大家好,這個問題看似簡單,我卻已經研究了整整兩天,美好的假期浪費在研究上雖然很浪漫,不過沒有頭緒解決確讓人心煩。
簡單介紹一下我的環境
1.internal:192.168.88.0/24 工作區段,所有client端電腦皆在此區段
2.DMZ:192.168.10.0/24 伺服器區段,不過只有一台windows server,運作web srv、mail srv,media srv、等
3.wan1:220.130.*.*主要線路,中華電信企業光纖100/40,固三ip,主要提供外部連出到dmz的服務
4.wan2:pppoe 300/100線路,四月初引入,無固定ip,將取代internal的網路服務
由於主要機器60D無法中斷,這邊我找出一台80c作模擬對象
韌體為5.2.2
主要介面圖為下:
其中,wan1的路由友將dictsance一樣改成5,與pppoe相同,因此路由狀態為下圖:
而規則很簡單,就是把internal可連線到DMZ、internal走wan2出去,DMZ可以經由wan1進出
請看下圖:
不過仍然無法連線。
主要狀況會變成這樣,只要wan1或wan2關閉其中一條線路,網路端就可以正常運作,例如關掉wan1,internal就可以上網,關掉wan2,DMZ就可以正常。
但是只要兩條線路都在線上,internal或是DMZ其中一方可以正常ping到8.8.8.8,但是DNS無法解析,就算手動指定也一樣,感覺就是某個東西還是塞起來了...
目前都是用最簡單的方式來思考與測試,尚未動用到blance或是政策路由,希望有前輩可以指點一下,我目前只希望能夠做到DMZ走wan1進出,internal可以走wan2出去,謝謝,感激不盡。
Fortigate ECMP
我的推測是您拉了一條比較便宜的光世代上網 300/100 這類的,給內網上網用,而原先的固定IP專線上網,想要保留給重要服務使用,也希望當任何一 WAN PORT 不通時,會自動 Fail-Over 過去,線路修好時自動回復
這是可行的,我公司就是這樣規劃的
重點是:same distance and same priority ,如果您對AD或是COST觀念不清楚,建議看一下 TCP/IP 方面的書籍
下方截圖,請原諒我把IP遮掉,但是您注意到了嗎?
在 Console CLI 中 0.0.0.0 Default Gateway 中會出現兩筆 ECMP (WAN1 & PPP1)
但是在 Fortigate GUI只會出現一筆唷!!!
您的GUI有兩筆應該有一筆是您自己加上去的 (我猜的)~~~~
這是我與您設定上的不同。
例外
您應該多加一筆
Internal(工作區域) >> WAN1 Allow ,當測試 Shutdown掉 WAN2 Port時, 流量才會通過 WAN1 出去,不然應該會是 Deny Any
FB:harlem.hsu
IG:harlemhsu
Harlem_Hsu wrote:
在 Console CLI 中 0.0.0.0 Default Gateway 中會出現兩筆 ECMP (WAN1 & PPP1)
但是在 Fortigate GUI只會出現一筆唷!!!
您的GUI有兩筆應該有一筆是您自己加上去的 (我猜的)~~~~
您弄錯樓主的需求了,樓主在DMZ裡面有WEB Server & Mail Server,
這需要有固定的IP透過DNS機制提供給在Internet上所需的服務,
而內網連接Internet(上網服務)則是走PPPoE的線路。
Harlem_Hsu wrote:
您應該多加一筆
Internal(工作區域) >> WAN1 Allow ,當測試 Shutdown掉 WAN2 Port時, 流量才會通過 WAN1 出去,不然應該會是 Deny Any
≡≡ 覺人之詐,不憤于言;受人之侮,不動于色;察人之過,不揚于他;施人之惠,不記于心 ≡≡
vxr wrote:
你需要使用policy...(恕刪)
前輩您好,拜讀過您的許多教學
光是60d我這邊只能跑到220M還想跟您多請教說
政策路由我有嘗試,不過完全不理解,因此也完全不通...orz
一條線路時覺得兩條線路應該不難
現在真的兩條線時,有股衝動乾脆300走60D,100走80C算了,最後兩個在路由起來即可
但是還是希望能夠一台60D搞定全部...
Harlem_Hsu wrote:
這裡有一篇文章,煩請...(恕刪)
前輩您好,看了您的文章教學
我也去找了forti的影片教學
後來才發現,這是備援線路
不過感謝您的提點,至少下次要做備援線路,確定是沒問題了,因為照著文件作出來了~
不過我是希望兩條線路都可使用,尤其100m需要外部連入
HIMALAYAS wrote:
WAN1 &...(恕刪)
前輩您好,感謝您理解我的需求
希望我的案例可以幫助到跟我有同樣需求的人
再次希望各位前輩多多指導,謝謝
haw23 wrote:沒錯,但實際實施並不容易
大家好,這個問題看似簡單...(恕刪)
對路由觀念要有進階的了解才能做出預期的效果,
vxr大說得很清楚,必須用Policy Route才能解決你的問題
用multi-VDOMs可能對你而言更複雜了
如果自己不會做,建議還是請專業廠商來替你解決問題吧
畢竟需要同時理解ECMP,WLLB,進階Routing才能發揮效果
其實接兩條外線並不難,補充資料如下:
FortiOS_4.3之ECMP (Equal Cost Multiple Path)
https://www.youtube.com/watch?v=Zosd2xmU-b8
FortiOS_5.0之ECMP (Equal Cost Multiple Path)
https://www.youtube.com/watch?v=P0oshKYvFY8
FortiOS_5.2之WLLB (Wan Link Loadbalance)
https://www.youtube.com/watch?v=P0oshKYvFY8
因OS_5.0即將在今年11月1日停止支援
建議大家還是盡早升級到5.2版來運作吧
vxr wrote:
policy route...(恕刪)
報告一下目前進度
採用前輩您的方法後
採10%wan1+90%wan2並行可行
不過後來我就發現這個方式應該會有幾個問題存在
1.無法建立SSL-VPN,不管選wan1或是wan2,完全無法連入
2.我推測當smtp要出去時,或許會有一些問題,可能會被判斷成spam
3.限制綁定ip的網頁會進不去,例如我要到其他forti後台,但是該forti限定我wan1的固定ip
因此看了看mulri-VDOM後,或許這是唯一解吧...orz
M.M.SW wrote:
沒錯,但實際實施並不...(恕刪)
感謝前輩提供,不過備援線路並非我所需
但是學到了一招,十分感謝
內文搜尋
從 APP 打開
X