iT邦幫忙

0

雙wan ping介面錯誤回應問題

正常外網ping wan1 應該由wan1回應
但是ping wan1 變成由wan2 interface回應
導致ping失效 封包被drop
這可能是因為路由優先權設在wan2的關係
這種問題有解嗎?

11.044438 wan1 in 外網 -> WAN1 IP: icmp: echo request
11.044564 wan2 out WAN1 IP-> 外網: icmp: echo reply

要求等候逾時

看更多先前的討論...收起先前的討論...
竹本立里 iT邦研究生 5 級 ‧ 2018-07-06 15:46:07 檢舉
雙wan 的設備 廠牌型號是??
hsiang11 iT邦研究生 2 級 ‧ 2018-07-06 15:50:42 檢舉
fortigate
bin iT邦新手 5 級 ‧ 2018-07-06 16:02:53 檢舉
2 條 WAN 的Distance(管理距離)要設一樣
hsiang11 iT邦研究生 2 級 ‧ 2018-07-06 16:34:34 檢舉
距離一樣的 只有優先權不同

1 個回答

0
mytiny
iT邦大師 1 級 ‧ 2018-07-06 17:20:13
最佳解答

通常同時啟用WAN1,WAN2,且距離值一樣的時候
系統會自動啟用ECMP,兩條線都可以聯外
之所以會啟用優先權不同
多半是希望內部網路流量主要都走某條線
而有特定目的地時,才去走另一條外線

樓主的現況,小弟有幾種解法的建議

  1. 放棄優先權的設定,讓流量兩條都可聯外,特定目標仍可指定
  2. 如果擔心這樣分配流量不好,可以搭配interface的weight值
  3. 或是使用靜態路由,用網際網路服務方式訂方向
  4. 最終極辦法就是升級到OS 6.0.x,採用SD-WAN
  5. SD-WAN 6.0後可以按來源及身分訂連外的方向及目的

以上方法樓主可以試試,不過目前6.0.1的BUG仍多,須謹慎使用

看更多先前的回應...收起先前的回應...
hsiang11 iT邦研究生 2 級 ‧ 2018-07-06 18:03:55 檢舉

6.0.1的BUG真的多到快搞瘋,這家廠商是發生什麼事了
大大可以說明一下距離跟優先的差異嗎?
interface的weight值有什麼用?

mytiny iT邦大師 1 級 ‧ 2018-07-07 16:37:00 檢舉

在下寫了一點心得分享
FortiGate使用ECMP做多線路路由之心得分享
樓主可參考看看

Fortinet原廠近期都在做安全織網 (Security Fabric)
特別是Fortigate + FortiFAP + FortiSwitch鐵三角整合
對於公司網路管理及分支部門管理有事半功倍及資安加強之功效
(聽說國外部分超過預期熱銷產品賣到缺貨,全球搶單,台灣缺貨)
但是因此新功能增加就會改換版本,因此版本變化頻繁
不過,通常新出版本(特別是大版本)前三個韌體最好先別用
那些多半都是為了某些國外特殊大案先趕出來的(小弟猜的)

hsiang11 iT邦研究生 2 級 ‧ 2018-07-08 00:10:50 檢舉

真的大版本改版會嚇死人 可以原設定降版回去嗎?
fortiap bug也是有,2.4G慢 還會自動跳2.4G
不過Fortiswitch聽你說得有些興趣

mytiny iT邦大師 1 級 ‧ 2018-07-08 16:28:58 檢舉

通常退一階回去是可以的,請看release notes
FortiFAP很少聽到有BUG,多半是設定未調整最佳化
可以請樓主另開問答來討論

FortiSwitch有兩段影片,大概介紹到應用差不多三四成
台灣地區應用聽說比國外先進幾階段(所以有些應用待解決)
不過除CORE外,都是有限終身保且價格與H牌有競爭力
(非廣告,只是做市場價位比較),甚至可取代網管軟體
Fortiswitch Secure Access Switching
FortiSwitch Demo

我要發表回答

立即登入回答