1) Конфигурация коммутатора HP ниже 2) Политика Fortinet в прикрепленном образе
Прямо сейчас мы представляем собой плоскую сеть, состоящую примерно из 320 беспроводных устройств и около 100 проводных устройств. У нас есть межсетевой экран FortiGate 300C с одним подключением к Интернету и одним внутренним (10.1.100.106) подключением с HP zl 5406, свисающим с FG.
Частью моих летних планов является сегментирование трафика на VLANS, поэтому сейчас я возился с его настройкой. Но у меня есть чрезвычайно странная проблема, которую я не могу понять, и Fortinet винит коммутатор HP.
Flat / Default Vlan 1 Сеть: 10.1.0.0/16 Vlan 20: 10.20.0.0/16
Моя рабочая станция использует Vlan по умолчанию. У меня есть ноутбук, подключенный к немаркированному порту для Vlan 20, и он получает IP-адрес от DHCP, как и должен, из надлежащей области 10.20.0.0. На ноуте идёт 4 бесконечных пинга. 8.8.8.8 (Google DNS), 10.1.100.106 (брандмауэр FortiGate), 10.1.10.15 (DHCP-сервер) и 10.1.10.250 (Моя рабочая станция). На моей рабочей станции у меня есть IP-адрес ноутбука (10.20.1.50).
Google / Firewall / DHCP будет отлично работать на ноутбуке, но моя рабочая станция не может пинговать ноутбук (время истекло), но случайным образом в течение 5-10 минут брандмауэр отключится (но DHCP / Google продолжает работать) и на моем рабочая станция, пинг к ноутбуку начнется, как и положено. Затем из ниоткуда он возвращается к исходному исполнению. Как я настроил политику на брандмауэре, ни один из них не работает должным образом. Они оба должны иметь возможность общаться в обоих направлениях.
Это сводило меня с ума уже несколько недель. Перехватил пакеты на ФГ с ноутбука. Когда Google / Gateway / DHCP пингуют правильно, источник отображается как MAC-адрес портативного компьютера. В случае сбоя источником является MAC-адрес коммутатора. Это озадачило меня и поддержку Fortinet.
Одна вещь, которую я понял сегодня, - когда я включаю коммутатор HP и "очищаю arp", пока работают Google / Gateway / DHCP, это приведет к тому, что пинг брандмауэра истечет, и пинг с моей рабочей станции на ноутбук начнет работать временно. .
Теперь немного о кривых / другой информации:
1) Это моя вторая попытка этого Влана. Первоначально я пытался настроить Vlan 200, и он работал аналогично, но когда брандмауэр истекал, пинг Google тоже. Теперь это только брандмауэр.
2) У меня есть Vlan 30, на котором есть мой офисный принтер. Он работает нормально и не действует так.
3) Включил STP сегодня и не внес никаких изменений.
4) Включил IGMP сегодня и не внес никаких изменений.
5) Когда моя рабочая станция может пинговать ноутбук. в Vlan ноутбуки не могут пинговать брандмауэр. Когда моя рабочая станция не может пинговать ноутбуки, они МОГУТ пинговать брандмауэр.
HP Config:
Ноутбук - порт F1. Брандмауэр - A1. Серверы B1-B16. Принтер на Vlan 30 - C1.
; J8697A Configuration Editor; Created on release #K.15.08.0013
; Ver #02:1b.ef:f6
hostname "SGS-MDF-SW01"
module 1 type j9534a
module 2 type j9536a
module 3 type j9534a
module 4 type j9536a
module 6 type j9536a
cdp mode pass-through
timesync sntp
sntp unicast
sntp 30
sntp server priority 1 10.1.100.100
time daylight-time-rule continental-us-and-canada
time timezone -360
ip route 0.0.0.0 0.0.0.0 10.1.100.106
ip routing
snmp-server contact "Brandon" location "Middle School - 1st Floor - MDF"
vlan 1
name "DEFAULT_VLAN"
no untagged C1,F1
untagged A1-A24,B1-B22,C2-C24,D1-D22,F2-F22
ip address 10.1.100.151 255.255.0.0
ip igmp
exit
vlan 20
name "Phones"
untagged F1
tagged A1,B1-B16
ip address 10.20.1.1 255.255.0.0
ip helper-address 10.1.10.15
exit
vlan 30
name "Printers"
untagged C1
tagged A1,B1-16
ip address 10.3.1.1 255.255.0.0
ip helper-address 10.1.10.15
exit
vlan 40
name "LS_Lan"
ip address 10.40.1.1 255.255.0.0
ip helper-address 10.1.10.15
exit
vlan 50
name "MS_LAN"
ip address 10.50.1.1 255.255.0.0
ip helper-address 10.1.10.15
exit
vlan 60
name "Wireless"
ip address 10.60.1.1 255.255.0.0
ip helper-address 10.1.10.15
exit
vlan 80
name "Imaging"
ip address 10.80.1.1 255.255.0.0
ip helper-address 10.1.10.15
exit
Вся конфигурация Vlan на брандмауэре должна быть удалена. Требовалось только добавить статический маршрут для каждой подсети vlan, указывающей на коммутатор.
10.20.0.0 255.255.0.0 10.1.100.151 10.3.0.0 255.255.0.0 10.1.100.151
Миссия выполнена. Я могу сейчас выпить.
Я не парень HP, но зачем вам "tagged A1, B1-B16" в vlan 20 или 30?
Поскольку кажется, что вы разрешаете маршрутизацию между виртуальными локальными сетями с помощью команды «ip routing», вам вообще не нужны тегированные порты в этих виртуальных локальных сетях.
Поток должен идти:
VLAN 20 ---> pings 8.8.8.8 ---> маршрутизирует inter-vlan на маршрут по умолчанию 10.1.100.106 VLAN 20 ---> pings 10.3.1.1 ---> маршрутизирует inter-vlan на коммутаторе на vlan 30 VLAN 20 ---> pings 10.1.100.106 ---> маршрутизирует inter-vlan на vlan 1
На самом деле идеальным вариантом должно быть перемещение межсетевого экрана в его собственную / 30 VLAN или аналогичную. Это гарантирует, что широковещательный трафик внутри vlan не отправляется на порт LAN на брандмауэре. Наверное, для вас это не имеет большого значения, но все же. Это также помогает с сегментацией и чистым дизайном. То же самое и с «серверами» ... по возможности также сегментируйте их от VLAN 1 ... или оставьте серверы там и переместите клиентов из VLAN 1, если вам так проще.
Дайте мне знать, если это поможет ... Я могу пересмотреть свой ответ на основе ваших ответов, но это все, что я замечаю на основе опубликованной вами конфигурации.