文稿说明讲稿

©

Copyright

Fortinet

Inc.s.FortiGate

II虚拟域FortiGate

5.2.1Virtual

Local

Area

Networks

(VLANs)逻辑上把FortiGate的物理接口进行2层的网络划分»每一个单元都构成一个独立的广播域»VLAN

入到数据帧中，作为识别这种逻辑划分的依据VLANsPhysicalinterfaces2比以太帧多4-byteLayer-2设备可以添加和删除tagLayer-3设备可以在路由前修改tagFortiGate是一个Layer

3设备–所以，可以进行inter-VLAN的路由VLAN

Tags

in

FramesDestinationMACSourceMACType8100TagControlInfoTypeD RC

322

bytes 2bytesUser

Priority

FieldCanonical

Format

IndicatorVLAN

Identifier3如何使用VLANDestinationMACSourceMACType8100TagControlInfoTypeD RC32VLAN

AVLAN

BVLAN

AVLAN

B4VLANTag的relay作用VLAN

100Branch

officeVLAN

200HeadquartersVLAN

300Tag:

VLAN

100Tag:

VLA

100Tag:

VLAN

300Tag:

VLAN

300Switch

A5Switch

BVLAN整合了不同地点的LANHeadquartersBranchofficeRetail

officeAccountingcomputerAccountingcomputerAccountingcomputer会计部的电脑在另一栋楼,但需经常共享文件，又不希望在邻居中广播FortiGates可将他们作为同一个物理局域网来处理这些VLAN电脑的数据帧Officemanager’scomputerVP’scomputerOffice

manager’scomputerShipinventorycomputerShip

inventorycomputerPoint

of

Salecomputer6创建VLANs由物理接口发送和接收的报文不会被打上tag»这些报文属于“native”VLAN7Virtuals

(VDOMs)ABCsOne

security

Multiple

security把一台物理的FortiGate划分成多个虚拟的设备拥有独立的安全策略，路由表等等除非进行特殊的路由设置，否则数据包在一个VDOM中转发默认每个FortiGate

支持10个VDOM有些型号支持

license来扩充VDOM数量89系统资源分配Global

资源限制定义了一台FortiGate设备能给每个功能分配多少资源VDOM

资源限制定义了每个VDOMs所能分配的资源保障每个VDOM的最小性能VDOM不能抢占其他

VDOM的资源全局和单独VDOM资源限制VDOM

3Global

Resource

LimitsPer-VDOM

Resource

Limits10全局设置影响所有虚拟域的配置:»

Hostname»

DNS

settings»

Systemtime»

Firmware

versionsAcme

Co.ABC

Inc.XYZ

.11Per-VDOM设置每个VDOM单独配置:»

Operating

mode»

Routes

and

network

interfaces»

Firewall

policies»

Security

profilesAcme

Co.ABC

Inc.XYZ

.12启用VDOM13GUI

dashboard:CLI:config

system

globalset

vdom-admin

enableend创建VDOM启用VDOMs后,默认只有“root”VDOM»可以自行创建其他VDOM创建后，接口就可以被分配到不同VDOM中去:14进入一个VDOM15VDOM管理ABC只有“admin”

或配置了“super_admin”profile的管理员可以对所有VDOM进行配置更改和备份“super_admin”

access

profile16Per-VDOM

管理其他管理员只能

被分配所在的VDOM»不能修改全局设置global

settings»只能修改所在的VDOM的设置ABC17创建VDOM管理员18Inter-VDOM

Links可连接不同的VDOMs支持不同的VDOMs’工作模式»

NAT

to

NAT»

NAT

to

Transparent/Transparent

to

NAT»

Transparent-TransparentABC19Inter-VDOM

LinksInter-VDOM

links允许VDOMs相互通讯»流量无需离开物理接口再回到FortiGate的另一个物理接口»减少物理接口和连线需要通过其他VDOM的

策略来允许流量同样需要路由来转发从一个VDOM到另一个的流量20创建Inter-VDOM

Links21VDOMVDOM监视器可以显示»CPU利用率»Memory利用率»会话数量»新建会话数量22管理VDOM所有管理相关的流量都从管理VDOM发出所以，管理VDOM需要»

DNS»

NTP»FortiGuard更新和查询所有系统需要的管理服务»Forti

yzer的log或syslog»告警»默认情况下，管理VDOM

就是root23举例：独立的VDOMVDOM

1VDOM

2VDOM

3Network

124Network

2Network

3Internet25举例：独立的VDOM多个VDOMs完全独立工作VDOMs之间没有流量相互通讯每个VDOM都有连接Internet的物理接口举例：通过管理VDOM进行路由Network

1Network

2Network

3Management

VDOMInternetVDOM

1VDOM

2VDOM

32627举例：通过管理VDOM进行路由发送到Internet的流量都会通过root

VDOM»root

VDOM通过

inter-VDOM

links和其他VDOMs相连只有root

VDOM有物理接口连接到Internet举例：全连接的VDOMNetwork

1Network

2Management

VDOMInternetVDOM

1VDOM

22829举例：全连接的VDOMVDOMs通过inter-VDOM

links和其他VDOM连