想請問一下,在FW fortigate 中LAN1建立的一個physical interface (IP172.16.0.1/DHCP enabled)底VLAN201/VLAN202/VLAN203。
此LAN1接到L2 switch port 24 Tagged 201,202,203 , Port 1 VLAN201 untagged ,
Port 2 VLAN202 untagged, Port 3 VLAN203 untagged,電腦接到port 1~3都拿不到ip,為何?是FW設定錯?還是一定要L3switch設定這些(dhcp-relay/iproutingIp helper-address 172.16.0.1)?
已邀請的邦友 {{ invite_list.length }}/5
Fortigate的DHCP Server只有很簡單的功能
所以不能跨網段發IP
只能每個介面啟用dhcp server發自己網段的IP
樓主的Fortigate有VLAN201/VLAN202/VLAN203嗎?
有各自正確的VLAN ID嗎?
如果沒有設,那就是誤會一場了
另外各網段的DHCP relay
只能Relay外部的DHCP Server
跨網段去relay應該是做不出來的
FORTIGATE 上的VLAN201/VLAN202/VLAN203都設定DHCP SERVER不就好了嗎
除非你自己有一台獨立的DHCP SERVER想要在那邊中央管理不同的POOL,
這樣在SWITCH上設定RELAY也可以.
(但如果FORTIGATE都派DHCP了不就一樣也是中央管理, 還可以有HA-_-)
我自己是沒太理解有什麼理由要在FORTIGATE上搞RELAY了
除非你所有SWITCH都是UNMANAGED的 <- 但你都能弄VLAN了
也沒理由在最遠的GATEWAY那邊才做的REPLAY吧
題外話:
你SWITCH接HOST的PORT, STP記得要改做PORTFAST一下
不然你DHCP的DORA可能因為STP而被TIMEOUT
的確是有限制的, 那你就在SWITCH LEVEL設定RELAY吧.
https://docs.fortinet.com/max-value-table
你看看你自己的FORTI上限是多少吧
了解,謝謝您的回答.感謝您
iThome鐵人賽
看影片追技術