虚拟traceroute

北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/4006005255FortiGate虚拟域版本1.
0时间2012年1月作者胡丹丹(ddhu@fortinet.
com)支持的版本FortiOSv3.
X,v4.
X状态草稿北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/4006005255目录1.
目的42.
环境介绍.
43.
启用虚拟域.
43.
1启用虚拟域.
43.
2虚拟域列表.
63.
3虚拟域资源的分配64.
vdom间路由.
74.
1vdom-link的优势.
84.
2创建vdom-link.
85.
vdom类型.
105.
1单机vdom配置.
105.
2独立vdom105.
3管理vdom115.
4Meshvdom(全网状)116.
域间路由.
126.
1创建vdom136.
2关联vdom接口.
136.
3创建vdom-link接口136.
4vdom1虚拟域配置146.
5root虚拟域配置.
146.
6数据流向验证15北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/40060052556.
7其他应用.
157.
虚拟域与虚拟集群168.
参考16北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/40060052551.
目的虚拟域(VDOM)是将一台物理的FortiGate划分为俩个或俩个以上的可以独立运行的虚拟防火墙的技术,虚拟域技术可以为每一个虚拟域提供独立的安全策略或者不同的NAT/透明运行模式,路由及VPN配置.
本文就FortiGate的虚拟域的相关特性及应用进行说明.
2.
环境介绍除FortiGate-30B及FortiWiFI-30B以外的所有FortiGate型号均支持虚拟域功能,默认情况下,每个FortiGate支持最大10个虚拟域,如需要更多,可以通过购买license来扩展虚拟域的数量.
本文使用1台FortiGate-VM进行说明,本文使用的系统版本为FortiOSv4.
0MR2Patch8.
3.
启用虚拟域3.
1启用虚拟域虚拟域可以在系统状态的系统信息中启用.
北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/4006005255命令行下的激活虚拟域configsystemglobalsetvdom-adminenableendvdom在未开启及开启后各个界面如下:启用虚拟域后,命令行下配置需要使用相应权限的账号进入全局配置模式或者vdom进行配置进入系统设定configglobal进入vdom设定configvdom北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/4006005255edit3.
2虚拟域列表查看虚拟域列表,虚拟域列表中可以添加修改或删除指定虚拟域.
3.
3虚拟域资源的分配全局资源代表了该FortiGate的硬件能力及所有可以支配的资源,该数值随硬件型号的不同.
对指定vdom的资源分配进行编辑资源的最大资源及保证资源表示可以支配的最大及最小资源,如FortiGate默认有10个vdom,vdom2有2000最大会话资源及1000的保证资源,FortiGate全局资源有20,000会话,那么vdom2可能将无法分配到2000会话值的上限,但是在任何时候,他将得到最少1000会话资源.
如果其他9个vdom使用的会北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/4006005255话数资源总数小于19,000,那么vdom2可以资源分配可以达到2000最大资源.
4.
vdom间路由早期的vdom是各自独立的,如果需要从一个vdom与另一个vdom通讯,则需要通过物理线路从一个vdom的物理接口与另一个vdom物理接口相连.
vdom-link是提供vdom之间的路由而无需物理接口介入,vdom-link以虚拟接口的方式提供多vdom之间的互联.
北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/40060052554.
1vdom-link的优势释放物理接口,在vdom间路由不再需要物理接口的介入;比物理接口拥有更高的速率;完美支持防火墙策略;配置灵活.
4.
2创建vdom-link在全局模式界面下的网络中,选择新建虚拟域连接.
之后会生成俩个子接口,此接口可以出现在同一vdom下或者不同vdom关联.
北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/4006005255Vdom-link接口可以使用3种方式用于互联Unnumbered:Vdom-link两端均无需IP地址配置;Halfunnumbered:一端使用IP地址,另一端无需IP地址;Fullunnumbered:Vdom-link两端均使用IP地址.
如果需要使用SNAT或者DNAT,那么需要使用Halfunnumbered或Fullunnumbered方式.
在使用unnumbered方式vdom-link设置静态路由,仅需通过vdom-link的接口名称及0.
0.
0.
0作为网关,设置完成后traceroute不会显示该接口的hop,但是可以在vdom-link上抓取数据包进行排错.
北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/40060052555.
vdom类型5.
1单机vdom配置单机vdom及FortiGate中仅有一个vdom,rootvdom是所有FortiGate的默认vdom.
5.
2独立vdom独立的vdom各自完全分离,vdom间彼此没有通讯,各个vdom的管理可以管理自己的vdom,可以用于多个公司或者多个部门共享单独一台物理FortiGate,通过vdom实现各自安全策略及internet需求.
北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/40060052555.
3管理vdom在管理vdom配置中,rootvdom作为管理虚拟域,其他vdom通过vdom-link连接到管理vdom.
该配置中,仅管理域与Internet互联,其他vdom的外部流量通过vdom-link路由至管理域及使用防火墙策略用于控制,以保证管理域对其他vdom完全的控制,包括访问流量的服务类型.
5.
4Meshvdom(全网状)北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/4006005255网状vdom包含部分网状vdom连接,及全网状vdom连接,网状的vdom互联配置比较复杂,进行操作之前必须有良好有序的规划.
6.
域间路由以网状vdom为例,vlan100与vlan200分别属于vdom1及vdom2的vlan接口int1及int2,各自有不同的安全策略,通过rootvdom访问Internet.
vdom1与vdom2通过vdom-link进行数据交互.
以vdom1通过root访问internet简单举例.
北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/40060052556.
1创建vdom全局模式下创建vdom1及vdom26.
2关联vdom接口将2个VLAN接口与各自的Vdom关联,也可以使用物理接口,本例中使用vlan接口.
6.
3创建vdom-link接口系统管理-网络-新建vdom-link,将vdom的两个子接口划入不同的vdom北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/40060052556.
4vdom1虚拟域配置建立策略int1至vdom1-root接口新建路由,设备选择vdom-link接口,网关默认.
6.
5root虚拟域配置新建root域的出网路由及去往vdom1的回程路由北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/4006005255新建策略允许vdom1去往Internet接口,并在root域进行nat6.
6数据流向验证Vlan100中的pc将先流经vdom1虚拟域,进入root虚拟域后在流出Internet.
6.
7其他应用其他各个不同vdom间也可以通过以上方式进行交换,除此之外各式vpn的实现也可通过rootvdom对内部vdom的访问,不同vdom之间的互联也可以通过vdom-link接口进行交互,包括物理FortiGate的所有其他功能,如vpn,utm等等均可在vdom上实现.
除此之外,FortiGate也支持路由模式及透明模式的混合vdom部署,以满足各个不同场景的需求.
北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/40060052557.
虚拟域与虚拟集群虚拟集群,系统有多个虚拟域时可以启用虚拟集群,虚拟集群只能工作在A-P模式,可以给不同的虚拟集群中的成员定义不同的主从设备.
8.
参考TechnicalNote:Inter-VDOMlinkdetailsVirtualDomains