VLANファイアウォールでキャプチャされたときに送信元を変更するトラフィック
1)以下のHPスイッチ構成2)添付画像のフォーティネットポリシー
現在、私たちは約320のワイヤレスデバイスと約100の有線デバイスのフラットネットワークです。単一のインターネット接続を備えたFortiGate300Cファイアウォールと、FGにぶら下がっているHP zl 5406を備えた単一の内部(10.1.100.106)接続があります。
私の夏の計画の一部はトラフィックをVLANに分割することなので、今はそれを設定することをいじっています。しかし、私には理解できない非常に奇妙な問題があり、フォーティネットはHPスイッチを非難しています。
フラット/デフォルトVLAN1ネットワーク:10.1.0.0/16 VLAN 20:10.20.0.0/16
ワークステーションはデフォルトのVLANにあります。ラップトップをVlan20のタグなしポートに接続しましたが、適切な10.20.0.0スコープからDHCPからIPを取得しています。ラップトップでは、4つの無限のpingが実行されています。 8.8.8.8(Google DNS)、10.1.100.106(FortiGateファイアウォール)、10.1.10.15(DHCPサーバー)、および10.1.10.250(私のワークステーション)。私のワークステーションには、ラップトップのIP(10.20.1.50)用のものがあります。
Google/Firewall/DHCPはラップトップでうまく機能しますが、私のワークステーションはラップトップにpingできません(タイムアウト)が、ランダムに5〜10分間、ファイアウォールがタイムアウトします(ただし、DHCP/Googleは続行します)。ワークステーションでは、ラップトップへのpingが想定どおりに開始されます。その後、どこからともなく、元のパフォーマンスに戻ります。ファイアウォールのポリシーを構成した方法では、どちらも正しく機能していません。彼らは両方とも両方の方法で通信できる必要があります。
これは私を何週間も狂わせてきました。ラップトップからFGでキャプチャされたパケット。 Google/Gateway/DHCPが適切にpingを実行している場合、ソースはラップトップのMACアドレスとして表示されます。障害が発生している場合、送信元はスイッチのMACアドレスです。これは私とフォーティネットのサポートを困惑させました。
今日私が理解したことの1つは、Google/Gateway/DHCPが機能しているときにHPスイッチをオンにして「arpをクリア」すると、ファイアウォールのpingがタイムアウトし、ワークステーションからラップトップへのpingが一時的に機能し始めることです。 。
今、いくつかのカーブボール/その他の情報について:
1)これはこのVLANでの私の2回目の試みです。私はもともとVLAN200を構成しようとしましたが、同様に機能しますが、ファイアウォールがタイムアウトすると、Googleがpingを実行します。さて、それはファイアウォールだけです。
2)オフィスプリンターが搭載されたVLAN30を持っています。それはうまく機能し、このようには何も機能しません。
3)今日有効STPで、変更はありません。
4)今日IGMPを有効にし、変更を加えませんでした。
5)ワークステーションがラップトップにpingできるとき。 VLANでは、ラップトップはファイアウォールにpingを実行できません。ワークステーションがラップトップにpingを実行できない場合、ラップトップはファイアウォールにpingを実行できます。
HP構成:
ラップトップはポートF1です。ファイアウォールはA1です。サーバーはB1〜B16です。 VLAN30のプリンターはC1です。
; J8697A Configuration Editor; Created on release #K.15.08.0013
; Ver #02:1b.ef:f6
hostname "SGS-MDF-SW01"
module 1 type j9534a
module 2 type j9536a
module 3 type j9534a
module 4 type j9536a
module 6 type j9536a
cdp mode pass-through
timesync sntp
sntp unicast
sntp 30
sntp server priority 1 10.1.100.100
time daylight-time-rule continental-us-and-canada
time timezone -360
ip route 0.0.0.0 0.0.0.0 10.1.100.106
ip routing
snmp-server contact "Brandon" location "Middle School - 1st Floor - MDF"
vlan 1
name "DEFAULT_VLAN"
no untagged C1,F1
untagged A1-A24,B1-B22,C2-C24,D1-D22,F2-F22
ip address 10.1.100.151 255.255.0.0
ip igmp
exit
vlan 20
name "Phones"
untagged F1
tagged A1,B1-B16
ip address 10.20.1.1 255.255.0.0
ip helper-address 10.1.10.15
exit
vlan 30
name "Printers"
untagged C1
tagged A1,B1-16
ip address 10.3.1.1 255.255.0.0
ip helper-address 10.1.10.15
exit
vlan 40
name "LS_Lan"
ip address 10.40.1.1 255.255.0.0
ip helper-address 10.1.10.15
exit
vlan 50
name "MS_LAN"
ip address 10.50.1.1 255.255.0.0
ip helper-address 10.1.10.15
exit
vlan 60
name "Wireless"
ip address 10.60.1.1 255.255.0.0
ip helper-address 10.1.10.15
exit
vlan 80
name "Imaging"
ip address 10.80.1.1 255.255.0.0
ip helper-address 10.1.10.15
exit
ファイアウォール上のVLANのすべての構成を削除する必要がありました。スイッチを指すVLANサブネットごとに静的ルートを追加するだけで済みます。
10.20.0.0 255.255.0.0 10.1.100.151 10.3.0.0 255.255.0.0 10.1.100.151
任務完了。私は今飲み物を飲むかもしれません。
私はHPの人ではありませんが、VLAN 20または30で「タグ付きA1、B1-B16」が必要なのはなぜですか。
「iprouting」コマンドでVLAN間ルーティングを許可しているように見えるので、これらのVLANにタグ付きポートはまったく必要ありません。
フローは次のようになります。
VLAN 20 ---> ping 8.8.8.8 ---> VLAN間をデフォルトルートの10.1.100.106にルーティングVLAN 20 ---> ping 10.3.1.1 --->ルートinter -vlan30への切り替え時のvlan VLAN 20 ---> ping 10.1.100.106 ---> vlan間をvlan1にルーティングします
ただし、実際には、ファイアウォールを独自の/ 30 VLANなど)に移動するのが理想的です。これにより、VLAN内ブロードキャストトラフィックがファイアウォールのLANポートに送信されないようになります。おそらくそうではありません。大したことですが、それでも。セグメント化とすっきりとしたデザインにも役立ちます。「サーバー」についても同じことが言えます...可能であれば、VLAN 1からもセグメント化します。 。またはサーバーをそこに保持し、クライアントをVLAN 1から移動する方が簡単な場合)。
それが役に立ったかどうか教えてください...私はあなたの応答に基づいて私の答えを修正することができます、しかしそれはあなたが投稿した設定に基づいて私が気づくすべてです。