VLAN tavsiyesi

Merhaba

Evet bunu firewall ile yapabilirsiniz ancak 65 makine için tüm trafik 1gb üzerinden zor döner bence, ondan dolayı 10gbit gibi bir bağlantı daha gerçekçi olacaktır.

http://www.mirazon.com/internal-segmentation-fortigate/

Forti ile ihtiyacınız olan her şeyi yapabilirsiniz ancak örnek herkes DNS e, LDAP için DC ye erişmeli bunu port bazlı yapacaksınız. 

Network'ü Vlan lara ayırmayı düşünüyoruz.
1- 3 yada 4 vlan yeterli olacak.
2- Layer3 Switch almadan Fortigate ile Vlan sonlandırması yapabilirmiyim.
3- Fortigate üzerinde Vlanlar arası erişim denetimi yapabilirmiyim. Ör: Vlan 10 daki ahmet Vlan 20 deki Mehmetle haberleşsin.
4- Sunuculara Bütün Vlanlardaki makinaların erişmesi gerekiyor. ancak Sunucunu IP bloğuyla diğer Vlanların Ip blokları farklı
5- olacak AD de otantike olurken client makinalar bir sorun yaşarmı DNS ile alakalı.
6- Fortigate ile Switch arasındaki bağlantı 1gb bize yetermi yoksa 10gb moduller alıp bağlamakmı gerekir

merhaba,

düşündüğünüz yapı için en önemli nokta, trafiğinizin çeşitliliği, yani hangi uygumalar trafik yaratıyor.

ad,dns,fs vb. trafikler için fortigate üzerinde vlan ile sonladırmanız sorun olmayabilir.

ancak ip kamera sayınız yüksek ise size sorun oluşturabilir, trafik değeri yüksek olacakıtr.

ikinci soru için evet, fortigate ile vlan sonlandırılabilir

üçüncü ve dördüncü soru için,policyler aracılığı ile rahatlıkla erişim denetimi sağlanabilir

beş, gerekli port izinleri ve dns yönlendirmesi yapıldığı sürece sorun olmayacaktır

altı, her vlan için switchden bir port gönderirseniz, kamera vlan hariç sorun yaratmaz

son olarak vlanları fortigate üzerinde sonlandırıp, policyler üzerinde security profil uygularsanız, kaynak tüketiminizi arttırakcak, takip etmelisiniz.

Merhaba Arkadaşlar,

Destek verdiğim bir firmada Küçük sayılabilecek bir network var 65 civarı bilgisayar buluyor
firma yetkilisi birimler arasında bazı durumlardan dolayı değikliğe gitmek istedi.

resimdeki yapıya sahibiz.

Network'ü Vlan lara ayırmayı düşünüyoruz.
1- 3 yada 4 vlan yeterli olacak.
2- Layer3 Switch almadan Fortigate ile Vlan sonlandırması yapabilirmiyim.
3- Fortigate üzerinde Vlanlar arası erişim denetimi yapabilirmiyim. Ör: Vlan 10 daki ahmet Vlan 20 deki Mehmetle haberleşsin.
4- Sunuculara Bütün Vlanlardaki makinaların erişmesi gerekiyor. ancak Sunucunu IP bloğuyla diğer Vlanların Ip blokları farklı
5- olacak AD de otantike olurken client makinalar bir sorun yaşarmı DNS ile alakalı.
6- Fortigate ile Switch arasındaki bağlantı 1gb bize yetermi yoksa 10gb moduller alıp bağlamakmı gerekir

şimdiden teşekkürler.

 

 

vlan oluşturmak için Layer 2 yönetilebilir switch varsa, fortigate ile switch arasındaki bir portu trunk yaparsınız.

switch tarafta oluşturduğunuz her vlan için fortigate tarafında trunk bağlı interface altına vlan id ile aynı şekilde interface vlanlar oluşturacaksınız.

sonrasında fortigate static route ayarlarını yapmalısınız.

daha sonra fortigate rolue ayarlamalısınız. 

65 bilgisayar olan bir ağda 1g bağlantı yeterli olacaktır, diyelim ki dar boğaz yaşarsanız iki yol izleyebilirsiniz.

1. birkaç switch portu ve fortigate interfacei karşılıklı LACP yaparsınız.
2. vlanları bölersiniz. örneğin server vlanı fortigate ile access vlan olarak tek bir port-interface ile çalışır (mevcut portu bunun için kullanmaya devam edersiniz, diğer vlanlarınızı bir veya iki farklı interface ile çalıştırırsınız. örnek. fortigate 1.port Server vlan, fortigate 2. port a-b-c vlan, 3. port d-e-f vlan şeklinde de port bazında yük dağıtma yapabilirsiniz ama sorun yaşayacağınızı sanmam

vlanları layer3 seviyesinde fortigate üzerinde sonlandırdığınızda ya dhcp olarak fortigatei kullanacaksınız yada relay tanımlayıp dhcp server tarafından dağıtmaya gideceksiniz, dhcp üzerinde her vlan için scope tanımlamayı unutmayın.

başlangıç sırasında source ve destinationları all vlan-all vlan yapın. daha sonra vlanlara yada özel kullanıcılara göre kurallar eklersiniz.

burada destek verdiğiniz firmada port based vlan uygulayacaksanız, switch portuna bağlı her kullanıcının doğru vlana alınması biraz zahmetli olabilir fiziksel olarak, bunun dışında kalan vlan oluşturma kural oluşturma işi biraz planlamayla kolaylıkla yapılabilir.

Herkese verdiği bildgiler için teşekkür ederim.

Öncelikle Forti üzerinde Vlan'ları sonlandırma yapıcam trafik durumuna görede ya LACP yada 10gb moduller ile trafiği rahatlatmayı planlıyorum.