1. 环境，原架构（前人规划
中华调制解调器接两台防火墙
一台 Fortigate 100D 接办公室网络
一台 Vigor 2950 接监视器设备
两台除了Wan IP不同，Wan 的 GW/MA都一样，因为是接同一台调制解调器
两台的Lan IP/MA/GW也一样
2. 参数设定
设定 Fortigate 虚拟IP和对应Port，完全参照 Vigor 2950的设定
https://i.imgur.com/BNawt6C.jpg
https://i.imgur.com/ssqR5I3.jpg
3. 切换设备
把 Vigor 的 Wan 和 Lan 线都拔掉
监视器设备改接到 Fortigate 后面的 L2 Switch
4. 测试
结果完全连不到，例如 WEB 画面的 http://IP:81
检查 Fortigate 的政策，该政策的流量 0KB
其它设备，不同的 Wan IP 的虚拟IP，是正常可以使用
有前辈遇过类似状况吗？需要注意哪些部份？

今天玩了硬件视讯 道理跟你差不多 服务设All allow没用该开开对应的埠 就是要乖乖设上去 内对外外对内都要考虑做完立通 他没这么聪明帮你自己对应 你要告诉它规则

你监视器lan to wan的policy要设定NAT成监视器的对外ip因为没看到详细设定，建议你在FG上sniffer一下就知道问题看看封包wan跟lan的进出，目前推断应该是设定有少的问题

100d应该可以直接在设备上抓封包，可以看看流量有没有进来100D，应该是那个IP被咬住成旧设备的MAC，打去给ISP清MAC，不然就是要等一段时间MAC AGE时间到重新学到新MAC清MAC是ISP的设备要清，不是企业的设备清另外，针对外对内政策，开外对内方向就好，内对外的不用特别去开

先设到DMZ看有没有正常，在找问题

完全连不到是连不到监视器吗

监视器是uni还是multicast?

直接问 Vigor 客服啊

进来有设定,出去呢?有同意监控对外政策是开放?L2 SW架构是同一层VLAN?你可以先把居易对于监控的政策先丢出来看你不用去管对外IP,因为都是一样的路由lan ip是同一区块吗? 192.168.0.X/24?forti的lan group有将port1纳入,共用同一个lan setting?先把WAN TO LAN的CCTV改成ALL,看看外到内有没有通

目的的cctv是群组？包含了4个内部ip？你要不要试着先设定目的的群组，改成一个内部ip的3个port为一个群组(ex:cctv1)，然后一条规则只设定对应到一个内部ip？5个内部设5个策略就好5个内部IP设5个策略就好，每个策略包含3个port

第六个IP只能居易用,是不是对端的arp没清掉?请ISP清一下ARP看看能不能正常?

是的，我说的就是这样的设定，清arp就是拨中华电信的客服，提供公司统编，地址，线路号码或wan ip，让客服帮你转技术客服，然后请技术客服清arpt外，新年快乐，加班辛苦啦

上上面先搞清楚 MAC Address 跟 ARP 作用会比较好话说上周也有人问我为什么PING 不到但网络都好的我直接问他知道 MAC Address 跟 Arp 的 MAC Address有什么不同......

我用FG这么久，还没有同个policy设好几个不同ip在一起过一来管理不清，二来policy是去比对ip的规格跟顺序我猜同一条有不同ip可能会造成混乱，理论上应该设不进去

不解释了，你本文中的Forti第二张图policy设定，跟下面连结step3对一下差在哪goo.gl/R5vJjA

所以我刚用公司的测试一下，不同ip不同服务都设在同一条policy上，而且ip跟服务都是用群组，测试会通哩所以这样设定是可以的，那你可能是版本或是原设定有误吧后来我测试，原来答案是你服务不能设ALL啦

不过也不排除是ISP机房端真的咬住没清掉，时间过了就好

不对，后来我设ALL可以，算了不测了，没详细设定测不出来

设了Virtual IP后 目的是设新设的Virtual IP名称图中的 目的CCTV 是Virtual IP的name吗?还是只是Address清单的name?

你监视器lan to wan的policy要设定NAT成监视器的对外ip因为没看到详细设定，建议你在FG上sniffer一下就知道问题看看封包wan跟lan的进出，目前推断应该是设定有少的问题

100d应该可以直接在设备上抓封包，可以看看流量有没有进来100D，应该是那个IP被咬住成旧设备的MAC，打去给ISP清MAC，不然就是要等一段时间MAC AGE时间到重新学到新MAC清MAC是ISP的设备要清，不是企业的设备清另外，针对外对内政策，开外对内方向就好，内对外的不用特别去开

上上面先搞清楚 MAC Address 跟 ARP 作用会比较好话说上周也有人问我为什么PING 不到但网络都好的我直接问他知道 MAC Address 跟 Arp 的 MAC Address有什么不同......

我用FG这么久，还没有同个policy设好几个不同ip在一起过一来管理不清，二来policy是去比对ip的规格跟顺序我猜同一条有不同ip可能会造成混乱，理论上应该设不进去

不解释了，你本文中的Forti第二张图policy设定，跟下面连结step3对一下差在哪goo.gl/R5vJjA

所以我刚用公司的测试一下，不同ip不同服务都设在同一条policy上，而且ip跟服务都是用群组，测试会通哩所以这样设定是可以的，那你可能是版本或是原设定有误吧后来我测试，原来答案是你服务不能设ALL啦

不过也不排除是ISP机房端真的咬住没清掉，时间过了就好

不对，后来我设ALL可以，算了不测了，没详细设定测不出来

设了Virtual IP后 目的是设新设的Virtual IP名称图中的 目的CCTV 是Virtual IP的name吗?还是只是Address清单的name?

我不是要你直接先设ALL,不就知道订的策略了虽然问题解了,不过当下明明可以快速判断出外对内的问题不应该这种小问题要拖那么久,设一下ALL,直接telnet看PORT立马知道答案的东西,arp绑定,我是很少没碰过这种案例内网比较有可能牵扯到VLB的问题

先设到DMZ看有没有正常，在找问题

完全连不到是连不到监视器吗

监视器是uni还是multicast?

直接问 Vigor 客服啊

进来有设定,出去呢?有同意监控对外政策是开放?L2 SW架构是同一层VLAN?你可以先把居易对于监控的政策先丢出来看你不用去管对外IP,因为都是一样的路由lan ip是同一区块吗? 192.168.0.X/24?forti的lan group有将port1纳入,共用同一个lan setting?先把WAN TO LAN的CCTV改成ALL,看看外到内有没有通

目的的cctv是群组？包含了4个内部ip？你要不要试着先设定目的的群组，改成一个内部ip的3个port为一个群组(ex:cctv1)，然后一条规则只设定对应到一个内部ip？5个内部设5个策略就好5个内部IP设5个策略就好，每个策略包含3个port

第六个IP只能居易用,是不是对端的arp没清掉?请ISP清一下ARP看看能不能正常?

是的，我说的就是这样的设定，清arp就是拨中华电信的客服，提供公司统编，地址，线路号码或wan ip，让客服帮你转技术客服，然后请技术客服清arpt外，新年快乐，加班辛苦啦

我不是要你直接先设ALL,不就知道订的策略了虽然问题解了,不过当下明明可以快速判断出外对内的问题不应该这种小问题要拖那么久,设一下ALL,直接telnet看PORT立马知道答案的东西,arp绑定,我是很少没碰过这种案例内网比较有可能牵扯到VLB的问题