Fortinetthai.com

Fortinet Products => Fortigate => ข้อความที่เริ่มโดย: sutus5555 ที่ 21 มิ.ย. 18, 15:11:44น.

หัวข้อ: ขอสอบถาม คอนเซ็ปการทำ VLAN FTG100D
เริ่มหัวข้อโดย: sutus5555 ที่ 21 มิ.ย. 18, 15:11:44น.
สรุปการทำงานได้ดังนี้จ้า หากต้องการ ทำ Vlan จาก L2 สวิต กับ FTG โดยตรง
1.สร้าง VLAN  ที่สวิตนั้นๆ   แบ่งพอต ตามต้องการ
2.สร้าง Trunk port เพื่อใช้เชื่อมต่อ  กับ firewall  หรือ สวิตตัวอื่น 
   2.1.Trunk port  ของสวิต อื่นๆนอกจาก Cisco สามารถTAG  ทุก Vlan มาได้เลย ค่อยไปจัดการเอาที่  policy route
   2.2.Trunk port  สามารถต่อกับ AP ได้โดยตรง  โดย  สามารถ TAG VLAN แยกมาแต่ละ SSID ได้เลย
   2.3.ทำเหมือนกันกับสวิตทุกตัว
3.ที่ FTG  สร้าง VLAN  ขึ้นมาโดยเลือกเกาะที่ขาใน หรือ port ใดๆ ในกรณีเป็น interface mode
   3.1.ที่ขา vlan สามารถสร้าง DHCP ไว้ได้เลย  จะไม่ใช้ค่อยปิดทีหลัง
   3.2.ตรวจสอบ Routing ที่ routing monitor ว่ามีครบ ตามจำนวน vlan หรือไม่  ถ้าไม่มี  ให้  execute route restart  1 ครั้ง  ถ้าไม่ขึ้นให้กลับไปลบและสร้าง vlan ใหม่
   3.3.*สำคัญ1 ต้องสร้าง  Firewall Policy  สำหรับทุกขาของ Vlan
   3.4.*สำคัญ2 ต้องสร้าง  Policy Route  สำหรับทุกขาของ Vlan ที่ต้องการเห็นกัน
   3.5.*สำคัญ3 execute route restart  ทุกครั้งที่ปรับแก้ เกี่ยวกับ route  ไม่งั้นมันจะไม่อัพเดท จะยิ่งงง

*********************
ในกรณีเป็น L3  ให้สร้าง interface ที่สวิตจะดีกว่า เพราะที่ firewall มันต้องแก้บ่อย
ปล.ทำ LAB ผ่านหมด ทำของจริงมันชอบติดๆขัดๆ  ต้องใจเย็นๆ
ปล2. ขอบคุณแอ็ดมิน ที่ช่วยเหลือชี้แนะครับ
*********************

**ความต้องการ  คุยข้าม vlan  ครับ

**ตอนนี้
มีทั้ง สวิต L2  และ L3     
การเชื่อมต่อ  cisco L2 ---trunk10 20 ---> 3com L3 --trunk tag 10 20--> FGT
มี vlan 10  20 

**ที่ FTG 
สร้าง
VLAN  10  192.168.10.1   + dhcp
VLAN  20  192.168.20.1   + dhcp
สร้าง policy
10-->20
20-->10
10-20 --> wan

**ตอนนี้ เครื่อง Client
-รับ DHCP ได้
-ping ในวง VLAN ตัวเองได้
-ping interface vlan อื่นได้
-ออกเน็ตได้


งานติดตั้ง, ต่อเติม, ปรับปรุง, แก้ไข,ระบบ LAN, wireless, โทรศัพท์, ไฟฟ้า, กล้องวงจรปิด
LINE : @mtechnology (http://@mtechnology)
www.mtechnology.co.th (http://www.mtechnology.co.th)
สุทัศน์ พรมภักดี
103/5 หมู่ 2  บางเสาธง  สมุทรปราการ  10570
ไลน์ sutus5555_488756   โทร  0804417111
กสิกรไทย  XXX-2-21995-X

หัวข้อ: Re: ขอสอบถาม คอนเซ็ปการทำ VLAN FTG100D
เริ่มหัวข้อโดย: ToR ที่ 21 มิ.ย. 18, 15:18:47น.
ปัญหาคืออะไรครับ

(ถ้าใช้ L3 ไม่ต้องทำ trunk tag ครับ แค่ทำ routing อีกวงไปหา FGT )
หัวข้อ: Re: ขอสอบถาม คอนเซ็ปการทำ VLAN FTG100D
เริ่มหัวข้อโดย: sutus5555 ที่ 21 มิ.ย. 18, 15:20:38น.
ปัญหาคืออะไรครับ

(ถ้าใช้ L3 ไม่ต้องทำ trunk tag ครับ แค่ทำ routing อีกวงไปหา FGT )
คือผมไม่รู้ว่าจะต้องไปเช็คตรงไหน  ที่ L3 ผมไม่ได้ทำ ip interface vlan ไว้ครับ

เหลือแค่ต้องการ คุยข้าม vlan ครับ 

ส่วนสวิต L3  กำลังจะถอดออกครับ  จะเหลือแค่ L2 ครับ

ปล.หลังจากเซ็ตทุกอย่างเสร็จหมด  ผมรีสตาทเร้า อย่างเดียว  ตัวเครื่อง FTG และ สวิต ยังไม่ได้รี ครับ
หัวข้อ: Re: ขอสอบถาม คอนเซ็ปการทำ VLAN FTG100D
เริ่มหัวข้อโดย: earth ที่ 21 มิ.ย. 18, 15:33:52น.
คือจะเอา L3 ออก แล้วเหลือแค่ L2 อย่างเดียว
แล้ว L2 ไปหา FGT100D

(L2 > FGT100D)
หัวข้อ: Re: ขอสอบถาม คอนเซ็ปการทำ VLAN FTG100D
เริ่มหัวข้อโดย: sutus5555 ที่ 21 มิ.ย. 18, 15:36:15น.
คือจะเอา L3 ออก แล้วเหลือแค่ L2 อย่างเดียว
แล้ว L2 ไปหา FGT100D

(L2 > FGT100D)

ใช่ครับ  ตอนนี้ ที่ L3  ก็ไม่ได้ทำ interface vlan ไว้ครับ   ทำtrunk  port ไปเสียบ ที่ FGT เฉยๆครับ
หัวข้อ: Re: ขอสอบถาม คอนเซ็ปการทำ VLAN FTG100D
เริ่มหัวข้อโดย: earth ที่ 21 มิ.ย. 18, 15:53:19น.
(http://cookbook.fortinet.com/wp-content/uploads/FortiGate/56/using-zones/Using-zones-featured-img3-800x355.png)

ที่ FortiGate ก็จะต้อง สร้าง Interface VLAN ขึ้นมาใน FortiGate ให้สร้างครบทุก VLAN ID ครับ

โดยจะให้ FortiGate รับ Trunk  มาจาก L2
(http://cookbook.fortinet.com/wp-content/uploads/FortiGate/56/using-zones/1a-VLAN10.png)

ดูการ Setting ได้จากลิ้งค์ด้านล่างนี้ครับ
http://cookbook.fortinet.com/using-zones-to-simplify-firewall-policies-56/
หัวข้อ: Re: ขอสอบถาม คอนเซ็ปการทำ VLAN FTG100D
เริ่มหัวข้อโดย: sutus5555 ที่ 21 มิ.ย. 18, 15:58:42น.
ที่ FortiGate ก็จะต้อง สร้าง Interface VLAN ขึ้นมาใน FortiGate ให้สร้างครบทุก VLAN ID ครับ
โดยจะให้ FortiGate รับ Trunk  มาจาก L2

ดูการ Setting ได้จากลิ้งค์ด้านล่างนี้ครับ
http://cookbook.fortinet.com/using-zones-to-simplify-firewall-policies-56/

ตาม cookbook ทำครบหมดแล้วครับ
หัวข้อ: Re: ขอสอบถาม คอนเซ็ปการทำ VLAN FTG100D
เริ่มหัวข้อโดย: earth ที่ 21 มิ.ย. 18, 16:04:49น.
ที่ FortiGate ก็จะต้อง สร้าง Interface VLAN ขึ้นมาใน FortiGate ให้สร้างครบทุก VLAN ID ครับ
โดยจะให้ FortiGate รับ Trunk  มาจาก L2

ดูการ Setting ได้จากลิ้งค์ด้านล่างนี้ครับ
http://cookbook.fortinet.com/using-zones-to-simplify-firewall-policies-56/

ตาม cookbook ทำครบหมดแล้วครับ

แล้วติดอะไรครับ
หัวข้อ: Re: ขอสอบถาม คอนเซ็ปการทำ VLAN FTG100D
เริ่มหัวข้อโดย: sutus5555 ที่ 21 มิ.ย. 18, 16:08:49น.

อ้างถึง

แล้วติดอะไรครับ

ตอนนี้ คุยกันข้าม VLAN ไม่ได้ครับ  อย่างอื่นได้หมดครับ
หัวข้อ: Re: ขอสอบถาม คอนเซ็ปการทำ VLAN FTG100D
เริ่มหัวข้อโดย: earth ที่ 21 มิ.ย. 18, 16:15:43น.
ถ้าทำ Zone ครอบ VLAN ไว้แบบนี้

(http://cookbook.fortinet.com/wp-content/uploads/FortiGate/56/using-zones/2a-Zone.png)

ให้เอาเมนูติ๊ก Block intra-zone traffic ออกครับ
หัวข้อ: Re: ขอสอบถาม คอนเซ็ปการทำ VLAN FTG100D
เริ่มหัวข้อโดย: sutus5555 ที่ 21 มิ.ย. 18, 17:02:08น.
ถ้าทำ Zone ครอบ VLAN ไว้แบบนี้

(http://cookbook.fortinet.com/wp-content/uploads/FortiGate/56/using-zones/2a-Zone.png)

ให้เอาเมนูติ๊ก Block intra-zone traffic ออกครับ

อันนี้ก็ลองแล้วครับ เดี่ยวลองรีสตาทอุปกรณ์ทั้งระบบดูก่อนครับ กลางคืน
หัวข้อ: Re: ขอสอบถาม คอนเซ็ปการทำ VLAN FTG100D
เริ่มหัวข้อโดย: earth ที่ 21 มิ.ย. 18, 17:15:15น.
ถ้าทำ Zone ครอบ VLAN ไว้แบบนี้

(http://cookbook.fortinet.com/wp-content/uploads/FortiGate/56/using-zones/2a-Zone.png)

ให้เอาเมนูติ๊ก Block intra-zone traffic ออกครับ

อันนี้ก็ลองแล้วครับ เดี่ยวลองรีสตาทอุปกรณ์ทั้งระบบดูก่อนครับ กลางคืน


อ่ะโอเคครับผม
หัวข้อ: Re: ขอสอบถาม คอนเซ็ปการทำ VLAN FTG100D
เริ่มหัวข้อโดย: sutus5555 ที่ 22 มิ.ย. 18, 11:17:04น.
ถ้าทำ Zone ครอบ VLAN ไว้แบบนี้

(http://cookbook.fortinet.com/wp-content/uploads/FortiGate/56/using-zones/2a-Zone.png)

ให้เอาเมนูติ๊ก Block intra-zone traffic ออกครับ

อันนี้ก็ลองแล้วครับ เดี่ยวลองรีสตาทอุปกรณ์ทั้งระบบดูก่อนครับ กลางคืน


อ่ะโอเคครับผม

รีหมดแล้ว
ตอนนี้ก็ยังปิงข้าม VLAN ไม่ได้ครับ
หัวข้อ: Re: ขอสอบถาม คอนเซ็ปการทำ VLAN FTG100D
เริ่มหัวข้อโดย: earth ที่ 22 มิ.ย. 18, 14:59:28น.
ถ้าทำ Zone ครอบ VLAN ไว้แบบนี้

(http://cookbook.fortinet.com/wp-content/uploads/FortiGate/56/using-zones/2a-Zone.png)

ให้เอาเมนูติ๊ก Block intra-zone traffic ออกครับ

อันนี้ก็ลองแล้วครับ เดี่ยวลองรีสตาทอุปกรณ์ทั้งระบบดูก่อนครับ กลางคืน


อ่ะโอเคครับผม

รีหมดแล้ว
ตอนนี้ก็ยังปิงข้าม VLAN ไม่ได้ครับ



ที่คอมทั้ง 2 ฝั่ง  ปิด Firewall ที่เครื่องหรือยังครับ
(Windows Firewall)
หัวข้อ: Re: ขอสอบถาม คอนเซ็ปการทำ VLAN FTG100D
เริ่มหัวข้อโดย: sutus5555 ที่ 25 มิ.ย. 18, 08:50:55น.
อ้างถึง

ที่คอมทั้ง 2 ฝั่ง  ปิด Firewall ที่เครื่องหรือยังครับ
(Windows Firewall)

ปิดแล้วครับ น่าจะมีปัญหาที่ routing เด่วผม งมต่อครับ 
หัวข้อ: Re: ขอสอบถาม คอนเซ็ปการทำ VLAN FTG100D
เริ่มหัวข้อโดย: earth ที่ 25 มิ.ย. 18, 09:39:41น.
อ้างถึง

ที่คอมทั้ง 2 ฝั่ง  ปิด Firewall ที่เครื่องหรือยังครับ
(Windows Firewall)

ปิดแล้วครับ น่าจะมีปัญหาที่ routing เด่วผม งมต่อครับ 

OK ถ้าอย่างนั้นลองเซ็ค Policy Route ด้วยก็ดีครับ
หัวข้อ: Re: ขอสอบถาม คอนเซ็ปการทำ VLAN FTG100D
เริ่มหัวข้อโดย: sutus5555 ที่ 27 มิ.ย. 18, 08:44:47น.
ตอนนี้ทำได้แล้วครับ  โดยไปบังคับที่ policy route ครับ
หัวข้อ: Re: ขอสอบถาม คอนเซ็ปการทำ VLAN FTG100D
เริ่มหัวข้อโดย: earth ที่ 27 มิ.ย. 18, 13:13:48น.
OK ถูกต้องตามนั้นครับผม 

ถ้ามีการกำหนด policy route เอาไว้
แล้วใน ณ ที่นี้มี Switch L2 ทำ VLAN  แล้วจะต้องการให้เจอกันหมด ก็ต้องทำ policy route ของชุุด Address VLAN ต่างๆ ด้วยครับ

Policy Route มันบังคับ Routing ต่างๆ กันไว้อยู่ ครับ