iT邦幫忙

1

一台交換器切VLAN可以連網

各位大大,剛加入資訊業,不太懂網路設定,想請教各位大大VLAN的問題
公司網路設備:
防火牆:fortigate80C:介面 192.168.1.253/24, 192.168.2.253/24
交換器:HP A5120-48G EI,目前只有一個預設網段VLAN1 192.168.1.0/24

想要新增一個VLAN2 192.168.2.0/24,需求是2個VLAN皆可連上WAN,要怎麼設定?

目前用戶端設定是IP:192.168.2.65/24,gateway:192.168.2.254,
無法連接到WAN,請問是在哪裡設定路由呢? 路由進入怎設定呢?

看更多先前的討論...收起先前的討論...
gateway應該指到192.168.2.253吧
我ping 不到192.168.2.253,請問是哪裡沒設定好,交換器這邊嗎?
comhlp iT邦新手 4 級 ‧ 2018-12-13 16:27:18 檢舉
你用PUTTY 先把SWITCH的CONFIG CLONE出來看看
參考官網的手冊吧
要自己加靜態路由
https://support.hpe.com/hpsc/doc/public/display?sp4ts.oid=5400932&docLocale=en_US&docId=emr_na-c03996973&withFrame
1
allenlwh
iT邦研究生 4 級 ‧ 2018-12-13 14:08:11

這篇我看過,但還是不會設定

https://ithelp.ithome.com.tw/upload/images/20181214/20113967VPG7nhqaM4.png

echochio請問大大為何我設定靜態路由都無法顯示呢?
https://ithelp.ithome.com.tw/upload/images/20181214/20113967R56FdgVphX.png

https://ithelp.ithome.com.tw/upload/images/20181214/20113967M4fjyYCZCM.png

https://ithelp.ithome.com.tw/upload/images/20181214/20113967KvgWiEZ7BQ.png

我第三張圖,靜態路由有新增為何他不會顯示?

1
harvey1234567
iT邦新手 5 級 ‧ 2018-12-13 14:51:00

樓主的意思是,FW&SW新增一個vlan2,網段是192.168.2.0/24
那麼,使用者(pc)的gateway應該要指到192.168.2.253,然後FW的policy比照192.168.1.0設定即可

看更多先前的回應...收起先前的回應...

我還是很疑惑,原本192.168.1.0/24的網段(VLAN1),
PC端gateway設定交換器的VLAN1 interface 192.168.1.254/24,為何可以通呢?

因為交換機的預設路由指到192.168.1.253. 這樣應該會有icmp redirect的情況.
先想好要誰做路由, 再依需要去開interface.

echochio iT邦新手 2 級 ‧ 2018-12-13 20:07:17 檢舉

PC端gateway設定交換器的VLAN1 interface 192.168.1.254/24
那就是 ....
交換器 是 L3 ....
交換器 的 gateway 是 192.168.1.253
HP switch 用網頁設定就好不要搞得太複雜 ....

啥是 L3 ... 不知那 HP switch 可能很難搞定了

這邊有個問題,為甚麼交換器要起兩個vlan interface? 如果說SW需要管理,那只需要192.168.1.254(SW),畢竟上頭還有一台FW可以去做routing

從樓主的敘述看來,您想要達成的架構是
PC-SW(PC gateway)-FW(sw gateway)
如果底下沒有太多且複雜的部門,其實sw不需要起L3功能,單純使用L2功能就好,就算起了L3也建議把他當做路由器放在最上面,讓FW單純做控管,邏輯上是以下拓樸
PC-FW-SW(router)

其實我公司的結構很簡單,但我只想要學習怎麼切VLAN。

SWITCH三個VLAN, 1個接FG80, 1個接192.168.1.x, 另1個接192.168.2.x

請問大大,VLAN1是防火牆,VLAN2 192.168.1.X,VLAN3 192.168.2.X,這樣有辦法把兩個網段PC的封包送的到FW嗎?
我原設想的架構是switch部分:VLAN1:192.168.1.X,switch->FW的port也屬於vlan1 的untagged port,VLAN2的 untagged port 就只有 port 20,這樣vlan 1,可以通。

FW部分:如下圖,SW-FW接口,原本只有192.168.1.X
後來我加入一個192.168.2.X,IP政策沒用調整。

https://ithelp.ithome.com.tw/upload/images/20181214/2011396726K6eCZz7b.png

https://ithelp.ithome.com.tw/upload/images/20181214/201139673Qe6dRKWGy.png

這樣設定是哪裡出問題呢?

0
mytiny
iT邦大師 1 級 ‧ 2018-12-14 12:18:53

請樓主首先界定一下FG-80C上的兩個介面
1.是否為實體介面,還是介面下的Vlan
2.如果為前者,請直接在192.168.2.x的介面下接一台交換器(都不用設),192.168.2.x的電腦就可以通了
3.不然就要在HP的交換器切port VLAN(實體VLAN),一頭接FG-80C,一頭接192.168.2.X的電腦就可以通了

樓主一直糾結在HP上設路由是不對的作法,
因為FG-80C已經有192.168.2.x的網段
如果不是有帶vlan tag的介面下的VLAN
在HP上面設路由是一點用也沒有的
而FG80C上也不用設路由,做介面NAT就可以上網了

看更多先前的回應...收起先前的回應...

請問大大,這樣是算實體介面嗎?我是用原本192.168.1.X的介面,在家第二個192.168.2.X的網段,switch上,我vlan2 port untagged 只先用一個port 20測試。
SW-->FW的port 屬於vlan1的untagged membership,我在想這樣切正確嗎?

https://ithelp.ithome.com.tw/upload/images/20181214/20113967YiANhqvn5k.png

https://ithelp.ithome.com.tw/upload/images/20181214/20113967RwuQXc4u1s.png

請問樓主是不是在同一隻腳上起了Secondary IP?
您應該是要在internal這隻腳起sub-interface 分為vlan1&vlan2
對面的sw做trunking

大大是的,這我很像有點了解了,我在SW-FW的port設了2個IP
SUB-interface的作法,我在找看看,
感謝你

mytiny iT邦大師 1 級 ‧ 2018-12-14 22:59:12 檢舉

感覺樓主的作法很不一般
研判應該如harvey1234567大所言,設了Secondary IP

講一下通常的作法好了,希望小弟描述能釐清樓主觀念
第一種,在實體埠口設VLAN,帶Vlan ID及Vlan tag
然後,在交換機上將埠口分屬Vlan1及Vlan2
最後把連防火牆的接口做trunk,同時帶tag及Vlan ID
(交換器做純Layer2規劃就好)

第二種,FG-80C上,分不同的埠,做不同網段
將不同交換機連線分別插入不同防火牆埠口
即可完成網路切割VLAN

第三種,在交換器做L3功能
分Vlan1 & 2 及上串網段
啟用交換器路由設定,各段GW指定好
在防火牆路由回指交換器上的網段

以上,不知樓主是否能理解(小弟自己都描述得有點昏)
要不找個網路課程或是書本來KK ??
這樣亂TRY,恐怕很多網路先進跟樓主會雞同鴨講

謝謝大大,我已使用您說的第二種方式成功了,第一種對我來說大困難了,之後再嘗試。

我要發表回答

立即登入回答