核心换了飞塔的300D后,跨VLAN的网络唤醒工具不能用了求助。

原来核心防火墙是Juniper的,划分子接口,做VLAN间路由,可以实现跨VLAN间的唤醒包转发,但是自从换用了飞塔300D后,VLAN间的路由正常,但是不能跨VLAN发送唤醒包了!求跨VLAN发送唤醒包的方法。是否可以允许指定的网管主机发送指定的广播包?
已邀请:

滕寄坤 - 曾经的飞塔代理工程师

赞同来自: kmliu

关于Wake On Lan需要 特殊配置的
因为没有支持WOL硬件设备,尚未测试
因为你没说明是透明模式还是NAT模式
感觉你运行的是NAT模式,所以只给出了NAT模式的配置方式,透明的其实更简单只要在接口设备允许转发IP 0x0800 or ARP 0x0806 包即可。
可参照如下文章配置
如下链接:
FortiGate route WOL
 
无非:绑定ARPmac表目的MAC,上述文章未提及多台唤醒多台的话就写一个广播DNAT:例如192.168.1.255
 
 
另外:叫VLAN间的唤醒包转发感觉怪怪的,也没有这么叫的,感觉称之为基于路由的WOL更为妥当
如果测试成功,请您分享出来
祝顺利

kmliu - Fortinet-TAC

赞同来自: zhao_am

解决办法:
1.FGT上策略允许(控制主机Vlan 到 需唤醒主机Vlan UDP报文),允许唤醒数据通过
2.FGT 手工静态ARP绑定
3.唤醒工具采用单播的方式发送请求

已在环境中测试过,绑定之后即可正常运行。否则由于需要唤醒的电脑关机了,FGT无法arp请求到关机电脑的MAC地址,导致唤醒数据报无法被正常的转发出去,唤醒失败。

config system arp-table
    edit 1
        set interface "VLAN20"   (VLAN出接口)
        set ip 192.168.90.249    (需要唤醒的电脑IP)
        set mac 00:21:70:e1:22:2d (需要唤醒的电脑MAC)
    next
end
 
可以参考资料:
http://kb.fortinet.com/kb/micr ... 66744
http://www.docin.com/p-680374630.html

kmliu - Fortinet-TAC

赞同来自: zhao_am

其实仔细查看KB的文档内容,里面介绍了一种更加合适的解决方法。哪怕客户机的IP是通过DHCP动态获取的,也能实现跨网段的唤醒。

PC1--------------------FGT----------------------PC2
                      VLAN10      VLAN20

1.FGT ARP静态绑定如此配置:
config system arp-table
edit 1
set interface "VLAN20"
set ip 192.168.90.111 (这个地址实际并不存在,但属于客户机VLAN20的网段中)
set mac ff:ff:ff:ff:ff:ff (目的MAC填写广播MAC,以便广播到整个VLAN20中)

2.PC1使用Magic Packet Utility填写目的IP是:192.168.90.111,目的MAC是需要被唤醒的真实电脑的网卡MAC 00:21:70:e1:22:2d( 00:21:70:e1:22:2d是VLAN20里真实电脑的网卡MAC)

3.点击发送,网卡为00:21:70:e1:22:2d这台电脑就能够被成功唤醒,即便这台电脑没有IP地址也将被唤醒,其实电脑在关机状态下无法DHCP是没有IP地址的。而192.168.90.111这个IP是不存在的地址,目的只是为了让FGT可以在VLAN20中传播广播的Magic Packet。

FGT的处理过程:UDP 报文到了FGT之后,FGT查询到直连路由,查询到出接口的静态ARP表项,将数据的DMAC替换封装成FF:FF:FF:FF:FF:FF,从VLAN20中发出并进行广播,真实物理机器的网卡将必定收到这个广播的Magic Packet,从而触发唤醒动作,自动开机。

KB文档中有介绍
//
http://kb.fortinet.com/kb/micr ... 66744

kmliu - Fortinet-TAC

赞同来自:

不太清楚网络唤醒工具的工作原理,是不是将FGT每个vlan接口配置到不同的forward-domian就可能会正常,可以试试看。
FortiGate #config system interface
FortiGate (interface) #edit wanvlan10
FortiGate (wanvlan10)#set forward-domain 10
FortiGate (wanvlan10)#next
FortiGate (interface) #edit wanvlan20                                            
FortiGate (wanvlan20)#set forward-domain 20
FortiGate (wanvlan20)#next

zhao_am

赞同来自:

网络环境是NAT的,跨VLAN发送唤醒包的叫法是基于网管主机在独立的VLAN使用,叫法不恰当但对用户来说好理解。试了一下ARP绑定方法确实可以,但是问题是客户机的IP是动态获取的,求一个更好的解决办法。

要回复问题请先登录注册