📘 Cara Ganti Management VDOM FortiGate dan Dampaknya
Pada perangkat FortiGate yang menggunakan konfigurasi multiple VDOM (Virtual Domains), management VDOM berperan penting dalam mengatur lalu lintas keluar seperti:
- Permintaan ke FortiGuard (license, contract update)
- SNMP traps, Syslog, FortiAnalyzer, Email alert
- Traffic out-of-band dari CLI/GUI
Secara default, management VDOM diset ke root. Namun, pada implementasi tertentu seperti MSSP atau multi-tenancy, mungkin perlu mengubahnya ke VDOM lain .
🔧 Cara Mengecek Management VDOM Saat Ini
Masuk ke mode global config dan jalankan perintah berikut:
config global
show full system global | grep management-vdomContoh output:
set management-vdom "root"🛠Cara Mengubah Management VDOM via CLI
Langkah-langkah:
config global
config system global
set management-vdom <nama_vdom_baru>
end
endContoh:
set management-vdom "vdom-A"✅ Catatan penting: Pastikan VDOM "vdom-A" sudah memiliki koneksi internet, rute default keluar, dan pengaturan DNS yang benar — terutama jika digunakan untuk FortiGuard update dan fitur terkait.
⚠️ Dampak Perubahan Management VDOM
- Monitoring & Logging: Semua log system, SNMP trap, syslog, dan FortiAnalyzer akan keluar melalui VDOM baru.
- FortiGuard Services: FortiGate akan menggunakan VDOM baru untuk mengakses layanan seperti AV/IPS update dan license validation.
- DNS, Routing, Access: VDOM baru harus punya akses internet langsung atau via policy-based routing.
- Troubleshooting: Jika tidak dikonfigurasi dengan benar, akan terjadi error seperti:
- Gagal update lisensi
- Tidak bisa kirim log
- FortiAnalyzer tidak menerima log
Mulai versi 7.2.3, FortiGate mendukung penggunaan VDOM non-management untuk akses FortiGuard melalui opsi khusus.
🔗 Fitur Baru:
“On v7.2.3+ is added a new feature that allows Fortiguard services and updates to be used with a non-management VDOM”
🖼 Contoh Langsung Change Management VDOM - Testing pada FGT FortiOS 7.4.8 - Before
📊 Kondisi Sebelum Perubahan
1. Management VDOM Masih di VDOM "root"
Gambar di atas menunjukkan bahwa parameter management-vdom masih diset ke "root", artinya seluruh lalu lintas manajemen FortiGate diarahkan melalui VDOM tersebut.
2. Salah Satu Tunnel VPN Berada di VDOM Root
Interface/tunnel VPN ini adalah bagian dari VDOM root, sehingga semua aktivitas seperti IPsec VPN akan tetap berjalan di sini meskipun nanti management VDOM diganti.
🔄 Proses Penggantian Management VDOM
3. Eksekusi Perintah CLI
Perintah tersebut mengganti management VDOM dari "root" ke vdom "testing", lalu logout-login GUI agar terlihat perubahannya.
✅ Kondisi Setelah Perubahan
4. Management VDOM Sudah Berpindah
Tampak bahwa VDOM "testing" kini menjadi management VDOM utama. Trafik untuk FortiGuard, syslog, SNMP, dll akan menggunakan VDOM ini.
5. Tunnel VPN Tetap di Root
Penggantian management VDOM tidak memindahkan konfigurasi VPN tunnel sehingga tunnel tetap berada di VDOM asalnya "root" dan tetap aktif.
📌 Kesimpulan
Mengganti management VDOM harus dilakukan dengan hati-hati. Pastikan VDOM baru memiliki:
- IP yang valid
- Route default keluar
- DNS dan access policy yang lengkap
Karena semua sistem update dan komunikasi keluar akan melewati VDOM ini, kesalahan bisa menyebabkan:
- Sistem tidak bisa update
- Log hilang
- Monitoring terganggu
Referensi resmi Fortinet: Link artikel Fortinet Community
Tidak ada komentar:
Posting Komentar