關於Fortinet防火牆問題 (已解決)

#firewall

andy2230666 2023-12-19 21:30:07 ‧ 2276 瀏覽

分享至

我有一台防火牆放在兩個Switch中間

A<----->FW<----->B
Port1接在A switch上面
Port2接在B switch上面

Port1 interface(0.0.0.0/0.0.0.0)
底下有VLAN1(192.168.10.254),VLAN2(192.168.20.254),VLAN3(192.168.30.254).......

Port2 interface(192.168.10.10/24)

我A switch裡面也有vlan1 vlan2 vlan3...而也ping的到防火牆port1底下的vlan1~3
可是我卻ping不到port2的192.168.10.10
是哪裡有問題?

看更多先前的討論...收起先前的討論...

李大瑋 iT邦好手 1 級 ‧ 2023-12-20 07:48:00 檢舉

port 2你要不要考慮換區段
你這樣跟port1區段重疊了

窮嘶發發發 iT邦高手 1 級 ‧ 2023-12-20 11:32:48 檢舉

VLAN ID 兩邊如果不一樣，對路由器來說就屬於不同的網段，就算他們是相同的網段與遮罩
簡單說大部分的分享器LAN都是 192.168.0.0/24，幾乎沒改預設就是這一組
請問，WEB SERVER 怎麼識別封包要送到哪個路由器底下的哪台PC呢
因為用戶端發送要求的時候就已經把識別ID寫上去了，經過TCP握手之後
自然會沿用這些資訊把封包發回去，因此個人認為樓主的問題只是VLAN ID 的設定問題而已
還有確認 TAG UNTAG 設定是否正確，以上希望有幫助到樓主

sd3388 iT邦好手 1 級 ‧ 2023-12-20 16:27:10 檢舉

窮嘶大有所不知
fortigate的物理埠是沒有VlanID可設的
所以都是untag
這題我猜他只是胡亂假設
等他po一些設定出來再說

bluegrass iT邦高手 1 級 ‧ 2023-12-21 06:12:29 檢舉

好像VLAN SWITCH可以做到物理埠 VLAN untagged 指定ID了

旦也不是他這種做法和方向,

估計是自己入手了台FORTIGATE然後在亂測試

andy2230666 iT邦新手 5 級 ‧ 2023-12-21 10:11:31 檢舉

1.兩邊vlan id都一樣哦
2.物理埠我知道沒有vlan ID 所以我interface設定0.0.0.0/0.0.0.0 下面才帶vlan ID給他
所以我不是胡亂假設

sd3388 iT邦好手 1 級 ‧ 2023-12-21 14:38:16 檢舉

為避免大家誤會我說的Fortigate介面設定機制
特別作了一個LAB來證明情況，如下述回答
請andy2230666大也應PO出您說的設定來比對一下，謝謝

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

bluegrass

iT邦高手 1 級 ‧ 2023-12-20 09:23:41

你得了解 LAYER 2 和 LAYER 3 的分別原理

VLAN1(192.168.10.254)
Port2 interface(192.168.10.10/24)

雖然你可能用了
set allow-subnet-overlap enable 或是 VDOM
所以能搞出兩個沖突LAYER 3 SUBNET在同一FORTIGATE

旦同一FORTIGATE的沖突SUBNET不代表等同同一個LAYER 2
而且LAYER 2是用BROADCAST形式溝通, 同一NETWORK ID是不會交由FIREWALL處理
所以如果你是想利用

VLAN1 來抓到 PORT 2 , 是不可行的.

回應 3
分享
檢舉

andy2230666 iT邦新手 5 級 ‧ 2023-12-21 11:17:18 檢舉

bluegrass 您好
我知道L2和L3的差別
這台SW皆為L3的SW 但VLAN1和Port2的interface都是IP也都同屬於L3不是嗎
那為什麼會抓不到Port2的interface

sd3388 iT邦好手 1 級 ‧ 2023-12-21 14:48:39 檢舉

bluegrass大
我在做LAB時發現
除了將interface設成EMAC VLAN外
不論是實體埠或HW switch /SW switch
均不能設上VlanID
您說的vlan switch若非在7.0以前版本
要不就可能依然不能帶vlan ID

bluegrass iT邦高手 1 級 ‧ 2023-12-27 11:37:10 檢舉

VLAN1和Port2的interface雖然都是同屬於同一個L3 SUBNET
旦你問題本質是兩個LAYER 3 之間沒有一個LAYER 2 去互通
怎可能L3跑先於L2呢?

然後如果你LAYER 2真的通, 又何必這樣分開接線呢?
你搞個SOFTWARE SWITCH, 把 FW 上兩個口放到同一L2+L3
再 A+B <----> FW兩個口, 不就完了=.=?

登入發表回應

sd3388

iT邦好手 1 級 ‧ 2023-12-20 14:26:22

首先就很懷疑防火牆在不同介面上能設定相同網段
問問題不如把config及架構圖放上來討論
要不就是你網路觀念混淆
提出的假設其實不存在
建議你先找原本服務的SI來討論
最近看到很多公司不重視Infra技術人員
土法鍊鋼又不想付錢給SI的結果
其實不見得對企業IT運營有幫助

回應 7
分享
檢舉

看更多先前的回應...收起先前的回應...

sd3388 iT邦好手 1 級 ‧ 2023-12-21 14:33:47 檢舉

為避免其他網友質疑我說FGT設定介面及IP狀況
特別拿了一台FG60E裝OS7.2.6進行下面LAB
收先按照原提要求設好Port1及VLAN1,2,3：如下
這時候去設定Port2使其IP為192.168.10.10
結果發現不但FG60E會阻止，且也沒有地方設VlanID

然後我擔心是因為先設Vlan1的緣故
所以改變為先設Port2再設Vlan1，如下

結果依然不行，Fortigate會拒絕接受

經由以上結果就證明至少在此題目的單port環境
是不可能有兩邊有同一段網段存在

若andy2230666大可提出您設定的內容證明為佳

andy2230666 iT邦新手 5 級 ‧ 2023-12-21 16:24:24 檢舉

Port1接著A L3switch而A L3switch內有vlan 1(10.2.255.254) 和vlan 212(10.80.212.254)
Port2接著B L3switch而B L3switch內有vlan 1(10.2.255.253) vlan 212(10.80.212.253)