ผมลองทำตามแล้ว ก็ยังออก Internet ไม่ได้เลยครับ
ผมมีข้อสงสัยอยากสอบถามครับ
1. ระหว่าง SW L3 กับ Firewall ต้องเชื่อมต่อกันยังไงเหรอครับ เสียบสายต่อตรงระหว่าง Interface ของ SW L3 กับ Firewall
โดยต้องตั้งค่าอะไรเพิ่มเติมยังไงหรือครับ อันนี้ไม่เข้าใจจริงๆครับ เพราะอุปกรณ์ทั้ง 2 เหมือนยังสื่อสารกันไม่ได้เลยครับ เลยเป็นสาเหตุทำให้ออก Internet ไม่ได้
2. ผมสงสัยว่า Interface ของ Firewall ตั้งแต่ Port1-8 ทำไมไม่สามารถแยก Config ได้ ทุก Port เป็นสมาชิกของ Internal
ทั้งหมดเลย ต้องแยกออกยังไงหรือครับ
อันนี้ถามเพราะไม่เข้าใจจริง ๆ ครับ มือใหม่อยากลองศึกษาจริงๆ ครับ ซื้ออุปกรณ์มือสองมาลองเล่นเอง หมดเยอะแล้วด้วยครับ กรุณาด้วยครับ ขอบคุณครับ...
ขอตอบทีละส่วนดังนี้ครับ (ยาวหน่อยนะ)
ส่วนที่ 1 Config Firewall
ถ้ามองจากภาพ (ขอใช้ตัวอย่างข้างล่างนี้อธิบายทั้งหมดนะครับ)
ผมขอสมมติว่าคุณต่อสายจาก Core SW Port GE0/1 ไปเสียบที่ Firewall Port 1
และต่อสายจาก Firewall Port 2 ไปยัง Router TOT
Config Firewall สำหรับสร้างเส้นทางจาก Firewall ไปยัง Internet
SRC port : Port 1
DST port : Port 2
SRC Address : (อันนี้แล้วแต่ว่าคุณจะให้ IP ไหนออกได้บ้าง ก็สร้าง Object Address มาใส่ตรงนี้ครับ)
DST Address : เลือก Object Address เป็น ALL (อันนี้แบบง่าย ๆ นะ ไม่กรอง Address ปลายทาง ไปได้ทุกที่)
Service : ALL (แบบง่าย ๆ ไม่กรอง Service ปลายทางที่จะไป)
ACTION : ACCEPT
Config Route เพื่อให้มีเส้นทางระหว่าง Firewall กับ Router TOT
- ที่ Firewall ทำ Default Route โดยไปที่ Router > Static Route
Destination : 0.0.0.0/0.0.0.0 (ตรงนี้หมายถึง ไปปลายทางได้ทุก IP)
Interface : Port 2 (เลือกพอร์ตที่เชื่อมต่อกับ ISP เพื่อเป็นทางออกไป เนท)
Gateway : ใส่ไอพีของ Interface ฝั่งตรงข้าม (ในที่นี้จะหมายถึง Interface Router TOT ที่เชื่อมต่อมายัง Firewall ครับ)
Config Firewall สำหรับสร้างเส้นทางจาก Firewall ไปยัง Core Switch
SRC port : Port 2
DST port : Port 1
SRC Address : ALL (เนื่องจากเราจะให้ Traffic จาก Internet ทั้งหมด มายัง Network ที่ต้องการ)
DST Address : เลือก Object Address เป็น Network ปลายทาง (วงของ Client)
Service : ALL (แบบง่าย ๆ ไม่กรอง Service ปลายทางที่จะไป)
ACTION : ACCEPT
Config Route เพื่อให้มีเส้นทางระหว่าง Firewall กับ Core SW (ถ้ามองจากตรงนี้ เรากำลังจะสร้างเส้นทางจาก Firewall ไปยัง Core Switch)
- ที่ Firewall ไปที่ Router > Static Route
Destination : ใส่ Network IP ที่จะให้ Triffic จากที่ใด ๆ สามารถวิ่งเข้าไปยัง Network ดังกล่าว (ในที่นี้คือการทำให้ Firewall รู้จักเส้นทางที่จะไปยัง Network วงนั้น ๆ)
Interface : Port 1 (เลือกพอร์ตที่เชื่อมต่อกับ Core SW เพื่อบอกให้ Router ทราบว่า หากจะไป Network ข้างต้น จะต้องออกทาง Port นี้)
Gateway : ใส่ไอพีของ Interface VLAN ของ Network นั้น ๆ (Network IP กับ Interface VLAN จะเป็นเลขเดียวกัน)
ส่วนที่ 2 Config Core Switch
โยน Default Route มายัง IP ที่ Interface ของ Firewall Port 1 เลยครับ
(ถ้ามองจากตรงนี้ เรากำลังจะสร้างเส้นทางจาก Core Switch ไปยัง Firewall)
ข้อสงสัยที่ถามมาเพิ่มเติม
1. ระหว่าง SW L3 กับ Firewall ต้องเชื่อมต่อกันยังไงเหรอครับ เสียบสายต่อตรงระหว่าง Interface ของ SW L3 กับ Firewall
โดยต้องตั้งค่าอะไรเพิ่มเติมยังไงหรือครับ อันนี้ไม่เข้าใจจริงๆครับ เพราะอุปกรณ์ทั้ง 2 เหมือนยังสื่อสารกันไม่ได้เลยครับ เลยเป็นสาเหตุทำให้ออก Internet ไม่ได้
ตอบ : เสียบปกตินั่นแหละครับ เพียงแต่อาจต้องดูในเรื่องของ Dulex และ Speed ให้ตรงกัน
วิธีเช็คบน Firewall
Fortigate # config system interface
Fortigate (interface) # edit port1 <<<<< ใส่เลขพอร์ตที่ต้องการ
Fortigate (port1) # show full-configuration
Fortigate (port1) # set speed auto <<<<<<<<<<< เลื่อนไปดูที่บรรทัดนี้ครับ Default จะเป็น Auto (ไม่แนะนำให้ fix speed ของ interface บน firewall ถ้าอยากจะ fix ให้ไปทำบน SW)
Fortigate (port1) # set speed (แล้วพิม ? จะแสดง cmd ว่าสามารถตั้งค่า Duplex และ Speed ได้อย่างไรบ้าง)
2. ผมสงสัยว่า Interface ของ Firewall ตั้งแต่ Port1-8 ทำไมไม่สามารถแยก Config ได้ ทุก Port เป็นสมาชิกของ Internal
ทั้งหมดเลย ต้องแยกออกยังไงหรือครับ
ตอบ : INTERNAL ถ้า Firmware เก่า ๆ เป็นเพียงแค่ชื่อครับ แต่เดี๋ยวนี้ เฟิร์มแวร์รุ่นใหม่ ๆ ที่รองรับ Security Fabric นำชื่อนี้ไปแยกแยะด้วยครับ
ถ้าเราไม่ได้ใช้งาน Security Fabric หรือไม่ได้สนใจ คำว่า INTERNAL ก็เป็นเพียงแค่ Port ๆ นึง ที่แยก Zone กันอย่างสิ้นเชิง
(แยก Broadcast Domain เลยอะครับ) Port บน Firewall จะไม่เหมือน Port บน Switch ที่อยู่ใน VLAN เดียวกัน จะมองเห็นกัน
ไหน ๆ ก็ไหน ๆ ละ ผมขอแนะนำบทความของผมด้วยแล้วกัน ผมเขียนขึ้นมาเอง
เรื่อง Broadcast Domain ศึกษาได้จากลิ้งนี้ครับ
https://netsocieties.blogspot.com/2019/07/understanding-basic-of-vlans-virtual.htmlเรื่องของการสร้าง Policy บน Firewall หากไม่เข้าใจ ศึกษาได้จากลิ้งนี้ครับ
https://netsocieties.blogspot.com/2019/09/how-to-creating-security-policy-zoning.htmlหากมีอะไรสอบถามเพิ่มเติม ทิ้งคำถามไว้ได้เลยครับ
ขอบคุณครับ