USG310防火牆連接其他防火牆LAG設定問題

選項
engineer
engineer 文章數: 22  Freshman Member
First Anniversary 10 Comments Friend Collector

您好,目前我們機關的網路架構如下圖:

我兩台行政用防火牆做HA,分別接到USG310的ge5跟ge6兩個孔,我在USG310中,做Active-backup模式的鏈路聚合,做完之後行政用防火牆跟各家用防火牆就互相連不到了,請問這可能會是甚麼問題呢?

最佳解答

  • zyxel_bo
    zyxel_bo 文章數: 120  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    答覆✓
    選項

    Hi @engineer

    從設定截圖來看,您目前的IP 是設定192.168.11.2 而非您上面提到的192.168.119.2。不曉得是否是資料有誤?還是設定錯了??

    另外區域也請您確認一下是否跟您原本ge5 的區域是一樣的

  • zyxel_bo
    zyxel_bo 文章數: 120  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    答覆✓
    選項

    Hi @engineer ,

    如私訊中提到,LAG建立好後.靜態路由需再重新bind 上去.讓路由設定可以吃到後面LAG新增的介面.

«1

All Replies

  • zyxel_bo
    zyxel_bo 文章數: 120  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    選項

    Hi @engineer ,USG310 建立LAG 後會取代原本的ge5,ge6 的interface ip.
    所以要確認 LAG 的介面 IP 是否有跟您行政用的防火牆介面同網段呢?

  • engineer
    engineer 文章數: 22  Freshman Member
    First Anniversary 10 Comments Friend Collector
    選項

    原本我在ge5所設定的IP為192.168.119.2,拿掉後在lag0(ge5、ge6)改設定為192.168.119.2,但我ping不到行政用防火牆的IP:192.168.119.1也連不過去,防火牆政策我也確認過沒有問題…

  • zyxel_bo
    zyxel_bo 文章數: 120  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    選項

    Hi @engineer ,

    你在行政用的防火牆那,你把LAG的設定拿掉測試看看.

    因為目前你設定是的Acitve-backup.而非802.3ad.所以行政用的防火牆不用設定LACP.

  • engineer
    engineer 文章數: 22  Freshman Member
    First Anniversary 10 Comments Friend Collector
    選項

    Hi @zyxel_bo

    我兩台行政用防火牆是做HA(Acitve-Standby),沒有設定LACP,在USG310上,ge5是接到行政防火牆01,ge6是接到行政防火牆02

  • zyxel_bo
    zyxel_bo 文章數: 120  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    選項

    Hi @engineer ,

    方便私訊提供給我你usg310 的設定檔嗎?或是附圖上來看一下您目前usg310的lag 設定

  • engineer
    engineer 文章數: 22  Freshman Member
    First Anniversary 10 Comments Friend Collector
    選項

    我lag0設定畫面如下:

  • zyxel_bo
    zyxel_bo 文章數: 120  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    答覆✓
    選項

    Hi @engineer

    從設定截圖來看,您目前的IP 是設定192.168.11.2 而非您上面提到的192.168.119.2。不曉得是否是資料有誤?還是設定錯了??

    另外區域也請您確認一下是否跟您原本ge5 的區域是一樣的

  • engineer
    engineer 文章數: 22  Freshman Member
    First Anniversary 10 Comments Friend Collector
    選項

    抱歉,我打錯了,我原本lag0的IP設定是192.168.119.2沒錯,因為連不過去行政用防火牆,所以我已先把設定拿掉,剛剛的圖是我重新截圖的。

    ge5的區域跟lag0的區域相同,都是在TO-WG80T

  • zyxel_bo
    zyxel_bo 文章數: 120  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    選項

    Hi @engineer ,

    您這邊方便測試一下,把行政用standby 防火牆 To USG310 的網路線拔掉是否就可以 Ping 到對點設備了?

  • engineer
    engineer 文章數: 22  Freshman Member
    First Anniversary 10 Comments Friend Collector
    選項

    這裡我剛剛有測試過拔掉行政用standby 防火牆 To USG310 的網路線,仍然ping不到對點設備。

    我把我USG310的config檔,私訊給您看看