📘 Tuần 04 – Interfaces, VLAN và Định tuyến cơ bản

🗺️ Sơ đồ Topology – VLAN và Định tuyến

graph TD
    Internet(["🌐 Internet 8.8.8.8"])
    WAN["☁️ Cloud0 - NAT Gateway: 192.168.1.254"]
    subgraph FGT["🔥 FortiGate VM 7.6.6"]
        port1["port1 MGMT 192.168.1.1/24"]
        port2["port2 WAN DHCP từ Cloud0"]
        port3_10["port3.10 VLAN10 - 10.10.10.1/24 - Gateway CLIENT"]
        port3_20["port3.20 VLAN20 - 10.10.20.1/24 - Gateway SERVER"]
        route["Static Route: 0.0.0.0/0 via 192.168.1.254"]
    end
    subgraph SW["🔀 Cisco Switch IOSv-L2"]
        trunk["e0/0 – TRUNK VLAN10+VLAN20"]
        acc1["e0/1 – ACCESS VLAN10"]
        acc2["e0/2 – ACCESS VLAN20"]
    end
    PC["💻 PC-Client 10.10.10.100"]
    SRV["🖥️ Server 10.10.20.100"]
    Internet --> WAN --> port2
    port3_10 --> trunk --> acc1 --> PC
    trunk --> acc2 --> SRV
    route -.-> port2
            

📚 Lý thuyết cơ bản (Dành cho người mới)

🔰 Interface (Cổng mạng) là gì?

Interface là cổng kết nối mạng của FortiGate – giống như ổ cắm mạng trên máy tính.

Các loại interface trong FortiOS:

🔰 VLAN là gì?

VLAN (Virtual LAN) = Mạng LAN ảo.

💡 Hãy tưởng tượng bạn có một tòa nhà với 100 phòng. Thay vì kéo dây riêng cho từng tầng, bạn dùng VLAN để "chia" một đường dây thành nhiều mạng độc lập:

• VLAN10 = Tầng Kế toán (chỉ Kế toán mới vào được)
• VLAN20 = Tầng IT (chỉ IT mới vào được)
• Hai VLAN không thể nói chuyện với nhau trừ khi FortiGate cho phép.

802.1Q = Chuẩn kỹ thuật để đánh tag (nhãn) lên gói tin, phân biệt gói tin thuộc VLAN nào.

🔰 Trunk và Access Port là gì?

🔰 Static Route (Định tuyến tĩnh) là gì?

Route = "Đường đi" của gói tin mạng. Static Route = Bạn tự tay chỉ cho FortiGate đường đi.

Ví dụ: 0.0.0.0/0 → gateway 192.168.1.254 → port2
Nghĩa là: Tất cả gói tin muốn ra Internet → đi qua cổng port2 → qua thiết bị 192.168.1.254

💡 0.0.0.0/0 = "Tất cả mọi địa chỉ" = Default Route (đường mặc định).

🛠️ Thực hành

FortiGate – Tạo VLAN Interface

config system interface
    edit "port3.10"
        set vdom "root"
        set interface "port3"
        set vlanid 10
        set ip 10.10.10.1 255.255.255.0
        set description "VLAN10-CLIENT"
        set role lan
        set allowaccess ping
    next
    edit "port3.20"
        set vdom "root"
        set interface "port3"
        set vlanid 20
        set ip 10.10.20.1 255.255.255.0
        set description "VLAN20-SERVER"
        set role lan
        set allowaccess ping
    next
end

FortiGate – Tạo Static Route ra Internet

config router static
    edit 1
        set gateway 192.168.1.254
        set device "port2"
    next
end

Cisco Switch – Cấu hình Trunk và Access

SW-LAB-01(config)# interface ethernet 0/0
SW-LAB-01(config-if)# switchport trunk encapsulation dot1q
SW-LAB-01(config-if)# switchport mode trunk
SW-LAB-01(config-if)# switchport trunk allowed vlan 10,20

SW-LAB-01(config)# interface ethernet 0/1
SW-LAB-01(config-if)# switchport mode access
SW-LAB-01(config-if)# switchport access vlan 10

SW-LAB-01(config)# interface ethernet 0/2
SW-LAB-01(config-if)# switchport mode access
SW-LAB-01(config-if)# switchport access vlan 20

Kiểm tra kết quả

# Xem VLAN interface đã tạo
show system interface

# Xem bảng định tuyến
get router info routing-table all

# Test ping từ FortiGate
execute ping 10.10.10.100
execute ping 8.8.8.8

🔒 Bảo mật cần nhớ

• ✅ Không dùng VLAN1 làm native VLAN (VLAN1 là mặc định, dễ bị tấn công VLAN hopping).
• ✅ Tách VLAN Guest hoàn toàn ra khỏi VLAN nội bộ.
• ✅ Mỗi nhóm người dùng nên có VLAN riêng.

📖 Case thực tế

Một công ty có 3 bộ phận: IT, HR, và Wifi khách. Dùng VLAN:

• VLAN10 = IT → được truy cập server và Internet
• VLAN20 = HR → chỉ được Internet, không vào server IT
• VLAN30 = Wifi khách → chỉ ra Internet, không vào mạng nội bộ

FortiGate đóng vai trò inter-VLAN routing kết hợp với firewall để kiểm soát từng VLAN.

📅 Tuần 4/12 – FortiOS 7.6.6 Administration Lab