Bir portda NAC modu yapılandırıldığında, bir switch portunun bağlantısı varsayılan olarak aşağı iner ve ardından o aygıt için DHCP sürecini yeniden başlatır. Bir bağlantı kesildiğinde, NAC cihazları varsayılan olarak tüm switch portlarından temizlenir.
Switch portunun sıçraması ve DHCP’nin yeniden başlatılması, hostların IP adreslerini değiştirir ve güvenlik duvarı oturumlarını geçersiz kılar. FortiOS 7.0.1’den başlayarak, her VLAN’ı ayrı bir LAN segmentine atayarak bu sorunları önleyebilirsiniz. LAN segmentleri, hostların IP adreslerinin değişmesini engeller ancak yine de fiziksel izolasyon sağlar. Örneğin, aşağıdaki şekil dört LAN segmentinin dört ayrı VLAN’a nasıl atandığını gösterir:
Anahtar, LAN segmentleri arasındaki trafiği kontrol eder. GUI’de Block Intra-VLAN Traffic etkinleştirin veya bir LAN segmentindeki ana bilgisayarlar arasındaki trafiğe izin vermek veya trafiği engellemek için set switch-controller-access-vlan komutunu kullanın.
- Bir RSPAN VLAN interface, bir LAN segment grubunun üyesi olamaz.
- IGMP snooping, LAN segmentlerinde desteklenmez.
LAN segmentleri aşağıdakileri gerektirir:
- FortiSwitchOS 7.0.1 veya üstünü çalıştıran yönetilen FortiSwitch üniteleri ile FortiOS 7.0.1 veya üstünü çalıştıran FortiGate cihazları.
- Hangi FortiSwitch modellerinin bu özelliği desteklediğini görmek için FortiSwitch feature matrix bakın.
Lan Segmentlerini Kullanmak için:
- FortiSwitch VLAN’larını Layer-3 özellikleri olmadan yapılandırın (IP adresinin ayarını kaldırın, erişim modunu static olarak ayarlayın, allowaccess ayarını kaldırın ve DHCP sunucusunu devre dışı bırakın).
- İsteğe bağlı olarak, Block Intra-VLAN Traffic seçeneğini etkinleştirin.
- LAN segmentlerini etkinleştirin.
- NAC LAN interface’ini belirtin.
- Hangi VLAN’ların o LAN segmentine ait olduğunu belirtin.
Bir LAN segmentine VLAN atadıktan sonra değişiklik yapmayın. LAN segmentlerine atanan VLAN’ların değiştirilmesi beklenmedik sonuçlar doğurabilir.
LAN segmentlerini global düzeyde yapılandırmak için:
Örnek:
NAC ile LAN segmentlerini kullanma örneği:
Bu örnekte, cihazlar başlangıçta yerleşik VLAN’a yerleştirilir ve nac_segment DHCP sunucusundan IP adresleri alır. Cihazlara bağlanan portlar, NAC erişim modu ile yapılandırılır. NAC ilkeleri, cihazları işletim sistemine göre tanımlamak ve bunları uygun VLAN segmentine ve dinamik güvenlik duvarı adresine yerleştirmek için kullanılır. Güvenlik duvarı policyleri, dinamik güvenlik duvarı adresi aracılığıyla nac_segment arabiriminden gelen trafiği eşleştirir ve her birine uygun güvenlik profillerini uygular.
- Office 1 ve Office 2 için FortiSwitch VLAN’larını yapılandırın.
- Aşağıda, nac_segment interface ve buna karşılık gelen DHCP sunucu ayarları için yapılandırma yer almaktadır. Bu ayarlar varsayılandır.
- Office 1 VLAN ve Office 2 VLAN’ı LAN segmenti VLAN’larına ekleyin.
- Office 1 ve Office 2’deki cihazlar için NAC policy yapılandırın.
GUI’den NAC policy yapılandırırsanız, office2_device ve office1_device dinamik güvenlik duvarı adreslerini satır içinde oluşturabilirsiniz. Ancak, NAC policy i CLI’den oluşturursanız, önce güvenlik duvarı adreslerini ve ardından MAC policy ve NAC policy oluşturun.
- Office 1 veya Office 2’deki cihazlar için güvenlik duvarı policy yapılandırın.
Tüm trafiğin kaynağı nac_segment’tir, ancak trafik, daha önce NAC ilkeleri tarafından atanan dinamik güvenlik duvarı adresi tarafından srcaddr’de filtrelenir.
- Portları NAC moduna yerleştirin.