一、VDOM功能介绍
虚拟域(VDOM),可以理解为虚拟防火墙,是一种将一个FGT60C设备分为两个或两个以上虚拟设备的技术,它能起到多个独立设备的作用。VDOM可提供单独防火墙策略,在NAT/路由模式下,它可完全分开配置,从而为各连通网络或组织提供路由或VPN服务,同时VDOM之间也可以互访。设备的系统资源可以手动分配给不同的VDOM。一般常用于需要完成独立分割的多个网络,比如云环境;由于NGFW只能切换成nat和透明的其中一种模式,所以在既有透明又有nat路由的混合环境下必须使用VDOM模式来实施"
二、VDOM配置要点
1、开启VDOM功能
2、添加VDOM
3、为VDOM添加接口
4、为VDOM分配资源(可选)
5、为VDOM分配管理员账号(可选)
三、VDOM配置步骤
1、开启VDOM功能
默认WEB页面无VDOM的功能页面,需要在命令行下开启
FGT60C3G10000413 # config system global
FGT60C3G10000413 (global) # set vdom-admin enable
FGT60C3G10000413 (global) # end
You will be logged out for the operation to take effect
Do you want to continue? (y/n) y
exit
FGT60C3G10000413 login: admin
重新登录Web页面后可看到VDOM的配置界面,可见如下:
2、添加VDOM
添加VDOM的操作都是在【全局设置】下完成的,当启用VDOM后,系统重新登录后,默认进入【全局设置】
进入 全局设置--VDOM,可以看到root域,root域为系统默认自带的域,点击 "新建",在弹出的对话框中输入虚拟域的名字VDOM,点击确认。
说明:如果选择操作模式为透明模式,配置管理ip地址及缺省网关
3、为VDOM添加接口
对于新建立的虚拟域,需要为其添加接口资源,即将相应的接口划入虚拟域中,接口可包括物理接口和虚拟接口。
进入 网络--接口,对接口进行编辑,如下是将lan4和wan划入VDOM1。
4、为VDOM分配资源
为VDOM分配资源为可选项 ,不是必须要设置的,即为每个VDOM划分系统资源,比如会话数,vpn通道数等。
进入 系统管理--VDOM,双击要分配资源的的VDOM名字VDOM1,或者点击"编辑"按钮
弹出资源分配页面,如下图, 对VDOM资源进行配置,0 为不做任何限制,在每项的右边配置最大值和保证值。
Override Maximum:VDOM能够使用的设备资源的最大值,如"本地用户"设置为10,则该VDOM下最多只能创建10个用户;
保证的:VDOM能够至少使用的设备资源值,如"本地用户"设置为10,则该VDOM下至少能创建10个用户
5、为VDOM分配管理员账号
进入 全局设置--管理员设置--管理员,点击新建,如下图
说明: 如果管理员不具备某VDOM的管理权限,是无法登录VDOM(属于VDOM接口的IP上登陆)的。而超级管理员admin是具备所有VDOM权限,可以登录任何VDOM
在弹出的新建管理员页面中,填写相关信息,选择虚拟域VDOM1
四、进入VDOM
全局设置下方就是虚拟域的配置,其中包括默认的root以及管理员自己创建的vdom1和vdom2。
五、命令行注意事项
当要在VDOM下配置命令行时,例如配置与某个vdom有关的接口IP,防火墙策略、打开相应UTM日志记录功能时,需通过CLI命令行进入具体VDOM,再进行配置
FGT60C # config vdom
FGT60C(vdom) # edit ?
<vdom> Virtual Domain Name
root
vdom1
vdom2
FGT60C(vdom) # edit vdom1 // vdom1 为具体已设置的vdom名
current vf=vdom1:3
FGT60C3G10000413 (vdom1) # config ips sensor
当要查看系统全局的运行状态、或者是CPU、内存占用率时,或者涉及防火墙系统重启、恢复出厂等全局操作时,需在命令行下进入全局(global),再输入相应命令行:
FGT60C # config global
FGT60C (global) # get system performance status
CPU states: 0% user 0% system 0% nice 100% idle