FortiGate60D v5.2.3 VLAN DHCP發放問題?

無線網路路由器 switch 上網管理

fliesyan 2015-06-06 00:50:21 ‧ 15969 瀏覽

分享至

抱歉，可否請教一下

FortiGate 60D 韌體版本v5.2.3
D-Link DAP-1353 韌體版本 2.51.005

想請教一下
※我在FortiGate 60D介面LAN1上建立

※建立 VLAN81、VLAN 82區段
192.168.81.254/255.255.255.0
192.168.82.254/255.255.255.0
二個網段都有建立DHCP發放

※在D-Link DAP-1353 AP上
建立二組SSID
SSID1指向->VLAN 81
SSID2指向->VLAN 82
LAN PORT 打vlan trunk

※LAB 1 實驗

測試結果：
LAB測試OK，SSID1、2都可以拿到租用IP、連線

※LAB 2實驗

上面一樣設定
多增加一台D-Link DGS-1500-28
建立VLAN81 、VLAN82
LAN24 、LAN1 打trunk 並讓VLAN 81、VLAN 82 通過
LAN11設定VLAN 81 Untagged

測試結果：
PC A可以正常租用DHCP、正常連線
但透過D-Link DAP-1353，SSID1、SSID2....行動裝置都拿不到DHCP IP

※我的問題來了
1、FortiGate 60D 、D-Link DAP-1353 設備對接， VLAN trunk打通了、DHCP發放正常、正常連線
2、LAB2 PCA都可以正常取的IP，為什麼AP節點 SSID1、SSID2無法取得IP?會是因為L2沒有設定dhcp relay嗎?
3、但我看網路文章.....觀念上，是VLAN上..沒有DHCP SERVER or DHCP SERVER 在不同網段才需要建立dhcp relay
4、我不死心想說可能是AP壞了，在PCA的地方...直接拔掉，直接插入家用AP(關閉DHCP、設定管理IP) 插入LAN網段(橋接LAN網段)...透過行動裝置也一樣無法取的DHCP發放

xxoo1122 iT邦新手 3 級 ‧ 2015-06-06 10:53:04 檢舉

可以貼一下interface設定的圖片嗎?

登入發表討論

熱門推薦

{{ item.channelVendor }} | {{ item.webinarstarted }} |

直播中

1 個回答

mytiny

iT邦超人 1 級 ‧ 2015-06-06 11:32:19

最佳解答

2、LAB2 PCA都可以正常取的IP......會是因為L2沒有設定dhcp relay嗎?

小弟認為問題應該不是出在DHCP相關設定上
而是VLAN帶tag的問題
因為版大未說明有關FG60D上有關VLAN的設定
暫時沒辦法判斷你設的SSID是否有帶上正確的Vlan ID
可以建議你在不同的SSID下用筆電自設一下IP，
然後看看網路到底會不會通，再研判是否DHCP的問題
實作上用各家ThinkAP方案是可以經由不同SSID取得各自Vlan ID
達到以Fortigate做集中發放DHCP，集中控管帳戶ID，以及集中辨識設備BYOD
配合以防毒防駭，應用程式管控，網頁過濾等功能
至於FatAP是否能如此配合Vlan ID，小弟是比較存疑的

還是FortiGate有非法AP偵測?

Fortigate確實有非法AP偵測功能，
但是首先必須配合自己的FortiAP
再者，啟動功能後抑制非法AP的方式，需要再手動操作
避免誤判之後造成困擾
因此以版大的情況而論，應該不是非法AP偵測

但是版大所提，卻很可能是"設備辨識"之BYOD功能
此功能運用可以避免非單位所認可的設備進入網路
不過版大似乎並未啟用，篇幅所限，在此先行略過討論

希望版大測試結果能再上來回饋，以便其他先進再多給建議

回應 7
分享
檢舉

看更多先前的回應...收起先前的回應...

fliesyan iT邦新手 4 級 ‧ 2015-06-06 12:17:46 檢舉

小弟認為問題應該不是出在DHCP相關設定上
而是VLAN帶tag的問題

VLAN tag 有測試過，直接插在Fortigate LAN 並設定網卡帶81、82tag 測試OK

但是版大所提，卻很可能是"設備辨識"之BYOD功能

我有在想，會不會是設備辨識問題，但找不到地方設定

mytiny iT邦超人 1 級 ‧ 2015-06-06 17:48:22 檢舉

VLAN tag有測試過，直接插在Fortigate LAN並設定網卡帶81、82tag測試OK

根據版大描述，猜想版大有點誤會小弟的意思
小弟是懷疑問題可能FatAP所發的SSID無法帶tag通過DGS-1500
所以才請版大測試在LAB2的DAP-1353下找台NB自設該網段IP，
如192.168.81.xx，且網卡不需設tag
然後往192.168.81.254 ping看會不會通
小弟網上找一下，似乎未見到DAP-1353之SSID帶tag的方法
因為按LAB2實作，"不帶tag"，只發一個SSID，應該都能收的到IP

會不會是設備辨識問題，但找不到地方設定

關於"設備辨識"BYOD
如果版大沒有設定，那就一定沒有作用，所以不是設備辨識的關係
設定的地方在防火牆的政策裡面，在來源位址名稱之下，就有設備可以設定
版大已找到設備群組部分，其實在"設備定義"就可以做，
選取設備後點兩下就可以編輯，記得取"別名"與"自定義群組"
操作非常簡單，版大可以參考以下影片再嘗試一下就有結果
https://www.youtube.com/watch?t=169&v=4KABB3pSQcA
不用擔心一定要用FortiAP，只要是Layer2的網路通訊都可以用
只是版大用FG60D已經辨識將近100個device，可能機器CPU會吃得很重哦

fliesyan iT邦新手 4 級 ‧ 2015-06-07 15:35:18 檢舉

mytiny提到：
大有點誤會小弟的意思
小弟是懷疑問題可能FatAP所發的SSID無法帶tag通過DGS-1500
所以才請版大測試在LAB2的DAP-1353下找台NB自設該網段IP，
如192.168.81.xx，且網卡不需設tag
然後往192.168.81.254 ping看會不會...(恕刪)

1、我是按照http://www3.sips.ntpc.edu.tw/wordpress/?p=600這篇設定
1353直接接FG60D 是OK
會自動貼、刪tag

2、至於指定IP，當時我只有用行動裝置
-->測試是不行
我在準備NB測試看看

3、LAB2我有嘗試
A.1353 不開啟VLAN，交換器端口改 Untagged ....測試不行
B.1353 LAN 開啟 VLAN trunk, 交換器端口開啟 VLAN trunk.......測試不行

mytiny iT邦超人 1 級 ‧ 2015-06-07 17:37:06 檢舉

按版大的LAB2架構，說一下實作OK的例子(機型有差異)
FortiOS 5.2.3，接口提供5-6個Vlan ID，每段均發DHCP Server
Switch: Z牌PoE L2，所有Port提供all tags，但僅Lan24提供Vlan Trunking
AP，F牌，提供Lan埠所有SSID帶tags
運作結果：在Bridge模式下(類似版大模式)
每段SSID均能取得正確網段IP
某些SSID因採用BYOD會被限制設備(僅教具平板可入)
以上舉例供版大參考，希望對版大有所幫助

fliesyan iT邦新手 4 級 ‧ 2015-06-14 04:43:43 檢舉

今天嘗試換一台vlan交換器
測試結果ㄧ樣
Wifi。ssid1、ssid2
1、透過nb可以正常抓到ip並連線
2、行動裝置無法抓取dhcp所放放ip
3、在同SSID ,VLAN 。行動裝置指定ip，NB透過Icmp是可以連到設備（但無法連結匝道）

開始懷疑，不可能我3個AP都壞掉啊。會是fw擋掉？分位問題？線路問題？

mytiny iT邦超人 1 級 ‧ 2015-06-14 20:19:12 檢舉

行動裝置指定ip，NB透過Icmp是可以連到設備（但無法連結匝道）

果真如小弟所料...
NB可以ping的到DAP-1353，甚至Vlan交換機，但就是Ping不到FG-60D
這就顯示不是DHCP相關的問題，因為此網段從行動裝置到閘道並不通
按照DHCP運作原理，它主要藉由用戶端傳送廣播封包給整個網段內的所有主機，
若區域網路內有DHCP伺服器時，才會回應用戶端的IP參數要求。
現在版大自己設定IP都沒法Ping到DHCP主機(閘道FG-60D)
自然DHCP主機(閘道FG-60D)是沒法發到IP給行動裝置的

請版大把交換機只將Uplink設Vlan Trunking
"按圖應該只有Lan24,沒有Lan1"
且把所有port都設帶tags
如果這樣還是不行給行動裝置發到IP
我誠心建議版大，
除了找賣你網路設備的SI問個清楚外
不然就是把基地台都換成FortiAP吧