だから、私たちが利用できるもの:
スペースで区切られた2つのプラットフォーム、オフィスとデータセンター(DC)。 各サイトは、インターネットおよびローカルサブネットに独立してアクセスできます。 サイト間には、独自のVLANを作成できる専用接続があります。 機器には、2つのFortigate 100Dとスタッキングモジュールを備えた4つのマネージドCisco Catalyst 2960XRスイッチがあります。 つまり サイトごとに2つのスイッチと1つのfortigate。
チャレンジ:
耐障害性と通信の継続性を提供する
1)鉄片が故障した場合。
2)通信チャネルのいずれかが落ちた場合。
3)いずれかの腺のいずれかのポートに障害が発生した場合
サイトごとに2つのfortigatesがあれば(まったく問題はありません)、各サイトに2つのfortigateの標準クラスターを設定し、動的ルーティングを行い、人生を楽しみます。 しかし、機器には私たちが持っているものがあるので、空腹にならなければなりません。
機器の最初はさらに少なく、サイトごとに1つのスイッチと1つのfortigateがありましたが、この記事では最終構成について説明します。
それでは始めましょう:
SW1とFG1をオフィス内のスイッチのスタックとし、オフィス内で強化します。 SW2およびFG2-データセンター内の同様の鉄片。
すべてを正しく構成するには、各fortigateに5つの論理ポートが必要です(5論理= 10物理)。 それらを次のように示します。
- Office_Internet
- DC_Internet
- Office_lan
- DC_Lan
- 相互接続
また、両方のHAポートを使用してクラスターの同期を確保します。これにより、スイッチで使用されるポートにさらに2つのポートが追加されます。 合計で、各物理スイッチの6ポート(またはスイッチのスタックごとに12ポート)は、防御策の接続にのみ使用されます。
レイヤー1構成(物理接続):
スイッチのスタックはすでに組み立てられていると思います、tk。 そこに困難はありません。
次のスキームに従って、Fortigatesをスイッチに接続します。
DC_Internetの場合
FG1-WAN1 - SW1-1/0/1 FG1-WAN2 - SW1-2/0/1
Office_Internetの場合
FG1-DMZ - SW1-1/0/2 FG1-Port1 - SW1-2/0/2
Office_Lanの場合
FG1-DMZ - SW1-1/0/3 FG1-Port1 - SW1-2/0/3
DC_Lanの場合
FG1-Port2 - SW1-1/0/4 FG1-Port3 - SW1-2/0/4
相互接続用
FG1-Port4 - SW1-1/0/5 FG1-Port5 - SW1-2/0/5
HA1およびHA2の場合
FG1-HA1 - SW1-1/0/6 FG1-HA2 - SW1-2/0/6
FG2とSW2についても同様に操作を繰り返します。
次に、プロバイダーからのリンクをスイッチに固定する必要があります。 私の場合、これらはそれぞれ2つのインターネット接続とDCとオフィス間のチャネルであり、2つのサイト間で構成がわずかに異なります。 繰り返しますが、私の特定のケースでは、プロバイダーはインターネットへの2つのリンクと、両側の相互接続用の2つのリンクを提供しました。
各チャネルに2つのリンクを取得できない場合-要件の1つが部分的に満たされないままになります-プロバイダーからのリンクが接続されているスイッチでポートが終了すると、接続が失われます。
ここでは、ダウンリンクをオフィスとDCのアクセススイッチに接続します。
オフィスで接続します:
SW1-1/0/22 - Office_LAN 1 SW1-2/0/22 - Office_LAN 2 SW1-1/0/23 - 1 SW1-2/0/23 - 2 SW1-1/0/24 - - 1 SW1-2/0/24 - - 2
DCで接続します。
SW1-1/0/22 - DC_LAN 1 SW1-2/0/22 - DC_LAN 2 SW2-1/0/23 - 1 SW2-2/0/23 - 2 SW2-1/0/24 - - 1 SW2-2/0/24 - - 2
レイヤー1が完了したら、ポートアグリゲーションとVLAN構成に進むことができます。
レイヤー2
この段階で、スイッチとFortigatesにポートのペアを設定し、トラフィックを区別するためにVLANを割り当てる必要があります。
-スイッチで必要なVLANを作成し、それらにポートを割り当てます。
設定モードのスイッチでは、必要なVLANを作成します
vlan 10 name DC_Internet vlan 20 name Office_Internet vlan 30 name Office_Lan vlan 40 name DC_LAN vlan 50 name Interconnect vlan 60 name HA
スイッチで、ポートチャネルを作成し、ポートをポートに割り当てます。
DC_Internetの場合:
Interface port-channel1 switchport access vlan 10 # VLAN 10 = DC_Internet switchport mode access Interface GigabitEthernet1/0/1 switchport access vlan 10 switchport mode access channel-group 1 mode passive Interface GigabitEthernet2/0/1 switchport access vlan 10 switchport mode access channel-group 1 mode passive
上記のポートペアに対して繰り返し、ポートチャネル2〜4を取得します。
相互接続の場合:
Interface port-channel5 switchport access vlan 50 switchport mode access Interface GigabitEthernet1/0/5 switchport access vlan 50 switchport mode access channel-group 5 mode passive Interface GigabitEthernet2/0/5 switchport access vlan 50 switchport mode access channel-group 5 mode passive
HA1とHA2のわずかに異なる構成 ポート集約はありません
HA1の場合
Interface GigabitEthernet1/0/6 switchport access vlan 60 # Vlan 60 = HA switchport mode access
HA2の場合
Interface GigabitEthernet2/0/6 switchport access vlan 60 # Vlan 60 = HA switchport mode access
Office-DCチャネルの場合:
Interface port-channel6 switchport mode trunk # !!! Trunk Interface GigabitEthernet1/0/24 switchport mode trunk channel-group 6 mode passive Interface GigabitEthernet2/0/24 switchport mode trunk channel-group 6 mode passive
上記のLayer2の構成は、オフィスとDCで同じです。構成の異なる部分を以下に示します。
オフィスで:
Interface port-channel7 switchport access vlan 30 # VLAN 30 = Office_Lan switchport mode access Interface GigabitEthernet1/0/22 switchport access vlan 30 switchport mode access channel-group 7 mode passive Interface GigabitEthernet2/0/22 switchport access vlan 30 switchport mode access channel-group 7 mode passive Interface port-channel8 switchport access vlan 20 # VLAN 20 = Office_Internet switchport mode access Interface GigabitEthernet1/0/23 switchport access vlan 20 switchport mode access channel-group 8 mode passive Interface GigabitEthernet2/0/23 switchport access vlan 20 switchport mode access channel-group 8 mode passive
DCの場合:
Interface port-channel7 switchport access vlan 40 # VLAN 40 = DC_Lan switchport mode access Interface GigabitEthernet1/0/22 switchport access vlan 40 switchport mode access channel-group 7 mode passive Interface GigabitEthernet2/0/22 switchport access vlan 40 switchport mode access channel-group 7 mode passive Interface port-channel8 switchport access vlan 10 # VLAN 10 = DC_Internet switchport mode access Interface GigabitEthernet1/0/23 switchport access vlan 10 switchport mode access channel-group 8 mode passive Interface GigabitEthernet2/0/23 switchport access vlan 10 switchport mode access channel-group 8 mode passive
要塞の側から:
1. VDOMサポートを有効にする
2.仮想クラスターのサポートを構成する
3.ポートを分散-それぞれ独自のVDOMに
4. Port Aggregation 802.3adポートのペアを作成します
これはコードのように見えます:
たくさんのコード
config system interface edit "wan1" set vdom "DataCenter" set type physical set snmp-index 1 next edit "dmz" set vdom "Office" set type physical set snmp-index 2 next edit "wan2" set vdom "DataCenter" set type physical set snmp-index 7 next edit "ha1" set vdom "root" set type physical set snmp-index 9 next edit "ha2" set vdom "root" set status down set type physical set snmp-index 10 next edit "port1" set vdom "Office" set type physical set snmp-index 12 next edit "port2" set vdom "DataCenter" set type physical set snmp-index 13 next edit "port3" set vdom "Office" set type physical set snmp-index 17 next edit "port4" set vdom "DataCenter" set type physical set snmp-index 18 next edit "port5" set vdom "Office" set type physical set snmp-index 15 next edit "port6" set vdom "Office" set type physical set snmp-index 16 next edit "port7" set vdom "DataCenter" set type physical set snmp-index 19 next edit "port8" set vdom "Office" set status down set type physical set snmp-index 20 next edit "port9" set vdom "DataCenter" set status down set type physical set snmp-index 21 next edit "port10" set vdom "root" set status down set type physical set snmp-index 22 next edit "lan" set vdom "root" set status down set type hard-switch set snmp-index 11 next edit "DC_Internet" set vdom "DataCenter" set ip 2.2.2.2 255.255.255.224 set allowaccess ping https ssh set type aggregate set member "wan1" "wan2" set snmp-index 14 next edit "Office_Internet" set vdom "Office" set ip 1.1.1.1 255.255.255.248 set allowaccess ping https set type aggregate set member "port5" "dmz" set snmp-index 23 next edit "Office-LAN" set vdom "Office" set dhcp-relay-service enable set ip 192.168.100.1 255.255.255.0 set allowaccess ping https ssh set type aggregate set member "port6" "port1" set snmp-index 24 next edit "DC-LAN" set vdom "DataCenter" set ip 192.168.200.1 255.255.255.0 set allowaccess ping https ssh set type aggregate set member "port7" "port2" set snmp-index 25 next edit "Intercon-Office" set vdom "Office" set ip 192.168.150.1 255.255.255.252 set allowaccess ping set type aggregate set member "port8" "port3" set snmp-index 26 next edit "Intercon-DC" set vdom "DataCenter" set ip 192.168.150.2 255.255.255.252 set allowaccess ping set type aggregate set member "port9" "port4" set snmp-index 27 next end config system ha set group-name "aaa.com" set mode ap set password ENC xxx set hbdev "ha1" 50 set arps 30 set arps-interval 1 set session-pickup enable set link-failed-signal enable set ha-mgmt-status enable set ha-mgmt-interface "mgmt" set vcluster2 enable set override enable set priority 100 set monitor "Office_internet" "Office_LAN" "Intercon_Office" config secondary-vcluster set override enable set priority 250 set monitor "DC_Internet" "DC_LAN" "Intercon_DC" set vdom "DataCenter" end end
これはレイヤー2のすべてです。 レイヤー3+に進みます。 ここで必要なのは:
-行進を有効にする
-ルーティングモニタリングの設定
-ファイアウォールルールを構成する
-オフィスとデータセンター間でチャネルがドロップした場合にVPNを構成する
スイッチで何もする必要はありません。 フォルティガイト(クラスターのセットアップ後-鉄片を制御します):
ルーティングとルーティング監視
config vdom edit DataCenter config router static edit 1 set gateway 2.2.2.3 set device "DC_Internet" next edit 2 set dst 192.168.100.0 255.255.255.0 set gateway 192.168.150.1 set device "Intercon-DC" next edit 3 set gateway 192.168.150.1 set distance 15 set device "Intercon-DC" next end config system link-monitor edit "DC-Internet" set srcintf "DC_Internet" set server "2.2.2.3" set gateway-ip 2.2.2.3 set update-cascade-interface disable next edit "Interconnect" set srcintf "Intercon-DC" set server "192.168.150.1" set gateway-ip 192.168.150.1 set update-cascade-interface disable next end end end config vdom edit Office config router static edit 1 set gateway 1.1.1.2 set distance 9 set device "Office_Internet" next edit 2 set dst 192.168.200.0 255.255.255.0 set gateway 192.168.150.2 set device "Intercon-Office" next edit 3 set gateway 192.168.150.2 set distance 15 set device "Intercon-Office" next end config system link-monitor edit "Office-Internet-Check" set srcintf "Office_Internet" set server "1.1.1.2" set gateway-ip 1.1.1.2 set update-cascade-interface disable next edit "Interconnect" set srcintf "Intercon-Office" set server "192.168.150.2" set gateway-ip 192.168.150.2 set update-cascade-interface disable next end
これで、インターネットチャネルが落ちた場合、インターネットへの静的ルートが削除され、行進がofficer-dtsチャネルを介してアクティブになります。チャネルが復旧した場合、すべてが元どおりに戻ります。
ファイアウォールルールを作成することは残っています(自分でこれをマスターしたいと思っています)。 同じトラフィックが異なるインターフェース(インターネットまたは相互接続)から来る可能性があることを覚えておく必要があります。
また、DC-オフィスチャネルがドロップした場合にサイトを接続するVPN接続を作成します。
VPN構成
config vdom edit DataCenter config vpn ipsec phase1 edit "site-to-site" set interface "DC_Internet" set nattraversal disable set proposal aes256-sha256 set dhgrp 5 set remote-gw 1.1.1.1 set psksecret ENC xxx next end config vpn ipsec phase2 edit "p2" set phase1name "site-to-site" set proposal aes256-sha256 set pfs disable set replay disable set auto-negotiate enable set src-addr-type name set dst-addr-type name set src-name "192.168.200.x" set dst-name "192.168.100.x" next end config vdom edit Office config vpn ipsec phase1 edit "site-to-site" set interface "Office_Internet" set nattraversal disable set proposal aes256-sha256 set dhgrp 5 set remote-gw 2.2.2.2 set psksecret ENC xxx next end config vpn ipsec phase2 edit "p2" set phase1name "site-to-site" set proposal aes256-sha256 set pfs disable set replay disable set keepalive enable set auto-negotiate enable set src-addr-type name set dst-addr-type name set src-name "192.168.100.x" set dst-name "192.168.200.x" next end
そして、対応するファイアウォールルール:
ファイアウォールルール
config vdom edit Office config firewall policy edit 20 set srcintf "Office-LAN" set dstintf "Office_Internet" set srcaddr "192.168.100.x" set dstaddr "192.168.200.x" set action ipsec set schedule "always" set service "ALL" set inbound enable set outbound enable set vpntunnel "site-to-site" next end config vdom edit DataCenter edit 9 set srcintf "DC-LAN" set dstintf "DC_Internet" set srcaddr "192.168.200.x" set dstaddr "192.168.100.x" set action ipsec set schedule "always" set service "ALL" set inbound enable set outbound enable set vpntunnel "site-to-site" next
その結果、office-dtsチャネルが低下した場合にのみVPNが上昇します。
結果として得られたもの:
1.ポートを集約することで、1つのポートまたはスイッチ全体の落下から保護されます(プロバイダーからの1本のワイヤのあるチャネルを除く)。
2.仮想防御クラスターはネットワークのルーターとして機能し、通常の状況では、オフィスの防御は常にネットワークゾーンのパケットを転送し、DCの防御は独自のパケットを転送します。 要塞の1つが落ちた場合、すべてのトラフィックは2番目の要塞によってルーティングされます。
3.インターネットチャネルの1つが落ちた場合、すべてのトラフィックは別のチャネルを通過し、インターネットへのチャネルが増加するとすぐに戻ります。
4. office-dtsチャネルが低下すると、トラフィックは自動的に上昇するVPNを通過し、チャネルが復元されるまで通過します。
それは多くのことが判明し、おそらく一見すると難しいでしょう-しかし、質問があれば、私はそれらに答える準備ができています。