【简介】当两个公司希望共用一台防火墙,但是只有一条宽带,或者有独立的宽带链路负载设备,那么VDOM子域就需要通过root域上网。这就要用到Meshed VDOM(网状虚拟域)技术。
Meshed VDOM 网络结构
多个 VDOM 通过 root 访问外网。
root 配置宽带
仍接上篇示例。原来 VDOM-A 和 VDOM-B 两家公司各有自己的宽带,但两条宽带流量都很少,本着1+1大于2的原则,两家决定把两条宽带用路由器做负载均衡。这就要修改防火墙的网络结构了。
① 在前面Wan1接口因为有一条相关联,不能划给子VDOM,留给了root,正好我们将wan1口接路由器上外网。
② 在全局状态下,OS5.6.0在系统信息子窗口下要以看到外网IP,表明防火墙可以上网。
root 配置 VDOM-Link
在前面的示例中,VDOM-A 与 VDOM-B 建立了链接,现在需要建立 VDOM-A 、VDOM-B 与 root 的链接。由于配置方法相同,这里只介绍VDOM-A的LAN1接口上网设置。
① 在全局状态下,选择菜单【网络】-【接口】,点击【新建】弹出子菜单中选择【虚拟域链接】。
② 建立VDOM-A到root的虚拟域链接。VDOM-B到root的虚拟域链接同上。
root 配置回程路由
当VDOM-A或VDOM-B通过连接root的虚拟域链接访问互联网时,需要在root配置回程路由,不然就算读到网站内容,却返回不到电脑中,同样上网失败。
① 在 root 状态下,选择菜单【网络】-【静态路由】,点击【新建】。
② 如果允许VDOM-A的LAN1接口上网的话,就需要建立LAN1网段的回程路由,设备为root虚拟域链接接口,网关默认为0.0.0.0。如有多个网段上网,就建多条回程路由。这里只做一个示例。
root 配置上网策略
我们已经配置好wan1口可以上网了。现在需要配置的是虚拟域链路接口可以上网。
① 在 root 状态下,选择菜单【策略&对象】-【IPv4策略】,点击【新建】。
② 新建策略里流入接口是VDOM-A虚拟域链接接口,出口是wan1口,表示可以通过VDOMA上网。
VDOM-A 配置
root配置完成后,我们现在来配置VDOM-A,需要配置的有路由和策略。
① 新建一条静态路由,默认所有的访问都走root虚拟域链接接口。
② 新建一条策略,指定VDOM-A的LAN1接口可以通过root虚拟域链接接口上网。
检验
一台电脑接VDOM-A的LAN1口,IP地址设为172.20.1.8网段。
① 可以看到能够Ping通百度,说明可以上网了,查看路由,从VDOM-A的LAN1,到root的管理口,再到root接口的wan1口下一跳。说明VDOM-A到root再上网了。
② 在root 状态下,查看【FortiView】-【源】,可以看到VDOM-A下的LAN1接口,通过 root 上网的。
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
