FortiGate TP Mode 설정 - FortiGate TP Mode seoljeong

Product : FortiGate

   (본 예시에서는 F시리즈 이상의 장비를 사용 및 예시로 듬.)

Detail : FortiGate를 Transparent 모드로 변경하고, 하단에 붙은 Client들이 상단장비에서 뿌려주는 DHCP IP를 못받아오는 케이스

    1. FortiGate의 TP모드 변경시, 에러 발생

    2. 상단에서 DHCP로 IP를 뿌려주지만, 하단에서는 해당 broadcast가 안넘어감.

    3. 하단 PC에 수동으로 IP 할당시, 정상적인 통신 가능.

Step by Step :

    -1. FortiGate의 TP모드 변경

       FortiGate F Series 이상의 장비에는 'FortiLink' 라는 인터페이스가 Factory Default로 포함되어 있고,

       이 때문에, 아무런 설정없이, Transparent mode로 변경하려고 하면, 아래와 같은 경고가 뜨며 변경되지 않음.

       이상의 상황에 대해서는 아래의 링크를 참조하여, FortiLink를 disable 해주어야 한다.

링크: https://ebt-forti.tistory.com/62

      FortiLink를 해재하고, System Settings에 들어가

      FortiGate의

         ①operation mode와

         ②TP모드로 동작시의 Gateway 주소

         ③TP모드로 동작하는 FortiGate에 접속할 IP 주소  ...를 입력해준다.

      정상적인 설정 완료시, TP Mode Change 되며 로그아웃이 일어난다.

    -2. FortiGate의 양방향 정책

      DHCP offer 신호를 허용해주기 위한 정책     [상단→하단]

      DHCP discover/ request를 허용해주기 위한 정책  [하단→상단]

      ...의 한쌍의 양방향 허용 정책을 만들어준다.

        (FortiGate 모델에 따라 틀리지만,  [하단→상단]의 정책이 미리 만들어져 있는 경우도 있음.)

        (본 CLI 예제상에서는,  wan1이 [상단]  /  internal이 [하단]임.)

    -3. (Optional) FortiGate의 interface에 Forward-broadcast 허용.

      만약 위의 설정을 모두 완료 했음에도, 정상적인 DHCP 할당이 되지 않는다면

      본 3번의 설정을 해보는 것을 권장.

      FortiGate가 Transparent 모드로 동작할 때, ARP를 제외한 모든 Broadcast 트래픽을 제거하므로,

      상-하단으로 설정된 각 인터페이스에서 broadcast-forward enable 설정을 해준다.

Result : 

      이후, 하단의 Client에서 인터페이스에서 정상적으로 DHCP IP를 받아왔는지,

      해당 IP로 정상적인 통신이 되는지 확인한다.

Link1 : https://docs.fortinet.com/document/fortigate/6.0.0/handbook/715479/installing-the-fortigate

Link1 : https://community.fortinet.com/t5/FortiGate/Technical-Note-How-to-allow-the-flow-of-transit-DHCP-traffic-in/ta-p/191769