OzzTech - NAC LAN Segmentleri- 7.0.1

NAC LAN Segmentleri- 7.0.1

Bir portda NAC modu yapılandırıldığında, bir switch portunun  bağlantısı varsayılan olarak aşağı iner ve ardından o aygıt için DHCP sürecini yeniden başlatır. Bir bağlantı kesildiğinde, NAC cihazları varsayılan olarak tüm switch portlarından temizlenir.

Switch portunun sıçraması ve DHCP'nin yeniden başlatılması, hostların IP adreslerini değiştirir ve güvenlik duvarı oturumlarını geçersiz kılar. FortiOS 7.0.1'den başlayarak, her VLAN'ı ayrı bir LAN segmentine atayarak bu sorunları önleyebilirsiniz. LAN segmentleri, hostların IP adreslerinin değişmesini engeller ancak yine de fiziksel izolasyon sağlar. Örneğin, aşağıdaki şekil dört LAN segmentinin dört ayrı VLAN'a nasıl atandığını gösterir:

NAC LAN Segmentleri- 7.0.1

Anahtar, LAN segmentleri arasındaki trafiği kontrol eder. GUI'de Block Intra-VLAN Traffic etkinleştirin veya bir LAN segmentindeki ana bilgisayarlar arasındaki trafiğe izin vermek veya trafiği engellemek için set switch-controller-access-vlan komutunu kullanın.

  • Bir RSPAN VLAN interface, bir LAN segment grubunun üyesi olamaz.
  • IGMP snooping, LAN segmentlerinde desteklenmez.

LAN segmentleri aşağıdakileri gerektirir:

  • FortiSwitchOS 7.0.1 veya üstünü çalıştıran yönetilen FortiSwitch üniteleri ile FortiOS 7.0.1 veya üstünü çalıştıran FortiGate cihazları.
  • Hangi FortiSwitch modellerinin bu özelliği desteklediğini görmek için FortiSwitch feature matrix bakın.

Lan Segmentlerini Kullanmak için:

 

  • FortiSwitch VLAN'larını Layer-3 özellikleri olmadan yapılandırın (IP adresinin ayarını kaldırın, erişim modunu static olarak ayarlayın, allowaccess ayarını kaldırın ve DHCP sunucusunu devre dışı bırakın).
  • İsteğe bağlı olarak, Block Intra-VLAN Traffic seçeneğini etkinleştirin.
  • LAN segmentlerini etkinleştirin.
  • NAC LAN interface’ini belirtin.
  • Hangi VLAN'ların o LAN segmentine ait olduğunu belirtin.

Bir LAN segmentine VLAN atadıktan sonra değişiklik yapmayın. LAN segmentlerine atanan VLAN'ların değiştirilmesi beklenmedik sonuçlar doğurabilir.

LAN segmentlerini global düzeyde yapılandırmak için:

NAC LAN Segmentleri- 7.0.1

Örnek:

NAC LAN Segmentleri- 7.0.1

NAC ile LAN segmentlerini kullanma örneği:

Bu örnekte, cihazlar başlangıçta yerleşik VLAN'a yerleştirilir ve nac_segment DHCP sunucusundan IP adresleri alır. Cihazlara bağlanan portlar, NAC erişim modu ile yapılandırılır. NAC ilkeleri, cihazları işletim sistemine göre tanımlamak ve bunları uygun VLAN segmentine ve dinamik güvenlik duvarı adresine yerleştirmek için kullanılır. Güvenlik duvarı policyleri, dinamik güvenlik duvarı adresi aracılığıyla nac_segment arabiriminden gelen trafiği eşleştirir ve her birine uygun güvenlik profillerini uygular.

NAC LAN Segmentleri- 7.0.1

  • Office 1 ve Office 2 için FortiSwitch VLAN'larını yapılandırın.

NAC LAN Segmentleri- 7.0.1

  • Aşağıda, nac_segment interface ve buna karşılık gelen DHCP sunucu ayarları için yapılandırma yer almaktadır. Bu ayarlar varsayılandır.

NAC LAN Segmentleri- 7.0.1

NAC LAN Segmentleri- 7.0.1

  • Office 1 VLAN ve Office 2 VLAN'ı LAN segmenti VLAN'larına ekleyin.

NAC LAN Segmentleri- 7.0.1

  • Office 1 ve Office 2'deki cihazlar için NAC policy yapılandırın.

GUI'den NAC policy yapılandırırsanız, office2_device ve office1_device dinamik güvenlik duvarı adreslerini satır içinde oluşturabilirsiniz. Ancak, NAC policy i CLI'den oluşturursanız, önce güvenlik duvarı adreslerini ve ardından MAC policy ve NAC policy oluşturun.

NAC LAN Segmentleri- 7.0.1

NAC LAN Segmentleri- 7.0.1

NAC LAN Segmentleri- 7.0.1

  • Office 1 veya Office 2'deki cihazlar için güvenlik duvarı policy yapılandırın.

Tüm trafiğin kaynağı nac_segment'tir, ancak trafik, daha önce NAC ilkeleri tarafından atanan dinamik güvenlik duvarı adresi tarafından srcaddr'de filtrelenir.

NAC LAN Segmentleri- 7.0.1

NAC LAN Segmentleri- 7.0.1

  • Portları NAC moduna yerleştirin.

NAC LAN Segmentleri- 7.0.1

NAC LAN Segmentleri- 7.0.1

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.