18/10/13

Cmo Configurar Dominios Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM

Base Conocimientos JM Cmo Configurar Dominios Virtuales (VDOMs) en un FortiGate

Autor Natanael Calderon Cabrera April 14, 2010 | Imprimir | Agregar a favoritos
NA V EG A R

Inicio Base de Conocimientos Todos los artculos Glosario

Cmo Configurar Dominios Virtuales (VDOMs) en un FortiGate FortiOS Modelo Condicin 4.0 Todos los modelos FortiGate -

Buscar
C A T EG O R A S

Allied Telesyn (0) BlueCoat (26) Dlink (2)

Un Dominio Virtual (VDOM) en FortiGate no es mas que una forma de dividir de forma lgica un FortiGate, de tal manera que pueda tener varios FortiGates que operen de forma diferente en el mismo Hardware. (Vease capacidad de VDOM mximos por modelo de FG). Esta funcionalidad nos puede ser muy tiles si se desea tener diferentes redes separadas con diferentes administradores de seguridad. Por ejemplo, un consorcio que tiene varias empresas, que comparten un mismo espacio fsico, pero que tienen redes de Datos totalmente diferentes, y que para ahorrar costos deciden comprar un solo hardware a travs del cual, podrn brindar toda la seguridad para sus usuarios de red, pero de forma separada.

Extreme Networks (3) FortiAnalyzer (2) Forticlient (3) FortiDB (3) FortiGates (44) FortiMails (4)

Dicho esto, podemos hacer diferentes tipos de configuraciones para dependiendo de nuestras necesidades. En esta gua mostraremos cmo crear VDOMs y de qu manera se pueden estos administrar. Para lo que se debe tomar en cuenta lo siguiente: *** Se puede crear VDOMs para operar en Modo Transparente o Modo NAT/Route, de forma simultnea dentro del mismo FortiGate. *** Por default, es el VDOM "root" el encargado de la administracin. Ya que es el vdom por defecto, aunque esto se puede cambiar via GUI. *** Se puede crear usuarios especficos para cada VDOM, siempre y cuando no se dejen con el perfil de administracin de "super_admin". Puede ver Cmo Crear Usuarios de Administracin en un FortiGate, en caso que se requiera crear usuarios diferentes. Ya que este perfil de administracin, nos permite administrar cualquier funcionalidad dentro del FortiGate, inculyendo todos los VDOMs que se tengan creados.

FortiManager (0) FortiVoice (7) FortiWEB (0) Mitel Networks (1) Otros (9) RedLine (5) Ubuntu (15) Videovigilancia IP (0) Wireless Switch (0)

Configuracin va GUI Una vez definida la cantidad de VDOMs que vamos a utilizar, ya podemos proceder a hacer las configuraciones necesarias. Paso 1: Habilitando la funcin de VDOMs

Debido a que esta es una funcin que por defecto viene desabilitada, es necesario habilitarla desde la GUI navegando en: System >> Dashboard >> Sistem Information >> Virtual Domain (Es esta dentro de los Widgets del Dashboard). Ver figura 1. en donde daremos click en la opcin de [Enable]. Figura 1.

www.soportejm.com.sv/kb/index.php/article/fg-vdoms

1/8

18/10/13

Cmo Configurar Dominios Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM

Luego nos aparecer una alarma que nos indica que ser necesario que nos autentiquemos nuevamente en caso de Habilitar la funcin de VDOM. Figura 2, para lo que ser necesario hacer click en OK. Figura 2.

Notese que desde que activa la funcin de VDOMs el Men Pricipal ha cambiado. Paso 2: Declaracin de los VDOMs.

Una vez realizado el paso 1, ahora ya nos aparecer un men diferente, donde ya podremos seleccionar el tab de VDOM dentro de System >> VDOM >> Create New. Es en este lugar, donde podremos crear los VDOMs que se requieran , tal como se muestra en la figura 3. De este modo para esta gua crearemos 3 VDOMs (VDOM Ingenieria, Finanzas, Diseno), mas el "root" que siempre estar por defecto. Figura 3.

Asi como en la figura 3, crearemos cada uno de los VDOMs necesarios. Paso 3: Administrar los recursos de cada VDOM.

A partir de la versin de FortiOS 4.0 MR1, ya se nos permite hacer distribucin de recursos para cada vdom, tal como se muestra en la figura 4, por lo que desde System >> VDOM >> Edit ya podremos editar cada uno de estos VDOMs para proporcionarles diferentes tipos de recursos. Figura 4.

www.soportejm.com.sv/kb/index.php/article/fg-vdoms

2/8

18/10/13

Cmo Configurar Dominios Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM

Esto es opcional, pero en algunas ocaciones puede ser necesario, dependiendo de la claridad que tengamos sobre los recursos que pueda requerir cada uno de los dominios creados. En caso de no parametrizar estos valores, el FG repartir los recursos totales, dependiendo de la demanda de cada uno de estos dominios. Paso 4: Administrar los VDOMs Ahora ya podremos administrar la funcionalidades por separado de cada uno de nuestros VDOMs. Para lo cual es necesario tomar en cuenta que habr configuraciones que unicamente se podrn hacer dentro de cada Dominio, los cuales sern completamente independientes y otros que sern aplicadas de forma Global, lo cual afectar a todos los vdoms. En la tabla siguiente se muestra las funcionalidades que se podran hacer de forma Global Tabla de Configuraciones que se harn de forma Global para todos los VDOMs: MENU System Objetos Configurables Physical and virtual interfaces DNS settings Dead gateway detection Host name System Time Firmware version Idle and authentication timeout Web-based manager language LCD panel PIN, where applicable Wireless Settings, where applicable VDOM Global Resources HA configuration SNMP configuration Replacement messages Administrators Certificates Central Management

www.soportejm.com.sv/kb/index.php/article/fg-vdoms

3/8

18/10/13

Cmo Configurar Dominios Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM

Maintenance

User UTM

Dynamic Profile AntiVirus, Quarantine AntiVirus, Configuration Antivirus, Grayware

Log & Report

Log Configuration

Tal como se muestra en la figura 5, ahora cada configuracin de VDOM ser independiente en base a la primera tabla de arriba, y podremos entrar en la configuracin de cada uno dando click en cada uno de los VDOMs desde System >> VDOM. Figura 5.

Una vez estemos dentro de un VDOM, ya podremos hacer las configuraciones de las funcionalidades en base a la siguiente tabla: Tabla de Configuraciones Independiente por cada VDOM MENU System Parmetros Configurables Zone Web Proxy Routing Table (Transparent mode) Modem Wireless DHCP Operation mode (NAT/Route or Transparent) Management IP (Transparent mode) Router Static Dynamic Monitor Firewall Policy Address Service Schedule Traffic Shaper Virtual IP Load Balance Protection Profile UTM AntiVirus Intrusion Protection Web Filter AntiSpam Data Leak Protection Application Control VPN User IPSec SSL Local Remote Directory Service PKI User Group Options Monitor Wan Opt. & Cache Rule

www.soportejm.com.sv/kb/index.php/article/fg-vdoms

4/8

18/10/13

Cmo Configurar Dominios Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM

Peer Monitor Cache

End Point Control

Endpoints FortiClient Software Detection

Log & Report

Log Config Log Access Content Archive Report Config Report Access

Paso 5:

Navegar entre diferentes VDOMs

Al final del Men Principal (Men Vertical), aparece la Opcin de "Current VDOM" (Vease figura 6), donde se nos indica con qu VDOM estamos trabajando, donde tambien podemos cambiarnos de VDOM en caso de ser necesario. Figura 6.

Paso 6:

Asignar Interfaces a los Diferentes VDOMs

Como ya hemos explicado en el paso 4, algunas configuraciones las haremos desde el Global y otras desde cada uno de los VDOMs, por lo tanto, la asignacin de las interfaces en cada uno de los Dominios se configuran desde el GLOBAL. Para esto es necesario tener claro, la cantidad y qu interfaces asignaremos para cada uno. Donde se debe tomar en cuenta que cada interface solo puede pertenecer a un VDOM especfico. Para configurar las interfaces, navegamos en (Desde Global): System >> Network >> Interface donde editamos cada una de las interfaces, ver figura 7. Para este caso, estamos utilizando un FG310B, por lo tanto las interfaces estan nombradas como: Port1...Port10 Figura 7

www.soportejm.com.sv/kb/index.php/article/fg-vdoms

5/8

18/10/13

Cmo Configurar Dominios Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM

Asi tal cual se muestra en la figura 7, se puede asignar cada una de las interfaces a los diferentes VDOMs creados. Paso 7: Crear usuarios administradores por VDOM.

Ya explicbamos anteriormente que cuando creamos VDOM, podemos tambien crear usuarios administradores que solo pueden administrar un VDOM especfico. Para crear un usuario administrador ver la gua de Cmo Crear Usuarios de Administracin en un FortiGate. Paso 8: Interconectar los VDOM entre s.

Cuando ya hemos creado los VDOMs, cada uno es completamente independiente entre s, po lo tanto si deseamos pasar trfico entre los mismos, ser necesario, buscar una forma de interconectarlos, para lo cual tenemos dos opciones: *** Hacer interconexiones fsicas con Patchcords entre una interface de un VDOMx hacia otra Interface de un VDOMy Una vz internocentadas las interfaces, podremos hacer ruteo y politicas de firewall entre las interfaces. Para ver informacin sobre ruteo ver la gua Cmo Configurar Rutas Estticas en un FortiGate *** Crear Interfaces lgicas de interconexin entre VDOM llamadas "VDOM Link". Para crear un VDOM Link, navegamos en : System >> Network >> Interface (ver figura 8) Figura 8.

www.soportejm.com.sv/kb/index.php/article/fg-vdoms

6/8

18/10/13

Cmo Configurar Dominios Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM

Una vez seleccionamos VDOM Link, podremos hacer las configuraciones de la insterface de Link Vitual. Ver figura 9. Recuerdese que estas son Interfaces Virtuales, por lo tanto se crean a nivel de Software. Ademas solo se podran crear entre 2 VDOMs que esten en MODO NAT/Route (No funcionan en modo Transparente). Figura 9.

Nombre: Interface:

Un nombre para identificar el Link que estamos creando, el cual servir como base para el nombre de cada El nombre que automticamente toma la interface nueva que se est creando. Se debe seleccionar el VDOM para el cual se quiere hacer crear la Interface. Notese que es necesario

una de las Interfaces. Virtual Domain:

seleccionar dos VDOM; uno en la Interface #0 y otro en la Interface #1 donde se escogeran ambos VDOMs que se requiere interconectar. IP/Netmask: La IP que se le asignar a cada Interface Lgica. Si se requiere dejar permisos de administracin al FG via esas Interfaces. Administrative Access:

Con esto, ya tendremos dentro del VDOM "ROOT " una Interface llamada "Root_Diseno0" y dentro del VDOM "Diseno" la interface llamada "Root_Diseno1", las cuales podran ser utilizadas como cualquier otro objeto mas de configuracin en los Dominios Virtuales, en secciones tales como : VPN IPSec, Routing, Address, Firewall Policies, etc.

Relacionados : Cmo Configurar un Cluster Virtual con Balance de Carga en Fortigate 4.0 MR2 Cmo Agregar Widgets y Customize Profiles en FortiGates Como configurar las Interfaces de un FortiGate de Switch mode a Interface mode

www.soportejm.com.sv/kb/index.php/article/fg-vdoms

7/8

18/10/13

Cmo Configurar Dominios Virtuales (VDOMs) en un FortiGate | Base Conocimientos JM

Configuracin de FortiGate como Proxy Explcito Cmo Configurar un Servidor DNS en un FortiGate

Referencias: http://kb.fortinet.com http://docs.fortinet.com/

Encuentras este artculo de utilidad? Si No

Valorar

Categora: FortiGates ltima actualizacin April 14, 2010 with 5484 views

www.soportejm.com.sv/kb/index.php/article/fg-vdoms

8/8