44美国飞塔有限公司
配置举例:到互联网的多重连接 NAT/ 路由 模式安装
只有您已经定义了类似于在前面章节中描述的目的路由之后,在这些例子中描述的
策略路由才能正常工作。
·将通讯从内部子网路由到不同的外部网络
·路由到外部网络的服务
关于策略路由的详细信息,请见 第 122 页 “ 策略路由” 。
将通讯从内部子网路由到不同的外部网络如果 FortiGate 提供了从多个内部子网到互联网的访问,您可以使用策略路由控制
从各个内部子网到互联网的通讯的路由。例如,如果内部网络包含了192.168.10.0 子
网和 192.168.20.0 子网,您可以输入如下策略路由:
1输入以下命令路由从 192.168.10.0 子网到外部网络 100.100.100.0的通讯:
set system route policy 1 src 192.168.10.0 255.255.255.0 dst
100.100.100.0 255.255.255.0 gw 1.1.1.1
2输入以下命令路由从 192.168.20.0 子网到外部网络 200.200.200.0 的通讯:
set system route policy 2 src 192.168.20.0 255.255.255.0 dst
200.200.200.0 255.255.255.0 gw 2.2.2.1
路由到外部网络的服务您可以使用以下策略路由将所有 HTTP 通讯 (使用 80 端口)定向到一个外部网络,
而将其他的全部通讯定向到另一个外部网络。
1输入以下命令将使用 80 端口的全部 HTTP 通讯路由到 IP 地址为 1.1.1.1 的网关。
set system route policy 1 src 0.0.0.0 0.0.0.0 dst 0.0.0.0
0.0.0.0 protocol 6 port 1 1000 gw 1.1.1.1
2输入以下命令将其他的全部通讯路由到 IP 地址为 2.2.2.1 的网关。
Set system route policy 2 src 0.0.0.0 0.0.0.0 dst 0.0.0.0
0.0.0.0 gw 2.2.2.1
防火墙策略举例防火墙策略控制着通过FortiGate 设备的通讯流。一旦配置了到互联��的多重连接
的路由,您需要创建对应的防火墙策略,控制允许通过FortiGate 设备的通讯,以及
允许通讯使用的接口。
为了使从内部网络发出的通讯能够通过两个互联网连接线路连接到互联网,您必须
添加从内部接口到每个带有互联网连接的接口的冗余策略。添加完策略之后,路由配
置可以控制使用哪个到互联网的连接。
添加冗余的默认策略 第40 页 图 9 显示了 FortiGate设备 使用外部和 DMZ 连接到互联网的例子。默
认的策略允许全部的通讯从内部网络通过外部接口连接到互联网。如果您添加了一个
类似的从内部网络到 DMZ 接口的策略列表,这一策略将允许所有通讯从内部网络通过
DMZ 接口连接到互联网。在防火墙配置中添加了这两个策略之后,路由配置可以决定从
内部网络到互联网的连接实际使用哪条到互联网的线路。关于默认策略的详细信息,
请见 第 144 页 “ 默认防火墙配置” .