Konfigurasi VXLAN Di Fortigate

Jul 20, 2020 - vxlan fortigate

Halo network geeks.. Kali ini saya akan share tentang konfigurasi VxLAN pada perangkat Fortigate.

VxLAN sendiri ada teknologi untuk men-tunnel layer2 diatas layer 3 transport. Fitur ini sedang sangat booming saat ini, karena pertumbuhan Data Centre sedang on-fire.

Mau curhat sedikit, beberapa waktu yang lalu, saya mencoba untuk mengaplikasikan VxLAN pada Fortigate pada salah satu pelanggan di perusahaan tempat saya bekerja.

Tapi gagal. 😅

Jaringan LAN pelanggan looping karena STP tidak convergence. Awalnya, saya tidak bisa memastikan kenapa. Padahal di lab yang sudah saya lakukan berkali-kali, BPDU STP bisa dilewatkan VxLAN Fortigate.

Namun belakangan saya menemukan secercah pencerahan. VxLAN yang gagal saya terapkan di pelanggan tersebut, kemungkinan karena Fortigate yang digunakan pada saat itu tidak support Encap/Decap VxLAN di ASICs. Maklum ya, Fortigate versi kecil.

Dari hasil membaca beberapa website, Fortigate support Encap/Decap VxLAN pada perangkatnya seri 1800F, seperti keterangan pada situs halaman web ini.

Anyway busway, berikut adalah konfigurasi VxLAN pada Fortigate ya. Fortigate yang satunya lagi di config juga seperti config-an dibawah, dengan mengubah IP WAN-nya.

config system interface
    edit "port9"
        set vdom "root"
        set ip 1.1.1.1 255.255.255.0
        set allowaccess ping
        set type physical
        set snmp-index 9
    next
    edit "port10"
        set vdom "root"
        set broadcast-forward enable
        set l2forward enable
        set vlanforward enable
        set stpforward enable
        set type physical
        set snmp-index 10
        set stpforward-mode rpl-nothing
        set mtu-override enable
        set mtu 1446
    next
    edit "vxlan-dc-to-drc"
        set vdom "root"
        set broadcast-forward enable
        set l2forward enable
        set vlanforward enable
        set stpforward enable
        set type vxlan
        set snmp-index 13
        set stpforward-mode rpl-nothing
        set mtu-override enable
        set mtu 1446
        set interface "port9"
    next
end
#
#
config system vxlan
    edit "vxlan-dc-to-drc"
        set interface "port9"
        set vni 1000
        set remote-ip "1.1.1.2"
    next
end
#
#
config system virtual-wire-pair
    edit "vwp1"
        set member "port10" "vxlan-dc-to-drc"
        set wildcard-vlan enable
    next
end
#
#
config firewall policy
    edit 1
        set name "VXLAN-POLICY"
        set srcintf "port10" "vxlan-dc-to-drc"
        set dstintf "vxlan-dc-to-drc" "port10"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"
    next
end
#
#
config system global
    set honor-df disable
end

Berikut contoh capture Wireshark, Frame STP yang di encap ke VXLAN.

STP over VxLAN

Semoga bermanfaat.