(cómo configurar las interfaces de red de un fortigate)
TRANSCRIPT
-
7/16/2019 (Cmo Configurar las Interfaces de Red de un FortiGate)
1/6
Cmo Configurar las Interfaces de Red de un FortiGate
Cmo Configurar las Interfaces de Red de un FortiGate
FortiOS 4.0
Mdelo Todos los modelos FortiGate
Condicin -
Los nombres y las cantidades de interfaces depender mucho del mdelo de FortiGate que estemosconfigurando. Generalmente los equipos SOHO y algunos de tipo SMB ya traen nombradas las interfaces(Internal, WAN1, WAN2, DMZ1, DMZ2, etc), ademas, en algunos de estos mdelos la interface "Internal"puede ser un Switch multipuertos (un switch de 3-8 puertos). En cambio, en los FortiGates de tipoEnterprise o multipuertos, el nombramiento de los puertos va desde Port1, Port2, Port3... hasta el mas alto.
Independientemente del nombre de las interfaces, nosotros podremos util izarlas en base a nuestras
necesidades. En esta gua mostramos la forma de configuracin de las diferentes interfaces y trataremos deexplicar cada una de las funcionalidades de la pantalla de configuracin de las mismas.
Configuracin va GUI
Configuracin de las Interfaces Internal, WAN1 y WAN2Como en este caso, estamos utilizando un FG310B-US, las interfaces estan numeradas desdeport1...port10, por lo tanto utilizaremos la interface port1 como Internal, port10 como WAN1 y port9como WAN2. Tal como se muestra en las figuras 2-4. Navegamos en: System >> Network >> Interfacey editamos cada una de las Interfaces necesariasPara la Interface Internal:
Figura 1.
Configurar las Interfaces de Red de un FortiGate http://www.soportejm.com.sv/kb/index.php/article/printer/fg-
6 19/05/20
-
7/16/2019 (Cmo Configurar las Interfaces de Red de un FortiGate)
2/6
Funciones:Name: El nombre por defecto de la Inteface que se ha seleccionado para editar.
Alias: Podemos configurar un nombre para reconocer la Interface o diferenciarla de las otras. El aliasaparecer en las configuraciones donde involucremos el objeto "Interface" como es en el caso de lasPolticas de Firewall, Polticas de ruteo, etc.Link Status: Nos indica si la interface est fsicamente bien conectada y el Link est siendo detectado.
Addressing Mode: Es en este campo en donde indicaremos el mtodo de configuracin de la direccin IPde la Inteface. Los equipos FortiGates soportan diferentes mtodos tales como:*** Manual - En este modo, seremos nosotros quienes configuraremos de forma especfica la direccin IP
Configurar las Interfaces de Red de un FortiGate http://www.soportejm.com.sv/kb/index.php/article/printer/fg-
6 19/05/20
-
7/16/2019 (Cmo Configurar las Interfaces de Red de un FortiGate)
3/6
que nos interesa parametrizar para la interface.*** DHCP - Si la Interface la estamos conectando a una red donde podemos solicitar una direccin IPdinmica. Por ejemplo, nuestro ISP no nos da direccin ip fija sino una direccin por DHCP*** PPPoE - En caso que la interface est conectada a un servicio de Internet donde el ISP nos pemite hacerconfiguracin PPPoE
IP/Netmask: En caso que hayamos seleccionado el "Manual" ser en este campo donde podremosconfigurar la direccin IP de tipo IPv4 para la Interface. El Formato de la IP puede ser: en formato CIDR(192.168.1.1/24) o extendida 192.168.1.1/255.255.255.0
IPv6 Address: En caso de que hayamos configurado el FortiGate para que nos permita hacerconfiguracin de IPv6 via GUI.Enable one-arm sniffer: Este modo nos permite configurar una interface del FortiGate para que operecomo IDS.Enable Explicit Web Proxy: Este parmetro ser necesario configurarlo solo si estamos haciendoConfiguracin de FortiGate como Proxy ExplcitoEnable DDNS: Esta funcin es muy til en el caso que la IP configurada en el FortiGate sea Dinmica(DHCP o PPPoE). Con lo cual, el FortiGate puede anunciar el cambio de IP la cual puede estar asociada a unnombre de dominio. En caso de desear configurar una VPN IPSec con una interface de este tipo, esteparmetro es muy necesario. Aqu hay tambin una gua de Configuracin de VPN con Dynamic DNSOverride Default MTU Value: Esta funcin nos permite cambiar el valor de MTU (Unidad de TransmisinMxima). Este valor solo se cambiar si los demas dispositivos de Red estan utilizando un valor diferente deMTU.Enable DNS Query: Este parmetro solo sera necesario configurarlo en caso que se requiera que elFortiGate pueda servir como Servidor de DNS para nuestros equipos Internos. Para conocer la configuracin
del Servidor de DNS puede ver la gua de Cmo Configurar un Servidor DNS en un FortiGate. Si se habilitael DNS Query, entonces podremos seleccionar una de las siguientes opciones de DNS:*** DNS Recursivo: Para este caso, cuando se hace una peticin a la interface, automaticamente se buscala resolucin dentro de la base de Datos del Servidor DNS Local, pero si no encuentra ahi la resolucin,entonces se pregunta directamente a los DNS externos que se han configurado al FG dentro de System >>Network >> Options*** DNS no Recursivo: Para este caso, cuando se hace una peticin a la interface, automaticamente sebusca la resolucin dentro de la base de Datos del Servidor DNS Local. Pero, en caso de no encontrar laresolucin localmente, El FG ya no preguntra a los servidores Externos de DNS.
Administrative Access: Aqu configuramos los servicios a travs de los cuales podremos administrar elFortiGate accesando por medio de la Interface.
IPv6 Administrative Access: En caso de que hayamos configurado el FortiGate para que nos permita
hacer configuracin de IPv6 via GUI. Aqu configuramos los servicios a travs de los cuales podremosadministrar el FortiGate accesando por medio de la Interface.VRRP: Esta funcin nos permite hacer una configuracin de redundancia en las interfaces, a travs de lacual, si una interface falla, el sistema puede detectarla y ponerla con Link Status Down o Fail. En ambientessencillos no es necesario configurar este parmetroDetect Interface Status for Gateway Load Balancing: Este parmetro solo se configurar si tenemosdoble enlace y deseamos tener redundancia entre los mismos. No es necesario configurarlo cuando solotenemos un enlace. Cuando esta funcin est configurada, el FortiGate puede sensar si un enlace ha falladoy una vez detectado el FG deja de transmitir paquetes por ese enlace pasando todo el trfico por el enlaceredundante.Detect Server: Si hemos habilitado la funcion de Detect Interface Status for Gateway LoadBalancing, debemos configurar una IP hacia la cual el fortiGate estar haciendo el monitoreo del enlace.Esta IP debe ser alcanzable desde la Interface que nos interesa monitorear y se recomienda que sea unequipo que siempre est activo para evitar falsas caidas del enlace. Cuando la IP deja de responder, en esemomento el FortiGate entiende que el enlace no est funcionando correctamente y enviar los paquetes porel segundo enlace.Detect Protocol: Siempre como parte de la funcionalidad Detect Interface Status for Gateway LoadBalancing, aqu configuramos el tipo de protocolo con el cual haremos el monitoreo hacia la IP configuradaen la opcin de Detect Server.Weight:Spillover Threshold: Este parmetro solo ser necesario si tenemos doble enlace y estamos haciendoECMP en modo Spillover. Aqu la gua de Cmo Configurar ECMP en un FortiGateSecondary IP Address: Podemos adems hacer configuracin de direcciones IP Secundarias, utilizandola misma Interface fsica. La cantidad de direcciones IP soportadas como secundarias, puede verlas en laGua de Matrix en el sitio de Fortinet.Description: Podemos escribir una pequea descripcin sobre la configuracin de la pantalla, con un
Configurar las Interfaces de Red de un FortiGate http://www.soportejm.com.sv/kb/index.php/article/printer/fg-
6 19/05/20
-
7/16/2019 (Cmo Configurar las Interfaces de Red de un FortiGate)
4/6
mximo de 63 caracteres.Administrative Status: Desde aqu podemos apagar o encender la interface.
Para la Interface WAN1:Figura 2.
Para la Interface WAN2:Figura 3.
Configurar las Interfaces de Red de un FortiGate http://www.soportejm.com.sv/kb/index.php/article/printer/fg-
6 19/05/20
-
7/16/2019 (Cmo Configurar las Interfaces de Red de un FortiGate)
5/6
Configuracin va CLI
Para la Interface Internal
config system interfaceedit "port1"
set vdom "root"set ip 192.168.1.1 255.255.255.0set allowaccess ping http telnet https ssh snmpset type physicalSet alias "Internal"
Configurar las Interfaces de Red de un FortiGate http://www.soportejm.com.sv/kb/index.php/article/printer/fg-
6 19/05/20
-
7/16/2019 (Cmo Configurar las Interfaces de Red de un FortiGate)
6/6
nextend
Para la Interface WAN1
config system interfaceedit "port10"
set vdom "root"set ip 192.168.2.217 255.255.255.0set allowaccess ping http telnet https ssh snmpset type physicalSet alias "WAN1"
nextend
Para la Interface WAN2
config system interfaceedit "port9"
set vdom "root"set ip 192.168.111.217 255.255.255.0set allowaccess ping http telnet https snmpset type physicalset alias "WAN2"
nextend
Relacionados :Como configurar las Interfaces de un FortiGate de Switch mode a Interface modeConfiguracin de FortiGate como Proxy ExplcitoCmo Configurar un Servidor DNS en un FortiGate
Referencias:http://kb.fortinet.comhttp://docs.fortinet.com/
You can view this article online at:
http://www.soportejm.com.sv/kb/index.php/article/fg-interfaces
Configurar las Interfaces de Red de un FortiGate http://www.soportejm.com.sv/kb/index.php/article/printer/fg-