Cmo Configurar las Interfaces de Red de un FortiGate

http://www.soportejm.com.sv/kb/index.php/article/printer/fg-interfaces

Cmo Configurar las Interfaces de Red de un FortiGate

Cmo Configurar las Interfaces de Red de un FortiGate
FortiOS 4.0

Mdelo

Todos los modelos FortiGate

Condicin

Los nombres y las cantidades de interfaces depender mucho del mdelo de FortiGate que estemos configurando. Generalmente los equipos SOHO y algunos de tipo SMB ya traen nombradas las interfaces (Internal, WAN1, WAN2, DMZ1, DMZ2, etc), ademas, en algunos de estos mdelos la interface "Internal" puede ser un Switch multipuertos (un switch de 3-8 puertos). En cambio, en los FortiGates de tipo Enterprise o multipuertos, el nombramiento de los puertos va desde Port1, Port2, Port3... hasta el mas alto. Independientemente del nombre de las interfaces, nosotros podremos utilizarlas en base a nuestras necesidades. En esta gua mostramos la forma de configuracin de las diferentes interfaces y trataremos de explicar cada una de las funcionalidades de la pantalla de configuracin de las mismas.

Configuracin va GUI

Configuracin de las Interfaces Internal, WAN1 y WAN2 Como en este caso, estamos utilizando un FG310B-US, las interfaces estan numeradas desde port1...port10, por lo tanto utilizaremos la interface port1 como Internal, port10 como WAN1 y port9 como WAN2 . Tal como se muestra en las figuras 2-4. Navegamos en: System >> Network >> Interface y editamos cada una de las Interfaces necesarias Para la Interface Internal: Figura 1.

1 de 6

19/05/2013 18:19

Cmo Configurar las Interfaces de Red de un FortiGate

http://www.soportejm.com.sv/kb/index.php/article/printer/fg-interfaces

Funciones:
Name: El nombre por defecto de la Inteface que se ha seleccionado para editar. Alias: Podemos configurar un nombre para reconocer la Interface o diferenciarla de las otras. El alias aparecer en las configuraciones donde involucremos el objeto "Interface" como es en el caso de las Polticas de Firewall, Polticas de ruteo, etc. Link Status: Nos indica si la interface est fsicamente bien conectada y el Link est siendo detectado. Addressing Mode: Es en este campo en donde indicaremos el mtodo de configuracin de la direccin IP de la Inteface. Los equipos FortiGates soportan diferentes mtodos tales como: *** Manual - En este modo, seremos nosotros quienes configuraremos de forma especfica la direccin IP

2 de 6

19/05/2013 18:19

Cmo Configurar las Interfaces de Red de un FortiGate

http://www.soportejm.com.sv/kb/index.php/article/printer/fg-interfaces

que nos interesa parametrizar para la interface. *** DHCP - Si la Interface la estamos conectando a una red donde podemos solicitar una direccin IP dinmica. Por ejemplo, nuestro ISP no nos da direccin ip fija sino una direccin por DHCP *** PPPoE - En caso que la interface est conectada a un servicio de Internet donde el ISP nos pemite hacer configuracin PPPoE IP/Netmask: En caso que hayamos seleccionado el "Manual" ser en este campo donde podremos configurar la direccin IP de tipo IPv4 para la Interface. El Formato de la IP puede ser: en formato CIDR (192.168.1.1/24) o extendida 192.168.1.1/255.255.255.0 IPv6 Address: En caso de que hayamos configurado el FortiGate para que nos permita hacer configuracin de IPv6 via GUI. Enable one-arm sniffer: Este modo nos permite configurar una interface del FortiGate para que opere como IDS. Enable Explicit Web Proxy: Este parmetro ser necesario configurarlo solo si estamos haciendo Configuracin de FortiGate como Proxy Explcito Enable DDNS: Esta funcin es muy til en el caso que la IP configurada en el FortiGate sea Dinmica (DHCP o PPPoE). Con lo cual, el FortiGate puede anunciar el cambio de IP la cual puede estar asociada a un nombre de dominio. En caso de desear configurar una VPN IPSec con una interface de este tipo, este parmetro es muy necesario. Aqu hay tambin una gua de Configuracin de VPN con Dynamic DNS Override Default MTU Value: Esta funcin nos permite cambiar el valor de MTU (Unidad de Transmisin Mxima). Este valor solo se cambiar si los demas dispositivos de Red estan utilizando un valor diferente de MTU. Enable DNS Query: Este parmetro solo sera necesario configurarlo en caso que se requiera que el FortiGate pueda servir como Servidor de DNS para nuestros equipos Internos. Para conocer la configuracin del Servidor de DNS puede ver la gua de Cmo Configurar un Servidor DNS en un FortiGate. Si se habilita el DNS Query, entonces podremos seleccionar una de las siguientes opciones de DNS: *** DNS Recursivo: Para este caso, cuando se hace una peticin a la interface, automaticamente se busca la resolucin dentro de la base de Datos del Servidor DNS Local, pero si no encuentra ahi la resolucin, entonces se pregunta directamente a los DNS externos que se han configurado al FG dentro de System >> Network >> Options *** DNS no Recursivo: Para este caso, cuando se hace una peticin a la interface, automaticamente se busca la resolucin dentro de la base de Datos del Servidor DNS Local. Pero, en caso de no encontrar la resolucin localmente, El FG ya no preguntra a los servidores Externos de DNS. Administrative Access: Aqu configuramos los servicios a travs de los cuales podremos administrar el FortiGate accesando por medio de la Interface. IPv6 Administrative Access: En caso de que hayamos configurado el FortiGate para que nos permita hacer configuracin de IPv6 via GUI. Aqu configuramos los servicios a travs de los cuales podremos administrar el FortiGate accesando por medio de la Interface. VRRP: Esta funcin nos permite hacer una configuracin de redundancia en las interfaces, a travs de la cual, si una interface falla, el sistema puede detectarla y ponerla con Link Status Down o Fail. En ambientes sencillos no es necesario configurar este parmetro Detect Interface Status for Gateway Load Balancing: Este parmetro solo se configurar si tenemos doble enlace y deseamos tener redundancia entre los mismos. No es necesario configurarlo cuando solo tenemos un enlace. Cuando esta funcin est configurada, el FortiGate puede sensar si un enlace ha fallado y una vez detectado el FG deja de transmitir paquetes por ese enlace pasando todo el trfico por el enlace redundante. Detect Server: Si hemos habilitado la funcion de Detect Interface Status for Gateway Load Balancing, debemos configurar una IP hacia la cual el fortiGate estar haciendo el monitoreo del enlace. Esta IP debe ser alcanzable desde la Interface que nos interesa monitorear y se recomienda que sea un equipo que siempre est activo para evitar falsas caidas del enlace. Cuando la IP deja de responder, en ese momento el FortiGate entiende que el enlace no est funcionando correctamente y enviar los paquetes por el segundo enlace. Detect Protocol: Siempre como parte de la funcionalidad Detect Interface Status for Gateway Load Balancing, aqu configuramos el tipo de protocolo con el cual haremos el monitoreo hacia la IP configurada en la opcin de Detect Server. Weight: Spillover Threshold: Este parmetro solo ser necesario si tenemos doble enlace y estamos haciendo ECMP en modo Spillover. Aqu la gua de Cmo Configurar ECMP en un FortiGate Secondary IP Address: Podemos adems hacer configuracin de direcciones IP Secundarias, utilizando la misma Interface fsica. La cantidad de direcciones IP soportadas como secundarias, puede verlas en la Gua de Matrix en el sitio de Fortinet. Description: Podemos escribir una pequea descripcin sobre la configuracin de la pantalla, con un

3 de 6

19/05/2013 18:19

Cmo Configurar las Interfaces de Red de un FortiGate

http://www.soportejm.com.sv/kb/index.php/article/printer/fg-interfaces

mximo de 63 caracteres. Administrative Status:

Desde aqu podemos apagar o encender la interface.

Para la Interface WAN1: Figura 2.

Para la Interface WAN2: Figura 3.

4 de 6

19/05/2013 18:19

Cmo Configurar las Interfaces de Red de un FortiGate

http://www.soportejm.com.sv/kb/index.php/article/printer/fg-interfaces

Configuracin va CLI Para la Interface Internal

config system interface edit "port1" set vdom "root" set ip 192.168.1.1 255.255.255.0 set allowaccess ping http telnet https ssh snmp set type physical Set alias "Internal"

5 de 6

19/05/2013 18:19

Cmo Configurar las Interfaces de Red de un FortiGate

http://www.soportejm.com.sv/kb/index.php/article/printer/fg-interfaces

next end

Para la Interface WAN1

config system interface edit "port10" set vdom "root" set ip 192.168.2.217 255.255.255.0 set allowaccess ping http telnet https ssh snmp set type physical Set alias "WAN1" next end

Para la Interface WAN2

config system interface edit "port9" set vdom "root" set ip 192.168.111.217 255.255.255.0 set allowaccess ping http telnet https snmp set type physical set alias "WAN2" next end

Relacionados : Como configurar las Interfaces de un FortiGate de Switch mode a Interface mode Configuracin de FortiGate como Proxy Explcito Cmo Configurar un Servidor DNS en un FortiGate

Referencias: http://kb.fortinet.com http://docs.fortinet.com/ You can view this article online at: http://www.soportejm.com.sv/kb/index.php/article/fg-interfaces

6 de 6

19/05/2013 18:19