1)下面的HP交换机configuration2)附件中的Fortinet策略
目前,我们拥有大约320个无线设备和大约100个有线设备。 我们有一个FortiGate 300C防火墙,只有一个互联网连接,一个内部(10.1.100.106)连接,一个HP zl 5406挂在FG上。
我的夏季计划的一部分是将stream量分割成VLAN,所以现在我正忙于configuration。 但是,我有一个非常奇怪的问题,我无法弄清楚,而Fortinet正在指责惠普交换机。
平坦/默认Vlan 1networking:10.1.0.0/16 Vlan 20:10.20.0.0/16
我有我的工作站在默认的Vlan。 我有一台笔记本电脑插入Vlan 20的无标记端口,并且正确地从10.20.0.0范围内获得了一个来自DHCP的IP地址。 在笔记本电脑上,我有4个无限的ping。 8.8.8.8(Google DNS),10.1.100.106(FortiGate防火墙),10.1.10.15(DHCP服务器)和10.1.10.250(我的工作站)。 在我的工作站上,我有一台笔记本电脑的IP(10.20.1.50)。
谷歌/防火墙/ DHCP将在笔记本电脑上,但我的工作站不能ping通笔记本电脑(超时),但随机,5-10分钟,防火墙将超时(但DHCP /谷歌继续)和我的工作站,平板电脑将启动,就像它应该。 然后,无处不在,它回到原来的performance。 我在防火墙上configuration策略的方式,都没有正常运行。 他们都应该能够沟通这两种方式。
这几个星期以来一直让我疯狂。 在笔记本电脑的FG上捕获数据包。 当Google /网关/ DHCP正确ping时,源显示为笔记本电脑的MAC地址。 当它失败时,源是交换机的MAC地址。 这让我和Fortinet的支持感到困惑。
我今天想到的一件事情是,当我使用HP交换机和“清除ARP”,而Google /网关/ DHCP工作时,它会导致防火墙ping超时,从我的工作站到笔记本电脑的ping将暂时开始工作。
现在为一些曲线球/其他信息:
1)这是我在这个Vlan的第二次尝试。 我最初尝试configurationVlan 200,它的function类似,但是当防火墙超时时,Google ping也是如此。 现在,它只是防火墙。
2)我有一个Vlan 30,上面有我的办公室打印机。 它的function很好,并没有像这样的行为。
3)今天启用STP并没有改变。
4)今天启用了IGMP,没有改变。
5)当我的工作站可以ping笔记本电脑。 在Vlan中,笔记本电脑无法ping通防火墙。 当我的工作站无法ping通笔记本电脑时,笔记本电脑可以ping防火墙。
HPconfiguration:
笔记本电脑是港口F1。 防火墙是A1。 服务器是B1-B16。 打印机在Vlan 30上是C1。
; J8697A Configuration Editor; Created on release #K.15.08.0013 ; Ver #02:1b.ef:f6 hostname "SGS-MDF-SW01" module 1 type j9534a module 2 type j9536a module 3 type j9534a module 4 type j9536a module 6 type j9536a cdp mode pass-through timesync sntp sntp unicast sntp 30 sntp server priority 1 10.1.100.100 time daylight-time-rule continental-us-and-canada time timezone -360 ip route 0.0.0.0 0.0.0.0 10.1.100.106 ip routing snmp-server contact "Brandon" location "Middle School - 1st Floor - MDF" vlan 1 name "DEFAULT_VLAN" no untagged C1,F1 untagged A1-A24,B1-B22,C2-C24,D1-D22,F2-F22 ip address 10.1.100.151 255.255.0.0 ip igmp exit vlan 20 name "Phones" untagged F1 tagged A1,B1-B16 ip address 10.20.1.1 255.255.0.0 ip helper-address 10.1.10.15 exit vlan 30 name "Printers" untagged C1 tagged A1,B1-16 ip address 10.3.1.1 255.255.0.0 ip helper-address 10.1.10.15 exit vlan 40 name "LS_Lan" ip address 10.40.1.1 255.255.0.0 ip helper-address 10.1.10.15 exit vlan 50 name "MS_LAN" ip address 10.50.1.1 255.255.0.0 ip helper-address 10.1.10.15 exit vlan 60 name "Wireless" ip address 10.60.1.1 255.255.0.0 ip helper-address 10.1.10.15 exit vlan 80 name "Imaging" ip address 10.80.1.1 255.255.0.0 ip helper-address 10.1.10.15 exit 我不是一个惠普的家伙,但为什么你需要在20或30的VLAN中标记“A1,B1-B16”?
因为你似乎允许使用“ip routing”命令进行vlan间路由,所以你根本不需要在这些VLAN中标记端口。
stream程应该是:
VLAN 20 —> ping 8.8.8.8 —>将inter-vlan路由到缺省路由10.1.100.106 VLAN 20 —> ping 10.3.1.1 —>在交换机之间路由inter-vlan到vlan 30 VLAN 20 —> ping 10.1.100.106 —>将vlan间路由到vlan 1
理想的确应该是将防火墙移到自己的/ 30 VLAN或类似的地方。 这将确保intra-vlan广播stream量不会发送到防火墙上的LAN端口。 对你来说可能不是什么大事,但还是可以的。 它也有助于分割和干净的devise。 对于“服务器”也是如此……如果可能的话,将它们从VLAN 1中分离出来…或者将服务器保留在那里,如果客户端更容易将客户端移出VLAN 1。
让我知道,如果这有帮助…我可以根据您的回应修改我的答案,但是这一切都基于您发布的configuration。
需要删除防火墙上的所有Vlansconfiguration。 只需要为每个指向交换机的vlan子网添加一条静态路由。
10.20.0.0 255.255.0.0 10.1.100.151 10.3.0.0 255.255.0.0 10.1.100.151
任务完成。 我现在可能要喝一杯。