原廠的這份 交件 有非常詳盡的介紹，我把測試過的部份簡單的介紹一下。

Load balancing

這部份的應用是把對外的流量分散到 2 條 WAN 上，至於走那 1 條電路由 FortiGate 決定，所以內部 NAT 出去的連線可能這次帶 WAN1 IP，下次帶 WAN2 IP，如果有用 ISP 的服務，而該服務會認 IP 的話要特別注意(例如 SMTP)。

設定部份基本上 2 條 WAN port 都要 UP，而且都要有 default gateway，也就是在 FortiGate 上會看到 2 條 default gateway。重點是這 2 個 default gateway 的 distance 要設一樣，FortiGate 會優先使用 distance 值小的路由，設一樣則會動態選擇一條路由出去。另外 firewall NAT policy 如果原本是 internal -> wan1 作 NAT，現在要再加一條 internal -> wan2 作 NAT，二條 policy 都要 enable。

Link Redundancy

這部份的應用是當 WAN1 down 的時候讓流量自動走 WAN2 出去達到電路備援的目的。前面提到 FortiGate 會優先使用 distance 值小的路由，如果 WAN1 是主線路用預設的 distance 10，那 WAN2 備援線路的 distance 就設定大於 10 例如 20。平時看不到這條路由，當 WAN1 down 時這條備援路由就會出現。firwall policy 跟 load balancing 一樣要設2條，而且都要 enable 這樣 WAN1 down 的時候才可以自動切換。

Policy route

如果內部網路有分 DMZ、internal 網段，希望每個網段走各自的 WAN port 出去互不干擾，這時候就必須訂定 policy route。每個網段基本上要有2條 policy route，以 internal 為例:

1. incoming interface internal，source 192.168.1.0/24 (internal subnet)，destination 192.168.2.0/24 (dmz subnet)，outgoing interface dmz
2. incoming interface internal，source 192.168.1.0/24 (internal subnet)，destination 0.0.0.0/0.0.0.0 (dmz subnet)，outgoing interface wan1

WAN1、WAN2 default gateway 的 distance 設成一樣，firewall policy 設定 DMZ 走 WAN1 NAT 出去，internal 走 WAN2 NAT 出去，這樣內部網段可以互通，2個網段有各自的頻寬也互不干擾。

(2 votes, average: 4.00 out of 5)
Loading...