各位前輩好,
小弟我,我是今年剛踏入這領域的實習生,
最近公司主管有拿幾台網路設備讓我玩一下,讓我自己玩玩看
希望就是能模擬做出內部網路的效果,switch切幾個vlan可以互通,設定policy,設定VPN
但目前就是卡在vlan互通的方面,找了幾台機器都無法互相ping,麻煩各位前輩的幫忙了。
已邀請的邦友 {{ invite_list.length }}/5
首先發問的技巧 ,資訊提供不足
你提供了防火牆"部分的設定"跟型號、韌體版本
你沒有提供 switch 的型號、韌體版本,從圖片判斷
猜測是 HP ProCurve E2620-48 48 Port 48x 10/100 + 2x 10/100/1000 + 2x SFP+ Switch J9626A
再來你的路由是設定在哪邊? fortigate 還是 switch ?
從你提供的資訊,無法得知 fortigate 跟 switch 是接什麼 port
同 bluegrass 大大所說
查閱 forti 官方文章 就算升至最新韌體 也不支援 LAG/LACP KB
所以你設定 trunk 就不對了
我這邊直接提供我的建議作法
fortigate 拿第 1 port 跟 第 switch 48 port 對接
fortigate 第 1 port
設定
vlan 1 IP 192.168.1.251/24
vlan 10 IP 192.168.10.251/24
vlan 20 IP 192.168.20.251/24
不需要設定路由,要對外的話 建立一筆 0.0.0.0/0 指到 outside gateway
建立 policy 允許通過
switch 建立 vlan 1、10、20
vlan 1、10、20 皆設定
no untagged 48
tagged 48
其他的 port
就視需要介接哪個 vlan 設定 untagged
舉例 port 1 要走 vlan 1
就在 vlan 1 設定 untagged 1
謝謝您的解釋,我已經能使Vlan互相通信了,您的建議我會再下次發問時再一併更改的。
查閱 forti 官方文章 就算升至最新韌體 也不支援 LAG/LACP
以上說法是不對的
60D 的確官方文件沒說有支援啊 ?
另外 就我的理解 HP ProCurve trunk 的定義是 LAG/LACP
跟 cisco 的 trunk 定義 vlan tag 不同
不是指 fortigate 不支援 vlan tag
希望兩位前輩能更進一步說明到底哪邊有問題?
Forti的規格好像都100系列以上才支援Link Aggregation
官方 6.2 之後的韌體有替低階款新增支援 Link Aggregation
不過也只有這幾台低階款能上到 6.2
90E, 80E, 60E, 50E, and 30E
在6.0可以查到以下指令
To create aggregate interface - CLI:
config system interface
edit aggregate
set type aggregate
set member port4 port5 port6
set vdom root
set ip 172.20.120.100/24
set allowaccess https ssh
next
end
至於FG-60D,只是要先將softswitch
解開成各自獨立port就好
mytiny
請看 我的 30E 6.0 的 firmware 是沒有這功能的
我另一台 30E 6.2 的 firmware 就有
所以 Link Aggregation 並不是什麼機型都有
我認為我並沒有說錯 60D 在官方文件沒說有支援
實際上無法做此設定
補覺鳴詩大大
在下手邊已經沒FG-60D
只記得以前是可以將它的Switch port重新解開做獨立埠
因此印象中,獨立port是可以另外做處理的(如LAG)
然後,我去找了手冊,6.0上面有相關指令(沒有說限機型)
當然,到實際設定,有可能你說的是對的
Fortigate的設備會有gen1,gen2...等版本
而FG-30E在下確實沒碰過,以您的目前實做為準
技術應實事求是,FG-60D能實作確認一下比較好
60D太舊我買不到,70D只花了我1800元
您的問題寫靜態路由即可
目的地:想通往的網段 例:192.168.10.0/24
設備:看哪個Vlan 例:Vlan10
網路閘:來源的網段的閘道 例192.168.20.251
寫錯要通知我,畢竟我也算是鱉腳網管
TO雷伊 關於靜態路由,我按照您的寫法,出現的是無效的網路閘位址
你VLan10對VLan20的規則有開放讓他們通嗎?
有的,我是直接全部ALL,都可以允許
我有重寫,你試試改192.168.20.251
然後另外寫一個路由是10 to 20的
To雷伊 還是不行呢 出現的還是要求等候逾時
我還在上班沒時間實測,問題出在路由,我測完通知你,你先自己玩玩。
To雷伊 真是不好意思,真是太謝謝了
靜態路由有順序,你往上調整一下
歡迎加入食土
你問題出現在ICX / BROCADE上
你的TAG是放到Trk上
Trk 在ICX / ARUBA 等SWITCH 是 LAG / LACP 意思, 而60D並沒有LACP/LAG
其實, 你只需在ICX把接把FG的PORT改成Dual mode, VLAN 1一定要是untagged, 再把別的VLAN TAG上即可
FG上就基本沒什麼好設定了, 在接到ICX的UPLINK PORT上建立VLAN INTERFACE即可, 完全沒需要STATIC ROUTE
再來是FIREWALL POLICY把兩個VLAN互通即可
PS:
你ICX IP HELPER上的設定是沒有用的. 正常人都會把HELPER都設到別的SUBNET上同一SERVER上, 而你反而都指到同一VLAN的SERVER上, 同一VLAN如有DHCP那L2層面已經直接通了, IP HELPER的目的是把這些不通的 DORA L2 改成 L3 交到另一SUBNET 上 DHCP SERVER 統一處理, 別搞錯了
同業的心聲:
如果你目標是專業網 管(狗)
你畫的線路圖要好好的帶上PORT號
不然日後交接你的人會干爆你
iThome鐵人賽
看影片追技術