iT邦幫忙

1

網段切割問題

firewall
hsiang11 2018-02-21 17:17:508298 瀏覽

  • 分享至 

  • xImage

fortigate要把內網在細切
我想把internal 192.168.1.0整段在切為兩段
因為目前未規劃Vlan
只好希望透過防火牆將兩段阻隔起來
例如192.168.1.1~192.168.1.150和192.168.1.151~192.168.1.254兩段不互通
但是我在防火牆內加了internal到internal
192.168.1.100>192.168.1.200 always all 拒絕
啟用後發現政策未生效,兩段之間還是可以ping通
而且把政策怎麽調整位置都還是互通

這是漏了什麼細節嗎?

看更多先前的討論...收起先前的討論...
hsiang11 iT邦好手 1 級 ‧ 2018-02-21 18:07:27 檢舉
阿 我想到原因了 會不會是在同一個Switch內
封包都未進入防火牆直接在Switch內封包交換完成
所以防火牆擋不下來.
如果是這原因那現有設計可能無法切割
froce iT邦大師 1 級 ‧ 2018-02-22 06:50:25 檢舉
不要用防火墻,直接切net mask?
魷魚 iT邦新手 1 級 ‧ 2018-02-22 08:16:15 檢舉
先討論你的遮罩設多少,兩台主機沒有跨網段,Switch是會直接氾濫出去的
webbhyj iT邦新手 5 級 ‧ 2018-02-22 11:35:32 檢舉
是啊,接在同一台Switch直接交換了,不會經過防火牆,另一種方式可以用Switch ACL處理。
hsiang11 iT邦好手 1 級 ‧ 2018-02-22 15:58:29 檢舉
我試過把mask改255.255.255.128,把網路切開
但是就有另外的問題了,第二段之後的gateway如果設第一段的192.168.1.1
不只ip設定會顯示錯誤,無法連線到gateway
也會有DHCP無法到第二段的問題
這問題在fortigate要怎麽解決?
hon2006 iT邦大師 1 級 ‧ 2018-02-23 08:41:03 檢舉
在買一個switch 新增一個 192.168.2 的網段
souda iT邦高手 1 級 ‧ 2018-02-23 16:32:25 檢舉
FIREWALL已經很吃重了~~建議買台L3 CORE SWITCH來做吧!!
登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
comhlp
iT邦新手 4 級 ‧ 2018-02-23 12:12:38

你FORTIGATE 是什麼型號呢? 你在INTERFACE 不同PORT位設成不同的SOFTWARE SWITCH 每個SOFTWARE SWITCH有自己的網段跟DHCP
但前題是你本身把SWITCH設成 SWITCH MODE 還是INTERFACE MODE
請參考:
http://cookbook.fortinet.com/choosing-fortigate-switch-mode/

hsiang11 iT邦好手 1 級 ‧ 2018-02-23 17:12:37 檢舉

60e 目前是用hardware mode,然後用了1port去做軟交換
但是實在不想再用軟交換了,也會多添加Switch
直接想用hardware mode裡的LAN,把它切成兩段
但是我現在的測試結果會放棄了第二段的DHCP
而且因為IT管理需求到時還是希望IT的IP可以連到這兩段
只有其他使用者被切割

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22132
完賽人數
595
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙