在防火牆處擷取時 VLAN 流量更改源
- 以下 HP Switch 配置 2) 附件中的 Fortinet 政策
現在,我們是一個由大約 320 個無線設備和大約 100 個有線設備組成的扁平網路。我們有一個 FortiGate 300C 防火牆,它有一個網際網路連接,一個內部 (10.1.100.106) 連接和一個掛在 FG 上的 HP zl 5406。
我夏季計劃的一部分是將流量分割到 VLAN 中,所以我現在正在搞亂配置。但是,我有一個非常奇怪的問題,我無法弄清楚,Fortinet 將責任歸咎於 HP 開關。
平面/預設 Vlan 1 網路:10.1.0.0/16 Vlan 20:10.20.0.0/16
我的工作站在預設 Vlan 上。我有一台筆記型電腦插入 Vlan 20 的未標記埠,它正在從正確的 10.20.0.0 範圍內從 DHCP 獲取 IP。在筆記型電腦上,我有 4 次無限 ping。8.8.8.8(Google DNS)、10.1.100.106(FortiGate 防火牆)、10.1.10.15(DHCP 伺服器)和 10.1.10.250(我的工作站)。在我的工作站上,我有一個用於筆記型電腦的 IP (10.20.1.50)。
Google/Firewall/DHCP 在筆記型電腦上執行良好,但我的工作站無法 ping 筆記型電腦(超時),但隨機 5-10 分鐘,防火牆將超時(但 DHCP/Google 繼續執行)並且在我的工作站,對筆記型電腦的 ping 將按預期啟動。然後不知從何而來,它又回到了原來的表現。我在防火牆上配置策略的方式,它們都沒有正常執行。他們都應該能夠以兩種方式進行交流。
這讓我發瘋了好幾個星期。從筆記型電腦擷取的 FG 上的數據包。當 Google/Gateway/DHCP 正常 ping 時,源顯示為筆記型電腦的 MAC 地址。當它失敗時,源是交換機的 MAC 地址。這讓我和 Fortinet 支持感到困惑。
我今天發現的一件事是,當我在 Google/Gateway/DHCP 工作時打開 HP 開關並“清除 arp”時,會導致防火牆 ping 超時,並且從我的工作站到筆記型電腦的 ping 將暫時開始工作.
現在獲取一些曲線球/其他資訊:
1)這是我第二次嘗試這個Vlan。我最初嘗試配置 Vlan 200 並且它的功能類似,但是當防火牆超時時,Google ping 也會超時。現在,它只是防火牆。
我有一個 Vlan 30,上面有我的辦公室列印機。它執行得很好,並且沒有這樣的行為。
今天啟用了 STP,沒有做任何改變。
今天啟用了 IGMP,沒有做任何改變。
當我的工作站可以 ping 筆記型電腦時。在 Vlan 中,筆記型電腦無法 ping 防火牆。當我的工作站無法 ping 筆記型電腦時,筆記型電腦可以 ping 防火牆。
惠普配置:
筆記型電腦是埠 F1。防火牆是A1。伺服器是 B1-B16。Vlan 30 上的列印機是 C1。
; J8697A Configuration Editor; Created on release #K.15.08.0013 ; Ver #02:1b.ef:f6 hostname "SGS-MDF-SW01" module 1 type j9534a module 2 type j9536a module 3 type j9534a module 4 type j9536a module 6 type j9536a cdp mode pass-through timesync sntp sntp unicast sntp 30 sntp server priority 1 10.1.100.100 time daylight-time-rule continental-us-and-canada time timezone -360 ip route 0.0.0.0 0.0.0.0 10.1.100.106 ip routing snmp-server contact "Brandon" location "Middle School - 1st Floor - MDF" vlan 1 name "DEFAULT_VLAN" no untagged C1,F1 untagged A1-A24,B1-B22,C2-C24,D1-D22,F2-F22 ip address 10.1.100.151 255.255.0.0 ip igmp exit vlan 20 name "Phones" untagged F1 tagged A1,B1-B16 ip address 10.20.1.1 255.255.0.0 ip helper-address 10.1.10.15 exit vlan 30 name "Printers" untagged C1 tagged A1,B1-16 ip address 10.3.1.1 255.255.0.0 ip helper-address 10.1.10.15 exit vlan 40 name "LS_Lan" ip address 10.40.1.1 255.255.0.0 ip helper-address 10.1.10.15 exit vlan 50 name "MS_LAN" ip address 10.50.1.1 255.255.0.0 ip helper-address 10.1.10.15 exit vlan 60 name "Wireless" ip address 10.60.1.1 255.255.0.0 ip helper-address 10.1.10.15 exit vlan 80 name "Imaging" ip address 10.80.1.1 255.255.0.0 ip helper-address 10.1.10.15 exit
防火牆上的所有 Vlan 配置都需要刪除。只需為每個指向交換機的 vlan 子網添加靜態路由。
10.20.0.0 255.255.0.0 10.1.100.151 10.3.0.0 255.255.0.0 10.1.100.151
任務完成。我現在可能要喝一杯。
我不是惠普人,但為什麼你需要在 vlan 20 或 30 中“標記 A1,B1-B16”?
由於您似乎允許使用“ip routing”命令進行 VLAN 間路由,因此您根本不需要這些 VLAN 中的標記埠。
流程應該去:
VLAN 20 —> pings 8.8.8.8 —> 將 inter-vlan 路由到預設路由 10.1.100.106 VLAN 20 —> pings 10.3.1.1 —> 將交換機上的 inter-vlan 路由到 vlan 30 VLAN 20 —> ping 10.1.100.106 —> 將 VLAN 間路由到 VLAN 1
理想的情況是應該將防火牆移動到它自己的 /30 VLAN 或類似的 VLAN 中。這將確保 VLAN 內的廣播流量不會發送到防火牆上的 LAN 埠。對你來說可能沒什麼大不了的,但仍然如此。它還有助於分割和簡潔的設計。“伺服器”也是如此……如果可能的話,也將它們從 VLAN 1 中分離出來……或者將伺服器保留在那裡,如果這對你來說更容易的話,將客戶端移出 VLAN 1。
讓我知道這是否有幫助…我可以根據您的回復修改我的答案,但這就是我根據您發布的配置所注意到的全部內容。