各位先進好,小弟是剛進IT界不久的菜鳥,目前在一間傳統產業擔任MIS,
公司日前打算添購一台頻寬管理器,也有跟廠商借機器測試,
公司有二條外線,之前的接法是一條外線接一台60B防火牆
加入頻寬管理器後,外線勢必要統一接在頻管管理器上
頻寬管理器後打算接一台60B防火牆,且已經把防火牆設為通透模式
我的接法如下:
頻寬管理器LAN->60B WAN
60B LAN1->SMC L3
60B管理IP為192.168.1.253
接上去後Client端無法上網
如果把接法改為:
頻寬管理器LAN->60B LAN1
60B LAN2->SMC L3
接上去後Client端可以上網,但我無法進入60B的管理介面,也Ping不到192.168.1.253
而且如果要在60B設定policy,邏輯好像也怪怪的...
請問是我的觀念哪裡有錯誤嗎?
第一次發問,還請各位先進多多指教
我先說說看觀念,看是否對你問題有解
防火牆設備的policy是以Interface or zone為控管方向之依據,簡單說當你架構是如此時:LAN-PC → EMC L3→ FG80B"LAN1" → FG80B"WAN" → 頻寬管理器"LAN"
你有可能是 LAN to WAN policy尚未設定,且預設會阻擋任何封包進出WAN/LAN端介面,相對Client 就無法上網!
你另一個架構:LAN-PC → EMC L3→ FG80B"LAN2" → FG80B"LAN1" → 頻寬管理器"LAN"
你說Client可以上網,是因為設備LAN1/LAN2之間是switch mode,所以設備預設是允許封包進出LAN與LAN介面中,所以你policy沒設定client也能上網;
那無法管理FG80B以及ping可能原因是這樣:你的管理IP是設定於WAN界面上,當你使用第二架構時WAN端根本沒有接線路( =interface not uplink)所以你管理不到ping不到是正常的!
如果我上述內容符合您現況,建議做法有二:
1、使用第一架構時,請設定WAN ← → LAN之間的policy!
2、使用第二架構時,請將管理介面(WAN)接一條網路線與EMC L3連接,這樣你就能管理了!
但你最好要進行LAN1 ← → LAN2之間的policy 設定!以符合公司管理需求!
感謝ho77199大大 今天把它重新設定
頻寬管理器IP:192.168.100.1
F60B IP:192.168.1.253
SMC IP:192.168.1.254
通透模式已設定
設定完後到路由表 可以看到default route往192.168.100.1
目前client可以上網 但ping不到192.168.1.253
而且從防火牆也ping不到192.168.100.1與192.168.1.254
依照上述你說明的IP,這樣就糊塗啦!
F60B既然是透通模式,怎麼頻寬管理器的IP與下面設備(FG/SMC)的IP網段不一樣呢?
1、你覺得合不合理?
2、建議你將從PC端一直到ISP端的細節架構畫張圖來討論比較不會空談!
您可以在架構圖中將IP模擬寫出即可,無須將真正的公司IP資訊寫出!
真的找不出問題點,可以用私人訊息告知我MSN帳號,再作討論!
感謝ho77199大大的回答
的確是小弟搞糊塗了
我的IP位址設錯了
已經把問題解決了,這麼初階的問題還麻煩這麼多人真不好意思
你頻寬管理器的型號是?
雖說我也只是個小菜鳥....不過頻寬管理器卻有好幾種…
請問我是兩條線我的是 200B 我有切3個VLAN 對內都OK但是就是出不去
192.168.1.X 192.168.2.X 走A線 (可以上網)
192.168.3.X 走B線 (出不去)
.3 PING .1 .2 都可以通就是出不去
所有設定都跟.1段的一樣也不知道哪裡出了問題。
你這可能是192.168.3.x 沒有設定 policy route,所以它還是走原來的defautl route,又 vlna 192.168.3.x 沒有開對wan1的policy,所以無法上網,建議找有經驗的廠商幫你做設定
不曉得FG200B跟FG100A有無不同,
我們公司是用FG100A接兩條Internet如你所說A路,B路
要先設定靜態路由,設定相同的Distance才能出去,如:
0.0.0.0/0.0.0.0 123.xx.xx.xx WAN1 10
0.0.0.0/0.0.0.0 220.xx.xx.xx WAN2 10
之後到Policy Route政策路由上設定 那些IP要透過那條線路出去,
每一段都要指定如你的192.168.1.X Internal 要由 WAN1出去
192.168.2.X DMZ1 要由WAN1 出去
192.168.3.X DMZ1 要由WAN2 出去
另外幾個內網互通如Internal -> DMZ1, Internal ->DMZ2或是
DMZ1->Internal, DMZ1-> DMZ2 ; DMZ2->Internal, DMZ2->DMZ1都要設定出來
不然就不會通.
而FG 100A的Policy Route 只能設定16筆,因此設定上就會又麻煩又被重重綁住.
若你們有ssl.root 用起來就會有點不夠.
希望我寫的你能看得懂. 因為我們就是這樣Run的,否則就要像樓主一樣用頻寬管理器會容易些
robinlu提到:
192.168.3.X DMZ1 要由WAN2 出去
修正192.168.3.X DMZ2 要由WAN2 出去
感謝robinlu兄
之前靜態路由已經有設定,目前我把B線的優先權改成0就可以出去了,但是變成A出不去(A優先權也是0),我猜會不會是相同優先權會出現問題我把A改成10還是出不去,現在卡在這裡不知道要怎麼辦只要是0就可以出去相同時只有B出得去...
看來是政策路由上的問題,真的還是無法解決的話.若信任在下的再E-Mail給我,建一個ReadyOnly的管理權,也許我可以遠端協助看一下設定上有什麼問題.不過還是先找一下供應商,請他們協助為優先.
政策路由.... 那個我完全沒設定...因為那個地方我就看不太懂了...
政策路由如附件,先選取來源介面及設定來源的網段 0.0.0.0/0.0.0.0則為全部網段
目地網段要出Internet 使用預設的 0.0.0.0/0.0.0.0
再設定強制由那一個介面出去就可以了, 不用設定Gateway IP
感謝robinlu
不知道我這樣是對還是錯,如果沒有錯的話問題又會回到上面的問題就是優先權=0才出的去,所有線路優先權相同時只有.3段出的去...
上面的協定編號請都保持為0,Policy Route有設定好兩路都應出得去,
可以透過tracert來觀看.
若有問題請E-mail: robin122@pchome.com.tw連繫,
我們這棟違章建築蓋的有點高,就此打住.
1.頻寬管理器的LAN Port要接在F60B的WAN Port。F60B的LAN Port要接在L3 Switch。
2.假設頻寬管理器IP:192.168.1.254。F60B IP:192.168.1.253
3.F60B管理介面:系統管理>>設定>>操作模式>>設成"透通模式"。
4.Client端的Gateway IP要成:192.168.1.254。
這樣應該可以上網,若不行的話,F60B的 路由設定>>靜態路由>>新增路由>>網路匣:192.168.1.254
試試看吧。
我們也有很棒的頻寬管理器,需要可以MSN給我:ken5200@hotmail.com
感謝erinfo大大 今天把它重新設定
頻寬管理器IP:192.168.100.1
F60B IP:192.168.1.253
SMC IP:192.168.1.254
通透模式已設定
設定完後到路由表 可以看到default route往192.168.100.1
目前client可以上網 但ping不到192.168.1.253
而且從防火牆也ping不到192.168.100.1與192.168.1.254