haw23 wrote:
報告一下目前進度採...(恕刪)
提供你的policy route是如何設定的...
你是使用WAN Load Balancing??
vxr wrote:
提供你的policy...(恕刪)
報告前輩,不好意思最近出差,回到公司後又一直與朋友研討,一起苦思
暫時停擺了一兩天...
最初是採用前備提供的w-l-b,依照cookbook,把固I的閘道取消
然後採固I10%,300m90%的比例下去跑。連入服務都很ok,本想說用這樣下去實驗看看時
慢慢心中浮現了一些問題
1.原本我有些客戶的router有限定我司的固I出去,目前這樣反而變得沒辦法進入了
2.郵件伺服器SMTP也是必須走固I出去,之前一直考量連入問題,現在反而面臨連出問題
當然我有想著利用policy route的方式來解決,不過總覺的概念上我有很多錯誤的想法,因此設定不出來,甚至衍生出問題3
3.ssl-vpn設定不起來,不知道是不是因為閘道取消了,不管我用固I或用300M的ip都無法連入web
因此暫時放棄w-l-b的方式
經過友人的建議,我改採policy route的方式
跟w-l-b一樣,policy中internal以及dmz都開放wan1與wan2
進到route policy新增src=dmz src ip=serverip dst=wan1(固I) gateway=0.0.0.0
無法達到效果
但因為有w-l-b的啟發,因此一樣將閘道取消,並把0.0.0.0改成閘道,馬上work
心裡很高興,不過面臨的問題更多,問題2或許算是解決了,但是反而連入服務都會無法使用,且一樣無法設定ssl-vpn
只能說幸好我有多一台80c模擬,否則直接上陣的話,客戶的服務都不知道掛點多久了...
秤著周末夜,趕工加班,開始著手VDOM的學習,感謝前輩的指點,找到cookbook後依樣畫葫蘆
將switch mode轉成interface mode,port1走固I,port2做第一區,port3走300m,port4做第二區,port5跟6作link讓兩區可以連接,DMZ作主要的介面,wan1跟wan2作link讓區域1可以回到DMZ控制主介面。
然後還可以透過policy route,讓區域2的電腦可以改由固I出去,連入服務還可以跨區段,因此動態的固定都可以連回服務,當然ssl-vpn也是兩個ip都可以設定。
以上總算是暫時撥雲見日了,只差實際換上60D
不過要換到60D的話,目前的困擾是,如果將之改成interface mode,不知道是反可以把port2,3,4做成一區switch,78做成一區,這樣就可以不用多買switch了...
另外vdom雖說吃資源,目前看起來耗損似乎也還好,就怕速率上大打折扣.....
以上還請前輩參考,並請指點,謝謝。
在vdom之前,我將300m的線路直接接上internal,利用主電腦撥號上網,一度覺得,幹嘛這麼累...我讓有需要的電腦撥號上300m就好了...實際測出來之後,其實覺得兩個方式都不錯,或許這是vdom後的第二解吧。
im548 wrote:大大有看懂前面幾位先進的說明嗎?
我也想進一台Forti...(恕刪)
如果不是很有把握掌握技術
建議買設備時請廠商幫你設定好或是教會你設定
畢竟花錢買了設備,要把技術一併買進來
不然很可能要花不少功夫哦!
內文搜尋
從 APP 打開
X