你的(1)好像是U型NAT問題;ICMP不會轉址,如果確認封包可達,再檢查NAT、rule。
2)
policy-route是一種工具,不是真的route,它就像滅火器IT要會用,但希望不得已才用,否則會增加故障排除的複雜度。
3)
小弟我是乙方,我建議你的(2)、(3)先用GNS3 / EVE之類的系統整合軟體、虛擬化技術去POC測試,備品也行,畢竟生產環境能動的有限。
首先我要質疑你
FG-101F是很新的機器,已經有SD-WAN的功能了
你在換防火牆時為什麼不導入,說來聽聽
看你現在來問網友而不是找SI來解決
可見不是當初選SI沒評估技術能力
要不然就是沒給人家相對應的費用
對於你說的問題
我只能說你對於Fortigate運作的一些基本原則有混淆
我的建議,改成SD-WAN,防火牆重設
那個FG-101F上有10幾個電口,8個光口,足夠你用的
公司不知道多少人,頻寬搞到好幾個G
勸你好好整理設一下防火牆內容層政策
一直加頻寬,財大氣粗也不是這樣花的
Traffic Shaping會吃掉你的CPU及memory
FG-101F只有SoC4的晶片,當心搞掛掉
然後該給的技術服務費用就是不能少
感謝sd3388回覆~
您所說的SD-WAN功能,我一開始就想要朝這方向去做了,做了一些測試我發現很像要將之前建立的Static Routes都要砍掉統一由SD-WAN管理,
如果要使用SD-WAN功能我會考慮打掉重建了。
另外公司購買此設備是跟什麼類型的公司購買,我不是很清楚(反正沒有協助相關技術服務),如果往後由我負責採購相關網路設備我會考慮與SI合作,
(1)顯然是內部DNS問題,你查不到內部服務關FG-101F什麼事: 這部分我再做後續測試。
(2)路由優先,其次才是政策,就沒走到那條路徑,怎麼會進的到防火牆政策: 我再朝這方向去檢視。
(3)因為X華的Priority緣故 : 了解~謝謝。
感謝您所提出的建議謝謝!
iThome鐵人賽
看影片追技術