高级篇(5.6) 04. VDOM 虚拟域

         【简介】当两个公司希望共用一台防火墙，但是只有一条宽带，或者有独立的宽带链路负载设备，那么VDOM子域就需要通过root域上网。这就要用到Meshed VDOMs(网状态虚拟域）技术。

---

  Meshed VDOMs 网络结构

        多个 VDOM 通过 root 访问外网。

  root 配置宽带

        仍接上篇示例。原来 VDOM-A 和 VDOM-B 两家公司各有自己的宽带，但两条宽带流量都很少，本着1+1大于2的原则，两家决定把两条宽带用路由器做负载均衡。这就要修改防火墙的网络结构了。

        ① 在前面Wan1接口因为有一条相关联，不能划给子VDOM，留给了root，正好我们将wan1口接路由器上外网。

        ② 在全局状态下，OS5.6.0在系统信息子窗口下要以看到外网IP，表明防火墙可以上网。

  root 配置 VDOM-Link

        在前面的示例中，VDOM-A 与 VDOM-B 建立了链接，现在需要建立 VDOM-A 、VDOM-B 与 root 的链接。由于配置方法相同，这里只介绍VDOM-A的LAN1接口上网设置。

        ① 在全局状态下，选择菜单【网络】-【接口】，点击【新建】弹出子菜单中选择【虚拟域链接】。

        ② 建立VDOM-A到root的虚拟域链接。VDOM-B到root的虚拟域链接同上。

  root 配置回程路由

        当VDOM-A或VDOM-B通过连接root的虚拟域链接访问互联网时，需要在root配置回程路由，不然就算读到网站内容，却返回不到电脑中，同样上网失败。

        ① 在 root 状态下，选择菜单【网络】-【静态路由】，点击【新建】。

        ② 如果允许VDOM-A的LAN1接口上网的话，就需要建立LAN１网段的回程路由，设备为root虚拟域链接接口，网关默认为0.0.0.0。如有多个网段上网，就建多条回程路由。这里只做一个示例。

  root 配置上网策略

        我们已经配置好wan1口可以上网了。现在需要配置的是虚拟域链路接口可以上网。

        ① 在 root 状态下，选择菜单【策略＆对象】-【IPv4策略】，点击【新建】。

        ② 新建策略里流入接口是VDOM-A虚拟域链接接口，出口是wan1口，表示可以通过VDOMA上网。

  VDOM-A 配置

        root配置完成后，我们现在来配置VDOM-A，需要配置的有路由和策略。

        ① 新建一条静态路由，默认所有的访问都走root虚拟域链接接口。

        ② 新建一条策略，指定VDOM-A的LAN1接口可以通过root虚拟域链接接口上网。

  检验

        一台电脑接VDOM-A的LAN1口，IP地址设为172.20.1.8网段。

        ① 可以看到能够Ping通百度，说明可以上网了，查看路由，从VDOM-A的LAN1，到root的管理口，再到root接口的wan1口下一跳。说明VDOM-A到root再上网了。

        ② 在root 状态下，查看【FortiView】-【源】，可以看到VDOM-A下的LAN1接口，通过 root 上网的。

飞塔技术-老梅子   QQ：57389522

---