想問兩個問題.
1.
forti 接了兩條 wan 設了 sd_wan.
然後想把某一個 rule 指定到特定 wan,就會有兩種設法.
比如說,我想把到 youtube 的流量全指定到 wan1,
可以在 sd_wan route 那去指,也可以到 policy rule 那去設.
(當然我要先設一個 service object)
那在 sd_wan 裡指定跟在 policy rule 裡指定 route path,會有什麼差別?
(速率快慢?硬體資源使用率高低?)
2.
我想在 forti 下面接一台 switch, 裡面會設 2 個以上的 vlan
(default 的 1 及 define 過的 other)
switch 的 trunk port 已經設了至少 id: 1 及 id: 102 兩個,
如果要把那個 trunk port 接到 forti 的 lan port,
讓那個 lan port 可以收發 switch trunk port 過來的封包,
and. switch 上的 vlan 只做 port 隔離,但 ip block/netmask 會是同一個
(switch 上的不同 vlan port 互連不通,但都會經由同一個 forti port 連網)
forti 5.6 有辦法設嗎?

1. Policy Route優先權應該最大2. Forti的介面要設定成Trunk模式，介面裡面要設定VlanID,通常會當初Vlan裡面Gateway

2的話你可以買FG SWITCH 直接選PORT要開那個VLAN我覺得滿方便的就直接WEB設定PORT開那個VLAN

其實是因為我要給別的 switch 設 vlan 跟 trunk,但我得找個防火牆來測那個 trunk 能不能通,因為我手頭只有一台 fg-60e 有 VLAN 802.1q,所以如果借不到別的設備的話,就只好惡搞這台 fg 來測.不知道 multi-vlan trunk 我這樣設對不對?https://imgur.com/a/qQLiegC我把 switch 解一 port 出來綁了五個vlan(含default1)不知這樣設是不是就是把 internal port1 設成 trunk?

Vlan不是這樣玩的好嗎.....你的需求叫port isolation同一個網段還要分到不同VLAN，還要從同一個gateway出去?fortigate上做vlan trunk表示要有5個不同網段的vlan介面上面設定不同網段的IP讓5個VLAN的下面的IP當gatewayfortigate不能設定5個L3介面都同一個網段的IP

所以...fg 沒法當 switch port isolate 的 gw 嗎...那有什麼方案可以做到嗎?因為有人跟我說看過 100D 這樣做,所以我想 60E 應該..

從switch上做才是根本，不然就是乖乖切5個網段，gateway設定在防火牆，policy管控vlan間流量先看switch有沒有這功能吧

我設定 switch isolate,也透過 sw fw 的 vlan 上網了,最後是只能在 switch 設.不過我想問,互相隔離的 port,能不能在防火牆上設規則去轉發封包?e.g 192.168.2.5 經 fw's rule 連 192.168.2.7 的 ftp

想透過防火牆控制，就是要讓流量經過防火牆切不同VLAN、不同網段，gateway在防火牆，就可以policy控制互相連線的能力既想要有基本port隔離，又想要部分主機能存取，除非你們用的switch能設定到那麼細的功能，不然只能打掉重新架構把server、client的VLAN切好，L3流量全部經過防火牆同時client的switch設定port isolation這樣就可以不同VLAN網段的IP連線透過防火牆，同VLAN流量在switch上管理

好吧,先解決 fw 用 routing mode 讓 vlan pubip 上網,再來搞別的問題好了...

如果硬要用FortiGate FW來搞的話，要啟動VDOM1個Route/NAT,1個Transparent,FortiOS v5.4後可以用VDOM-Link連接,假設Transparent稱vd-L2,Route我稱vd-L3vd-L2與switch相接跑vlan tagged該vlan的IP設定在vd-L3與vd-L2的vdom-link上假設vlan11對應switch eth1,vlan12對應switch eth2這樣你eth1要到eth2就要在vd-L2裡設定rule而sw eth1 & eth2 下接的PC還是相同網段你可以試試，不過會需要這樣搞是要用來管租屋的網路嗎