Comunidad FORTIGATE.es

Buenas,

soy nuevo por aquí y tengo unas dudas al respecto de un problema que me he encontrado en el curro...

Nos hemos encontrado con el siguiente proyecto:
- Un Switch capa 3 que tiene 3 vlans (21,32,43) con ip routing.
- Tienen conexión directa al firewall de la empresa contratante.
- Quieren introducir un Fortigate entre ese Switch L3 y el Firewall.

Hemos aconsejado al cliente configurar el nuevo forti con un puerto capa 3 (no switchport) en el Switch y hacer rutas estáticas.

La otra opción que barajamos es hacer un troncal del forti al Switch definiendo la vlans en el Fortigate, pero nos dio bastantes errores de conectividad.

La pregunta viene en esta ultima cuestión, no entiendo porque me daba tantos problemas. Me podríais guiar un poco al respecto de la gestión de las vlans en un escenario como este, con un dispo. L3 que ya gestiona el enrutamiento entre dichas vlans.

Gracias anticipadas. Un saludo

¿Qué errores les dio? Es muy ambigüo decir "nos dio bastantes errores de conectividad", sobre todo si necesitas que te ayuden a encontrar el problema.

Buenas tardes, yo tengo un problema similar, tengo un switc 3725 cisco en el cual declare dos vlans, tambien el puerto lo declare truncal tal como debe ser, tambien cree en el fortigate las vlans con sus respectivos servicios dhcp, pero no logro recibir ip desde el dhcp, tambien le coloco al los host las ip estaticas y le hago ping al gateway del puerto que me comunica el fortigate con el switch cisco pero tampoco responde.

Gracias de antemano

Si realmente hiciste todo lo que indicas no debieras tener problemas. ¿Podrías pegar la configuración de alguna de las interfaces VLAN?

Buen dia Andres, no he podido pegarte las imagenes aca en esta herramienta, el sistema no me lo permite copiar pegar.

Hermano no tendras un correo para enviarte informacion, no logro copiar pegar imagenes.

interface FastEthernet1/1
switchport mode trunk
duplex full
speed 100
!
interface FastEthernet1/2
switchport access vlan 100
duplex full
speed 100
!
interface FastEthernet1/3
switchport access vlan 200
duplex full
speed 100

]BRIEF DE LAS VLAN CREADAS:
Fa1/15
100 VLAN0100 active Fa1/2
200 VLAN0200 active Fa1/3
1002 fddi-default active

CONIGURACION PUERTO FORTIGATE

edit "port1"
set vdom "root"
set ip 192.168.137.2 255.255.255.0
set allowaccess ping https ssh http fgfm
set type physical
set alias "WAN"
set snmp-index 1
next
edit "port2"
set vdom "root"
set ip 192.168.10.1 255.255.255.0
set allowaccess ping
set type physical
set alias "DMZ"
set snmp-index 2
next

CONFIGURACION VLAN EN FORTIGATE
edit "INTERNAL"
set vdom "root"
set vrf 7
set type switch
set snmp-index 13
next
edit "fortilink"
set vdom "root"
set fortilink enable
set ip 169.254.1.1 255.255.255.0
set allowaccess ping fabric
set type aggregate
set lldp-reception enable
set lldp-transmission enable
set snmp-index 12
next
edit "VLAN100"
set vdom "root"
set ip 10.1.1.1 255.255.255.0
set allowaccess ping https
set alias "RRHH"
set device-identification enable
set role lan
set snmp-index 14
set interface "INTERNAL"
set vlanid 100
next
edit "VLAN200"
set vdom "root"
set ip 10.1.2.1 255.255.255.0
set allowaccess ping https
set alias "TI"
set device-identification enable
set role lan
set snmp-index 15
set interface "INTERNAL"
set vlanid 200
next

DHCP SERRVER DE CADA VLAN EN FORTIGATE:

edit 2
set dns-service default
set default-gateway 10.1.1.1
set netmask 255.255.255.0
set interface "VLAN100"
config ip-range
edit 1
set start-ip 10.1.1.2
set end-ip 10.1.1.254
next
end
next
edit 3
set dns-service default
set default-gateway 10.1.2.1
set netmask 255.255.255.0
set interface "VLAN200"
config ip-range
edit 1

VLAN ADDRESS Y NETWORK:

edit "VLAN100 address"
set uuid 2d2ae488-e3c2-51ed-f499-c248f77f1957
set type interface-subnet
set subnet 10.1.1.1 255.255.255.0
set interface "VLAN100"
next
edit "VLAN200 address"
set uuid 88127424-e3c2-51ed-999b-86cb4df040e4
set type interface-subnet
set subnet 10.1.2.1 255.255.255.0
set interface "VLAN200"
next
edit "VLAN100"
set uuid 81176696-e469-51ed-1557-4a4f2db54d5d
set associated-interface "VLAN100"
set subnet 10.1.1.0 255.255.255.0
next
edit "VLAN200"
set uuid ad187922-e46b-51ed-1104-8ff9270fe4d7
set subnet 10.1.2.0 255.255.255.0

Hola,

Te faltó definir las vlans que permitirás en esa interfaz trunk (FastEthernet1/1), y eso lo haces con los siguientes comandos:

conf t

interface FastEthernet1/1

switchport trunk allowed vlan 100,200

ok , configuro la interface y te aviso, gracias por la informacion.

trate de configurar la interface trunk fast1/1 pero aun cuando no me dio error al ejecutar : swtchport trunk allowed vlan 100, 200 revise con un show run y no me cambio nada, quedo asi:
interface FastEthernet1/1
switchport mode trunk
duplex full
speed 100

Cabe destacar que yo estoy haciendo este proyecto como un laboratorio para mi aprendizaje en GNS3 y el switch que estoy utilizando es un 3725 y el unico comando que me pudo aceptar fue de esta manera:

ESW1(config-if)#switchport trunk allowed vlan add 100,200 , no me acepto el que tu me indicaste, quizas sea porque este en un ambiente GNS3 eso supongo. Entonces aun cuando no me da error al definir la interface trunk y autorizar las vlans que pasaran por ahi no me queda registrado esa configuracion en la interface, asi mismo hice las pruebas desde un host windows xp a ver si me direccionamiento ip via dhcp y no hace nada.

Lo siento, tendrás que encontrar la solución por tu cuenta entonces, ya nadie va a perder el tiempo con algo que es un laboratorio y más aún montado sobre una plataforma virtual donde no siempre los dispositivos funcionan completamente como en hardware físico.