Bugün sizlerle Fortinet’in küçük ve orta ölçekli kurumlar adına Standart Switch(Anahtar) yapısına kattıkları Güvenlik , Performans ve Hız özellikleriyle FortiLink ailesinin bir üyesi olan FortiSwitch Secure Access Switch’ten ve kurulumundan bahsedeceğiz.
FortiSwitch’te Öne Çıkanlar
*Masaüstlerinden kablolama dolaplarına kadar genişletilmiş alan konumlandırması adına tasarlanmıştır.
*SD-Branch yapıları için idealdir.
*FortiLink özelliği ile FortiGate arayüzlerinden merkezi güvenlik ve erişim yönetimi sağlar.
*Yakınsanmış ağ ortamları için idealdir tek bir ağ üzerinden teslim edilecek ses veri ve kablosuz trafik iletiminde yüksek başarıya sahiptir.
*Yerleşik GUI, API veya komut satırı yapılandırması aracılığıyla FortiLink dışındaki dağıtımları destekler.
*Kompaktta 48 adede kadar bağlantı noktası sağlar
* Kablolama dolabınızda 1 RU yer kaplar.
*Fortigate cihazının desteklemesine bağlı olarak Fortigate başına maksimum 300 adet Switch bağlanabilir.
*Wire-speed anahtarlama ve Store and Forward modunu destekler.
FortiSwitch Bize Neler Sunar ?
Güvenlik, Performans ve Yönetilebilirlik
FortiSwitch Secure Access Ailesi Güvenlik Performans Ölçeklenebilirlik ve Yönetilebilirlik konularında bilinçli işletmeler için olağanüstü özellikler sunar. Bu sayede Güvenlik duvarınızdan bağımsız kablolu ağ cihazlarınız üzerinde güvenlik ilkeleri oluşturmanıza olanak tanır.
FortiSwitch Kurulumu
SD-Branch ve Kampüs FortiLink aracılığıyla Fortinet Security Fabric’e sıkıca entegre olmasından dolayı doğrudan Fortinet Ailesinden bir ürünle yönetilebilir biz bu noktada en doğru ürün ailesi cihazında karar kılarak FortiSwitch’imizi Fortinet ürün ailesinin Güvenlik Duvarı olarak bilinen Fortigate cihazımıza entegre edip Fortigate üzerinden yönetilmesini sağlayacağız.
Gereken Adımlar
1. Öncelikle Fortigate Firewall’unuzun üzerinde 1 adet fiziksel interface’i forti-link özelliğine çekmeniz gerekmektedir bunun için Fortigate üzerinde System altında Feature Visibility(Fortigate’in bazı modellerinde bu özellik Feature Select olarak geçer) içerisinde Switch Controller özelliğinin açık olup olmadığını kontrol etmemiz gerekiyor bu özellik kapalı ise açmamız gerekmektedir.
İlgili Yol:System>Feature Visibility>Switch Controller
2.Managed FortiSwitch Sekmesinden FortiSwitch’imizi Authorize etmemiz gerekmektedir.
3.FortiSwitch VLANs sekmesinden FortiSwitch’imizin ilgili portlarında gerekli VLAN tanımlarını sağlamamız gerekmektedir.
4.FortiSwitch Ports sekmesinden ilgili portlarımıza takacağımız AP veya Client cihazlarımızın ve Portlarımızın durumunu buradan kontrol edeceğiz.
CLI üzerinde Switch Controller’ı aktifleştirme:
Config system global komutu ile global konfgürasyon moduna girerek set switch-controller enable
FGT # config system global
FGT (global) #set switch-controller enable
FGT (global) #end
Bu komut sonrasında CLI ekranında show config global komutu ile Switch Controller özelliğinin açıldığını görebilirsiniz.
CLI üzerinde Switch Controller’ı Devre Dışı Bırakma:
Öncelikler devre dışı bırakmanız gereken roller mevcuttur bunlar:
- FortiSwitch’inizin bağlı olduğu ilgili FortiLink arayüzlerinde yani Fortigate’imizin port12’sinde otomatik doğrulama-uzantı-cihazı rolünü devre dışı bırakımalısınız. Bunun için config system interface’in altına giderek edit port12 yani port12 interface’inde değişiklik yapacağınızı belirtip port12 interface’inin altına inerek set-auto-auth-extension device disable komutunu kullarak otomatik doğrulama uzantı cihazını devre dışı bırakabilirsiniz.
FGT # config system interface
FGT # (interface) # edit port12
FGT # (port12) # set auto-auth-extension-device disable
- İlgili fiziksel port (Port12)’ye atadığınız Fortilink rolünü devre dışı bırakmanız gerekmektedir. Bunun için Bunun için config system interface’in altına giderek edit port12 yani port12 interface’inde değişiklik yapacağınızı belirtip port12 interface’inin altına inerek set fortilink disable komutunu kullarak otomatik doğrulama uzantı cihazını devre dışı bırakabilirsiniz.
FGT # config system interface
FGT # (interface) # edit port12
FGT # (port12) # set fortilink disable
Bunu aynı şekilde CLI ekranında show config global komutu ile Switch Controller özelliğinin kapalı olduğunu ve artık global config satırından kaldırıldığını gözlemleyebilirsiniz. İlgili çıktımız set switch controller enable çıktımız set Proxy-auth-timeout 5 çıktısı altındaydı disable ettiğimiz için system global’den kaldırıldı.
Ekstra olarak System >Feature Visibility altında bulunan sayfanızı yenilediğinizde Switch Controller butonu üzerinde “Switch Controller Disabled via CLI” mesajını görürüz ve artık Web arayüzünden bu özelliği aktif etmek için bize herhangi bir alternatif sunmaz bunun için mecbur olarak CLI ekranından Switch Controller’ı enable etmemiz gerekmektedir.
-Şimdi gelelim Fortigate üzerinde Switch Controller özelliğimizi neden aktive etmemiz gerektiğine bunun sebebi bu özelliği aktif etmediğimiz zaman Fortiswitch’i bağlayacağımız Fortigate’in fiziksel interface’inde Dedicated to Fortiswitch özelliği görünmemektedir.
Switch Controller kapalı iken fiziksel interface’deki eksik alan :
Switch Controller açık iken fiziksel interface’e gelen Dedicated to FortiSwitch özelliği:
Dedicated to FortiSwitch özelliğini ilgili fiziksel interface’te aktif ettiğimizde İnterface tabının altında ilgili fiziksel portumuzun üzerindede bu rol gözükmektedir.
Biz bu noktada Port12 interface’imizi Dedicated to FortiSwitch moduna dahil ederek FortiSwitch’imizi Port12 interface’ine bağlıyoruz.
Switch Controller’ı aktif ettiğmizde Menüde sunulan FortiSwitch özellikleri
Wifi & Switch Controller Menüsünün altında
Managed FortiSwitch:FortiSwitch’lerin Yönetimini sağlayan bölümdür bu bölümde FortiSwitch’inizi network’e dahil edebilir çıkarabilir veya yetkilendirebilirsiniz.
FortiSwitch VLANs:Forti Switch VLAN’larının yönetildiği bölümdür.
FortiSwitch Ports:FortiSwitch’in Portlarının rollerinin yönetildiği bölümdür. FortiSwitch Poe destekli ise buradan porttaki takılmış olan cihazın enerji tüketiminide görebilirsiniz.
Yukarıda bahsi geçen özellikler yardımı ile FortiSwitch’imizi hazır hale getireceğiz.
Managed FortiSwitch
Bu kısımda FortiSwitch’imizi Authorize ederek Fortigate’imize tanıtıyoruz.
Fortiswitch’imizi bağladığımızda Fortigate bu cihazın öncelikle Authorize edilmesini yani yetkilendirilmesi gerektiğini belirtiyor. Ortada bulunan Authorize seçeneğine tıklayarak yetkilendirme işlemini tamamlıyoruz.
Yetkilendirme işlemi sonrası FortiSwitch’imizin grafiksel olarak dış görünüşü karşımıza çıkmaktadır. Burada Fortigate ile FortiSwitch arasındaki kurulumumuz tamanlanmıştır. Bu süreç sonrasında FortiSwitch’imizin Fortigate üzerinde yönetilmesinden bahsedeceğim.
Fortigate üzerinden FortiSwitch’imizi yönetmek adına açılan bazı özellikleri
*CLI Bağlantısı: Fortiswitch’imize Fortigate üzerinden CLI bağlantısı sağlayabiliriz.
*Deauthorize Seçeneği:İlgili switch’i Fortigate üzerinde yetkilendirmeden çıkarabiliriz.
*Upgrade Seçeneği:Fortigate üzerinden Fortiswitch’imize Upgrade(Yükseltme) işlemi yapabiliriz.
FortiSwitch VLANs
Bu alanımız FortiSwitch üzerinde bulunan VLAN’larımızı yönetmemizi sağlayan sekmemizdir. Authorize sonrasında default olarak 2 adet VLAN opsiyonu gelmektedir.
1)- Qtn VLAN:Bu Vlan karantina VLAN’ıdır ve VLAN 1 yani default VLAN dışındaki tüm VLAN’ları yani 4093’e kadar olan VLAN’ları default olarak karantina VLAN’ı olarak kendi üzerinde barındırır. FortiSwitch Qtn VLAN’larını Allowed VLAN olarak kaydeder.
2)- Vsw VLAN:Bu VLAN Etiketsiz VLAN’ları ve default olarak VLAN1’i kendi üzerinde barındırır ve Native VLAN olarak kaydeder.
Burada istediğimiz VLAN’ları oluşturup bunları Native VLAN veya Allowed VLAN’lerimiz olarak tanımlayabiliriz. Ekstra olarak FortiOS 6.2.0 versiyonu ve sonrası VLAN’larımıza isim tanımlayabiliriz.
FortiSwitch Ports
Bu alanımız FortiSwitch’imizin Portlarını yönettiğimiz sekmedir. Burada ilgili portlarımızın durumları gözükmektedir. Bu durumlar kısaca şunlardır
*Port
*Trunk
*Access Mode
*Enable Features
*Native VLAN
*Allowed VLANs
*Poe
*Device İnformation
*DHCP Snooping
*Transceller
Bu alandada portlarımızın Access mi yoksa Trunk mı olacağı , Spanning Tree yapılarımızda portlarımızın hangi port seviyesinde olacağı , portlarımızın hangi VLAN tipine dahil olduğu veya olacağı , eğer FortiSwitch’imizde Poe özelliği var ise Poe porta taktığımız cihazın ne kadar enerji tükettiğini , portlarıma bağlı olan cihazlara güvenip güvenmemek adına ilgili portların Trust ve Untrust mı olacağı ve bunların tümünün yönetimi FortiSwitch Ports bölümümüzde yer almaktadır.
Umarım size faydalı bir makale olmuştur bir sonraki makalemizde FortiSwitch özelliği olan Forti Security Policies ve FortiSwitch NAC Policies ile ilgili konuşacağız.
FortiSwitch Çözümleri için OzzTech Bilgi Güvenliği Teknolojileri ile İletişime Geçebilirsiniz!