FortiOS版本是6.2.15
假設單位中有數個實體IP可用,但實際設備多於實體IP。所以我的預想應該是將防火牆設為NAT模式,所有設備都用DHCP發配區域網路的虛擬IP。
需要提供服務的伺服器設定DNAT(在FortiOS中設定VIP),一對一對應到實體IP。而單純上網用的主機則設定SNAT,多對一對應到實體IP即可。這樣的思路對嗎?
另問一個問題是,防火牆在通透模式下是否就無法將一個實體Port獨立出來做NAT?或者說,有沒有辦法針對個別實體Port設定為通透或NAT模式?
已邀請的邦友 {{ invite_list.length }}/5
需要提供服務的伺服器設定DNAT(在FortiOS中設定VIP),一對一對應到實體IP。
也一支持一對多 [PORT FORWARD, 不一定要MIP
而單純上網用的主機則設定SNAT,多對一對應到實體IP即可。這樣的思路對嗎?
正常手法, 所有品牌都要用PAT這種做法, 不然只有一個WAN全公司要怎上網
另問一個問題是,防火牆在通透模式下是否就無法將一個實體Port獨立出來做NAT?
通透模式是全LAYER 2, 沒有NAT
或者說,有沒有辦法針對個別實體Port設定為通透或NAT模式?
VDOM
基本上你說的DNAT與SNAT都對
不過SNAT在Fortigate也可以多對多
請查看如何設定IP Pool
另外,現在已經很少人切VDOM來做透通模式了
因為在路由模式下可以開啟Virtual Wire Pair功能(透通)
我查一下OS6.2.15就有支援了
其他由於不知道你確切的期待功能
你可以查詢相關資料後來討論
Virtual Wire Pair 是 一對一 LAYER 2
透通模式 TRANSPARENT MODE - 一對多 LAYER 2 , 有點像SWITCH
Virtual Wire過去經驗不一定萬能, 反而TRANSPARENT MODE比較實用
我都尊重bluegrass大大的意見
只是Transparent Mode真的很難用
不但切換vdom麻煩,指令又多層次
而且Vdom Link也不好用
但這都是每個人的感受不同吧
不過Virtual Wire Pair並不限一對一
我將他夾在FW與L3 switch之間一樣可行
注意一下路由不要loop就好
感謝建議,多對多的部分我也有看到相關的教學。會想部分做通透是因為單位這邊有發生過IP被搶走的狀況,所以只是直覺想透過通透開虛擬機來保留IP。
如果是多對多的狀況,感覺是視連線的SESSION來對應對外IP,那麼這種方式能達到占用IP的效果嗎?
iThome鐵人賽
看影片追技術