O que são VDOMs?
VDOMs (Virtual Domains) são domínios virtuais que dividem um único Fortigate em múltiplos dispositivos lógicos e dividem um único domínio de segurança em vários, isso significa que um Fortigate físico pode criar outros Fortigates virtuais.
Cada VDOM possui suas próprias políticas e tabela de roteamento. Por padrão, um VDOM não pode se comunicar com o outro, ou seja, duas interfaces em diferentes VDOMs podem utilizar o mesmo endereçamento IP, sem que ocasione conflito de endereçamento de sub-rede.
Quais os tipos de VDOMs existentes?
Existem dois tipos de VDOMs: Admin e Traffic
O VDOM Admin é utilizado apenas para administração, nenhum tráfego de rede passa por ele. Sua utilização é realizada pelos próprios serviços do Firewall, ou seja, todo o tráfego originado a partir do próprio Fortigate, como NTP, atualizações do FortiGuard, etc. Por padrão, o VDOM root é o Admin, entretanto, essa atribuição pode ser dada para qualquer VDOM. Lembre-se que apenas um único VDOM pode ser Admin, os demais obrigatoriamente serão do tipo Traffic. É importante ressaltar que o VDOM do tipo Admin, deverá obrigatoriamente ter acesso à Internet, caso contrário, o Fortigate não será capaz de se comunicar com os serviços globais como por exemplo atualizações Fortiguard, etc.
O VDOM Traffic é o tipo padrão do Fortigate, ele permite e processa todo o tráfego que passa pelo Firewall, é possível configurar em cada VDOM suas próprias políticas, permitindo tráfego de uma rede para a outra. Permite configuração de roteamento, VPN, Inspeção de tráfego, etc.
Configurações individuais por VDOM e as globais
Configurações que afetam todos os VDOMs:
- Hostname;
- Configurações de HA;
- Configurações FortiGuard;
- Configuração de hora do sistema;
- Usuários administrativos do Fortigate.
Configurações feitas separadamente por VDOM:
- Modo de operação (NAT/Transparent);
- Modo NGFW (Profile-based/Policy-based);
- Roteamento e endereçamento de interfaces;
- Políticas de Firewall;
- Perfis de segurança (Security Profile);
Como habilitar VDOMs no Fortigate?
Para as caixas Fortigate até a série 60 é necessário habilitar os VDOMs pela interface CLI através do comando abaixo:
config system global
set vdom-mode multi-vdom
end
Após realizar os comandos, não será necessário reiniciar o Fortigate, mas seu usuário será desconectado, e será necessário fazer login novamente para acessá-lo.
Se seu Fortigate for acima da Série 60, não é necessário a realização deste comando, basta acessar em “System > Settings” na interface gráfica de configuração e habilitar a opção “Virtual Domains”, conforme ilustrado na figura abaixo.
Será solicitada uma confirmação da ação informado que será necessário fazer login novamente, você deve confirmar clicando em “OK”:
Após fazer login novamente no Fortigate, você encontra os VDOMs pelo menu “System > VDOM”, conforme ilustrado a seguir:
Perceba que na ilustração há 3 VDOMs criados, dois do tipo “Traffic” e apenas um do tipo “Admin”, pois o Fortigate permite apenas um VDOM para administração. Você deve se lembrar que por padrão o VDOM Admin é o root mas pode ser atribuído a qualquer VDOM. É importante ressaltar ainda que alterar o tipo de um VDOM ou o seu NGFW após já ter sido criado, irá impactar na remoção de todas as políticas criadas (inclusive Central SNAT), então se a ideia de mudar o VDOM é apenas para teste, é recomendável você criar um novo VDOM.
Nessa mesma tela, é possível visualizar memória e CPU consumidos pelo VDOM bem como o status, as interfaces atribuídas, o modo NGFW e o modo de operação.
Como alternar a administração entre VDOMs?
Após habilitar VDOMs no Fortigate, perceba que no canto superior direito ao lado do ícone do Prompt CLI, haverá o nome “VDOM: Global”, ele é responsável por administrar globalmente todos os VDOMs, bem como criação, edição e exclusão.
É possível ainda através do VDOM Global criar usuários administrativos e delegar para qual VDOM ele será administrador. Se você delegar o perfil “super_admin”, o usuário será capaz de administrar todos os VDOMs, inclusive o Global.
Também pelo VDOM Global, é possível delegar para qual VDOM as interfaces físicas e lógicas do Fortigate irão pertencer. Lembre-se que uma interface física só pode pertencer a um único VDOM por vez, não é possível estar em dois ao mesmo tempo, caso seja necessário, utilize interfaces VLANs da mesma interface física.
Para alternar a administração entre VDOMs, basta no canto superior direito selecionar o VDOM desejado, conforme a imagem abaixo:
Como configurar um VDOM para se comunicar com outro?
Por padrão, um VDOM não se comunica com outro, eles são independentes e depende do administrador de rede configurar uma ponte entre VDOMs para que se comuniquem. Se os VDOMs são responsáveis por tornar um único Fortigate em múltiplos dispositivos lógicos, então eles podem se comunicar normalmente assim como diferentes Fortigates físicos. Entretanto, se por alguma demanda for necessário comunicar um VDOM com outro, será necessário criar um “VDOM Link“.
O VDOM Link é necessário para que não precise conectar um cabo físico de uma porta do Fortigate para outra, podendo causar um loop de rede. Já que estamos falando de VDOMs, criar um enlace virtual entre eles é o melhor jeito de garantir a comunicação.
No VDOM Global, acesse o menu de configuração “Network > Interfaces > Create Interface > VDOM Link”, conforme a imagem a seguir:
É necessário digitar um nome para o enlace entre os dois VDOMs, selecionar quais deles deverão se comunicar, o endereçamento das interfaces dos VDOMs envolvidos, bem como seu nível de acesso administrativo. O endereçamento não precisa preexistir em alguma interface, lembre-se que você está criando agora novas interfaces com endereços IP.
Acesse novamente “Network > Interfaces” e veja o VDOM Link criado, conforme a imagem abaixo:
Pronto, você criou um enlace de comunicação entre dois VDOMs diferentes. Isso permite que você faça muitas configurações, envolvendo até mesmo roteamento estático e dinâmico.
Link de referência:
