請問Fortigate的routing base 跟policy base有什麼差別

fortigate fortinet aws 網路架構 site to site vpn

leo03210 2021-08-06 15:23:31 ‧ 2369 瀏覽

分享至

小弟原本是做雲端，最近常常需要幫忙接site to site vpn
雲端上Create VPN設定是滿快的，但常常需要協助客戶去設定Fortigate的設定。

我想請教Fortigate的routing base 跟policy base有什麼差別?

另外如果需要學會設定Gateway是不是要花滿多時間去上網管的課程呢?

謝謝大家

Norman iT邦新手 5 級 ‧ 2021-08-06 15:51:17 檢舉

我也有同樣的問題，幫客戶建過很多次To Azure VPN，基本上都是照文件就能建成功，而防火牆功能還是搞不懂

zyman2008 iT邦大師 6 級 ‧ 2021-08-06 16:54:49 檢舉

做網管得很命苦的, 從 layer 1 到 7 都要會. 還要幫 programmer 看 code, 看他下的網路protocol參數對不對, 和怎麼判讀 error code.

wayneup4 iT邦新手 1 級 ‧ 2021-08-06 17:12:08 檢舉

不確定詳細定義的區別，但是我是虛擬IP建埠號轉發跟做群組歸類，再用政策去控管哪些啟用哪些關閉。

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

zyman2008

iT邦大師 6 級 ‧ 2021-08-06 18:25:09

最佳解答

Policy Base VPN 設定政策時, 選擇的物件是 VPN tunnel.

Route Base VPN tunnel會有一個對應的虛擬介面.所以設定路由或政策時,選擇的物件是介面.
在其他功能要對這條VPN tunnel,都是選介面.設定邏輯和其他網路介面一樣,這樣就相對簡單,不用學兩種邏輯來操作.
例如:處理multicast route 或 dynamic route over IPSec VPN,也都以介面的邏輯來看它. 對學router的人而言,都相對熟悉.

不論用哪家防火牆,要接雲端網路. 我認為用Route based IPSec VPN是首選.
設備端和雲端的路由,ACL設定都會比較簡單.

回應 1
分享
檢舉

leo03210 iT邦新手 4 級 ‧ 2021-08-17 13:20:40 檢舉

感謝zyman2008大大詳細的回覆

登入發表回應

CyberSerge

iT邦好手 1 級 ‧ 2021-08-08 06:48:56

網管的知識，可以幫助你除錯：例如如何在gateway的interface上用tcpdump看到底有沒有正確傳送封包。

至於學會設定Gateway，其實各家廠牌的gateway都不一樣的；我也遇過花了很多時間設定依然不通，最後查官方文件發現某種型號的gateway無法設定route based VPN的情況；還有遇過fortigate 接其他廠牌不通的情況。所以就算學網管的課程，還是要對該廠牌產品熟悉，否則遇到更複雜的情況就難了