Comunidad FORTIGATE.es

Necesito separar mi red de video vigilancia de mi red de datos por cuestiones de seguridad. Estoy tratando de configurar una VLAN para hacer esta separación y que solo determinados equipos de mi red de datos tengan acceso a mis equipos de video vigilancia.

En el diagrama de red verán que tengo dos segmentos diferentes a través de un switch 3COM Baseline 2226 SFP en el cual cree mi VLAN con ID 4 TAGGEADA en los puertos 1 al 5 y el resto de los puertos tienen la VLAN por omisión.

En el fortiwifi 90D con FortiOS v5.00 build 0271 (GA Patch 6) que tengo, uní las interfaces INTERNAL + WIFI para unificar mis reglas y servidor DHCP para la red de datos; a este SOFTWARE SWITCH lo llamé INTERNO y a este mismo le cree la subinterfase tipo VLAN que llamo CCTV con el ID 4 cuya IP es 192.168.4.1.

Adicional a esto creé las políticas nateadas para navegar entre las dos interfaces; por el momento no me interesa que los equipos de video puedan salir a internet por lo que no cree reglas de la VLAN al WAN.

Según lo que he visto, esto es lo que se debe hacer, sin embargo no me funciona y me quedan ciertas dudas como: ¿en el switch debo marcar los puertos de la VLAN como tagged o untagged? ¿es necesario ingresar alguna ruta estática? el fortiwifi llega al switch en un puerto no taggeado correspondiente a la VLAN default, ¿es correcto?

De antemano gracias por el apoyo.

Buenas,

En mi opinión los puertos conectados a las cámaras IP son UNTAGGED ya que no hay un TRUNK entre ellos y el switch. Por otro lado deseas que el swith y el firewall intercambien información de dos VLANs distintas entre ellos por un único puerto y por tanto se trata de un TRUNK, dicho puerto en el switch debería estar etiquetado (TAGGED) en ambas VLAN (defecto y 4).

En nuestro caso disponemos de 3 VLAN distintas y en lugar de llevar un trunk de VLANs desde el switch al firewall, tenemos 3 puertos distintos cada uno correspondiente a una VLAN y por tanto untagged.

Una vez hecho lo indicado más arriba y con la política adecuada en el firewall debería ser suficiente.

Saludos.

Buenas tardes Felipe, primero que nada gracias por tu tiempo y te ofrezco una disculpa por no responder antes pero la verdad es que he andado saturado con la chamba y deje el tema de lado por un rato.

Gracias a tu respuesta logré que operara la VLAN, como bien lo mencionaste, los puertos del switch deben ser UNTAGGED y el puerto que comunica al switch con mi Fortigate debía ser configurado como TAGGED para que todas las VLANS lo vieran.

De este modo operó a la primera y ya tengo trabajando mis dos redes por separado sin necesidad de IPs secundarias en los equipos sino que todo lo controlo con las políticas de mi FG.

De antemano gracias por tu apoyo, y seguimos en contacto.

Saludos!