Está en la página 1de 8

18/10/13

Cómo Configurar Dominios Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM

Base Conocimientos JM

Cómo Configurar Dominios Virtuales (VDOMs) en un FortiGate

Autor Natanael Calderon Cabrera April 14, 2010 | Imprimir | Agregar a favoritos

Cómo Configurar Dominios Virtuales (VDOMs) en un FortiGate

FortiOS

4.0

Modelo

Todos los modelos FortiGate

Condición

-

Un Dominio Virtual (VDOM) en FortiGate no es mas que una forma de dividir de forma lógica un FortiGate, de tal manera que pueda tener varios FortiGates que operen de forma diferente en el mismo Hardware. (Vease capacidad de VDOM máximos por modelo de FG).

Esta funcionalidad nos puede ser muy útiles si se desea tener diferentes redes separadas con diferentes administradores de seguridad. Por ejemplo, un consorcio que tiene varias empresas, que comparten un mismo espacio físico, pero que tienen redes de Datos totalmente diferentes, y que para ahorrar costos deciden comprar un solo hardware a través del cual, podrán brindar toda la seguridad para sus usuarios de red, pero de forma separada.

Dicho esto, podemos hacer diferentes tipos de configuraciones para dependiendo de nuestras necesidades.

En esta guía mostraremos cómo crear VDOMs y de qué manera se pueden estos administrar. Para lo que se debe tomar en cuenta lo siguiente:

*** Se puede crear VDOMs para operar en Modo Transparente o Modo NAT/Route, de forma simultánea dentro del mismo FortiGate. *** Por default, es el VDOM "root" el encargado de la administración. Ya que es el vdom por defecto, aunque esto se puede cambiar via GUI. *** Se puede crear usuarios específicos para cada VDOM, siempre y cuando no se dejen con el perfil de administración de "super_admin". Puede ver Cómo Crear Usuarios de Administración en un FortiGate, en caso que se requiera crear usuarios diferentes. Ya que este perfil de administración, nos permite administrar cualquier funcionalidad dentro del FortiGate, inculyendo todos los VDOMs que se tengan creados.

Configuración vía GUI Una vez definida la cantidad de VDOMs que vamos a utilizar, ya podemos proceder a hacer las configuraciones necesarias.

Paso 1:

Debido a que esta es una función que por defecto viene desabilitada, es necesario habilitarla desde la GUI navegando en:

System >> Dashboard >> Sistem Information >> Virtual Domain (Es esta dentro de los Widgets del Dashboard). Ver figura 1. en donde daremos click en la opción de [Enable]. Figura 1.

Habilitando la función de VDOMs

NA V EGA R

Buscar

Buscar

Buscar
Buscar

C A T EGORÍ A S

BlueCoat (26)

Dlink (2)

Otros (9)

Ubuntu (15)

(5) Ubuntu (15) Videovigilancia IP (0) Wireless Switch (0) www.soportejm.com.sv/kb/index.php/article/fg-vdoms 1/8
(5) Ubuntu (15) Videovigilancia IP (0) Wireless Switch (0) www.soportejm.com.sv/kb/index.php/article/fg-vdoms 1/8
(5) Ubuntu (15) Videovigilancia IP (0) Wireless Switch (0) www.soportejm.com.sv/kb/index.php/article/fg-vdoms 1/8

18/10/13

Cómo Configurar Dominios Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM

Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM Luego nos aparecerá una alarma que nos
Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM Luego nos aparecerá una alarma que nos

Luego nos aparecerá una alarma que nos indica que será necesario que nos autentiquemos nuevamente en caso de Habilitar la función de VDOM. Figura 2, para lo que será necesario hacer click en OK. Figura 2.

2, para lo que será necesario hacer click en OK. Figura 2. Notese que desde que

Notese que desde que activa la función de VDOMs el Menú Pricipal ha cambiado.

Paso 2:

Una vez realizado el paso 1, ahora ya nos aparecerá un menú diferente, donde ya podremos seleccionar el tab de VDOM dentro de System >> VDOM >> Create New. Es en este lugar, donde podremos crear los VDOMs que se requieran ,

tal como se muestra en la figura 3. De este modo para esta guía crearemos 3 VDOMs (VDOM Ingenieria, Finanzas, Diseno), mas el "root" que siempre estará por defecto. Figura 3.

Declaración de los VDOMs.

estará por defecto. Figura 3. Declaración de los VDOMs. Asi como en la figura 3, crearemos

Asi como en la figura 3, crearemos cada uno de los VDOMs necesarios.

Paso 3:

A partir de la versión de FortiOS 4.0 MR1, ya se nos permite hacer distribución de recursos para cada vdom, tal como se muestra en la figura 4, por lo que desde System >> VDOM >> Edit ya podremos editar cada uno de estos VDOMs para proporcionarles diferentes tipos de recursos. Figura 4.

Administrar los recursos de cada VDOM.

18/10/13

Cómo Configurar Dominios Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM

Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM Esto es opcional, pero en algunas ocaciones

Esto es opcional, pero en algunas ocaciones puede ser necesario, dependiendo de la claridad que tengamos sobre los recursos que pueda requerir cada uno de los dominios creados. En caso de no parametrizar estos valores, el FG repartirá los recursos totales, dependiendo de la demanda de cada uno de estos dominios.

Paso 4:

Ahora ya podremos administrar la funcionalidades por separado de cada uno de nuestros VDOMs. Para lo cual es necesario tomar en cuenta que habrá configuraciones que unicamente se podrán hacer dentro de cada Dominio, los cuales serán completamente independientes y otros que serán aplicadas de forma Global, lo cual afectará a todos los vdoms. En la tabla siguiente se muestra las funcionalidades que se podran hacer de forma Global

Administrar los VDOMs

Tabla de Configuraciones que se harán de forma Global para todos los VDOMs:

MENU

Objetos Configurables

System

Physical and virtual interfaces DNS settings Dead gateway detection Host name System Time Firmware version Idle and authentication timeout Web-based manager language LCD panel PIN, where applicable Wireless Settings, where applicable VDOM Global Resources HA configuration SNMP configuration Replacement messages Administrators Certificates Central Management

18/10/13

Cómo Configurar Dominios Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM

 

Maintenance

User

Dynamic Profile

UTM

AntiVirus, Quarantine

AntiVirus, Configuration

Antivirus, Grayware

Log & Report

Log Configuration

Tal como se muestra en la figura 5, ahora cada configuración de VDOM será independiente en base a la primera tabla de arriba, y podremos entrar en la configuración de cada uno dando click en cada uno de los VDOMs desde System >> VDOM. Figura 5.

uno de los VDOMs desde System >> VDOM . Figura 5. Una vez estemos dentro de

Una vez estemos dentro de un VDOM, ya podremos hacer las configuraciones de las funcionalidades en base a la siguiente tabla:

Tabla de Configuraciones Independiente por cada VDOM

MENU

Parámetros Configurables

System

Zone Web Proxy Routing Table (Transparent mode) Modem Wireless DHCP Operation mode (NAT/Route or Transparent) Management IP (Transparent mode)

Router

Static

Dynamic

Monitor

Firewall

Policy

Address

Service

Schedule

Traffic Shaper

Virtual IP

Load Balance

Protection Profile

UTM

AntiVirus Intrusion Protection Web Filter AntiSpam Data Leak Protection Application Control

VPN

IPSec

SSL

User

Local

Remote

Directory Service

PKI

User Group

Options

Monitor

Wan Opt. & Cache

Rule

18/10/13

Cómo Configurar Dominios Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM

 

Peer

Monitor

Cache

End Point Control

Endpoints

FortiClient

Software Detection

Log & Report

Log Config

Log Access

Content Archive

Report Config

Report Access

Paso 5:

Al final del Menú Principal (Menú Vertical), aparece la Opción de "Current VDOM" (Vease figura 6), donde se nos indica con qué VDOM estamos trabajando, donde tambien podemos cambiarnos de VDOM en caso de ser necesario. Figura 6.

Navegar entre diferentes VDOMs

de ser necesario. Figura 6. Navegar entre diferentes VDOMs Paso 6: Como ya hemos explicado en

Paso 6:

Como ya hemos explicado en el paso 4, algunas configuraciones las haremos desde el Global y otras desde cada uno de los VDOMs, por lo tanto, la asignación de las interfaces en cada uno de los Dominios se configuran desde el GLOBAL. Para esto es necesario tener claro, la cantidad y qué interfaces asignaremos para cada uno. Donde se debe tomar en cuenta que cada interface solo puede pertenecer a un VDOM específico.

Para configurar las interfaces, navegamos en (Desde Global): System >> Network >> Interface donde editamos cada una de las interfaces, ver figura 7. Para este caso, estamos utilizando un FG310B, por lo tanto las interfaces estan

nombradas como: Port1 Figura 7

Asignar Interfaces a los Diferentes VDOMs

Port10

18/10/13

Cómo Configurar Dominios Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM

Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM Asi tal cual se muestra en la

Asi tal cual se muestra en la figura 7, se puede asignar cada una de las interfaces a los diferentes VDOMs creados.

Paso 7:

Ya explicábamos anteriormente que cuando creamos VDOM, podemos tambien crear usuarios administradores que solo pueden administrar un VDOM específico. Para crear un usuario administrador ver la guía de Cómo Crear Usuarios de Administración en un FortiGate.

Crear usuarios administradores por VDOM.

Paso 8:

Cuando ya hemos creado los VDOMs, cada uno es completamente independiente entre sí, po lo tanto si deseamos pasar tráfico entre los mismos, será necesario, buscar una forma de interconectarlos, para lo cual tenemos dos opciones:

*** Hacer interconexiones físicas con Patchcords entre una interface de un VDOMx hacia otra Interface de un VDOMy Una véz internocentadas las interfaces, podremos hacer ruteo y politicas de firewall entre las interfaces. Para ver información sobre ruteo ver la guía Cómo Configurar Rutas Estáticas en un FortiGate *** Crear Interfaces lógicas de interconexión entre VDOM llamadas "VDOM Link". Para crear un VDOM Link, navegamos en : System >> Network >> Interface (ver figura 8) Figura 8.

Interconectar los VDOM entre sí.

18/10/13

Cómo Configurar Dominios Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM

Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM Una vez seleccionamos VDOM Link, podremos hacer

Una vez seleccionamos VDOM Link, podremos hacer las configuraciones de la insterface de Link Vitual. Ver figura 9. Recuerdese que estas son Interfaces Virtuales, por lo tanto se crean a nivel de Software. Ademas solo se podran crear entre 2 VDOMs que esten en MODO NAT/Route (No funcionan en modo Transparente). Figura 9.

NAT/Route (No funcionan en modo Transparente). Figura 9. Nombre: una de las Interfaces. Interface: Virtual Domain:

Nombre:

una de las Interfaces.

Interface:

Virtual Domain:

seleccionar dos VDOM; uno en la Interface #0 y otro en la Interface #1 donde se escogeran ambos VDOMs que se

requiere interconectar.

IP/Netmask:

Administrative Access:

Un nombre para identificar el Link que estamos creando, el cual servirá como base para el nombre de cada

El nombre que automáticamente toma la interface nueva que se está creando.

Se debe seleccionar el VDOM para el cual se quiere hacer crear la Interface. Notese que es necesario

La IP que se le asignará a cada Interface Lógica.

Si se requiere dejar permisos de administración al FG via esas Interfaces.

Con esto, ya tendremos dentro del VDOM "ROOT" una Interface llamada "Root_Diseno0" y dentro del VDOM "Diseno" la interface llamada "Root_Diseno1", las cuales podran ser utilizadas como cualquier otro objeto mas de configuración en los Dominios Virtuales, en secciones tales como : VPN IPSec, Routing, Address, Firewall Policies, etc.

Relacionados :

18/10/13

Cómo Configurar Dominios Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM

Referencias:

¿Encuentras este artículo de utilidad?

Si

¿Encuentras este artículo de utilidad? Si No Valorar Categoría: FortiGates Última actualización

No

Valorar
Valorar

Categoría: FortiGates Última actualización April 14, 2010 with 5484 views