本文主要是介绍【控制篇 / 分流】(7.4) ❀ 01. 对指定IP网段访问进行分流 ❀ FortiGate 防火墙,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
【简介】公司有两条宽带,一条ADSL拨号用来上网,一条移动SDWAN,已经连通总部内网服务器,领导要求,只有访问公司服务器IP时走移动SDWAN,其它访问都走ADSL拨号,如果你是管理员,你知道有几种方法可以实现吗?
最简单的方法是通过静态路由对数据分流,但是对宽带的默认路由需要做合理配置。
① 首先配置ADSL拨号宽带,需要重点注意的是【管理距离】设置,默认数置为5,这里修改为10,需要注意的是,因为有两条宽带,就会有两条默认路由,而默认路由的管理距离数值必须是相同,才能同时使用两条宽带。PPPoE拨号会自动生成默认路由,不需要手动配置。
② 再配置移动SDWAN,于由IP地址是固定的,所以寻址模式选择【静态】,这里并没有配置网关选项,我们需要创建静态路由来配置网关。
③ 为移动SDWAN创建静态路由,配置接口和网关地址,注意这里的管理距离默认为10,这就是为什么ADSL拨号宽带的管理距离由默认的5改成10的原因了。因为只有管理距离相同,两条宽带才能同时使用。那么优先走哪条宽带,就是由高级选项下的优先级来确定的。这里将移动SDWAN的默认路由优先级从1改为5。
④ 我们需要在路由表中查看默认路由的当前情况,选择菜单【仪表板】-【网络】,选择路由小部件。
⑤ 在静态&动态路由表中,可以看到有两条网络为0.0.0.0/0的默认路由,分属于两条宽带。管理距离都为10,所以两条宽带可以同时使用,优先级ADSL宽带为1,移动SDWAN为5,那么,上网流量都会走ADSL宽带,不会走移动SDWAN。
⑥ 选择菜单【策略&防火墙】-【防火墙策略】,点建【新建】,创建内网走Wan1口上网的策略。
⑦ 同样的方法创建走Wan2上网的策略。现在,内网接口访问所有的IP地址(包括总部服务器IP),都会走Wan1,这是因为Wan1的默认路由优先级为1(数字越小,越优先)。
⑧ 由于访问总部服务器IP走需要走移动SDWAN宽带,因此还需要再创建一条静态路由。选择菜单【仪表板】-【静态路由】,选择移动SDWAN的默认路由,点击【克隆】。
⑦ 目标地址输入总部服务器IP地址网段。如果有多个网段,那么创建多条默认路由。
⑧ 再次查看路由表,可以看到新创建的访问总部服务器IP的路由。当我们访问服务器IP 172.16.100.254时,匹配第7条静态路由,走移动SDWAN出去。而当我们访问baidu.com时,区配第一条策略,走ADSL宽带出去,因为第一条的优先级最高(数字越小,优先级越高)。
策略路由的优先级大于静态路由,是我们强制路由走向的优先选择。
① 选择菜单【网络】-【策略路由】,点击【新建】。
② 如果在菜单中没有显示策略路由选项,可以点击菜单【系统管理】-【可见功能】,启用【高级路由】,再次刷新页面,就能在菜单中看到策略路由选项。
③ 策略路由可配置的内容比静态路由多了很多,例如流入接口、源地址,而且源地址、目标地址可以同时填写多个IP网段,并且可以使用地址对象,这个在静态路由中是无法实现的。
④ 可以在策略路由设置里临时创建地址对象,但是我们还是建议在预先创建好地址对象。选择菜单【策略&对象】-【地址】,默认为【Standard】-【Address】,点击【新建】。
⑤ 输入自定义的地址名称,类型默认为子网,在IP/掩码输入服务器IP网段。如果这个地址对象要在静态路由中使用,也可以启用【静态路由配置】,点击【确认】。
⑥ 如果有多个类似的地址对象,可以选择原始地址对象,点击【克隆】。
⑦ 修改名称和IP/掩码,点击【确认】,新的地址对象就克隆好了。以此类推。
⑧ 可以将多个地址对象放入一个地址组。点击Standard下的【Address Group】,点击【新建】。
⑨ 输入自定义的地址组名称,成员选择刚刚建立的三个地址对象,同样如果地址组要在静态路由中使用,可以启用【静态路由配置】。点击【确认】,地址组创建完成。
⑩ 在静态路由中,目标地址多出一个【地址命名】栏,点击显示刚才创建的地址对象和地址组,这是因为刚才创建的时候,均启用了【静态路由配置】,使在地址组和地址对象都可以在静态路由中使用。早期版本没有这个功能。
⑪ 再次回到新建策略路由,流入接口选择内网,源地址可以为地址对象all,也可以限制指定IP网段,目标地址选择刚刚创建的总部服务器IP地址组,动作默认为【转发流量】,启用流出接口,选择流出接口为Wan2,网关地址填写Wan2的网关IP。点击【确认】,策略路由创建成功。
⑫ 回到路由小部件窗口,右上角下拉选择【策略路由】,可以看到新建的策略路由。策略路由优先于静态路由。当内网电脑172.16.200.1访问服务器IP172.16.100.254时,优先匹配策略路由,走移动SDWAN出去。而当访问baidu.com时,不匹配策略路由,再和静态路由匹配,配备第一条默认路由,走ADSL宽带出去,因为第一条的优先级最高(数字越小,优先级越高)。
【总结】策略只是允许放行,路由才是走哪条宽带出去的关键。静态路由配置简单,相同的管理距离允许多条宽带同时使用。不用的优先级,确认哪条宽带优先使用。策略路由可控性更强,增加流入接口、源IP、协议等控制,可使用地址对象和地址组。策略路由优先于静态路由。
这篇关于【控制篇 / 分流】(7.4) ❀ 01. 对指定IP网段访问进行分流 ❀ FortiGate 防火墙的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
