一、组网需求
使用ADSL拨号接入互联网,内网为192.168.1.0/24网段,通过策略路由,192.168.1.128/25单独使用一条ADSL2线路上网.
二、网络拓扑
三、配置要点
1、配置接口
wan1口,wan2口: 接ADSL的接口,务必勾选"从服务器重新获得网关",这样ADSL拨号成功后设备会自动生成默认路由,无需手动配置默认路由。
internal口: IP地址设置格式为:192.168.1.99/24,可选择性地开启接口的管理功能。
2、配置地址对象"lan"内容为:192.168.1.0/24, "lan1"内容为: 192.168.1.128/25。
3、配置从internal到wan1口的策略,并开启NAT。
4、配置从internal到wan2口的策略,并开启NAT。
5、配置策略路由,强制 lan1地址段使用wan2口访问互联网。
四、操作步骤
1、配置接口地址
进入: 系统管理--网络--接口--编辑wan1
地址模式:选择PPPOE,
用户名: 填写ADSL的用户名
口令: 填写ADSL的密码。
从服务器获得网关(必须): 勾选,拨号成功后,防火墙会获得默认一条默认路由。
改变内部DNS: 如果公司内没有自己的DNS服务器,则需勾选。
按上述方式,编辑wan2,添加第2条ADSL拨号,用户名为pppoe_user_2
编辑internal,该接口的默认地址为192.168.1.99/24,根据实际情况更改即可。
可选择性地开启接口的管理功能。建议内部开启https ,ssh, ping服务。
拨号成功后,进入菜单--"路由"--"当前路由"--"路由监控表",可查看设备会自动生成2条默认路由。
2、配置地址资源
进入 策略&对象--地址,点击"新建"
名称配置为"lan",地址节点选择子网:"192.168.1.0/24",点击确认。
建立地址对象"lan1",地址节点选择子网:"192.168.1.128/25",点击确认。
3、配置策略
配置从internal到wan1口的策略,并开启NAT。
对于某些低端型号,如,系统会默认配置一条从inernal到wan1的策略
菜单: 策略&对象--IPv4策略, 点击 "新建" 在新建窗口内,按如下的方式,添加一条策略:
流入接口:inernal
源地址:选择刚才定义的地址资源"lan"上网网段
流出接口:wan1
目的地址选择: all,代表所有的地址
时间表:always
服务: ALL
动作:ACCEPT
NAT: 选择 "启用NAT", 系统会自动将内网的lan地址段ip,转换为wan1接口地址,进行互联网访问。
点击"确定"按钮后,系统自动保存配置,启用此策略下最下方选项”启用此策略“策略生效。
4、配置从internal到wan2口的策略,并开启NAT
5、配置策略路由,强制 lan1地址段使用wan2口访问互联网
菜单: 网络--策略路由(默认不启用,需在下图所示启用)
协议端口: 协议类型,0为所有任何协议,可以指定6 tcp,17 udp,132 sctp等
流入接口: 流量进入接口 ,internal
源地址掩码: 数据包的源地址,192.168.1.128/25
目的地址掩码: 数据包的目的地址, 默认全部。
目的端口: 目的端口,默认为所有。从1-65536
动作: 流量采用的动作。
流出接口: 数据包的流出接口,wan2
网关地址: 流出接口的下一条网关地址, 由于是ppp 拨号,不写下一跳地址,防火墙会根据静态路由表中的条目,自动使用pppoe生成的静态路由的下一跳IP。
五、验证效果
将电脑IP地址设置为192.168.1.10/24,网关设置地为192.168.1.99,DNS配置为202.106.196.115,8.8.8.8(一般设置为当地的DNS即可)。电脑可通过wan1以及wan2访问互联网。
更改主机IP为192.168.1.168/24,主机只能通过wan2口访问互联网。
排障时可使用 tracert 命令,或者抓包命令来查看数据包流出接口。
FortiGate#diagnose sniffer packet any 'icmp and host 1.1.1.1' 4 100 1.1.1.1 为测试目标地址。