Nếu có Router đứng trước, bạn cần phải NAT 2 port 500 và 4500 UDP cho IPSec trên draytek, rồi cấu hình VPN như bình thường. Còn nếu bạn sử dụng các loại VPN khác thì có thể tham khảo các port của giao thức đó.
Cảm ơn bài hướng dẫn chi tiết, không ro bên mình có bài nào hướng dẫn về software switch và hardware switch không, và cho mình hỏi file iso, iol của Drayteck thì download ở đâu xin cảm ơn.
Draytek thì ko có bản ảo hóa bạn nhé, còn hướng dẫn dựng các bản ảo hóa khác thì bạn có thể xem trong link này: ruclips.net/p/PLjFKMySyUTMw25ReG2_J--J1SSgYrMP0l
Trong trường hợp 2 thì Switch2 chỉ là switch access nên bạn không cần đặt IP trên switch này. Nếu bạn không có VLAN MGMT riêng biệt thì bạn có thể đặt IP trên 1 interface VLAN bất kỳ để truy cập vào thiết bị qua TELNET, SSH, HTTPS...
Shop cho em hỏi em đã từ mạng LAN ra được internet nhưng vlan thì bị chặn ngay firewall thi có cách nào khắc phục không ạ, em cũng tạo policy cho vlan ra internet và ngược lại vẫn không được ạ
Đúng rồi bạn. NAT trên modem để các IP Private có thể truy cập được ra internet. Còn NAT trên firewall thì sẽ chỉ ảnh hưởng Source IP khi bạn capture gói tin thôi, còn các IP nội bộ vẫn có thể truy cập được các IP khác như khi không bật NAT (trong trường hợp chúng ta đã có routing trong LAN).
bạn có thể setup 2 đường internet cắm vào wan 1 vs wan 2, VLAN 1 dùng internet wan 1, Vlan 2 dùng internet wan 2, xong 2 VLAN ping với nhau đc ko nhỉ. Cảm ơn bạn rất nhiều
Trước tiên bạn cấu hình LACP giữa SW và firewall. Còn các bước tiếp theo thì tương tự như video, chỉ cần thay interface vật lý bằng cổng LACP là được. Để tạo LACP trên fortigate thì bạn vào menu Interface, chọn Create New, chọn type là 802.3ad và cấu hình các thông số member như bình thường.
shop cho hỏi: với mô hình trunking thì toàn bộ traffic sẽ đẩy lên fortinet vì nó là default gateway các VLAN đúng ko? còn đối với mô hình 3 Core SW sẽ là default gateway các vlan nên toàn bộ traffic sẽ do nó đảm nhận đúng không? và đối với mô hình 3 mình lấy forti làm DHCP được không?
Đúng rồi bạn, nhưng cũng còn tùy loại traffic từ đâu đến đâu. Chỉ các traffic khác subnet thì mới đẩy qua default gateway để routing. Nếu traffic ra ngoài outsite thì nó giống nhau giữa cả 2 trường hợp, chỉ khác về quá trình switching và routing khác nhau. Còn DHCP thì bạn có thể đặt ở bất cứ đâu trong cả 3 mô hình. Nếu DHCP ngăn cách bởi link layer 3 thì sẽ dùng relay, còn trong cùng Layer 2 thì sẽ cấu hình trực tiếp
Ad cho mình hỏi. Mình có mô hình mạng 2 Vlan 10, 20, trên cổng 1 của Fortigate mình trunk xuống swich Cisco. Giờ mình muốn port 2 của Fortigate thuộc Vlan 10, port 3 của Fortigate thuộc Vlan 20 thì cấu hình thế nào ạ. Thanks ad
Bạn tạo thêm các interface logic với type là hardware switch, hoặc software switch và add các cổng tương ứng vào. Khi đó các member trong interface này sẽ cùng thuộc 1 lớp mạng, và bạn có thể cấu hình cổng logic này như các Interface khác
@@CNTTSHOP thanks ad, mình đã tạo Vlan 10, 20 trên port 1,vậy làm sao để interface 2,3.. trong hardware switch hoặc software switch thuộc VLAN 10 HOẶC VLAN 20 vậy ad, mình ko hiểu lắm, mong ad giúp mình với ạ
@@CNTTSHOP thank ad nhiều ạ, mình vẫn chưa hiểu ở chỗ, mình đã tạo 2 vlan 10, 20 trên port 1, port 1 mình đã trunk xuống switch core, nếu mình tạo hardware switch hoặc software switch thì làm thế nào để port 2,3,4.. trên FG nhận đc vlan 10,20 giống như trên port 1 của FG ạ, mình muốn dùng những cổng còn lại của FG cho máy tính, camera theo vlan ạ
mình ping từ pc tới port2 (10.0.2.1) thì ok nhưng mà chưa ra được internet dù đã e đã tạo policy như shop ah. xin hỏi có cấu hình thêm bước nào nữa hok ? mình làm trên thiết bị thật
Bạn chưa hiểu ở mô hình nào nhỉ. Static route đơn giản chỉ để cho các thiết bị layer 3 có thể biết được tuyến đường đi đến các mạng mà không phải connected với nó thôi, nghĩa là các mạng không kết nối trực tiếp với nó. Còn bạn có thể sử dụng các giao thức định tuyến động như RIP, OSPF... cũng được. Mình dùng static vì trong mô hình này có ít tuyến và cũng chỉ giữa 2 thiết bị với nhau.
@@CNTTSHOP như bài trên nhưng mình ko kết nối fotigate vs moden và kết nối trực tiếp ra internet. static router mình để là gateway của vmware. mô hình 1 vs 3 thì ra internet bt, còn cái thứ 2 ra google được nhưng các trang khác lại ko vào được là sao nhỉ? mong bạn giải thích giúp.
à mình tưởng route trong LAN. Cả 3 mô hình trên thì việc cấu hình cổng WAN đều giống nhau. nên nếu mô hình 1 vs 3 bạn ra được, còn cái 2 vẫn ping được google thì chắc bạn phải kiểm tra nhiều thứ, bao gồm cả lỗi ảo hóa, kiểm tra xem packet đang bị dừng ở đoạn nào: policy, NAT, hay đi ra ngoài rồi nhưng không quay về được ...
add cho minh hoi ví dụ như port 1 chia thành 3 vlan thì port 2,3,4 cũng chia ba vlan giống như vậy thì có gom lại vào 1 group đc k nhỉ? hay có cách nào khác để các port đều có chung ba vlan như thế?
Để 3 port có chung VLAN thì anh cần cấu hình các port đó vào chung group bằng software switch, hardware switch hoặc Port-channel. Nếu đầu switch bên dưới có thể cấu hình LACP, thì anh nên cấu hình LACP trên fortigate để tăng băng thông và dự phòng cho mạng luôn
Bạn có thể làm theo hướng dẫn này để tạo 1 LACP interface nhé, sau đó thì bạn tạo VLAN như bình thường, chọn interface là cổng LACP vừa tạo là được. Tuy nhiên LACP yêu cầu cấu hình trên cả switch, nên bạn cần lưu ý cấu hình 2 đầu giống nhau nhé. community.fortinet.com/t5/FortiGate/Technical-Tip-LACP-support-for-entry-level-E-series/ta-p/193714
ad cho mình hỏi, mình cấu hình xong thông nhau và ra được internet nhưng chỉ loanh quanh vùng search trên google chứ không vào được web, cái này có phải do phần dns mình setup không ạ, nếu fix thì sẽ fix ở phần nào, mình sử dụng mô hình 3
Fortigate đứng sau Router thì anh cần bật NAT trên firewall, hoặc cấu hình default route trỏ lên router, và các static route trỏ xuống dải LAN bên dưới
Anh cho hỏi, trường hợp mạng nội bộ của mình có 2 VLAN là 10 và 20. VLAN 10 cấp IP cho server và máy tính nội bộ, VLAN 20 cho guest. mình cấu hình VLAN 10 ping thấy VLAN 20 và dãy IP VLAN 20 mình không muốn cho ping tới VLAN 10. Bây giờ có một máy tính nhận IP từ dãy VLAN 20 và chỉ muốn cho mỗi IP đó truy cập vào server thuộc VLAN 10 và ping thấy được thì làm sao. Cảm ơn !
Hi cntt shop, cho mình hỏi trường hợp 3 từ Pc mình không ping tới ip port 2 trên firewall nhưng khi capture trên port 2 thì vẫn thấy có gói từ pc tới, mình cũng khai route trỏ tới Vlan của pc trên firewall rồi. Nhờ bạn giải đáp giúp nhé
@@CNTTSHOP tks bạn, mình bật ping rồi, mình nghĩ vấn đề nằm ở swL3 vì mình thấy fw nó vẫn trả gói tin reply về cho PC, hiện SwL3 mình cũng khai df route , bật ip routing, default-router rồi, nhg ko hiểu sao vẫn ko ping dc
Fortigate là thiết bị layer 3 nên các cổng sẽ là layer 3. Anh có thể nhóm các cổng vào 1 switch port, khi đó các cổng đó sẽ thuộc chung 1 miền broadcast. Hoặc anh có thể cấu hình Firewall mode transparent, hoạt động như 1 firewall layer 2
Nếu không có modem, bạn quay PPPoE trực tiếp trên Fortigate thì sẽ không cần nhập Default gateway trong defaul route. Còn với các đường Layer 3 nội bộ, hoặc đường wan với static IP thì nó sẽ là IP của Router Next-hop.
Chào CNTT shop! cho mình hỏi mình sử dụng evaluation license cho VM64-KVM v7.2, khi add vlan thì báo maximum number of entries has been reached. Có cái nào để fix cái này không bạn?
Bạn tạo policy với source là IP của máy tính thuộc VLAN 11 và destination là VLAN 12, service là dịch vụ mà bạn muốn cấm, sau đó chọn action là deny và đặt policy đó ở trên cùng là được
Trong mô hình là mình đang chia 3 trường hợp khác nhau, còn nếu bạn muốn ping từ pc 4 đến sw 2, thì bạn cần cấu hình các bước như với case 3, rồi tạo policy cho phép dải lan của pc4 và sw 2 theo cả 2 chiều
Mô hình 3 : Mình ping dc tứ pc lên dc port 2 , và ngược lại , Mình cũng đã tạo static route từ FW về 2 interface vlan qua port 2. Nhưng khi test ping thì hiện PC của mình ko ping dc tói Port 1 => ko ra net dc . như kiểu port 1 và 2 ko thấy nhau . gói ping đang ở port 2 là hết . nên chưa ra net dc.
Bạn cần tạo thêm các policy theo 2 chiều từ port 1 sang port 2, và port 2 vào port 1 cho các VLAN bên dưới, như trong video mình đang tách ra 2 policy để áp dụng chính sách riêng cho từng VLAN, bạn có thể gộp policy cho 2 VLAN lại cũng được
@@CNTTSHOP -HIện tại mình từ client , mình đã ping ok dc port1 , Trên port 1 cũng đã có 1 defaul root ra net. -Nhưng client vẫng ko ping ra dc net , dù đã ping thấy dc port 1 . -Port 1 cùng net với gateway của card nat . Trên FW , Mình execute Ping ra net ok từ port 1
Nếu bạn không trunk được thì có thể cổng đang là cổng layer3, trong trường hợp này thì bann gõ lệnh switchport trước. Hoặc nếu labs trên pnetlabs thì bạn cần cấu hình switchport trunk encapsulation dot1q.
@@CNTTSHOP Vâng, với cả em dùng VPC ping thử thì vẫn ping được và có thêm đoạn: (ICMP type:3, code:0, Destination network unreachable) thì kbiet là lỗi gì trong khi em chưa cho phép firewall policy
Bạn ping đến IP gateway hay IP nào, Nếu ping đến IP gateway trên Firewall, ngoài việc cấu hình thông Layer 2 ở dưới, bạn còn phải bật PING trên interface cần ping nữa.
Để VLAN 10 thông sang VLAN 13 thì bạn cần mở policy 2 chiều, và đảm bảo trên firewall và Switch 3 đã có các route trỏ về các dải mạng trong 2 VLAN này là được
Bạn vui lòng cung cấp thông báo lỗi trên firewall nhé. Nếu đang tạo policy, báo lỗi khi save thì có thể bạn đang thiếu 1 trường nào đó hoặc đã có 1 policy với source và destination như vậy rồi.
Nếu bạn tạo trên máy ảo thì giới hạn về số lượng policy sẽ rất ít. Trong trường hợp đó bạn có thể tạo các zone để nhóm các VLAN có cùng policy vào, và cấu hình policy cho các zone này.
Bài lab này mình làm trên Pnetlab, nhưng mà vigor là router thật trong mạng của mình, mình đang nối Pnetlab ra mạng thật để các máy ảo có thể truy cập internet
Để xóa VLAN, bạn cần xóa các cấu hình khác có liên quan đến VLAN đó như policy, address, VLAN, Route... Bạn có thể xem VLAN đó đã được add vào những mục nào trong cột Ref của interface. Bấm vào mục Ref đó bạn có thể xóa luôn các cấu hình liên quan. Sau khi Ref về 0 thì bạn có thể xóa VLAN đó.
Hướng dẫn rất ok! bạn có thể làm thêm video hướng dẫn xác thực SSL VPN (server radius (đã join AD) - Firewall fortinet
Mình sẽ làm video hướng dẫn trong thời gian sớm nhất. Bạn nhớ subscribe và bật thông báo để đón xem video này nhé.
hi admin. cùng sơ đồ chia vlan trên fotigate firewall đứng sau drayteck xin chỉ dẫn tạo foticlient . đã thử nhiều lần nhưng k được thanks ad.
Nếu có Router đứng trước, bạn cần phải NAT 2 port 500 và 4500 UDP cho IPSec trên draytek, rồi cấu hình VPN như bình thường. Còn nếu bạn sử dụng các loại VPN khác thì có thể tham khảo các port của giao thức đó.
Cảm ơn Shop nhé (y)
Thanks bạn ! video rất hữu ích
Cảm ơn bạn đã ủng hộ, bạn nhớ subscribe và bật thông báo để đón xem các video mới ạ.
Cảm ơn bài hướng dẫn chi tiết, không ro bên mình có bài nào hướng dẫn về software switch và hardware switch không, và cho mình hỏi file iso, iol của Drayteck thì download ở đâu xin cảm ơn.
Draytek thì ko có bản ảo hóa bạn nhé, còn hướng dẫn dựng các bản ảo hóa khác thì bạn có thể xem trong link này: ruclips.net/p/PLjFKMySyUTMw25ReG2_J--J1SSgYrMP0l
ad cho mình hỏi trong trường hợp 2 thì switch2 đấy có ip là bao nhiêu và đứng ở đâu thì Ping thông được đến switch 2 đấy ad nhỉ? thanks
Trong trường hợp 2 thì Switch2 chỉ là switch access nên bạn không cần đặt IP trên switch này. Nếu bạn không có VLAN MGMT riêng biệt thì bạn có thể đặt IP trên 1 interface VLAN bất kỳ để truy cập vào thiết bị qua TELNET, SSH, HTTPS...
Shop cho em hỏi em đã từ mạng LAN ra được internet nhưng vlan thì bị chặn ngay firewall thi có cách nào khắc phục không ạ, em cũng tạo policy cho vlan ra internet và ngược lại vẫn không được ạ
Bạn ping thử đến gw xem được chưa, check policy đã bật Nat chưa?
Nếu mình bật NAT trên firewall vậy là gói tin đi trong mạng LAN ra sẽ dc NAT 2 lần phải ko anh?1 lần tại firewall mà 1 lần tại modem
Đúng rồi bạn. NAT trên modem để các IP Private có thể truy cập được ra internet. Còn NAT trên firewall thì sẽ chỉ ảnh hưởng Source IP khi bạn capture gói tin thôi, còn các IP nội bộ vẫn có thể truy cập được các IP khác như khi không bật NAT (trong trường hợp chúng ta đã có routing trong LAN).
bạn có thể setup 2 đường internet cắm vào wan 1 vs wan 2, VLAN 1 dùng internet wan 1, Vlan 2 dùng internet wan 2, xong 2 VLAN ping với nhau đc ko nhỉ. Cảm ơn bạn rất nhiều
Mình sẽ làm video hướng dẫn trong thời gian sớm nhất. Bạn nhớ subscribe và bật thông báo để đón xem video này nhé.
Bạn có thể vào video sau để xem chi tiết cách thực hiện nhé. Cảm ơn và mong bạn tiếp tục ủng hộ.
ruclips.net/video/vzfqzeAjHB8/видео.html
trên mô hình 3 mình muốn cấu hình link từ SW lên FGT là link Aggregation thì cấu hình làm sao CNTTshop ?
Trước tiên bạn cấu hình LACP giữa SW và firewall. Còn các bước tiếp theo thì tương tự như video, chỉ cần thay interface vật lý bằng cổng LACP là được. Để tạo LACP trên fortigate thì bạn vào menu Interface, chọn Create New, chọn type là 802.3ad và cấu hình các thông số member như bình thường.
shop cho hỏi: với mô hình trunking thì toàn bộ traffic sẽ đẩy lên fortinet vì nó là default gateway các VLAN đúng ko? còn đối với mô hình 3 Core SW sẽ là default gateway các vlan nên toàn bộ traffic sẽ do nó đảm nhận đúng không? và đối với mô hình 3 mình lấy forti làm DHCP được không?
Đúng rồi bạn, nhưng cũng còn tùy loại traffic từ đâu đến đâu. Chỉ các traffic khác subnet thì mới đẩy qua default gateway để routing. Nếu traffic ra ngoài outsite thì nó giống nhau giữa cả 2 trường hợp, chỉ khác về quá trình switching và routing khác nhau. Còn DHCP thì bạn có thể đặt ở bất cứ đâu trong cả 3 mô hình. Nếu DHCP ngăn cách bởi link layer 3 thì sẽ dùng relay, còn trong cùng Layer 2 thì sẽ cấu hình trực tiếp
Ad cho mình hỏi. Mình có mô hình mạng 2 Vlan 10, 20, trên cổng 1 của Fortigate mình trunk xuống swich Cisco. Giờ mình muốn port 2 của Fortigate thuộc Vlan 10, port 3 của Fortigate thuộc Vlan 20 thì cấu hình thế nào ạ. Thanks ad
Bạn tạo thêm các interface logic với type là hardware switch, hoặc software switch và add các cổng tương ứng vào. Khi đó các member trong interface này sẽ cùng thuộc 1 lớp mạng, và bạn có thể cấu hình cổng logic này như các Interface khác
@@CNTTSHOP thanks ad, mình đã tạo Vlan 10, 20 trên port 1,vậy làm sao để interface 2,3.. trong hardware switch hoặc software switch thuộc VLAN 10 HOẶC VLAN 20 vậy ad, mình ko hiểu lắm, mong ad giúp mình với ạ
@@CNTTSHOP thank ad nhiều ạ, mình vẫn chưa hiểu ở chỗ, mình đã tạo 2 vlan 10, 20 trên port 1, port 1 mình đã trunk xuống switch core, nếu mình tạo hardware switch hoặc software switch thì làm thế nào để port 2,3,4.. trên FG nhận đc vlan 10,20 giống như trên port 1 của FG ạ, mình muốn dùng những cổng còn lại của FG cho máy tính, camera theo vlan ạ
bạn cần xóa VLAN 10, 20 trên port 1 đi, sau đó tạo lại VLAN 10, 20 trên software switch
@@CNTTSHOP mình cảm ơn ad nhiều nhé
nếu mình cấu hình pppoe trên firewall thì Incoming Interface là port2 còn Outgoing Interface là wan quay pppoe đúng hok admin
Đúng rồi bạn, policy ra internet thì outgoing sẽ là cổng wan
mình ping từ pc tới port2 (10.0.2.1) thì ok nhưng mà chưa ra được internet dù đã e đã tạo policy như shop ah. xin hỏi có cấu hình thêm bước nào nữa hok ? mình làm trên thiết bị thật
Bạn xem đã có static route ra internet chưa nhé
Mình chưa hiểu lắm phần static route bạn giải thích rõ hơn đc ko
Bạn chưa hiểu ở mô hình nào nhỉ. Static route đơn giản chỉ để cho các thiết bị layer 3 có thể biết được tuyến đường đi đến các mạng mà không phải connected với nó thôi, nghĩa là các mạng không kết nối trực tiếp với nó. Còn bạn có thể sử dụng các giao thức định tuyến động như RIP, OSPF... cũng được. Mình dùng static vì trong mô hình này có ít tuyến và cũng chỉ giữa 2 thiết bị với nhau.
@@CNTTSHOP như bài trên nhưng mình ko kết nối fotigate vs moden và kết nối trực tiếp ra internet. static router mình để là gateway của vmware. mô hình 1 vs 3 thì ra internet bt, còn cái thứ 2 ra google được nhưng các trang khác lại ko vào được là sao nhỉ? mong bạn giải thích giúp.
à mình tưởng route trong LAN. Cả 3 mô hình trên thì việc cấu hình cổng WAN đều giống nhau. nên nếu mô hình 1 vs 3 bạn ra được, còn cái 2 vẫn ping được google thì chắc bạn phải kiểm tra nhiều thứ, bao gồm cả lỗi ảo hóa, kiểm tra xem packet đang bị dừng ở đoạn nào: policy, NAT, hay đi ra ngoài rồi nhưng không quay về được ...
add cho minh hoi ví dụ như port 1 chia thành 3 vlan thì port 2,3,4 cũng chia ba vlan giống như vậy thì có gom lại vào 1 group đc k nhỉ? hay có cách nào khác để các port đều có chung ba vlan như thế?
Để 3 port có chung VLAN thì anh cần cấu hình các port đó vào chung group bằng software switch, hardware switch hoặc Port-channel. Nếu đầu switch bên dưới có thể cấu hình LACP, thì anh nên cấu hình LACP trên fortigate để tăng băng thông và dự phòng cho mạng luôn
@@CNTTSHOP có video nào về tính năng í k add?
Bạn có thể làm theo hướng dẫn này để tạo 1 LACP interface nhé, sau đó thì bạn tạo VLAN như bình thường, chọn interface là cổng LACP vừa tạo là được. Tuy nhiên LACP yêu cầu cấu hình trên cả switch, nên bạn cần lưu ý cấu hình 2 đầu giống nhau nhé. community.fortinet.com/t5/FortiGate/Technical-Tip-LACP-support-for-entry-level-E-series/ta-p/193714
ad cho mình hỏi, mình cấu hình xong thông nhau và ra được internet nhưng chỉ loanh quanh vùng search trên google chứ không vào được web, cái này có phải do phần dns mình setup không ạ, nếu fix thì sẽ fix ở phần nào, mình sử dụng mô hình 3
Bạn đang thực hiện trên ảo hóa hay trên mạng thật.
@@CNTTSHOP mình làm trên EVE
Trên EVE thì khả năng là do bản windows ảo hóa hoặc DNS. Bạn thử cài đặt bản windows mới, cài lại chrome và time, DNS trên windows nhé
con fortigate đứng sau con router thì làm sao để cấu hình router để định tuyến ra internet vậy ạ
Fortigate đứng sau Router thì anh cần bật NAT trên firewall, hoặc cấu hình default route trỏ lên router, và các static route trỏ xuống dải LAN bên dưới
Thanks bạn nhiều.
Dạ anh nhấn chuông để nhận thông báo về những video tiếp theo của shop nhanh nhất nhé.
Anh cho hỏi, trường hợp mạng nội bộ của mình có 2 VLAN là 10 và 20. VLAN 10 cấp IP cho server và máy tính nội bộ, VLAN 20 cho guest. mình cấu hình VLAN 10 ping thấy VLAN 20 và dãy IP VLAN 20 mình không muốn cho ping tới VLAN 10. Bây giờ có một máy tính nhận IP từ dãy VLAN 20 và chỉ muốn cho mỗi IP đó truy cập vào server thuộc VLAN 10 và ping thấy được thì làm sao. Cảm ơn !
Anh chỉ cần tạo 1 policy với source là ip của máy tính thuộc vlan 20 (/32), và đưa policy này lên phía trên
@@CNTTSHOP cảm ơn anh.
Hi cntt shop, cho mình hỏi trường hợp 3 từ Pc mình không ping tới ip port 2 trên firewall nhưng khi capture trên port 2 thì vẫn thấy có gói từ pc tới, mình cũng khai route trỏ tới Vlan của pc trên firewall rồi. Nhờ bạn giải đáp giúp nhé
Bạn thử kiểm tra xem trên port 2 bạn đã enable ping chưa nhé
@@CNTTSHOP tks bạn, mình bật ping rồi, mình nghĩ vấn đề nằm ở swL3 vì mình thấy fw nó vẫn trả gói tin reply về cho PC, hiện SwL3 mình cũng khai df route , bật ip routing, default-router rồi, nhg ko hiểu sao vẫn ko ping dc
Bạn thử tạo accesslist rồi bật debug ip packet trên switch theo ACL để xem switch xử lý gói tin phản hồi về ntn
có thể cấu hình cổng nào thuần trunk 2 vlan mà ko cần set ip ko ban
Fortigate là thiết bị layer 3 nên các cổng sẽ là layer 3. Anh có thể nhóm các cổng vào 1 switch port, khi đó các cổng đó sẽ thuộc chung 1 miền broadcast. Hoặc anh có thể cấu hình Firewall mode transparent, hoạt động như 1 firewall layer 2
nếu không có modern thì defaurouter là địa chỉ nào vậy ad
Nếu không có modem, bạn quay PPPoE trực tiếp trên Fortigate thì sẽ không cần nhập Default gateway trong defaul route. Còn với các đường Layer 3 nội bộ, hoặc đường wan với static IP thì nó sẽ là IP của Router Next-hop.
a cho e hỏi là a dùng những phần mềm gì để làm giả lập được như này ạ
Anh download phần mềm PnetLab hoặc EVE-NG về để giả lập nhé, trong video em đang sử dụng PnetLab
Hi admin - làm thế nào để giả lập đc Router Drayek giống anh vậy!
Draytek là modem thật trong mạng của mình, mình đang nối Pnetlab ra ngoài mạng thật. Còn hiện tại draytek chưa có bản giả lập.
Chào CNTT shop! cho mình hỏi mình sử dụng evaluation license cho VM64-KVM v7.2, khi add vlan thì báo maximum number of entries has been reached. Có cái nào để fix cái này không bạn?
Không bạn nhé, các giá trị này được fix theo từng dòng sản phẩm rồi nên không thay đổi được.
@@CNTTSHOP cảm ơn bạn, cho mình hỏi sử dụng bản nào thì có tránh được lỗi như trên vậy
các bản dùng thử đều bị giới hạn phần cứng ở 1 CPU và 2G RAM, nên đều như nhau thôi bạn
@@CNTTSHOP cảm ơn bạn, mình add bản 5.6 trên cnttshop k bị giới hạn interface và policy nữa r
Cảm ơn kênh nha.
Làm thế nào để cấm máy tính từ VLan 11 truy cập 1 dịch vụ nhất định tới VLan 12. Chẳng hạn như cấm theo port
Bạn tạo policy với source là IP của máy tính thuộc VLAN 11 và destination là VLAN 12, service là dịch vụ mà bạn muốn cấm, sau đó chọn action là deny và đặt policy đó ở trên cùng là được
Làm sao để truy cập được firewall trong pnetlab từ máy thật vậy shop ?
anh tham khảo video này để kết nối máy ảo ra máy thật nhé: ruclips.net/video/PXVvthG2PVg/видео.html
@@CNTTSHOP Cám ơn b
làm sao để pc4 ping đến địa chỉ IP của sw2 (vlan1) ?
Trong mô hình là mình đang chia 3 trường hợp khác nhau, còn nếu bạn muốn ping từ pc 4 đến sw 2, thì bạn cần cấu hình các bước như với case 3, rồi tạo policy cho phép dải lan của pc4 và sw 2 theo cả 2 chiều
Mô hình 3 :
Mình ping dc tứ pc lên dc port 2 , và ngược lại , Mình cũng đã tạo static route từ FW về 2 interface vlan qua port 2. Nhưng khi test ping thì hiện PC của mình ko ping dc tói Port 1 => ko ra net dc . như kiểu port 1 và 2 ko thấy nhau . gói ping đang ở port 2 là hết . nên chưa ra net dc.
Bạn cần tạo thêm các policy theo 2 chiều từ port 1 sang port 2, và port 2 vào port 1 cho các VLAN bên dưới, như trong video mình đang tách ra 2 policy để áp dụng chính sách riêng cho từng VLAN, bạn có thể gộp policy cho 2 VLAN lại cũng được
@@CNTTSHOP mình tạo để all luôn từ port 2 ra port 1 nhưng cũng ko dc ?
- Đã tạo route từ port 1 về 2 inter vlan rồi luôn.
Trên switch anh đã có default route trỏ lên firewall chưa?
@@CNTTSHOP
-HIện tại mình từ client , mình đã ping ok dc port1 , Trên port 1 cũng đã có 1 defaul root ra net.
-Nhưng client vẫng ko ping ra dc net , dù đã ping thấy dc port 1 .
-Port 1 cùng net với gateway của card nat .
Trên FW , Mình execute Ping ra net ok từ port 1
Trên firewall anh ping thử ra net với source là IP của port 2 xem có được không. Khả năng do anh chưa enable NAT trên policy cho phép LAN ra Internet
A có tai nguyên file ios draytek vigo 2925 k ạ
Mình chưa tìm được cách giả lập draytek trên PnetLab, bạn tham khảo trên mạng xem
Qua bai lab cứ tg anh co
Bài lab là thiết bị thật, mình đang kết nối trực tiếp ra mạng Lan bên ngoài
a cho e xin bai lap nay voi a
Bài lab này lâu rồi nên minh xóa mất rồi, bạn có thể add fw và router kết nối theo mô hình
ở switch L3 em không trunk được, kbiet có cần thêm câu lệnh gì k ạ
Nếu bạn không trunk được thì có thể cổng đang là cổng layer3, trong trường hợp này thì bann gõ lệnh switchport trước. Hoặc nếu labs trên pnetlabs thì bạn cần cấu hình switchport trunk encapsulation dot1q.
@@CNTTSHOP Vâng, với cả em dùng VPC ping thử thì vẫn ping được và có thêm đoạn:
(ICMP type:3, code:0, Destination network unreachable)
thì kbiet là lỗi gì trong khi em chưa cho phép firewall policy
Bạn ping đến IP gateway hay IP nào, Nếu ping đến IP gateway trên Firewall, ngoài việc cấu hình thông Layer 2 ở dưới, bạn còn phải bật PING trên interface cần ping nữa.
vậy vlan 13 muốn thông sang vlan 10 thì phải làm ntn
Để VLAN 10 thông sang VLAN 13 thì bạn cần mở policy 2 chiều, và đảm bảo trên firewall và Switch 3 đã có các route trỏ về các dải mạng trong 2 VLAN này là được
cho em hỏi là em tạo 5 vlan thì lúc tạo policy thì mới tạo được 10 policy thì bị báo lỗi phải làm sao ạ?
Bạn vui lòng cung cấp thông báo lỗi trên firewall nhé. Nếu đang tạo policy, báo lỗi khi save thì có thể bạn đang thiếu 1 trường nào đó hoặc đã có 1 policy với source và destination như vậy rồi.
@@CNTTSHOP tao nhiều policy quá nó không cho tạo thêm nữa phải làm sao
Nếu bạn tạo trên máy ảo thì giới hạn về số lượng policy sẽ rất ít. Trong trường hợp đó bạn có thể tạo các zone để nhóm các VLAN có cùng policy vào, và cấu hình policy cho các zone này.
Chào bạn!
Cho mình xin image vigor trên eve-ng với.
Mình vẫn chưa giả lập được vigor trên eve-ng
@@CNTTSHOP bạn giả lập trong bài này ở pm nào nhỉ.
Bài lab này mình làm trên Pnetlab, nhưng mà vigor là router thật trong mạng của mình, mình đang nối Pnetlab ra mạng thật để các máy ảo có thể truy cập internet
Hay mà e làm chưa dc, nhờ a cho số dt trợ giúp
Bạn có thể chia sẻ vấn đề mình đang gặp phải ở đây để mọi người cùng trao đổi cách khắc phục nhé.
làm sao để xóa VLAN đã tạo ad
Để xóa VLAN, bạn cần xóa các cấu hình khác có liên quan đến VLAN đó như policy, address, VLAN, Route... Bạn có thể xem VLAN đó đã được add vào những mục nào trong cột Ref của interface. Bấm vào mục Ref đó bạn có thể xóa luôn các cấu hình liên quan. Sau khi Ref về 0 thì bạn có thể xóa VLAN đó.
Bạn cho mình xin file image của router Vigor đc ko
Bạn cần download image Vigor cho thiết bị thật hay ảo hóa. Hiện tại thì mình vẫn chưa tìm được cách ảo hóa Vigor trên Pnetlab
video bo ich