Cómo Configurar las Interfaces de Red de un FortiGate


Cómo Configurar las Interfaces de Red de un FortiGate

FortiOS
4.0
Módelo
Todos los modelos FortiGate
Condición
-


Los nombres y las cantidades de interfaces dependerá mucho del módelo de FortiGate que estemos configurando. Generalmente los equipos SOHO y algunos de tipo SMB ya traen nombradas las interfaces (Internal, WAN1, WAN2, DMZ1, DMZ2, etc), ademas, en algunos de estos módelos la interface "Internal" puede ser un Switch multipuertos (un switch de 3-8 puertos). En cambio, en los FortiGates de tipo Enterprise o multipuertos, el nombramiento de los puertos va desde Port1, Port2, Port3... hasta el mas alto.

Independientemente del nombre de las interfaces, nosotros podremos utilizarlas en base a nuestras necesidades. En esta guía mostramos la forma de configuración de las diferentes interfaces y trataremos de explicar cada una de las funcionalidades de la pantalla de configuración de las mismas.


Configuración vía GUI


Configuración de las Interfaces Internal, WAN1 y WAN2
Como en este caso, estamos utilizando un FG310B-US, las interfaces estan numeradas desde port1...port10, por lo tanto utilizaremos la interface port1 como Internal, port10 como WAN1 y port9 como WAN2. Tal como se muestra en las figuras 2-4. Navegamos en: System >> Network >> Interface y editamos cada una de las Interfaces necesarias
Para la Interface Internal:
Figura 1.

Funciones:
Name:    El nombre por defecto de la Inteface que se ha seleccionado para editar.
Alias:    Podemos configurar un nombre para reconocer la Interface o diferenciarla de las otras. El alias aparecerá en las configuraciones donde involucremos el objeto "Interface" como es en el caso de las Políticas de Firewall, Políticas de ruteo, etc.
Link Status:    Nos indica si la interface está físicamente bien conectada y el Link está siendo detectado.
Addressing Mode:    Es en este campo en donde indicaremos el método de configuración de la dirección IP de la Inteface. Los equipos FortiGates soportan diferentes métodos tales como:
*** Manual - En este modo, seremos nosotros quienes configuraremos de forma específica la dirección IP que nos interesa parametrizar para la interface.
*** DHCP - Si la Interface la estamos conectando a una red donde podemos solicitar una dirección IP dinámica. Por ejemplo, nuestro ISP no nos da dirección ip fija sino una dirección por DHCP
*** PPPoE - En caso que la interface esté conectada a un servicio de Internet donde el ISP nos pemite hacer configuración PPPoE
IP/Netmask:    En caso que hayamos seleccionado el "Manual" será en este campo donde podremos configurar la dirección IP de tipo IPv4 para la Interface. El Formato de la IP puede ser: en formato CIDR (192.168.1.1/24) o extendida 192.168.1.1/255.255.255.0
IPv6 Address:    En caso de que hayamos configurado el FortiGate para que nos permita hacer configuración de IPv6 via GUI.
Enable one-arm sniffer:    Este modo nos permite configurar una interface del FortiGate para que opere como IDS.
Enable Explicit Web Proxy:    Este parámetro será necesario configurarlo solo si estamos haciendo Configuración de FortiGate como Proxy Explícito
Enable DDNS:    Esta función es muy útil en el caso que la IP configurada en el FortiGate sea Dinámica (DHCP o PPPoE). Con lo cual, el FortiGate puede anunciar el cambio de IP la cual puede estar asociada a un nombre de dominio. En caso de desear configurar una VPN IPSec con una interface de este tipo, este parámetro es muy necesario. Aquí hay también una guía de Configuración de VPN con Dynamic DNS
Override Default MTU Value:    Esta función nos permite cambiar el valor de MTU (Unidad de Transmisión Máxima). Este valor solo se cambiará si los demas dispositivos de Red estan utilizando un valor diferente de MTU.
Enable DNS Query:    Este parámetro solo sera necesario configurarlo en caso que se requiera que el FortiGate pueda servir como Servidor de DNS para nuestros equipos Internos. Para conocer la configuración del Servidor de DNS puede ver la guía de Cómo Configurar un Servidor DNS en un FortiGate. Si se habilita el DNS Query, entonces podremos seleccionar una de las siguientes opciones de DNS:
*** DNS Recursivo: Para este caso, cuando se hace una petición a la interface, automaticamente se busca la resolución dentro de la base de Datos del Servidor DNS Local, pero si no encuentra ahi la resolución, entonces se pregunta directamente a los DNS externos que se han configurado al FG dentro de System >> Network >> Options
*** DNS no Recursivo: Para este caso, cuando se hace una petición a la interface, automaticamente se busca la resolución dentro de la base de Datos del Servidor DNS Local. Pero, en caso de no encontrar la resolución localmente, El FG ya no preguntra a los servidores Externos de DNS.

Administrative Access:    Aquí configuramos los servicios a través de los cuales podremos administrar el FortiGate accesando por medio de la Interface.
IPv6 Administrative Access:    En caso de que hayamos configurado el FortiGate para que nos permita hacer configuración de IPv6 via GUI. Aquí configuramos los servicios a través de los cuales podremos administrar el FortiGate accesando por medio de la Interface.
VRRP:    Esta función nos permite hacer una configuración de redundancia en las interfaces, a través de la cual, si una interface falla, el sistema puede detectarla y ponerla con Link Status Down o Fail. En ambientes sencillos no es necesario configurar este parámetro
Detect Interface Status for Gateway Load Balancing:    Este parámetro solo se configurará si tenemos doble enlace y deseamos tener redundancia entre los mismos. No es necesario configurarlo cuando solo tenemos un enlace. Cuando esta función está configurada, el FortiGate puede sensar si un enlace ha fallado y una vez detectado el FG deja de transmitir paquetes por ese enlace pasando todo el tráfico por el enlace redundante.
Detect Server:    Si hemos habilitado la funcion de Detect Interface Status for Gateway Load Balancing, debemos configurar una IP hacia la cual el fortiGate estará haciendo el monitoreo del enlace. Esta IP debe ser alcanzable desde la Interface que nos interesa monitorear y se recomienda que sea un equipo que siempre esté activo para evitar falsas caidas del enlace. Cuando la IP deja de responder, en ese momento el FortiGate entiende que el enlace no está funcionando correctamente y enviará los paquetes por el segundo enlace.
Detect Protocol:    Siempre como parte de la funcionalidad Detect Interface Status for Gateway Load Balancing, aquí configuramos el tipo de protocolo con el cual haremos el monitoreo hacia la IP configurada en la opción de Detect Server.
Weight:
Spillover Threshold:    Este parámetro solo será necesario si tenemos doble enlace  y estamos haciendo ECMP en modo Spillover. Aquí la guía de Cómo Configurar ECMP en un FortiGate
Secondary IP Address:    Podemos además hacer configuración de direcciones IP Secundarias, utilizando la misma Interface física. La cantidad de direcciones IP soportadas como secundarias, puede verlas en la Guía de Matrix en el sitio de Fortinet.
Description:    Podemos escribir una pequeña descripción sobre la configuración de la pantalla, con un máximo de 63 caracteres.
Administrative Status:    Desde aquí podemos apagar o encender la interface.



Para la Interface WAN1:
Figura 2.


Para la Interface WAN2:
Figura 3.





Configuración vía CLI

Para la Interface Internal
config system interface
    edit "port1"
        set vdom "root"
        set ip 192.168.1.1 255.255.255.0
        set allowaccess ping http telnet https ssh snmp
        set type physical
        Set alias "Internal"
    next
end

Para la Interface WAN1
config system interface
    edit "port10"
        set vdom "root"
        set ip 192.168.2.217 255.255.255.0
        set allowaccess ping http telnet https ssh snmp
        set type physical
        Set alias "WAN1"
    next
end

Para la Interface WAN2
config system interface
    edit "port9"
        set vdom "root"
        set ip 192.168.111.217 255.255.255.0
        set allowaccess ping http telnet https snmp
        set type physical
        set alias "WAN2"
    next
end



Relacionados :
Como configurar las Interfaces de un FortiGate de Switch mode a Interface mode
Configuración de FortiGate como Proxy Explícito
Cómo Configurar un Servidor DNS en un FortiGate



Referencias:
http://kb.fortinet.com
http://docs.fortinet.com/
You can view this article online at:
http://www.soportejm.com.sv/kb/index.php/article/fg-interfaces