林志祥的網誌分享

我的架構圖如上，就是簡單兩個LAN和兩個WAN做負載平衡。 第一種方法：平常用Seednet線路，Seednet線路不通的時候走Hinet線路。 (PS：以下LAB我內對外政策都全開，做PAT上網。) 先設定路由， 0.0.0.0/0.0.0.0  192.168.5.254 AD值為10 0.0.0.0/0.0.0.0  192.168.4.254 AD值為11 由於到Seednet線路的AD值比Hinet線路好，所以路由表會選擇 192.168.5.254。 這時候我們再去新增線路品質偵測，讓他去ping hinet dns，如果失敗的話就判斷線路不通，移除路由表。 為什麼我們要用線路偵測還不是用介面up和down來判斷呢？因為通常你的防火牆都是接在小烏龜上，所以就算介面是up，還是無法上網，因為ISP遠端機房有問題，通常都是用線路偵測來判斷，如果無法到達168.95.1.1，我們就認為無法上網，要趕緊切換線路。 確實從Seednet 118開頭切到 36開頭Hinet線路，並且掉了6個封包才切換。 查看LOG有看到兩行， Link Monitor changes state from ok to failed, protocol: ping Static route is removed. Route: (192.168.5.253->168.95.1.1 ping-down) 路由表目前出現的 0.0.0.0/0.0.0.0  192.168.4.254 AD值為11 這條，所以員工都會這邊走。 等到Seednet線路OK之後又會切回來，因為過程差不多，這裡我就不示範了。 這種方式比較屬於備用線路，台灣老闆比較不喜歡，怎麼可以買一條線路都不去用他，所以我沒有客戶這樣設定過。 第二種方法：全體員工(172.16.100.0/24)用Hinet線路，只有大頭(172.16.200.0/24)走Seednet線路。 首先先設定一條預設路由往192.168.4.254 Hinet Gateway丟。 然後設定一條政策路由，172.16.200.0/24(大頭)都往192.168.5.254 Seednet Gateway丟...

打開VMware Workstation，File -> Open 選擇 FortiGate-VM64.ovf 匯入虛擬機，ovf是虛擬機封裝的檔案格式，簡單來說就是你可以建立一台虛擬機，關機後匯出ovf，然後再去其他虛擬環境把這台虛擬機匯入。 FortiGate-VM64.ovf: OVF template based on Intel e1000 NIC driver FortiGate-VM64.hw04.ovf: OVF template file for older (v3.5) VMware ESX server FortiGate-VMxx.hw07_vmxnet2.ovf: OVF template file for VMware vmxnet2 driver FortiGate-VMxx.hw07_vmxnet3.ovf: OVF template file for VMware vmxnet3 driver 四個檔案版本差異如上。 開機會會停在 login 的畫面。 我們編輯一下虛擬機會發現他的網卡有三種常用方式： 1.Bridged：模擬跟實體網卡接同一個交換器上。 2.NAT：發一段DHCP，然後利用你的實體網卡IP NAT出去。 3.Host-only：獨立建立一段私人的網段，發一段DHCP給你的虛擬機器互連，你也可以關掉      DHCP。 所以看起來預設都是跟實體網卡Bridged。 更細部的設定要到 Edit 裡的 Virtual Network Editor來看， 比方說我的兩張實體網卡，所以我會產生 VMnet0和 VMnet2。 如果我想要指定Bridged Realtek這張網卡，我會選擇Custom VMnet2。 因為我的電腦是192.168.4.0/24網段，所以我要設定一個IP為192.168.4.222/24，以下為範例： 預設帳號密碼是 admin 沒密碼。 FortiGate-VM64  login:  admin Password: Welcome ！ login as: admin FortiGate-VM64 # config system interface ...

這是Fortigate小台型號60D，他沒有一般的USB console port，所以我們要用mini USB搭配官方軟體FortiExplorer，軟體模擬console登入。 FortiExplorer可以到官方下載， http://www.fortinet.com.tw/resource_center/product_downloads.html  。 USB和軟體都安裝好插入之後他會自動開啟。 進入Command-line Interface，主要是看出廠預設的設定檔。  edit "lan"         set vdom "root"         set ip 192.168.1.99 255.255.255.0         set allowaccess ping https ssh http fgfm capwap         set type switch         set listen-forticlient-connection enable         set snmp-index 10     next 這說明了我們可以插在lan port然後透過192.168.1.99 web介面去管理。 設定192.168.1.0/24同網段，插在lan port上然後連https://192.168.1.99，預設帳號密碼是 admin 沒密碼。 先到Netwok Interface裡面編輯Wan1，就是跟我們小烏龜接的地方，這次範例是用PPPOE撥號連線。 輸入好Hinet提供的連線方式，按下OK，這裡要特別注意一個選項 Retrieve default gateway from server ，一定要打勾，他才會把PPPOE拿到的Default Gateway寫入路由表，不然會沒有Default Gateway可以到ISP。 確實拿到一個浮動IP 111.243.63.46...