| 摘錄自 Shunze 學園 專線連通與否之判斷機制 |
那麼在防火牆上就可以略過“偵測連通與否”的判斷機制。
因為只要任一端網路線拔除,就會造成防火網介面的unplug狀態,而切換到另一條專線。
但實際上在申裝專線時,都是透過ISP業者的機房來串接,
中間經過了幾個機房?又有多少個節點沒人知道。
其中任何一個節點斷線,也不會造成防火牆介面上的unplug狀態。
在這種狀態下,如何確認專線是否連通?
最簡單也最直覺的,就是ping專線另一端的端點。
因此於此架構下,專線介接的port需開放ping的功能,讓專線的另一端能進行偵測;
而防火牆也要設定偵測機制,以確認專線是否連通。
↑Cyberoam的偵測機制
↑FortiGate的偵測機制
___________________________________________________________________________
| 3 WAN的FortiGate能否設定成跟Cyberoam一樣? |
所以無法透過第三個WAN介面提供內對外的網路存取。
但若有3 WAN的FortiGate防火牆,那麼是否可以跟Cyberoam一樣,
二個WAN做專線failover,剩下的一個WAN設定為內對外的需求?
雖然順子沒有3 WAN的FortiGate可供測試,
不過就邏輯來看,要達成這架構絕對沒有問題!
最主要修改的部分,就是“靜態路由”。
WAN1與WAN2的靜態路由要縮小範圍為192.168.128.0/255.255.252.0。
然後再把預設路由0.0.0.0/0.0.0.0指定給WAN3。
這樣要去192.168.128.0/255.255.252.0網段的封包就會透過WAN1/WAN2來繞接;
而要去其它外網的封包,就會透過預設路由WAN3來傳導。
沒有留言:
張貼留言