同步comodo防火墙设置
文档模板FGSP配置指导版本V1.
1时间2018年6月作者王祥状态反馈support_cn@fortinet.
com文档模板目录1.
应用场景.
32.
网络拓扑.
33.
设备版本.
34.
配置步骤.
44.
1.
路由/NAT模式.
44.
2.
透明模式.
65.
状态检查.
86.
注意事项.
10文档模板1.
应用场景从FortiOS5.
0支持FortiGateSessionLifeSupportProtocol(FGSP),在异步流量负载分担的场景中实现单机配置同步,会话同步.
2.
网络拓扑3.
设备版本FortiGate:FortiGate-900Dv5.
4.
2,build1100文档模板4.
配置步骤4.
1.
路由/NAT模式①配置FGSPFGT_A:configsystemhasetgroup-name"fgsp_demo"setpasswordfortinetsethbdev"port15"0//配置同步通过心跳口setstandalone-config-syncenable//开启配置同步setpriority200endFGT_B:configsystemhasetgroup-name"fgsp_demo"setpasswordfortinetsethbdev"port15"0//配置同步通过心跳口setstandalone-config-syncenable//开启配置同步setpriority100end注意:FGSP模式不能使用UTM功能.
②使用diasyshastatus查看同步状态FG900D3915800574#diagnosesyshastatusHAinformationStatisticstraffic.
local=s:0p:0b:0traffic.
total=s:0p:0b:0activity.
fdb=c:0q:0Model=900,Mode=0Group=0Debug=0nvcluster=1,ses_pickup=0,delay=0[Debug_ZoneHAinformation]HAgroupmemberinformation:is_manage_master=1.
FG900D3915800574:Master,serialno_prio=1,usr_priority=200,hostname=FG900D3915800615:Slave,serialno_prio=0,usr_priority=100,hostname=[KernelHAinformation]文档模板vcluster1,state=work,master_ip=169.
254.
0.
2,master_id=0:FG900D3915800574:Master,ha_prio/o_ha_prio=0/0FG900D3915800615:Slave,ha_prio/o_ha_prio=1/1③分别在两台设备上配置接口IP地址,静态路由.
④在主设备上配置防火墙策略,备设备会自动同步.
⑤在主设备上配置会话交接及同步接口,备设备会自动同步.
configsystemhasetsession-pickupenable//开启会话同步setsession-pickup-connectionlessenable//允许UDP,ICMP无状态协议会话同步setsession-pickup-natenable//允许NAT会话同步setsession-pickup-expectationenable//允许异步流量会话同步end注意:如果开启NAT会话同步,考虑到故障切换,则配置NAT策略的时候应该使用NAT地址池,不应该使用接口IP,因为两台设备接口IP地址不一样.
⑥配置会话同步配置会话同步有两种方式:(建议用A方式)A:使用二层方式进行会话同步,这种方式在内核中执行,效果高,同步会话更快.
configsyshasetsession-sync-dev"port16"//单独的会话同步接口或者是HA接口endB:使用三层方式进行会话同步,这种方式由用户空间的进程执行,比较A方式效率低,同步会话慢.
FGT_A:configsystemcluster-syncedit1setpeerip10.
0.
0.
1//FGT_Bport16接口的IP地址setpeervdroot//配置同步会话的vdomnextendFGT_B:configsystemcluster-syncedit1setpeerip10.
0.
0.
2//FGT_Aport16接口的IP地址setpeervdroot//配置同步会话的vdomnextend注意:如果是v5.
2的版本,配置会话同步的命令是configsystemsession-sync.
文档模板⑦配置故障切换在FGSP模式中,可以操纵FortiGate上下游设备来达到故障切换的目的.
也可以在FortiGate上配置VRRP实现故障切换,如果配置VRRP,那么FortiGate上下游设备指定的路由下一条就是VRRP虚拟地址.
configsysteminterfaceedit"portX"//编辑需要开启VRRP的接口setvrrp-virtual-macenableconfigvrrpedit1setvrgrpID//配置VRRP组IDsetvripIPAddr//配置VRRP虚拟地址,与实际地址在同一个网段setpriorityValue//配置VRRP优先级nextendend4.
2.
透明模式①配置FGSPFGT_A:configsystemhasetgroup-name"fgsp_demo"setpasswordfortinetsethbdev"port15"0setstandalone-config-syncenable//开启配置同步setpriority200endFGT_B:configsystemhasetgroup-name"fgsp_demo"setpasswordfortinetsethbdev"port15"0setstandalone-config-syncenable//开启配置同步setpriority100end注意:FGSP模式不能使用UTM功能.
文档模板②使用diasyshastatus查看同步状态FG900D3915800574#diagnosesyshastatusHAinformationStatisticstraffic.
local=s:0p:0b:0traffic.
total=s:0p:0b:0activity.
fdb=c:0q:0Model=900,Mode=0Group=0Debug=0nvcluster=1,ses_pickup=0,delay=0[Debug_ZoneHAinformation]HAgroupmemberinformation:is_manage_master=1.
FG900D3915800574:Master,serialno_prio=1,usr_priority=200,hostname=FG900D3915800615:Slave,serialno_prio=0,usr_priority=100,hostname=[KernelHAinformation]vcluster1,state=work,master_ip=169.
254.
0.
2,master_id=0:FG900D3915800574:Master,ha_prio/o_ha_prio=0/0FG900D3915800615:Slave,ha_prio/o_ha_prio=1/1③在主设备上配置会话交接及同步接口,备设备会自动同步.
configsystemhasetsession-sync-dev"port16"//可以使用单独的会话同步接口,也可以使用HA接口setsession-pickupenable//开启会话同步setsession-pickup-connectionlessenable//允许UDP,ICMP无状态协议会话同步setsession-pickup-expectationenable//允许异步流量会话同步end④在主设备上新建透明模式的vdomtp,将业务端口划分到vdomtp并配置相关的防火墙策略,备设备会自动同步.
⑤配置会话同步configsyshasetsession-sync-dev"port16"//可以使用单独的会话同步接口,也可以使用HA接口end文档模板5.
状态检查使用diagnosesyshachecksumshow比较配置同步详情,如果校验和一致表示配置完全同步.
FG900D3915800574#diagnosesyshachecksumshowis_manage_master()=1,is_root_master()=1debugzoneglobal:e1a001e9e020464b8e3fe5ceb1abca27root:091e9f828c940f449b2c36fbb1b9efd3all:ffd0d2bf8345ba7916dbc3c02a964822checksumglobal:e1a001e9e020464b8e3fe5ceb1abca27root:091e9f828c940f449b2c36fbb1b9efd3all:ffd0d2bf8345ba7916dbc3c02a964822FG900D3915800615#diagnosesyshachecksumshowis_manage_master()=0,is_root_master()=1debugzoneglobal:e1a001e9e020464b8e3fe5ceb1abca27root:091e9f828c940f449b2c36fbb1b9efd3all:ffd0d2bf8345ba7916dbc3c02a964822checksumglobal:e1a001e9e020464b8e3fe5ceb1abca27root:091e9f828c940f449b2c36fbb1b9efd3all:ffd0d2bf8345ba7916dbc3c02a964822使用diagnosesyssessionsync查看同步状态sync_started=1表示能够进行会话同步,如果为0表示不能够进行会话同步.
sync_tcp=1,sync_others=1,sync_expectation=1,andsync_nat=1表示FGSP已经能够同步TCP,connectionless,asymmetric,andNAT会话.
sync:create=135:0,recv:create=2662:0表示FortiGate同步135条会话给对端,同时收到对端通过过来的会话2662条.
FG900D3915800615#diagnosesyssessionsyncsync_ctx:sync_started=1,sync_tcp=1,sync_others=1,sync_expectation=1,sync_redir=0,sync_nat=1,stdalone_sesync=1.
文档模板sync:create=135:0,update=2991,delete=0:0,query=578recv:create=2662:0,update=3315,delete=0:0,query=536sespkts:send=10079,alloc_fail=0,recv=12802,recv_err=0sz_err=0udppkts:send=0,recv=0nCfg_sess_sync_num=5,mtu=1500sync_filter:1:vd=-1,szone=0,dzone=0,saddr=0.
0.
0.
0:0.
0.
0.
0,daddr=0.
0.
0.
0:0.
0.
0.
0,sport=0-65535,dport=0:65535使用diagnosesyssessionlist查看会话信息,如果会话中带有synced表示是这台FortiGate创建了这条会话并同步给对端.
FG900D3915800574#diagnosesyssessionlistsessioninfo:proto=6proto_state=01duration=19expire=3580timeout=3600flags=00000000sockflag=00000000sockport=0av_idx=0use=3origin-shaper=reply-shaper=per_ip_shaper=ha_id=0policy_dir=0tunnel=/vlan_cos=0/255state=may_dirtyndrnpusyncedstatistic(bytes/packets/allow_err):org=92/2/1reply=0/0/0tuples=2txspeed(Bps/kbps):0/0rxspeed(Bps/kbps):0/0orgin->sink:orgpre->post,replypre->postdev=37->36/36->37gwy=200.
0.
3.
1/0.
0.
0.
0hook=predir=orgact=noop172.
16.
50.
3:61319->192.
168.
90.
98:23(0.
0.
0.
0:0)hook=postdir=replyact=noop192.
168.
90.
98:23->172.
16.
50.
3:61319(0.
0.
0.
0:0)pos/(before,after)0/(0,0),0/(0,0)misc=0policy_id=1auth_info=0chk_client_info=0vd=0serial=000eeb2dtos=ff/ffapp_list=0app=0url_cat=0dd_type=0dd_mode=0npu_state=0x003494ips_offloadnpuinfo:flag=0x81/0x00,offload=8/0,ips_offload=1/0,epid=8/0,ipid=160/0,vlan=0x0000/0x0000vlifid=160/0,vtag_in=0x0000/0x0000in_npu=2/0,out_npu=2/0,fwd_en=0/0,qid=3/0no_ofld_reason:totalsession1文档模板6.
注意事项①形成FGSP的设备需要相同的型号和版本.
②在FGSP模式下,FortiGate是独立的设备,异步流量发送日志的时候,同一条会话,两台设备都会发送日志;同步流量发送日志的时候,只有主设备发送日志.
- 同步comodo防火墙设置相关文档
- 《计算机网络技术》实验指导
- 支持comodo防火墙设置
- WOWItemMaker使用说明
- 配置comodo防火墙设置
- 防火墙comodo防火墙设置
- 点击comodo防火墙设置
[6.18]IMIDC:香港/台湾服务器月付30美元起,日本/俄罗斯服务器月付49美元起
IMIDC发布了6.18大促销活动,针对香港、台湾、日本和莫斯科独立服务器提供特别优惠价格最低月付30美元起。IMIDC名为彩虹数据(Rainbow Cloud),是一家香港本土运营商,全线产品自营,自有IP网络资源等,提供的产品包括VPS主机、独立服务器、站群独立服务器等,数据中心区域包括香港、日本、台湾、美国和南非等地机房,CN2网络直连到中国大陆。香港服务器 $39/...
ShockHosting($4.99/月),东京机房 可享受五折优惠,下单赠送10美金
ShockHosting商家在前面文章中有介绍过几次。ShockHosting商家成立于2013年的美国主机商,目前主要提供虚拟主机、VPS主机、独立服务器和域名注册等综合IDC业务,现有美国洛杉矶、新泽西、芝加哥、达拉斯、荷兰阿姆斯特丹、英国和澳大利亚悉尼七大数据中心。这次有新增日本东京机房。而且同时有推出5折优惠促销,而且即刻使用支付宝下单的话还可获赠10美金的账户信用额度,折扣相比之前的常规...
萤光云(16元/月)高防云服务器自带50G防御
螢光云官網萤光云成立于2002年,是一家自有IDC的云厂商,主打高防云服务器产品。在国内有福州、北京、上海、台湾、香港CN2节点,还有华盛顿、河内、曼谷等海外节点。萤光云的高防云服务器自带50G防御,适合高防建站、游戏高防等业务。本次萤光云中秋云活动简单无套路,直接在原有价格上砍了一大刀,最低价格16元/月,而且有没有账户限制,新老客户都可以买,就是直接满满的诚意给大家送优惠了!官网首页:www....
-
免费vps服务器如何免费搭建自己的vps服务器台湾vps台湾服务器 哪里稳定速度快?海外域名怎么挑选合适的国外域名?域名备案域名备案需要什么虚拟主机控制面板如何利用虚拟主机控制面板对网站进行管理虚拟主机mysql虚拟主机的数据库有哪些河南虚拟主机谁那有好的虚拟主机?虚拟主机99idc如何选择虚拟主机的的操作系统以及更换操作系统是注意事项域名邮箱最好的邮箱域名有什么?域名交易域名如何买卖??