Switching Layer 3

[link]

Hola Gente,

Voy a montar un Fortigate 60 en una red con la topología que os adjunto.

Os comento un poco como está montada la red:
Tengo tres vlans montadas donde el Switch core es un cisco 3570 y el es el que hace el enrutamiento entre VLANS (vlans de capa 3). Mi duda es que cuando ponga el Foritgate 60 no se que configuración tengo que ponerle a la interfaz interna. Lo que había pensado era meterle en una de las vlans el puerto internal del fortigate y ponerle como ruta por defecto la ip de la interfaz interal del Forrtigate en el switch para todas las vlans, de este modo cuando cualquier vlan quiera salir a internet mandaría el switch la petición a la interfaz del fortigate y este la sacaría para afuera.

Mi duda es que cuando tenga que hacer vpns con otras sedes como va a saber que el fortigate tiene debajo dos redes debajo con otras ips que no corresponde con su interfaz interna, ya que su interfaz tiene la ip de la vlan por defecto.

Espero haberme explicado bien, si necesitais algo mas me decis.

Saludos

[gabyrossi]

Hola, como estas link. Mira lo que tenes que hacer es armar vlan en el fortigate, asi cada una tiene conectada su red.
deberas conectar el port de trunk en la interface del forti y listo.

te paso un link de la guia de vlan y vdom donde esta explicado un ejemplo muy parecido al tuyo:

[Debes identificarte para poder ver enlaces.]

en la pagina 26.

saludos
Gabriel

[link]

Como había comentado en el post, el enrutamiento lo tiene que hacer el switch y no el fortigate, la guía esa es para hacer vlans contra el Fortigate y yo el que quiero que enrute es el Switch ya que es de giga y el Fortigate de mega por lo que los enrutamietos los haría mas lentos.

Creo que la solución sería hacer que el cable que va del fortigate al switch perteneciera a la vlan principal y luego poner en el switch como ruta por defecto el fortigate para que todo el trafico que no sea interno vay hacia el firewall. De esta forma se solucionaría el trafico saliente.

Para solucionar el tráfico entrante (VPNs), yo creo que tendría que meter 2 rutas estaticas apuntando hacia el switch para las dos vlans restantes y así el fortigate sabría como llegar a todas las redes.

salu2

[link]

solucionado

[gabyrossi]

hola, como estas' siempre es bueno contar como se soluciona, asi si alguien tiene algun problema parecido sabe como lo solucionarlo tambien, entrando y leyendo.
hiciste lo que habais comentado en el post anterior?

saludos
Gabriel

[link]

si, la solución es esta:

"Creo que la solución sería hacer que el cable que va del fortigate al switch perteneciera a la vlan principal y luego poner en el switch como ruta por defecto el fortigate para que todo el trafico que no sea interno vay hacia el firewall. De esta forma se solucionaría el trafico saliente.

Para solucionar el tráfico entrante (VPNs), yo creo que tendría que meter 2 rutas estaticas apuntando hacia el switch para las dos vlans restantes y así el fortigate sabría como llegar a todas las redes."

Saludos

[PMoreno]

Hola Link.

Tu solución, exactamente yo la tengo asi y me funciona mis VLANES que tengo en un core que tambien es cisco, todo perfecto, navego excelente desde mis otras redes virtuales.

Pero, las polìticas de seguridad que aplico al grupo que corresponde a las VLAN no me esta funcionando,o sea que si quiero proteger para que no accedan a juegos etc desde las otras redes, no me valida y el usuario entra a los juegos.ç

Que detalle me faltarìa aqui, te paso lo mismo?

Tienes control en tus IDS en cada una de tus VLAN que tiene tu switch.

Saludos,
Pedro Moreno

[gabyrossi]

>Hola, este post es bastante antiguo.
Podrias actualizart tu problema? y dar mas detalles de que es lo que no te funciona?

saludos