مدت زمان مطالعه:
بررسی Modeهای عملیاتی FortiGate
دستگاههای FortiGate دارای حالتهای عملیاتی مختلفی هستند که بسته به نیازهای شبکه میتوان آنها را تنظیم کرد. دو حالت اصلی عملیاتی شامل NAT Mode و Transparent Mode میشوند. هر دو حالت اجازه میدهند فورتیگیت به عنوان فایروال عمل کند، اما برخی ویژگیها در Transparent Mode محدود هستند.
همیشه بهتر است پیش از راهاندازی دستگاه، تصمیم بگیرید از کدام حالت استفاده خواهید کرد. تغییر حالت عملیاتی پس از پیکربندی دستگاه، باعث حذف تمامی تنظیمات میشود.
علاوه بر این دو مود اصلی، فورتیگیت دارای حالتهای دیگری نیز هست:
HA Mode (High Availability): برای ایجاد خوشههای فعال-غیرفعال (Active-Passive) یا فعال-فعال (Active-Active) جهت افزایش دسترسیپذیری و افزونگی.
VDOM Mode (Virtual Domains): برای تقسیمبندی یک دستگاه فورتیگیت به چندین فایروال مجازی مستقل جهت مدیریت چندین محیط شبکهای متفاوت.
در ادامه به بررسی NAT Mode و Transparent Mode میپردازیم:
حالت NAT/Route
NAT Mode رایجترین حالت عملیاتی در فورتیگیت است و به همین دلیل به صورت پیشفرض فعال است. همانطور که از نامش پیداست، عملکرد Network Address Translation (NAT) در این حالت معمولاً استفاده میشود و به راحتی قابل پیکربندی است. با این حال، استفاده از NAT الزامی نیست و فورتیگیت میتواند به عنوان یک روتر ساده (بدون NAT) نیز عمل کند.
در این حالت، فورتیگیت آدرسهای IP را ترجمه کرده و بستههای IP را قبل از ارسال به شبکه مقصد تغییر میدهد.
کاربردهای رایج NAT Mode:
1. اتصال شبکههای خصوصی به اینترنت یا شبکههای عمومی.
2. پیادهسازی SD-WAN و VPN.
3. ایجاد فایروال لایه 3 برای مسیریابی بین VLANها و Subnetهای مختلف.
ویژگیهای حالت NAT:
1. استفاده به عنوان Gateway:
فورتیگیت به عنوان Default Gateway بین شبکههای Private و Public (مانند اینترنت) قرار میگیرد و از Source NAT (SNAT) برای ترجمه آدرسهای داخلی استفاده میکند.
2. عملکرد به عنوان Router:
در این حالت، فورتیگیت مانند یک Layer 3 Router عمل میکند و میتواند بین چندین Subnet و VLAN مسیریابی انجام دهد.
3. قابل مشاهده در شبکه:
دستگاه در این حالت در Routing Tables و Network Topology به عنوان یک Routable Node شناخته میشود و دارای آدرس IP است.
4. Subnetهای مجزا برای اینترفیسها:
هر Interface در فورتیگیت به یک Subnet جداگانه اختصاص داده میشود.
5. تخصیص IP برای اینترفیسها:
هر Logical Interface نیازمند یک Valid IP Address در Subnet مربوطه است که میتواند به صورت Static یا Dynamic (DHCP-assigned) پیکربندی شود.
حالت Transparent
در Transparent Mode، فورتیگیت مانند یک Bridge در لایه 2 شبکه عمل میکند. به این معنی که دستگاه برای سایر تجهیزات شبکه نامرئی است و در Routing Tables نمایش داده نمیشود. فورتیگیت در این حالت بستههای IP را بدون تغییر در آدرسهای IP عبور میدهد، اما همچنان میتوان Security Policies را برای کنترل ترافیک اعمال کرد.
کاربردهای رایج Transparent Mode:
1. افزودن فورتیگیت به شبکههای موجود بدون نیاز به تغییر توپولوژی یا آدرسدهی.
2. پیادهسازی فایروال inline بین دو نقطه از شبکه برای بازرسی ترافیک.
3. استفاده در محیطهایی که تغییرات آدرس IP غیرممکن یا مشکلساز است.
ویژگیهای حالت Transparent:
1. نامرئی بودن در شبکه:
فورتیگیت به عنوان یک Bridge در Layer 2 عمل میکند و در Routing Tables یا Network Topology نمایش داده نمیشود.
2. Subnet یکسان برای اینترفیسها:
تمام Interfaces دستگاه در یک Broadcast Domain (Subnet یکسان) قرار دارند و آدرسدهی IP در سطح Interface انجام نمیشود.
3. Management IP:
یک Management IP Address در یک اینترفیس برای دسترسی مدیریتی و پیکربندی استفاده میشود، اما این IP بر روی ترافیک عبوری تأثیری ندارد.
4. پشتیبانی محدود از NAT:
امکان استفاده از One-to-One NAT یا SNAT/DNAT به صورت محدود وجود دارد، اما پیادهسازی آن پیچیدهتر از NAT Mode است.
5. Security Policy بر اساس IP/MAC:
با تعریف Security Policies میتوان فیلترینگ بر اساس آدرسهای IP، MAC یا Virtual IP (VIP) انجام داد، اما این تنظیمات بر مسیریابی شبکه تأثیری ندارند.
نکات فنی:
در حالت Transparent، تمام پورتها به طور پیشفرض در یک دامنه ارسال (Forwarding Domain) قرار دارند. برای جداسازی ترافیک میتوانید:پورتها را به دامنههای ارسال مختلف در همان VDOM اختصاص دهید.
از VDOMهای جداگانه برای تفکیک پورتها به دامنههای ارسال متفاوت استفاده کنید.
خطر ایجاد Loop:
به دلیل ماهیت Bridge Mode، خطر ایجاد Loop در شبکه وجود دارد. استفاده از Spanning Tree Protocol (STP) برای جلوگیری از این مشکل توصیه میشود.
سخن پایانی:
انتخاب بین NAT Mode و Transparent Mode به نیازهای شبکه شما بستگی دارد. اگر نیاز به ترجمه آدرس IP، مسیریابی بین شبکهها یا پیادهسازی VPN دارید، NAT Mode بهترین انتخاب است. اما اگر میخواهید فورتیگیت را بدون تغییر در ساختار شبکه به عنوان یک فایروال inline اضافه کنید، Transparent Mode گزینه مناسبی خواهد بود.
همچنین با توجه به قابلیتهای اضافی مانند HA Mode برای افزونگی و VDOM Mode برای تفکیک فایروالهای مجازی، میتوانید فورتیگیت را به گونهای پیکربندی کنید که دقیقاً مطابق نیازهای شبکه شما عمل کند.
Transparent Mode محدودیتهایی مانند عدم پشتیبانی کامل از dynamic routing protocols (مثل OSPF یا BGP) دارد. همچنین نمیتوان به راحتی از IPv6-to-IPv4 NAT استفاده کرد و برخی ویژگیها مانند IPSec VPN نیاز به پیکربندیهای پیچیدهتری دارند. علاوه بر این، ایجاد Loopهای شبکهای یکی از چالشهای رایج در این حالت است که نیازمند استفاده دقیق از Spanning Tree Protocol (STP) است.
در NAT Mode، فورتیگیت به طور کامل از Static Routing و Dynamic Routing Protocols (مثل OSPF، BGP) پشتیبانی میکند و میتواند به عنوان یک Layer 3 Router عمل کند. اما در Transparent Mode، فورتیگیت فقط میتواند از Static Routes محدود برای مدیریت Management Traffic استفاده کند و نمیتواند به طور مستقیم در Routing Tables شبکه ظاهر شود. در نتیجه، توانایی در مدیریت مسیریابی در Transparent Mode بسیار محدودتر است.
به طور مستقیم نمیتوان اینترفیسهای یک FortiGate را در دو Mode متفاوت پیکربندی کرد، اما با استفاده از VDOM (Virtual Domains) میتوانید اینترفیسها را به VDOMهای جداگانه اختصاص دهید و هر VDOM را در حالت NAT یا Transparent تنظیم کنید. این روش در محیطهایی که نیاز به ترکیب ویژگیهای هر دو مود دارند، کاربردی است.
استفاده از Transparent Mode در شبکههای چند VLAN نیازمند پیکربندی دقیق VLAN Sub-Interfaces است. این حالت میتواند عملکرد را تحت تأثیر قرار دهد، به خصوص اگر ترافیک بین VLANها نیاز به inspection داشته باشد. همچنین مدیریت broadcast traffic و جلوگیری از ایجاد loops به چالشهای مهم در این محیط تبدیل میشود.
در NAT Mode، Failover در HA Mode نیازمند همگامسازی دقیق Routing Tables و NAT Translations است، در حالی که در Transparent Mode بیشتر تمرکز روی MAC Address Tables و Bridge State است. همچنین در Transparent Mode، تغییر مسیر ترافیک پس از Failover سریعتر انجام میشود زیرا نیازی به تغییرات مسیریابی پیچیده وجود ندارد.
NAT Mode به عنوان حالت پیشفرض، امکان ترجمه آدرسهای IP و مسیریابی بین شبکههای مختلف را فراهم میکند و برای اتصال شبکههای خصوصی به اینترنت ایدهآل است. در مقابل، Transparent Mode دستگاه را به صورت inline در شبکه قرار میدهد بدون اینکه نیازی به تغییر توپولوژی یا آدرسدهی باشد، که این حالت برای افزودن امنیت به شبکههای موجود بدون تغییرات زیرساختی مناسب است. در محیطهای سازمانی که نیاز به مسیریابی پیشرفته و VPN وجود دارد، NAT Mode مناسبتر است، اما برای محیطهای حساس به تغییرات شبکه، Transparent Mode بهترین انتخاب است.
بله، Transparent Mode به طور محدود از NAT پشتیبانی میکند، اما پیادهسازی آن پیچیدهتر از NAT Mode است. میتوان از One-to-One NAT و SNAT/DNAT برای ترجمه آدرسها استفاده کرد، اما این تنظیمات معمولاً به موارد خاص محدود میشوند و نیاز به دقت بالاتری در پیکربندی دارند.
بله، اما تغییر حالت عملیاتی (از NAT به Transparent یا بالعکس) باعث حذف تمامی تنظیمات پیکربندی دستگاه میشود. بنابراین، بهتر است قبل از تغییر مود، یک Backup کامل از تنظیمات فعلی تهیه کنید و پس از تغییر مود، تنظیمات مورد نیاز را مجدداً اعمال کنید.
<p dir="rtl" style="text-align: right">انتخاب بین NAT Mode و Transparent Mode به نیازهای شبکه شما بستگی دارد. اگر نیاز به ترجمه آدرس IP، مسیریابی بین شبکه‌ها یا پیاده‌سازی VPN دارید،</p> <p dir="rtl" style="text-align: right"> NAT Mode بهترین انتخاب است. اما اگر می‌خواهید فورتی‌گیت را بدون تغییر در ساختار شبکه به عنوان یک فایروال inline اضافه کنید، Transparent Mode گزینه مناسبی خواهد بود.</p>
عالی!