P的胡言亂語

前同事遇到的問題，本質上是 FortiGate 對於「邏輯介面」與「標籤（Tagging）」的處理邏輯與一般交換器（Switch）不同

場景：當 Aruba 遇上 FortiGate
想像目前的網路架構像一條高速公路：

Aruba Switch/AP：負責把「員工 (VLAN 10)」跟「訪客 (VLAN 20)」的車子分流，並透過一條粗的主幹線（Trunk Port）傳給防火牆。
FortiGate：這台防火牆就是收費站，它必須正確識別車子是哪一家的（哪個 VLAN ID），才能決定讓不讓它上網。


前同事踩到的「地雷」：VLAN Switch 的陷阱
在 FortiGate 裡，要把多個實體孔綁在一起當成一個「虛擬交換器」來用，有幾種模式。前同事使用的 VLAN Switch 模式有一個致命細節：

1. 什麼是父介面 (Parent) 與子介面 (Child)？
父介面 (VLAN Switch)：你把實體孔（如 Port 1, Port 2）綁在一起形成的那個「大門」。

子介面 (VLAN Interface)：在大門底下，針對不同 VLAN ID（如 VLAN 10, 20）開的小門。

2. 為什麼會斷網？（關鍵重點）
在 FortiGate 的邏輯中，如果你的父介面（大門）設定了 VLAN ID（例如設為 1），防火牆會認為這整個大門「只准帶有 VLAN 1 標籤的資料進來」。
這會導致：

原本應該帶標籤進來的 VLAN 10、VLAN 20 資料，會因為跟大門的 VLAN 1 衝突，導致標籤亂掉或直接被丟棄。

正確做法： 父介面（VLAN Switch）的 VLAN ID 必須設為 0。
在 FortiGate 裡，「0」代表這是一個「透明、不帶標籤」的純物理匯集口，這樣底下的子介面（VLAN 10, 20）才能正常運作。


當你要在 FortiGate 設定 Trunk Port 接收來自 Aruba 的多個 VLAN 時：

如果是用 VLAN Switch，請檢查 VLAN ID 是否為 0。

如果不確定，優先使用 Hardware Switch 模式，這最符合一般網路設備的邏輯。

Aruba 那端的 Port 記得要設為 Trunk (Tagged)，且允許對應的 VLAN 通過。

官網討論區
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Comparing-Hardware-switches-Software-switches-and/ta-p/210092