Nat/路由模式安装, FortiGate 设备, 内部接口外部接口 | Fortinet 60M instruction

在网络中配置FortiGate设备

本章是FortiGate设备的操作模式说明。开始配置FortiGate设备之前，先要考虑怎样将FortiGate设备集成到网络中。针对不同的操作模式， NAT/路由模式或透明模式，进行对应的配置。

该章节包括以下内容：

•规划FortiGate配置

•设置公共FortiGate接口对Ping命令请求不作出响应

•NAT/路由模式安装

•透明模式安装

•下一步

规划FortiGate配置

配置FortiGate设备之前，先要考虑怎样把FortiGate设备集成在网络中。至于其它问题，如还需要决定FortiGate设备是否在网络中可见，需要配置哪些防火墙功能，与怎样控制接口间的流量。

您所选择的FortiGate设备的操作模式是配置的依据。FortiGate设备有两个模式，分别为：NAT/路由模式（出厂默认）与透明模式。

您也可以在出厂默认的操作模式设置即NAT/路由模式下，在网络中配置FortiGate设备。

NAT/路由模式安装

NA/路由模式下，FortiGate设备在网络中是可见的类似一个路由器，设备的所有接口在不同的子网中。在NA/路由模式下，以下接口是可用的。

表9：NAT/路由模式下接口

FortiGate设备	内部接口	外部接口	其他
FortiGate-60	内部接口(Internal 1，	WAN1	DMZ
	2，3，4)	WAN2
FortiGate-60M	内部接口(Internal)	WAN1	DMZ
		WAN2
FortiWiFi-60	内部接口(Internal)	WLAN	DMZ
			WAN1
			WAN2
FortiGate-60ADSL	内部接口(Internal)	WAN1	DMZ
		WAN2
FortiGate-100A	内部接口(Internal)	WAN1	DMZ1
		WAN2	DMZ2

	您可以添加防火墙策略控制NAT/路由模式下的FortiGate设备是否有
	通信流量通过。防火墙策略根据源地址、目标地址与每个数据包的服
26	V. 3.0 MR1 FortiGate-60系列以及
	FortiGate-100A设备安装手册
	01-30001-0266-20060410

Image 26

Fortinet 60M manual Nat/路由模式安装, FortiGate 设备, 内部接口外部接口

Contents

Page 服从规范 2006年4月10日 Copyright 2006 美国飞塔有限公司版权所有。注册商标 FCC Class a Part 15 CSA/CUS FortiGate-100A设备安装手册 01-30001-0266-20060410 设置公共FortiGate接口对Ping命令请求不作出响应 FortiGate固件 MAC地址过滤 Fortinet 产品家族 FortiGuard服务订制 FortiAnalyzer FortiClientFortiMail FortiReporter FortiGate-60/60M/ADSL FortiWiFi-60关于本手册 FortiGate-100A 该手册中的注释排版说明访问Fortinet公司网站的Fortinet知识库板块，FortiGate 日志信息参考 Fortinet技术文档。有关如何使用FortiGate CLI（命令行接口）以及所以FortiGateCLI命令对FortiGate IPSec VPN与FortiGate SSL VPN 技术进行比较，并对通过 Fortinet 技术文档的建议与意见客服与技术支持Fortinet 知识库表1：技术参数设备包装图1：FortiGate-60/60M设备部件工作需求无线连接图2：FortiWiFi-60设备部件：技术参数工作环境表4：LED显示启动FortiGate设备图3：FortiGate-100A设备部件关闭FortiGate设备基于web的管理器命令行接口（CLI）为255.255.255.0。连接到基于web的管理器连接到基于web的管理器启动IE浏览器，浏览地址为 https//192.168.1.99 的页面（请注意是 https//）。图5：FortiGate-60M系统面板图4：FortiGate登录页面系统操作面板 Welcome！连接到CLI（命令行接口）连接到CLI 使用出厂默认设置快速启动FortiGate设备图6：适用默认设置快速配置设备Page Internaldhcpserver 出厂默认的DHCP服务器配置出厂默认的NAT/ 路由模式的网络配置 192.168.1.99 IP范围 192.168.1.110-192.168.1.210 192.168.1.99 Admin内部接口internal接 255.255.255.0 出厂默认的防火墙保护内容设置出厂默认防火墙设置出厂默认的透明模式的网络配置恢复默认的设置恢复出厂默认设置使用基于web的管理器恢复默认的出厂设置键入如下命令恢复为出厂默认设置：使用CLI恢复默认的出厂设置进入系统状态系统操作。内部接口外部接口 NAT/路由模式安装FortiGate 设备 ·Modem是FortiGate-60系列设备连接到外部网络的冗余接口。具有多个外部网络连接的NAT/路由模式图7：FortiGate-60设备NAT/路由模式下的网络配置举例 ·DMZ是FortiGate-100A设备中连接到外部网络的冗余接口。透明模式图8：FortiGate-100A设备NAT/路由模式下多重internet（互联网）连接配置举例图9：FortiGate-100A设备透明模式下的网络配置举例设置公共FortiGate接口对Ping命令请求不作出响应注意：透明模式下，FortiGate-60M中modem接口不可用。使用基于web的管理器撤消ping管理访问表11：NAT/路由模式设置管理员密码配置FortiGate设备的NAT/路由模式准备使用CLI撤消ping管理访问 Internal IP ：配置基本设置配置使用DHCP或PPPoE使用基于web的管理器从菜单中选择DHCP或PPPoE 添加默认路由配置接口进入系统管理员配置管理员。配置DNS服务器设置进入系统网络选项。使用命令行接口（CLI）配置FortiGate设备运行于NAT/路由模式 Set mode pppoe Config system interfaceSet mode dhcp Set connection enable 与FortiGate设备建立连接：将FortiGate设备连接到网络中添加默认的路由配置网络图10：FortiWiFi-60 NAT/路由模式连接透明模式安装配置透明模式的准备 DNS 设置配置DNS服务器设置使用CLI更改为透明模式 1.登录到CLI校验DNS服务器设置重新连接到基于web的管理器图11：FortiGate-60透明模式连接将FortiGate设备连接到网络与透明模式运行下的FortiGate设备连接 FortiGate设备注册下一步设置系统日期与时间设置日期与时间进入系统状态。更新病毒防护定义与IPS特征更新病毒防护与IPS特征使用基于web的管理器更新病毒防护与IPS特征进入系统管理维护 FortiGuard中心进入系统管理维护 FortiGuard 中心。使用CLI添加替代FDN服务器进入系统管理维护 FortiGuard中心。键入有效的FortiGuard 服务器域名或IP地址登录CLI。配置FortiGate-60M设备的冗余modem连接设置modem接口模式冗余模式配置对Ethernet接口配置ping服务器。 Set status enable Set status mode standalone end 通过CLI配置FortiGate-60与FortiWiFi设备Set status enable Set status mode redundant end 单机模式配置启动Modem Modem状态电话号码通过CLI配置FortiGate-60与FortiWiFi-60设备的modem设置。以下是所拨号帐户断开modem连接关键字与命令缺省值 Peermodem2 DisableEnabledisable Username1 Peermodem3 Set username1 acct1user End 添加 Ping 服务器对Modem连接添加防火墙策略只有FortiGate-60ADS设备设置有ADSL modem接口。使用web管理器配置ADSL接口配置基本ADSL设置寻址模式 MUX 类型配置ADSL接口使用DHCP配置接口使用PPPoE或PPPoA 初始PADT超时时间未编号IP初始发现超时从服务器获取默认 Muxtype 11c-encap vc-encaps Pppoe-mtu mtubytesGwaddrgwipv4 Vci Enable disable Disc-retry-timeout Enable disableDefaultgw Idle-timeout Unnumberedipv4 Mode interfacemodeIpunnumbered Mtumtubytes Pppoepassword Padt-retry-timeoutPassword Mtu-override 对ADSL连接添加防火墙策略 PPPoE或PPPoA举例图15：FortiWiFi-60设备作为一个连接点（AP）本章是针对FortiWiFi-60设备的说明。设置FortiWiFi-60作为访问点建立无线网络无线电频率对接使用多个访问点无线等效协议（WEP） FortiWiFi-60设备支持WPA两种用户验证的方法。无线安全服务设置标识符（SSID）其它的无线网络安全方式MAC地址过滤访问点（AP）模式更改操作模式图18：运行于用户模式的FortiWiFi-60/60M设备用户模式设置安全选项在网络中配置FortiWiFi-60设备作为访问点（AP）配置DHCP设置设置数据安全配置防火墙策略进入系统管理状态升级为新的固件版本使用基于web的管理器升级固件恢复为旧的固件版本 Execute restore image FGT3000-v3.0-build183-FORTINET.outExecute update-now 使用CLI升级固件登录到FortiGate基于web的管理器 ·使用命令execute backup config备份FortiGate设备系统配置使用基于web的管理器恢复为旧的固件版本进入系统管理状态。 192.168.1.168 Execute restore image namestr tftpip4Execute ping This operation will replace the current firmware version 系统重新启动过程中安装固件 Press Any Key To Download Boot Image使用CLI在系统重启过程中安装固件镜像恢复新的固件安装之前的配置使用FortiUSB备份与恢复固件镜像 Set allowaccess ping https ssh telnet http End从FortiGate设备上插拔FortiUSB 正确安插FortiUSB密钥使用CLI备份配置文件 1.登录到CLI 使用基于web的管理器备份FortiGate设备配置 1.进入系统维护备份与恢复。使用基于web的管理器恢复FortiGate设备配置 1.进入系统维护备份与恢复。使用CLI恢复配置文件 1.登录到CLI 使用CLI配置使用USB自动安装功能 1.登录CLI 安装固件之前测试新的固件镜像注意：安装之前，请确定FortiGate设备已经安装了FortiOS v.30 MR 1。配置FortiUSB密钥的其它CLI命令检测新的固件镜像 Enter Tftp Server Address 192.168.1.168 转入步骤 Do You Want To Save The Image? Y/n 键入n 安装并使用备份固件镜像安装备份固件镜像安装备份固件镜像键入一个FortiGate设备用以连接TFTP服务器的IP地址。