Laboratorio Fortinet-Dual ISP
Laboratorio configuración ISP Dual en firewall FORTINET 100D Documento preparado por: Eduardo Saa Ruiz. Santiago, Octu
Views 126 Downloads 1 File size 2MB
Recommend stories
- Author / Uploaded
- JorgeTapiaColines
Citation preview
Laboratorio configuración ISP Dual en firewall FORTINET 100D
Documento preparado por: Eduardo Saa Ruiz.
Santiago, Octubre 2016
Contenido 1.
Introducción ........................................................................................................................................ 3
2.
Escenario ............................................................................................................................................. 3
3.
Tareas para realizar en el laboratorio ................................................................................................. 4
3.1
Administración del Firewall ............................................................................................................. 4
3.2
Definir y configurar las interfaces que utilizaremos como Lan1 y Lan2.......................................... 4
3.3
Configurar Interfaces WAN1 y WAN2 ............................................................................................. 7
3.4
Configurar rutas por defecto para cada red LAN a través de políticas de ruteo (Policy Routing) .. 8
3.5
Crear los objetos que se utilizaran luego en las políticas del firewall, para Lan1 y Lan2.............. 10
3.6
Crear una política de salida a internet (Nat overload o Source Nat) tanto para Lan1 y Lan2 ...... 12
1. Introducción Este documento describe la ejecución de un laboratorio para implementar un equipo Firewall marca Fortinet modelo 100D, en el escenario donde existan 2 proveedores de servicio de internet (ISP). La idea de esta demostración es que cada red LAN utilice un enlace de salida a internet independiente, para lo cual configuraremos dos rutas por defecto basado en políticas de enrutamiento.
2. Escenario En el siguiente diagrama (Fig-1) presentado a continuación, se observan 2 redes LAN cada una con direccionamiento privado del rango 172.16.10.0/24(LAN1) y 172.16.20.0/24(LAN2), las cuales se interconectan con el Firewall Fortinet 100D empleado para la demostración. Fig-1 Diagrama Laboratorio
3. Tareas para realizar en el laboratorio 1. 2. 3. 4. 5. 6. 7.
3.1
Tomar la administración del Firewall Fortinet Definir y configurar las interfaces que utilizaremos como Lan1 y Lan2 Configurar Interfaces WAN1 y WAN2 Configurar rutas por defecto para cada red LAN a través de políticas de ruteo (Policy Routes) Crear los objetos que se utilizaran luego en las políticas del firewall, para Lan1 y Lan2 Crear una política de salida a internet (Nat overload o Source Nat) tanto para Lan1 y Lan2 Configurar PCs de escritorio con el direccionamiento correspondiente, dependiendo a cuál interfaz se conectarán LAN1 y LAN2
Administración del Firewall
Para conectarse al dispositivo, debemos abrir una ventana de nuestro browser de Internet (Chrome, Firefox, Safari, etc.) y en la barra de direcciones escribir la siguiente URL http://192.168.1.99 para lo cual deberemos configurar el adaptador de red de nuestro laptop con alguna ip del rango 192.168.1.0/24. Como se puede apreciar, luego de escribir la URL se despliega la interfaz gráfica de inicio de sesión, en donde se solicitan las credenciales de acceso, ver Fig-2.
Fig-2 Pantalla de Login
3.2
Definir y configurar las interfaces que utilizaremos como Lan1 y Lan2
Primero procederemos a configurar la interfaz correspondiente al Puerto 5 del dispositivo con la IP 172.16.10.1/24(LAN1) según el diagrama descrito al inicio de este documento, para eso debemos ir al menú ubicado en el costado izquierdo de las opciones de administración y seleccionar el submenú NETWORK, seguidamente pinchar la opción INTERFACES, en donde aparecerá la siguiente pantalla, ver fig3. Fig-3 Interfaces
Seleccionamos con doble click el puerto que utilizaremos en la implementación para editar la interfaz, en este caso vamos a usar el “port5” para configurar la red LAN1, luego en las opciones de edición nos aparecen los campos necesarios para configurar como: IP/Mascara/Rol. Ver fig-4. Luego le damos OK para guardar los cambios.
Fig-4 Edición de la Interfaz PORT 5
Luego realizamos la misma acción para configurar la interfaz “Port10” la cual se utilizará para la red LAN2 según el diagrama descrito al inicio de este documento. Ver fig-5 Fig-5 Edición de la Interfaz PORT 10
3.3
Configurar Interfaces WAN1 y WAN2
Basados en la misma metodología descrita en el paso anterior de las Interfaces LAN, procederemos a configurar las interfaces WAN1 y WAN2 ver Fig-6 Fig-6 Interfaces WAN
Configuración Interfaz WAN1 (Fig-7) Fig-7 Edición Interface WAN1
Configuración Interfaz WAN2 (Fig-8) Fig-8 Edición Interface WAN2
3.4
Configurar rutas por defecto para cada red LAN a través de políticas de ruteo (Policy Routes)
A continuación, explicaremos la creación de las rutas por defecto. Dado que son dos redes LAN diferentes, las cuales utilizaran cada una un enlace a internet independiente, debemos crear una política de enrutamiento para cada red (LAN1 y 2). Por consiguiente, debemos ir al menú “NETWORK” luego hacer click en el submenú “POLICY ROUTES”, para agregar una política debemos hacer click en el botón “CREATE NEW”. Fig-9 Policy Routes
Primero crearemos la política para la red LAN1, en donde indicamos los siguientes parámetros: Protocol (ANY), Interfaz por donde ingresa el tráfico(port5(LAN1)), el segmento de red de origen (172.16.10.0/255.255.255.0), red de destino (0.0.0.0.0/0.0.0.0), la interfaz de salida(WAN1) y por último la dirección ip del default Gateway del ISP1(10.100.5.254), por ultimo le damos OK para terminar de crearla. Ver fig-10 Fig-10 Edit Routing Policy
Dado el ejemplo anterior, hacemos el mismo método para la ruta de la red LAN2ISP2 ver fig-12 Fig-12 Edit Routing Policy
Como se observa en la fig-13, las 2 rutas fueron creadas correctamente. Fig-13 Policy Routes
3.5
Crear los objetos que se utilizaran luego en las políticas del firewall para Lan1 y Lan2
Antes de crear las políticas que nos darán la salida hacia internet, debemos crear los objetos con los cuales se conformarán dichas políticas, para ello debemos ir al menú “POLICY & OBJECTS”, luego hacemos click en la opción “ADDRESSES” ver fig-14, luego para crear un objeto pinchamos “CREATE NEW” Fig-14 Addresses
Crearemos un objeto para la red LAN1 en donde declaramos, nombre del objeto(Lan_172.16.10.0), red/mascara (172.16.10.0/255.255.255.0) y la interfaz(port5(LAN1)), además podemos agregar un comentario referente al Objeto(LAN_1). Luego de escribir todos los parámetros, le damos OK para crearlo. Ver fig-15 Fig-15 Edit Address
Dado el ejemplo anterior, creamos un objeto para LAN2 de la misma forma. Ver fig-16 Fig.- 16 Edit Address
3.6
Crear una política de salida a internet (Nat overload o Source Nat) tanto para Lan1 y Lan2 Para crear una política debemos ir al menú “POLICY & OBJECTS” luego pinchamos la opción “IPv4 POLICY” y hacemos click en el botón “CREATE NEW”, ver fig-17 Fig-17 IPv4 Policy
Para la política referente a LAN1, debemos ir completando los siguientes campos que se describen en la siguiente figura, en donde declaramos: Nombre de la Política, Interfaz de entrada, interfaz de salida, dirección de origen(objeto), dirección de destino(objeto) y los servicios (puerto tcp/udp) que serán permitidos, además debemos habilitar la opción de NAT e indicar en “IP POOL CONFIGURATION” que los equipos de la red LAN1 se presentarán con la misma dirección de la interfaz de salida, por lo cual dejamos al opción por defecto “USE OUTGOING INTERFACE ADDRESS”, para terminar le damos “OK” ver fig-18.
Fig-18 Edit Policy (LAN1)
Dado el ejemplo de la política para la red LAN1, utilizamos el mismo método para crear la política correspondiente a LAN2, ver fig-19 Fig-19 Edit Policy (LAN2)
Por ultimo como se puede apreciar en la siguiente imagen(fig-20), se observan las 2 políticas creadas Fig-20 IPv4 Policy