我司有三條對外線路,所以我分別配置在WAN1、Wan2、DMZ
另外再把Port1設定為192.168.17.1/24 DHCP 192.168.17.2-10,
放置2-3台對外服務主機
Port2-16設定為Lan,192.168.16.1/24 DHCP 192.168.16.100-254
設定Lan可以連到Port1,Port1不能連到Lan
目前碰到一個狀況是,Port1上的192.168.17.2這個IP都無法連外出去,
但從內部Lan及外部可以連進來存取資源
我在同一張網卡上設置了192.168.17.3,就可以連出去
彷彿是192.168.17.2這個IP被鎖,試著更換網卡、及用其他電腦來使用此IP仍無法連外,
有人碰過嗎?謝謝
已邀請的邦友 {{ invite_list.length }}/5
版大既然啟動了ECMP,就該對路由的規則有所了解
目前VIP mapping與port對port直連的優先權都高於ECMP
因此版大外對內及直接埠互通是正常的
建議版大不要設這種lan any to all allow規則
會讓判斷流量與政策增加困擾
如果版大不會用diag debug相關指令
還是費事點一條一條設政策
這樣才看得出流量到底有沒有經過
版大的狀況小弟認為還是出在ECMP及線路設定
如果2,3,4三個IP中,2出不去而3,4出的去
可見wan1是不通的,輪第二三條線才通
請查驗ECMP使用方式及權值設定
同時也別忘了查驗一下Wan1是否還正常
另外版大如果什麼都沒設
fortigate是沒有自動阻擋IP這種功能的(小弟沒聽說哪一家有)
還有七月已經過了,別太疑神疑鬼
ECMP設定權重負載平衡 45 Wan1、45 Wan2、10 DMZ(Wan3),不知這樣是否有設錯?Wan1(web server2、mail server)、Wan2(視訊會議、DVR Web界面、異地備援傳輸線路)、Wan3(web server、mail server)這三條應都有通,因各自有對外服務~其中一條不通我會收到外部寄來的故障通知信件。
附帶一提,我是先設定好其他特定協議要allow或要deny的規則後,最後一條才是lan 192.168.16.0/24 to all allow 及port1 192.168.17.0/24 to all allow 現在就port1的192.168.17.2這IP對外不通,覺得怪
diag debug 我研究看看,感謝
iThome鐵人賽
看影片追技術