接口篇(5.6) 01. 内网接口的拆分 ❀ 飞塔 (Fortinet) 防火墙

       【简介】桌面式飞塔防火墙的内网接口，默认是硬交换方式，也就是所有内网接口象交换机一样，互联互通，共用一个IP，如果要对每个内网接口独立操作，就需要将内网接口模式更改一下。这里因为要将OS 5.6.0版飞塔防火墙做VDOM用，需要更改接口模式。

---

  更改内网接口模式

        飞塔防火墙 FortiGate 60D，默认1-7口都是硬件交换，所有接口的IP地址都是默认的192.168.1.99。

        ① 登录防火墙后选择菜单【网络】-【接口】，可以看到1-7口是硬件交换，相关联数为2，要修改接口模式，就要尽量去掉相关联。点击相关联数。

        ② 可以看到有两个相关联，一个是策略，一个是DHCP，DHCP是因为内网接口打开了DHCP服务，可以忽略，策略的相关联则需要删除。

        ③ 选择菜单【策略&对象】-【IPv4策略】，可以看到有一条默认的上网策略用到了inernal接口。点击选择这条策略，点击【删除】。

        ④ 再次回到接口菜单，可以看到内网接口的相关联已经是1了，因为是接口本身打开了DHCP服务，所以这个相关联可以忽略，选择内网接口，点击【删除】。因为我们是通过内网接口的IP地址192.168.1.99访问防火墙的，删除内网接口后，就不能再访问防火墙了。

  命令行设置接口 IP

        要想再次访问防火墙，就需要用配置线通过防火墙的控制口用命令的方式访问设置防火墙。具体连接办法和软件使用，参考博客其它文章。

        ① 打开SecureCRT，配置连接防火墙后，可以看到登录信息，输入默认帐户admin，密码为空，然后输入命令 show system interface 显示系统接口状态，可以看到1-7接口都是独立的了。

        ② 我们将 internal1 设置IP地址，这样浏览器可以通过 internal1 接口访问防火墙。命令 config system interface 进入配置接口状态，命令 edit internal1 配置1号接口，命令 set ip 192.168.1.99 255.255.255.0设置1号接口的IP地址，注意子网掩码是24位，不能是32位，不然无法访问。命令set allowaccess https ping 设置接口的访问方式式，允许https和ping。命令end 结束并保存以上设置。

        ③ 再次用浏览器访问接口1的IP地址192.168.1.99，可以登录防火墙了，在接口菜单里也可以看到1-7都是独立接口了。

          【提示】其实如果一开始就把网线接DMZ口，用来访问防火墙，删除硬件交换口的时候就不用退出防火墙，直接看到并设置独立的内网口了。

飞塔技术-老梅子   QQ：57389522

---