Mô hình Yêu cầu Cấu hình sao cho từ các PC ping ra được 8 8 8 8 (loopback của R10 trong hình) Có dự phòng VRRP tại core switch Firewall Fortigate cấu hình cluster Active Standby Cấu hình trên switch L[.]
Trang 1Mô hình:
Yêu cầu:
- Cấu hình sao cho từ các PC ping ra được 8.8.8.8 (loopback của R10 trong hình)
- Có dự phòng VRRP tại core switch
- Firewall Fortigate cấu hình cluster Active-Standby
Cấu hình trên switch LAN 3:
vlan100,200
interface Ethernet0/1
Trang 2switchport access vlan 100
switchport mode access
interface Ethernet0/0
switchport trunk allowed vlan 100,200 switchport trunk encapsulation dot1q switchport mode trunk
interface Ethernet0/2
switchport trunk allowed vlan 100,200 switchport trunk encapsulation dot1q switchport mode trunk
Cấu hình trên switch LAN 4:
vlan 100,200
interface Ethernet0/1
switchport access vlan 200
switchport mode access
interface Ethernet0/0
switchport trunk allowed vlan 100,200 switchport trunk encapsulation dot1q switchport mode trunk
interface Ethernet0/2
switchport trunk allowed vlan 100,200
Trang 3switchport trunk encapsulation dot1q
switchport mode trunk
Cấu hình trên core_sw01:
vlan 100,200,300
interface Ethernet0/0
switchport trunk allowed vlan 100,200
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface Ethernet0/1
switchport trunk allowed vlan 100,200
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface Ethernet0/2## thông lên firewall
switchport access vlan 300
switchport mode access
!
interface Ethernet0/3## thông lên firewall
switchport access vlan 300
switchport mode access
!
interface Ethernet1/0##port thông ra PC_MGMT switchport access vlan 300
switchport mode access
Trang 4interface Vlan100
ip address 192.168.100.10 255.255.255.0
vrrp 1 ip 192.168.100.1
vrrp 1 priority 105
no shutdown
!
interface Vlan200
ip address 192.168.200.10 255.255.255.0
vrrp 1 ip 192.168.200.1##backup vrrp vlan 200
no shutdown
!
interface Vlan300##vlan thông lên firewall
ip address 10.1.2.100 255.255.255.0
no shutdown
exit
ip route 0.0.0.0 0.0.0.0 10.1.2.101 ##route to internet qua firewall
Cấu hình trên core_sw02:
vlan 100,200,400
interface Ethernet0/0
switchport trunk allowed vlan 100,200
switchport trunk encapsulation dot1q
switchport mode trunk
Trang 5interface Ethernet0/1
switchport trunk allowed vlan 100,200
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface Ethernet0/2## thông lên firewall
switchport access vlan 400
switchport mode access
!
interface Ethernet0/3## thông lên firewall
switchport access vlan 400
switchport mode access
!
interface Vlan100
ip address 192.168.100.20 255.255.255.0
vrrp 1 ip 192.168.100.1 ##backup vrrp vlan 100
no shutdown
!
interface Vlan200
ip address 192.168.200.20 255.255.255.0
vrrp 1 ip 192.168.200.1
vrrp 1 priority 105
no shutdown
!
interface Vlan400##vlan thông lên firewall
ip address 10.2.3.100 255.255.255.0
Trang 6no shutdown
exit
ip route 0.0.0.0 0.0.0.0 10.2.3.101 ##route to internet qua firewall
Cấu hình IP cho port fortigate để từ PC_MGMT truy cập được webgui:
FGT-01:
config system interface
edit "port1"
set ip 10.1.2.101 255.255.255.0
set allowaccess ping https http
FGT-02:
config system interface
edit "port1"
set ip 10.1.2.102 255.255.255.0
set allowaccess ping https http
Vào firewall FGT01 đặt IP theo quy hoạch Ví dụ như dưới:
Trang 7Do cấu hình cluster nên không cần đặt IP cho FGT-02, vì nó sẽ tự có cấu hình giống FGT-01 sau khi join cluster
Để cấu hình Cluster:
Vào System > HA
Trang 8Sang con FGT-02, cài HA tương tự; chỉ khác priority
Trang 9Sau đó con FGT-02 sẽ quay tròn như dưới, ta không truy cập được vào webgui của
nó nữa:
Trang 10Trên con chính hiện như này:
Cấu hình tiếp static route đi ra net qua Router R10
Trang 11Khai thêm route trỏ về dải LAN qua core switch, trong đó route qua port1 là route chính, route qua port2 là route phụ backup
Trang 12Mở policy để cho dải LAN 192.168.100.0/24 và 192.168.200.0/24 thông ra net
Trang 14Kết quả được các rule:
Test thử từ VPC ping lên 8.8.8.8