內容表格
    沒有標頭

    在ForiGate的產品上, 其實任何一個port都可以拿來當WAN或LAN, 即不管是不是internal的情況下, 名稱上的標示意義不大. 當然, internal是被建議盡量用於LAN network(因為當初的設定整個就是一個switch). 有一個可能會發生的情況, Multi-WAN connection, 這表示出WAN的port不止是單單一個, 它可能有多個的情況下應用, 視管理者需求而定. 比方說HiNet 100M/40M配發6 fixed IPs, 拿其中三個配置於WAN1, WAN2和DMZ. 根據這個案例, 設定了以下條件:
    1. WAN 1: 固定IP
    2. WAN 2: 由VTU-R透過DHCP配發的IP
    3. WAN 3: 固定IP
    * 在VTU-R設定Interface Grouping操作通道切割. 這樣WAN2出來的routing不會存在一個bridge上(br1)

    mobile01-b5498b30f868a3a286480a7231ad2f74.gif

    根據預設的EMCP為Source IP based, 根據IP表示不同的路由分配. 不過在這邊的案例, 希望將不同的LAN端路由強制指定在特定的WAN/DMZ port上. 在Routing設定上會使用幾種方式:
    1. Static Routing
    2. Policy Routing
    首先按照了以下的routing設定:

    mobile01-ed4e4c511c855b432a6e15b7af9990e3.gif

    Distance全為相等, 透過Priority指定不同的優先權. 數字愈小級優先權愈大, 因此一個預設情況下traffic會被導向通用的路由. 從上圖來看即預設情況流入WAN 1. 另外可以發現WAN 2為VTU-R透過DHCP機制取得的IP, 在Mutli-WAN上要從CLI設定, 請勿勾選以下checkbox.

    mobile01-c91d82f1360ea436b3d1072e07d8e456.gif

    使用以下的CLI設定:

    mobile01-aa237e89adcac2eb4015ef282b7a8b98.gif

    PPPoE連線也一樣適用在這個情況下. 這樣基本的routing設定便完成, 接下來是強制設定哪些LAN的routing流入其它的WAN/DMZ port上. 以下我設定的幾個條件:
    1. 10.2.162.0/24 => DMZ
    2. 10.2.[116-118].0/24 => WAN 2
    * DEFAULT: All traffic => WAN 1
    因此在Policy Routing如下設定:

    mobile01-96783ed6c93d3b7b8eac38c827810525.gif

    我從Gateway設定下指定為0.0.0.0進行動態判斷, 不需要強指定. 如下這樣的設定方式:

    mobile01-3fe71a0eebf845a68a05bd1c839af10c.gif

    將這些設定完成過後, 一些routing便可強至流入在特定的port上. 一種簡單的方式可以使用sniffer進行觀察, 透過如下CLI表示:

    mobile01-55aa6a7389cfe8a379bd524bc27baa5d.gif

    另外也可以從policy table增加一些欄位查看相關的count以及sessions.

    mobile01-9bf526e9cf3377c30f5da4715d99c26c.gif

    PS:
    有一個情況要注意, 大多固定IP配發皆屬於同網段的情況下, 因此比方說:
    WAN 1: 123.11.224.15/24
    這樣設定後, 第二個固定IP設定時, 將會遭遇到一些錯誤訊息, 提示你無法重複網段設定.
    WAN 2: 123.11.224.18/24 <==by default: 不允許
    使用以下的CLI便可允許重覆網段的IP設定:

    mobile01-6a423ed7821df837f8046c7051994b0c.gif

    Was this page helpful?
    標籤 (Edit tags)
    • No tags
    您必須 登入 才能發佈評論。
    Powered by MindTouch Core