IT BLOG(KR)

안녕하세요.

이번에는 30.1.1.1 PC가 외부에 인터넷이 가능 하도록 설정해 보겠습니다.

토폴로지는 아래와 같습니다.

1. INT_Router를 설정 하도록 하겠습니다.

en
conf t
ho INT_Router
int g0/0
ip add 192.168.10.92 255.255.255.0
no sh
int g0/1
ip add 10.1.1.1 255.255.255.0
no sh
int g0/2
ip add 20.1.1.1 255.255.255.0
no sh
ip route 0.0.0.0 0.0.0.0 192.168.10.253

2. Check INT_Router

Router#show ip int brie
Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0         192.168.10.92   YES manual up                    up
GigabitEthernet0/1         10.1.1.1        YES manual up                    up
GigabitEthernet0/2         20.1.1.1        YES manual up                    up
GigabitEthernet0/3         unassigned      YES unset  administratively down down
Router#

Router#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 192.168.10.253 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 192.168.10.253
      10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        10.1.1.0/24 is directly connected, GigabitEthernet0/1
L        10.1.1.1/32 is directly connected, GigabitEthernet0/1
      20.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        20.1.1.0/24 is directly connected, GigabitEthernet0/2
L        20.1.1.1/32 is directly connected, GigabitEthernet0/2
      192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.10.0/24 is directly connected, GigabitEthernet0/0
L        192.168.10.92/32 is directly connected, GigabitEthernet0/0
Router#

3. ping 8.8.8.8

Router#ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 3/3/4 ms
Router#

4. INT_Router에서 SNAT를 설정 합니다.

int g0/0
ip nat outside
int g0/1
ip nat inside
int g0/2
ip nat inside

access-list 1 permit any
ip nat inside source list 1 interface g0/0 overload

5. Test - Source를 변경해서 외부로 Ping를 하면 제대로 동작 합니다.

INT_ROUTER#ping 8.8.8.8 source g0/1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
Packet sent with a source address of 10.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 3/3/5 ms
INT_ROUTER#ping 8.8.8.8 source g0/2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
Packet sent with a source address of 20.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 3/3/7 ms
INT_ROUTER#

6. Router에서 NAT table test

INT_ROUTER#show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
icmp 192.168.10.92:3   10.1.1.1:3         8.8.8.8:3          8.8.8.8:3
icmp 192.168.10.92:4   20.1.1.1:4         8.8.8.8:4          8.8.8.8:4
INT_ROUTER#

이제 PaloAlto에서 확인해보겠습니다.

1. Static route를 설정합니다.

2. Add를 클릭 합니다.

3. GW01를 설정합니다. Metric 10

4. GW02를 설정합니다.

5. NAT를 설정합니다.

6. 이번에는 SNAT02를 만듭니다.

7. Policy를 설정합니다

7. VPC 에서 Ping 8.8.8.8 시도 합니다.

VPCS> ping 8.8.8.8

84 bytes from 8.8.8.8 icmp_seq=1 ttl=55 time=30.465 ms
84 bytes from 8.8.8.8 icmp_seq=2 ttl=55 time=6.784 ms
84 bytes from 8.8.8.8 icmp_seq=3 ttl=55 time=7.433 ms
84 bytes from 8.8.8.8 icmp_seq=4 ttl=55 time=6.824 ms
84 bytes from 8.8.8.8 icmp_seq=5 ttl=55 time=6.570 ms

VPCS>

방화벽에서 Policy 그리고 NAT hit count 확인

지금까지 PaloAlto에서 SNAT에 대해서 알아보았습니다.

글을 읽어주셔서 감사합니다.

저작자표시

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#7]- Global Protect(Remote User) (0)	2024.12.03
[PaloAlto FW-#6]- Two ISP monitor (0)	2024.12.03
[PaloAlto FW-#4]- Interface Mgmt (0)	2024.12.03
[PaloAlto FW-#3]- Zone Configuration (0)	2024.12.03
[PaloAlto FW-#2]- admin password re-configure (0)	2024.12.03

안녕하세요.

이번에는 PaloAlto Interface Mgmt에 대해서 알아보겠습니다.

PaloAlto interface에 Ping, http, https등 Enable하기위해서는 Interface Mgmt Profile를 만들고 interface에 할당 해야 합니다.

토폴로지는 아래와 같습니다.

1. VPC에서 30.1.1.254 ping를 시도 합니다.

VPCS> ping 30.1.1.254

30.1.1.254 icmp_seq=1 timeout
30.1.1.254 icmp_seq=2 timeout
30.1.1.254 icmp_seq=3 timeout
30.1.1.254 icmp_seq=4 timeout
30.1.1.254 icmp_seq=5 timeout

VPCS>
VPCS>

실패 합니다.

2. Interface Mgmt Profile를 설정 합니다.

Network ->Interface Mgmt -> Add

Trust-Profile 설정

Untrust-Profile 설정

3. Interface에 할당합니다.

E1/1 - Untrust-Profile

E1/2 -Untrust-Profile

E1/3 - Trust-Profile

4. Commit를 실행 합니다.

5. VPC에서 다시 Default Gateway로 PIng를 시도 합니다.

VPCS> ping 30.1.1.254

84 bytes from 30.1.1.254 icmp_seq=1 ttl=64 time=18.113 ms
84 bytes from 30.1.1.254 icmp_seq=2 ttl=64 time=2.498 ms
84 bytes from 30.1.1.254 icmp_seq=3 ttl=64 time=2.753 ms
84 bytes from 30.1.1.254 icmp_seq=4 ttl=64 time=2.241 ms
84 bytes from 30.1.1.254 icmp_seq=5 ttl=64 time=3.220 ms

VPCS>

지금까지 PaloAlto Interface Mgmt Profile에 대해서 알아보았습니다.

지금까지 글을 읽어주셔서 감사합니다.

저작자표시

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#6]- Two ISP monitor (0)	2024.12.03
[PaloAlto FW-#5]- SNAT Configuration (0)	2024.12.03
[PaloAlto FW-#3]- Zone Configuration (0)	2024.12.03
[PaloAlto FW-#2]- admin password re-configure (0)	2024.12.03
[PaloAlto FW-#1]-MGMT Interface Configuration (0)	2024.12.03

안녕하세요.

이번에는 Zone에 대해서 알아보겠습니다.

PaloAlto 방화벽은 Zone based 방화벽 입니다.

Interface는 Zone에 할당되어야 하고 방화벽 정책에 적용 할때는 Zone를 기준으로 정책이 할당 됩니다.

이번에는 Zone를 생성하고 Zone를 Interface에 할당 하는 방법에 대해서 알아보겠습니다.

1. 장비에 접속 합니다.

https://192.168.10.91

2. Network -> Zones -> Add

3. Trust Zone를 생성합니다.

4. Untrsut Zone를 생성 합니다.

5.Interface에 IP주소를 설정하고 Zone를 할당 합니다.

E1/1

IP: 10.1.1.254/24

Zone: Untrust

E1/2

IP: 20.1.1.254/24

Zone: Untrust

E1/3

IP: 30.1.1.254/24

Zone: Trust

5-1 E1/1 설정

5-2 E1/2 서정

5-3 E1/3 설정

6. 설정을 다 하고 Commit를 실행합니다.

아래처럼 링크가 활성화 되었습니다.

VPC IP를 설정 합니다.

VPCS> ip 30.1.1.1 255.255.255.0 30.1.1.254
Checking for duplicate address...
VPCS : 30.1.1.1 255.255.255.0 gateway 30.1.1.254

VPCS> save
Saving startup configuration to startup.vpc
. done

VPCS> ping 30.1.1.254

30.1.1.254 icmp_seq=1 timeout
30.1.1.254 icmp_seq=2 timeout
30.1.1.254 icmp_seq=3 timeout
30.1.1.254 icmp_seq=4 timeout
30.1.1.254 icmp_seq=5 timeout

VPCS>

하지만 위와 같이 Default Gateway로 Ping를 실패하였습니다.

팔로알토는 보안 장비이기 때문에 Interface mgmt profile이 Interface에 적용 되어야지 PIng이 가능 합니다.

이 부분은 다음글에서 확인하겠습니다.

지금까지 글을 읽어주셔서 감사합니다.

저작자표시

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#6]- Two ISP monitor (0)	2024.12.03
[PaloAlto FW-#5]- SNAT Configuration (0)	2024.12.03
[PaloAlto FW-#4]- Interface Mgmt (0)	2024.12.03
[PaloAlto FW-#2]- admin password re-configure (0)	2024.12.03
[PaloAlto FW-#1]-MGMT Interface Configuration (0)	2024.12.03

안녕하세요.

이번에는 admin password를 reset하는 방법에 대해서 알아보겠습니다.

admin@PA-VM>configure
admin@PA-VM# set mgt-config users admin password
Enter password :

새로운 패스워드를 입력합니다.

그리고 GUI에 장비 접속해서 새로운 패스워드를 입력하면 접속 가능 합니다.

지금까지 글을 읽어주셔서 감사합니다.

저작자표시

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#6]- Two ISP monitor (0)	2024.12.03
[PaloAlto FW-#5]- SNAT Configuration (0)	2024.12.03
[PaloAlto FW-#4]- Interface Mgmt (0)	2024.12.03
[PaloAlto FW-#3]- Zone Configuration (0)	2024.12.03
[PaloAlto FW-#1]-MGMT Interface Configuration (0)	2024.12.03

안녕하세요.

오늘은 PaloAlto 방화벽 MGMT Interface를 설정해 보겠습니다.

EVE-NG를 실행하고 아래와 같이 구성도를 만들고 장비들을 실행합니다.

MGMT IP: 192.168.10.91

Subnet Mask: 255.255.255.0

GW: 192.168.10.253

Default 로그인 정보

admin/admin

1. 로그인하고 password를 수정 합니다.

2. 아래처럼 수동으로 IP를 설정 합니다.

admin@PA-VM>configure
admin@PA-VM#set deviceconfig system type static
admin@PA-VM#set deviceconfig system ip-address 192.168.10.91 netmask 255.255.255.0 default-gateway 192.168.10.253
admin@PA-VM# commit

....55%98%............100%
configuration committed successfully

3. PC에서 PIng를 시도 합니다.

4. 장비에 접속합니다.

https://192.168.10.91

아래 버튼을 클릭 합니다.

5. 장비를 로그인 합니다.

6. 아래처럼 정상적으로 로그인 하였습니다.

7. PaloAlto CLI에서 MGMT Interface IP 확인 하는 방법

admin@PA-VM> show interface management

-------------------------------------------------------------------------------
Name: Management Interface
Link status:
  Runtime link speed/duplex/state: 1000/full/up
  Configured link speed/duplex/state: auto/auto/auto
MAC address:
  Port MAC address 50:00:00:57:00:00

Ip address: 192.168.10.91
Netmask: 255.255.255.0
Default gateway: 192.168.10.253
Ipv6 address: unknown
Ipv6 link local address: fe80::5200:ff:fe57:0/64
Ipv6 default gateway:
-------------------------------------------------------------------------------

-------------------------------------------------------------------------------
Logical interface counters:
-------------------------------------------------------------------------------
bytes received                    1125962
bytes transmitted                 38322540
packets received                  10374
packets transmitted               20812
receive errors                    0
transmit errors                   0
receive packets dropped           7
transmit packets dropped          0
multicast packets received        0
-------------------------------------------------------------------------------

admin@PA-VM>

지금까지 PaloAlto 방화벽에서 MGMT IP설정하는 방법에 대해서 알아보았습니다.

글을 읽어주셔서 감사합니다.

저작자표시

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#6]- Two ISP monitor (0)	2024.12.03
[PaloAlto FW-#5]- SNAT Configuration (0)	2024.12.03
[PaloAlto FW-#4]- Interface Mgmt (0)	2024.12.03
[PaloAlto FW-#3]- Zone Configuration (0)	2024.12.03
[PaloAlto FW-#2]- admin password re-configure (0)	2024.12.03

안녕하세요.

이번에는 Fortigate LACP에 대해서 알아보겠습니다.

Fortigate 설정 입니다.

1. LACP Interface를 설정합니다.

name: LACP01

Alias: LACP01

Type: 802.3ad aggregate

Interface member: port5 and port6

Role: Lan

IP: none

그리고 Save를 클릭 합니다.

2. VL10 Interface를 설정합니다.

Name: VL10

Alias: VL10

Type: VLAN

Interface LACP01

VLAN ID: 10

Role: LAN

IP: 10.10.10.254/24

2. VL20 Interface를 설정합니다.

Name: VL20

Alias: VL20

Type: VLAN

Interface LACP01

VLAN ID: 20

Role: LAN

IP: 10.10.10.254/24

Interface를 확인 합니다.

SW 설정입니다.

1. LACP 설정

Switch(config)#int range g1/0/1-2
Switch(config-if-range)#channel-group 1 mode active
Creating a port-channel interface Port-channel 1

Switch(config-if-range)#int po 1
Switch(config-if)#sw mode tr
Switch(config-if)#

2. VLAN and SVI 설정

Switch(config)#vlan 10
Switch(config-vlan)#vlan 20
Switch(config-vlan)#int vlan 10
Switch(config-if)#ip add 10.10.10.253 255.255.255.0
Switch(config-if)#int vlan 20
Switch(config-if)#ip add 20.20.20.253 255.255.255.0
Switch(config-if)#end
Switch#

3. Status 상태 확인

Switch#show vlan brie

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Gi1/0/1, Gi1/0/2, Gi1/0/3
                                                Gi1/0/4, Gi1/0/5, Gi1/0/6
                                                Gi1/0/7, Gi1/0/8, Gi1/0/9
                                                Gi1/0/10, Gi1/0/11, Gi1/0/12
                                                Gi1/0/13, Gi1/0/14, Gi1/0/15
                                                Gi1/0/16, Gi1/0/17, Gi1/0/18
                                                Gi1/0/19, Gi1/0/20, Gi1/0/21
                                                Gi1/0/22, Gi1/0/23, Gi1/0/24
                                                Te1/1/1, Te1/1/2, Te1/1/3
                                                Te1/1/4
4    VLAN0004                         active
10   VLAN0010                         active
20   VLAN0020                         active

Switch#show ip int brie
Interface              IP-Address      OK? Method Status                Protocol
Vlan1                  unassigned      YES NVRAM  down                  down
Vlan10                 10.10.10.253    YES manual down                  down
Vlan20                 20.20.20.253    YES manual down                  down

4. 케이블 연결

5. LACP 확인

Switch#show etherchannel summary
Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        R - Layer3      S - Layer2
        U - in use      f - failed to allocate aggregator

        M - not in use, minimum links not met
        u - unsuitable for bundling
        w - waiting to be aggregated
        d - default port

        A - formed by Auto LAG

Number of channel-groups in use: 1
Number of aggregators:           1

Group  Port-channel  Protocol    Ports
------+-------------+-----------+-----------------------------------------------
1      Po1(SU)         LACP        Gi1/0/1(P)      Gi1/0/2(P)

Switch#

6. Ping 테스트

Switch#ping 10.10.10.254 source vlan 10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.254, timeout is 2 seconds:
Packet sent with a source address of 10.10.10.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 20.20.20.254 sou
Switch#ping 20.20.20.254 source vlan 20
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 20.20.20.254, timeout is 2 seconds:
Packet sent with a source address of 20.20.20.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#

지금까지 fortigate인터페이스를 LACP설정하고 VLAN10 and VLAN20 interface 만들어서 Cisco Switch랑 통신 하는 방법에 대해서 알아보았습니다.

지금까지 글을 읽어주셔서 감사합니다.

저작자표시

'FORTINET > FORTIGATE 방화벽' 카테고리의 다른 글

[Fortigate-#14]- firewall does not work after upgrading firmware (0)	2024.12.11
[Fortigate-#13]- password recovery (1)	2024.12.11
[Fortigate-#11]- VLAN on Port (0)	2024.11.27
[Fortigate-#10]- spanning-tree (0)	2024.11.27
[Fortigate-#7]- SSL Inspection (0)	2024.11.22

안녕하세요.

이번에는 VLAN를 Port에 할당해서 설정하는 방법에 대해서 알아보겠습니다.

방화벽 설정

1. Create New버튼을 클릭 합니다.

2. VL10 interface를 설정합니다.

Name: VL10

Alias: VL10

Type: VLAN

Interface: Port6

VLAN ID: 10

Role: LAN

IP: 10.10.10.254/24

2. VL20 interface를 설정합니다.

Name: VL20

Alias: VL20

Type: VLAN

Interface: Port6

VLAN ID: 20

Role: LAN

IP: 20.20.20.254/24

아래처럼 Port6에 VLAN interface들이 생성 되었습니다.

Switch에서 설정합니다.

1. Vlan 설정

Switch(config)#vlan 10
Switch(config-vlan)#vlan 20
Switch(config-vlan)#end

2 Trunk 설정 Gi1/0/1

interface GigabitEthernet1/0/1
switchport mode trunk
end

3. SVI 설정

Switch(config)#int vlan 10
Switch(config-if)#ip address 10.10.10.253 255.255.255.0
Switch(config-if)#int vlan 20
Switch(config-if)#ip add 20.20.20.253 255.255.255.0
Switch(config-if)#end

케이블을 연결 합니다.

Fortigate port6 <---> port g1/0/1 SW

4. Switch에서 상태 확인. VLAN and interface

Switch#show vlan brie

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Gi1/0/2, Gi1/0/3, Gi1/0/4
                                                Gi1/0/5, Gi1/0/6, Gi1/0/7
                                                Gi1/0/8, Gi1/0/9, Gi1/0/10
                                                Gi1/0/11, Gi1/0/12, Gi1/0/13
                                                Gi1/0/14, Gi1/0/15, Gi1/0/16
                                                Gi1/0/17, Gi1/0/18, Gi1/0/19
                                                Gi1/0/20, Gi1/0/21, Gi1/0/22
                                                Gi1/0/23, Gi1/0/24, Te1/1/1
                                                Te1/1/2, Te1/1/3, Te1/1/4
4    VLAN0004                         active
10   VLAN0010                         active
20   VLAN0020                         active
70   VLAN0070                         active
71   VLAN0071                         active
72   VLAN0072                         active
73   VLAN0073                         active
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup
1004 fddinet-default                  act/unsup
1005 trnet-default                    act/unsup
Switch#show ip int brie
Interface              IP-Address      OK? Method Status                Protocol
Vlan1                  unassigned      YES NVRAM  up                    up
Vlan10                 10.10.10.253    YES manual up                    up
Vlan20                 20.20.20.253    YES manual up                    up

5. Ping테스트

Switch#ping 10.10.10.254 source vlan 10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.254, timeout is 2 seconds:
Packet sent with a source address of 10.10.10.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#ping 20.20.20.254 source vlan 20
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 20.20.20.254, timeout is 2 seconds:
Packet sent with a source address of 20.20.20.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms

지금까지 방화벽 Port6에 VLAN interface를 생성해서 동작하는 방법에 대해서 알아보았습니다.

지금까지 글을 읽어주셔서 감사합니다.

저작자표시

'FORTINET > FORTIGATE 방화벽' 카테고리의 다른 글

[Fortigate-#13]- password recovery (1)	2024.12.11
[Fortigate-#12]- LACP - Link Aggregate (0)	2024.11.27
[Fortigate-#10]- spanning-tree (0)	2024.11.27
[Fortigate-#7]- SSL Inspection (0)	2024.11.22
[Fortigate-#6]- License 종류 (0)	2024.11.22

안녕하세요.

이번에는 Fortigate STP에 대해서 알아보겠습니다.

Software-Switch 또는 VLAN-switch(Hardware-Switch)에 포함된 Port가 스위치에 2개 이상 연결 되었을때 Layer2 Loop가 발생합니다.

이 Layer2 Loop를 방지하기 위해서 Spanning-Tree가 동작하여 Layer2 Loop를 방지 하게 됩니다.

Fortigate 방화벽 입장에서는 어떻게 동작하는지 확인해보겠습니다.

모든 firewall 벤더가 똑같이 동작하는 것이 아닙니다. 벤더 문서를 꼭 읽어주시길 바랍니다.

1. network -> Interface -> Create New를 클릭하시면 아래 같이 Interface Type를 선택 할수 있습니다.

Software Switch - STP 미동작

VLAN switch(hardware switch) - STP 동작

위에 두가지 차이점은 나중에 자세히 설명하겠습니다.

https://itblog-kr.tistory.com/79

[Fortigate-#9]- VLAN-Switch(Hardware-Switch)

안녕하세요. 오늘은 Fortigate 방화벽에서 VLAN Switch에 대해서 알아보겠습니다. Fortigate Firewall은 시큐리티 장비이지만, 간단한 L2 스위치 기능을 지원 합니다. 아래처럼 Port1,2,3,4,5를 VLAN-SWITCH로

itblog-kr.tistory.com

기본 설정은 위에 글을 참고 부탁드립니다. 이번 글에서 STP 설정에 대해서만 다루겠습니다.

1. Switch에서 G1/0/1 and G1/0/2를 Trunk를 설정 합니다.

interface GigabitEthernet1/0/1
switchport mode trunk
end

Switch#show run int g1/0/2
Building configuration...

Current configuration : 61 bytes
!
interface GigabitEthernet1/0/2
switchport mode trunk
end

2. Fortigate에서 stp설정을 확인 합니다.

디폴트롤 STP enable입니다.

FortiGate-90G # config system interface

FortiGate-90G (interface) # edit lan

FortiGate-90G (lan) # show
config system interface
    edit "lan"
        set vdom "root"
        set ip 192.168.1.99 255.255.255.0
        set allowaccess ping https ssh fabric
        set type hard-switch
        set stp enable
        set role lan
        set snmp-index 15
    next
end

FortiGate-90G (lan) #

3. Switch에서 STP를 확인 합니다.

디폴트로 STP enable 입니다. 그리고 G1/0/2가 Blocking Port입니다.

Switch#show spanning-tree vlan 70

VLAN0070
  Spanning tree enabled protocol rstp
  Root ID    Priority    32838
             Address     084f.a946.6900
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32838  (priority 32768 sys-id-ext 70)
             Address     084f.a946.6900
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0/1             Desg FWD 4         128.1    P2p
Gi1/0/2             Back BLK 4         128.2    P2p

Switch#show spanning-tree vlan 71

VLAN0071
  Spanning tree enabled protocol rstp
  Root ID    Priority    32839
             Address     084f.a946.6900
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32839  (priority 32768 sys-id-ext 71)
             Address     084f.a946.6900
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0/1             Desg FWD 4         128.1    P2p
Gi1/0/2             Back BLK 4         128.2    P2p

Switch#show spanning-tree vlan 72

VLAN0072
  Spanning tree enabled protocol rstp
  Root ID    Priority    32840
             Address     084f.a946.6900
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32840  (priority 32768 sys-id-ext 72)
             Address     084f.a946.6900
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0/1             Desg FWD 4         128.1    P2p
Gi1/0/2             Back BLK 4         128.2    P2p

Switch#show spanning-tree vlan 73

VLAN0073
  Spanning tree enabled protocol rstp
  Root ID    Priority    32841
             Address     084f.a946.6900
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32841  (priority 32768 sys-id-ext 73)
             Address     084f.a946.6900
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0/1             Desg FWD 4         128.1    P2p
Gi1/0/2             Back BLK 4         128.2    P2p

Switch#

Switch#show run | in span
spanning-tree mode rapid-pvst
spanning-tree extend system-id

4. Ping테스트를 해보겠습니다.

정상적으로 동작 합니다.

Switch#ping 172.16.70.254 source vlan 70
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.70.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.70.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#ping 172.16.71.254 source vlan 71
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.71.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.71.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 172.16.72.254 source vlan 72
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.72.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.72.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 172.16.73.254 source vlan 73
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.73.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.73.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#

5. 포티넷 방화벽에서 port1 케이블을 제거 합니다.

6. Switch에서 STP상태를 확인 합니다.

Switch#show spanning-tree vlan 70

VLAN0070
  Spanning tree enabled protocol rstp
  Root ID    Priority    32838
             Address     084f.a946.6900
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32838  (priority 32768 sys-id-ext 70)
             Address     084f.a946.6900
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0/2             Desg FWD 4         128.2    P2p

Switch#show spanning-tree vlan 71

VLAN0071
  Spanning tree enabled protocol rstp
  Root ID    Priority    32839
             Address     084f.a946.6900
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32839  (priority 32768 sys-id-ext 71)
             Address     084f.a946.6900
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0/2             Desg FWD 4         128.2    P2p

Switch#show spanning-tree vlan 72

VLAN0072
  Spanning tree enabled protocol rstp
  Root ID    Priority    32840
             Address     084f.a946.6900
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32840  (priority 32768 sys-id-ext 72)
             Address     084f.a946.6900
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0/2             Desg FWD 4         128.2    P2p

Switch#show spanning-tree vlan 73

VLAN0073
  Spanning tree enabled protocol rstp
  Root ID    Priority    32841
             Address     084f.a946.6900
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32841  (priority 32768 sys-id-ext 73)
             Address     084f.a946.6900
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0/2             Desg FWD 4         128.2    P2p

Switch#

7. Ping 테스트를 합니다.

Switch#ping 172.16.70.254 source vlan 70
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.70.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.70.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 172.16.71.254 source vlan 71
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.71.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.71.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 172.16.72.254 source vlan 72
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.72.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.72.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#ping 172.16.73.254 source vlan 73
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.73.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.73.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#

정상적으로 동작합니다.

지금까지 글을 읽어주셔서 감사합니다.

저작자표시

'FORTINET > FORTIGATE 방화벽' 카테고리의 다른 글

[Fortigate-#12]- LACP - Link Aggregate (0)	2024.11.27
[Fortigate-#11]- VLAN on Port (0)	2024.11.27
[Fortigate-#7]- SSL Inspection (0)	2024.11.22
[Fortigate-#6]- License 종류 (0)	2024.11.22
[Fortigate-#5]-Security Profiles (0)	2024.11.22

안녕하세요.

오늘은 Fortigate 방화벽에서 VLAN Switch에 대해서 알아보겠습니다.

Fortigate Firewall은 시큐리티 장비이지만, 간단한 L2 스위치 기능을 지원 합니다.

아래처럼 Port1,2,3,4,5를 VLAN-SWITCH로 등록 하고, 아래 처럼 VLAN를 생성해서 IP를 설정 할수 있습니다.

그리고 Port 1,2,3,4,5 아무 포트나 연결해도 VLAN L3 Interface랑 통신 할수 있습니다.

동작 방식을 Cisco로 비교하면 Port를 Trunk로 설정하고 VLAN 생성하고 SVI를 만들어서 VLAN L3 Interface로 사용 할수 있습니다.

그럼 설정해보겠습니다.

방화벽 설정 - 테스트 장비는 Fortigate-90G입니다.

1. 장비로 로그인 합니다.

2. 디폴트로 VLAN Switch라는 인터페이스가 있습니다.

그리고 인터페이스 이륾은 lan으로 정의 되어져 있습니다.

Create New버튼을 클릭 합니다.

3. VLAN 70 SVI를 설정해 보겠습니다.

Name: VL70

Alias: VL70

Interface: lan

VLAN ID: 70

Role: LAN

IP: 172.16.70.254/24

그리고 https, http, ping를 enable하고 Save버튼을 클릭 합니다.

4. VLAN 71 SVI를 설정해 보겠습니다.

Name: VL71

Alias: VL71

Interface: lan

VLAN ID: 71

Role: LAN

IP: 172.16.71.254/24

그리고 https, http, ping를 enable하고 Save버튼을 클릭 합니다.

5. VLAN 72 SVI를 설정해 보겠습니다.

Name: VL72

Alias: VL72

Interface: lan

VLAN ID: 72

Role: LAN

IP: 172.16.72.254/24

그리고 https, http, ping를 enable하고 Save버튼을 클릭 합니다.

6. VLAN 73 SVI를 설정해 보겠습니다.

Name: VL73

Alias: VL73

Interface: lan

VLAN ID: 73

Role: LAN

IP: 172.16.73.254/24

그리고 https, http, ping를 enable하고 Save버튼을 클릭 합니다.

7. Interface를 확인 합니다.

Cisco Switch을 설정 하겠습니다.

1. 아래처럼 설정 합니다.

interface GigabitEthernet1/0/1
switchport mode trunk
end

Switch(config)#vlan 70
Switch(config-vlan)#vlan 71
Switch(config-vlan)#vlan 72
Switch(config-vlan)#vlan 73

Switch(config)#int vlan 70
Switch(config-if)#ip add 172.16.70.253 255.255.255.0
Switch(config-if)#no sh
Switch(config-if)#int vlan 71
Switch(config-if)#ip add 172.16.71.253 255.255.255.0
Switch(config-if)#no sh
Switch(config-if)#int vlan 72
Switch(config-if)#ip add 172.16.72.253 255.255.255.0
Switch(config-if)#no sh
Switch(config-if)#int vlan 73
Switch(config-if)#ip add 172.16.73.253 255.255.255.0
Switch(config-if)#no sh
Switch(config-if)#
Switch(config-if)#end

2. 케이블을 연결 합니다.

Fortigate port1 <---> port 1/0/1 SW

3. SW설정값을 확인 합니다.

Switch#show vlan brie

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Gi1/0/2, Gi1/0/3, Gi1/0/4
                                                Gi1/0/5, Gi1/0/6, Gi1/0/7
                                                Gi1/0/8, Gi1/0/9, Gi1/0/10
                                                Gi1/0/11, Gi1/0/12, Gi1/0/13
                                                Gi1/0/14, Gi1/0/15, Gi1/0/16
                                                Gi1/0/17, Gi1/0/18, Gi1/0/19
                                                Gi1/0/20, Gi1/0/21, Gi1/0/22
                                                Gi1/0/23, Gi1/0/24, Te1/1/1
                                                Te1/1/2, Te1/1/3, Te1/1/4
4    VLAN0004                         active
70   VLAN0070                         active
71   VLAN0071                         active
72   VLAN0072                         active
73   VLAN0073                         active
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup
1004 fddinet-default                  act/unsup
1005 trnet-default                    act/unsup
Switch#

Switch#show ip int brie
Interface              IP-Address      OK? Method Status                Protocol
Vlan1                  unassigned      YES NVRAM  up                    up
Vlan70                 172.16.70.253   YES manual up                    up
Vlan71                 172.16.71.253   YES manual up                    up
Vlan72                 172.16.72.253   YES manual up                    up
Vlan73                 172.16.73.253   YES manual up                    up

4. 스위치에서 방화벽쪽으로 PING를 테스트 합니다.

Switch#ping 172.16.70.254 source vlan 70
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.70.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.70.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 172.16.71.254 source vlan 71
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.71.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.71.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 172.16.72.254 source vlan 72
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.72.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.72.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#ping 172.16.73.254 source vlan 73
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.73.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.73.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#

이번에는 포트를 변경해보겠습니다.

Fortigate port2 <-------> port1/0/1 SW

다시 Ping를 테스트 합니다.

Switch#ping 172.16.70.254 source vlan 70
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.70.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.70.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 172.16.71.254 source vlan 71
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.71.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.71.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 172.16.72.254 source vlan 72
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.72.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.72.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#ping 172.16.73.254 source vlan 73
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.73.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.73.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#

VLAN-SWITCH에 포함된 PORT들은 아무 포트나 연결하면 VLAN 70 - IP, VLAN 71 - IP, VLAN 72 - IP, VLAN73 -IP랑 통신 가능 합니다.

VLAN-SWITCH<---> HARD-SWITCH랑 같습니다.

   edit "lan"
        set vdom "root"
        set ip 192.168.1.99 255.255.255.0
        set allowaccess ping https ssh fabric
        set type hard-switch
        set stp enable
        set role lan
        set snmp-index 15

지금까지 Fortigate VLAN-SWITCH에 대해서 글을 읽어주셔서 감사합니다.