同步comodo防火墙设置
文档模板FGSP配置指导版本V1.
1时间2018年6月作者王祥状态反馈support_cn@fortinet.
com文档模板目录1.
应用场景.
32.
网络拓扑.
33.
设备版本.
34.
配置步骤.
44.
1.
路由/NAT模式.
44.
2.
透明模式.
65.
状态检查.
86.
注意事项.
10文档模板1.
应用场景从FortiOS5.
0支持FortiGateSessionLifeSupportProtocol(FGSP),在异步流量负载分担的场景中实现单机配置同步,会话同步.
2.
网络拓扑3.
设备版本FortiGate:FortiGate-900Dv5.
4.
2,build1100文档模板4.
配置步骤4.
1.
路由/NAT模式①配置FGSPFGT_A:configsystemhasetgroup-name"fgsp_demo"setpasswordfortinetsethbdev"port15"0//配置同步通过心跳口setstandalone-config-syncenable//开启配置同步setpriority200endFGT_B:configsystemhasetgroup-name"fgsp_demo"setpasswordfortinetsethbdev"port15"0//配置同步通过心跳口setstandalone-config-syncenable//开启配置同步setpriority100end注意:FGSP模式不能使用UTM功能.
②使用diasyshastatus查看同步状态FG900D3915800574#diagnosesyshastatusHAinformationStatisticstraffic.
local=s:0p:0b:0traffic.
total=s:0p:0b:0activity.
fdb=c:0q:0Model=900,Mode=0Group=0Debug=0nvcluster=1,ses_pickup=0,delay=0[Debug_ZoneHAinformation]HAgroupmemberinformation:is_manage_master=1.
FG900D3915800574:Master,serialno_prio=1,usr_priority=200,hostname=FG900D3915800615:Slave,serialno_prio=0,usr_priority=100,hostname=[KernelHAinformation]文档模板vcluster1,state=work,master_ip=169.
254.
0.
2,master_id=0:FG900D3915800574:Master,ha_prio/o_ha_prio=0/0FG900D3915800615:Slave,ha_prio/o_ha_prio=1/1③分别在两台设备上配置接口IP地址,静态路由.
④在主设备上配置防火墙策略,备设备会自动同步.
⑤在主设备上配置会话交接及同步接口,备设备会自动同步.
configsystemhasetsession-pickupenable//开启会话同步setsession-pickup-connectionlessenable//允许UDP,ICMP无状态协议会话同步setsession-pickup-natenable//允许NAT会话同步setsession-pickup-expectationenable//允许异步流量会话同步end注意:如果开启NAT会话同步,考虑到故障切换,则配置NAT策略的时候应该使用NAT地址池,不应该使用接口IP,因为两台设备接口IP地址不一样.
⑥配置会话同步配置会话同步有两种方式:(建议用A方式)A:使用二层方式进行会话同步,这种方式在内核中执行,效果高,同步会话更快.
configsyshasetsession-sync-dev"port16"//单独的会话同步接口或者是HA接口endB:使用三层方式进行会话同步,这种方式由用户空间的进程执行,比较A方式效率低,同步会话慢.
FGT_A:configsystemcluster-syncedit1setpeerip10.
0.
0.
1//FGT_Bport16接口的IP地址setpeervdroot//配置同步会话的vdomnextendFGT_B:configsystemcluster-syncedit1setpeerip10.
0.
0.
2//FGT_Aport16接口的IP地址setpeervdroot//配置同步会话的vdomnextend注意:如果是v5.
2的版本,配置会话同步的命令是configsystemsession-sync.
文档模板⑦配置故障切换在FGSP模式中,可以操纵FortiGate上下游设备来达到故障切换的目的.
也可以在FortiGate上配置VRRP实现故障切换,如果配置VRRP,那么FortiGate上下游设备指定的路由下一条就是VRRP虚拟地址.
configsysteminterfaceedit"portX"//编辑需要开启VRRP的接口setvrrp-virtual-macenableconfigvrrpedit1setvrgrpID//配置VRRP组IDsetvripIPAddr//配置VRRP虚拟地址,与实际地址在同一个网段setpriorityValue//配置VRRP优先级nextendend4.
2.
透明模式①配置FGSPFGT_A:configsystemhasetgroup-name"fgsp_demo"setpasswordfortinetsethbdev"port15"0setstandalone-config-syncenable//开启配置同步setpriority200endFGT_B:configsystemhasetgroup-name"fgsp_demo"setpasswordfortinetsethbdev"port15"0setstandalone-config-syncenable//开启配置同步setpriority100end注意:FGSP模式不能使用UTM功能.
文档模板②使用diasyshastatus查看同步状态FG900D3915800574#diagnosesyshastatusHAinformationStatisticstraffic.
local=s:0p:0b:0traffic.
total=s:0p:0b:0activity.
fdb=c:0q:0Model=900,Mode=0Group=0Debug=0nvcluster=1,ses_pickup=0,delay=0[Debug_ZoneHAinformation]HAgroupmemberinformation:is_manage_master=1.
FG900D3915800574:Master,serialno_prio=1,usr_priority=200,hostname=FG900D3915800615:Slave,serialno_prio=0,usr_priority=100,hostname=[KernelHAinformation]vcluster1,state=work,master_ip=169.
254.
0.
2,master_id=0:FG900D3915800574:Master,ha_prio/o_ha_prio=0/0FG900D3915800615:Slave,ha_prio/o_ha_prio=1/1③在主设备上配置会话交接及同步接口,备设备会自动同步.
configsystemhasetsession-sync-dev"port16"//可以使用单独的会话同步接口,也可以使用HA接口setsession-pickupenable//开启会话同步setsession-pickup-connectionlessenable//允许UDP,ICMP无状态协议会话同步setsession-pickup-expectationenable//允许异步流量会话同步end④在主设备上新建透明模式的vdomtp,将业务端口划分到vdomtp并配置相关的防火墙策略,备设备会自动同步.
⑤配置会话同步configsyshasetsession-sync-dev"port16"//可以使用单独的会话同步接口,也可以使用HA接口end文档模板5.
状态检查使用diagnosesyshachecksumshow比较配置同步详情,如果校验和一致表示配置完全同步.
FG900D3915800574#diagnosesyshachecksumshowis_manage_master()=1,is_root_master()=1debugzoneglobal:e1a001e9e020464b8e3fe5ceb1abca27root:091e9f828c940f449b2c36fbb1b9efd3all:ffd0d2bf8345ba7916dbc3c02a964822checksumglobal:e1a001e9e020464b8e3fe5ceb1abca27root:091e9f828c940f449b2c36fbb1b9efd3all:ffd0d2bf8345ba7916dbc3c02a964822FG900D3915800615#diagnosesyshachecksumshowis_manage_master()=0,is_root_master()=1debugzoneglobal:e1a001e9e020464b8e3fe5ceb1abca27root:091e9f828c940f449b2c36fbb1b9efd3all:ffd0d2bf8345ba7916dbc3c02a964822checksumglobal:e1a001e9e020464b8e3fe5ceb1abca27root:091e9f828c940f449b2c36fbb1b9efd3all:ffd0d2bf8345ba7916dbc3c02a964822使用diagnosesyssessionsync查看同步状态sync_started=1表示能够进行会话同步,如果为0表示不能够进行会话同步.
sync_tcp=1,sync_others=1,sync_expectation=1,andsync_nat=1表示FGSP已经能够同步TCP,connectionless,asymmetric,andNAT会话.
sync:create=135:0,recv:create=2662:0表示FortiGate同步135条会话给对端,同时收到对端通过过来的会话2662条.
FG900D3915800615#diagnosesyssessionsyncsync_ctx:sync_started=1,sync_tcp=1,sync_others=1,sync_expectation=1,sync_redir=0,sync_nat=1,stdalone_sesync=1.
文档模板sync:create=135:0,update=2991,delete=0:0,query=578recv:create=2662:0,update=3315,delete=0:0,query=536sespkts:send=10079,alloc_fail=0,recv=12802,recv_err=0sz_err=0udppkts:send=0,recv=0nCfg_sess_sync_num=5,mtu=1500sync_filter:1:vd=-1,szone=0,dzone=0,saddr=0.
0.
0.
0:0.
0.
0.
0,daddr=0.
0.
0.
0:0.
0.
0.
0,sport=0-65535,dport=0:65535使用diagnosesyssessionlist查看会话信息,如果会话中带有synced表示是这台FortiGate创建了这条会话并同步给对端.
FG900D3915800574#diagnosesyssessionlistsessioninfo:proto=6proto_state=01duration=19expire=3580timeout=3600flags=00000000sockflag=00000000sockport=0av_idx=0use=3origin-shaper=reply-shaper=per_ip_shaper=ha_id=0policy_dir=0tunnel=/vlan_cos=0/255state=may_dirtyndrnpusyncedstatistic(bytes/packets/allow_err):org=92/2/1reply=0/0/0tuples=2txspeed(Bps/kbps):0/0rxspeed(Bps/kbps):0/0orgin->sink:orgpre->post,replypre->postdev=37->36/36->37gwy=200.
0.
3.
1/0.
0.
0.
0hook=predir=orgact=noop172.
16.
50.
3:61319->192.
168.
90.
98:23(0.
0.
0.
0:0)hook=postdir=replyact=noop192.
168.
90.
98:23->172.
16.
50.
3:61319(0.
0.
0.
0:0)pos/(before,after)0/(0,0),0/(0,0)misc=0policy_id=1auth_info=0chk_client_info=0vd=0serial=000eeb2dtos=ff/ffapp_list=0app=0url_cat=0dd_type=0dd_mode=0npu_state=0x003494ips_offloadnpuinfo:flag=0x81/0x00,offload=8/0,ips_offload=1/0,epid=8/0,ipid=160/0,vlan=0x0000/0x0000vlifid=160/0,vtag_in=0x0000/0x0000in_npu=2/0,out_npu=2/0,fwd_en=0/0,qid=3/0no_ofld_reason:totalsession1文档模板6.
注意事项①形成FGSP的设备需要相同的型号和版本.
②在FGSP模式下,FortiGate是独立的设备,异步流量发送日志的时候,同一条会话,两台设备都会发送日志;同步流量发送日志的时候,只有主设备发送日志.
- 同步comodo防火墙设置相关文档
- 《计算机网络技术》实验指导
- 支持comodo防火墙设置
- WOWItemMaker使用说明
- 配置comodo防火墙设置
- 防火墙comodo防火墙设置
- 点击comodo防火墙设置
香港 1核1G 29元/月 美国1核 2G 36元/月 快云科技
快云科技: 11.11钜惠 美国云机2H5G年付148仅有40台,云服务器全场7折,香港云服务器年付388仅不到五折 公司介绍:快云科技是成立于2020年的新进主机商,持有IDC/ICP/ISP等证件资质齐全主营产品有:香港弹性云服务器,美国vps和日本vps,香港物理机,国内高防物理机以及美国日本高防物理机官网地址:www.345idc.com活动截止日期为2021年11月13日此次促销活动提供...
HyperVMart:加拿大vps,2核/3G/25G NVMe/G口不限流量/季付$10.97,免费Windows系统
hypervmart怎么样?hypervmart是一家成立了很多年的英国主机商家,上一次分享他家还是在2年前,商家销售虚拟主机、独立服务器和VPS,VPS采用Hyper-V虚拟架构,这一点从他家的域名上也可以看出来。目前商家针对VPS有一个75折的优惠,而且VPS显示的地区为加拿大,但是商家提供的测速地址为荷兰和英国,他家的优势就是给到G口不限流量,硬盘为NVMe固态硬盘,这个配置用来跑跑数据非常...
Megalayer新加坡服务器国际带宽线路测评
前几天有关注到Megalayer云服务器提供商有打算在月底的时候新增新加坡机房,这个是继美国、中国香港、菲律宾之外的第四个机房。也有工单询问到官方,新加坡机房有包括CN2国内优化线路和国际带宽,CN2优化线路应该是和菲律宾差不多的。如果我们追求速度和稳定性的中文业务,建议还是选择CN2优化带宽的香港服务器。这里有要到Megalayer新加坡服务器国际带宽的测试服务器,E3-1230配置20M国际带...
-
域名注册申请域名申请有什么要求免费com域名注册有没有完全免费的域名?域名主机域名,主机空间和网站文件三者之间的区别是什么域名主机什么是域名主机便宜的虚拟主机低价虚拟主机那种类型的好呢?美国网站空间我想买个国外的网站空间,那家好,懂的用过的来说说网站空间购买不用备案的网站空间,哪里可以有这样的网站空间购买?asp网站空间说ASP空间是做网站的空间是啥意思?apache虚拟主机linux apache虚拟主机有几种方式域名解析域名解析怎么弄?