thắc mắc giúp đỡ phương án cấu hình mạng

ZzHiEuBkZz · Sep 17, 2022

như title, set up vp quy mô nhỏ có các thiết bị sau : fortigate làm router chính, 1 AP chia 2 mạng (nội bộ và khách, swich access tplink cùi . Em muốn chia 2 vlan để tách biệt mạng nội bộ và khách trên con AP, tuy nhiên chưa nghĩ được phương án cấu hình sao trên con fortigate. Fortigate không biết có hỗ trợ 1 vlan chạy nhiều port không. Có bác nào chia sẻ giúp em được không ạ

MRCD™ · Sep 17, 2022

ZzHiEuBkZz said:
như title, set up vp quy mô nhỏ có các thiết bị sau : fortigate làm router chính, 1 AP chia 2 mạng (nội bộ và khách, swich access tplink cùi . Em muốn chia 2 vlan để tách biệt mạng nội bộ và khách trên con AP, tuy nhiên chưa nghĩ được phương án cấu hình sao trên con fortigate. Fortigate không biết có hỗ trợ 1 vlan chạy nhiều port không. Có bác nào chia sẻ giúp em được không ạ

làm được tốt, lười ngâm cứu thì thuê ngta làm cho thôi :big_smile:

Cười Lên Cái Coi · Sep 17, 2022

ZzHiEuBkZz said:
như title, set up vp quy mô nhỏ có các thiết bị sau : fortigate làm router chính, 1 AP chia 2 mạng (nội bộ và khách, swich access tplink cùi . Em muốn chia 2 vlan để tách biệt mạng nội bộ và khách trên con AP, tuy nhiên chưa nghĩ được phương án cấu hình sao trên con fortigate. Fortigate không biết có hỗ trợ 1 vlan chạy nhiều port không. Có bác nào chia sẻ giúp em được không ạ

Nếu đồ mới thím chỉ cần đưa ra yêu cầu bên bán nó làm từ a -z luôn. Hoặc chia Vlan và phân quyền từng Vlan thôi

ZzHiEuBkZz · Sep 17, 2022

Cười Lên Cái Coi said:
Nếu đồ mới thím chỉ cần đưa ra yêu cầu bên bán nó làm từ a -z luôn. Hoặc chia Vlan và phân quyền từng Vlan thôi

Vì còn VPN site to site nên buộc phải 1 vlan nội bộ, chứ k thì em cũng chia từa lưa vlan rồi tạo rule á. k có switch xịn nên k có trunk, chứ trunk thì em làm phút 1 ấy :sweat:

mới nghĩ đến phương án là để các thiết bị cố định cần vpn site to site thì tạo 1 dải rồi cho vpn về, còn lại thì cho vào mạng khách hết dải còn lại rồi giới hạn băng thông đỡ phải vlan lằng nhằng

ZzHiEuBkZz · Sep 17, 2022

Cười Lên Cái Coi said:
Nếu đồ mới thím chỉ cần đưa ra yêu cầu bên bán nó làm từ a -z luôn. Hoặc chia Vlan và phân quyền từng Vlan thôi

thêm chi phí triển khai bác ạ, chứ site thì có mỗi 3,4 cái máy tính, fortigate cũng chỉ 40tr lại 5tr phí cấu hình thì hơi khoai :surrender:

chacuavip10 · Sep 17, 2022

ZzHiEuBkZz said:
như title, set up vp quy mô nhỏ có các thiết bị sau : fortigate làm router chính, 1 AP chia 2 mạng (nội bộ và khách, swich access tplink cùi . Em muốn chia 2 vlan để tách biệt mạng nội bộ và khách trên con AP, tuy nhiên chưa nghĩ được phương án cấu hình sao trên con fortigate. Fortigate không biết có hỗ trợ 1 vlan chạy nhiều port không. Có bác nào chia sẻ giúp em được không ạ

- 1 vlan chạy nhiều port: Fortigate hỗ trợ, nó là vlan switch trong phần interface

ZzHiEuBkZz said:
Vì còn VPN site to site nên buộc phải 1 vlan nội bộ, chứ k thì em cũng chia từa lưa vlan rồi tạo rule á. k có switch xịn nên k có trunk, chứ trunk thì em làm phút 1 ấy mới nghĩ đến phương án là để các thiết bị cố định cần vpn site to site thì tạo 1 dải rồi cho vpn về, còn lại thì cho vào mạng khách hết dải còn lại rồi giới hạn băng thông đỡ phải vlan lằng nhằng

VPN Site to Site nó bản chất chỉ tạo ra 2 ip reach nhau được qua wan/internet ở 2 site để bạn routing, nên 1 hay 10 vlan nội bộ, hay cả nội bộ cả khách đều ok, miễn là bạn policy chuẩn. Trừ khi ý bạn là VPN Client to Site thì lại càng dễ, vì fortigate free cái forticlient (trước nó free 10 forticlient, bây giờ nó có client bản free luôn, bỏ cái endpoint protection ra. VPN cấu hình quá dễ, toàn click next chứ ko gì cao siêu).
AP nếu hỗ trợ trunk (map mỗi SSID về 1 vlan) thì cắm trực tiếp đít con Forti (ví dụ port 2), cấu hình các sub-interface trên port 2 tương ứng với các vlan của SSID kia, đến đây r chắc bạn biết hết. Policy cũng dễ vì nó là 2 interface riêng biệt, limit-bandwidth cũng đơn giản. khi đó con sw ghẻ chỉ phục vụ client nội bộ.
AP nếu ko hỗ trợ trunk, mà kiểu guest wifi rẻ tiền thì khó, vì đa phần đám này nó thiết kế AP chung layer 2, 1 số hỗ trợ ap isolation để các client ko reach đc nhau nhưng ko có gì đảm bảo.

ZzHiEuBkZz · Sep 17, 2022

chacuavip10 said:
- 1 vlan chạy nhiều port: Fortigate hỗ trợ, nó là vlan switch trong phần interface

VPN Site to Site nó bản chất chỉ tạo ra 2 ip reach nhau được qua wan/internet ở 2 site để bạn routing, nên 1 hay 10 vlan nội bộ, hay cả nội bộ cả khách đều ok, miễn là bạn policy chuẩn. Trừ khi ý bạn là VPN Client to Site thì lại càng dễ, vì fortigate free cái forticlient (trước nó free 10 forticlient, bây giờ nó có client bản free luôn, bỏ cái endpoint protection ra. VPN cấu hình quá dễ, toàn click next chứ ko gì cao siêu).

AP nếu hỗ trợ trunk (map mỗi SSID về 1 vlan) thì cắm trực tiếp đít con Forti (ví dụ port 2), cấu hình các sub-interface trên port 2 tương ứng với các vlan của SSID kia, đến đây r chắc bạn biết hết. Policy cũng dễ vì nó là 2 interface riêng biệt, limit-bandwidth cũng đơn giản. khi đó con sw ghẻ chỉ phục vụ client nội bộ.

AP nếu ko hỗ trợ trunk, mà kiểu guest wifi rẻ tiền thì khó, vì đa phần đám này nó thiết kế AP chung layer 2, 1 số hỗ trợ ap isolation để các client ko reach đc nhau nhưng ko có gì đảm bảo.

Bác nói đúng ý em muốn làm lúc đầu đó nhưng chưa biết keyword là gì, vlan switch hình như k hỗ trợ 200e với 80e rồi :cry:

bv4wolf · Sep 18, 2022

ZzHiEuBkZz said:
Bác nói đúng ý em muốn làm lúc đầu đó nhưng chưa biết keyword là gì, vlan switch hình như k hỗ trợ 200e với 80e rồi

https://docs.fortinet.com/document/fortigate/7.2.0/administration-guide/183531/virtual-vlan-switch

Site-site thì chủ yếu là để site bên khách nó kết nối/reach đc server vlan chứ có care gì các vlan khác đâu mà lo.
Để tránh bị khó cấu hình thì tại mỗi site nên lên kế hoạch tạo các local vlan khác nhau và khác với site chính để thuận tiện cho việc cấu hình mở rộng về sau. Đại khái là nên có kế hoạch tổng quát từ ban đầu triển khai.

ZzHiEuBkZz · Sep 18, 2022

bv4wolf said:
https://docs.fortinet.com/document/fortigate/7.2.0/administration-guide/183531/virtual-vlan-switch

Site-site thì chủ yếu là để site bên khách nó kết nối/reach đc server vlan chứ có care gì các vlan khác đâu mà lo.
Để tránh bị khó cấu hình thì tại mỗi site nên lên kế hoạch tạo các local vlan khác nhau và khác với site chính để thuận tiện cho việc cấu hình mở rộng về sau. Đại khái là nên có kế hoạch tổng quát từ ban đầu triển khai.

Về quy hoạch vlan thì em k nói, nhưng vì trc giờ đi setup các site đều có core và fortigate route thôi, giờ fortigate làm hết nên có hơi rối. Vlan switch k hỗ trợ 2 con em đang có r, để em tìm phương pháp khác xem

hoctap2013 · Sep 18, 2022

ZzHiEuBkZz said:
như title, set up vp quy mô nhỏ có các thiết bị sau : fortigate làm router chính, 1 AP chia 2 mạng (nội bộ và khách, swich access tplink cùi . Em muốn chia 2 vlan để tách biệt mạng nội bộ và khách trên con AP, tuy nhiên chưa nghĩ được phương án cấu hình sao trên con fortigate. Fortigate không biết có hỗ trợ 1 vlan chạy nhiều port không. Có bác nào chia sẻ giúp em được không ạ

Fortigate là FW, ko ai gọi là Router cả.
Fortigate bác tạo port trunk thoải mái, AP kết nối với port trunk này. Fortigate là dòng FW có giao diện trực quan dễ sử dụng nhất trong các dòng FW cho doanh nghiệp, giao diện dòng lệnh chỉ để fix lỗi là chính.

thắc mắc giúp đỡ phương án cấu hình mạng

ZzHiEuBkZz

Senior Member

MRCD™

Senior Member

Cười Lên Cái Coi

Member

ZzHiEuBkZz

Senior Member

ZzHiEuBkZz

Senior Member

chacuavip10

Đã tốn tiền

ZzHiEuBkZz

Senior Member

bv4wolf

Senior Member

ZzHiEuBkZz

Senior Member

hoctap2013

Member

Similar threads

Share this page