Er zijn veel situaties denkbaar waarbij firewalls op verschillende locaties een nagenoeg identieke configuratie nodig hebben. Denk hierbij bijvoorbeeld aan de detailhandel, waarbij winkels in verschillende steden de firewall gebruiken voor bijvoorbeeld een VPN connectie naar het hoofdkantoor. Of bijvoorbeeld in de zorgsector, waarbij vanuit verschillende locaties wordt verbonden naar een datacenter waar de patiëntgegevens staan. En zo zijn er nog veel meer voorbeelden te noemen. In deze gevallen maakt het gebruik van configuratie templates het uitrollen van nieuwe locaties een stuk efficiënter en ook het dagelijks beheer wordt er een stuk makkelijker door.
Maar wat als de fysieke situatie tussen de locaties verschillend is? Als voorbeeld kijken we naar een situatie in de zorgsector. Een zorgorganisatie heeft meerdere locaties verspreid over het land, en vanuit alle locaties wordt verbinding gemaakt naar een datacenter middels een IPsec VPN. Echter is de WAN aansluiting verschillend tussen de locaties. Op locatie A zit deze direct gekoppeld op de WAN interface van de firewall, echter op locatie B komt deze middels een VLAN op een tussenliggende switch naar de firewall. Hoe kan je in dit geval toch hetzelfde template gebruiken voor beide locaties?
De oplossing is in het template gebruik te maken van een Software Switch op de FortiGate. Onder deze Software Switch zet je dan vervolgens zowel de WAN interface, welke in situatie A gebruikt wordt, als het VLAN waar de WAN verbinding in situatie B overheen loopt.
Let er wel op dat om een interface toe te kunnen voegen aan de Software Switch, de “Addressing mode” van de betreffende interface op “Manual” moet staan.
Nadat de gewenste interfaces zijn toegevoegd in het template kan deze toegepast worden de beide locaties, ongeacht hoe de WAN verbinding fysiek loopt. Eventuele IPsec tunnels kunnen opgezet worden onder de Software Switch.
Een mogelijke limitatie van het gebruik van de Software Switch is de combinatie met ARP. Wanneer er bijvoorbeeld een VIP geconfigureerd wordt, op een IP welke in het subnet valt van de Software Switch, dan moet deze VIP actief gerouteerd worden naar de firewall toe. Of er moet gebruik gemaakt worden van een secondary IP op de Software Switch. De firewall zal niet reageren op een ARP request voor het virtual IP.
Het bovenstaande is slechts een van de mogelijke situaties waarbij het gebruik van een Software Switch uitkomst kan bieden, echter de toepasbaarheid is vele malen breder dan dit.
