作者freeunixer (离自相空她相)
看板MIS
标题[请益] Forti 的 route policy 与 VLAN
时间Tue Feb 19 15:12:58 2019
想问两个问题.
1.
forti 接了两条 wan 设了 sd_wan.
然後想把某一个 rule 指定到特定 wan,就会有两种设法.
比如说,我想把到 youtube 的流量全指定到 wan1,
可以在 sd_wan route 那去指,也可以到 policy rule 那去设.
(当然我要先设一个 service object)
那在 sd_wan 里指定跟在 policy rule 里指定 route path,会有什麽差别?
(速率快慢?硬体资源使用率高低?)
2.
我想在 forti 下面接一台 switch, 里面会设 2 个以上的 vlan
(default 的 1 及 define 过的 other)
switch 的 trunk port 已经设了至少 id: 1 及 id: 102 两个,
如果要把那个 trunk port 接到 forti 的 lan port,
让那个 lan port 可以收发 switch trunk port 过来的封包,
and. switch 上的 vlan 只做 port 隔离,但 ip block/netmask 会是同一个
(switch 上的不同 vlan port 互连不通,但都会经由同一个 forti port 连网)
forti 5.6 有办法设吗?
--
读者审校网试行版(2018/1/1 更新网址)
http://readerreviewnet.processoroverload.net/
(哲、史、法、政、经、社,人文翻译书籍错译提报网)
◎洪兰"毁人不倦"举报专区
http://tinyurl.com/ybfmzwne
读者需自救,有错自己改...
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 60.250.37.178
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1550560382.A.B0F.html
1F:→ king1412: 1. Policy Route优先权应该最大 02/19 19:30
2F:→ king1412: 2. Forti的介面要设定成Trunk模式,介面里面要设定Vlan 02/19 19:30
3F:→ king1412: ID,通常会当初Vlan里面Gateway 02/19 19:30
4F:→ michaelchen1: 2的话你可以买FG SWITCH 直接选PORT要开那个VLAN 02/20 10:17
5F:→ michaelchen1: 我觉得满方便的就直接WEB设定PORT开那个VLAN 02/20 10:21
6F:→ freeunixer: 其实是因为我要给别的 switch 设 vlan 跟 trunk, 02/20 11:52
7F:→ freeunixer: 但我得找个防火墙来测那个 trunk 能不能通, 02/20 11:52
8F:→ freeunixer: 因为我手头只有一台 fg-60e 有 VLAN 802.1q, 02/20 11:53
9F:→ freeunixer: 所以如果借不到别的设备的话,就只好恶搞这台 fg 来测. 02/20 11:54
10F:→ freeunixer: 不知道 multi-vlan trunk 我这样设对不对? 02/20 13:59
12F:→ freeunixer: 我把 switch 解一 port 出来绑了五个vlan(含default1) 02/20 14:00
13F:→ freeunixer: 不知这样设是不是就是把 internal port1 设成 trunk? 02/20 14:01
14F:→ freeunixer: 所有 vlan 都要用同一段 ip,只是透过 vlan 隔离 port, 02/20 17:32
15F:→ freeunixer: 我查了些资料,全都是不同 vlan 有不同的 ip black, 02/20 17:32
16F:→ freeunixer: 怎样设能让各 vlan 的 192.168.1.x 连到 fg 的 lan? 02/20 17:34
17F:→ freeunixer: 另外,查了资料,说是 policy route 高於 static route, 02/20 17:35
18F:→ freeunixer: 不过 pr route 跟 sd_wan route 有什不同,还没查到. 02/20 17:36
19F:→ deadwood: Vlan不是这样玩的好吗.....你的需求叫port isolation 02/20 21:33
20F:→ deadwood: 同一个网段还要分到不同VLAN,还要从同一个gateway出去? 02/20 21:41
21F:→ deadwood: fortigate上做vlan trunk表示要有5个不同网段的vlan介面 02/20 21:45
22F:→ deadwood: 上面设定不同网段的IP让5个VLAN的下面的IP当gateway 02/20 21:46
23F:→ deadwood: fortigate不能设定5个L3介面都同一个网段的IP 02/20 21:47
24F:→ freeunixer: 所以...fg 没法当 switch port isolate 的 gw 吗... 02/20 21:50
25F:→ freeunixer: 那有什麽方案可以做到吗? 02/20 21:50
26F:→ freeunixer: 因为有人跟我说看过 100D 这样做,所以我想 60E 应该.. 02/20 22:11
27F:→ deadwood: 从switch上做才是根本,不然就是乖乖切5个网段,gateway 02/22 10:22
28F:→ deadwood: 设定在防火墙,policy管控vlan间流量 02/22 10:22
29F:→ deadwood: 先看switch有没有这功能吧 02/22 10:24
30F:→ freeunixer: 我设定 switch isolate,也透过 sw fw 的 vlan 上网了, 02/22 15:15
31F:→ freeunixer: 最後是只能在 switch 设.不过我想问,互相隔离的 port, 02/22 15:18
32F:→ freeunixer: 能不能在防火墙上设规则去转发封包? 02/22 15:18
33F:→ freeunixer: e.g 192.168.2.5 经 fw's rule 连 192.168.2.7 的 ftp 02/22 15:20
34F:→ deadwood: 想透过防火墙控制,就是要让流量经过防火墙 02/22 15:40
35F:→ deadwood: 切不同VLAN、不同网段,gateway在防火墙,就可以policy 02/22 15:41
36F:→ deadwood: 控制互相连线的能力 02/22 15:42
37F:→ deadwood: 既想要有基本port隔离,又想要部分主机能存取,除非你们 02/22 15:44
38F:→ deadwood: 用的switch能设定到那麽细的功能,不然只能打掉重新架构 02/22 15:44
39F:→ deadwood: 把server、client的VLAN切好,L3流量全部经过防火墙 02/22 15:46
40F:→ deadwood: 同时client的switch设定port isolation 02/22 15:47
41F:→ deadwood: 这样就可以不同VLAN网段的IP连线透过防火墙,同VLAN流量 02/22 15:47
42F:→ deadwood: 在switch上管理 02/22 15:48
43F:→ freeunixer: 好吧,先解决 fw 用 routing mode 让 vlan pubip 上网, 02/22 22:14
44F:→ freeunixer: 再来搞别的问题好了... 02/22 22:14
45F:推 xgame0924: 如果硬要用FortiGate FW来搞的话,要启动VDOM 04/04 00:23
46F:→ xgame0924: 1个Route/NAT,1个Transparent,FortiOS v5.4後可以用 04/04 00:27
47F:→ xgame0924: VDOM-Link连接,假设Transparent称vd-L2,Route我称vd-L3 04/04 00:30
48F:→ xgame0924: vd-L2与switch相接跑vlan tagged 04/04 00:32
49F:→ xgame0924: 该vlan的IP设定在vd-L3与vd-L2的vdom-link上 04/04 00:33
50F:→ xgame0924: 假设vlan11对应switch eth1,vlan12对应switch eth2 04/04 00:35
51F:→ xgame0924: 这样你eth1要到eth2就要在vd-L2里设定rule 04/04 00:37
52F:→ xgame0924: 而sw eth1 & eth2 下接的PC还是相同网段 04/04 00:38
53F:→ xgame0924: 你可以试试,不过会需要这样搞是要用来管租屋的网路吗 04/04 00:39