18/10/13
Cómo C onfi g ur ar Do Domini os Vi r tuales ( VDOM s) en en un For ti Gate | Ba Base Conoci mi entos JM
Base Conocimientos JM Cómo Configurar Domini D ominios os Virtuales Virtuales (VDOMs) en un FortiGate Autor Natanael Calderon Calderon Cabrera April 14, 20 10 | Imprimir Imprimir | | Agregar Agregar a favoritos favoritos Cómo Cóm o Configurar Dom Domini inios os Virtuales (V DOMs) DOMs) en un FortiGate Fort iGate
FortiOS
4.0
Modelo
T odos los modelos FortiGate
Condición
-
NAVEGAR
Inicio Base de Conocimientos Todos los artículos Glosario
Buscar
CATEGORÍAS
Allied Teles yn yn (0) (0) BlueCoat (26) BlueCoat (26) Dlink (2) (2)
Un Dominio Virtual (VDOM) en FortiGate FortiGate no no es mas que una forma de dividir dividir de de forma lógica un FortiGate, de tal manera que pueda tener varios FortiGates FortiGates que que operen de forma diferente en el el mismo mismo Hardware. (Vease capacidad de VDOM máximos por modelo de FG). Esta funcionalidad nos puede ser muy útiles si se desea tener diferentes diferentes redes redes separadas con diferentes administradores de seguridad. Por ejemplo, un consorcio que tiene varias empresas, que que comparten comparten un mismo espacio físico, pero que tienen redes de Datos Datos totalmente totalmente diferentes, y que para ahorrar costos deciden comprar un solo hardware a través del cual, podrán brindar toda la seguridad para sus usuarios de red, pero de forma separada.
Extreme Networks (3) Networks (3) FortiAnalyzer (2) FortiAnalyzer (2) Forticlient (3) Forticlient (3) FortiDB (3) FortiDB (3) FortiGates (44) FortiGates (44) FortiMails (4) FortiMails (4)
Dicho esto, podemos hacer diferentes tipos de configuraciones para dependiendo de nuestras necesidades.
FortiManager (0) FortiManager (0) FortiVoice (7) FortiVoice (7)
En esta guía mostraremos cómo cómo crear VDOMs VDOMs y de qué manera se pueden pueden estos administrar. estos administrar. Para lo que se debe tomar en cuenta lo siguiente: *** Se puede crear VDOMs para operar en Modo Transparente o Modo NAT/Route, de forma simultánea dentro del mismo FortiGate. ** * Por default, es el VDOM "root" el encargado de de la administración. Ya que es el vdom por defecto, defecto, aunque esto se puede cambiar via GUI. *** Se puede crear usuarios específicos para cada VDOM, siempre y cuando no se dejen con el perfil de administración de "super_admin". Puede ver Cómo Crear Usuarios de Administración en un FortiGate, FortiGate, en caso que se requiera crear usuarios diferentes. Ya que este perfil de administración, nos permite administrar cualquier funcionalidad dentro del FortiGate, inculyendo todos los VDOMs que se tengan creados.
FortiWEB (0) FortiWEB (0) Mitel Networks (1) Networks (1) Otros (9) Otros (9) RedLine (5) RedLine (5) Ubuntu (15) Ubuntu (15) Videovigilancia IP (0) IP (0) Wireless Switch (0) Switch (0)
Configuración vía GUI
Una vez definida la cantidad de VDOMs que vamos a utilizar, ya podemos proceder a hacer las configuraciones necesarias. Habilitando la función de VDOMs Debido a que esta es una función que por defecto viene desabilitada, es necesario habilitarla desde la GUI navegando en: System >> Dashboard >> Sistem Information >> Virtual Domain (Es esta dentro de los Widgets del Dashboard). Ver figura 1. en donde daremos click en la opción de [Enable]. Figura 1. Paso 1:
www.sopor tejm.com.sv/kb/i ndex.php/ar ti cle/fg - vdoms
1/8
18/10/13
Cómo Configurar Dominios Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM
Luego nos aparecerá una alarma que nos indica que será necesario que nos autentiquemos nuevamente en caso de Habilitar la función de VDOM. Figura 2, para lo que será necesario hacer click en OK. Figura 2.
Notese que desde que activa la función de VDOMs el Menú Pricipal ha cambiado. Declaración de los VDOMs. Una vez realizado el paso 1, ahora ya nos aparecerá un menú diferente, donde ya podremos seleccionar el tab de VDOM dentro de System >> VDOM >> Create New. Es en este lugar, donde podremos crear los VDOMs que se requieran , tal como se muestra en la figura 3. De este modo para esta guía crearemos 3 VDOMs (VDOM Ingenieria, Finanzas, Diseno), mas el "root" que siempre estará por defecto. Figura 3. Paso 2:
Asi como en la figura 3, crea remos cada uno de los V DOMs necesarios. Paso 3: Administrar los recursos de cada VDOM. A partir de la versión de For tiOS 4.0 MR1, ya se nos permite hace r distribución de recursos para cada vdom, tal como se muestra en la figura 4, por lo que desde System >> VDOM >> Edit ya podremos editar cada uno de estos VDOMs para proporcionarles diferentes tipos de recursos. Figura 4.
www.soportejm.com.sv/kb/index.php/article/fg-vdoms
2/8
18/10/13
Cómo Configurar Dominios Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM
Esto es opcional, pero en algunas ocaciones puede ser necesario, dependiendo de la claridad que tengamos sobre los recursos que pueda requerir cada uno de los dominios creados. En caso de no parametrizar estos valores, el FG repartirá los recursos totales, dependiendo de la demanda de cada uno de estos dominios. Paso 4: Administrar los VDOMs Ahora ya podremos administrar la funcionalidades por separado de cada uno de nuestros VDOMs. Para lo cual e s necesario tomar en cuenta que habrá configuraciones que unicamente se podrán hacer dentro de cada Dominio, los cuales serán completamente independientes y otros que serán aplicadas de forma Global, lo cual afectará a todos los vdoms. En la tabla siguiente se muestra las funcionalidades que se podran hacer de forma Global Tabla de Configuraciones que se harán de forma Global para todos los VDOMs: MENU
Objetos Configurables
System
Physical and virtual interfaces DNS settings Dead gateway detection Host name System Time Firmware version Idle and authentication timeout Web-based manager language LCD panel PIN, where applicable Wireless Settings, where applicable VDOM Global Resources HA configuration SNMP configuration Replacement messages Administrators Certificates Central Management
www.soportejm.com.sv/kb/index.php/article/fg-vdoms
3/8
18/10/13
Cómo Configurar Dominios Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM
Maintenance User
Dynamic Profile
UTM
AntiVirus, Quarantine AntiVirus, Configuration Antivirus, Grayware
Log & Report
Log Configuration
Tal como se muestra en la figura 5, ahora cada configuración de VDOM será independiente en base a la primera tabla de arriba, y podremos entrar en la configuración de cada uno dando click en cada uno de los VDOMs desde System >> VDOM. Figura 5.
Una vez estemos dentro de un VDOM, ya podremos hacer las configuraciones de las funcionalidades en base a la siguiente tabla: Tabla de Configuraciones Independiente por cada VDOM MENU
Parámetros Configurables
System
Zone Web Proxy Routing Table (Transparent mode) Modem Wireless DHCP Operation mode (NAT/Route or Transparent) Management IP (Transparent mode)
Router
Static Dynamic Monitor
Firewall
Policy Address Service Schedule Traffic Shaper Virtual IP Load Balance Protection Profile
UTM
AntiVirus Intrusion Protection Web Filter AntiSpam Data Leak Protection Application Control
VPN
IPSec SSL
User
Local Remote Directory Service PKI User Group Options Monitor
Wan Opt. & Cache
Rule
www.soportejm.com.sv/kb/index.php/article/fg-vdoms
4/8
18/10/13
Cómo Configurar Dominios Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM
Peer Monitor Cache End Point Control
Endpoints FortiClient Software Detection
Log & Report
Log Config Log Access Content Archive Report Config Report Access
Paso 5: Navegar entre diferentes VDOMs Al final del Menú Principal (Menú Vertical), aparece la Opción de "Current VDOM" (Vease figura 6), donde se nos indica con qué VDOM estamos trabajando, donde tambien podemos cambiarnos de VDOM en caso de ser necesario. Figura 6.
Asignar Interfaces a los Diferentes VDOMs Como ya hemos explicado en el paso 4, algunas configuraciones las haremos desde el Global y otras desde cada uno de los VDOMs, por lo tanto, la asignación de las interfaces en cada uno de los Dominios se configuran desde el GLOBAL. Para esto es necesario tener claro, la cantidad y qué interfaces asignaremos para cada uno. Donde se debe tomar en cuenta que cada interface solo puede pertenecer a un VDOM específico. Para configurar las interfaces, navegamos en (Desde Global): System >> Network >> Interface donde editamos cada una de las interfaces, ver figura 7. Para este caso, estamos utilizando un FG310B, por lo tanto las interfaces estan nombradas como: Port1...Port10 Figura 7 Paso 6:
www.soportejm.com.sv/kb/index.php/article/fg-vdoms
5/8
18/10/13
Cómo Configurar Dominios Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM
Asi tal cual se mues tra en la figura 7, se puede asignar cada una de las interfaces a los diferentes VDOMs creados. Crear usuarios administradores por VDOM. Ya explicábamos anteriormente que cuando creamos V DOM, podemos tambien crear usuarios administradore s que solo pueden administrar un VDOM específico. Para crear un usuario administrador ver la guía de Cómo Crear Usuarios de Administración en un FortiGate. Paso 7:
Interconectar los VDOM entre sí. Cuando ya hemos creado los VDOMs, cada uno es completamente independiente entre sí, po lo tanto si deseamos pasar tráfico entre los mismos, será necesario, buscar una forma de interconectarlos, para lo cual tenemos dos opciones: *** Hacer interconexiones físicas con Patchcords entre una interface de un VDOMx hacia otra Interface de un VDOMy Una véz internocentadas las interfaces, podremos hacer ruteo y politicas de firewall entre las interfaces. Para ver información sobre ruteo ver la guía Cómo Configurar Rutas Estáticas en un FortiGate *** Crear Interfaces lógicas de interconexión entre VDOM llamadas "VDOM Link ". Para crear un VDOM Link, navegamos en : System >> Network >> Interface (ver figura 8) Figura 8. Paso 8:
www.soportejm.com.sv/kb/index.php/article/fg-vdoms
6/8
18/10/13
Cómo Configurar Dominios Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM
Una vez seleccionamos VDOM Link, podremos hacer las configuraciones de la insterface de Link Vitual. Ver figura 9. Recuerdese que estas son Interfaces Virtuales, por lo tanto se crean a nivel de Software. Ademas solo se podran crear entre 2 VDOMs que esten en MODO NAT/Route (No funcionan en modo Transparente). Figura 9.
Un nombre para identificar el Link que estamos creando, el cual servirá como base para el nombre de cada una de las Interfaces. Interface: El nombre que automáticamente toma la interface nueva que se está creando. Virtual Domain: Se debe seleccionar el VDOM para el cual se quiere hacer crear la Interface. Notese que es necesario seleccionar dos VDOM; uno en la Interface #0 y otro en la Interface #1 donde se escogeran ambos VDOMs que se requiere interconectar. IP/Netmask: La IP que se le asignará a cada Interface Lógica. Administrat ive Acce ss: Si se requiere dejar permisos de administración al FG via esas Interfaces. Nombre:
Con esto, ya tendremos dentro del VDOM "ROOT" una Interface llamada "Root_Diseno0" y dentro del VDOM "Diseno" la interface llamada "Root_Diseno1", las cuales podran ser utilizadas como cualquier otro objeto mas de configuración en los Dominios Virtuales, en secciones tales como : VPN IPSec, Routing, Address, Firewall Policies, etc.
Relacionados :
Cómo Configurar un Cluster Virtual con Balance de Carga en Fortigate 4.0 MR2 Cómo Agregar Widgets y Customize Profiles en FortiGates Como configurar las Interfaces de un FortiGate de Switch mode a Interface mode www.soportejm.com.sv/kb/index.php/article/fg-vdoms
7/8
18/10/13
Cómo Configurar Dominios Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM
Configuración de FortiGate como Proxy Explícito Cómo Configurar un S ervidor DNS en un FortiGate
Referencias:
http://kb.fortinet.com http://docs.fortinet.com/
¿Encuentras este artículo de utilidad?
Si
No
Valorar
Categoría: FortiGates
Última actualización April 14, 2010 w ith 5484 views
www.soportejm.com.sv/kb/index.php/article/fg-vdoms
8/8
