Während ich sehnsüchtig auf die Lieferung meiner beiden Intel NUCs wartete, begann ich mit der Planung und Einrichtung meines Netzwerks. Die folgende High-Level-Darstellung diente als Grundlage:
Für die Infrastruktur verwendete ich eine FortiGate 60F als Firewall und einen Aruba CX6300M als Switch.
Firewall-Konfiguration
Um später mehrere unabhängige Labs betreiben zu können, entschied ich mich direkt zu Beginn für die Nutzung von VDOMs (Virtual Domains).
Virtual Domains (VDOMs)
Virtual Domains (VDOMs) ermöglichen es, eine FortiGate-Firewall in mehrere virtuelle Einheiten zu unterteilen, die unabhängig voneinander funktionieren. Jede VDOM kann separate Sicherheitsrichtlinien sowie vollständig isolierte Konfigurationen für Routing- und VPN-Dienste bereitstellen, insbesondere im NAT-Modus. Standardmäßig ist die Root-VDOM die Management-VDOM. Verwaltungsdienste wie FortiGuard-Updates und lokaler ausgehender Datenverkehr (z. B. Protokolle zu Remote-Servern) werden von der Root-VDOM abgewickelt.
Root-VDOM
Die Root-VDOM nutze ich als Management-VDOM und zusätzlich für meine Management-Netzwerke. Hierbei werden die Schnittstellen Interface 1, Interface 2 sowie das OOBM-Interface verwendet. Letzteres ist direkt mit dem Management-Port (MGMT1/1) meines Aruba-CX-Switches verbunden.
WAN-VDOM
Für die Aggregation meiner Internetanschlüsse habe ich eine dedizierte WAN-VDOM erstellt, der ich die Interfaces WAN-1 und WAN-2 zugewiesen habe.
NSX-Lab
Für mein erstes Lab, das NSX-Lab, erstellte ich eine separate Traffic-VDOM NSX-01a und wies die Interfaces 3 und 4 zu.
VLAN-Übersicht
| VLAN | Netzwerk | Gateway | Beschreibung |
|---|---|---|---|
| 10 | 10.172.10.0/24 | .254 FGT-VDOM-ROOT | Management |
| 11 | 10.172.11.0/24 | - | vMotion |
| 21 | 10.172.21.0/24 | .254 Aruba-CX | Host-TEP |
| 22 | 10.172.22.0/24 | .254 Aruba-CX | Edge-TEP |
| 31 | 10.172.31.0/27 | .30 Aruba-CX | BGP Uplink-1 |
| 32 | 10.172.32.0/27 | .30 Aruba-CX | BGP Uplink-2 |
| 254 | 10.172.254.0/31 | .0 Aruba / .1 FGT | BGP Peering FGT-Aruba |
Zusätzliche VLANs für VDOM-Links
- 4001: 10.172.255.0/31 (Root ↔ WAN)
- 4002: 10.172.255.2/31 (NSX ↔ WAN)
- 4010: 10.172.255.10/31 (Root ↔ NSX)
BGP-ASNs
| ASN | Bereich |
|---|---|
| 65000 | NSX |
| 65021 | Aruba CX |
| 65100 | VDOM WAN |
| 65101 | VDOM Root |
| 65102 | VDOM NSX-01a |
