作者freeunixer (離自相空她相)
看板MIS
標題[請益] Forti 的 route policy 與 VLAN
時間Tue Feb 19 15:12:58 2019
想問兩個問題.
1.
forti 接了兩條 wan 設了 sd_wan.
然後想把某一個 rule 指定到特定 wan,就會有兩種設法.
比如說,我想把到 youtube 的流量全指定到 wan1,
可以在 sd_wan route 那去指,也可以到 policy rule 那去設.
(當然我要先設一個 service object)
那在 sd_wan 裡指定跟在 policy rule 裡指定 route path,會有什麼差別?
(速率快慢?硬體資源使用率高低?)
2.
我想在 forti 下面接一台 switch, 裡面會設 2 個以上的 vlan
(default 的 1 及 define 過的 other)
switch 的 trunk port 已經設了至少 id: 1 及 id: 102 兩個,
如果要把那個 trunk port 接到 forti 的 lan port,
讓那個 lan port 可以收發 switch trunk port 過來的封包,
and. switch 上的 vlan 只做 port 隔離,但 ip block/netmask 會是同一個
(switch 上的不同 vlan port 互連不通,但都會經由同一個 forti port 連網)
forti 5.6 有辦法設嗎?
--
讀者審校網試行版(2018/1/1 更新網址)
http://readerreviewnet.processoroverload.net/
(哲、史、法、政、經、社,人文翻譯書籍錯譯提報網)
◎洪蘭"毀人不倦"舉報專區
http://tinyurl.com/ybfmzwne
讀者需自救,有錯自己改...
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.250.37.178
※ 文章網址: https://webptt.com/m.aspx?n=bbs/MIS/M.1550560382.A.B0F.html
1F:→ king1412: 1. Policy Route優先權應該最大 02/19 19:30
2F:→ king1412: 2. Forti的介面要設定成Trunk模式,介面裡面要設定Vlan 02/19 19:30
3F:→ king1412: ID,通常會當初Vlan裡面Gateway 02/19 19:30
4F:→ michaelchen1: 2的話你可以買FG SWITCH 直接選PORT要開那個VLAN 02/20 10:17
5F:→ michaelchen1: 我覺得滿方便的就直接WEB設定PORT開那個VLAN 02/20 10:21
6F:→ freeunixer: 其實是因為我要給別的 switch 設 vlan 跟 trunk, 02/20 11:52
7F:→ freeunixer: 但我得找個防火牆來測那個 trunk 能不能通, 02/20 11:52
8F:→ freeunixer: 因為我手頭只有一台 fg-60e 有 VLAN 802.1q, 02/20 11:53
9F:→ freeunixer: 所以如果借不到別的設備的話,就只好惡搞這台 fg 來測. 02/20 11:54
10F:→ freeunixer: 不知道 multi-vlan trunk 我這樣設對不對? 02/20 13:59
12F:→ freeunixer: 我把 switch 解一 port 出來綁了五個vlan(含default1) 02/20 14:00
13F:→ freeunixer: 不知這樣設是不是就是把 internal port1 設成 trunk? 02/20 14:01
14F:→ freeunixer: 所有 vlan 都要用同一段 ip,只是透過 vlan 隔離 port, 02/20 17:32
15F:→ freeunixer: 我查了些資料,全都是不同 vlan 有不同的 ip black, 02/20 17:32
16F:→ freeunixer: 怎樣設能讓各 vlan 的 192.168.1.x 連到 fg 的 lan? 02/20 17:34
17F:→ freeunixer: 另外,查了資料,說是 policy route 高於 static route, 02/20 17:35
18F:→ freeunixer: 不過 pr route 跟 sd_wan route 有什不同,還沒查到. 02/20 17:36
19F:→ deadwood: Vlan不是這樣玩的好嗎.....你的需求叫port isolation 02/20 21:33
20F:→ deadwood: 同一個網段還要分到不同VLAN,還要從同一個gateway出去? 02/20 21:41
21F:→ deadwood: fortigate上做vlan trunk表示要有5個不同網段的vlan介面 02/20 21:45
22F:→ deadwood: 上面設定不同網段的IP讓5個VLAN的下面的IP當gateway 02/20 21:46
23F:→ deadwood: fortigate不能設定5個L3介面都同一個網段的IP 02/20 21:47
24F:→ freeunixer: 所以...fg 沒法當 switch port isolate 的 gw 嗎... 02/20 21:50
25F:→ freeunixer: 那有什麼方案可以做到嗎? 02/20 21:50
26F:→ freeunixer: 因為有人跟我說看過 100D 這樣做,所以我想 60E 應該.. 02/20 22:11
27F:→ deadwood: 從switch上做才是根本,不然就是乖乖切5個網段,gateway 02/22 10:22
28F:→ deadwood: 設定在防火牆,policy管控vlan間流量 02/22 10:22
29F:→ deadwood: 先看switch有沒有這功能吧 02/22 10:24
30F:→ freeunixer: 我設定 switch isolate,也透過 sw fw 的 vlan 上網了, 02/22 15:15
31F:→ freeunixer: 最後是只能在 switch 設.不過我想問,互相隔離的 port, 02/22 15:18
32F:→ freeunixer: 能不能在防火牆上設規則去轉發封包? 02/22 15:18
33F:→ freeunixer: e.g 192.168.2.5 經 fw's rule 連 192.168.2.7 的 ftp 02/22 15:20
34F:→ deadwood: 想透過防火牆控制,就是要讓流量經過防火牆 02/22 15:40
35F:→ deadwood: 切不同VLAN、不同網段,gateway在防火牆,就可以policy 02/22 15:41
36F:→ deadwood: 控制互相連線的能力 02/22 15:42
37F:→ deadwood: 既想要有基本port隔離,又想要部分主機能存取,除非你們 02/22 15:44
38F:→ deadwood: 用的switch能設定到那麼細的功能,不然只能打掉重新架構 02/22 15:44
39F:→ deadwood: 把server、client的VLAN切好,L3流量全部經過防火牆 02/22 15:46
40F:→ deadwood: 同時client的switch設定port isolation 02/22 15:47
41F:→ deadwood: 這樣就可以不同VLAN網段的IP連線透過防火牆,同VLAN流量 02/22 15:47
42F:→ deadwood: 在switch上管理 02/22 15:48
43F:→ freeunixer: 好吧,先解決 fw 用 routing mode 讓 vlan pubip 上網, 02/22 22:14
44F:→ freeunixer: 再來搞別的問題好了... 02/22 22:14
45F:推 xgame0924: 如果硬要用FortiGate FW來搞的話,要啟動VDOM 04/04 00:23
46F:→ xgame0924: 1個Route/NAT,1個Transparent,FortiOS v5.4後可以用 04/04 00:27
47F:→ xgame0924: VDOM-Link連接,假設Transparent稱vd-L2,Route我稱vd-L3 04/04 00:30
48F:→ xgame0924: vd-L2與switch相接跑vlan tagged 04/04 00:32
49F:→ xgame0924: 該vlan的IP設定在vd-L3與vd-L2的vdom-link上 04/04 00:33
50F:→ xgame0924: 假設vlan11對應switch eth1,vlan12對應switch eth2 04/04 00:35
51F:→ xgame0924: 這樣你eth1要到eth2就要在vd-L2裡設定rule 04/04 00:37
52F:→ xgame0924: 而sw eth1 & eth2 下接的PC還是相同網段 04/04 00:38
53F:→ xgame0924: 你可以試試,不過會需要這樣搞是要用來管租屋的網路嗎 04/04 00:39