想问两个问题.
1.
forti 接了两条 wan 设了 sd_wan.
然后想把某一个 rule 指定到特定 wan,就会有两种设法.
比如说,我想把到 youtube 的流量全指定到 wan1,
可以在 sd_wan route 那去指,也可以到 policy rule 那去设.
(当然我要先设一个 service object)
那在 sd_wan 里指定跟在 policy rule 里指定 route path,会有什么差别?
(速率快慢?硬件资源使用率高低?)
2.
我想在 forti 下面接一台 switch, 里面会设 2 个以上的 vlan
(default 的 1 及 define 过的 other)
switch 的 trunk port 已经设了至少 id: 1 及 id: 102 两个,
如果要把那个 trunk port 接到 forti 的 lan port,
让那个 lan port 可以收发 switch trunk port 过来的封包,
and. switch 上的 vlan 只做 port 隔离,但 ip block/netmask 会是同一个
(switch 上的不同 vlan port 互连不通,但都会经由同一个 forti port 连网)
forti 5.6 有办法设吗?

1. Policy Route优先权应该最大2. Forti的接口要设定成Trunk模式，接口里面要设定VlanID,通常会当初Vlan里面Gateway

2的话你可以买FG SWITCH 直接选PORT要开那个VLAN我觉得满方便的就直接WEB设定PORT开那个VLAN

其实是因为我要给别的 switch 设 vlan 跟 trunk,但我得找个防火墙来测那个 trunk 能不能通,因为我手头只有一台 fg-60e 有 VLAN 802.1q,所以如果借不到别的设备的话,就只好恶搞这台 fg 来测.不知道 multi-vlan trunk 我这样设对不对?https://imgur.com/a/qQLiegC我把 switch 解一 port 出来绑了五个vlan(含default1)不知这样设是不是就是把 internal port1 设成 trunk?

Vlan不是这样玩的好吗.....你的需求叫port isolation同一个网段还要分到不同VLAN，还要从同一个gateway出去?fortigate上做vlan trunk表示要有5个不同网段的vlan接口上面设定不同网段的IP让5个VLAN的下面的IP当gatewayfortigate不能设定5个L3接口都同一个网段的IP

所以...fg 没法当 switch port isolate 的 gw 吗...那有什么方案可以做到吗?因为有人跟我说看过 100D 这样做,所以我想 60E 应该..

从switch上做才是根本，不然就是乖乖切5个网段，gateway设定在防火墙，policy管控vlan间流量先看switch有没有这功能吧

我设定 switch isolate,也透过 sw fw 的 vlan 上网了,最后是只能在 switch 设.不过我想问,互相隔离的 port,能不能在防火墙上设规则去转发封包?e.g 192.168.2.5 经 fw's rule 连 192.168.2.7 的 ftp

想透过防火墙控制，就是要让流量经过防火墙切不同VLAN、不同网段，gateway在防火墙，就可以policy控制互相连线的能力既想要有基本port隔离，又想要部分主机能存取，除非你们用的switch能设定到那么细的功能，不然只能打掉重新架构把server、client的VLAN切好，L3流量全部经过防火墙同时client的switch设定port isolation这样就可以不同VLAN网段的IP连线透过防火墙，同VLAN流量在switch上管理

好吧,先解决 fw 用 routing mode 让 vlan pubip 上网,再来搞别的问题好了...

如果硬要用FortiGate FW来搞的话，要启动VDOM1个Route/NAT,1个Transparent,FortiOS v5.4后可以用VDOM-Link连接,假设Transparent称vd-L2,Route我称vd-L3vd-L2与switch相接跑vlan tagged该vlan的IP设定在vd-L3与vd-L2的vdom-link上假设vlan11对应switch eth1,vlan12对应switch eth2这样你eth1要到eth2就要在vd-L2里设定rule而sw eth1 & eth2 下接的PC还是相同网段你可以试试，不过会需要这样搞是要用来管租屋的网络吗