ISP02 - WAN02는 WAN01이 죽어야지 Default Gateway WAN02로 바뀌면서 통신 가능 합니다.
config system ddns edit 1 set ddns-server FortiGuardDDNS set ddns-domain "fw1004.float-zone.com" set use-public-ip enable set update-interval 60 set monitor-interface "port1" "port2"
202. X.X .196에 대한 Ping 통계: 패킷: 보냄 = 5, 받음 = 5, 손실 = 0 (0% 손실), 왕복 시간(밀리초): 최소 = 10ms, 최대 = 25ms, 평균 = 16ms Control-C ^C C:\Users\USER> C:\Users\USER>nslookup fw1004.float-zone.com -t ^C C:\Users\USER>nslookup fw1004.float-zone.com 서버: UnKnown Address: 43.245.107.6
권한 없는 응답: 이름: fw1004.float-zone.com Address: 202. X.X .196
Fortigate에서 WAN01에서 케이블을 제거 합니다.
DDNS서버에 정보가 업데이트되고 ROOT DNS서버까지 동기화 하기 위해서는 조금 시간이 걸립니다.
5분 정도 기다립니다.
라우팅 테이블은 port2으로 ISP2으로 변경 되었습니다.
fortiGate-VM64-KVM # get router info routing-table all Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default
Routing table for VRF=0 S* 0.0.0.0/0 [150/0] via 202. X.X .193, port2, [1/0] C 10.1.1.0/24 is directly connected, port3
권한 없는 응답: 이름: fw1004.float-zone.com Address: 202.X.X.197
fortigate wan01 케이블을 다시 연결 합니다.
Default Gateway는 변경 되었습니다.
FortiGate-VM64-KVM # get router info routing-table all Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default
Routing table for VRF=0 S* 0.0.0.0/0 [10/0] via 202. X.X .193, port1, [1/0] C 10.1.1.0/24 is directly connected, port3
WAN02가 BACKUP internet으로 동작중에 INT-SW G0/0가 죽으면 Fortigate입장에서는 감지 할수 있는 방법이 없어서 계속 WAN01로 Traffic보내어서 PC가 통신이 불가능 합니다.
WAN01 - Interface로 Ping 8.8.8.8 보내어서 응답이 없으면 Defualt Gateway를 WAN02변경해서 PC가 계속 외부로 통신이 가능 하도록 설정해보겠습니다.
FortiGate-VM64-KVM # get router info routing-table all Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default
Routing table for VRF=0 S* 0.0.0.0/0 [10/0] via 202.14.X.X, port1, [1/0] C 10.1.1.0/24 is directly connected, port3
외부로 통신이 가능 합니다.
INT-SW01에서 Int G0/0 Shutdown 합니다.
en conf t int g0/0 sh
PC에서 통신이 불가능 합니다.
그 이유는 방화벽 입장에서 직접 물리적으로 연결된 링크가 죽은게 아니기때문에, 감지를 못합니다.
계속 Port1로 패킷을 보내고 있습니다.
FortiGate-VM64-KVM # get router info routing-table all Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default
Routing table for VRF=0 S* 0.0.0.0/0 [10/0] via 202.14.X.X, port1, [1/0] C 10.1.1.0/24 is directly connected, port3
Fortigate 에서 IP SLA 설정 합니다.
FortiGate-VM64-KVM # config system link-monitor
FortiGate-VM64-KVM (link-monitor) # edit pri new entry 'pri' added
FortiGate-VM64-KVM (pri) # set srcintf port1
FortiGate-VM64-KVM (pri) # set source-ip 202.14.X.X
FortiGate-VM64-KVM (pri) # show config system link-monitor edit "pri" set srcintf "port1" set server "8.8.8.8" set source-ip 202.14.X.X next end
FortiGate-VM64-KVM # diagnose sys link-monitor status pri
Link Monitor: pri, Status: dead, Server num(1), HA state: local(dead), shared(dead) Flags=0x9 init log_downgateway, Create time: Fri Dec 27 18:45:55 2024 Source interface: port1 (3) Source IP: 202.14.X.X Interval: 500 ms Service-detect: disable Diffservcode: 000000 Class-ID: 0 Peer: 8.8.8.8(8.8.8.8) Source IP(202.14.X.X) Route: 202.14.X.X->8.8.8.8/32, gwy(202.14.X.X) protocol: ping, state: dead Packet lost: 100.000% Number of out-of-sequence packets: 0 Recovery times(0/5) Fail Times(2/5) Packet sent: 18, received: 0, Sequence(sent/rcvd/exp): 19/0/0
PC가 정상적으로 외부로 통신이 가능 합니다.
아래처럼 디폴트 게이트웨이가 Port2로 변경 되었습니다.
FortiGate-VM64-KVM # get router info routing-table all Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default
Routing table for VRF=0 S* 0.0.0.0/0 [150/0] via 202.14.X.X, port2, [1/0] C 10.1.1.0/24 is directly connected, port3
INT_SW01에서 int g0/0 no shutdown해서 인터페이스를 살립니다.
en conf t int g0/0 no sh
그리고 IP SLA상태를 확인 합니다. Status alive입니다.
FortiGate-VM64-KVM # diagnose sys link-monitor status pri
Link Monitor: pri, Status: alive, Server num(1), HA state: local(alive), shared(alive) Flags=0x1 init, Create time: Fri Dec 27 18:45:55 2024 Source interface: port1 (3) Source IP: 202.14.X.X Interval: 500 ms Service-detect: disable Diffservcode: 000000 Class-ID: 0 Peer: 8.8.8.8(8.8.8.8) Source IP(202.14.X.X) Route: 202.14.X.X->8.8.8.8/32, gwy(202.14.X.X) protocol: ping, state: alive Latency(Min/Max/Avg): 3.238/7.040/3.807 ms Jitter(Min/Max/Avg): 0.024/3.550/0.523 ms Packet lost: 51.000% Number of out-of-sequence packets: 0 Fail Times(0/5) Packet sent: 881, received: 49, Sequence(sent/rcvd/exp): 882/882/883
FortiGate-VM64-KVM #
라우팅 테이블을 확인 합니다.
Port2에서 Port1으로 변경 되었습니다.
FortiGate-VM64-KVM # get router info routing-table all Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default
Routing table for VRF=0 S* 0.0.0.0/0 [10/0] via 202.14.X.X, port1, [1/0] C 10.1.1.0/24 is directly connected, port3
FortiGate-61E (19:30-06.08.2016) Ver:05000009 Serial number: FGT61E4Q16000833 CPU: 1000MHz Total RAM: 2 GB Initializing boot device... Initializing MAC... nplite#0 Please wait for OS to boot, or press any key to display configuration menu......
Please wait for OS to boot, or press any key to display configuration menu..
이 부분에서 아무 키가 누릅니다.
그리고
B: boot with backup firmware and set as default 를 선택합니다.
부팅이 정상적으로 완료 되고 FortiGate-61E 로그인창을 볼수 있습니다.
FortiGate-61E (19:30-06.08.2016) Ver:05000009 Serial number: FGT61E4Q16000833 CPU: 1000MHz Total RAM: 2 GB Initializing boot device... Initializing MAC... nplite#0 Please wait for OS to boot, or press any key to display configuration menu..
[C]: Configure TFTP parameters. [R]: Review TFTP parameters. [T]: Initiate TFTP firmware transfer. [F]: Format boot device. [I]: System information. [B]: Boot with backup firmware and set as default. [Q]: Quit menu and continue to boot. [H]: Display this list of options.
System is starting... Starting system maintenance... Scanning /dev/mmcblk0p2... (100%) Scanning /dev/mmcblk0p3... (100%) The config file may contain errors, Please see details by the command 'diagnose debug config-error-log read'
password: bcpb+serial number -bcpbFGT61E4QXXXXXXXX
serial 정보는 부팅할때 serial number를 확인 가능하고 또는 장비에서 뒷면에서 시리얼번호를 확인 가능 합니다.
FortiGate-61E (19:30-06.08.2016) Ver:05000009 Serial number: FGT61E4QXXXXXX CPU: 1000MHz Total RAM: 2 GB Initializing boot device... Initializing MAC... nplite#0 Please wait for OS to boot, or press any key to display configuration menu......
WARNING: File System Check Recommended! Unsafe reboot may have caused inconsistency in disk drive. It is strongly recommended that you check file system consistency before proceeding. Please run 'execute disk scan 259' Note: The device will reboot and scan during startup. This may take up to an hour
WARNING: File System Check Recommended! Unsafe reboot may have caused inconsistency in disk drive. It is strongly recommended that you check file system consistency before proceeding. Please run 'execute disk scan 259' Note: The device will reboot and scan during startup. This may take up to an hour FW1 #
지금까지 fortigate 방화벽 Password Recovery에 대해서 알아보았습니다.
VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Gi1/0/1, Gi1/0/2, Gi1/0/3 Gi1/0/4, Gi1/0/5, Gi1/0/6 Gi1/0/7, Gi1/0/8, Gi1/0/9 Gi1/0/10, Gi1/0/11, Gi1/0/12 Gi1/0/13, Gi1/0/14, Gi1/0/15 Gi1/0/16, Gi1/0/17, Gi1/0/18 Gi1/0/19, Gi1/0/20, Gi1/0/21 Gi1/0/22, Gi1/0/23, Gi1/0/24 Te1/1/1, Te1/1/2, Te1/1/3 Te1/1/4 4 VLAN0004 active 10 VLAN0010 active 20 VLAN0020 active
Switch#show ip int brie Interface IP-Address OK? Method Status Protocol Vlan1 unassigned YES NVRAM down down Vlan10 10.10.10.253 YES manual down down Vlan20 20.20.20.253 YES manual down down
4. 케이블 연결
5. LACP 확인
Switch#show etherchannel summary Flags: D - down P - bundled in port-channel I - stand-alone s - suspended H - Hot-standby (LACP only) R - Layer3 S - Layer2 U - in use f - failed to allocate aggregator
M - not in use, minimum links not met u - unsuitable for bundling w - waiting to be aggregated d - default port
A - formed by Auto LAG
Number of channel-groups in use: 1 Number of aggregators: 1
Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------- 1 Po1(SU) LACP Gi1/0/1(P) Gi1/0/2(P)
Switch#
6. Ping 테스트
Switch#ping 10.10.10.254 source vlan 10 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.10.10.254, timeout is 2 seconds: Packet sent with a source address of 10.10.10.253 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms Switch#ping 20.20.20.254 sou Switch#ping 20.20.20.254 source vlan 20 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 20.20.20.254, timeout is 2 seconds: Packet sent with a source address of 20.20.20.253 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms Switch#
지금까지 fortigate인터페이스를 LACP설정하고 VLAN10 and VLAN20 interface 만들어서 Cisco Switch랑 통신 하는 방법에 대해서 알아보았습니다.
VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Gi1/0/2, Gi1/0/3, Gi1/0/4 Gi1/0/5, Gi1/0/6, Gi1/0/7 Gi1/0/8, Gi1/0/9, Gi1/0/10 Gi1/0/11, Gi1/0/12, Gi1/0/13 Gi1/0/14, Gi1/0/15, Gi1/0/16 Gi1/0/17, Gi1/0/18, Gi1/0/19 Gi1/0/20, Gi1/0/21, Gi1/0/22 Gi1/0/23, Gi1/0/24, Te1/1/1 Te1/1/2, Te1/1/3, Te1/1/4 4 VLAN0004 active 10 VLAN0010 active 20 VLAN0020 active 70 VLAN0070 active 71 VLAN0071 active 72 VLAN0072 active 73 VLAN0073 active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup Switch#show ip int brie Interface IP-Address OK? Method Status Protocol Vlan1 unassigned YES NVRAM up up Vlan10 10.10.10.253 YES manual up up Vlan20 20.20.20.253 YES manual up up
5. Ping테스트
Switch#ping 10.10.10.254 source vlan 10 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.10.10.254, timeout is 2 seconds: Packet sent with a source address of 10.10.10.253 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms Switch#ping 20.20.20.254 source vlan 20 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 20.20.20.254, timeout is 2 seconds: Packet sent with a source address of 20.20.20.253 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
지금까지 방화벽 Port6에 VLAN interface를 생성해서 동작하는 방법에 대해서 알아보았습니다.
기본 설정은 위에 글을 참고 부탁드립니다. 이번 글에서 STP 설정에 대해서만 다루겠습니다.
1. Switch에서 G1/0/1 and G1/0/2를 Trunk를 설정 합니다.
interface GigabitEthernet1/0/1 switchport mode trunk end
Switch#show run int g1/0/2 Building configuration...
Current configuration : 61 bytes ! interface GigabitEthernet1/0/2 switchport mode trunk end
2. Fortigate에서 stp설정을 확인 합니다.
디폴트롤 STP enable입니다.
FortiGate-90G # config system interface
FortiGate-90G (interface) # edit lan
FortiGate-90G (lan) # show config system interface edit "lan" set vdom "root" set ip 192.168.1.99 255.255.255.0 set allowaccess ping https ssh fabric set type hard-switch set stp enable set role lan set snmp-index 15 next end
FortiGate-90G (lan) #
3. Switch에서 STP를 확인 합니다.
디폴트로 STP enable 입니다. 그리고 G1/0/2가 Blocking Port입니다.
Switch#show spanning-tree vlan 70
VLAN0070 Spanning tree enabled protocol rstp Root ID Priority 32838 Address 084f.a946.6900 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32838 (priority 32768 sys-id-ext 70) Address 084f.a946.6900 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 sec
Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- Gi1/0/1 Desg FWD 4 128.1 P2p Gi1/0/2 Back BLK 4 128.2 P2p
Switch#show spanning-tree vlan 71
VLAN0071 Spanning tree enabled protocol rstp Root ID Priority 32839 Address 084f.a946.6900 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32839 (priority 32768 sys-id-ext 71) Address 084f.a946.6900 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 sec
Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- Gi1/0/1 Desg FWD 4 128.1 P2p Gi1/0/2 Back BLK 4 128.2 P2p
Switch#show spanning-tree vlan 72
VLAN0072 Spanning tree enabled protocol rstp Root ID Priority 32840 Address 084f.a946.6900 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32840 (priority 32768 sys-id-ext 72) Address 084f.a946.6900 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 sec
Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- Gi1/0/1 Desg FWD 4 128.1 P2p Gi1/0/2 Back BLK 4 128.2 P2p
Switch#show spanning-tree vlan 73
VLAN0073 Spanning tree enabled protocol rstp Root ID Priority 32841 Address 084f.a946.6900 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32841 (priority 32768 sys-id-ext 73) Address 084f.a946.6900 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 sec
Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- Gi1/0/1 Desg FWD 4 128.1 P2p Gi1/0/2 Back BLK 4 128.2 P2p
Switch#
Switch#show run | in span spanning-tree mode rapid-pvst spanning-tree extend system-id
4. Ping테스트를 해보겠습니다.
정상적으로 동작 합니다.
Switch#ping 172.16.70.254 source vlan 70 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.70.254, timeout is 2 seconds: Packet sent with a source address of 172.16.70.253 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms Switch#ping 172.16.71.254 source vlan 71 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.71.254, timeout is 2 seconds: Packet sent with a source address of 172.16.71.253 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms Switch#ping 172.16.72.254 source vlan 72 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.72.254, timeout is 2 seconds: Packet sent with a source address of 172.16.72.253 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms Switch#ping 172.16.73.254 source vlan 73 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.73.254, timeout is 2 seconds: Packet sent with a source address of 172.16.73.253 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms Switch#
5. 포티넷 방화벽에서 port1 케이블을 제거 합니다.
6. Switch에서 STP상태를 확인 합니다.
Switch#show spanning-tree vlan 70
VLAN0070 Spanning tree enabled protocol rstp Root ID Priority 32838 Address 084f.a946.6900 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32838 (priority 32768 sys-id-ext 70) Address 084f.a946.6900 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 sec
Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- Gi1/0/2 Desg FWD 4 128.2 P2p
Switch#show spanning-tree vlan 71
VLAN0071 Spanning tree enabled protocol rstp Root ID Priority 32839 Address 084f.a946.6900 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32839 (priority 32768 sys-id-ext 71) Address 084f.a946.6900 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 sec
Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- Gi1/0/2 Desg FWD 4 128.2 P2p
Switch#show spanning-tree vlan 72
VLAN0072 Spanning tree enabled protocol rstp Root ID Priority 32840 Address 084f.a946.6900 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32840 (priority 32768 sys-id-ext 72) Address 084f.a946.6900 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 sec
Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- Gi1/0/2 Desg FWD 4 128.2 P2p
Switch#show spanning-tree vlan 73
VLAN0073 Spanning tree enabled protocol rstp Root ID Priority 32841 Address 084f.a946.6900 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32841 (priority 32768 sys-id-ext 73) Address 084f.a946.6900 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 sec
Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- Gi1/0/2 Desg FWD 4 128.2 P2p
Switch#
7. Ping 테스트를 합니다.
Switch#ping 172.16.70.254 source vlan 70 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.70.254, timeout is 2 seconds: Packet sent with a source address of 172.16.70.253 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms Switch#ping 172.16.71.254 source vlan 71 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.71.254, timeout is 2 seconds: Packet sent with a source address of 172.16.71.253 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms Switch#ping 172.16.72.254 source vlan 72 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.72.254, timeout is 2 seconds: Packet sent with a source address of 172.16.72.253 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms Switch#ping 172.16.73.254 source vlan 73 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.73.254, timeout is 2 seconds: Packet sent with a source address of 172.16.73.253 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms Switch#
Activirus Profile은 FortiGate에 In/out Traffic를 inspect해서 Viruses, Worms, and Trojans & Spyware download 등을 검사하고 방화벽 내부를 보호 합니다.
모든 프로토콜이 다 지원되는것은 아니고 HTTP, FTP, IMAP, POP3, SMTP, CIFS 및 NNTP 세션에 바이러스 백신 보호를 적용하도록 구성할 수 있고. 프록시 기반 프로필은 MAPI 및 SSH도 지원합니다. 바이러스 백신 검사는 잠재적으로 원하지 않는 악성 파일이 네트워크에 유입되는 것을 방지합니다. 바이러스 백신 프로필에는 파일의 바이러스 서명 검색, 지능형 지속 위협 검색, 외부 맬웨어 해시 목록 및 위협 피드 확인 등과 같은 다양한 기능이 포함되어 있습니다. 악성 파일을 차단하거나 모니터링하고 격리할 수 있습니다. 일부 바이러스 백신 프로필 옵션에는 라이선스 및/또는 기타 Fortinet 제품이 필요합니다. 일부 바이러스 백신 프로필 옵션은 CL에서만 구성할 수 있습니다.
Antivirus scan은 malware in executables, PDF files, and HTML, ㄴJavaScript viruses, inside compresessed files and data encoding schemes 포함 합니다.
Antivirus Profile은 Flow-based and Porxy-based antivirus를 모두 지원합니다.
하지만 flow base antivirus 방식이 더 좋은 performance를 제공합니다.
방식별로 지원되는 프로토콜 종류 입니다.
1. invirus Profile를 생성 하거나 디폴트 값을 사용 합니다.
2. 인터넷으로 나가는 방화벽 정책을 만들고 AV profile를 선택 합니다.
AntiVirus를 제대로 동작하기 위해서는 SSL Inspection -> mode가 deep-inspection이 필요합니다.
3. AntiVirus 라이센스가 있는지 꼭 확인 합니다.
4. PC에서 바이러스를 다운로드 받아서 실제로 Fortigate 방화벽이 인지를 하는지 확인해보겠습니다.
2. 자동으로 IPsec Wizard로 변경 되지만 아래 사진처럼 Custom를 선택합니다.
3.
Remote Gateway - Static IP address
Ip address -상대방 방화벽 WAN IP입력
Interface - 현재 방화벽 인터넷 WAN port 선택
Local Gateway enable 하고 Primary IP를 선택 합니다.
Pre-shared Key - CiscoCisco
IKE version - v2 선택합니다.
Encryption: DES - 실제 방화벽에서는 aes256 선택합니다 보안상
Authentucation - SHA256
Diffie-Hellman Group - 14
Key LifeTIme - 86400
Name: S2S_VPN_01
Local Address: 172.17.70.0/24
Remote Address: 10.1.1.0/24
Phase2 Proposal - click add button
Encryption - DES - 실제 장비이면 옵션을 변경합니다 보안상 -
Authentication - SHA256
Auto-Nego - 체크박스
VPN이 생성 되었습니다.
4. 이번에는 방화벽 정책을 설정 합니다.
Destination에 Remote Subnet이 없는데 추가서 Addrsss를 생성 하고 아래처럼 정책을 설정 합니다.
이번에는 상대방 방화벽 LAN에서 현재 방화벽 LAN에 접속 가능하게 정책을 추가 합니다.
2개 방화벽이 생성 되었습니다.
5. 이번에는 Static Route를 생성 합니다.
라우팅 확인합니다.
FW01에 대해서 방화벽 설정을 완료 하였습니다
이번에는 FW02에서 설정 하겠습니다.
1. VPN -> IPsec Tunnels -> Create New
2. 이름을 입력하고 Custom를 선택하고 next를 클릭 합니다.
3. IPsec VPN 옵션을 설정합니다.
Phase1
Pre-shared Key - CiscoCisco
Verion - Ike V2선택합니다.
Phase2 설정
Save버튼을 클릭하면 IPsec VPN 터널이 생성 되었습니다.
5. 방화벽 정책을 설정 합니다.
그리고 Reverse 방화벽 정책도 추가 합니다.
아래처럼 방화벽 정책이 설정 하였습니다.
6. Static Route를 설정 합니다.
라우팅 확인 합니다.
1분뒤에 VPN 상태를 확인합니다.
VPN이 Up이 되었습니다.
SW01 설정 입니다.
interface GigabitEthernet0/0 switchport trunk encapsulation dot1q switchport mode trunk media-type rj45 negotiation auto ! interface GigabitEthernet0/1 media-type rj45 negotiation auto ! interface GigabitEthernet0/2 media-type rj45 negotiation auto ! interface GigabitEthernet0/3 media-type rj45 negotiation auto ! interface GigabitEthernet1/0 switchport access vlan 10 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet1/1 switchport access vlan 20 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet1/2 switchport access vlan 30 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet1/3 switchport access vlan 40 switchport mode access media-type rj45 negotiation auto ! interface Vlan10 ip address 172.17.70.1 255.255.255.0 ! interface Vlan20 ip address 172.17.71.1 255.255.255.0 ! interface Vlan30 ip address 172.17.72.1 255.255.255.0 ! interface Vlan40 ip address 172.17.73.1 255.255.255.0 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 172.17.70.254 ! ! !
SW02 설정입니다.
interface GigabitEthernet0/0 no switchport ip address 10.1.1.1 255.255.255.0 negotiation auto ! interface GigabitEthernet1/0 media-type rj45 negotiation auto ! interface GigabitEthernet1/1 media-type rj45 negotiation auto ! interface GigabitEthernet1/2 media-type rj45 negotiation auto ! interface GigabitEthernet1/3 media-type rj45 negotiation auto ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 10.1.1.254 ! ! !
Virtual PC01 ~ 04 설정입니다.
VPCS> ip 172.17.70.100 255.255.255.0 gateway 172.17.70.254 Checking for duplicate address... VPCS : 172.17.70.100 255.255.255.0 gateway 172.17.70.254
VPCS> show ip
NAME : VPCS[1] IP/MASK : 172.17.70.100/24 GATEWAY : 172.17.70.254 DNS : MAC : 00:50:79:66:68:3f LPORT : 20000 RHOST:PORT : 127.0.0.1:30000 MTU : 1500
VPCS>
VPCS> ip 172.17.71.100 255.255.255.0 gateway 172.17.71.254 Checking for duplicate address... VPCS : 172.17.71.100 255.255.255.0 gateway 172.17.71.254
VPCS> show ip
NAME : VPCS[1] IP/MASK : 172.17.71.100/24 GATEWAY : 172.17.71.254 DNS : MAC : 00:50:79:66:68:40 LPORT : 20000 RHOST:PORT : 127.0.0.1:30000 MTU : 1500
VPCS>
VPCS> ip 172.17.72.100 255.255.255.0 gateway 172.17.72.254 Checking for duplicate address... VPCS : 172.17.72.100 255.255.255.0 gateway 172.17.72.254
VPCS> show ip
NAME : VPCS[1] IP/MASK : 172.17.72.100/24 GATEWAY : 172.17.72.254 DNS : MAC : 00:50:79:66:68:41 LPORT : 20000 RHOST:PORT : 127.0.0.1:30000 MTU : 1500
VPCS>
VPCS> ip 172.17.73.100 255.255.255.0 gateway 172.17.73.254 Checking for duplicate address... VPCS : 172.17.73.100 255.255.255.0 gateway 172.17.73.254
VPCS> show ip
NAME : VPCS[1] IP/MASK : 172.17.73.100/24 GATEWAY : 172.17.73.254 DNS : MAC : 00:50:79:66:68:42 LPORT : 20000 RHOST:PORT : 127.0.0.1:30000 MTU : 1500
VPCS>
VPCS01 ping to 10.1.1.1
VPCS> ping 10.1.1.1
84 bytes from 10.1.1.1 icmp_seq=1 ttl=253 time=18.977 ms 84 bytes from 10.1.1.1 icmp_seq=2 ttl=253 time=13.349 ms 84 bytes from 10.1.1.1 icmp_seq=3 ttl=253 time=7.608 ms 84 bytes from 10.1.1.1 icmp_seq=4 ttl=253 time=8.679 ms 84 bytes from 10.1.1.1 icmp_seq=5 ttl=253 time=10.129 ms
Local Network은 172.17.70.0/24만 추가했기때문에 통신이 실패 하였습니다.
이부분을 방화벽에서 수정 합니다.
FW01에서 Address를 생성 합니다.
그리고 Address group을 생성 합니다.
S2S_VPN_LOCAL_GROUP
S2S_VPN_REMOTE_GROUP
Address랑 Address Group를 확인합니다.
FW01에서 VPN Tunnel를 수정 합니다.
아래처럼 수정 합니다.
FW02도 똑같이 Address를 생성 하고 Address Group를 생성 합니다.
Address Group 설정
VPN Tunnel 옵션을 변경 합니다.
아래처럼 수정 합니다.
그리고 방화벽 정책도 수정 합니다.
FW01
FW02
ping를 다시 테스트 합니다.
Virtual PC02
VPCS> ping 10.1.1.1
84 bytes from 10.1.1.1 icmp_seq=1 ttl=253 time=6.582 ms 84 bytes from 10.1.1.1 icmp_seq=2 ttl=253 time=9.715 ms 84 bytes from 10.1.1.1 icmp_seq=3 ttl=253 time=8.161 ms 84 bytes from 10.1.1.1 icmp_seq=4 ttl=253 time=7.880 ms 84 bytes from 10.1.1.1 icmp_seq=5 ttl=253 time=15.694 ms
Virtual PC03
VPCS> ping 10.1.1.1
84 bytes from 10.1.1.1 icmp_seq=1 ttl=253 time=8.842 ms 84 bytes from 10.1.1.1 icmp_seq=2 ttl=253 time=8.746 ms 84 bytes from 10.1.1.1 icmp_seq=3 ttl=253 time=7.627 ms 84 bytes from 10.1.1.1 icmp_seq=4 ttl=253 time=7.392 ms 84 bytes from 10.1.1.1 icmp_seq=5 ttl=253 time=29.680 ms
Virtual PC04
VPCS> ping 10.1.1.1
84 bytes from 10.1.1.1 icmp_seq=1 ttl=253 time=9.869 ms 84 bytes from 10.1.1.1 icmp_seq=2 ttl=253 time=9.737 ms 84 bytes from 10.1.1.1 icmp_seq=3 ttl=253 time=35.077 ms 84 bytes from 10.1.1.1 icmp_seq=4 ttl=253 time=9.397 ms 84 bytes from 10.1.1.1 icmp_seq=5 ttl=253 time=6.285 ms
지금까지 Fortigate Site-to-Site VPN 수동으로 설정 하는 방법에 대해서 알아보았습니다.
config system interface edit "port1" set vdom "root" set mode dhcp set allowaccess ping https ssh http fgfm set type physical set snmp-index 1
디폴트값에서 아래와 같이 수정합니다.
FortiGate-VM64-KVM # config system interface FortiGate-VM64-KVM (interface) # edit port1 FortiGate-VM64-KVM (port1) # set mode static FortiGate-VM64-KVM (port1) # set ip 192.168.100.1 255.255.255.0
FortiGate-VM64-KVM (port1) # show config system interface edit "port1" set vdom "root" set ip 192.168.100.1 255.255.255.0 set allowaccess ping https ssh http fgfm set type physical set snmp-index 1 next end
디폴트 게이트웨이를 설정 합니다.
FortiGate-VM64-KVM # config router static
FortiGate-VM64-KVM (static) # edit 1 new entry '1' added 놰 FortiGate-VM64-KVM (1) # set dst 0.0.0.0/0
FortiGate-VM64-KVM (1) # set gateway 192.168.100.253
FortiGate-VM64-KVM (1) # set device port1
FortiGate-VM64-KVM (1) # end
FortiGate-VM64-KVM #
라우팅 테이블 확인
FortiGate-VM64-KVM # get router info routing-table details show routing table details information all show all routing table entries rip show rip routing table ospf show ospf routing table bgp show bgp routing table isis show isis routing table static show static routing table connected show connected routing table database show routing information base FortiGate-VM64-KVM # get router info routing-table all Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default
Routing table for VRF=0 S* 0.0.0.0/0 [10/0] via 192.168.100.253, port1, [1/0] C 192.168.100.0/24 is directly connected, port1
FW01 MGMT에 Ping 확인
FW02 설정하기
IP설정
FortiGate-VM64-KVM # config system interface FortiGate-VM64-KVM (interface) # edit port1 FortiGate-VM64-KVM (port1) # set mode static FortiGate-VM64-KVM (port1) # set ip 192.168.100.2 255.255.255.0
FortiGate-VM64-KVM (port1) # show config system interface edit "port1" set vdom "root" set ip 192.168.100.2 255.255.255.0 set allowaccess ping https ssh http fgfm set type physical set snmp-index 1 next end
디폴트게이트웨이 설정
FortiGate-VM64-KVM # config router static
FortiGate-VM64-KVM (static) # edit 1 new entry '1' added 놰 FortiGate-VM64-KVM (1) # set dst 0.0.0.0/0
FortiGate-VM64-KVM (1) # set gateway 192.168.100.253
FortiGate-VM64-KVM (1) # set device port1
FortiGate-VM64-KVM (1) # end
FortiGate-VM64-KVM #
라우팅 테이블 확인
FortiGate-VM64-KVM # get router info routing-table details show routing table details information all show all routing table entries rip show rip routing table ospf show ospf routing table bgp show bgp routing table isis show isis routing table static show static routing table connected show connected routing table database show routing information base FortiGate-VM64-KVM # get router info routing-table all Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default
Routing table for VRF=0 S* 0.0.0.0/0 [10/0] via 192.168.100.253, port1, [1/0] C 192.168.100.0/24 is directly connected, port1
FW02 MGMT IP ping확인
FW01 GUI 장비 접속
FW02 GUI 장비 접속
이렇게 장비 접속까지는 완료 하였습니다.
디폴트 Hostname를 FW01변경 하겠습니다.
System -> Settings -> Host name 아래 처럼 FW01로 변경하고 Save 버튼을 클릭 합니다.
LAN interface 설정하기
Network -> Interfaces -> Create New버튼을 클릭 합니다.
VL10 설정 정보
VL20 설정 정보
VL30 정보
VL40
port4번에 VLAN interface들 확인하기
SW01 기본 설정
en conf t no ip domain-lookup hostname sw01 line con 0 exec-time 0 logg syn end
Int g0/0 Trunk 설정
en conf t interface GigabitEthernet0/0 switchport trunk encapsulation dot1q switchport mode trunk no shutdown end
VLAN 설정 그리고 SVI 설정하기
en conf t vlan 10 vlan 20 vlan 30 vlan 40 \interface Vlan10 ip address 172.17.70.1 255.255.255.0 no shutdown interface Vlan20 ip address 172.17.71.1 255.255.255.0 no shutdown interface Vlan30 ip address 172.17.72.1 255.255.255.0 no shutdown interface Vlan40 ip address 172.17.73.1 255.255.255.0 no shutdown end
SVI interface 상태 확인
SW1#show ip int brie Interface IP-Address OK? Method Status Protocol GigabitEthernet0/0 unassigned YES unset up up GigabitEthernet0/1 unassigned YES unset up up GigabitEthernet0/2 unassigned YES unset up up GigabitEthernet0/3 unassigned YES unset up up GigabitEthernet1/0 unassigned YES unset up up GigabitEthernet1/1 unassigned YES unset up up GigabitEthernet1/2 unassigned YES unset up up GigabitEthernet1/3 unassigned YES unset up up Vlan10 172.17.70.1 YES manual up up Vlan20 172.17.71.1 YES manual up up Vlan30 172.17.72.1 YES manual up up Vlan40 172.17.73.1 YES manual up up SW1#
Default Gateway 설정
en conf t ip route 0.0.0.0 0.0.0.0 172.17.70.254
라우팅 테이블 확인
SW1#show ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP a - application route + - replicated route, % - next hop override
Gateway of last resort is 172.17.70.254 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] via 172.17.70.254 172.17.0.0/16 is variably subnetted, 8 subnets, 2 masks C 172.17.70.0/24 is directly connected, Vlan10 L 172.17.70.1/32 is directly connected, Vlan10 C 172.17.71.0/24 is directly connected, Vlan20 L 172.17.71.1/32 is directly connected, Vlan20 C 172.17.72.0/24 is directly connected, Vlan30 L 172.17.72.1/32 is directly connected, Vlan30 C 172.17.73.0/24 is directly connected, Vlan40 L 172.17.73.1/32 is directly connected, Vlan40 SW1#
Default Gateway Ping Test from SW01
SW1#ping 172.17.70.254 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.17.70.254, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 2/5/18 ms SW1#
이렇게 SW01 기본설정 까지 완료 하였습니다.
이번에는 FW02 설정하겠습니다.
디폴트 hostname를 FW02로 변경하고 Apply버튼을 클릭합니다
LAN 인터페이스 설정 정보
SW02 기본설정
en conf t no ip domain-lookup hostname sw02 line con 0 exec-time 0 logg syn end
Int g0/0 IP설정
interface GigabitEthernet0/0 no switchport ip address 10.1.1.1 255.255.255.0 no shutdown end
인터페이스 확인
SW2#show ip int brie Interface IP-Address OK? Method Status Protocol GigabitEthernet0/1 unassigned YES unset up up GigabitEthernet0/2 unassigned YES unset up up GigabitEthernet0/3 unassigned YES unset up up GigabitEthernet0/0 10.1.1.1 YES manual up up GigabitEthernet1/0 unassigned YES unset up up GigabitEthernet1/1 unassigned YES unset up up GigabitEthernet1/2 unassigned YES unset up up GigabitEthernet1/3 unassigned YES unset up up SW2#
Default-gateway 설정
ip route 0.0.0.0 0.0.0.0 10.1.1.254
라우팅 테이블 확인
SW2#show ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP a - application route + - replicated route, % - next hop override
Gateway of last resort is 10.1.1.254 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] via 10.1.1.254 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.1.1.0/24 is directly connected, GigabitEthernet0/0 L 10.1.1.1/32 is directly connected, GigabitEthernet0/0 SW2#
Default Gateway ping test from SW02
SW2#ping 10.1.1.254 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.254, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/8 ms SW2#
Site to SIte VPN를 테스트 하기 위해서 기본 설정을 다 하였습니다.
FW01에서 VPN -> IPsec Wizard
Name: S2S VPN
그리고 next를 클릭 합니다.
Remote IP: 192.168.100.2 -> 상대방 WAN IP주소 입니다. 이 주소는 서로간에 Ping이 가능해야지 IPsec vpn연결이 가능 합니다.
Outgoing Interface: WAN(port1)
Pre-sahre Key: CiscoCisco
그리고 next를 선택 합니다.
Local Subnet:
172.17.70.0/24
172.17.71.0/24
172.17.72.0/24
172.17.73.0/24
Remote Subnet
10.1.1.0/24
Interface access: None를 설정합니다. 이유는 위에 IP대역에 대해서만 IPsec VPN 터널를 타고 마너지 트래픽은 로컬 ISP01인터넷을 사용합니다.
아래 정보를 확인하고 Create를 클릭 합니다.
아래처럼 S2S VPN 터널이 자동으로 생성 되었습니다.
FW02도 똑같이 설정 합니다.
Remote IP: FW01 WAN에 IP를 입력합니다.
outging interface: WAN(port1)
Pre-shared Key: CiscoCisco
Local Subnet: 10.1.1.0/24
Remote Subnet: 172.17.70.0/24
172.17.71.0/24
172.17.72.0/24
172.17.73.0/24
아래 정보값을 확인후 맞으면 Create버튼을 클릭 합니다.
터널을 확인합니다.
현재 Traffic이 없기 때문에 터널이 Down 입니다.
Traffic를 발생해 보겠습니다.
방화벽에서 자체적으로 Tunnel쪽으로 Traffic를 발생 시켜서 Tunnel를 강제로 UP를 유지 할수 있습니다.
아래 처럼 auto-negotiate를 선택하면 자동으로 Autokey keep alive도 선택 됩니다.
FW02도 똑같이 설정합니다.
그리고 터널 인터페이스를 확인 합니다.
터널이 UP되었습니다.
SW01에서 SW02로 Ping시도
SW1#ping 10.1.1.1 source vlan10 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds: Packet sent with a source address of 172.17.70.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/14/39 ms SW1#
SW02에서 SW01 ping시도
SW2#ping 172.17.70.1 source g0/0 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.17.70.1, timeout is 2 seconds: Packet sent with a source address of 10.1.1.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/7/18 ms SW2#
interface GigabitEthernet1/3 switchport access vlan 40 switchport mode access no shutdown end
PC01부터 04까지 IP및 디폴트 케이트웨이 설정
VPCS> ip 172.17.70.100 255.255.255.0 gateway 172.17.70.254 Checking for duplicate address... VPCS : 172.17.70.100 255.255.255.0 gateway 172.17.70.254
VPCS> show ip
NAME : VPCS[1] IP/MASK : 172.17.70.100/24 GATEWAY : 172.17.70.254 DNS : MAC : 00:50:79:66:68:3f LPORT : 20000 RHOST:PORT : 127.0.0.1:30000 MTU : 1500
VPCS>
VPCS> ip 172.17.71.100 255.255.255.0 gateway 172.17.71.254 Checking for duplicate address... VPCS : 172.17.71.100 255.255.255.0 gateway 172.17.71.254
VPCS> show ip
NAME : VPCS[1] IP/MASK : 172.17.71.100/24 GATEWAY : 172.17.71.254 DNS : MAC : 00:50:79:66:68:40 LPORT : 20000 RHOST:PORT : 127.0.0.1:30000 MTU : 1500
VPCS>
VPCS> ip 172.17.72.100 255.255.255.0 gateway 172.17.72.254 Checking for duplicate address... VPCS : 172.17.72.100 255.255.255.0 gateway 172.17.72.254
VPCS> show ip
NAME : VPCS[1] IP/MASK : 172.17.72.100/24 GATEWAY : 172.17.72.254 DNS : MAC : 00:50:79:66:68:41 LPORT : 20000 RHOST:PORT : 127.0.0.1:30000 MTU : 1500
VPCS>
VPCS> ip 172.17.73.100 255.255.255.0 gateway 172.17.73.254 Checking for duplicate address... VPCS : 172.17.73.100 255.255.255.0 gateway 172.17.73.254
VPCS> show ip
NAME : VPCS[1] IP/MASK : 172.17.73.100/24 GATEWAY : 172.17.73.254 DNS : MAC : 00:50:79:66:68:42 LPORT : 20000 RHOST:PORT : 127.0.0.1:30000 MTU : 1500
VPCS>
PC01(172.17.70.100)에서 SW02(10.1.1.1) Ping 시도
VPCS> ping 10.1.1.1
84 bytes from 10.1.1.1 icmp_seq=1 ttl=253 time=59.607 ms 84 bytes from 10.1.1.1 icmp_seq=2 ttl=253 time=9.527 ms 84 bytes from 10.1.1.1 icmp_seq=3 ttl=253 time=9.599 ms 84 bytes from 10.1.1.1 icmp_seq=4 ttl=253 time=10.493 ms 84 bytes from 10.1.1.1 icmp_seq=5 ttl=253 time=9.694 ms
VPCS>
PC02(172.17.71.100)에서 SW02(10.1.1.1) Ping 시도
VPCS> ping 10.1.1.1
84 bytes from 10.1.1.1 icmp_seq=1 ttl=253 time=18.606 ms 84 bytes from 10.1.1.1 icmp_seq=2 ttl=253 time=8.886 ms 84 bytes from 10.1.1.1 icmp_seq=3 ttl=253 time=8.346 ms 84 bytes from 10.1.1.1 icmp_seq=4 ttl=253 time=11.557 ms 84 bytes from 10.1.1.1 icmp_seq=5 ttl=253 time=8.162 ms
VPCS>
PC03(172.17.72.100)에서 SW02(10.1.1.1) Ping 시도
VPCS> ping 10.1.1.1
84 bytes from 10.1.1.1 icmp_seq=1 ttl=253 time=10.669 ms 84 bytes from 10.1.1.1 icmp_seq=2 ttl=253 time=54.042 ms 84 bytes from 10.1.1.1 icmp_seq=3 ttl=253 time=15.635 ms 84 bytes from 10.1.1.1 icmp_seq=4 ttl=253 time=62.423 ms 84 bytes from 10.1.1.1 icmp_seq=5 ttl=253 time=418.343 ms
VPCS>
PC04(172.17.73.100)에서 SW02(10.1.1.1) Ping 시도
VPCS> ping 10.1.1.1
84 bytes from 10.1.1.1 icmp_seq=1 ttl=253 time=8.883 ms 84 bytes from 10.1.1.1 icmp_seq=2 ttl=253 time=7.573 ms 84 bytes from 10.1.1.1 icmp_seq=3 ttl=253 time=10.828 ms 84 bytes from 10.1.1.1 icmp_seq=4 ttl=253 time=12.965 ms 84 bytes from 10.1.1.1 icmp_seq=5 ttl=253 time=8.135 ms
VPCS>
이렇게 두개 지점에 Fortigate 방화벽에 Site to Site VPN를 이용해서 통신 하는 방법에 대해서 알아보았습니다.
다음장에서는 Wizard를 이용해서 Site to Site VPN를 설정했을떄 어떤부분이 자동으로 생성이 되는지 확인해보겠습니다.
Fortigate 방화벽 소규모용은 MGMT Port가 없는 경우가 대부분입니다. Data LAN포트를 MGMT로 사용 합니다.
이번에 고객사에 Fortigate 90G를 설치해야하는 상황인데 이 장비를 기준으로 보시면 MGMT포트가 없습니다.
1. Console port
2. WAN1 and WAN2 port
3. LAN port
Console Port를 연결 합니다.
show 엔터를 누르시고 밑에 edit "lan" 정보를 확인 합니다. 디폴트로 기본 설정이 되어져 있습니다.
그리고 DHCP기능도 동작중이기 떄문에, 케이블 연결하시면 IP 할당 받을수 있습니다.
FortiGate-90G # show
edit "lan" set vdom "root" set ip 192.168.1.99 255.255.255.0 set allowaccess ping https ssh fgfm fabric set type hard-switch set stp enable set role lan set snmp-index 15
https://192.168.1.99 접속해서 로그인 합니다.
그리고 Lan인터페이스 정보를 보시면 아래와 같습니다.
장비에 접속 하셔서 사용 설정 하시면 됩니다.
EVE-NG기준으로 이번에는 설명 하겠습니다.
저는 SITE-TO-SITE VPN를 테스트 하기 위해서 기본 랩을 만들었습니다.
FW01 - PORT1를 MGMT 밑 WAN인터페이스로 사용하겠습니다
FW02 - PORT1를 MGMT 밑 WAN인터페이스로 사용하겠습니다.
1. FW01를 부팅하고 더블클릭 합니다. 아래 처름 부팅중임을 확인 가능 합니다.
admin/empty - no admin password by default
패스워드를 수정 합니다.
System is starting... Formatting shared data partition ... done! Starting system maintenance... Serial number is FGVMEVCML31MHVB5
FortiGate-VM64-KVM login: admin Password: You are forced to change your password. Please input a new password. New Password: Confirm Password: New passwords don't match. New Password: Confirm Password: Welcome!
FortiGate-VM64-KVM #
디폴트 값으로 IP주소가 없습니다. 장비에 접속 할수 없습니다.
IP주소를 입력합니다.
FortiGate-VM64-KVM # show
config system interface edit "port1" set vdom "root" set mode dhcp set allowaccess ping https ssh http fgfm set type physical set snmp-index 1
IP주소를 입력합니다
FortiGate-VM64-KVM # config system interface
FortiGate-VM64-KVM (interface) # edit port1
FortiGate-VM64-KVM (port1) # set mode static
FortiGate-VM64-KVM (port1) # set ip 192.168.100.3 255.255.255.0
FortiGate-VM64-KVM (port1) # show config system interface edit "port1" set vdom "root" set ip 192.168.100.3 255.255.255.0 set allowaccess ping https ssh http fgfm set type physical set snmp-index 1 next end
Default Gateway를 입력합니다
FortiGate-VM64-KVM # config router static
FortiGate-VM64-KVM (static) # edit 1 new entry '1' added 놰 FortiGate-VM64-KVM (1) # set dst 0.0.0.0/0
FortiGate-VM64-KVM (1) # set gateway 192.168.100.253
FortiGate-VM64-KVM (1) # set device port1
FortiGate-VM64-KVM (1) # end
FortiGate-VM64-KVM #
라우팅 테이블을 확인합니다
FortiGate-VM64-KVM # get router info routing-table details show routing table details information all show all routing table entries rip show rip routing table ospf show ospf routing table bgp show bgp routing table isis show isis routing table static show static routing table connected show connected routing table database show routing information base
FortiGate-VM64-KVM # get router info routing-table all Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default
Routing table for VRF=0 S* 0.0.0.0/0 [10/0] via 192.168.100.253, port1, [1/0] C 192.168.100.0/24 is directly connected, port1
PC에서 ping를 합니다.
장비에 접속합니다
https://192.168.100.3
접속이 가능합니다.
이렇게 EVE-NG fortigate 기본 설정에 대해서 알아보았습니다. 장비 접속 가능하면 테스트 하고자 하는 토폴로지 구성후 테스트 가능 합니다
그리고 https://192.168.1.99 접속해서 GUI상에서 장비 시리얼 번호 확인하기
1. 시리얼 입력
2. non-government user 선택
3. Next 버튼을 클릭 합니다.
1. Forticloud Key키를 입력합니다. 장비 맨 윗부분에 보면 Forticloud Key를 확인 할수 있습니다.
2. Fortinet Partnet를 선택합니다.
3. 그리고 next버튼을 클릭합니다.
1. 아래 부분를 체크 합니다.
By accepting thses terms, you are activating this support contract and the entitlement period provided can not be changed, if you wish to continue, click "confirm".
2. 그리고 Confirm를 선택합니다.
그리고 등록한 장비를 FortiClud 에서 Product List에 시리얼 번호를 입력하면 검색이 가능 합니다.
Fortigate장비를 WAN포트에 인터넷을 연결하면 장비가 FortiCloud에 자동으로 등록 되면서 라이센스및 contract이 자동으로 등록 됩니다.
