networkune doğru uygun kuralları yazarak izin vermeliyiz.
**Ortamımızda Mail, IIS, SQL sunucuları bulunuyorsa, bunlar için de MUHASEBE ve IDARE networkunden SUNUCU networkune doğru uygun kuralları ayrı ayrı yazmalıyız.
Firewall konfigürasyonu için başka makalelerimizde detaylı bilgiler olduğundan burada detaya girmiyorum. İlgili makalelerden yardım alabilirsiniz.
Umarım faydalı olmuştur.
Murat TAŞ
Hiç yorum yok:
Yorum Gönder