<解決方法>由於問題太長,我把解決方法放在上頭
先補充一下問題,由於之前沒想到與其他設備有關係,所以沒細說
FortiGate(以下用A代)上有接一個FortiSwitch,然後FortiSwitch的_default VLAN(VLAN ID=1)前陣子接一個汰換下來的FortiGate(以下用B代)
B的Wan Port接在_default VLAN的Port上,Lan Port則接了一些測試機,然後昨天將B的Wan Port的Security Fabric Connection勾起來,A的VLAN Switch就通了,即使再把勾勾拿掉,一樣可以正常運作,但勾勾拿掉後,A再新增VLAN Switch一樣是不通的
以上是測試出來的,但原理為何,不知道有沒有專家可以幫忙解惑
<原始問題>
在FortiGate將某個Lan port連到Server
由於以前新增interace,都是透過GUI設定成VLAN Switch,沒有遇過問題,但最近要新增時,同樣的設定方式卻不生效了,而原本設定的VLAN Switch仍是正常運作
我對VLAN的理解並不夠深,也不清楚是FortiGate有改設定方式,還是我調整到甚麼參數了,導致現在的設定方式不生效,不知道有哪位高手可以解惑
11/27更新
因為設定看起來是一樣的,所以之前沒有發圖
以前的設定,現在是可以正常運作的
新增的設定,設定完後Port5連接Server,但彼此無法連通
已邀請的邦友 {{ invite_list.length }}/5
樓主需要設定的是Vlan ID
謝謝你的回覆
FortiGate OS 是7.4.9,可能因為是逐步更新上來,因此保留了原本的設定
由你的答覆中,推測FortiGate的設定應該已經有改過,不支援原本VLAN Switch的設定方式,但原本設定依舊有效,表示CLI應該有指令可以讓原本的設定方式生效,不知可否指教
另外我有在VLAN Switch設定VLAN ID,但仍舊不生效
也有查到,如果先設定VLAN Switch,然後將VLAN Switch加入VLAN,是可以連通的,只是這樣的設定稍嫌繁複,如果可以沿用舊式的設定方式會是比較方便
說直接點,這些會跟server端網路設定有關
這個只有樓主跟樓主的SI知道
注意: VLAN ID 0 不用於網路分段,但主要用於qos標記。
另外,如果僅單獨一個port 5接Server
似乎用不著VLAN Switch這種interface type
貼出的圖只是其一,我之前有設定好幾個VLAN Switch的Interface,VLAN ID都是使用預設的0,但未發生過問題,如果無解也只能放棄,不過發現這個FortiGate有接FortiSwitch,另一個FortiGate沒有接FortiSwitch,使用上述的方式新增仍是正常的(OS相同版本)
至於為什麼一個Port也要設定成VLAN Switch,如果有管Server的人可能會比較能了解,Server在做版更或者是調整時,有時要放在同一網段,如果是以Port設定Policy,那加入或移除另一台Server時,就必須動到相對應的Policy,但如果是使用VLAN Switch,不但可以隨意地調整Port位,也可以新增或移除Port,而不需要太過調整Policy
做過網路工程師的,一定有遇過這樣的客戶:
工程師在狀況發生的時候,
會嘗試問客戶到底改過什麼? 架構有什麼變動或需要注意的地方?
得到的答案通常是:
沒有呀!沒改過什麼?
都照以前的樣子做,為什麼現在就不行了?
結果經過一遍一遍的檢查
一次一次的詢問
會在過程中發現,原來網路設定有改過了
網路架構有變動了
甚至,每一次詢問都會發現USER有沒說到的地方
然後,User會說:哦!我忘了
或,哦!我以為沒關係
然後,工程師得一次一次的推翻之前的計畫
一次又一次的重來試圖解答問題
運氣好,觀落陰會有解
運氣不好,客戶會丟一句: XD,技術這麼差
或是:算了,無解,放棄
祝願各位工程師前輩都不再需要繼續在迷霧中摸索答案
交換器底下先設 port1,2,3 先給一個ip 192.168.0.x/24 相當於vlan1
在同一交換器下
新設interface vlan 先給vlan id 10 再給ip 192.168.1.x/24 vlan 10
一般的交換器vlan 1 是標準設定,其他的vlan id 都是從 2-4094 之間
通不通就回到一般防火牆政策允不允許互通了
好奇你設定, 圖片發一下?
iThome鐵人賽
看影片追技術