文稿說明講稿

?

Copyright

Fortinet

Inc.s.FortiGate

II虛擬域FortiGate

5.2.1Virtual

Local

Area

Networks

(VLANs)邏輯上把FortiGate的物理接口進行2層的網絡劃分?每一個單元都構成一個獨立的廣播域?VLAN

入到數據幀中，作為識別這種邏輯劃分的依據VLANsPhysicalinterfaces2比以太幀多4-byteLayer-2設備可以添加和刪除tagLayer-3設備可以在路由前修改tagFortiGate是一個Layer

3設備–所以，可以進行inter-VLAN的路由VLAN

Tags

in

FramesDestinationMACSourceMACType8100TagControlInfoTypeD RC

322

bytes 2bytesUser

Priority

FieldCanonical

Format

IndicatorVLAN

Identifier3如何使用VLANDestinationMACSourceMACType8100TagControlInfoTypeD RC32VLAN

AVLAN

BVLAN

AVLAN

B4VLANTag的relay作用VLAN

100Branch

officeVLAN

200HeadquartersVLAN

300Tag:

VLAN

100Tag:

VLA

100Tag:

VLAN

300Tag:

VLAN

300Switch

A5Switch

BVLAN整合了不同地點的LANHeadquartersBranchofficeRetail

officeAccountingcomputerAccountingcomputerAccountingcomputer會計部的電腦在另一棟樓,但需經常共享文件，又不希望在鄰居中廣播FortiGates可將他們作為同一個物理局域網來處理這些VLAN電腦的數據幀Officemanager’scomputerVP’scomputerOffice

manager’scomputerShipinventorycomputerShip

inventorycomputerPoint

of

Salecomputer6創(chuàng)建VLANs由物理接口發(fā)送和接收的報文不會被打上tag?這些報文屬于“native”VLAN7Virtuals

(VDOMs)ABCsOne

security

Multiple

security把一臺物理的FortiGate劃分成多個虛擬的設備擁有獨立的安全策略，路由表等等除非進行特殊的路由設置，否則數據包在一個VDOM中轉發(fā)默認每個FortiGate

支持10個VDOM有些型號支持

license來擴充VDOM數量89系統資源分配Global

資源限制定義了一臺FortiGate設備能給每個功能分配多少資源VDOM

資源限制定義了每個VDOMs所能分配的資源保障每個VDOM的最小性能VDOM不能搶占其他

VDOM的資源全局和單獨VDOM資源限制VDOM

3Global

Resource

LimitsPer-VDOM

Resource

Limits10全局設置影響所有虛擬域的配置:?

Hostname?

DNS

settings?

Systemtime?

Firmware

versionsAcme

Co.ABC

Inc.XYZ

.11Per-VDOM設置每個VDOM單獨配置:?

Operating

mode?

Routes

and

network

interfaces?

Firewall

policies?

Security

profilesAcme

Co.ABC

Inc.XYZ

.12啟用VDOM13GUI

dashboard:CLI:config

system

globalset

vdom-admin

enableend創(chuàng)建VDOM啟用VDOMs后,默認只有“root”VDOM?可以自行創(chuàng)建其他VDOM創(chuàng)建后，接口就可以被分配到不同VDOM中去:14進入一個VDOM15VDOM管理ABC只有“admin”

或配置了“super_admin”profile的管理員可以對所有VDOM進行配置更改和備份“super_admin”

access

profile16Per-VDOM

管理其他管理員只能

被分配所在的VDOM?不能修改全局設置global

settings?只能修改所在的VDOM的設置ABC17創(chuàng)建VDOM管理員18Inter-VDOM

Links可連接不同的VDOMs支持不同的VDOMs’工作模式?

NAT

to

NAT?

NAT

to

Transparent/Transparent

to

NAT?

Transparent-TransparentABC19Inter-VDOM

LinksInter-VDOM

links允許VDOMs相互通訊?流量無需離開物理接口再回到FortiGate的另一個物理接口?減少物理接口和連線需要通過其他VDOM的

策略來允許流量同樣需要路由來轉發(fā)從一個VDOM到另一個的流量20創(chuàng)建Inter-VDOM

Links21VDOMVDOM監(jiān)視器可以顯示?CPU利用率?Memory利用率?會話數量?新建會話數量22管理VDOM所有管理相關的流量都從管理VDOM發(fā)出所以，管理VDOM需要?

DNS?

NTP?FortiGuard更新和查詢所有系統需要的管理服務?Forti

yzer的log或syslog?告警?默認情況下，管理VDOM

就是root23舉例：獨立的VDOMVDOM

1VDOM

2VDOM

3Network

124Network

2Network

3Internet25舉例：獨立的VDOM多個VDOMs完全獨立工作VDOMs之間沒有流量相互通訊每個VDOM都有連接Internet的物理接口舉例：通過管理VDOM進行路由Network

1Network

2Network

3Management

VDOMInternetVDOM

1VDOM

2VDOM

32627舉例：通過管理VDOM進行路由發(fā)送到Internet的流量都會通過root

VDOM?root

VDOM通過

inter-VDOM

links和其他VDOMs相連只有root

VDOM有物理接口連接到Internet舉例：全連接的VDOMNetwork

1Network

2Management

VDOMInternetVDOM

1VDOM

22829舉例：全連接的VDOMVDOMs通過inter-VDOM

links和其他VDOM連