اخبار

چطور فرآیند پیکربندی LAG و VLANها را در فایروال فورتی‌گیت انجام دهیم؟

نویسنده: author-avatar
0

تا این بخش از مطالب، موفق شدیم، SD-WANهای خود را روی فایروال تعریف کرده و آن‌ها را پیکربندی کنیم. همچنین، فرآیند تجمیع لینک را نیز با موفقیت انجام دادیم و آزمایش‌های تخصصی را انجام دادیم که همگی درست بودن فرآیند پیکربندی را تایید کردند. اکنون نوبت به پیکربندی شبکه‌های محلی مجازی و LAG می‌رسد. شایان ذکر است LAG سرنام (Link Aggregation Group) برای ایجاد یک لینک با پهنای باند بالاتر و قابلیت تحمل خطا به سوییچ استفاده می‌شود. اکنون به دنبال ساخت چند VLAN هستیم. شایان ذکر است این مطلب در ادامه دو مطلب چطور SD-WAN را روی فایروال فورتیگیت کانفیگ کنیم و چطور فرآیند پیکربندی LAG (تجمیع پیوند) در فایروال فورتی‌گیت انجام دهیم، است.

VLAN چیست؟

شبکه محلی مجازی VLAN سرنام Virtual Local Area Network یک فناوری لایه دوم (لایه پیوند داده در مدل OSI) است که به مدیران شبکه اجازه می‌دهد یک شبکه محلی (LAN) فیزیکی بزرگ را به صورت منطقی به چندین شبکه کوچک‌تر و مجزا تقسیم کنند. این جداسازی منطقی بدون نیاز به تغییر در زیرساخت فیزیکی یا کابل‌کشی و صرفا با اعمال تنظیمات بر روی سوئیچ‌هایی که مدیریتی (Managed Switches) هستند، انجام می‌شود. در واقع، هر VLAN یک دامنه برودکست مجزا ایجاد می‌کند؛ به این معنی که دستگاه‌های عضو یک VLAN تنها می‌توانند فریم‌های برودکست یکدیگر را ببینند و به طور پیش‌فرض، امکان ارتباط مستقیم با دستگاه‌های موجود در VLANهای دیگر را ندارند. این جداسازی منطقی چندین مزیت کلیدی را به همراه دارد:

  • افزایش امنیت: با جداسازی گروه‌های کاربری حساس (مانند حسابداری یا مدیریت) در VLANهای مجزا، امکان دسترسی یا استراق سمع اطلاعات توسط کاربران سایر بخش‌ها از بین می‌رود و در صورت بروز مشکل امنیتی در یک بخش، سایر بخش‌ها ایمن باقی می‌مانند.
  • کنترل بهتر ترافیک برودکست: با تقسیم یک LAN بزرگ به VLANهای کوچک‌تر، اندازه دامنه برودکست کاهش می‌یابد. این امر باعث می‌شود ترافیک برودکست اضافی که بار پردازشی را بر روی تمام دستگاه‌های شبکه تحمیل می‌کند، کنترل شده و در نتیجه کارایی و عملکرد کلی شبکه بهبود یابد.
  • انعطاف‌پذیری و مدیریت آسان‌تر: VLANها به مدیران این امکان را می‌دهند کاربران را بدون توجه به موقعیت فیزیکی آن‌ها (حتی اگر به سوئیچ‌های مختلفی متصل باشند) بر اساس گروه کاری، دپارتمان یا نوع سرویس (مانند VLAN صوتی برای تلفن‌های VoIP) گروه‌بندی کنند. جابه‌جایی یک کاربر از یک مکان فیزیکی به مکان دیگر بدون نیاز به تغییر آدرس IP یا کابل‌کشی مجدد، صرفاً با تغییر پورت سوئیچ به VLAN مربوطه امکان‌پذیر می‌شود.

شایان ذکر است، برای انتقال ترافیک بین VLANها، نیاز به یک دستگاه لایه سوم (مانند روتر یا سوئیچ لایه 3) است که این فرآیند تحت عنوان Inter-VLAN Routing نام دارد. همچنین، برای اینکه یک پورت سوئیچ بتواند ترافیک چندین VLAN را انتقال کند، آن پورت به عنوان پورت ترانک (Trunk) تنظیم می‌شود و از استاندارد IEEE 802.1Q برای برچسب‌گذاری (Tagging) فریم‌های اترنت با شناسه (ID) VLAN مربوطه استفاده می‌شود تا سوئیچ‌ها بتوانند ترافیک را به درستی به VLAN مقصد هدایت کنند.

تفاوت پورت‌های Access و Trunk در VLANها

تفاوت اصلی بین پورت‌های دسترسی و ترانک در نحوه مدیریت ترافیک VLANها و برچسب‌گذاری (Tagging) فریم‌ها نهفته است. پورت Access پورتی در سوئیچ است که تنها به یک VLAN مجزا اختصاص داده می‌شود و معمولا برای اتصال دستگاه‌های انتهایی (End Devices) مانند کامپیوترها، پرینترها یا تلفن‌های IP استفاده می‌شود. این پورت‌ها فریم‌های اترنت را به صورت بدون برچسب (Untagged) ارسال و دریافت می‌کنند، چرا که دستگاه‌های انتهایی نیازی به درک شناسه VLAN (VLAN ID) ندارند؛ سوئیچ به صورت داخلی می‌داند که ترافیک ورودی یا خروجی از این پورت به کدام VLAN تعلق دارد.

در مقابل، پورت ترانک پورتی در سوئیچ است که برای انتقال ترافیک چندین VLAN به صورت همزمان طراحی شده و اغلب برای برقراری ارتباط بین دو سوئیچ یا بین سوئیچ و روتر (برای انجام مسیریابی بین VLANها) به کار می‌رود. این پورت‌ها برای تفکیک ترافیک VLANهای مختلف در یک لینک فیزیکی واحد، از استاندارد IEEE 802.1Q برای برچسب‌گذاری (Tagging) فریم‌ها با شناسه VLAN مربوطه استفاده می‌کنند. به این ترتیب، پورت Trunk نه تنها پهنای باند را به اشتراک می‌گذارد، بلکه امکان مقیاس‌پذیری شبکه را نیز فراهم کرده و نیاز به کابل‌کشی فیزیکی جداگانه برای هر VLAN را از بین می‌برد.

پیکربندی VLANها در فایروال

این VLANها باید روی اینترفیس “LAG-to-Switch” ساخته شوند. من توصیه می‌کنم شناسه شبکه محلی مجازی (VLAN ID) را با نام مستعار (Alias) استفاده کنید، چون نمی‌توانید آن را تغییر دهید. این کار در مواقعی که به طور مثال بخواهید عملکرد VLAN را عوض کنید، بسیار کاربردی است. برای این منظور در سیستم عامل FortiOS در پنل سمت چپ روی Network کلیک کرده و گزینه Interfaces را انتخاب کنید. در صفحه راست روی دکمه Create New کلیک کرده و گزینه Interface را انتخاب کنید. فیلدهایی که قرار است مقداردهی شوند به شرح زیر هستند:

  • نام (Alias): 20_Client
  • اینترفیس والد: LAG-to-Switch
  • شناسه (ID): 20
  • آی‌پی گیت‌وی: /24192.168.20.1، این یک آی‌پی استاتیک برای فایروال و گیت‌وی پیش‌فرض VLAN است. ما از DHCP استفاده نمی‌کنیم.
  • دسترسی مدیریتی: HTTP، SSH، و Ping (برای اینکه بتوانم بعدا کامپیوترم را به شبکه کلاینت وصل و تست کنم.)
  • سرور DHCP: تیک سرور DHCP را فعال می‌کنیم و برای مثال، شروع محدوده آدرس را از .100 تنظیم می‌کنیم. به بیان دقیق‌تر در فیلد Address range مقدار را برابر با 192.168.20.100-192.168.20.254 قرار می‌دهیم.
  • گزینه‌های PING و SSH و HTTPS را نیز فعال می‌کنیم.
  • Device Detection: فعال باشد.
  • OK را می‌زنیم.

همان‌گونه که در شکل زیر مشاهده می‌کنید، VLAN برای کلاینت‌ها ساخته شده است.

اکنون در نظر داریم VLAN دیگری برای برای سرور ایجاد می‌کنیم که برای Raspberry Pi است. روی دکمه Create New کلیک کرده و Interface را انتخاب می‌کنیم. فیلدهای مربوطه را همانند مقادیر زیر مقداردهی می‌کنیم.

  • نام (Alias): 30_Server
  • شناسه (ID): 30
  • IP گیت‌وی: 192.168.30.1
  • دسترسی مدیریتی: فقط Ping (اجازه می‌دهم فقط پینگ گیت‌وی پیش‌فرض فعال باشد.)
  • سرور DHCP: بله، فعال و شروع محدوده از .100. (بعداً یک رزرو MAC برای رزبری پای انجام می‌دهیم.)
  • تیک مقابل PING را فعال می‌کنیم.
  • OK را می‌زنیم.

همانند حالت قبل، تیک DHCP Server را فعال کرده و شروع مقداردهی آدرس آی‌پی را روی 100 همانند حالت قبل تنظیم می‌کنیم.

خوب، اکنون دو VLAN ساخته شد. حالا از Forti OS خارج می‌شوم. می‌خواهم کابل اترنت کامپیوترم را از سوییچ سخت‌افزاری فورتی‌گیت، به سوییچ آروبا وصل کنم، چون LAG فعال شده و VLANهای کلاینت و سرور هم تنظیم شده‌اند. من کابل را به پورت ۲ سوییچ آروبا وصل می‌کنم که به عنوان پورت دسترسی برای VLAN 20 پیکربندی شده است.

حالا برای دسترسی به فایروال، باید به زیرشبکه کلاینت جدیدی که ساختیم (20.1) برویم.

در صفحه ظاهر شده، نام کاربری و پسورد را وارد کنید. Accept را می‌زنیم و با اطلاعات کاربری خود دوباره وارد می‌شویم. همان‌گونه که در شکل زیر مشاهده می‌کنید، اتصال برقرار شد.

حالا ما از طریق VLAN کلاینت و از طریق سوییچ، به فایروال متصل هستیم. VLAN به خوبی کار می‌کند و LAG از طریق سوییچ عالی کار می‌کند.

اکنون که موفق شدیم، VLANها را با موفقیت تعریف و پیکربندی کنیم و مشاهده کردیم که فرآیند برقراری ارتباط نیز به درستی انجام شده است، وقت آن رسیده تا به سراغ مبحث جذاب پیکربندی پالیسی‌های روی فایروال برویم که مورد علاقه کارشناسان امنیتی است. پیکربندی پالیسی در فایروال‌های فورتی‌گیت به دلایل مختلفی انجام می‌شود. به طور مثال، در نظر داریم، پهنای باند را برای گروهی از کاربران محدود کنیم، دامنه آدرس‌های آی‌پی را به شکل منطقه‌ای محدود کنیم تا دامنه حملات سایبری به زیرساخت‌ها را محدود کنیم یا قوانینی در ارتباط با برخی از پروتکل‌های اعمال کنیم تا هکرها موفق نشوند از طریق برخی از پروتکل‌ها، عملیات مخربی همچون پیاده‌سازی حملات DDOS را انجام دهند. این نکات جذاب موضوع مطلب بعدی ما خواهد بود که اختصاص به پیکربندی قوانین فایروال (Policies) دارند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *