一台交換器切VLAN可以連網

vlan設定網路架構路由器設定

bojing8508 2018-12-13 13:47:07 ‧ 10247 瀏覽

分享至

各位大大，剛加入資訊業，不太懂網路設定，想請教各位大大VLAN的問題
公司網路設備:
防火牆:fortigate80C:介面 192.168.1.253/24, 192.168.2.253/24
交換器:HP A5120-48G EI，目前只有一個預設網段VLAN1 192.168.1.0/24

想要新增一個VLAN2 192.168.2.0/24，需求是2個VLAN皆可連上WAN，要怎麼設定?

目前用戶端設定是IP:192.168.2.65/24，gateway:192.168.2.254，
無法連接到WAN，請問是在哪裡設定路由呢? 路由進入怎設定呢?

看更多先前的討論...收起先前的討論...

isaepfkeyr iT邦研究生 4 級 ‧ 2018-12-13 14:14:47 檢舉

gateway應該指到192.168.2.253吧

bojing8508 iT邦新手 5 級 ‧ 2018-12-13 16:20:02 檢舉

我ping 不到192.168.2.253，請問是哪裡沒設定好，交換器這邊嗎?

comhlp iT邦新手 4 級 ‧ 2018-12-13 16:27:18 檢舉

你用PUTTY 先把SWITCH的CONFIG CLONE出來看看

補覺鳴詩 iT邦高手 1 級 ‧ 2018-12-13 21:07:47 檢舉

參考官網的手冊吧
要自己加靜態路由
https://support.hpe.com/hpsc/doc/public/display?sp4ts.oid=5400932&docLocale=en_US&docId=emr_na-c03996973&withFrame

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

mytiny

iT邦超人 1 級 ‧ 2018-12-14 12:18:53

最佳解答

請樓主首先界定一下FG-80C上的兩個介面
1.是否為實體介面，還是介面下的Vlan
2.如果為前者，請直接在192.168.2.x的介面下接一台交換器(都不用設)，192.168.2.x的電腦就可以通了
3.不然就要在HP的交換器切port VLAN(實體VLAN)，一頭接FG-80C，一頭接192.168.2.X的電腦就可以通了

樓主一直糾結在HP上設路由是不對的作法，
因為FG-80C已經有192.168.2.x的網段
如果不是有帶vlan tag的介面下的VLAN
在HP上面設路由是一點用也沒有的
而FG80C上也不用設路由，做介面NAT就可以上網了

回應 5
分享
檢舉

看更多先前的回應...收起先前的回應...

bojing8508 iT邦新手 5 級 ‧ 2018-12-14 13:16:41 檢舉

請問大大，這樣是算實體介面嗎?我是用原本192.168.1.X的介面，在家第二個192.168.2.X的網段，switch上，我vlan2 port untagged 只先用一個port 20測試。
SW-->FW的port 屬於vlan1的untagged membership，我在想這樣切正確嗎?

harvey9527 iT邦新手 5 級 ‧ 2018-12-14 15:51:48 檢舉

請問樓主是不是在同一隻腳上起了Secondary IP?
您應該是要在internal這隻腳起sub-interface 分為vlan1&vlan2
對面的sw做trunking

bojing8508 iT邦新手 5 級 ‧ 2018-12-14 16:47:53 檢舉

大大是的，這我很像有點了解了，我在SW-FW的port設了2個IP
SUB-interface的作法，我在找看看，
感謝你

mytiny iT邦超人 1 級 ‧ 2018-12-14 22:59:12 檢舉

感覺樓主的作法很不一般
研判應該如harvey1234567大所言，設了Secondary IP

講一下通常的作法好了，希望小弟描述能釐清樓主觀念
第一種，在實體埠口設VLAN，帶Vlan ID及Vlan tag
然後，在交換機上將埠口分屬Vlan1及Vlan2
最後把連防火牆的接口做trunk，同時帶tag及Vlan ID
(交換器做純Layer2規劃就好)

第二種，FG-80C上，分不同的埠，做不同網段
將不同交換機連線分別插入不同防火牆埠口
即可完成網路切割VLAN

第三種，在交換器做L3功能
分Vlan1 & 2 及上串網段
啟用交換器路由設定，各段GW指定好
在防火牆路由回指交換器上的網段

以上，不知樓主是否能理解(小弟自己都描述得有點昏)
要不找個網路課程或是書本來KK ??
這樣亂TRY，恐怕很多網路先進跟樓主會雞同鴨講

bojing8508 iT邦新手 5 級 ‧ 2018-12-20 17:01:36 檢舉

謝謝大大，我已使用您說的第二種方式成功了，第一種對我來說大困難了，之後再嘗試。

登入發表回應

allenlwh

iT邦高手 1 級 ‧ 2018-12-13 14:08:11

找到一篇文章，您參考看看：
HP A5120 交換器 switch 基本設定
https://blog.xuite.net/tolarku/blog/347047247-HP+A5120+%E4%BA%A4%E6%8F%9B%E5%99%A8+switch+%E5%9F%BA%E6%9C%AC%E8%A8%AD%E5%AE%9A+

回應 3
分享
檢舉

bojing8508 iT邦新手 5 級 ‧ 2018-12-13 16:21:10 檢舉

這篇我看過，但還是不會設定

bojing8508 iT邦新手 5 級 ‧ 2018-12-14 09:25:05 檢舉

bojing8508 iT邦新手 5 級 ‧ 2018-12-14 09:29:03 檢舉

echochio請問大大為何我設定靜態路由都無法顯示呢?

我第三張圖，靜態路由有新增為何他不會顯示?

登入發表回應

harvey9527

iT邦新手 5 級 ‧ 2018-12-13 14:51:00

樓主的意思是，FW&SW新增一個vlan2，網段是192.168.2.0/24
那麼，使用者(pc)的gateway應該要指到192.168.2.253，然後FW的policy比照192.168.1.0設定即可

回應 7
分享
檢舉

看更多先前的回應...收起先前的回應...

bojing8508 iT邦新手 5 級 ‧ 2018-12-13 16:33:40 檢舉

我還是很疑惑，原本192.168.1.0/24的網段(VLAN1)，
PC端gateway設定交換器的VLAN1 interface 192.168.1.254/24，為何可以通呢?

michaelwan iT邦高手 1 級 ‧ 2018-12-13 17:04:50 檢舉

因為交換機的預設路由指到192.168.1.253. 這樣應該會有icmp redirect的情況.
先想好要誰做路由, 再依需要去開interface.

echochio iT邦高手 1 級 ‧ 2018-12-13 20:07:17 檢舉

PC端gateway設定交換器的VLAN1 interface 192.168.1.254/24
那就是 ....
交換器是 L3 ....
交換器的 gateway 是 192.168.1.253
HP switch 用網頁設定就好不要搞得太複雜 ....

啥是 L3 ... 不知那 HP switch 可能很難搞定了

harvey9527 iT邦新手 5 級 ‧ 2018-12-14 11:10:09 檢舉

這邊有個問題，為甚麼交換器要起兩個vlan interface? 如果說SW需要管理，那只需要192.168.1.254(SW)，畢竟上頭還有一台FW可以去做routing

從樓主的敘述看來，您想要達成的架構是
PC-SW(PC gateway)-FW(sw gateway)
如果底下沒有太多且複雜的部門，其實sw不需要起L3功能，單純使用L2功能就好，就算起了L3也建議把他當做路由器放在最上面，讓FW單純做控管，邏輯上是以下拓樸
PC-FW-SW(router)

bojing8508 iT邦新手 5 級 ‧ 2018-12-14 13:22:07 檢舉

其實我公司的結構很簡單，但我只想要學習怎麼切VLAN。

michaelwan iT邦高手 1 級 ‧ 2018-12-14 13:29:03 檢舉

SWITCH三個VLAN, 1個接FG80, 1個接192.168.1.x, 另1個接192.168.2.x

bojing8508 iT邦新手 5 級 ‧ 2018-12-14 16:38:50 檢舉

請問大大，VLAN1是防火牆，VLAN2 192.168.1.X，VLAN3 192.168.2.X，這樣有辦法把兩個網段PC的封包送的到FW嗎?
我原設想的架構是switch部分:VLAN1:192.168.1.X，switch->FW的port也屬於vlan1 的untagged port，VLAN2的 untagged port 就只有 port 20，這樣vlan 1，可以通。

FW部分:如下圖，SW-FW接口，原本只有192.168.1.X
後來我加入一個192.168.2.X，IP政策沒用調整。