PTT職涯區 / MIS (IT資訊人員)

[請益] FortiNet 的 route policy 與 VLAN

看板MIS (IT資訊人員)作者 (離自相空她相)時間5年前 (2019/02/19 15:13), 編輯推噓1(1052)
留言53則, 5人參與, 5年前最新討論串1/1
想問兩個問題. 1. forti 接了兩條 wan 設了 sd_wan. 然後想把某一個 rule 指定到特定 wan,就會有兩種設法. 比如說,我想把到 youtube 的流量全指定到 wan1, 可以在 sd_wan route 那去指,也可以到 policy rule 那去設. (當然我要先設一個 service object) 那在 sd_wan 裡指定跟在 policy rule 裡指定 route path,會有什麼差別? (速率快慢?硬體資源使用率高低?) 2. 我想在 forti 下面接一台 switch, 裡面會設 2 個以上的 vlan (default 的 1 及 define 過的 other) switch 的 trunk port 已經設了至少 id: 1 及 id: 102 兩個, 如果要把那個 trunk port 接到 forti 的 lan port, 讓那個 lan port 可以收發 switch trunk port 過來的封包, and. switch 上的 vlan 只做 port 隔離,但 ip block/netmask 會是同一個 (switch 上的不同 vlan port 互連不通,但都會經由同一個 forti port 連網) forti 5.6 有辦法設嗎? -- 讀者審校網試行版(2018/1/1 更新網址) http://readerreviewnet.processoroverload.net/ (哲、史、法、政、經、社,人文翻譯書籍錯譯提報網) ◎洪蘭"毀人不倦"舉報專區 http://tinyurl.com/ybfmzwne 讀者需自救,有錯自己改... -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.250.37.178 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1550560382.A.B0F.html
02/19 19:30, 5年前 , 1F
1. Policy Route優先權應該最大
02/19 19:30, 1F
02/19 19:30, 5年前 , 2F
2. Forti的介面要設定成Trunk模式,介面裡面要設定Vlan
02/19 19:30, 2F
02/19 19:30, 5年前 , 3F
ID,通常會當初Vlan裡面Gateway
02/19 19:30, 3F
02/20 10:17, 5年前 , 4F
2的話你可以買FG SWITCH 直接選PORT要開那個VLAN
02/20 10:17, 4F
02/20 10:21, 5年前 , 5F
我覺得滿方便的就直接WEB設定PORT開那個VLAN
02/20 10:21, 5F
02/20 11:52, 5年前 , 6F
其實是因為我要給別的 switch 設 vlan 跟 trunk,
02/20 11:52, 6F
02/20 11:52, 5年前 , 7F
但我得找個防火牆來測那個 trunk 能不能通,
02/20 11:52, 7F
02/20 11:53, 5年前 , 8F
因為我手頭只有一台 fg-60e 有 VLAN 802.1q,
02/20 11:53, 8F
02/20 11:54, 5年前 , 9F
所以如果借不到別的設備的話,就只好惡搞這台 fg 來測.
02/20 11:54, 9F
02/20 13:59, 5年前 , 10F
不知道 multi-vlan trunk 我這樣設對不對?
02/20 13:59, 10F
02/20 13:59, 5年前 , 11F
02/20 13:59, 11F
02/20 14:00, 5年前 , 12F
我把 switch 解一 port 出來綁了五個vlan(含default1)
02/20 14:00, 12F
02/20 14:01, 5年前 , 13F
不知這樣設是不是就是把 internal port1 設成 trunk?
02/20 14:01, 13F
02/20 17:32, 5年前 , 14F
所有 vlan 都要用同一段 ip,只是透過 vlan 隔離 port,
02/20 17:32, 14F
02/20 17:32, 5年前 , 15F
我查了些資料,全都是不同 vlan 有不同的 ip black,
02/20 17:32, 15F
02/20 17:34, 5年前 , 16F
怎樣設能讓各 vlan 的 192.168.1.x 連到 fg 的 lan?
02/20 17:34, 16F
02/20 17:35, 5年前 , 17F
另外,查了資料,說是 policy route 高於 static route,
02/20 17:35, 17F
02/20 17:36, 5年前 , 18F
不過 pr route 跟 sd_wan route 有什不同,還沒查到.
02/20 17:36, 18F
02/20 21:33, 5年前 , 19F
Vlan不是這樣玩的好嗎.....你的需求叫port isolation
02/20 21:33, 19F
02/20 21:41, 5年前 , 20F
同一個網段還要分到不同VLAN,還要從同一個gateway出去?
02/20 21:41, 20F
02/20 21:45, 5年前 , 21F
fortigate上做vlan trunk表示要有5個不同網段的vlan介面
02/20 21:45, 21F
02/20 21:46, 5年前 , 22F
上面設定不同網段的IP讓5個VLAN的下面的IP當gateway
02/20 21:46, 22F
02/20 21:47, 5年前 , 23F
fortigate不能設定5個L3介面都同一個網段的IP
02/20 21:47, 23F
02/20 21:50, 5年前 , 24F
所以...fg 沒法當 switch port isolate 的 gw 嗎...
02/20 21:50, 24F
02/20 21:50, 5年前 , 25F
那有什麼方案可以做到嗎?
02/20 21:50, 25F
02/20 22:11, 5年前 , 26F
因為有人跟我說看過 100D 這樣做,所以我想 60E 應該..
02/20 22:11, 26F
02/22 10:22, 5年前 , 27F
從switch上做才是根本,不然就是乖乖切5個網段,gateway
02/22 10:22, 27F
02/22 10:22, 5年前 , 28F
設定在防火牆,policy管控vlan間流量
02/22 10:22, 28F
02/22 10:24, 5年前 , 29F
先看switch有沒有這功能吧
02/22 10:24, 29F
02/22 15:15, 5年前 , 30F
我設定 switch isolate,也透過 sw fw 的 vlan 上網了,
02/22 15:15, 30F
02/22 15:18, 5年前 , 31F
最後是只能在 switch 設.不過我想問,互相隔離的 port,
02/22 15:18, 31F
02/22 15:18, 5年前 , 32F
能不能在防火牆上設規則去轉發封包?
02/22 15:18, 32F
02/22 15:20, 5年前 , 33F
e.g 192.168.2.5 經 fw's rule 連 192.168.2.7 的 ftp
02/22 15:20, 33F
02/22 15:40, 5年前 , 34F
想透過防火牆控制,就是要讓流量經過防火牆
02/22 15:40, 34F
02/22 15:41, 5年前 , 35F
切不同VLAN、不同網段,gateway在防火牆,就可以policy
02/22 15:41, 35F
02/22 15:42, 5年前 , 36F
控制互相連線的能力
02/22 15:42, 36F
02/22 15:44, 5年前 , 37F
既想要有基本port隔離,又想要部分主機能存取,除非你們
02/22 15:44, 37F
02/22 15:44, 5年前 , 38F
用的switch能設定到那麼細的功能,不然只能打掉重新架構
02/22 15:44, 38F
02/22 15:46, 5年前 , 39F
把server、client的VLAN切好,L3流量全部經過防火牆
02/22 15:46, 39F
02/22 15:47, 5年前 , 40F
同時client的switch設定port isolation
02/22 15:47, 40F
02/22 15:47, 5年前 , 41F
這樣就可以不同VLAN網段的IP連線透過防火牆,同VLAN流量
02/22 15:47, 41F
02/22 15:48, 5年前 , 42F
在switch上管理
02/22 15:48, 42F
02/22 22:14, 5年前 , 43F
好吧,先解決 fw 用 routing mode 讓 vlan pubip 上網,
02/22 22:14, 43F
02/22 22:14, 5年前 , 44F
再來搞別的問題好了...
02/22 22:14, 44F
04/04 00:23, 5年前 , 45F
如果硬要用FortiGate FW來搞的話,要啟動VDOM
04/04 00:23, 45F
04/04 00:27, 5年前 , 46F
1個Route/NAT,1個Transparent,FortiOS v5.4後可以用
04/04 00:27, 46F
04/04 00:30, 5年前 , 47F
VDOM-Link連接,假設Transparent稱vd-L2,Route我稱vd-L3
04/04 00:30, 47F
04/04 00:32, 5年前 , 48F
vd-L2與switch相接跑vlan tagged
04/04 00:32, 48F
04/04 00:33, 5年前 , 49F
該vlan的IP設定在vd-L3與vd-L2的vdom-link上
04/04 00:33, 49F
04/04 00:35, 5年前 , 50F
假設vlan11對應switch eth1,vlan12對應switch eth2
04/04 00:35, 50F
04/04 00:37, 5年前 , 51F
這樣你eth1要到eth2就要在vd-L2裡設定rule
04/04 00:37, 51F
04/04 00:38, 5年前 , 52F
而sw eth1 & eth2 下接的PC還是相同網段
04/04 00:38, 52F
04/04 00:39, 5年前 , 53F
你可以試試,不過會需要這樣搞是要用來管租屋的網路嗎
04/04 00:39, 53F
更多 freeunixer 的文章
文章代碼(AID): #1SQwn-iF (MIS)
MIS 近期熱門文章
更多 近期熱門文章 >>
PTT職涯區 即時熱門文章
更多 即時熱門文章 >>
更多 freeunixer 的文章
文章代碼(AID): #1SQwn-iF (MIS)