iT邦幫忙

0

FortiGate60D v5.2.3 VLAN DHCP發放問題?

抱歉,可否請教一下

FortiGate 60D 韌體版本v5.2.3
D-Link DAP-1353 韌體版本 2.51.005

想請教一下
※我在FortiGate 60D介面LAN1上建立

※建立 VLAN81、VLAN 82區段
192.168.81.254/255.255.255.0
192.168.82.254/255.255.255.0
二個網段都有建立DHCP發放

※在D-Link DAP-1353 AP上
建立二組SSID
SSID1指向->VLAN 81
SSID2指向->VLAN 82
LAN PORT 打vlan trunk

※LAB 1 實驗

測試結果:
LAB測試OK,SSID1、2都可以拿到租用IP、連線

※LAB 2實驗

上面一樣設定
多增加一台D-Link DGS-1500-28
建立VLAN81 、VLAN82
LAN24 、LAN1 打trunk 並讓VLAN 81、VLAN 82 通過
LAN11設定VLAN 81 Untagged

測試結果:
PC A可以正常租用DHCP、正常連線
但透過D-Link DAP-1353,SSID1、SSID2....行動裝置都拿不到DHCP IP

※我的問題來了
1、FortiGate 60D 、D-Link DAP-1353 設備對接, VLAN trunk打通了、DHCP發放正常、正常連線
2、LAB2 PCA都可以正常取的IP,為什麼AP節點 SSID1、SSID2無法取得IP?會是因為L2沒有設定dhcp relay嗎?
3、但我看網路文章.....觀念上,是VLAN上..沒有DHCP SERVER or DHCP SERVER 在不同網段 才需要建立dhcp relay
4、我不死心想說可能是AP壞了,在PCA的地方...直接拔掉,直接插入家用AP(關閉DHCP、設定管理IP) 插入LAN網段(橋接LAN網段)...透過行動裝置 也一樣無法取的DHCP發放

xxoo1122 iT邦新手 3 級 ‧ 2015-06-06 10:53:04 檢舉
可以貼一下interface設定的圖片嗎?

1 個回答

0
mytiny
iT邦大師 1 級 ‧ 2015-06-06 11:32:19
最佳解答

2、LAB2 PCA都可以正常取的IP......會是因為L2沒有設定dhcp relay嗎?

小弟認為問題應該不是出在DHCP相關設定上
而是VLAN帶tag的問題
因為版大未說明有關FG60D上有關VLAN的設定
暫時沒辦法判斷你設的SSID是否有帶上正確的Vlan ID
可以建議你在不同的SSID下用筆電自設一下IP,
然後看看網路到底會不會通,再研判是否DHCP的問題
實作上用各家ThinkAP方案是可以經由不同SSID取得各自Vlan ID
達到以Fortigate做集中發放DHCP,集中控管帳戶ID,以及集中辨識設備BYOD
配合以防毒防駭,應用程式管控,網頁過濾等功能
至於FatAP是否能如此配合Vlan ID,小弟是比較存疑的

還是FortiGate有非法AP偵測?

Fortigate確實有非法AP偵測功能,
但是首先必須配合自己的FortiAP
再者,啟動功能後抑制非法AP的方式,需要再手動操作
避免誤判之後造成困擾
因此以版大的情況而論,應該不是非法AP偵測

但是版大所提,卻很可能是"設備辨識"之BYOD功能
此功能運用可以避免非單位所認可的設備進入網路
不過版大似乎並未啟用,篇幅所限,在此先行略過討論

希望版大測試結果能再上來回饋,以便其他先進再多給建議
謝謝

看更多先前的回應...收起先前的回應...
fliesyan iT邦新手 4 級 ‧ 2015-06-06 12:17:46 檢舉

小弟認為問題應該不是出在DHCP相關設定上
而是VLAN帶tag的問題

VLAN tag 有測試過,直接插在Fortigate LAN 並設定網卡帶81、82tag 測試OK

但是版大所提,卻很可能是"設備辨識"之BYOD功能

我有在想,會不會是設備辨識 問題,但找不到地方設定

mytiny iT邦大師 1 級 ‧ 2015-06-06 17:48:22 檢舉

VLAN tag有測試過,直接插在Fortigate LAN並設定網卡帶81、82tag測試OK

根據版大描述,猜想版大有點誤會小弟的意思
小弟是懷疑問題可能FatAP所發的SSID無法帶tag通過DGS-1500
所以才請版大測試在LAB2的DAP-1353下找台NB自設該網段IP,
如192.168.81.xx,且網卡不需設tag
然後往192.168.81.254 ping看會不會通
小弟網上找一下,似乎未見到DAP-1353之SSID帶tag的方法
因為按LAB2實作,"不帶tag",只發一個SSID,應該都能收的到IP

會不會是設備辨識問題,但找不到地方設定

關於"設備辨識"BYOD
如果版大沒有設定,那就一定沒有作用,所以不是設備辨識的關係
設定的地方在防火牆的政策裡面,在來源位址名稱之下,就有設備可以設定
版大已找到設備群組部分,其實在"設備定義"就可以做,
選取設備後點兩下就可以編輯,記得取"別名"與"自定義群組"
操作非常簡單,版大可以參考以下影片再嘗試一下就有結果
https://www.youtube.com/watch?t=169&v=4KABB3pSQcA
不用擔心一定要用FortiAP,只要是Layer2的網路通訊都可以用
只是版大用FG60D已經辨識將近100個device,可能機器CPU會吃得很重哦

fliesyan iT邦新手 4 級 ‧ 2015-06-07 15:35:18 檢舉

mytiny提到:
大有點誤會小弟的意思
小弟是懷疑問題可能FatAP所發的SSID無法帶tag通過DGS-1500
所以才請版大測試在LAB2的DAP-1353下找台NB自設該網段IP,
如192.168.81.xx,且網卡不需設tag
然後往192.168.81.254 ping看會不會...(恕刪)

1、我是按照http://www3.sips.ntpc.edu.tw/wordpress/?p=600這篇設定
1353直接接FG60D 是OK
會自動貼、刪tag

2、至於指定IP,當時我只有用行動裝置
-->測試是不行
我在準備NB測試看看

3、LAB2我有嘗試
A.1353 不開啟VLAN,交換器端口改 Untagged ....測試不行
B.1353 LAN 開啟 VLAN trunk, 交換器端口開啟 VLAN trunk.......測試不行

mytiny iT邦大師 1 級 ‧ 2015-06-07 17:37:06 檢舉

按版大的LAB2架構,說一下實作OK的例子(機型有差異)
FortiOS 5.2.3,接口提供5-6個Vlan ID,每段均發DHCP Server
Switch: Z牌PoE L2,所有Port提供all tags,但僅Lan24提供Vlan Trunking
AP,F牌,提供Lan埠所有SSID帶tags
運作結果:在Bridge模式下(類似版大模式)
每段SSID均能取得正確網段IP
某些SSID因採用BYOD會被限制設備(僅教具平板可入)
以上舉例供版大參考,希望對版大有所幫助
謝謝

fliesyan iT邦新手 4 級 ‧ 2015-06-14 04:43:43 檢舉

今天嘗試換一台vlan交換器
測試結果ㄧ樣
Wifi。ssid1、ssid2
1、透過nb可以正常抓到ip並連線
2、行動裝置無法抓取dhcp所放放ip
3、在同SSID ,VLAN 。行動裝置指定ip,NB透過Icmp是可以連到設備(但無法連結匝道)

開始懷疑,不可能我3個AP都壞掉啊。會是fw擋掉?分位問題?線路問題?

mytiny iT邦大師 1 級 ‧ 2015-06-14 20:19:12 檢舉

行動裝置指定ip,NB透過Icmp是可以連到設備(但無法連結匝道)

果真如小弟所料...
NB可以ping的到DAP-1353,甚至Vlan交換機,但就是Ping不到FG-60D
這就顯示不是DHCP相關的問題,因為此網段從行動裝置到閘道並不通
按照DHCP運作原理,它主要藉由用戶端傳送廣播封包給整個網段內的所有主機,
若區域網路內有DHCP伺服器時,才會回應用戶端的IP參數要求。
現在版大自己設定IP都沒法Ping到DHCP主機(閘道FG-60D)
自然DHCP主機(閘道FG-60D)是沒法發到IP給行動裝置的

請版大把交換機只將Uplink設Vlan Trunking
"按圖應該只有Lan24,沒有Lan1"
且把所有port都設帶tags
如果這樣還是不行給行動裝置發到IP
我誠心建議版大,
除了找賣你網路設備的SI問個清楚外
不然就是把基地台都換成FortiAP吧

fliesyan iT邦新手 4 級 ‧ 2015-06-18 23:49:55 檢舉

網路線換了、交換器換了
直接換 L2 SWITCH (JUNIPER EX2000)
一樣無解

後來直接砍架構
改成FortiGate60D一個端口、一個路由IP
由L2設備合併在一起,再由端口打Trunk到別台L2 Switch..
這樣問題就全部搞定了.....(很無言...可是看CPU使用率很低啊~)

1、看來是FortiOS 5.2.3 DHCP 有問題 (或許我設備等級太低)
2、感謝,有請SI支援(有提供指令)。至於FortiAP我不考慮,我要裝UniFi..
3、這次真的有練到經驗,JUNIPER、D-LINK、MikroTik都有做lab到

我要發表回答

立即登入回答