Fortigate Vlan Yapılandırması

Bu makalede, PNETlab ortamında FortiGate üzerinde VLAN yapılandırmasını adım adım ele alacağız. Topolojimizde bir WAN bacağı, bir FortiGate firewall, bir Layer 3 switch ve üç farklı subnet’e bağlı PC’ler bulunmaktadır. Amacımız, VLAN yapılandırmasını doğru bir şekilde yaparak her bir subnet’teki cihazların, FortiGate üzerinden hem internete çıkmasını hem de kendi aralarında güvenli bir şekilde iletişim kurmasını sağlamaktır.

1. Topoloji Özeti

• WAN Bağlantısı: FortiGate’in port1 arayüzü, WAN bağlantısı olarak yapılandırıldı. IP adresi 192.168.63.139 ve bu bacak, internete çıkış için kullanılacaktır. WAN yönlendirmesi için statik yönlendirme olarak 192.168.63.2 gateway adresi kullanıldı.
• Firewall ve Switch Bağlantısı: FortiGate’in port2 arayüzü, Layer 3 switch ile fiziksel bağlantıyı sağlayan iç network bacağı olarak ayarlandı. Bu arayüzün IP adresi 192.168.1.1 olarak yapılandırıldı. Port2 arayüzü altında üç farklı VLAN oluşturuldu:
  • VLAN 10: 192.168.10.0/24, IP adresi 192.168.10.100
  • VLAN 20: 192.168.20.0/24, IP adresi 192.168.20.100
  • VLAN 30: 192.168.30.0/24, IP adresi 192.168.30.100
• Layer 3 Switch ve VLAN Yapılandırması: Switch üzerinde, her bir VLAN
  • eth0/1: VLAN 10 – Name DevOps IP adresi 192.168.10.200
  • eth0/2: VLAN 20 – Name Sales IP adresi 192.168.20.200
  • eth0/3: VLAN 30 – Name HR IP adresi 192.168.30.200

Fortigate Firewall Kurulum

FortiGate Portlarının Durumunu Kontrol Etme

PNETlab ortamında FortiGate cihazını başlattıktan sonra, ilk olarak cihazın portlarının durumunu kontrol etmeniz gerekecek. Bu işlem, FortiGate üzerinde hangi portların aktif olduğunu ve IP adreslerinin doğru atanıp atanmadığını anlamanıza yardımcı olur.

1. FortiGate Cihazını Başlatın: PNETlab ortamında FortiGate cihazını başlattıktan sonra, CLI ekranına erişin.
2. Port Durumlarını Kontrol Edin: Cihazın hangi portlarının aktif olduğunu ve IP adresi alıp almadığını görmek için aşağıdaki komutu kullanın:“show system interface ?" Bu komut, tüm arayüzlerin durumunu ve yapılandırmalarını listeler. Örneğin, port1 arayüzünün DHCP üzerinden 192.168.63.139 IP adresini aldığını görüntüleyebilirsiniz.

Erişim İzinlerinin Yapılandırılması

Arayüzlere erişim sağlayabilmek ve cihazı yönetebilmek için FortiGate üzerindeki belirli protokoller üzerinden erişim izinlerini yapılandırmanız gerekecek. Bu adım, web arayüzü, SSH, ping ve diğer yönetim araçlarıyla FortiGate’e erişimi mümkün kılar.

Port1 İçin Erişim İzinlerini Yapılandırın: Aşağıdaki komutlarla, port1 arayüzü için gerekli erişim protokollerini etkinleştirin:

config system interface
edit "port1"
set allowaccess ping ssh telnet http https fgfm
end

Bu komutlar, port1 üzerinden web arayüzüne (HTTP/HTTPS), uzaktan erişim (SSH ve Telnet), ping, ve FortiGate Management (FGFM) protokollerine izin verir. Böylece FortiGate’e daha kolay erişim sağlayabilir ve cihazı yönetebilirsiniz.

Bağlantıyı Test Edin: Erişim izinlerini yapılandırdıktan sonra, arayüzlere bağlanarak yapılandırmaların doğru çalışıp çalışmadığını test edin. Örneğin, tarayıcınıza http://192.168.63.139 IP adresini girerek FortiGate’in web arayüzüne erişim sağlayabilirsiniz.

FortiGate Üzerinde VLAN Tanımlamaları

FortiGate ile Layer 3 switch arasındaki bağlantıyı kurmadan önce, port2 arayüzünün yapılandırılmasına odaklanmamız gerekiyor. Bu bağlantı, switch üzerindeki VLAN’ların FortiGate cihazına yönlendirilmesini sağlayacak. FortiGate üzerinde port2, Layer 3 switch’in eth0/0 portuna bağlanacak ve bu bağlantı üzerinden VLAN trafiği yönetilecek.

Port2 Yapılandırması:

İlk olarak, FortiGate üzerindeki port2 arayüzünü yapılandıracağız. Bu port, Layer 3 switch ile olan fiziksel bağlantıyı sağlayacak ve VLAN trafiğinin FortiGate üzerinden yönetilmesine olanak tanıyacak. Port2‘yi 192.168.1.1 IP adresiyle yapılandıracağız.

config system interface
edit "port2"
set vdom "root"
set mode static
set ip 192.168.1.1 255.255.255.0
set allowaccess ping ssh https
next
end

Bu komutlar, port2 arayüzünü 192.168.1.1/24 IP adresiyle yapılandırır ve yönetim erişimi için belirli protokoller üzerinden (Ping, SSH, HTTPS) erişim izni verir.

Artık, port2 arayüzü üzerinde VLAN trafiğini yönetmeye hazırız. Port2 arayüzü, Layer 3 switch üzerindeki eth0/0 portuna fiziksel olarak bağlı olacak.

VLAN Tanımlamaları

Port2 arayüzünü yapılandırdıktan sonra, bu port üzerinde VLAN tanımlamalarını yapacağız. Bu VLAN’lar, farklı subnetlerde bulunan cihazların ağ trafiğini yönetmek için kullanılacaktır.

Vlan10:

Web Arayüz üzerinden yapılandırma;

Cli üzerinden yapılandırma;

Vlan20:

Web Arayüz üzerinden yapılandırma;

Cli üzerinden yapılandırma;

Vlan30:

Web Arayüz üzerinden yapılandırma;

Cli üzerinden yapılandırma;

Son durumda aşağıdaki şekilde kontrol sağlanmaktadır.

Switch VLAN Yapılandırması

FortiGate üzerinde oluşturduğumuz VLAN’ları Layer 3 switch üzerinde de tanımlamamız gerekiyor. Bu sayede, switch’e bağlı cihazlar farklı VLAN’lar arasında trafiği yönlendirebilir.

FortiGate ve Switch Arasındaki Bağlantı

FortiGate ile Layer 3 switch arasındaki bağlantının çalışabilmesi için switch tarafında trunk portu yapılandırılmalıdır. Bu, switch’teki tüm VLAN trafiğinin FortiGate’e iletilmesini sağlar.

interface eth0/0
switchport trunk encapsulation dot1q
switchport trunk 
no shutdown
exit

Switch ve Pc Arasındaki Bağlantı

Switch üzerinde, her bir VLAN için ilgili portlar VLAN’lara bağlandı.

interface eth0/1
switchport mode access
switchport access vlan 10

interface eth0/2
switchport mode access
switchport access vlan 20

interface eth0/3
switchport mode access
switchport access vlan 30

Aşağıdaki yapılandırmalar, switch üzerindeki VLAN yapılandırmasını özetlemektedir:

Güncel Port Bilgilerini de aşağıdaki gibi kontrol etmekteyiz.

Oluşturulan Vlanların kontrolü adına kullanım amacına göre isimlendirilmiştir.

Statik Yönlendirme (Static Route) Ayarları:

FortiGate üzerinde oluşturduğumuz VLAN’ların dış ağa erişebilmesi için statik yönlendirme kuralları eklememiz gerekiyor. WAN bağlantımız için port1 kullanılıyor ve 192.168.63.139 IP adresini aldı. Varsayılan gateway ise 192.168.63.2 olacak şekilde yapılandırıldı.

config router static
edit 1
set gateway 192.168.63.2
set device "port1"
end

Web Arayüz üzerinden yapılandırma;

Bu komutlarla, FortiGate’in dış ağa (WAN) erişimini sağlayacak statik bir yönlendirme kuralı eklemiş olduk.

Zone Yapılandırması

FortiGate üzerinde VLAN yapılandırmalarını tamamladıktan sonra, internet erişimi sağlamak için zone (bölge) yapılandırmalarını yapmamız gerekiyor. Zone’lar, güvenlik politikalarının yönetimini kolaylaştırmak amacıyla birden fazla arayüzü gruplandırmamızı sağlar. Bu örnekte, Internal ve WAN olmak üzere iki zone oluşturacağız.

Internal Zone Yapılandırması:

Internal zone’u, VLAN’larımızı içerecek şekilde yapılandırılacak.

Cli üzerinden yapılandırma;

config system zone
    edit "internal"
        set interface "port2" "VLAN10" "VLAN20" "VLAN30"
    next
 end

WAN Zone Yapılandırması:

WAN zone’u ise internet erişimi için kullanılacak.

Cli üzerinden yapılandırma;

config system zone
    edit "Wan"
        set interface "port1"
    next
end

Bu yapılandırmalarla, VLAN10, VLAN20, ve VLAN30 arayüzleri Internal zone’unda toplandı. Port1 arayüzü ise WAN zone’unda yer alıyor.

Kural Oluşturma ve VLAN’ların İnternet Erişimi

VLAN’lar için gerekli trafik kurallarını oluşturmak ve internete erişimlerini sağlamak amacıyla, FortiGate üzerinde aşağıdaki adımları izleyebilirsiniz:

Adres Gruplarının Tanımlanması

Öncelikle, VLAN’lar için IP adreslerini içeren bir adres grubu oluşturmak gereklidir. Bu adres grubu, internete çıkış için yazılacak kurallarda kullanılacaktır.

1. Adres Gruplarını Tanımlama:
   • FortiGate arayüzünde, Policy & Objects > Addresses bölümüne gidin.
   • Her bir VLAN için ayrı ayrı adresler tanımlayın (örneğin, VLAN10, VLAN20, VLAN30).
   • Her bir VLAN adresini oluşturduktan sonra, bu adresleri bir grup altında toplamak için bir adres grubu oluşturun. Bu gruba “VLANs_Group” adını verebilirsiniz.

Trafik Kurallarının Oluşturulması

VLAN’lardaki cihazların internete çıkabilmesi için trafik kurallarının yapılandırılması gerekmektedir.

1. Kural Oluşturma:
   • Policy & Objects > IPv4 Policy bölümüne gidin ve “Create New” seçeneğini tıklayın.
   • Source alanında oluşturduğunuz “VLANs_Group” adres grubunu seçin.
   • Destination alanında “WAN” arayüzünü belirtin.
   • Service kısmında “ALL” seçeneğini seçerek tüm servislerin kullanılmasına izin verin.
   • Action kısmını “Accept” olarak ayarlayın.
   • NAT seçeneğini aktif hale getirerek, VLAN’lardan gelen trafiğin internete çıkışını sağlayın.

Son Kontroller

Trafik kurallarını oluşturduktan sonra, VLAN’lardaki cihazların internete erişimlerini test edin. Bu adımda, cihazların doğru bir şekilde IP adresi aldığından ve belirlenen kurallar doğrultusunda internete çıkabildiğinden emin olun.

Bu şekilde, FortiGate üzerinde VLAN’lar için gerekli adres gruplarını tanımlayıp, trafik kurallarını oluşturarak, internete erişimlerini başarıyla sağlayabilirsiniz.

About the Author

melih can altan

Administrator

Author's posts