Test grila cu raspuns inclus. Problema de balansare trafic intern

[g1_lead]

Ati copiat vreodata la teste? Eminent de felul meu, as spune cu modestie, am fost de multe ori tentat ispitei sa o fac si, recunosc, atunci cand s-a putut, am mai si tras cu coada ochiului.

[/g1_lead]

Dar cand nu se poate? Sau nu ai de unde sa te inspiri? Ce faci atunci?

Nostalgic dupa vremurile in care providenta mi-a fost tot timpul favorabila si, dand peste un test pe care corporatiile il dau zilnic specialistilor IT, m-am hotarat sa ma astern pe scris si sa ma revansez si eu.

Problema de balansare a traficului intern, atunci cand exista legaturi la Internet de la mai multi provideri, folosind echipamente FortiGate (se aplica oricaror modele de FortiGate).

Se dau:

3 interfete de WAN:

  1. WAN1 – provider 1 (IP multiple)
  2. WAN2 – provider 2
  3. WAN3 – provider 3

Pe partea de LAN:

  1. LAN1 – retea interna
  2. LAN2 – retea DMZ
  3. LAN3 – retea X

Cerinte:

  1. Se doreste ca un range de IP-uri din LAN1 sa iasa pe internet doar pe WAN2, insa daca pica WAN2, sa iasa pe un IP din WAN1.
  2. Un alt range de IP-uri din LAN1 (diferit de cel de la pct. 1) va iesi pe Internet doar pe WAN3
  3. Anumite IP-uri din LAN1 vor iesi pe internet doar prin anumite IP-uri din WAN1

 

fituicaFituica este gata.

Putem rezolva problema cu o combinatie de rutare prin policy based routing si static routes.

Vom incepe cu punctul 2 al cerintelor: range din LAN1 va iesi pe internet doar pe WAN3 – aici facem simplu policy based routing: tot ce vine din LAN1, range-ul dorit, forteaza iesirea prin WAN3 folosind gatewayul WAN-ului 3.

Pentru cerinta numarul 3, vom face tot o politica de rutare policy based routing in care la sursa nu vom trece un range de IP-uri, ci chiar IP-ul statiei care trebuie sa iasa prin WAN1, /32. Replicam aceasta politica pentru toate statiile (IP-urile) necesare la punctul 3.

Pentru punctul 1, vom face o politica de rutare statica in care vom folosi pentru destinatia 0.0.0.0/0 pe WAN2 cu gateway-ul sau, setand distanta 10. Mai facem o politica de rutare statica tot catre destinatia 0.0.0.0/0 pe WAN1 cu gateway-ul sau, setand distanta 20. Astfel, traficul, by default va trece folosind WAN2, iar in cazul in care acesta nu este disponibil va comuta automat pe WAN1.

Urmeaza sa facem politicile de securitate aferente:

  • LAN1, range1 -> WAN2 allow
  • LAN1, range1 -> WAN1 allow
  • LAN1, statiile cu IP static -> WAN1 allow
  • LAN1, range 2 -> WAN3 allow.

Bineinteles, toate politicile de mai sus vor avea optiunea “Enable NAT” activa. De asemenea, pentru fiecare politica se poate activa profilul de securitate dorit, limitare sau garantare de trafic (Traffic shaping) si logarea pe sistemele dedicate (FortiAnalyzer).

QED