Comunidad FORTIGATE.es

Buenos días:

Me gustaría saber si alguien me puede dar una mano con un cambio que requiero hacer en un cluster de fortigate 300C. Actualmente trabajan en modo activo/pasivo con interfaces en modo convencional (físicas y ya existen reglas asociadas a esas interfaces). La idea es cambiar las a modo VLAN, de tal modo que pueda crear después otros VDOMS y solo adicionar esas vlans. Para llegar a esa meta, pues lo primero es cambiar el modo de las interfaces pero, puesto que ya están asociadas reglas y enrutamiento (estático) a ellas, no se puede cambiar "asi nada más".

Alguien podría colaborarme con el procedimiento para realizar ese cambio con el menor traumatismo posible?.


Gracias de antemano por la ayuda.


Sergio

Pues lo que yo haria en tu caso seria realizar un respaldo eliminar las politicas y demas objetos asociados y realizar el cambio. Solo esto se me ocurre.

Busca ayuda en la variedad de recursos que te ofrece Fortinet:

1- kb.fortinet.com
2- docs.fortinet.com
3- support.fortinet.com (Loggin con usuario con el cual se registro el Fortigate o equipo Fortinet)
4-video.fortinet.com
5- support.fortinet.com/forum (Foro Oficial de Fortinet)

Saludos

Buenas
Yo seguiria este procedimiento:

1) Crearia la VLAN 2 (Aca le pones el VLAN ID que quieras) y crearia las mismas reglas, objetos y rutas que tenes en los otros objetos.
2) Crearia la VLAN 2 en el Switch
3) y aca es donde perderian conectividad los servicios de esta red: pasaria todas las interfaces del Switch que necesitas que esten en la VLAN 2, junto tambien a la que conecta con el Fortigate.
4) Le pondria la IP a la VLAN de la red que tenia la interfaz fisica y eliminaria la IP que tenia esta y listo!

los puntos 3 y 4 no deberian llevar mas de cinco minutos, que seria el tiempo de perdida de conectividad. Este mismo procedimiento lo aplicas a cada red que tenes conectado, haciendo para esto una ventana de trabajo de una hora cada una, haciendo este cambio en dias distintos o en un unico dia depende como te puedas organizar, aunque creo que lo ideal seria hacerlo en dias distintos. Una vez que hiciste todo el cambio, podes eliminar todo lo que tiene la interfaz fisica, como rutas, politicas y objetos.
El fortigate 300C tiene diez interfaces, en el peor de los casos, vas a tener que hacer este cambio unas nueve veces (usando como minimo una interfaz para el HA queda ese numero), aunque apuesto que usas menos interfaces.

Espero que te sirva y contanos como hiciste.

Saludos!

Ojo, que luego de eso, tendras que creas politicas por la interfaz vlan nueva.

SI no estas seguro, lo que podrias hacer es crear un vlan con una red inexistente y crearla en el switch. Y probar con esa vlan, ruteos y politicas.

luego deberias hacer la config. similar con las vlan y redes que si existen.
saludos