Fortinetthai.com
Fortinet Products => Fortigate => ข้อความที่เริ่มโดย: sutus5555 ที่ 21 มิ.ย. 18, 15:11:44น.
-
สรุปการทำงานได้ดังนี้จ้า หากต้องการ ทำ Vlan จาก L2 สวิต กับ FTG โดยตรง
1.สร้าง VLAN ที่สวิตนั้นๆ แบ่งพอต ตามต้องการ
2.สร้าง Trunk port เพื่อใช้เชื่อมต่อ กับ firewall หรือ สวิตตัวอื่น
2.1.Trunk port ของสวิต อื่นๆนอกจาก Cisco สามารถTAG ทุก Vlan มาได้เลย ค่อยไปจัดการเอาที่ policy route
2.2.Trunk port สามารถต่อกับ AP ได้โดยตรง โดย สามารถ TAG VLAN แยกมาแต่ละ SSID ได้เลย
2.3.ทำเหมือนกันกับสวิตทุกตัว
3.ที่ FTG สร้าง VLAN ขึ้นมาโดยเลือกเกาะที่ขาใน หรือ port ใดๆ ในกรณีเป็น interface mode
3.1.ที่ขา vlan สามารถสร้าง DHCP ไว้ได้เลย จะไม่ใช้ค่อยปิดทีหลัง
3.2.ตรวจสอบ Routing ที่ routing monitor ว่ามีครบ ตามจำนวน vlan หรือไม่ ถ้าไม่มี ให้ execute route restart 1 ครั้ง ถ้าไม่ขึ้นให้กลับไปลบและสร้าง vlan ใหม่
3.3.*สำคัญ1 ต้องสร้าง Firewall Policy สำหรับทุกขาของ Vlan
3.4.*สำคัญ2 ต้องสร้าง Policy Route สำหรับทุกขาของ Vlan ที่ต้องการเห็นกัน
3.5.*สำคัญ3 execute route restart ทุกครั้งที่ปรับแก้ เกี่ยวกับ route ไม่งั้นมันจะไม่อัพเดท จะยิ่งงง
*********************
ในกรณีเป็น L3 ให้สร้าง interface ที่สวิตจะดีกว่า เพราะที่ firewall มันต้องแก้บ่อย
ปล.ทำ LAB ผ่านหมด ทำของจริงมันชอบติดๆขัดๆ ต้องใจเย็นๆ
ปล2. ขอบคุณแอ็ดมิน ที่ช่วยเหลือชี้แนะครับ
*********************
**ความต้องการ คุยข้าม vlan ครับ
**ตอนนี้
มีทั้ง สวิต L2 และ L3
การเชื่อมต่อ cisco L2 ---trunk10 20 ---> 3com L3 --trunk tag 10 20--> FGT
มี vlan 10 20
**ที่ FTG
สร้าง
VLAN 10 192.168.10.1 + dhcp
VLAN 20 192.168.20.1 + dhcp
สร้าง policy
10-->20
20-->10
10-20 --> wan
**ตอนนี้ เครื่อง Client
-รับ DHCP ได้
-ping ในวง VLAN ตัวเองได้
-ping interface vlan อื่นได้
-ออกเน็ตได้
งานติดตั้ง, ต่อเติม, ปรับปรุง, แก้ไข,ระบบ LAN, wireless, โทรศัพท์, ไฟฟ้า, กล้องวงจรปิด
LINE : @mtechnology (http://@mtechnology)
www.mtechnology.co.th (http://www.mtechnology.co.th)
สุทัศน์ พรมภักดี
103/5 หมู่ 2 บางเสาธง สมุทรปราการ 10570
ไลน์ sutus5555_488756 โทร 0804417111
กสิกรไทย XXX-2-21995-X
-
ปัญหาคืออะไรครับ
(ถ้าใช้ L3 ไม่ต้องทำ trunk tag ครับ แค่ทำ routing อีกวงไปหา FGT )
-
ปัญหาคืออะไรครับ
(ถ้าใช้ L3 ไม่ต้องทำ trunk tag ครับ แค่ทำ routing อีกวงไปหา FGT )
คือผมไม่รู้ว่าจะต้องไปเช็คตรงไหน ที่ L3 ผมไม่ได้ทำ ip interface vlan ไว้ครับ
เหลือแค่ต้องการ คุยข้าม vlan ครับ
ส่วนสวิต L3 กำลังจะถอดออกครับ จะเหลือแค่ L2 ครับ
ปล.หลังจากเซ็ตทุกอย่างเสร็จหมด ผมรีสตาทเร้า อย่างเดียว ตัวเครื่อง FTG และ สวิต ยังไม่ได้รี ครับ
-
คือจะเอา L3 ออก แล้วเหลือแค่ L2 อย่างเดียว
แล้ว L2 ไปหา FGT100D
(L2 > FGT100D)
-
คือจะเอา L3 ออก แล้วเหลือแค่ L2 อย่างเดียว
แล้ว L2 ไปหา FGT100D
(L2 > FGT100D)
ใช่ครับ ตอนนี้ ที่ L3 ก็ไม่ได้ทำ interface vlan ไว้ครับ ทำtrunk port ไปเสียบ ที่ FGT เฉยๆครับ
-
(http://cookbook.fortinet.com/wp-content/uploads/FortiGate/56/using-zones/Using-zones-featured-img3-800x355.png)
ที่ FortiGate ก็จะต้อง สร้าง Interface VLAN ขึ้นมาใน FortiGate ให้สร้างครบทุก VLAN ID ครับ
โดยจะให้ FortiGate รับ Trunk มาจาก L2
(http://cookbook.fortinet.com/wp-content/uploads/FortiGate/56/using-zones/1a-VLAN10.png)
ดูการ Setting ได้จากลิ้งค์ด้านล่างนี้ครับ
http://cookbook.fortinet.com/using-zones-to-simplify-firewall-policies-56/
-
ที่ FortiGate ก็จะต้อง สร้าง Interface VLAN ขึ้นมาใน FortiGate ให้สร้างครบทุก VLAN ID ครับ
โดยจะให้ FortiGate รับ Trunk มาจาก L2
ดูการ Setting ได้จากลิ้งค์ด้านล่างนี้ครับ
http://cookbook.fortinet.com/using-zones-to-simplify-firewall-policies-56/
ตาม cookbook ทำครบหมดแล้วครับ
-
ที่ FortiGate ก็จะต้อง สร้าง Interface VLAN ขึ้นมาใน FortiGate ให้สร้างครบทุก VLAN ID ครับ
โดยจะให้ FortiGate รับ Trunk มาจาก L2
ดูการ Setting ได้จากลิ้งค์ด้านล่างนี้ครับ
http://cookbook.fortinet.com/using-zones-to-simplify-firewall-policies-56/
ตาม cookbook ทำครบหมดแล้วครับ
แล้วติดอะไรครับ
-
แล้วติดอะไรครับ
ตอนนี้ คุยกันข้าม VLAN ไม่ได้ครับ อย่างอื่นได้หมดครับ
-
ถ้าทำ Zone ครอบ VLAN ไว้แบบนี้
(http://cookbook.fortinet.com/wp-content/uploads/FortiGate/56/using-zones/2a-Zone.png)
ให้เอาเมนูติ๊ก Block intra-zone traffic ออกครับ
-
ถ้าทำ Zone ครอบ VLAN ไว้แบบนี้
(http://cookbook.fortinet.com/wp-content/uploads/FortiGate/56/using-zones/2a-Zone.png)
ให้เอาเมนูติ๊ก Block intra-zone traffic ออกครับ
อันนี้ก็ลองแล้วครับ เดี่ยวลองรีสตาทอุปกรณ์ทั้งระบบดูก่อนครับ กลางคืน
-
ถ้าทำ Zone ครอบ VLAN ไว้แบบนี้
(http://cookbook.fortinet.com/wp-content/uploads/FortiGate/56/using-zones/2a-Zone.png)
ให้เอาเมนูติ๊ก Block intra-zone traffic ออกครับ
อันนี้ก็ลองแล้วครับ เดี่ยวลองรีสตาทอุปกรณ์ทั้งระบบดูก่อนครับ กลางคืน
อ่ะโอเคครับผม
-
ถ้าทำ Zone ครอบ VLAN ไว้แบบนี้
(http://cookbook.fortinet.com/wp-content/uploads/FortiGate/56/using-zones/2a-Zone.png)
ให้เอาเมนูติ๊ก Block intra-zone traffic ออกครับ
อันนี้ก็ลองแล้วครับ เดี่ยวลองรีสตาทอุปกรณ์ทั้งระบบดูก่อนครับ กลางคืน
อ่ะโอเคครับผม
รีหมดแล้ว
ตอนนี้ก็ยังปิงข้าม VLAN ไม่ได้ครับ
-
ถ้าทำ Zone ครอบ VLAN ไว้แบบนี้
(http://cookbook.fortinet.com/wp-content/uploads/FortiGate/56/using-zones/2a-Zone.png)
ให้เอาเมนูติ๊ก Block intra-zone traffic ออกครับ
อันนี้ก็ลองแล้วครับ เดี่ยวลองรีสตาทอุปกรณ์ทั้งระบบดูก่อนครับ กลางคืน
อ่ะโอเคครับผม
รีหมดแล้ว
ตอนนี้ก็ยังปิงข้าม VLAN ไม่ได้ครับ
ที่คอมทั้ง 2 ฝั่ง ปิด Firewall ที่เครื่องหรือยังครับ
(Windows Firewall)
-
ที่คอมทั้ง 2 ฝั่ง ปิด Firewall ที่เครื่องหรือยังครับ
(Windows Firewall)
ปิดแล้วครับ น่าจะมีปัญหาที่ routing เด่วผม งมต่อครับ
-
ที่คอมทั้ง 2 ฝั่ง ปิด Firewall ที่เครื่องหรือยังครับ
(Windows Firewall)
ปิดแล้วครับ น่าจะมีปัญหาที่ routing เด่วผม งมต่อครับ
OK ถ้าอย่างนั้นลองเซ็ค Policy Route ด้วยก็ดีครับ
-
ตอนนี้ทำได้แล้วครับ โดยไปบังคับที่ policy route ครับ
-
OK ถูกต้องตามนั้นครับผม
ถ้ามีการกำหนด policy route เอาไว้
แล้วใน ณ ที่นี้มี Switch L2 ทำ VLAN แล้วจะต้องการให้เจอกันหมด ก็ต้องทำ policy route ของชุุด Address VLAN ต่างๆ ด้วยครับ
Policy Route มันบังคับ Routing ต่างๆ กันไว้อยู่ ครับ