1)下面的 HP 交换机配置 2)附图中的 Fortinet 策略
目前,我们的网络是扁平的,大约有 320 台无线设备和 100 台有线设备。我们有一个 FortiGate 300C 防火墙,带有一个互联网连接,以及一个内部 (10.1.100.106) 连接,其中有一台 HP zl 5406 挂在 FG 上。
我的暑期计划的一部分是将流量划分到 VLAN,所以我现在正在忙着配置它。但是,我遇到了一个非常奇怪的问题,我无法弄清楚,而 Fortinet 将此归咎于 HP 交换机。
平面/默认 Vlan 1 网络:10.1.0.0/16 Vlan 20:10.20.0.0/16
我的工作站位于默认 Vlan 上。我将一台笔记本电脑插入 Vlan 20 的未标记端口,它从 DHCP 获取 IP,正如它应该的那样,范围是 10.20.0.0。在笔记本电脑上,我有 4 个无限 ping。8.8.8.8(Google DNS)、10.1.100.106(FortiGate 防火墙)、10.1.10.15(DHCP 服务器)和 10.1.10.250(我的工作站)。在我的工作站上,我有一个用于笔记本电脑的 IP(10.20.1.50)。
Google/防火墙/DHCP 在笔记本电脑上运行良好,但我的工作站无法 ping 笔记本电脑(超时),但防火墙会随机超时 5-10 分钟(但 DHCP/Google 会继续运行),在我的工作站上,对笔记本电脑的 ping 会像预期的那样启动。然后突然间,它又回到了原来的性能。我配置防火墙策略的方式,它们都无法正常工作。它们都应该能够双向通信。
这让我发疯了好几个星期。从笔记本电脑上捕获了 FG 上的数据包。当 Google/Gateway/DHCP 正常 ping 时,源显示为笔记本电脑的 MAC 地址。当它失败时,源是交换机的 MAC 地址。这让我和 Fortinet 支持人员感到困惑。
我今天发现的一件事是,当我在 Google/Gateway/DHCP 工作时打开 HP 交换机并“清除 arp”时,它会导致防火墙 ping 超时,并且从我的工作站到笔记本电脑的 ping 将暂时开始工作。
现在来看看一些曲线球/其他信息:
1) 这是我第二次尝试这个 Vlan。我最初尝试配置 Vlan 200,其功能类似,但当防火墙超时时,Google ping 也会超时。现在,只有防火墙了。
2) 我有一个 Vlan 30,上面有我的办公室打印机。它运行正常,没有出现这种情况。
3)今天启用了 STP 并且没有做出任何变化。
4)今天启用了IGMP,没有做任何改变。
5) 当我的工作站可以 ping 通笔记本电脑时。在 Vlan 中,笔记本电脑无法 ping 通防火墙。当我的工作站无法 ping 通笔记本电脑时,笔记本电脑可以 ping 通防火墙。
HP 配置:
笔记本电脑是端口 F1。防火墙是 A1。服务器是 B1-B16。Vlan 30 上的打印机是 C1。
; J8697A Configuration Editor; Created on release #K.15.08.0013
; Ver #02:1b.ef:f6
hostname "SGS-MDF-SW01"
module 1 type j9534a
module 2 type j9536a
module 3 type j9534a
module 4 type j9536a
module 6 type j9536a
cdp mode pass-through
timesync sntp
sntp unicast
sntp 30
sntp server priority 1 10.1.100.100
time daylight-time-rule continental-us-and-canada
time timezone -360
ip route 0.0.0.0 0.0.0.0 10.1.100.106
ip routing
snmp-server contact "Brandon" location "Middle School - 1st Floor - MDF"
vlan 1
name "DEFAULT_VLAN"
no untagged C1,F1
untagged A1-A24,B1-B22,C2-C24,D1-D22,F2-F22
ip address 10.1.100.151 255.255.0.0
ip igmp
exit
vlan 20
name "Phones"
untagged F1
tagged A1,B1-B16
ip address 10.20.1.1 255.255.0.0
ip helper-address 10.1.10.15
exit
vlan 30
name "Printers"
untagged C1
tagged A1,B1-16
ip address 10.3.1.1 255.255.0.0
ip helper-address 10.1.10.15
exit
vlan 40
name "LS_Lan"
ip address 10.40.1.1 255.255.0.0
ip helper-address 10.1.10.15
exit
vlan 50
name "MS_LAN"
ip address 10.50.1.1 255.255.0.0
ip helper-address 10.1.10.15
exit
vlan 60
name "Wireless"
ip address 10.60.1.1 255.255.0.0
ip helper-address 10.1.10.15
exit
vlan 80
name "Imaging"
ip address 10.80.1.1 255.255.0.0
ip helper-address 10.1.10.15
exit
答案1
我不是 HP 用户,但是为什么需要在 vlan 20 或 30 中使用“标记的 A1、B1-B16”?
因为看起来您允许使用“ip routing”命令进行 VLAN 间路由,所以您根本不需要在这些 VLAN 中使用标记端口。
流程应该是:
VLAN 20 ---> ping 8.8.8.8 ---> 将 VLAN 间路由到 10.1.100.106 的默认路由 VLAN 20 ---> ping 10.3.1.1 ---> 将交换机上的 VLAN 间路由到 VLAN 30 VLAN 20 ---> ping 10.1.100.106 ---> 将 VLAN 间路由到 VLAN 1
但真正理想的做法应该是将防火墙移到它自己的 /30 VLAN 或类似 VLAN 中。这将确保 VLAN 内广播流量不会发送到防火墙的 LAN 端口。对您来说可能不是什么大问题,但仍然如此。它还有助于分段和干净的设计。对于“服务器”也一样...如果可能的话,将它们从 VLAN 1 中分割出来...或者将服务器保留在那里,并将客户端移出 VLAN 1(如果这对您来说更容易)。
如果有帮助,请告诉我...我可以根据您的回复修改我的答案,但这就是我根据您发布的配置注意到的全部内容。
答案2
防火墙上所有 Vlan 配置都需要删除。只需为每个 Vlan 子网添加指向交换机的静态路由。
10.20.0.0 255.255.0.0 10.1.100.151 10.3.0.0 255.255.0.0 10.1.100.151
任务完成了。我现在可以喝一杯了。