1) Configuração do Comutador HP abaixo 2) Política da Fortinet na imagem anexada
Neste momento, somos uma rede plana de cerca de 320 dispositivos sem fio e cerca de 100 dispositivos com fio. Temos um firewall FortiGate 300C com uma única conexão à Internet e uma única conexão interna (10.1.100.106) com um HP zl 5406 pendurado no FG.
Parte dos meus planos de verão é segmentar o tráfego para as VLANs, por isso estou configurando isso agora. Mas, eu tenho um problema extremamente estranho que não consigo entender, e a Fortinet está culpando o switch HP.
Rede Vlan 1 padrão / padrão: 10.1.0.0/16 Vlan 20: 10.20.0.0/16
Eu tenho minha estação de trabalho no padrão Vlan. Eu tenho um laptop conectado a uma porta não marcada para o Vlan 20, e ele está obtendo um IP do DHCP como deveria, a partir do escopo apropriado do 10.20.0.0. No laptop, tenho 4 pings infinitos em andamento. 8.8.8.8 (DNS do Google), 10.1.100.106 (firewall FortiGate), 10.1.10.15 (Servidor DHCP) e 10.1.10.250 (Minha estação de trabalho). Na minha estação de trabalho, eu tenho um para o IP do laptop (10.20.1.50).
O Google / Firewall / DHCP está indo muito bem no laptop, mas minha estação de trabalho não pode fazer ping no laptop (expirar), mas aleatoriamente, por 5 a 10 minutos, o Firewall expirará (mas o DHCP / Google continuar) e na minha estação de trabalho, o ping para o laptop será iniciado como deveria. Então, do nada, volta ao desempenho original. A maneira que eu tenho a política no firewall configurado, nenhum deles está funcionando corretamente. Eles devem ser capazes de se comunicar nos dois sentidos.
Isso tem me deixado louco por semanas. Pacotes capturados no FG do laptop. Quando o Google / Gateway / DHCP está executando o ping corretamente, a fonte é exibida como o endereço MAC do laptop. Quando está falhando, a fonte é o endereço MAC do switch. Isso me confundiu com o suporte da Fortinet.
Uma coisa que descobri hoje é quando vou no switch HP e "clear arp" enquanto o Google / Gateway / DHCP está funcionando, isso fará com que o ping do firewall seja interrompido e o ping da minha estação de trabalho para o laptop comece a trabalhar temporariamente.
Agora, para algumas informações sobre curveballs / outras:
1) Esta é a minha segunda tentativa neste Vlan. Eu originalmente tentei configurar o Vlan 200 e funcionar de forma semelhante, mas quando o firewall acabaria, o mesmo aconteceria com o ping do Google. Agora, é apenas o firewall.
2) Eu tenho um Vlan 30 que tem minha impressora de escritório nele. Funciona muito bem e não age assim.
3) Habilitou o STP hoje e não fez alterações.
4) Habilitou o IGMP hoje e não fez alterações.
5) Quando minha estação de trabalho pode pingar o laptop. no Vlan, os laptops não podem fazer ping no firewall. Quando minha estação de trabalho não consegue fazer ping nos laptops, os laptops podem executar ping no firewall.
HP Config:
Laptop é a porta F1. Firewall é A1. Servidores são B1-B16. Impressora na Vlan 30 é C1.
; J8697A Configuration Editor; Created on release #K.15.08.0013
; Ver #02:1b.ef:f6
hostname "SGS-MDF-SW01"
module 1 type j9534a
module 2 type j9536a
module 3 type j9534a
module 4 type j9536a
module 6 type j9536a
cdp mode pass-through
timesync sntp
sntp unicast
sntp 30
sntp server priority 1 10.1.100.100
time daylight-time-rule continental-us-and-canada
time timezone -360
ip route 0.0.0.0 0.0.0.0 10.1.100.106
ip routing
snmp-server contact "Brandon" location "Middle School - 1st Floor - MDF"
vlan 1
name "DEFAULT_VLAN"
no untagged C1,F1
untagged A1-A24,B1-B22,C2-C24,D1-D22,F2-F22
ip address 10.1.100.151 255.255.0.0
ip igmp
exit
vlan 20
name "Phones"
untagged F1
tagged A1,B1-B16
ip address 10.20.1.1 255.255.0.0
ip helper-address 10.1.10.15
exit
vlan 30
name "Printers"
untagged C1
tagged A1,B1-16
ip address 10.3.1.1 255.255.0.0
ip helper-address 10.1.10.15
exit
vlan 40
name "LS_Lan"
ip address 10.40.1.1 255.255.0.0
ip helper-address 10.1.10.15
exit
vlan 50
name "MS_LAN"
ip address 10.50.1.1 255.255.0.0
ip helper-address 10.1.10.15
exit
vlan 60
name "Wireless"
ip address 10.60.1.1 255.255.0.0
ip helper-address 10.1.10.15
exit
vlan 80
name "Imaging"
ip address 10.80.1.1 255.255.0.0
ip helper-address 10.1.10.15
exit
Toda a configuração de Vlans no firewall precisava ser removida. Só precisava adicionar uma rota estática para cada sub-rede vlan que apontava de volta para o switch.
10.20.0.0 255.255.0.0 10.1.100.151 10.3.0.0 255.255.0.0 10.1.100.151
Missão cumprida. Eu posso tomar uma bebida agora.
Eu não sou um cara da HP, mas por que você precisa "etiquetou A1, B1-B16" na vlan 20 ou 30?
Como parece que você está permitindo o roteamento entre vlanes com o comando "ip routing", você não deve precisar de portas marcadas nessas VLANs.
O fluxo deve ir:
VLAN 20 --- > pings 8.8.8.8 --- > rotas inter-vlan para a rota padrão de 10.1.100.106 VLAN 20 --- > pings 10.3.1.1 --- > rotas inter-vlan em mudar para vlan 30 VLAN 20 --- > pings 10.1.100.106 --- > rotas inter-vlan para vlan 1
O ideal, na verdade, é mover o firewall para sua própria / 30 VLAN ou similar. Isso garantiria que o tráfego de transmissão intra-vlan não seja enviado para a porta LAN no firewall. Provavelmente não é um grande negócio para você, mas ainda assim. Também ajuda na segmentação e no design limpo. A mesma coisa para os "servidores" ... segmentá-los para longe da VLAN 1 também, se possível ... ou manter os servidores lá, e mover os clientes para fora da VLAN 1, se isso for mais fácil para você.
Deixe-me saber se isso ajuda ... Eu posso revisar minha resposta com base nas suas respostas, mas é tudo que eu noto com base na configuração que você postou.