關於Fortigate 110C 2條線路備援設定

匿名 2011-08-13 11:46:32 ‧ 11321 瀏覽

各位大大好
我公司有台 FG110C，有2個WAN，一個是固定IP，一個是PPPOE，請問這樣我要如何設定2 wan load balance？我的伺服器都是跑固定IP，這樣我還需要設定策略路由嗎

感恩

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

Ray

iT邦大神 1 級 ‧ 2011-08-14 01:00:42

最佳解答

您要的是 Outbound L.B 還是 Inbound L.B.?

FG-100C 只能做到 Outbound L.B. 或是 Inbound Multi-home, 只適合給內網 User NAT 出去的時候使用(Outbound L.B.), 或是給內部多台 Server 分散一條線路上的負載用(Inbound Multi-home).

但是他沒有辦法做到: 讓內部的一台 Server 的負載, 分散到多條線路上(Inbound L.B.)

若需要 Inbound L.B. 只有兩種方法:

以上不論哪一種, 硬體成本通常都需要超過 $20 萬以上; 若不想花錢的話, 可找 OpenSource 的軟體方案自建, 不過您得自己花時間去研究軟體的安裝和設定方法.

匿名檢舉

大大您好...
我想要做內網 User NAT 出去的時候使用(Outbound L.B.)，當一條線路斷線時，會自動切換。因為目前設定後發現，當PPPOE接通後，外面網路就無法開啟我的網頁，當移除PPPOE後又恢復正常！請問大大我大約是哪裡設定有誤。我的FG-110C的韌體是4.0的

感謝大大回應~

Ray iT邦大神 1 級 ‧ 2011-08-15 14:57:49 檢舉

因為你的 Web Server 也屬於內網用戶, 所以當你的 PPPoE 起來之後, 它就有可能會從這條路出去. 問題是, 由於 Web 註冊在外的 FQDN 只有第一條線路, 外面的人只能從 WAN1 進來, 她們不會自己轉成 PPPoE 的 WAN2.

所以這會造成兩種狀況:

WAN1 斷, PPPoE 通:
這種狀況, 外面的人完全無法連進來, 只有內部的人可以連出去.
WAN1 通, PPPoE 通:
內外都可以通, 但此時 Web Server 丟回去給外面的封包, 有時會走 WAN1, 有時會走 PPPoE(由防火牆隨機決定), 若走 WAN1 則無任何問題; 萬一是走 PPPoE 的話, 來回的路徑不同, 會形成 Asymmetric Routing, 此時就不一定保證外面的人可以通, 因為有些高階的防火牆會阻擋 Asymmetric Routing, 要看對方的環境而定.

解決方法:

設定 Policy Route, 強迫 Web Server 只能走 WAN1, 解決 Asymmetric Routing 的問題. 但這樣一來, 即使有 PPPoE, 外面的人也無法連上 Web.
加裝 Inbound Load Balancer(如先前的答覆), 這樣可以保證走 PPPoE 也通.