نظرات اخیر

    منظور از Virtual Wire Pair در تجهیزات FortiGate

    منظور از Virtual Wire Pair در تجهیزات FortiGate چیست و در چه سناریوهایی از آن استفاده می شود؟

    ابتدا اجازه دهید با هم مروری داشته باشیم بر مفهوم Virtual Wire Pair و سپس سناریوهایی که می توانیم از این قابلیت در آنها استفاده کنیم را بررسی نماییم.

    ⭕️ مفهوم Virtual Wire Pair چیست؟

    در واقع Virtual Wire Pair همانطور که از نام آن مشخص است یک اینترفیس مجازی است که خود شامل دو اینترفیس بدون IP آدرس از یک تجهیز FortiGate می باشند که رفتاری مشابه با یک VDOM که در حالت transparent mode پیکربندی شده است دارند. به این صورت که کل ترافیک دریافتی توسط یک اینترفیس در Virtual Wire Pair می تواند فقط به اینترفیس دیگر forward شود و این موضوع توسط یک Virtual Wire Pair Policy پیکربندی خواهد شد و به FortiGate اجازه می دهد تا ترافیک را از یک اینترفیس خود گرفته و بر روی اینترفیس دیگر خود منتقل کند (با این فرض که این دو اینترفیس در یک گروه Virtual Wire Pair پیکربندی شده باشند).

    اما Virtual Wire Pairها برای توپولوژی های غیر عادی که در آنها MAC آدرس به صورت نرمال رفتار نمی کند مفید می باشند. برای مثال، port pairing که از یک توپولوژی Direct Server Return یا به اختصار DSR استفاده می کند که در آن response MAC address pair ممکن نیست تا با request MAC address pair خود match شود.

    📌 توجه: قابلیت Virtual Wire Pairing، قابلیتی است که جایگزین قابلیت port paring در firmwareهای نسخه 5.4 و نسخه های بعدی شده است. برخلاف port pairing، قابلیت Virtual Wire Pairing می تواند توسط FortiGateها در دو مد NAT و Transparent Mode مورد استفاده قرار گیرد.

    در ادامه به بررسی 2 سناریو مهمی که معمولاً از قابلیت Virtual Wire Paring یا V-Wire Pair در آنها استفاده می شود، خواهیم پرداخت.

    سناریو 1: پیاده سازی قابلیت Transparent Web Filtering با استفاده ا یک Virtual Wire Pair

    در این سناریو که توپولوژی آن را در شکل زیر ملاحظه می کنید قصد داریم ترافیک را از Port 2 روی یک FortiGate که در بین دو دستگاه Router و Switch لایه 2 قرار دارد به Port 3 از آن منتقل کنیم به صورتیکه دستگاه FortiGate را در مد Transparent Web Filtering بین این دو تجهیز پیکربندی نماییم. برای این منظور بر روی FortiGate یک اینترفیس V-Wire Pair ارتباط بین دو دستگاه Router و Switch را برقرار نموده و توسط پیکربندی V-Wire policy و Web-filtering بر روی FortiGate، اجازه انتقال ترافیک و inspect کردن آن را خواهیم داد.

    Virtual Wire Pair 1شکل 1

    پیکربندی سناریو فوق در لینک زیر آورده شده است:

    cookbook.fortinet.com

     

    firewall fg-600e

    سناریو 2 : Protect کردن یک Web Server توسط FortiGate

    در این سناریو که توپولوژی آن را در شکل زیر مشاهده می کنید، قصد داریم یک وب سرور را در پشت یک FortiGateی است که به عنوان فایل ISFW پیکربندی شده محافظت و protect نماییم. برای این منظور، بر روی FortiGate یک اینترفیس Virtual Wire Pair بین دو پورت آن (در اینجا Port3 و Port4) پیکربندی نموده تا کاربرانی که در شبکه داخلی هستند بتوانند به وب سرور از طریق فایروال ISFW از طریق Virtual Wire Pairی که بر روی آن پیکربندی شده دسترسی داشته باشند.

    از آنجاییکه اینترفیس های عضو یک V-Wire Pair هیچکدام IP آدرس ندارند، بنابراین اضافه کردن یک اینترفیس V-Wire Pair تغییری در توپولوژی زیرساختی شبکه شما ایجاد نخواهد کرد و این یکی از مزایای استفاده از این قابلیت است.

    Virtual Wire Pair 2شکل 2

    پیکربندی سناریو فوق در لینک زیر آورده شده است:

    docs.fortinet.com

    توجه: شما می­توانید از قابلیت V-Wire Pair جهت انتقال ترافیک وب (ترافیک های HTTP و HTTPS) توسط FortiGate به FortiWeb که در توپولوژی پشت آن قرار دارد نیز استفاده نمایید. برای این منظور می بایست یک V-Wire Pair Policy به روش هایی که در 2 سناریو فوق مطرح شده پیکربندی نمایید با این تفاوت که در policy ایجاد شده خود مقدار پارامتر Service را به جای ALL بر روی HTTP و HTTPS تنظیم نمایید.

     

    محصولات فورتی نت

     نویسنده: مهندس میثم ناظمی

    مطالب مرتبط