Vdom y Vlans

Para temas basados en la administración de los productos FortiGate usando el producto FortiManager.
Responder
betohres1957
Mensajes: 6
Registrado: 14 Dic 2010, 23:20

Vdom y Vlans

Mensaje por betohres1957 »

Buenas tardes.
Tengo una configuración según yo, plana, obtenida de la migración de un Firewall basado en Linux a un Fortigate 110c. No se preevieron adiciones, cambios y adiciones a esta red, Ahora necesito reestructurar todas las políticas y rehacer la organización actual a fin de que la administración sea mas simple y efectiva.

Alguna persona en este foro, podría darme un visión general de como puedo atacar este problema basandome en vdom y vlans?, con que dispositivos tengo que contar? como puedo migrar de una configuración basada solo en políticas a una organización por zonas, como puedo integrar a mi red varios proveedores de Banda ancha (Totalplay, infinitum, avantel simultaneamente) y poder hacer políticas para asignar rutas a una o u otra salida a internet, teniendo conectividad con los otros segmentos que proveen ciertos servicios sin tropezar o atorar el tráfico de Internet?.

Si hay alguien que me pueda orientar, se lo voy a agrdecer mucho.

Humberto Enríquez

Avatar de Usuario
gabyrossi
Mensajes: 10853
Registrado: 30 Oct 2007, 19:47

Re: Vdom y Vlans

Mensaje por gabyrossi »

Hola, como estas?
porque pensas en vdoms y vlans?? porque pensas que esas 2 caracteristicas te simplifican y hacen efectiva la administracion?
No tiene que ver una cosa con otra.

vdom= queres "separar" el equipo en ambientes difrentes? transparente? nat? etc?
vlans= estas con problemas de pocas interfaces? con el 110c tenes 8 bocas o interfaces.
Todo lo que comentas de hacer entre varios enlaces, podes hacerlo con tu "110 plano"

Lo ideal seria que tengas una charlas con algun partner de tu pais/ciudad, para que pueda orientarte y ayudarte si es que hay que re-configurar el equipo.
De donde sos?

saludos
Gabriel
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -

betohres1957
Mensajes: 6
Registrado: 14 Dic 2010, 23:20

Re: Vdom y Vlans

Mensaje por betohres1957 »

Hola, muchas gracas por tu respuesta, que aunque no creas me aclaró cosas. Soy de la Ciudad de México y la pregunta fué por lo siguiente.

Cuando tomé el Site bajo mi responsabilidad se tenía un Firewall basado en Linux Centos, con un programa que hacia las veces de FW. Funcionaba mas o menos bién, pero estabamos creciendo y estabamos enfrentando varios problemas que no podíamos resolver con ese equipo, por lo que se sometió a análisis la posibilidad de cambiar de tecnología.

Se concretó la decisión y se compro el 110c, pero la gente que nos "ayudó" a pasar toda la configuración del antiguo equipo al nuevo, se concretó casi casi que a traducirla y pasarla al 110c. Esto desde mi posición en ese momento no me pareció mal, ya que podríamos empezar con el nuevo equipo con las mismas políticas y de ahi hacia adelante.

Pero ya pasado el tiempo, se empezaron a adicionar "juguetitos nuevos a la red " como iPhones, Ipads, Androids, de diferentes versiones, en fin. Luego se hizo necesario conectar la telefonía foranea a nuestro Asterisk, en fin se fué ampliando la cosa pero en un moemento determinado paso "algo" con lo que me pasé un mes sin poder resolver y decidí hacer algunas configuraciones en el 110c que a la postre me han acarreado mas problemas que soluciones. Legó por aca una impresora de las llamadas ePrint, que estan dirigidas hacia usuarios de móviles mas que nada. Bueno, cuando conecté esta impresora a nuestra red (que tiene varios segmentos 0.X, 1.X, 2.X.... 7.X etc, ésta parecía arbolito de navidad, y se trababa siempre. La llevamos con el dealer y ahi se conectaba perfecto. De regreso todos sus leds prendidios y trabada, bueno, no sabiamos que sucedía hasta que aislé un puerto del FW hacia un switch aparte separado de toda la demás red y OHALA! se conectó. Pero ahi no acabaron los problemas, ahi empezaron otros.

Las políticas para conectar el segmento 0.X con el 7.X no funcionan (???) , además la impresora estaba destinada para una localidad remota conectada a través de unas antenas de rejilla, con lo que tuve que conectar la antena al segmento aislado y mandar la señal por la antena al otro sitio, aqui, el problema era que en segmento 0.X tengo un monton de servicios como el correo y otros, que no se podían ver en el segmento 7.X a pesar que había políticas en el FW , que los conectaban.

Tuve que poner un equipo "PUENTE", es decir una PC que puentea a los segmentos 7.X (el aislado) y el 0.X adicionando una IP virtual a los equipos que necesitaban acceder al correo y otros servcios. No paró ahi la cosa. En la localidad remota, se contrató un servicio de Banda Ancha, diferente al que tengo en las oficinas corporativas con lo que se agravó la situación ya que las personas que tienen dispoditivos móviles (IOS- Apple), Android y demás, quieren navegar por la nueva banda ancha (100 Mbps) que por la del corporativo que solo son 6 Mbps aunque estos son dedicados y la otra no, pero 100 megas son 100 MEGAS!!. en fin y como a esos dispositivos es imposible ponerles una IP virtual para accesar al correo y telefonía IP, pues de momento navegan LENTO por el Internet corporativo (6 Mbps), en tanto puedo resolver el problema.

Bueno de todo esto, estuve leyendo acerca de las posibilidades que tenía el equipo además de un par de switchs administrables VLAN enable, así que con mi Firewall 110c (L3), y dos switchs administrables (L2), creí que podría explotar el equipo de mejor manera, pero la verdad hasta el momento no sé como migrar de mi configuración actual plana, a una nueva basada en en esas nuevas características.

Tienes razón tengo 8 puertos, pero con lo que tengo ahora solo me queda uno disponible y creo que no me va a alcanzar, de manera es que estoy pensando en VLANS abajo de algunos VDOM, que por ahora solo tengo el "ROOT VDOM" con casi todos los puerto ocupados. En fin ya te malgasté tu tiempo pero quería que supieras el porque de mi pregunta, en atención a tu atinado comentario, y sí, tendré que contactar algún servicio de asesoría para arreglar este galimatias.

Recibe un saludo y pues postearé la solución una vez que la tenga.

Muchas gracias.

Avatar de Usuario
gabyrossi
Mensajes: 10853
Registrado: 30 Oct 2007, 19:47

Re: Vdom y Vlans

Mensaje por gabyrossi »

Hola, porque solo un puerto libre?

cuantas redes y wan tenes configuradas?

habria que ver esa config, no deberias tener problemas...

saludos
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -

Responder