안녕하세요.

 

이번에는 Zone에 대해서 알아보겠습니다.

PaloAlto 방화벽은 Zone based 방화벽 입니다. 

Interface는 Zone에 할당되어야 하고 방화벽 정책에 적용 할때는 Zone를 기준으로 정책이 할당 됩니다.

 

이번에는 Zone를 생성하고 Zone를 Interface에 할당 하는 방법에 대해서 알아보겠습니다.

 

1. 장비에 접속 합니다.  

    https://192.168.10.91

 

2.  Network -> Zones -> Add 

 

3. Trust Zone를 생성합니다.

 

4. Untrsut Zone를 생성 합니다.

5.Interface에 IP주소를 설정하고 Zone를 할당 합니다. 

 

E1/1

IP: 10.1.1.254/24

Zone: Untrust


E1/2

IP: 20.1.1.254/24

Zone: Untrust

 

E1/3

IP: 30.1.1.254/24

Zone: Trust

 

 

5-1 E1/1 설정

 

 

5-2 E1/2 서정

 

 

5-3 E1/3 설정

 

6. 설정을 다 하고 Commit를 실행합니다.

 

아래처럼 링크가 활성화 되었습니다. 

 

VPC IP를 설정 합니다. 


VPCS> ip 30.1.1.1 255.255.255.0 30.1.1.254
Checking for duplicate address...
VPCS : 30.1.1.1 255.255.255.0 gateway 30.1.1.254

VPCS> save
Saving startup configuration to startup.vpc
.  done

VPCS> ping 30.1.1.254

30.1.1.254 icmp_seq=1 timeout
30.1.1.254 icmp_seq=2 timeout
30.1.1.254 icmp_seq=3 timeout
30.1.1.254 icmp_seq=4 timeout
30.1.1.254 icmp_seq=5 timeout

VPCS> 


 

하지만 위와 같이 Default Gateway로 Ping를 실패하였습니다. 

 

팔로알토는 보안 장비이기 때문에 Interface mgmt profile이 Interface에 적용 되어야지 PIng이 가능 합니다. 

이 부분은 다음글에서 확인하겠습니다. 

 

지금까지 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#6]- Two ISP monitor  (0) 2024.12.03
[PaloAlto FW-#5]- SNAT Configuration  (0) 2024.12.03
[PaloAlto FW-#4]- Interface Mgmt  (0) 2024.12.03
[PaloAlto FW-#2]- admin password re-configure  (0) 2024.12.03
[PaloAlto FW-#1]-MGMT Interface Configuration  (0) 2024.12.03

안녕하세요.

 

이번에는 admin password를 reset하는 방법에 대해서 알아보겠습니다. 

 

admin@PA-VM>configure
admin@PA-VM# set mgt-config users admin password
Enter password   :

 

새로운 패스워드를 입력합니다.

 

그리고 GUI에 장비 접속해서 새로운 패스워드를 입력하면 접속 가능 합니다.

 

지금까지 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#6]- Two ISP monitor  (0) 2024.12.03
[PaloAlto FW-#5]- SNAT Configuration  (0) 2024.12.03
[PaloAlto FW-#4]- Interface Mgmt  (0) 2024.12.03
[PaloAlto FW-#3]- Zone Configuration  (0) 2024.12.03
[PaloAlto FW-#1]-MGMT Interface Configuration  (0) 2024.12.03

안녕하세요. 

 

오늘은 PaloAlto 방화벽 MGMT Interface를 설정해 보겠습니다.

 

EVE-NG를 실행하고 아래와 같이 구성도를 만들고 장비들을 실행합니다.

 

MGMT IP: 192.168.10.91 

Subnet Mask: 255.255.255.0

GW: 192.168.10.253

 

Default 로그인 정보

admin/admin

 

1. 로그인하고 password를 수정 합니다. 

 

2. 아래처럼 수동으로 IP를 설정 합니다. 

admin@PA-VM>configure
admin@PA-VM#set deviceconfig system type static
admin@PA-VM#set deviceconfig system ip-address 192.168.10.91 netmask 255.255.255.0 default-gateway 192.168.10.253
admin@PA-VM# commit

....55%98%............100%
configuration committed successfully

 

3. PC에서 PIng를 시도 합니다.

 

4. 장비에 접속합니다.

 

https://192.168.10.91

아래 버튼을 클릭 합니다. 

 

5. 장비를 로그인 합니다. 

 

6. 아래처럼 정상적으로 로그인 하였습니다. 

 

7. PaloAlto CLI에서 MGMT Interface IP 확인 하는 방법

admin@PA-VM> show interface management


-------------------------------------------------------------------------------
Name: Management Interface
Link status:
  Runtime link speed/duplex/state: 1000/full/up
  Configured link speed/duplex/state: auto/auto/auto
MAC address:
  Port MAC address 50:00:00:57:00:00

Ip address: 192.168.10.91
Netmask: 255.255.255.0
Default gateway: 192.168.10.253
Ipv6 address: unknown
Ipv6 link local address: fe80::5200:ff:fe57:0/64
Ipv6 default gateway:
-------------------------------------------------------------------------------


-------------------------------------------------------------------------------
Logical interface counters:
-------------------------------------------------------------------------------
bytes received                    1125962
bytes transmitted                 38322540
packets received                  10374
packets transmitted               20812
receive errors                    0
transmit errors                   0
receive packets dropped           7
transmit packets dropped          0
multicast packets received        0
-------------------------------------------------------------------------------

admin@PA-VM>

 

지금까지 PaloAlto 방화벽에서 MGMT IP설정하는 방법에 대해서 알아보았습니다.

글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#6]- Two ISP monitor  (0) 2024.12.03
[PaloAlto FW-#5]- SNAT Configuration  (0) 2024.12.03
[PaloAlto FW-#4]- Interface Mgmt  (0) 2024.12.03
[PaloAlto FW-#3]- Zone Configuration  (0) 2024.12.03
[PaloAlto FW-#2]- admin password re-configure  (0) 2024.12.03

안녕하세요.

 

이번에는 Fortigate LACP에 대해서 알아보겠습니다.

 

Fortigate 설정 입니다.

 

1. LACP Interface를 설정합니다.

name: LACP01

Alias: LACP01

Type: 802.3ad aggregate

Interface member: port5 and port6

Role: Lan

IP: none

 

그리고 Save를 클릭 합니다. 

 

2. VL10 Interface를 설정합니다.

 

Name: VL10

Alias: VL10

Type: VLAN

Interface LACP01

VLAN ID: 10

Role: LAN

IP: 10.10.10.254/24

 

2. VL20 Interface를 설정합니다.

 

Name: VL20

Alias: VL20

Type: VLAN

Interface LACP01

VLAN ID: 20

Role: LAN

IP: 10.10.10.254/24

 

Interface를 확인 합니다. 

 

SW 설정입니다.

 

1. LACP 설정

Switch(config)#int range g1/0/1-2
Switch(config-if-range)#channel-group 1 mode  active
Creating a port-channel interface Port-channel 1

Switch(config-if-range)#int po 1
Switch(config-if)#sw mode tr
Switch(config-if)#

 

2. VLAN and SVI 설정

Switch(config)#vlan 10
Switch(config-vlan)#vlan 20
Switch(config-vlan)#int vlan 10
Switch(config-if)#ip add 10.10.10.253 255.255.255.0
Switch(config-if)#int vlan 20
Switch(config-if)#ip add 20.20.20.253 255.255.255.0
Switch(config-if)#end
Switch#

 

3. Status 상태 확인

Switch#show vlan brie

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Gi1/0/1, Gi1/0/2, Gi1/0/3
                                                Gi1/0/4, Gi1/0/5, Gi1/0/6
                                                Gi1/0/7, Gi1/0/8, Gi1/0/9
                                                Gi1/0/10, Gi1/0/11, Gi1/0/12
                                                Gi1/0/13, Gi1/0/14, Gi1/0/15
                                                Gi1/0/16, Gi1/0/17, Gi1/0/18
                                                Gi1/0/19, Gi1/0/20, Gi1/0/21
                                                Gi1/0/22, Gi1/0/23, Gi1/0/24
                                                Te1/1/1, Te1/1/2, Te1/1/3
                                                Te1/1/4
4    VLAN0004                         active
10   VLAN0010                         active
20   VLAN0020                         active


Switch#show ip int brie
Interface              IP-Address      OK? Method Status                Protocol
Vlan1                  unassigned      YES NVRAM  down                  down
Vlan10                 10.10.10.253    YES manual down                  down
Vlan20                 20.20.20.253    YES manual down                  down

 

4. 케이블 연결

 

5. LACP 확인

Switch#show etherchannel summary
Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        R - Layer3      S - Layer2
        U - in use      f - failed to allocate aggregator

        M - not in use, minimum links not met
        u - unsuitable for bundling
        w - waiting to be aggregated
        d - default port

        A - formed by Auto LAG


Number of channel-groups in use: 1
Number of aggregators:           1

Group  Port-channel  Protocol    Ports
------+-------------+-----------+-----------------------------------------------
1      Po1(SU)         LACP        Gi1/0/1(P)      Gi1/0/2(P)

Switch#

 

6. Ping 테스트

Switch#ping 10.10.10.254 source vlan 10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.254, timeout is 2 seconds:
Packet sent with a source address of 10.10.10.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 20.20.20.254 sou
Switch#ping 20.20.20.254 source vlan 20
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 20.20.20.254, timeout is 2 seconds:
Packet sent with a source address of 20.20.20.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#

 

지금까지 fortigate인터페이스를 LACP설정하고 VLAN10 and VLAN20 interface 만들어서 Cisco Switch랑 통신 하는 방법에 대해서 알아보았습니다.

 

지금까지 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'FORTINET > FORTIGATE 방화벽' 카테고리의 다른 글

[Fortigate-#14]- firewall does not work after upgrading firmware  (0) 2024.12.11
[Fortigate-#13]- password recovery  (1) 2024.12.11
[Fortigate-#11]- VLAN on Port  (0) 2024.11.27
[Fortigate-#10]- spanning-tree  (0) 2024.11.27
[Fortigate-#9]- VLAN-Switch(Hardware-Switch)  (0) 2024.11.27

안녕하세요. 

 

이번에는 VLAN를 Port에 할당해서 설정하는 방법에 대해서 알아보겠습니다.

 

 

방화벽 설정

 

1. Create New버튼을 클릭 합니다. 

 

2.  VL10 interface를 설정합니다. 

Name: VL10

Alias: VL10

Type: VLAN

Interface: Port6

VLAN ID: 10

Role: LAN

IP: 10.10.10.254/24

 

2.  VL20 interface를 설정합니다. 

Name: VL20

Alias: VL20

Type: VLAN

Interface: Port6

VLAN ID: 20

Role: LAN

IP: 20.20.20.254/24

 

아래처럼 Port6에 VLAN interface들이 생성 되었습니다. 

 

Switch에서 설정합니다.

1. Vlan 설정

Switch(config)#vlan 10
Switch(config-vlan)#vlan 20
Switch(config-vlan)#end

 

2 Trunk 설정 Gi1/0/1

interface GigabitEthernet1/0/1
 switchport mode trunk
end

 

3. SVI 설정

Switch(config)#int vlan 10
Switch(config-if)#ip address 10.10.10.253 255.255.255.0
Switch(config-if)#int vlan 20
Switch(config-if)#ip add 20.20.20.253 255.255.255.0
Switch(config-if)#end

 

케이블을 연결 합니다.

Fortigate port6 <---> port g1/0/1 SW

 

4. Switch에서 상태 확인. VLAN and interface

Switch#show vlan brie

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Gi1/0/2, Gi1/0/3, Gi1/0/4
                                                Gi1/0/5, Gi1/0/6, Gi1/0/7
                                                Gi1/0/8, Gi1/0/9, Gi1/0/10
                                                Gi1/0/11, Gi1/0/12, Gi1/0/13
                                                Gi1/0/14, Gi1/0/15, Gi1/0/16
                                                Gi1/0/17, Gi1/0/18, Gi1/0/19
                                                Gi1/0/20, Gi1/0/21, Gi1/0/22
                                                Gi1/0/23, Gi1/0/24, Te1/1/1
                                                Te1/1/2, Te1/1/3, Te1/1/4
4    VLAN0004                         active
10   VLAN0010                         active
20   VLAN0020                         active
70   VLAN0070                         active
71   VLAN0071                         active
72   VLAN0072                         active
73   VLAN0073                         active
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup
1004 fddinet-default                  act/unsup
1005 trnet-default                    act/unsup
Switch#show ip int brie
Interface              IP-Address      OK? Method Status                Protocol
Vlan1                  unassigned      YES NVRAM  up                    up
Vlan10                 10.10.10.253    YES manual up                    up
Vlan20                 20.20.20.253    YES manual up                    up

 

5. Ping테스트

Switch#ping 10.10.10.254 source vlan 10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.254, timeout is 2 seconds:
Packet sent with a source address of 10.10.10.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#ping 20.20.20.254 source vlan 20
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 20.20.20.254, timeout is 2 seconds:
Packet sent with a source address of 20.20.20.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms

 

지금까지 방화벽 Port6에 VLAN interface를 생성해서 동작하는 방법에 대해서 알아보았습니다. 

 

지금까지 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'FORTINET > FORTIGATE 방화벽' 카테고리의 다른 글

[Fortigate-#13]- password recovery  (1) 2024.12.11
[Fortigate-#12]- LACP - Link Aggregate  (0) 2024.11.27
[Fortigate-#10]- spanning-tree  (0) 2024.11.27
[Fortigate-#9]- VLAN-Switch(Hardware-Switch)  (0) 2024.11.27
[Fortigate-#7]- SSL Inspection  (0) 2024.11.22

안녕하세요. 

 

이번에는 Fortigate STP에 대해서 알아보겠습니다.

Software-Switch 또는 VLAN-switch(Hardware-Switch)에 포함된 Port가 스위치에 2개 이상 연결 되었을때 Layer2 Loop가 발생합니다.

 

이 Layer2 Loop를 방지하기 위해서 Spanning-Tree가 동작하여 Layer2 Loop를 방지 하게 됩니다. 

Fortigate 방화벽 입장에서는 어떻게 동작하는지 확인해보겠습니다.

 

모든 firewall 벤더가 똑같이 동작하는 것이 아닙니다. 벤더 문서를 꼭 읽어주시길 바랍니다.

 

1. network -> Interface -> Create New를 클릭하시면 아래 같이 Interface Type를 선택 할수 있습니다.

 

Software Switch - STP 미동작 

VLAN switch(hardware switch) - STP 동작

 

위에 두가지 차이점은 나중에 자세히 설명하겠습니다. 

 

https://itblog-kr.tistory.com/79

 

[Fortigate-#9]- VLAN-Switch(Hardware-Switch)

안녕하세요.  오늘은 Fortigate 방화벽에서 VLAN Switch에 대해서 알아보겠습니다. Fortigate Firewall은 시큐리티 장비이지만, 간단한 L2 스위치 기능을 지원 합니다.  아래처럼 Port1,2,3,4,5를 VLAN-SWITCH로

itblog-kr.tistory.com

 

기본 설정은 위에 글을 참고 부탁드립니다. 이번 글에서 STP 설정에 대해서만 다루겠습니다.

 

1. Switch에서 G1/0/1 and G1/0/2를 Trunk를 설정 합니다. 

interface GigabitEthernet1/0/1
 switchport mode trunk
end

Switch#show run int g1/0/2
Building configuration...

Current configuration : 61 bytes
!
interface GigabitEthernet1/0/2
 switchport mode trunk
end

 

2. Fortigate에서 stp설정을 확인 합니다.

디폴트롤 STP enable입니다. 

FortiGate-90G # config system interface 

FortiGate-90G (interface) # edit lan

FortiGate-90G (lan) # show
config system interface
    edit "lan"
        set vdom "root"
        set ip 192.168.1.99 255.255.255.0
        set allowaccess ping https ssh fabric
        set type hard-switch
        set stp enable
        set role lan
        set snmp-index 15
    next
end

FortiGate-90G (lan) # 

 

3. Switch에서 STP를 확인 합니다.

디폴트로 STP enable 입니다. 그리고 G1/0/2가 Blocking Port입니다. 

Switch#show spanning-tree vlan 70

VLAN0070
  Spanning tree enabled protocol rstp
  Root ID    Priority    32838
             Address     084f.a946.6900
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32838  (priority 32768 sys-id-ext 70)
             Address     084f.a946.6900
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0/1             Desg FWD 4         128.1    P2p
Gi1/0/2             Back BLK 4         128.2    P2p


Switch#show spanning-tree vlan 71

VLAN0071
  Spanning tree enabled protocol rstp
  Root ID    Priority    32839
             Address     084f.a946.6900
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32839  (priority 32768 sys-id-ext 71)
             Address     084f.a946.6900
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0/1             Desg FWD 4         128.1    P2p
Gi1/0/2             Back BLK 4         128.2    P2p


Switch#show spanning-tree vlan 72

VLAN0072
  Spanning tree enabled protocol rstp
  Root ID    Priority    32840
             Address     084f.a946.6900
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32840  (priority 32768 sys-id-ext 72)
             Address     084f.a946.6900
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0/1             Desg FWD 4         128.1    P2p
Gi1/0/2             Back BLK 4         128.2    P2p


Switch#show spanning-tree vlan 73

VLAN0073
  Spanning tree enabled protocol rstp
  Root ID    Priority    32841
             Address     084f.a946.6900
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32841  (priority 32768 sys-id-ext 73)
             Address     084f.a946.6900
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0/1             Desg FWD 4         128.1    P2p
Gi1/0/2             Back BLK 4         128.2    P2p


Switch#

 

Switch#show run | in span
spanning-tree mode rapid-pvst
spanning-tree extend system-id

 

4. Ping테스트를 해보겠습니다.

 

정상적으로 동작 합니다. 

Switch#ping 172.16.70.254 source vlan 70
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.70.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.70.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#ping 172.16.71.254 source vlan 71
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.71.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.71.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 172.16.72.254 source vlan 72
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.72.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.72.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 172.16.73.254 source vlan 73
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.73.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.73.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#

 

5. 포티넷 방화벽에서 port1 케이블을 제거 합니다.

 

6. Switch에서 STP상태를 확인 합니다.

Switch#show spanning-tree vlan 70

VLAN0070
  Spanning tree enabled protocol rstp
  Root ID    Priority    32838
             Address     084f.a946.6900
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32838  (priority 32768 sys-id-ext 70)
             Address     084f.a946.6900
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0/2             Desg FWD 4         128.2    P2p


Switch#show spanning-tree vlan 71

VLAN0071
  Spanning tree enabled protocol rstp
  Root ID    Priority    32839
             Address     084f.a946.6900
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32839  (priority 32768 sys-id-ext 71)
             Address     084f.a946.6900
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0/2             Desg FWD 4         128.2    P2p


Switch#show spanning-tree vlan 72

VLAN0072
  Spanning tree enabled protocol rstp
  Root ID    Priority    32840
             Address     084f.a946.6900
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32840  (priority 32768 sys-id-ext 72)
             Address     084f.a946.6900
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0/2             Desg FWD 4         128.2    P2p


Switch#show spanning-tree vlan 73

VLAN0073
  Spanning tree enabled protocol rstp
  Root ID    Priority    32841
             Address     084f.a946.6900
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32841  (priority 32768 sys-id-ext 73)
             Address     084f.a946.6900
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0/2             Desg FWD 4         128.2    P2p


Switch#

 

7. Ping 테스트를 합니다.

Switch#ping 172.16.70.254 source vlan 70
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.70.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.70.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 172.16.71.254 source vlan 71
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.71.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.71.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 172.16.72.254 source vlan 72
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.72.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.72.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#ping 172.16.73.254 source vlan 73
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.73.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.73.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#

 

정상적으로 동작합니다.

 

지금까지 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'FORTINET > FORTIGATE 방화벽' 카테고리의 다른 글

[Fortigate-#12]- LACP - Link Aggregate  (0) 2024.11.27
[Fortigate-#11]- VLAN on Port  (0) 2024.11.27
[Fortigate-#9]- VLAN-Switch(Hardware-Switch)  (0) 2024.11.27
[Fortigate-#7]- SSL Inspection  (0) 2024.11.22
[Fortigate-#6]- License 종류  (0) 2024.11.22

안녕하세요. 

 

오늘은 Fortigate 방화벽에서 VLAN Switch에 대해서 알아보겠습니다.

 

Fortigate Firewall은 시큐리티 장비이지만, 간단한 L2 스위치 기능을 지원 합니다. 

 

아래처럼 Port1,2,3,4,5를 VLAN-SWITCH로 등록 하고, 아래 처럼 VLAN를 생성해서 IP를 설정 할수 있습니다.

그리고 Port 1,2,3,4,5 아무 포트나 연결해도 VLAN L3 Interface랑 통신 할수 있습니다.

 

동작 방식을 Cisco로 비교하면 Port를 Trunk로 설정하고 VLAN 생성하고 SVI를 만들어서 VLAN L3 Interface로 사용 할수 있습니다. 

 

그럼 설정해보겠습니다. 

 

방화벽 설정 - 테스트 장비는 Fortigate-90G입니다.

 

1. 장비로 로그인 합니다.

2. 디폴트로 VLAN Switch라는 인터페이스가 있습니다.

그리고 인터페이스 이륾은 lan으로 정의 되어져 있습니다.

 

Create New버튼을 클릭 합니다. 

 

3. VLAN 70 SVI를 설정해 보겠습니다. 

 

Name: VL70

Alias: VL70

Interface: lan

VLAN ID: 70

Role: LAN

IP: 172.16.70.254/24

 

그리고 https, http, ping를 enable하고 Save버튼을 클릭 합니다. 

 

4. VLAN 71 SVI를 설정해 보겠습니다. 

 

Name: VL71

Alias: VL71

Interface: lan

VLAN ID: 71

Role: LAN

IP: 172.16.71.254/24

 

그리고 https, http, ping를 enable하고 Save버튼을 클릭 합니다. 

 

5. VLAN 72 SVI를 설정해 보겠습니다. 

 

Name: VL72

Alias: VL72

Interface: lan

VLAN ID: 72

Role: LAN

IP: 172.16.72.254/24

 

그리고 https, http, ping를 enable하고 Save버튼을 클릭 합니다. 

 

6. VLAN 73 SVI를 설정해 보겠습니다. 

 

Name: VL73

Alias: VL73

Interface: lan

VLAN ID: 73

Role: LAN

IP: 172.16.73.254/24

 

그리고 https, http, ping를 enable하고 Save버튼을 클릭 합니다. 

 

7. Interface를 확인 합니다. 

 

Cisco Switch을 설정 하겠습니다.

 

1. 아래처럼 설정 합니다. 

interface GigabitEthernet1/0/1
 switchport mode trunk
end


Switch(config)#vlan 70
Switch(config-vlan)#vlan 71
Switch(config-vlan)#vlan 72
Switch(config-vlan)#vlan 73

Switch(config)#int vlan 70
Switch(config-if)#ip add 172.16.70.253 255.255.255.0
Switch(config-if)#no sh
Switch(config-if)#int vlan 71
Switch(config-if)#ip add 172.16.71.253 255.255.255.0
Switch(config-if)#no sh
Switch(config-if)#int vlan 72
Switch(config-if)#ip add 172.16.72.253 255.255.255.0
Switch(config-if)#no sh
Switch(config-if)#int vlan 73
Switch(config-if)#ip add 172.16.73.253 255.255.255.0
Switch(config-if)#no sh
Switch(config-if)#
Switch(config-if)#end

 

2. 케이블을 연결 합니다.

 

Fortigate port1 <---> port 1/0/1 SW

 

3. SW설정값을 확인 합니다.

Switch#show vlan brie

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Gi1/0/2, Gi1/0/3, Gi1/0/4
                                                Gi1/0/5, Gi1/0/6, Gi1/0/7
                                                Gi1/0/8, Gi1/0/9, Gi1/0/10
                                                Gi1/0/11, Gi1/0/12, Gi1/0/13
                                                Gi1/0/14, Gi1/0/15, Gi1/0/16
                                                Gi1/0/17, Gi1/0/18, Gi1/0/19
                                                Gi1/0/20, Gi1/0/21, Gi1/0/22
                                                Gi1/0/23, Gi1/0/24, Te1/1/1
                                                Te1/1/2, Te1/1/3, Te1/1/4
4    VLAN0004                         active
70   VLAN0070                         active
71   VLAN0071                         active
72   VLAN0072                         active
73   VLAN0073                         active
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup
1004 fddinet-default                  act/unsup
1005 trnet-default                    act/unsup
Switch#

Switch#show ip int brie
Interface              IP-Address      OK? Method Status                Protocol
Vlan1                  unassigned      YES NVRAM  up                    up
Vlan70                 172.16.70.253   YES manual up                    up
Vlan71                 172.16.71.253   YES manual up                    up
Vlan72                 172.16.72.253   YES manual up                    up
Vlan73                 172.16.73.253   YES manual up                    up

 

4. 스위치에서 방화벽쪽으로 PING를 테스트 합니다.

Switch#ping 172.16.70.254 source vlan 70
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.70.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.70.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 172.16.71.254 source vlan 71
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.71.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.71.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 172.16.72.254 source vlan 72
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.72.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.72.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#ping 172.16.73.254 source vlan 73
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.73.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.73.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#

 

이번에는 포트를 변경해보겠습니다.


Fortigate port2 <-------> port1/0/1 SW

 

다시 Ping를 테스트 합니다. 

Switch#ping 172.16.70.254 source vlan 70
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.70.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.70.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 172.16.71.254 source vlan 71
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.71.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.71.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 172.16.72.254 source vlan 72
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.72.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.72.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#ping 172.16.73.254 source vlan 73
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.73.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.73.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#

 

VLAN-SWITCH에 포함된 PORT들은 아무 포트나 연결하면 VLAN 70 - IP, VLAN 71 - IP, VLAN 72 - IP, VLAN73 -IP랑 통신 가능 합니다.

 

VLAN-SWITCH<---> HARD-SWITCH랑 같습니다. 

   edit "lan"
        set vdom "root"
        set ip 192.168.1.99 255.255.255.0
        set allowaccess ping https ssh fabric
        set type hard-switch
        set stp enable
        set role lan
        set snmp-index 15

 

지금까지 Fortigate VLAN-SWITCH에 대해서 글을 읽어주셔서 감사합니다. 

 

 

저작자표시 (새창열림)

'FORTINET > FORTIGATE 방화벽' 카테고리의 다른 글

[Fortigate-#11]- VLAN on Port  (0) 2024.11.27
[Fortigate-#10]- spanning-tree  (0) 2024.11.27
[Fortigate-#7]- SSL Inspection  (0) 2024.11.22
[Fortigate-#6]- License 종류  (0) 2024.11.22
[Fortigate-#5]-Security Profiles  (0) 2024.11.22

안녕하세요. 

 

오늘은 Fortigate에서 인증서를 설정하고 PC에 인증서를 설치 하는 방법에 대해서 알아보겠습니다. 

 

방화벽 정책에 맨 아래에 표시면 SSL Inspection 항목이 있고 옵션들이 있습니다.

 

Certificate-inspection를 사용하면 따로 인증서를 피시에 설치할 필요는 없지만, 방화벽에 제대로 암호화된 패킷을 복호화해서 검사를 하지 않기 때문에, Deep-inspection를 선택해야합니다. 

 

Profile들을 제대로 확인하기 위해서는 deep-inspection이 필수 입니다.

 

1. 방화벽에서 내부에서 외부로 가는 Traffic 방화벽 정책 합니다. 

2. SSL inspection은 deep-inspection를 선택합니다. 

3. PC에서 https 접속을 하면 아래처럼 경고 메시지가 발생합니다.

 

방화벽이 proxy역활을 하면서 인증서를 자체 인증서로 PC로 통신합니다. 

PC입장에서는 인증되지 않은 인증서 입니다. 

 

방화벽에서 자체 발급한 인증서 또는 외부 기관에서 인증된 인증서를 사용 해야 합니다. 

 

저는 방화벽 인증서를 사용하고 PC에 인증서를 설치해서 위에 waring message를 제거 하겠습니다. 

 

1. 방화벽에서 deep-inspection할때 어떤 인증서를 쓰는지 확인 합니다. 

 

 

2. 인증서를 다운로드 받습니다. 

 

3. 다운로드 받은 인증서를 PC에 설치 합니다. 

 

4. 열기 버튼을 클릭 합니다. 

 

5. 인증서 설치 

 

6. 로컬 컴퓨터 선택하고 다음을 클릭 합니다. 

 

7. 신뢰할 수 있는 루트 인증 기관 폴더를 선택 합니다. 

 

8. 다음을 클릭 합니다. 

 

9. 마침 버튼을 클릭 합니다. 

 

10. 설치가 완료 되었습니다.

 

인증서가 제대로 설치 되었습니다 확인 합니다.

 

google chrome -> 설정 - > 개인 정보 보호 및 보안 -> 보안 -> 인증서 관리 -> 인증서 관리 창 

 

아래처럼 인증서 확인 가능 합니다. 

또는

윈도우에서 

시작>실행>certmgr.msc

확인 가능 합니다. 

 

 

피시에서 테스트 해보겠습니다. 


정상적으로 동작 합니다. 

 

인증서를 이미 Trust 폴더에 인증 했기때문에 정상적으로 동작합니다.

 

지금까지 Fortigate에서 인증서 설정하고 PC에 다운로드 받는 방법에 대해서 알아보았습니다.

지금까지 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

안녕하세요. 

 

오늘은 SSL Inspection기능에 대해서 알아보겠습니다.

 

오래전에 패킷들은 암호화 되지 않는 패킷들이었기 때문에 방화벽 입장에서는 패킷을 확인하고 정책에 의해서 차단 또는 허용이 가능 했습니다.

 

하지만 요즘 시대에는 대부분에 패킷들이 암호화되어서 통신 하기 때문에 방화벽 입장에서 암호화한 패킷을 복호화해서 패킷을 확인 해야지 차단 또는 허용 할 수 있고 Profile도 사용 가능 합니다. 

 

대부분에 통신은 HTTPs, TLS and SSL을 사용 합니다.

 

이 기능을 사용 하기 위해서는 방화벽이 SSL Proxy처럼 동작합니다.

 

1. 암호화된 Traffic이 방화벽에 들어왔을때, 방화벽은 암호화된 패킷을 복호화 합니다. 

2. 그리고 검사를 시작 합니다.

3. 이상이 없으면 다시 암호화해서 상대방쪽으로 전달 합니다. 

4. 그리고 서버에서 패킷을 받으면 다시 PC에게 전달합니다

 

 

이 과정에서 방화벽 입장에서는 Certificate를 자기 자신으로 바꾸어서 사용 해야 합니다.

1. self signed certiicate

2. 외부에서 인증 받은 certificate

 

만약에 외부에서 인증 받은 certificate를 방화벽이 사용 한다면 PC입장에서는 이미 외부에서 공식적으로 인증 받은 certificate이기 때문에 Trust합니다.

 

하지만 만약에 방화벽  self signed certificate을 사용 하면 PC입장에서는 이 인증서를 trust폴더에 설치 해야 합니다.

설치를 않하면 인증서때문에 warning message가 계속 발생 합니다. 

 

 

Wireshark를 통해서 패킷을 캡처해 보겠습니다. 

wifi를 선택합니다. 

 

 

일반적은 트래픽을 계속 발생 시키고 패킷을 보면 TLS패킷을 볼수 있습니다. 

 

구글을 접속해 보면 아래 처럼 인증서를 확인 할수 있습니다.

 HTTPS

 

외부 기간( WR2)에서 이미 공식적으로 인증 받은 인증서를 사용 하기 때문에, 아무런 warning 메시지 없이 사용 가능 합니다. 

 

google chrome은 

 

 

이렇게 인증서 확인이 가능 합니다. 

 

자체적으로 인증서를 발급 할수도 있고, 외부에 인증서를 추가 할수도 있습니다. 

 

외부 인증서 기관에서 인증서를 구매할 수 있습니다.

예제)

https://www.digicert.com/

 

TLS/SSL Certificate Authority | Leader in Digital Trust | DigiCert

Securing the world’s best brands DigiCert delivers certificate management and security solutions to the majority of the Global 2000.

www.digicert.com

 

지금까지 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'FORTINET > FORTIGATE 방화벽' 카테고리의 다른 글

[Fortigate-#10]- spanning-tree  (0) 2024.11.27
[Fortigate-#9]- VLAN-Switch(Hardware-Switch)  (0) 2024.11.27
[Fortigate-#6]- License 종류  (0) 2024.11.22
[Fortigate-#5]-Security Profiles  (0) 2024.11.22
[Fortigate-#9]- Antivirus Profile - Test  (0) 2024.11.22

안녕하세요.

 

오늘은 Fortigate 라이센스에 대해서 알아보도록 하겠습니다.

 

UTM 장비를 구매 할때 사용 하고자 하는 기능에 따라서 라이센스를 구매 해야 합니다. 

 

24x7 FortiCare Contract

  • RMA(하드웨어 수리 서비스)
  • 제조사의 S/W 업데이트 지원

Advanced Threat Protection(ATP)

  • 24x7 FortiCare (RMA(하드웨어 수리 서비스), 제조사의 S/W 업데이트 지원)
  • IPS, Advanced Malware Protection, Application Control

Unified Threat Protection(UTP)

  • 24x7 FortiCare (RMA(하드웨어 수리 서비스), 제조사의 S/W 업데이트 지원)
  • IPS, Advanced Malware Protection, Application Control, Web & Video Filtering, Antispam Service

Enterprise Protection

  • 24x7 FortiCare (RMA(하드웨어 수리 서비스), 제조사의 S/W 업데이트 지원)
  • IPS, Advanced Malware Protection, Application Control, Web & Video Filtering, Antispam, Security Rating, IoT Detection, Industrial Security, FortiConverter service

지금까지 라이센스에 대해서 알아보았습니다. 

 

자세한 내용은 포티넷 공식 라이센스 문서를 참고 부탁드립니다. 

https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/og-fortiguard.pdf

 

저작자표시 (새창열림)

'FORTINET > FORTIGATE 방화벽' 카테고리의 다른 글

[Fortigate-#9]- VLAN-Switch(Hardware-Switch)  (0) 2024.11.27
[Fortigate-#7]- SSL Inspection  (0) 2024.11.22
[Fortigate-#5]-Security Profiles  (0) 2024.11.22
[Fortigate-#9]- Antivirus Profile - Test  (0) 2024.11.22
[Fortigate-#4]-Site to Site VPN-Manual Setup  (1) 2024.11.07

+ Recent posts

티스토리툴바