Professional Documents
Culture Documents
100D
1. Introduccin ........................................................................................................................................ 3
2. Escenario ............................................................................................................................................. 3
3. Tareas para realizar en el laboratorio ................................................................................................. 4
3.1 Administracin del Firewall ............................................................................................................. 4
3.2 Definir y configurar las interfaces que utilizaremos como Lan1 y Lan2.......................................... 4
3.3 Configurar Interfaces WAN1 y WAN2 ............................................................................................. 7
3.4 Configurar rutas por defecto para cada red LAN a travs de polticas de ruteo (Policy Routing) .. 8
3.5 Crear los objetos que se utilizaran luego en las polticas del firewall, para Lan1 y Lan2.............. 10
3.6 Crear una poltica de salida a internet (Nat overload o Source Nat) tanto para Lan1 y Lan2 ...... 12
1. Introduccin
Este documento describe la ejecucin de un laboratorio para implementar un equipo Firewall marca
Fortinet modelo 100D, en el escenario donde existan 2 proveedores de servicio de internet (ISP). La idea
de esta demostracin es que cada red LAN utilice un enlace de salida a internet independiente, para lo
cual configuraremos dos rutas por defecto basado en polticas de enrutamiento.
2. Escenario
En el siguiente diagrama (Fig-1) presentado a continuacin, se observan 2 redes LAN cada una con
direccionamiento privado del rango 172.16.10.0/24(LAN1) y 172.16.20.0/24(LAN2), las cuales se
interconectan con el Firewall Fortinet 100D empleado para la demostracin.
Fig-1 Diagrama Laboratorio
3. Tareas para realizar en el laboratorio
Para conectarse al dispositivo, debemos abrir una ventana de nuestro browser de Internet (Chrome,
Firefox, Safari, etc.) y en la barra de direcciones escribir la siguiente URL http://192.168.1.99 para lo cual
deberemos configurar el adaptador de red de nuestro laptop con alguna ip del rango 192.168.1.0/24.
Como se puede apreciar, luego de escribir la URL se despliega la interfaz grfica de inicio de sesin, en
donde se solicitan las credenciales de acceso, ver Fig-2.
Seleccionamos con doble click el puerto que utilizaremos en la implementacin para editar la interfaz, en
este caso vamos a usar el port5 para configurar la red LAN1, luego en las opciones de edicin nos
aparecen los campos necesarios para configurar como: IP/Mascara/Rol. Ver fig-4. Luego le damos OK para
guardar los cambios.
Fig-4 Edicin de la Interfaz PORT 5
Luego realizamos la misma accin para configurar la interfaz Port10 la cual se utilizar para la red LAN2
segn el diagrama descrito al inicio de este documento. Ver fig-5
Basados en la misma metodologa descrita en el paso anterior de las Interfaces LAN, procederemos a
configurar las interfaces WAN1 y WAN2 ver Fig-6
3.4 Configurar rutas por defecto para cada red LAN a travs de
polticas de ruteo (Policy Routes)
A continuacin, explicaremos la creacin de las rutas por defecto. Dado que son dos redes LAN
diferentes, las cuales utilizaran cada una un enlace a internet independiente, debemos crear una
poltica de enrutamiento para cada red (LAN1 y 2). Por consiguiente, debemos ir al men NETWORK
luego hacer click en el submen POLICY ROUTES, para agregar una poltica debemos hacer click en
el botn CREATE NEW.
Fig-9 Policy Routes
Primero crearemos la poltica para la red LAN1, en donde indicamos los siguientes parmetros:
Protocol (ANY), Interfaz por donde ingresa el trfico(port5(LAN1)), el segmento de red de origen
(172.16.10.0/255.255.255.0), red de destino (0.0.0.0.0/0.0.0.0), la interfaz de salida(WAN1) y por
ltimo la direccin ip del default Gateway del ISP1(10.100.5.254), por ultimo le damos OK para
terminar de crearla. Ver fig-10
Fig-10 Edit Routing Policy
Dado el ejemplo anterior, hacemos el mismo mtodo para la ruta de la red LAN2ISP2 ver fig-12
Fig-12 Edit Routing Policy
Como se observa en la fig-13, las 2 rutas fueron creadas correctamente.
3.5 Crear los objetos que se utilizaran luego en las polticas del
firewall para Lan1 y Lan2
Antes de crear las polticas que nos darn la salida hacia internet, debemos crear los objetos con los
cuales se conformarn dichas polticas, para ello debemos ir al men POLICY & OBJECTS, luego
hacemos click en la opcin ADDRESSES ver fig-14, luego para crear un objeto pinchamos CREATE
NEW
Fig-14 Addresses
Crearemos un objeto para la red LAN1 en donde declaramos, nombre del
objeto(Lan_172.16.10.0), red/mascara (172.16.10.0/255.255.255.0) y la interfaz(port5(LAN1)),
adems podemos agregar un comentario referente al Objeto(LAN_1). Luego de escribir todos los
parmetros, le damos OK para crearlo. Ver fig-15
Dado el ejemplo anterior, creamos un objeto para LAN2 de la misma forma. Ver fig-16
Fig.- 16 Edit Address
3.6 Crear una poltica de salida a internet (Nat overload o Source Nat)
tanto para Lan1 y Lan2
Para crear una poltica debemos ir al men POLICY & OBJECTS luego pinchamos la opcin IPv4
POLICY y hacemos click en el botn CREATE NEW, ver fig-17
Para la poltica referente a LAN1, debemos ir completando los siguientes campos que se
describen en la siguiente figura, en donde declaramos: Nombre de la Poltica, Interfaz de
entrada, interfaz de salida, direccin de origen(objeto), direccin de destino(objeto) y los
servicios (puerto tcp/udp) que sern permitidos, adems debemos habilitar la opcin de NAT e
indicar en IP POOL CONFIGURATION que los equipos de la red LAN1 se presentarn con la
misma direccin de la interfaz de salida, por lo cual dejamos al opcin por defecto USE
OUTGOING INTERFACE ADDRESS, para terminar le damos OK ver fig-18.
Fig-18 Edit Policy (LAN1)
Dado el ejemplo de la poltica para la red LAN1, utilizamos el mismo mtodo para crear la poltica
correspondiente a LAN2, ver fig-19