如何配置FortiGate雙出口_第1頁
如何配置FortiGate雙出口_第2頁
如何配置FortiGate雙出口_第3頁
如何配置FortiGate雙出口_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

如何配雙口1.用范圍所有的設(shè)備。2.概述本文描述的是FortiGate具有不只一個出口時的典型配置及相關(guān)考慮。從鏈路備份及負(fù)載均衡2個同的角度來考慮FortiGate出口配置方案可以被分為以下三種:況

是否具鏈路備份

是否具負(fù)載均衡123

YesNoYes

NoYesYes下面我們將詳細(xì)說明一下以上三種不同配置的FortiGate區(qū)別。所有的三種配置案例下,都需要添加相關(guān)的防火墻策略以達(dá)到相關(guān)功能。3.情況一雙鏈路具有路備份能但沒有負(fù)均衡功定義謂具有鏈路備份功能但沒有負(fù)載均衡功能指只有當(dāng)其中一個出口已經(jīng)無法出網(wǎng)的時候才會啟用另一個出口種配置的優(yōu)點在于在充分保障網(wǎng)絡(luò)可用性的情況下盡量小的減少網(wǎng)絡(luò)帶寬的費用。如下三個部分配置需要完成:3.路你需要為2不同的出網(wǎng)接口分別配置一條網(wǎng)關(guān)路由,可以通過配置不同的管理距離來設(shè)置出口的優(yōu)先級,管理距離越低優(yōu)先級越高。3.配PINGserver以判線狀分別在2個出網(wǎng)接口上配置PINGServer功能從而告FortiGate可以通過ping是否被響應(yīng)來確定線路是否仍然連通。Pingserver的配置原則是:盡量配置成防火墻的網(wǎng)關(guān)(請先確認(rèn)此網(wǎng)關(guān)允許被ping,撥號環(huán)境中同時確認(rèn)網(wǎng)關(guān)地址不會由于客戶端地址改變而發(fā)生改變)。

3.配相防墻略需要同時配置相關(guān)的防火墻策略來允許從內(nèi)網(wǎng)分別到兩個不同的出網(wǎng)口如口是WAN1和WAN2網(wǎng)是么需要同時配置和Internal->WAN2的出網(wǎng)防火墻策略以保證無論是WAN1是WAN2啟用防火墻策略都是合理的。如果覺得這樣配置的防火墻策略數(shù)量太多了的話另一個變通的方法就是可以新建一個防火墻區(qū)域同時把WAN1和兩個接口包含起來比如說名字是WAN,那么這樣只需要設(shè)置從Internal->WAN的防火墻策略就可以了。4.情況二雙鏈路沒有路備份能但具有負(fù)均衡功在網(wǎng)絡(luò)出口連通性可以保證的前提下或者無須線路熱備份時或者出口用途不是完全一樣的時候,可以配置為這種模式工作,這種情況下配置如下兩個步驟:4.路可以配置一條默認(rèn)的出網(wǎng)路由。同時配置相關(guān)的策略路由以設(shè)置某些符合指定條件的數(shù)據(jù)流從另一個出口出去。4.防墻略和情況一類似要配置相關(guān)的防火墻策略以允許相關(guān)的數(shù)據(jù)流可以正常的通過防火墻。5.情況三雙鏈路同時有鏈路份和負(fù)載均功能就是在兩個出口都正常工作的情況下可以把從內(nèi)網(wǎng)出去的數(shù)據(jù)流按照特定的算法分流到兩個不同的出口;當(dāng)其中的某一個出口失效的時候,F(xiàn)ortiGate又可以保證讓所有的數(shù)據(jù)流可以從正常工作的出口出網(wǎng)這樣一來就同時達(dá)到了鏈路熱備份和負(fù)載均衡的功能。具體的配置步驟如下:5.路

如果是靜態(tài)路由的話可以把出網(wǎng)路由的管理距離配置成相等的就是等價路由。如果是ADSLDHCP等動態(tài)獲取的網(wǎng)關(guān)的話可以把從服務(wù)器中重新得到網(wǎng)關(guān)”選中同時動態(tài)獲取的路由的管理距離配置成一樣的就可以了。在默認(rèn)路由已經(jīng)配置完成的情況下果仍然有某些特定的數(shù)據(jù)流需要從指定的出口出網(wǎng)的話可以使用策略路由功能來完成這樣的需求策略路由的優(yōu)先級高于動態(tài)和靜態(tài)路由而且是按照從上到下的次序來匹配的也就是說當(dāng)策略路由里面有多條交叉定義的路由存在時,哪條路由在最上面哪條路由就將被執(zhí)行。另外有一個非常有用的配置項可以注意一下當(dāng)定義策略路由的時候如果只指定了出接口沒有指定網(wǎng)關(guān)地0.0.0.0的話這個接口失效時FortiGate仍然可以把匹配這條策略路由的所有數(shù)據(jù)流路由到其他接口出網(wǎng)就是這時候server的功能對策略路由也是生效的。5.置server以判斷路態(tài)和情況一類似,最好同時可以配置上server以讓好的判斷線路連通性問題。5.防墻略防火墻策略的配置方法和前面的3.3部分類似,這里就不在累述了。6.配置VIP時需要意的事6.在況下配時以FG60B為例子,默認(rèn)網(wǎng)關(guān)指向VIP卻是在WAN2上,這時候并不需要在FortiGate上配置額外的靜態(tài)路由或者策略路由,因為FortiGate會記錄訪問的源是從哪個接口過來的FortiGate在回包的時候會自動使用WAN2接口做為出接口回送訪問VIP數(shù)據(jù)包;6.在況下配時如果你同時在兩個不同的出接口上都配置了時,和情況一類似,所有的由客戶端發(fā)起的到達(dá)VIP連接FortiGate仍然可以正常處理,也就是進(jìn)方向的連接是沒有任何問題

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論