FortiGate 虚拟域 版本 1.0 时间 2012 年 1 月 作者 胡丹丹 (ddhu@fortinet.com) 支持的版本 FortiOS v3.x,v4.x 状态 草稿
目录 1. 目的... 4 2. 环境介绍... 4 3. 启用虚拟域... 4 3.1 启用虚拟域... 4 3.2 虚拟域列表... 6 3.3 虚拟域资源的分配... 6 4. vdom 间路由... 7 4.1 vdom-link 的优势... 8 4.2 创建 vdom-link... 8 5. vdom 类型... 10 5.1 单机 vdom 配置... 10 5.2 独立 vdom... 10 5.3 管理 vdom... 11 5.4 Mesh vdom( 全网状 )... 11 6. 域间路由... 12 6.1 创建 vdom... 13 6.2 关联 vdom 接口... 13 6.3 创建 vdom-link 接口... 13 6.4 vdom1 虚拟域配置... 14 6.5 root 虚拟域配置... 14 6.6 数据流向验证... 15
6.7 其他应用... 15 7. 虚拟域与虚拟集群... 16 8. 参考... 16
1. 目的 虚拟域 (VDOM) 是将一台物理的 FortiGate 划分为俩个或俩个以上的可以独立运行的虚拟防火墙的技术, 虚拟域技术可以为每一个虚拟域提供独立的安全策略或者不同的 NAT/ 透明运行模式, 路由及 VPN 配置 本文就 FortiGate 的虚拟域的相关特性及应用进行说明 2. 环境介绍 除 FortiGate-30B 及 FortiWiFI-30B 以外的所有 FortiGate 型号均支持虚拟域功能, 默认情况下, 每个 FortiGate 支持最大 10 个虚拟域, 如需要更多, 可以通过购买 license 来扩展虚拟域的数量 本文使用 1 台 FortiGate-VM 进行说明, 本文使用的系统版本为 FortiOS v4.0mr2 Patch8 3. 启用虚拟域 3.1 启用虚拟域 虚拟域可以在系统状态的系统信息中启用
命令行下的激活虚拟域 config system global set vdom-admin enable end vdom 在未开启及开启后各个界面如下 : 启用虚拟域后, 命令行下配置需要使用相应权限的账号进入全局配置模式或者 vdom 进行配置进入系统设定 config global 进入 vdom 设定 config vdom
edit <vdom_name> 3.2 虚拟域列表 查看虚拟域列表, 虚拟域列表中可以添加修改或删除指定虚拟域 3.3 虚拟域资源的分配 全局资源代表了该 FortiGate 的硬件能力及所有可以支配的资源, 该数值随 硬件型号的不同 对指定 vdom 的资源分配进行编辑 资源的最大资源及保证资源表示可以支配的最大及最小资源, 如 FortiGate 默认有 10 个 vdom,vdom2 有 2000 最大会话资源及 1000 的保证资源,FortiGate 全局资源有 20,000 会话, 那么 vdom2 可能将无法分配到 2000 会话值的上限, 但是在任何时候, 他将得到最少 1000 会话资源 如果其他 9 个 vdom 使用的会
话数资源总数小于 19,000, 那么 vdom2 可以资源分配可以达到 2000 最大资源 4. vdom 间路由 早期的 vdom 是各自独立的, 如果需要从一个 vdom 与另一个 vdom 通讯, 则需要通过物理线路从一个 vdom 的物理接口与另一个 vdom 物理接口相连 vdom-link 是提供 vdom 之间的路由而无需物理接口介入,vdom-link 以虚拟接口的方式提供多 vdom 之间的互联
4.1 vdom-link 的优势 释放物理接口, 在 vdom 间路由不再需要物理接口的介入 ; 比物理接口拥有更高的速率 ; 完美支持防火墙策略 ; 配置灵活 4.2 创建 vdom-link 在全局模式界面下的网络中, 选择新建虚拟域连接 联 之后会生成俩个子接口, 此接口可以出现在同一 vdom 下或者不同 vdom 关
Vdom-link 接口可以使用 3 种方式用于互联 Unnumbered: Vdom-link 两端均无需 IP 地址配置 ; Half unnumbered: 一端使用 IP 地址, 另一端无需 IP 地址 ; Full unnumbered: Vdom-link 两端均使用 IP 地址 如果需要使用 SNAT 或者 DNAT, 那么需要使用 Half unnumbered 或 Full unnumbered 方式 在使用 unnumbered 方式 vdom-link 设置静态路由, 仅需通过 vdom-link 的接口名称及 0.0.0.0 作为网关, 设置完成后 traceroute 不会显示该接口的 hop, 但是可以在 vdom-link 上抓取数据包进行排错
5. vdom 类型 5.1 单机 vdom 配置 单机 vdom 及 FortiGate 中仅有一个 vdom,root vdom 是所有 FortiGate 的 默认 vdom 5.2 独立 vdom 独立的 vdom 各自完全分离,vdom 间彼此没有通讯, 各个 vdom 的管理可 以管理自己的 vdom, 可以用于多个公司或者多个部门共享单独一台物理 FortiGate, 通过 vdom 实现各自安全策略及 internet 需求
5.3 管理 vdom 在管理 vdom 配置中,root vdom 作为管理虚拟域, 其他 vdom 通过 vdom-link 连接到管理 vdom 该配置中, 仅管理域与 Internet 互联, 其他 vdom 的外部流量通过 vdom-link 路由至管理域及使用防火墙策略用于控制, 以保证管理域对其他 vdom 完全的控 制, 包括访问流量的服务类型 5.4 Mesh vdom( 全网状 )
网状 vdom 包含部分网状 vdom 连接, 及全网状 vdom 连接, 网状的 vdom 互联配置比较复杂, 进行操作之前必须有良好有序的规划 6. 域间路由 以网状 vdom 为例,vlan100 与 vlan200 分别属于 vdom1 及 vdom2 的 vlan 接口 int1 及 int2, 各自有不同的安全策略, 通过 root vdom 访问 Internet vdom1 与 vdom2 通过 vdom-link 进行数据交互 以 vdom1 通过 root 访问 internet 简单举例
6.1 创建 vdom 全局模式下创建 vdom1 及 vdom2 6.2 关联 vdom 接口 将 2 个 VLAN 接口与各自的 Vdom 关联, 也可以使用物理接口, 本例中使 用 vlan 接口 6.3 创建 vdom-link 接口 系统管理 - 网络 - 新建 vdom-link, 将 vdom 的两个子接口划入不同的 vdom
6.4 vdom1 虚拟域配置 建立策略 int1 至 vdom1-root 接口 新建路由, 设备选择 vdom-link 接口, 网关默认 6.5 root 虚拟域配置 新建 root 域的出网路由及去往 vdom1 的回程路由
新建策略允许 vdom1 去往 Internet 接口, 并在 root 域进行 nat 6.6 数据流向验证 Vlan100 中的 pc 将先流经 vdom1 虚拟域, 进入 root 虚拟域后在流出 Internet 6.7 其他应用 其他各个不同 vdom 间也可以通过以上方式进行交换, 除此之外各式 vpn 的实现也可通过 root vdom 对内部 vdom 的访问, 不同 vdom 之间的互联也可以通过 vdom-link 接口进行交互, 包括物理 FortiGate 的所有其他功能, 如 vpn, utm 等等均可在 vdom 上实现 除此之外,FortiGate 也支持路由模式及透明模式的混合 vdom 部署, 以满足各个不同场景的需求
7. 虚拟域与虚拟集群 虚拟集群, 系统有多个虚拟域时可以启用虚拟集群, 虚拟集群只能工作在 A-P 模式, 可以给不同的虚拟集群中的成员定义不同的主从设备 8. 参考 Technical Note : Inter-VDOM link details Virtual Domains