NAT, TP 모드 별 VLAN 설정, Forward-Domain 설정

몇몇의 고객사에서는 VLAN 구성을 사용하기에 포트별로 VLAN 태깅 ID를 설정해 주어야한다.

 

● VLAN 사용 목적

하단 스위치에서 올라오는 클라이언트들의 수가 100명이라고 하면 보안 장비 및 네트워크 장비에는

100명의 대역에 대한 로그가 찍혀 침해사고 및 장애가 났을 경우 좀 더 찾기 어려울 수 있고,

1개의 대역에 100명이 속한다면 그만큼 트래픽이 과부하가 될 것이기에 통신의 환경 및 장애 처리 등등

여러가지 이유에서 VLAN을 사용한다.

 

● VLAN 설정 방법

일반적인 네트워크 장비에서는 포트끼리 VLAN 태깅 ID만 맞추면 통신이 가능하지만,

그렇게 되면 이 글을 쓰는 의미가 없어지기에 Fortigate는 모드별로 세팅해야 할 값이 있다.

이 설정을 빼먹을 시 Broadcast Storm으로 인한 Looping이 생길 수 있으므로 확실한 확인 필요

 

 

● NAT모드 VLAN 세팅

첫 번째 장비 세팅

 

두 번째 장비 세팅

 

 

 

VLAN ID가 다를 경우 - 통신 실패

 

 

● TP모드 VLAN 세팅

VLAN ID를 맞춰도 통신이 안됩니다.

 

통신이 안되는 이유는 TP모드에서의 VLAN 통신 간에는 VLAN ID 뿐만 아니라

"포워드 도메인"이라는 것을 설정 해야 합니다.

 

만약 TP모드 VLAN설정 후 포워드 도메인 미설정으로 포트를 꽂았다가는??

 

포트를 꽂은 후

지금은 테스트 상태라 독립된 세그먼트라 상관 없지만 만약

이게 기업 네트워크면 해당 세그먼트 구간의 전체 네트웍이 마비가 될 수 있다.

 

이러한 상황을 회피하기 위해서는 Forward Domain을 꼭 설정해야한다.이미 VLAN인터페이스가 정책에 참조된 상태라면 정책을 전부 삭제해야 하기에 정책 생성 전 설정을 권고

 

통신 성공!