เรื่อง: ขอสอบถาม คอนเซ็ปการทำ VLAN FTG100D
 
 31731

My Name: sutus5555 ออฟไลน์
เพศ: ชาย
  • ดูรายละเอียด
  • www.mtechnology.co.th
21 มิ.ย. 18, 15:11:44น.
สรุปการทำงานได้ดังนี้จ้า หากต้องการ ทำ Vlan จาก L2 สวิต กับ FTG โดยตรง
1.สร้าง VLAN  ที่สวิตนั้นๆ   แบ่งพอต ตามต้องการ
2.สร้าง Trunk port เพื่อใช้เชื่อมต่อ  กับ firewall  หรือ สวิตตัวอื่น 
   2.1.Trunk port  ของสวิต อื่นๆนอกจาก Cisco สามารถTAG  ทุก Vlan มาได้เลย ค่อยไปจัดการเอาที่  policy route
   2.2.Trunk port  สามารถต่อกับ AP ได้โดยตรง  โดย  สามารถ TAG VLAN แยกมาแต่ละ SSID ได้เลย
   2.3.ทำเหมือนกันกับสวิตทุกตัว
3.ที่ FTG  สร้าง VLAN  ขึ้นมาโดยเลือกเกาะที่ขาใน หรือ port ใดๆ ในกรณีเป็น interface mode
   3.1.ที่ขา vlan สามารถสร้าง DHCP ไว้ได้เลย  จะไม่ใช้ค่อยปิดทีหลัง
   3.2.ตรวจสอบ Routing ที่ routing monitor ว่ามีครบ ตามจำนวน vlan หรือไม่  ถ้าไม่มี  ให้  execute route restart  1 ครั้ง  ถ้าไม่ขึ้นให้กลับไปลบและสร้าง vlan ใหม่
   3.3.*สำคัญ1 ต้องสร้าง  Firewall Policy  สำหรับทุกขาของ Vlan
   3.4.*สำคัญ2 ต้องสร้าง  Policy Route  สำหรับทุกขาของ Vlan ที่ต้องการเห็นกัน
   3.5.*สำคัญ3 execute route restart  ทุกครั้งที่ปรับแก้ เกี่ยวกับ route  ไม่งั้นมันจะไม่อัพเดท จะยิ่งงง

*********************
ในกรณีเป็น L3  ให้สร้าง interface ที่สวิตจะดีกว่า เพราะที่ firewall มันต้องแก้บ่อย
ปล.ทำ LAB ผ่านหมด ทำของจริงมันชอบติดๆขัดๆ  ต้องใจเย็นๆ
ปล2. ขอบคุณแอ็ดมิน ที่ช่วยเหลือชี้แนะครับ
*********************


**ความต้องการ  คุยข้าม vlan  ครับ

**ตอนนี้
มีทั้ง สวิต L2  และ L3     
การเชื่อมต่อ  cisco L2 ---trunk10 20 ---> 3com L3 --trunk tag 10 20--> FGT
มี vlan 10  20 

**ที่ FTG 
สร้าง
VLAN  10  192.168.10.1   + dhcp
VLAN  20  192.168.20.1   + dhcp
สร้าง policy
10-->20
20-->10
10-20 --> wan

**ตอนนี้ เครื่อง Client
-รับ DHCP ได้
-ping ในวง VLAN ตัวเองได้
-ping interface vlan อื่นได้
-ออกเน็ตได้


งานติดตั้ง, ต่อเติม, ปรับปรุง, แก้ไข,ระบบ LAN, wireless, โทรศัพท์, ไฟฟ้า, กล้องวงจรปิด
LINE : @mtechnology
www.mtechnology.co.th
สุทัศน์ พรมภักดี
103/5 หมู่ 2  บางเสาธง  สมุทรปราการ  10570
ไลน์ sutus5555_488756   โทร  0804417111
กสิกรไทย  XXX-2-21995-X

แก้ไขครั้งสุดท้าย: 27 มิ.ย. 18, 17:12:18น. โดย sutus5555

My Name: ToR ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #1 21 มิ.ย. 18, 15:18:47น.
ปัญหาคืออะไรครับ

(ถ้าใช้ L3 ไม่ต้องทำ trunk tag ครับ แค่ทำ routing อีกวงไปหา FGT )

My Name: sutus5555 ออฟไลน์
เพศ: ชาย
  • ดูรายละเอียด
  • www.mtechnology.co.th
ตอบกลับ #2 21 มิ.ย. 18, 15:20:38น.
ปัญหาคืออะไรครับ

(ถ้าใช้ L3 ไม่ต้องทำ trunk tag ครับ แค่ทำ routing อีกวงไปหา FGT )
คือผมไม่รู้ว่าจะต้องไปเช็คตรงไหน  ที่ L3 ผมไม่ได้ทำ ip interface vlan ไว้ครับ

เหลือแค่ต้องการ คุยข้าม vlan ครับ 

ส่วนสวิต L3  กำลังจะถอดออกครับ  จะเหลือแค่ L2 ครับ

ปล.หลังจากเซ็ตทุกอย่างเสร็จหมด  ผมรีสตาทเร้า อย่างเดียว  ตัวเครื่อง FTG และ สวิต ยังไม่ได้รี ครับ
แก้ไขครั้งสุดท้าย: 21 มิ.ย. 18, 15:22:46น. โดย sutus5555

My Name: earth ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #3 21 มิ.ย. 18, 15:33:52น.
คือจะเอา L3 ออก แล้วเหลือแค่ L2 อย่างเดียว
แล้ว L2 ไปหา FGT100D

(L2 > FGT100D)

My Name: sutus5555 ออฟไลน์
เพศ: ชาย
  • ดูรายละเอียด
  • www.mtechnology.co.th
ตอบกลับ #4 21 มิ.ย. 18, 15:36:15น.
คือจะเอา L3 ออก แล้วเหลือแค่ L2 อย่างเดียว
แล้ว L2 ไปหา FGT100D

(L2 > FGT100D)

ใช่ครับ  ตอนนี้ ที่ L3  ก็ไม่ได้ทำ interface vlan ไว้ครับ   ทำtrunk  port ไปเสียบ ที่ FGT เฉยๆครับ

My Name: earth ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #5 21 มิ.ย. 18, 15:53:19น.


ที่ FortiGate ก็จะต้อง สร้าง Interface VLAN ขึ้นมาใน FortiGate ให้สร้างครบทุก VLAN ID ครับ

โดยจะให้ FortiGate รับ Trunk  มาจาก L2


ดูการ Setting ได้จากลิ้งค์ด้านล่างนี้ครับ
http://cookbook.fortinet.com/using-zones-to-simplify-firewall-policies-56/

My Name: sutus5555 ออฟไลน์
เพศ: ชาย
  • ดูรายละเอียด
  • www.mtechnology.co.th
ตอบกลับ #6 21 มิ.ย. 18, 15:58:42น.
ที่ FortiGate ก็จะต้อง สร้าง Interface VLAN ขึ้นมาใน FortiGate ให้สร้างครบทุก VLAN ID ครับ
โดยจะให้ FortiGate รับ Trunk  มาจาก L2

ดูการ Setting ได้จากลิ้งค์ด้านล่างนี้ครับ
http://cookbook.fortinet.com/using-zones-to-simplify-firewall-policies-56/

ตาม cookbook ทำครบหมดแล้วครับ

My Name: earth ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #7 21 มิ.ย. 18, 16:04:49น.
ที่ FortiGate ก็จะต้อง สร้าง Interface VLAN ขึ้นมาใน FortiGate ให้สร้างครบทุก VLAN ID ครับ
โดยจะให้ FortiGate รับ Trunk  มาจาก L2

ดูการ Setting ได้จากลิ้งค์ด้านล่างนี้ครับ
http://cookbook.fortinet.com/using-zones-to-simplify-firewall-policies-56/

ตาม cookbook ทำครบหมดแล้วครับ

แล้วติดอะไรครับ

My Name: sutus5555 ออฟไลน์
เพศ: ชาย
  • ดูรายละเอียด
  • www.mtechnology.co.th
ตอบกลับ #8 21 มิ.ย. 18, 16:08:49น.

อ้างถึง

แล้วติดอะไรครับ

ตอนนี้ คุยกันข้าม VLAN ไม่ได้ครับ  อย่างอื่นได้หมดครับ

My Name: earth ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #9 21 มิ.ย. 18, 16:15:43น.
ถ้าทำ Zone ครอบ VLAN ไว้แบบนี้



ให้เอาเมนูติ๊ก Block intra-zone traffic ออกครับ

My Name: sutus5555 ออฟไลน์
เพศ: ชาย
  • ดูรายละเอียด
  • www.mtechnology.co.th
ตอบกลับ #10 21 มิ.ย. 18, 17:02:08น.
ถ้าทำ Zone ครอบ VLAN ไว้แบบนี้

(คลิกเพื่อแสดงรูปที่ซ่อนอยู่.)

ให้เอาเมนูติ๊ก Block intra-zone traffic ออกครับ

อันนี้ก็ลองแล้วครับ เดี่ยวลองรีสตาทอุปกรณ์ทั้งระบบดูก่อนครับ กลางคืน

My Name: earth ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #11 21 มิ.ย. 18, 17:15:15น.
ถ้าทำ Zone ครอบ VLAN ไว้แบบนี้

(คลิกเพื่อแสดงรูปที่ซ่อนอยู่.)

ให้เอาเมนูติ๊ก Block intra-zone traffic ออกครับ

อันนี้ก็ลองแล้วครับ เดี่ยวลองรีสตาทอุปกรณ์ทั้งระบบดูก่อนครับ กลางคืน


อ่ะโอเคครับผม

My Name: sutus5555 ออฟไลน์
เพศ: ชาย
  • ดูรายละเอียด
  • www.mtechnology.co.th
ตอบกลับ #12 22 มิ.ย. 18, 11:17:04น.
ถ้าทำ Zone ครอบ VLAN ไว้แบบนี้

(คลิกเพื่อแสดงรูปที่ซ่อนอยู่.)

ให้เอาเมนูติ๊ก Block intra-zone traffic ออกครับ

อันนี้ก็ลองแล้วครับ เดี่ยวลองรีสตาทอุปกรณ์ทั้งระบบดูก่อนครับ กลางคืน


อ่ะโอเคครับผม

รีหมดแล้ว
ตอนนี้ก็ยังปิงข้าม VLAN ไม่ได้ครับ

My Name: earth ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #13 22 มิ.ย. 18, 14:59:28น.
ถ้าทำ Zone ครอบ VLAN ไว้แบบนี้

(คลิกเพื่อแสดงรูปที่ซ่อนอยู่.)

ให้เอาเมนูติ๊ก Block intra-zone traffic ออกครับ

อันนี้ก็ลองแล้วครับ เดี่ยวลองรีสตาทอุปกรณ์ทั้งระบบดูก่อนครับ กลางคืน


อ่ะโอเคครับผม

รีหมดแล้ว
ตอนนี้ก็ยังปิงข้าม VLAN ไม่ได้ครับ



ที่คอมทั้ง 2 ฝั่ง  ปิด Firewall ที่เครื่องหรือยังครับ
(Windows Firewall)

My Name: sutus5555 ออฟไลน์
เพศ: ชาย
  • ดูรายละเอียด
  • www.mtechnology.co.th
ตอบกลับ #14 25 มิ.ย. 18, 08:50:55น.
อ้างถึง

ที่คอมทั้ง 2 ฝั่ง  ปิด Firewall ที่เครื่องหรือยังครับ
(Windows Firewall)

ปิดแล้วครับ น่าจะมีปัญหาที่ routing เด่วผม งมต่อครับ