捐血一袋救人一命

2010年8月27日 星期五

Fortigate VDOM設定

最近朋友的公司申請了兩條ADSL,想要使用一台Fortigate 60B來連接,因為兩條線的用途不同,風險也不同,希望能切割開來,所以來問我怎麼辦。

其實Fortigate、Juniper都可以做到一台切成多台來用,不過這裡主要介紹Fortigate,Juniper就不多談了。

PS. 使用 VDOM 功能,會造成 CPU Loading 大幅加重!

首先,啟用Fortigate VDOM功能,此時,會要求重新登入Fortigate Firewall

重新登入之後,選擇「全域」→「VDOM」建立新的Virtual Domain。

首先建立兩個Virtual Domain,很簡單,只要取個名字,勾選「啟用」就行。

接著到「網路」→「介面」,選取「Switch Mode」,它一共有三種模式

1.交換器模式,Port 1~Port 6都屬於 Internals,不能獨立切開始用

2.獨立模式,每一Port都是各自獨立

3.集線器模式,Port 1~Port 6都屬於Internals,但是運作模式同 Hub

因為要切開獨立使用,請點選第二個獨立模式,按下確定之後,就會重新開機,你必須重新登入。

重新開機登入後,請到「網路」→「介面」,勾選Port 1,按下編輯,將虛擬防火牆改選為所屬的 Virtual Domain。

重複上述步驟,把 Port 2、WAN 1、WAN 2都改好。

接下來,把各介面的 IP Address設好,就可以切換到 Virtual Domain 去設定了。

PS.當防火牆設有防火牆策略、路由時,會無法進行Switch Mode的變更以及變更介面所屬Virtual Domain!

PS.每一個Virtual Domain最少要有兩個介面!

各Domain 的設定方式跟沒有啟用 VDOM 幾乎一樣,要注意的是,如果把Virtual Domain 設成通透模式,該Virtual Domain會沒辦法使用DHCP來核發用戶端IP!

Fortigate 60B在沒有額外購買 License 的狀況下,可以支援 10個 VDOM

這台機器有 2 WAN/1 DMZ/6 LAN,總共 9 Port,所以最多可以切成5台來用。

不過…我才切成兩台,CPU Loading 從 10% 上升到 62%…所以最好不要切太多

另外,它可以設定每個Domain可使用的資源量

例如:

  • Sessions數
  • VPN Tunnel數量
  • Policy數量
  • Address數量
  • Service數量等等
  • User數量等等

讓管理者可以校調效能。

PS.請將軔體升級到最新版,要不然操作介面跟方式都會不一樣…

我目前使用的版本是 v4.0, Build 0279,100518 (MR2 Patch 1)

0 意見: