Anasayfa » Forum

VLAN tavsiyesi
 

VLAN tavsiyesi  

  RSS
malik.ahmet
(@malik.ahmet)
Yeni Üye

Merhaba Arkadaşlar,

Destek verdiğim bir firmada Küçük sayılabilecek bir network var 65 civarı bilgisayar buluyor
firma yetkilisi birimler arasında bazı durumlardan dolayı değikliğe gitmek istedi.

resimdeki yapıya sahibiz.

Network'ü Vlan lara ayırmayı düşünüyoruz.
1- 3 yada 4 vlan yeterli olacak.
2- Layer3 Switch almadan Fortigate ile Vlan sonlandırması yapabilirmiyim.
3- Fortigate üzerinde Vlanlar arası erişim denetimi yapabilirmiyim. Ör: Vlan 10 daki ahmet Vlan 20 deki Mehmetle haberleşsin.
4- Sunuculara Bütün Vlanlardaki makinaların erişmesi gerekiyor. ancak Sunucunu IP bloğuyla diğer Vlanların Ip blokları farklı
5- olacak AD de otantike olurken client makinalar bir sorun yaşarmı DNS ile alakalı.
6- Fortigate ile Switch arasındaki bağlantı 1gb bize yetermi yoksa 10gb moduller alıp bağlamakmı gerekir

şimdiden teşekkürler.

 

 

Alıntı
Gönderildi : 01/08/2018 21:07
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Merhaba

Evet bunu firewall ile yapabilirsiniz ancak 65 makine için tüm trafik 1gb üzerinden zor döner bence, ondan dolayı 10gbit gibi bir bağlantı daha gerçekçi olacaktır.

http://www.mirazon.com/internal-segmentation-fortigate/

Forti ile ihtiyacınız olan her şeyi yapabilirsiniz ancak örnek herkes DNS e, LDAP için DC ye erişmeli bunu port bazlı yapacaksınız. 

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 02/08/2018 00:42
Turan COŞKUN
(@turancoskun)
Tanınmış Üye Forum Yöneticisi

[quote user="malik.ahmet"]

Network'ü Vlan lara ayırmayı düşünüyoruz.
1- 3 yada 4 vlan yeterli olacak.
2- Layer3 Switch almadan Fortigate ile Vlan sonlandırması yapabilirmiyim.
3- Fortigate üzerinde Vlanlar arası erişim denetimi yapabilirmiyim. Ör: Vlan 10 daki ahmet Vlan 20 deki Mehmetle haberleşsin.
4- Sunuculara Bütün Vlanlardaki makinaların erişmesi gerekiyor. ancak Sunucunu IP bloğuyla diğer Vlanların Ip blokları farklı
5- olacak AD de otantike olurken client makinalar bir sorun yaşarmı DNS ile alakalı.
6- Fortigate ile Switch arasındaki bağlantı 1gb bize yetermi yoksa 10gb moduller alıp bağlamakmı gerekir[/quote]

merhaba,

düşündüğünüz yapı için en önemli nokta, trafiğinizin çeşitliliği, yani hangi uygumalar trafik yaratıyor.

ad,dns,fs vb. trafikler için fortigate üzerinde vlan ile sonladırmanız sorun olmayabilir.

ancak ip kamera sayınız yüksek ise size sorun oluşturabilir, trafik değeri yüksek olacakıtr.

ikinci soru için evet, fortigate ile vlan sonlandırılabilir

üçüncü ve dördüncü soru için,policyler aracılığı ile rahatlıkla erişim denetimi sağlanabilir

beş, gerekli port izinleri ve dns yönlendirmesi yapıldığı sürece sorun olmayacaktır

altı, her vlan için switchden bir port gönderirseniz, kamera vlan hariç sorun yaratmaz

son olarak vlanları fortigate üzerinde sonlandırıp, policyler üzerinde security profil uygularsanız, kaynak tüketiminizi arttırakcak, takip etmelisiniz.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 02/08/2018 02:41
Zafer SEN
(@ZaferSEN)
Yeni Üye

[quote user="malik.ahmet"]

Merhaba Arkadaşlar,

Destek verdiğim bir firmada Küçük sayılabilecek bir network var 65 civarı bilgisayar buluyor
firma yetkilisi birimler arasında bazı durumlardan dolayı değikliğe gitmek istedi.

resimdeki yapıya sahibiz.

Network'ü Vlan lara ayırmayı düşünüyoruz.
1- 3 yada 4 vlan yeterli olacak.
2- Layer3 Switch almadan Fortigate ile Vlan sonlandırması yapabilirmiyim.
3- Fortigate üzerinde Vlanlar arası erişim denetimi yapabilirmiyim. Ör: Vlan 10 daki ahmet Vlan 20 deki Mehmetle haberleşsin.
4- Sunuculara Bütün Vlanlardaki makinaların erişmesi gerekiyor. ancak Sunucunu IP bloğuyla diğer Vlanların Ip blokları farklı
5- olacak AD de otantike olurken client makinalar bir sorun yaşarmı DNS ile alakalı.
6- Fortigate ile Switch arasındaki bağlantı 1gb bize yetermi yoksa 10gb moduller alıp bağlamakmı gerekir

şimdiden teşekkürler.

 

 

[/quote]

 

vlan oluşturmak için Layer 2 yönetilebilir switch varsa, fortigate ile switch arasındaki bir portu trunk yaparsınız.

switch tarafta oluşturduğunuz her vlan için fortigate tarafında trunk bağlı interface altına vlan id ile aynı şekilde interface vlanlar oluşturacaksınız.

sonrasında fortigate static route ayarlarını yapmalısınız.

daha sonra fortigate rolue ayarlamalısınız. 

65 bilgisayar olan bir ağda 1g bağlantı yeterli olacaktır, diyelim ki dar boğaz yaşarsanız iki yol izleyebilirsiniz.

  1. birkaç switch portu ve fortigate interfacei karşılıklı LACP yaparsınız.
  2. vlanları bölersiniz. örneğin server vlanı fortigate ile access vlan olarak tek bir port-interface ile çalışır (mevcut portu bunun için kullanmaya devam edersiniz, diğer vlanlarınızı bir veya iki farklı interface ile çalıştırırsınız. örnek. fortigate 1.port Server vlan, fortigate 2. port a-b-c vlan, 3. port d-e-f vlan şeklinde de port bazında yük dağıtma yapabilirsiniz ama sorun yaşayacağınızı sanmam

vlanları layer3 seviyesinde fortigate üzerinde sonlandırdığınızda ya dhcp olarak fortigatei kullanacaksınız yada relay tanımlayıp dhcp server tarafından dağıtmaya gideceksiniz, dhcp üzerinde her vlan için scope tanımlamayı unutmayın.

başlangıç sırasında source ve destinationları all vlan-all vlan yapın. daha sonra vlanlara yada özel kullanıcılara göre kurallar eklersiniz.

burada destek verdiğiniz firmada port based vlan uygulayacaksanız, switch portuna bağlı her kullanıcının doğru vlana alınması biraz zahmetli olabilir fiziksel olarak, bunun dışında kalan vlan oluşturma kural oluşturma işi biraz planlamayla kolaylıkla yapılabilir.

 

CevapAlıntı
Gönderildi : 02/08/2018 12:34
malik.ahmet
(@malik.ahmet)
Yeni Üye

Herkese verdiği bildgiler için teşekkür ederim.

Öncelikle Forti üzerinde Vlan'ları sonlandırma yapıcam trafik durumuna görede ya LACP yada 10gb moduller ile trafiği rahatlatmayı planlıyorum.

CevapAlıntı
Gönderildi : 02/08/2018 13:26
Paylaş:
  
Çalışıyor

Lütfen Giriş yap yada Kayıt ol