飞塔防火墙设备将具有两条默认路由,一条将流量指向wan1,另一条将流量指向wan2。默认到wan2的路由是从备份的ISP的DHCP服务器获得。Ping服务器的作用是校验wan1与wan2接口到互联网的连接。因wan2默认的路由是通过DHCP从ISP获得的,默认的路由必须通过编辑wan2接口更改。
1. 进入 路由>静态 >静态路由,点击“编 辑”wan1默认路由, 点击 高 级选项,设置路径为10。路径值通常已经设置为10,因此你不需要更改。
2.进入系统管理>网络>接口,编辑wan2接口并设置距离为20(或任何高于10的路径值)。
3.确定飞塔防火墙设备正在使用的是哪一条路由,进入路由>当前路由>路由监控表,查看当前的飞塔防火墙设备的路由表。没有激活的路由不在路由监控中显示。在以下举例中,应只显示一条静态路由: wan1默认路由。该路由 的距离应为10。连接的接口的路由也应该显示。
如果编辑wan2接口并将距离值设置到较低的值(例如说5),wan1默认路由将从路由监控中被删除,并以wan2默认路由代替(因为wan2路由具有较低的路由距离值)。通过将路由距离值设置为相同的数值(例如10),那么路由监控将保持有两条路由。当两条路由具有相同的路由值时,也就是“等价路由”(ECMP:equalcost multi path),路由将同时被使用。流量会话将在二者之间相互平衡。
4. 进入 路由>静态>设置,并点击“新建”,添加wan1 ping服务器.
5.点击“新建”,添加wan2 ping服务器。该配置中wan2 Ping服务器是可选项。但是,添加wan2 ping服务器意味着飞塔防火墙设备将在wan2 ping服务器不能到达其目的地时启动记录日志信息。
如果你更改了网络配 置,wan1 ping服务器不能 连接到其ping服务器IP地址,(例如,断了wan1接口的物理连接),默认的路由将更改为wan2接口(也称为默认路由故障):
5.点击“新建”,添加wan2 ping服务器。该配置中wan2 Ping服务器是可选项。但是,添加wan2 ping服务器意味着飞塔防火墙设备将在wan2 ping服务器不能到达其目的地时启动记录日志信息。
结果
如果wan1 ping服务器可以连接到其ping服务器IP地址,路由监控将显示以上所示到wan1接口的默认路由。所有到互联网的流量都会通过wan1接口适用内网到wan1安全策略。你可以进入Policy>策略>策略,查看路由监控,检验路由;并可以点击 “计数”显示路由的详细信息。如果你更改了网络配 置,wan1 ping服务器不能 连接到其ping服务器IP地址,(例如,断了wan1接口的物理连接),默认的路由将更改为wan2接口(也称为默认路由故障):
一条类似如下日志信息将被记录:
2011-08-24 10:16:39 log_id=0100020001 type=event subtype=systempri=critical vd=root interface="wan1" status=down msg="Ping peer:(172.20.120.14->172.20.120.2 ping-down)"
Wan2链接在激活的状态下,测试内网到互联网的连接。如果连接可用,说明双路互联网连接配置是正确的。查看安全策略计数栏目中内网到wan2的策略。计数栏目应该是增加的状态,表明该策略正在接收流量。
当你恢复wan1接口的连接时,ping服务器应该可以检测到网络流量已恢复且路由表应还原为包括wan1默认路由。所有新的会话将使用内部接口到wan1的安全策略。已建立的会话将使用内部接口到wan2安全策略且会持续使用该策略,直到会话超时。但是,所有新的会话将使用内部接口到wan1的安全策略。
故障恢复过程中向外的会话与其回复在重新开始,因一个接口发出的流量,其回应不会从其他接口返回。
故障恢复过程中,在故障恢复之前发生的从wan1接口接收的通过防火墙VIP安全策略的向内的会话在故障恢复之后可能从wan2接口发出。服务器发起的出站会话以及已发出的VIP安全策略会根据将会话发出到互联网的接口信息修改其源 IP地址。如果wan1链接故障,向外的VIP会话将自动转向wan2。这些会话的源地址将根据防火墙VIP中的定义进行修改。
如果你可以从内部网络访问互连网,那么配置是成功的。2011-08-24 10:16:39 log_id=0100020001 type=event subtype=systempri=critical vd=root interface="wan1" status=down msg="Ping peer:(172.20.120.14->172.20.120.2 ping-down)"
Wan2链接在激活的状态下,测试内网到互联网的连接。如果连接可用,说明双路互联网连接配置是正确的。查看安全策略计数栏目中内网到wan2的策略。计数栏目应该是增加的状态,表明该策略正在接收流量。
当你恢复wan1接口的连接时,ping服务器应该可以检测到网络流量已恢复且路由表应还原为包括wan1默认路由。所有新的会话将使用内部接口到wan1的安全策略。已建立的会话将使用内部接口到wan2安全策略且会持续使用该策略,直到会话超时。但是,所有新的会话将使用内部接口到wan1的安全策略。
故障恢复过程中向外的会话与其回复在重新开始,因一个接口发出的流量,其回应不会从其他接口返回。
故障恢复过程中,在故障恢复之前发生的从wan1接口接收的通过防火墙VIP安全策略的向内的会话在故障恢复之后可能从wan2接口发出。服务器发起的出站会话以及已发出的VIP安全策略会根据将会话发出到互联网的接口信息修改其源 IP地址。如果wan1链接故障,向外的VIP会话将自动转向wan2。这些会话的源地址将根据防火墙VIP中的定义进行修改。
本文由:飞塔UTM于(2013-05-20)发表了关于如何在飞塔防火墙中设置首先路由出口的文章 。如转载请注明出处:http://www.cdcy-mail.com
如果您对此感兴趣,可以通过以下联系方式与我们联系:
