教程篇(5.4) NSE4 13. 虚拟域 ❀ 飞塔 (Fortinet) 网络安全专家

在本课程中将向你展示如何配置虚拟域(VDOM)和常见的使用示例。这个课程也涵盖了VLAN的配置。

在完成这一课程之后，你应该具备创建VDOM和VLAN所需的实用技能。你还将学习限制分配给每个VDOM的资源，并创建每个VDOM管理帐户。这一课还涉及到inter-VDOM连接。

在本节中，我们将探索虚拟局域网(VLAN)。

VDOM是一个在FortiGate内的虚拟化，提供虚拟防火墙。接口有VDOM会员。包到达的接口决定了哪个VDOM处理流量。接口可以是物理的或逻辑的。IEEE 802.1 Q VLAN是用于FortiGate设备的逻辑接口。

　　VLAN将你的物理局域网分割成多个逻辑局域网。在NAT/路由模式下，每个VLAN形成一个单独的广播域。多个VLAN可以在相同的物理接口中共存。通过这种方式，物理接口被划分为两个或多个逻辑接口。每个以太网帧都添加了一个标记，以确定它所属的VLAN。

这里显示了一个以太网帧。帧包含目标和源MAC地址、类型、数据有效负载和CRC代码，以确认没有损坏。

　　在使用VLAN标签的以太网帧中，根据802.11 q标准，在MAC地址之后插入了4个字节。它们包含标识VLAN的ID号。

　　一个OSI二层的设备，比如交换机，可以在以太网帧中添加或删除这些标签，但不能改变它们。

　　一个三层设备，如路由器或FortiGate，可以在继续路由包之前改变VLAN标签。通过这种方式，他们可以在VLAN之间路由流量。

当在NAT/路由模式下操作时，FortiGate在最基本的配置中作为OSI三层路由运行。在这种模式下，VLAN是设备上的一个接口。VLAN标签可以在出口上添加，在入口上删除，或者根据路由决定重写。

在这个NAT/路由模式的示例中，VLAN 100上的主机将一个帧发送到VLAN 300上的主机上。在未标记的VLAN 100接口上交换一个接收帧。在此之后，它在交换机A和FortiGate之间添加了VLAN 100标记。

　　FortiGate在VLAN 100接口上接收帧。然后，它将从VLAN 100的流量路由到VLAN 300，在过程中重写VLAN ID到VLAN 300。

　　交换机B接收VLAN主干接口上的帧，并删除VLAN标记，然后在未标记的VLAN 300接口上将帧转发到其目的地。

要从GUI创建VLAN，请单击create New并选择VLAN作为类型。你必须指定VLAN ID和VLAN将被绑定到的物理接口。属于该类型接口的帧总是被标记。另一方面，物理接口段发送或接收的帧从来没有被标记。它们属于所谓的本地VLAN。

在本节中，我们将探索虚拟域(VDOM)。

如果将你的网络分割成多个部分，你希望将策略和管理员划分为多个安全域，该怎么办？

　　在这种情况下，你可以启用FortiGate VDOM，它将你的物理FortiGate分割为多个逻辑设备。每个VDOM都有独立的安全策略和路由表。而且，在默认情况下，来自一个VDOM的流量不能到达不同的VDOM。这意味着，在不同的VDOM中，两个接口可以共享相同的IP地址，而不存在任何重叠的子网问题。

要从GUI中启用VDOM，在仪表板上的系统信息小部件中，单击虚拟域字段中的enable。

　　或者，在你登录到CLI时启用VDOM，请输入命令〖set vdom-admin enable〗。

　　这不会重启你的FortiGate，但它会使你的帐号退出。启用VDOM将重新构造GUI和CLI的结构，当你再次登录时将会看到这些变化。

在启用了VDOM之后，默认情况下只存在一个VDOM，那就是根VDOM。这是默认的管理VDOM，我们将在后面的课程中讨论。

　　你需要为每个安全域添加一个VDOM。例如，如果你是一个MSSP，你可能为每个客户公司添加一个VDOM。如果你是企业业务，你可以为公司的每个部门添加一个VDOM。

　　检查模式(代理或基于流)是定义如何检查流量的每个VDOM都有的设置。

　　在代理模式下的VDOM中，FortiGate检查作为隐式TCP代理的流量。最初的客户端到服务器TCP会话实际上分为两个TCP会话：一个从客户端到FortiGate，另一个从FortiGate到服务器。

　　在以流为基础的模式中，在通过FortiGate时，在TCP流的基础上对流量进行扫描。没有包含隐含的TCP代理。

　　操作模式也是每个VDOM都有的设置。你可以将透明模式的VDOM与NAT/路由模式的VDOM合并在相同的物理FortiGate中。

在添加其他的VDOM之后，你可以继续指定哪些接口属于每个VDOM。每个接口(物理或VLAN)只能属于一个VDOM。

请记住，VDOM只是一个逻辑分隔，每个VDOM都与其他VDOM共享物理资源。

　　与使用FortiGate-VM不同，VDOM没有分配和平衡使用加权的vCPU内核、vRAM和其他虚拟硬件。

　　为了调整性能，你可以为每个功能配置资源限制，如IPsec隧道、地址对象等等，在全局级别和每个VDOM级别上。这将控制每个VDOM系统资源使用与总可用资源的比率。

例如在这个FortiGate上，硬件足够强大，可以处理多达2000个IPsec VPN隧道。该FortiGate由三个VDOM配置。

　　vdom1和vdom2通常不使用IPsec VPN隧道。因此，它们被允许最多有50个隧道。然而，vdom3广泛使用VPN。因此，这个FortiGate将被配置为允许vdom3拥有多达1900个隧道。此外，这些隧道的1000个将得到保证。

　　配置你的FortiGate，对关键功能，例如会话、策略和其他的关键特性进行全局限制。然后，在全局范围内配置每个VDOM的配额和最小值。

全局资源限制是全局设置的一个例子。在你的FortiGate上的固件和一些设置，例如系统时间，应用于整个设备，它们不是针对每个VDOM的。

但是，对于每个VDOM，大多数设置都可以被配置为不同的。例如防火墙策略、防火墙对象、静态路由、保护配置文件等等。

如果你以大多数管理员帐号登录，那么你将自动进入你的VDOM。

　　但是，如果你的帐户名为admin，那么你就不会被分配到任何VDOM中。

　　要在GUI上输入一个VDOM，请从顶部的下拉列表中选择VDOM。

　　在每个VDOM中，子菜单应该是熟悉的：它本质上是在启用VDOM之前的导航菜单。但是，全局设置被移动到菜单的全局部分。

要从CLI中访问全局配置设置，必须首先键入〖config global〗，才能进入全局上下文。在此之后，你可以执行全局命令并更改全局配置设置。

　　要从CLI中访问每个VDOM配置设置，你必须首先键入〖config vdom〗然后键入〖edit <vdom>〗，后面是VDOM名称。从VDOM上下文，你可以执行特定于VDOM的命令，并更改每个VDOM配置设置。

　　无论你的上下文是什么(全局或VDOM)，你都可以使用sudo关键字来执行与当前不同的上下文中的诊断命令。例如，这允许你执行全局和每个VDOM命令，而不需要在全局和每个VDOM上下文之间来回切换。

如果你想要访问所有的VDOM和全局设置，那么在配置管理员帐户时选择super_admin作为访问配置文件。与名为admin的帐户类似，该帐户将能够配置所有的VDOM。

　　然而，最佳实践表明，你应该避免不必要的安全漏洞。如果可能的话，不要提供超管理员权限。相反，将每个管理员限制到相关的域。这样，他们就不会不小心或恶意地影响其他的虚拟空间，任何损害或错误都将受到限制。

在大多数情况下，你将从每个VDOM创建一个管理员帐户开始。管理员将主要负责该领域，包括VDOM的配置备份。在较大的组织中，你可能需要创建更多的VDOM管理员。可以将多个管理员分配给每个VDOM。你可以使用访问配置文件来细分权限，以便遵循用于隔离职责的最佳实践。

　　反过来也是可能的。如果需要，可以将管理员分配给多个VDOM。

要创建新的管理员帐户并将其分配给一个VDOM，请访问菜单的全局部分。

回顾一下，每个VDOM的行为就像它在一个独立的FortiGate设备上一样。有了独立的FortiGate，你通常会连接一个网络电缆，并配置它们之间的路由和策略。但是，在同一FortiGate上，VDOM也是如此。那么，如何在两者之间进行通信呢？

　　解决方案是跨VDOM链接。通过跨VDOM链接，你将不会通过物理电缆或VLAN发送流量，然后返回到相同的FortiGate，以到达另一个VDOM。跨VDOM链接是一种虚拟接口。

　　注意，就像使用VLAN之间的路由一样，必须涉及第3层，你不能在二层透明模式VDOM之间创建一个跨VDOM链接。至少有1个VDOM必须在NAT模式下运行。这样做的好处是，可以防止潜在的第二层循环。

在创建跨VDOM链接时，你需要创建虚拟接口，你还必须创建一个匹配的防火墙策略，就像你在网络电缆到达时所做的那样。否则，FortiGate将阻塞它。

　　另外，需要在两个VDOM之间正确路由数据包。

在菜单中，创建一个网络接口位于全局设置中。要创建虚拟接口，单击create New，然后选择VDOM链接。

在GUI的全局部分中，有一个VDOM监视器。它显示每个VDOM的CPU和内存使用情况。

到目前为止，我们已经讨论了从一个VLAN或VDOM到另一个VLAN的流量。那么从你的FortiGate本身发出的流量呢？

　　一些系统守护进程，例如NTP和FortiGuard更新，生成这种通信流。在FortiGate的设备中，有一个，并且只有一个被指定为管理VDOM的角色。从FortiGate到全局服务的流量来自于管理VDOM。默认情况下，VDOM根充当管理VDOM，但是你可以手动将该任务重新分配给不同的VDOM。

　　类似于没有VDOM的FortiGate，管理VDOM通常应该具有传出的Internet访问权限。否则，诸如计划的FortiGuard更新之类的功能将会失败。

有几种方法可以安排你的VDOM。在这个拓扑中，每个网络通过它自己的VDOM访问Internet。

　　请注意，没有跨VDOM链接。因此，除非它物理地离开了FortiGate，转向互联网，并被重新路由，否则跨界的通信是不可能的。这是最适合于多个客户共享一个单独的FortiGate，每一个都在他们自己的VDOM中，例如，在物理上分开的ISP。

这是另一个例子。

　　与前面的拓扑一样，每个网络通过它的VDOM发送流量。但在此之后，流量将通过管理VDOM路由，默认情况下，名为root。因此，在根VDOM中，internet绑定的流量是通过单个管道传输的。

　　这可以适用于多个客户共享一个单独的FortiGate，每一个都在他们自己的VDOM中。但是在这种情况下，管理VDOM可以记录和监控流量，或者提供诸如防病毒扫描之类的标准服务。

　　注意，这个拓扑具有跨VDOM链接，但是对等的VDOM只与管理VDOM链接，而不是彼此关联。

　　检查可以由根或原始的VDOM完成，这取决于你的需求。或者，你可以进行检查，以便在根VDOM中进行一些扫描，以确保一个共同的安全基准，而其他更密集的扫描则出现在原始的VDOM中。

在这里，流量再次通过根VDOM中的单一管道传输到Internet。VDOM之间的通信也不需要离开FortiGate事。

　　然而，现在跨VDOM的流量不需要流经管理VDOM。VDOM之间的跨VDOM链接允许更直接的通信。

　　与前面的示例一样，检查可以由根或原始的VDOM完成，这取决于你的需求。

　　由于跨VDOM链接的数量，这个示例是最复杂的，需要最多的路由和防火墙策略。故障诊断网的VDOM也会更加耗费时间。

　　然而，网状的VDOM也提供了最大的灵活性。对于大型企业，可能需要跨VDOM通信。另外，由于采用了较短的处理路径，因此跨VDOM的流量性能可能会更好一些，这条路径绕过了管理VDOM。

这里我们回顾一下讨论的内容：VLAN、VDOM、跨VDOM链接和VDOM拓扑。

飞塔技术 - 老梅子   QQ：57389522

---