我有一台 Cisco 管理型交换机,我已将 VLAN 2 配置为分隔一些网络。主 LAN 为 10.3.7.0,VLAN 2 为 10.3.9.0,其中 .1 为默认网关。该 VLAN 脱离了 Fortigate 200D 防火墙上的 LAN 子网。
现在,我想连接一个新的 LAN 电路。我希望它能够与 VLAN 2 子网通信,并能与互联网和 LAN 通信。我尝试将其插入防火墙 LAN 端口,但无法通过 VLAN 进行访问。
目前,VLAN 2 确实可以访问互联网。我是否需要将这个新网络插入交换机,并为其配置 VLAN 2 标记,以使其进入 VLAN 2 子网?如果我这样做,如何让它访问 LAN?
以下是交换机上 VLAN 配置的图片:http://prntscr.com/kuwrbq
我尝试将端口 24 更改为 1UP,2T,但仍然无法访问权限。
答案1
最有可能的是防火墙中没有访问控制列表来允许来自 VLAN 2 和 VLAN 2 的流量在子网之间传递。
由于连接到 VLAN 2 中交换机接入端口的设备(如 GE24)可以访问互联网,因此我们知道防火墙上已配置了默认网关地址。任何试图访问 VLAN 1 的 VLAN 2 上的设备都将使用 VLAN2 的默认网关,就像尝试访问互联网时一样。由于我们知道防火墙也知道 VLAN 1,这意味着当 VLAN 1 上的设备尝试响应时,如果存在策略问题,则不允许流量从 VLAN 2 到达 VLAN 1,或从 VLAN 1 返回 VLAN 2。
您应该能够通过观察防火墙管理界面中丢弃的数据包来确认这一点。