同步comodo防火墙设置
文档模板FGSP配置指导版本V1.
1时间2018年6月作者王祥状态反馈support_cn@fortinet.
com文档模板目录1.
应用场景.
32.
网络拓扑.
33.
设备版本.
34.
配置步骤.
44.
1.
路由/NAT模式.
44.
2.
透明模式.
65.
状态检查.
86.
注意事项.
10文档模板1.
应用场景从FortiOS5.
0支持FortiGateSessionLifeSupportProtocol(FGSP),在异步流量负载分担的场景中实现单机配置同步,会话同步.
2.
网络拓扑3.
设备版本FortiGate:FortiGate-900Dv5.
4.
2,build1100文档模板4.
配置步骤4.
1.
路由/NAT模式①配置FGSPFGT_A:configsystemhasetgroup-name"fgsp_demo"setpasswordfortinetsethbdev"port15"0//配置同步通过心跳口setstandalone-config-syncenable//开启配置同步setpriority200endFGT_B:configsystemhasetgroup-name"fgsp_demo"setpasswordfortinetsethbdev"port15"0//配置同步通过心跳口setstandalone-config-syncenable//开启配置同步setpriority100end注意:FGSP模式不能使用UTM功能.
②使用diasyshastatus查看同步状态FG900D3915800574#diagnosesyshastatusHAinformationStatisticstraffic.
local=s:0p:0b:0traffic.
total=s:0p:0b:0activity.
fdb=c:0q:0Model=900,Mode=0Group=0Debug=0nvcluster=1,ses_pickup=0,delay=0[Debug_ZoneHAinformation]HAgroupmemberinformation:is_manage_master=1.
FG900D3915800574:Master,serialno_prio=1,usr_priority=200,hostname=FG900D3915800615:Slave,serialno_prio=0,usr_priority=100,hostname=[KernelHAinformation]文档模板vcluster1,state=work,master_ip=169.
254.
0.
2,master_id=0:FG900D3915800574:Master,ha_prio/o_ha_prio=0/0FG900D3915800615:Slave,ha_prio/o_ha_prio=1/1③分别在两台设备上配置接口IP地址,静态路由.
④在主设备上配置防火墙策略,备设备会自动同步.
⑤在主设备上配置会话交接及同步接口,备设备会自动同步.
configsystemhasetsession-pickupenable//开启会话同步setsession-pickup-connectionlessenable//允许UDP,ICMP无状态协议会话同步setsession-pickup-natenable//允许NAT会话同步setsession-pickup-expectationenable//允许异步流量会话同步end注意:如果开启NAT会话同步,考虑到故障切换,则配置NAT策略的时候应该使用NAT地址池,不应该使用接口IP,因为两台设备接口IP地址不一样.
⑥配置会话同步配置会话同步有两种方式:(建议用A方式)A:使用二层方式进行会话同步,这种方式在内核中执行,效果高,同步会话更快.
configsyshasetsession-sync-dev"port16"//单独的会话同步接口或者是HA接口endB:使用三层方式进行会话同步,这种方式由用户空间的进程执行,比较A方式效率低,同步会话慢.
FGT_A:configsystemcluster-syncedit1setpeerip10.
0.
0.
1//FGT_Bport16接口的IP地址setpeervdroot//配置同步会话的vdomnextendFGT_B:configsystemcluster-syncedit1setpeerip10.
0.
0.
2//FGT_Aport16接口的IP地址setpeervdroot//配置同步会话的vdomnextend注意:如果是v5.
2的版本,配置会话同步的命令是configsystemsession-sync.
文档模板⑦配置故障切换在FGSP模式中,可以操纵FortiGate上下游设备来达到故障切换的目的.
也可以在FortiGate上配置VRRP实现故障切换,如果配置VRRP,那么FortiGate上下游设备指定的路由下一条就是VRRP虚拟地址.
configsysteminterfaceedit"portX"//编辑需要开启VRRP的接口setvrrp-virtual-macenableconfigvrrpedit1setvrgrpID//配置VRRP组IDsetvripIPAddr//配置VRRP虚拟地址,与实际地址在同一个网段setpriorityValue//配置VRRP优先级nextendend4.
2.
透明模式①配置FGSPFGT_A:configsystemhasetgroup-name"fgsp_demo"setpasswordfortinetsethbdev"port15"0setstandalone-config-syncenable//开启配置同步setpriority200endFGT_B:configsystemhasetgroup-name"fgsp_demo"setpasswordfortinetsethbdev"port15"0setstandalone-config-syncenable//开启配置同步setpriority100end注意:FGSP模式不能使用UTM功能.
文档模板②使用diasyshastatus查看同步状态FG900D3915800574#diagnosesyshastatusHAinformationStatisticstraffic.
local=s:0p:0b:0traffic.
total=s:0p:0b:0activity.
fdb=c:0q:0Model=900,Mode=0Group=0Debug=0nvcluster=1,ses_pickup=0,delay=0[Debug_ZoneHAinformation]HAgroupmemberinformation:is_manage_master=1.
FG900D3915800574:Master,serialno_prio=1,usr_priority=200,hostname=FG900D3915800615:Slave,serialno_prio=0,usr_priority=100,hostname=[KernelHAinformation]vcluster1,state=work,master_ip=169.
254.
0.
2,master_id=0:FG900D3915800574:Master,ha_prio/o_ha_prio=0/0FG900D3915800615:Slave,ha_prio/o_ha_prio=1/1③在主设备上配置会话交接及同步接口,备设备会自动同步.
configsystemhasetsession-sync-dev"port16"//可以使用单独的会话同步接口,也可以使用HA接口setsession-pickupenable//开启会话同步setsession-pickup-connectionlessenable//允许UDP,ICMP无状态协议会话同步setsession-pickup-expectationenable//允许异步流量会话同步end④在主设备上新建透明模式的vdomtp,将业务端口划分到vdomtp并配置相关的防火墙策略,备设备会自动同步.
⑤配置会话同步configsyshasetsession-sync-dev"port16"//可以使用单独的会话同步接口,也可以使用HA接口end文档模板5.
状态检查使用diagnosesyshachecksumshow比较配置同步详情,如果校验和一致表示配置完全同步.
FG900D3915800574#diagnosesyshachecksumshowis_manage_master()=1,is_root_master()=1debugzoneglobal:e1a001e9e020464b8e3fe5ceb1abca27root:091e9f828c940f449b2c36fbb1b9efd3all:ffd0d2bf8345ba7916dbc3c02a964822checksumglobal:e1a001e9e020464b8e3fe5ceb1abca27root:091e9f828c940f449b2c36fbb1b9efd3all:ffd0d2bf8345ba7916dbc3c02a964822FG900D3915800615#diagnosesyshachecksumshowis_manage_master()=0,is_root_master()=1debugzoneglobal:e1a001e9e020464b8e3fe5ceb1abca27root:091e9f828c940f449b2c36fbb1b9efd3all:ffd0d2bf8345ba7916dbc3c02a964822checksumglobal:e1a001e9e020464b8e3fe5ceb1abca27root:091e9f828c940f449b2c36fbb1b9efd3all:ffd0d2bf8345ba7916dbc3c02a964822使用diagnosesyssessionsync查看同步状态sync_started=1表示能够进行会话同步,如果为0表示不能够进行会话同步.
sync_tcp=1,sync_others=1,sync_expectation=1,andsync_nat=1表示FGSP已经能够同步TCP,connectionless,asymmetric,andNAT会话.
sync:create=135:0,recv:create=2662:0表示FortiGate同步135条会话给对端,同时收到对端通过过来的会话2662条.
FG900D3915800615#diagnosesyssessionsyncsync_ctx:sync_started=1,sync_tcp=1,sync_others=1,sync_expectation=1,sync_redir=0,sync_nat=1,stdalone_sesync=1.
文档模板sync:create=135:0,update=2991,delete=0:0,query=578recv:create=2662:0,update=3315,delete=0:0,query=536sespkts:send=10079,alloc_fail=0,recv=12802,recv_err=0sz_err=0udppkts:send=0,recv=0nCfg_sess_sync_num=5,mtu=1500sync_filter:1:vd=-1,szone=0,dzone=0,saddr=0.
0.
0.
0:0.
0.
0.
0,daddr=0.
0.
0.
0:0.
0.
0.
0,sport=0-65535,dport=0:65535使用diagnosesyssessionlist查看会话信息,如果会话中带有synced表示是这台FortiGate创建了这条会话并同步给对端.
FG900D3915800574#diagnosesyssessionlistsessioninfo:proto=6proto_state=01duration=19expire=3580timeout=3600flags=00000000sockflag=00000000sockport=0av_idx=0use=3origin-shaper=reply-shaper=per_ip_shaper=ha_id=0policy_dir=0tunnel=/vlan_cos=0/255state=may_dirtyndrnpusyncedstatistic(bytes/packets/allow_err):org=92/2/1reply=0/0/0tuples=2txspeed(Bps/kbps):0/0rxspeed(Bps/kbps):0/0orgin->sink:orgpre->post,replypre->postdev=37->36/36->37gwy=200.
0.
3.
1/0.
0.
0.
0hook=predir=orgact=noop172.
16.
50.
3:61319->192.
168.
90.
98:23(0.
0.
0.
0:0)hook=postdir=replyact=noop192.
168.
90.
98:23->172.
16.
50.
3:61319(0.
0.
0.
0:0)pos/(before,after)0/(0,0),0/(0,0)misc=0policy_id=1auth_info=0chk_client_info=0vd=0serial=000eeb2dtos=ff/ffapp_list=0app=0url_cat=0dd_type=0dd_mode=0npu_state=0x003494ips_offloadnpuinfo:flag=0x81/0x00,offload=8/0,ips_offload=1/0,epid=8/0,ipid=160/0,vlan=0x0000/0x0000vlifid=160/0,vtag_in=0x0000/0x0000in_npu=2/0,out_npu=2/0,fwd_en=0/0,qid=3/0no_ofld_reason:totalsession1文档模板6.
注意事项①形成FGSP的设备需要相同的型号和版本.
②在FGSP模式下,FortiGate是独立的设备,异步流量发送日志的时候,同一条会话,两台设备都会发送日志;同步流量发送日志的时候,只有主设备发送日志.
- 同步comodo防火墙设置相关文档
- 《计算机网络技术》实验指导
- 支持comodo防火墙设置
- WOWItemMaker使用说明
- 配置comodo防火墙设置
- 防火墙comodo防火墙设置
- 点击comodo防火墙设置
Sharktech:美国/荷兰独立服务器,10Gbps端口/不限流量/免费DDoS防护60G,319美元/月起
sharktech怎么样?sharktech (鲨鱼机房)是一家成立于 2003 年的知名美国老牌主机商,又称鲨鱼机房或者SK 机房,一直主打高防系列产品,提供独立服务器租用业务和 VPS 主机,自营机房在美国洛杉矶、丹佛、芝加哥和荷兰阿姆斯特丹,所有产品均提供 DDoS 防护。此文只整理他们家10Gbps专用服务器,此外该系列所有服务器都受到高达 60Gbps(可升级到 100Gbps)的保护。...
RAKsmart裸机云/云服务器/VPS全场7折,独立服务器限量秒杀$30/月起
适逢中国农历新年,RAKsmart也发布了2月促销活动,裸机云、云服务器、VPS主机全场7折优惠,新用户注册送10美元,独立服务器每天限量秒杀最低30.62美元/月起,美国洛杉矶/圣何塞、日本、香港站群服务器大量补货,1-10Gbps大带宽、高IO等特色服务器抄底价格,机器可选大陆优化、国际BGP、精品网及CN2等线路,感兴趣的朋友可以持续关注下。裸机云新品7折,秒杀产品5台/天优惠码:Bare-...
香港云服务器 1核 1G 29元/月 快云科技
快云科技: 12.12特惠推出全场VPS 7折购 续费同价 年付仅不到五折公司介绍:快云科技是成立于2020年的新进主机商,持有IDC/ICP等证件资质齐全主营产品有:香港弹性云服务器,美国vps和日本vps,香港物理机,国内高防物理机以及美国日本高防物理机产品特色:全配置均20M带宽,架构采用KVM虚拟化技术,全盘SSD硬盘,RAID10阵列, 国内回程三网CN2 GIA,平均延迟50ms以下。...
-
php虚拟主机免费的国内的php虚拟主机有吗免费vps服务器免费服务器有哪些免备案虚拟空间香港免备案虚拟主机空间怎么样php虚拟空间我已经有一套网站php代码和模板,并且有自己的虚拟空间和域名,怎么才能把我的代码加入到网站上.网站空间购买国内网站空间购买哪里的比较实惠啊?网站空间免备案想买一个网站空间,大家给推荐个稳定的,速度的,免备案的?万网虚拟主机万网,云服务器和与虚拟主机有什么区别?我是完全不知到的那种,谢谢。用前者还是后者合适。怎么做网页。虚拟主机软件常见的虚拟机软件有哪几种?天津虚拟主机天津哪个是新网互联代理呢,我打算购买邮局?东莞虚拟主机东莞vps主机哪家的好?