如何配置FortiGate双出口
3.3 配置相关防火墙策略
需要同时配置相关的防火墙策略来允许从内网分别到两个不同的出网口,例如,出口是WAN1和WAN2,内网是Internal,那么需要同时配置Internal->WAN1和Internal->WAN2的出网防火墙策略以保证无论是WAN1还是WAN2启用防火墙策略都是合理的。
如果觉得这样配置的防火墙策略数量太多了的话,有另一个变通的方法就是可以新建一个防火墙区域,同时把WAN1和WAN2这两个接口包含起来比如说名字是WAN,那么这样只需要设置从Internal->WAN的防火墙策略就可以了。
4.情况二,双链路没有链路备份功能但具有负载均衡功能
在网络出口连通性可以保证的前提下或者无须线路热备份时或者出口用途不是完全一样的时候,可以配置FortiGate为这种模式工作,这种情况下配置如下两个步骤:
4.1 路由
可以配置一条默认的出网路由。
同时配置相关的策略路由以设置某些符合指定条件的数据流从另一个出口出去。
4.2 防火墙策略
和情况一类似,需要配置相关的防火墙策略以允许相关的数据流可以正常的通过防火墙。
5.情况三,双链路同时具有链路备份和负载均衡功能
就是在两个出口都正常工作的情况下FortiGate可以把从内网出去的数据流按照特定的算法分流到两个不同的出口;当其中的某一个出口失效的时候,FortiGate又可以保证让所有的数据流可以从正常工作的出口出网。这样一来,就同时达到了链路热备份和负载均衡的功能。
具体的配置步骤如下:
5.1 路由
如果是静态路由的话可以把出网路由的管理距离配置成相等的,也就是等价路由。
如果是ADSL、DHCP等动态获取的网关的话可以把“从服务器中重新得到网关”选中同时动态获取的路由的管理距离配置成一样的就可以了。
在默认路由已经配置完成的情况下,如果仍然有某些特定的数据流需要从指定的出口出网的话,可以使用策略路由功能来完成这样的需求。策略路由的优先级高于动态和静态路由,而且是按照从上到下的次序来匹配的,也就是说当策略路由里面有多条交叉定义的路由存在时,哪条路由在最上面哪条路由就将被执行。
另外,有一个非常有用的配置项可以注意一下,当定义策略路由的时候如果只指定了出接口没有指定网关地址(0.0.0.0)的话,当这个接口失效时,FortiGate 仍然可以把匹配这条策略路由的所有数据流路由到其他接口出网,也就是这时候ping server的功能对策略路由也是生效的。
5.2配置PING server以判断线路状态
和情况一类似,最好同时可以配置上ping server以让FortiGate更好的判断线路连通性问题。
5.3 防火墙策略
防火墙策略的配置方法和前面的3.3部分类似,这里就不在累述了。
6.配置VIP时需要注意的事项
6.1 在情况一下的配置时,
以FG60B为例子,默认网关指向WAN1而VIP却是在WAN2上,这时候并不需要在FortiGate上配置额外的静态路由或者策略路由,因为FortiGate会记录访问VIP的源是从哪个接口过来的,FortiGate在回包的时候会自动使用WAN2接口做为出接口回送访问VIP的数据包;
6.2 在情况二下的配置时,
如果你同时在两个不同的出接口上都配置了VIP时,和情况一类似,所有的由客户端发起的到达VIP的连接FortiGate都仍然可以正常处理,也就是进方向的连接是没有任何问题的。当连接是从真实服务器发起的时候,也就是出方向的连接时候,这时候ForitGate无法判断出连接应该从哪个出口出去,所以这时
候最好是定义一条策略路由以告诉FortiGate从真实server出网的访问应该从哪个接口出网。
带宽叠加,双网卡上网
双网卡上网;网络带宽叠加。 前言: 越来越多的用户拥有双网卡,可是默认情况下只能使用一张网卡上internet网,我们应该如何设置才能把多网卡利用起来,达到尽其物用其材!以下方法适合2张及2张以上网卡。当然这里的双网卡可包含任意的两张及两张网卡以上,如100MB以太网+宽带拔号网卡;双100MB以太网卡;100MB以太网卡+54MB无线网卡等任意组合。 实例一:网卡A上internet网,网卡B上内部网络。 两张自适应1000\100\10MB,网卡A+网卡B,网卡A接宽带路由器,网卡B接局域网设备(router\switch)。 网卡A地址:192.168.11.222 mask 255.255.255.0 gateway 192.168.11.1 网卡B地址:192.168.1.111 mask 255.255.255.0 gateway 192.168.1.1 接上网线后,进入系统,打开“开始”-“运行”输入CMD ,此时打开了命令行窗口。 输入以下命令:(注:每行输完按回车键,每次开机都需要手动输入;您也可以写bat文件每次开机自动运行) route add 192.168.1.0 mask 255.255.255.0 192.168.1.1 route delete 0.0.0.0 route add 0.0.0.0 mask 0.0.0.0 192.168.11.1 当然,如果您不想麻烦,您也可以让命令永久生效,在add前面加个“-p” 格式如下。route -p add 192.168.1.0..... 实例二:网卡A+网卡B,网卡A接宽带modem,需要拔号上网,网卡B接局域网设备。网卡A地址:动态拔号。 网卡B地址:192.168.1.111 mask 255.255.255.0 gateway 192.168.1.1 系统默认情况下将是以拔号为主网络,即当你拔号后,你是无法通过网卡B去访问局域网的。所以这里需要 输入一条命令即可实现: route add 192.168.1.0 mask 255.255.255.0 192.168.1.1 以上两实例均实现了既可上带宽又可访问局域网网络。 ------------------------------ 实例三:双网卡共享上网,让其它PC\notebook都能上网。 网卡A:192.168.11.222 无线网卡B:空闲 目的是让朋友的notebook能通过我的电脑上internet网。 1、共享网卡A,将外网卡设置为"允许网络用户通过我的连接上internet网".在你的外网卡的属性--高级那里.打勾.此时你的内网卡将会被重置为192.168.0.1 255.255.255.0 您如果不想这个IP为内网,可以手动改变.这样所有的PC接到你的内网卡的网络上就可以共享你的外网网络。
Fortigate防火墙安全配置规范
Fortigate防火墙安全配置规范
1.概述 1.1. 目的 本规范明确了Fortigate防火墙安全配置方面的基本要求。为了提高Fortigate防火墙的安全性而提出的。 1.2. 范围 本标准适用于 XXXX使用的Fortigate 60防火墙的整体安全配置,针对不同型号详细的配置操作可以和产品用户手册中的相关内容相对应。
2.设备基本设置 2.1. 配置设备名称 制定一个全网统一的名称规范,以便管理。 2.2. 配置设备时钟 建议采用NTP server同步全网设备时钟。如果没有时钟服务器,则手工设置,注意做HA的两台设备的时钟要一致。 2.3. 设置Admin口令 缺省情况下,admin的口令为空,需要设置一个口令。密码长度不少于8个字符,且密码复杂。 2.4. 设置LCD口令 从设备前面板的LCD可以设置各接口IP地址、设备模式等。需要设置口令,只允许管理员修改。密码长度不少于8个字符,且密码复杂。 2.5. 用户管理 用户管理部分实现的是对使用防火墙某些功能的需认证用户(如需用户认证激活的防火墙策略、IPSEC扩展认证等)的管理,注意和防火墙管理员用于区分。用户可以直接在fortigate上添加,或者使用RADIUS、LDAP服务器上的用户数据库实现用户身份认证。 单个用户需要归并为用户组,防火墙策略、IPSEC扩展认证都是和用户组关联的。 2.6. 设备管理权限设置 为每个设备接口设置访问权限,如下表所示:
接口名称允许的访问方式 Port1 Ping/HTTPS/SSH Port2 Ping/HTTPS/SSH Port3 Ping/HTTPS/SSH Port4 HA心跳线,不提供管理方式 Port5 (保留) Port6 (保留) 且只允许内网的可信主机管理Fortinet设备。 2.7. 管理会话超时 管理会话空闲超时不要太长,缺省5分钟是合适的。 2.8. SNMP设置 设置SNMP Community值和TrapHost的IP。监控接口状态及接口流量、监控CPU/Memory等系统资源使用情况。 2.9. 系统日志设置 系统日志是了解设备运行情况、网络流量的最原始的数据,系统日志功能是设备有效管理维护的基础。在启用日志功能前首先要做日志配置,包括日志保存的位 置(fortigate内存、syslog服务器等)、需要激活日志功能的安全模块等。如下图 所示:
双网卡上网设置
. '. 双网卡上网设置 电脑上需要有两块网卡(其中一块可以是USB网卡)分别接到 交换机上: Internet(互联网)地址:192.168.1.8,子网掩码:255.255.255.0,网关:192.168.1.1 联通专网地址:11.105.17.2,子网掩码:255.255.255.0,网关:11.105.17.1 如果按正常的设置方法设置每块网卡的ip地址和网关,在运行栏中输入cmd启动调试命令窗口,在调试命令窗口输入route print查看时会看到: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.8 0.0.0.0 0.0.0.0 11.105.17.1.1 11.105.17.2 即指向0.0.0.0的有两个网关,这样就会出现路由冲突,两个网络都不能访问。如何实现同时访问两个网络?那要用到route命令,在在调试命令窗口输入: 第一步:route delete 0.0.0.0 这条命令是"删除所有0.0.0.0的路由"。 第二步:route add 0.0.0.0 mask 0.0.0.0 192.168.1.1 这条命令是"添加0.0.0.0网络路由"这个是主要的,意思就是你可以上外网。 第三步:route add -p 11.105.0.0 mask 255.255.255.0 11.105.17.1 这条命令是"添加11.105.0.0网络路由",注意mask为255.255.255.0,这样内部的多网段才可用。 这时就可以同时访问两个网络了。 注:route add -p 添加静态路由,即重启后,路由不会丢失。
飞塔防火墙utm配置
如何启用防火墙的AV,IPS,Webfilter和 AntiSpam服务 版本 1.0 时间2013年4月 支持的版本N/A 状态已审核 反馈support_cn@https://www.360docs.net/doc/c27473888.html, 1.用Web浏览器打开防火墙的管理页面,进入系统管理-----维护----FortiGuard,如下图, 启用“防病毒与IPS选项”里面的定期升级,并在“Web过滤和反垃圾邮件选项”里面的Enable Web过滤和Enable 反垃圾邮件前面复选框中打上勾,这样就在防火墙上启用了AV,IPS,Webfilter和AntiSpam服务功能了。 2.启用防病毒与IPS选项的同时可以手动点击“立即升级”按钮让防火墙马上升级防病 毒,入侵检测数据库到最新版本,以后防火墙会按照“定期升级”配置自动定期升级防火墙的防病毒,入侵检测,web过虑和垃圾邮件分类;如果同时选上“允许服务器推送方式升级”的话,我们FortiGuard服务器在有新的升级包的同时会主动把最新的升级包推送到配置了该选项的防火墙上,如下所示:
3,检查是否成功升级到最新版本,可以打开防火墙系统管理----状态页面,看许可证信息部分或进入系统管理-----维护----FortiGuard里面也可以查看到许可证相关信息,注意许可证信息会在启用试用或合同注册完后的4个小时内得到更新,那时候才能验证确保防火墙防病毒、入侵检测数据库是最新的: 4,进入到防火墙----保护内容表,点击新建或打开一个已经存在的保护内容表,按下图显示内容启用病毒及攻击检测功能:
5,同样的在保护内容表里面,如上图所示,可以启用“FortiGuard网页过滤”和“垃圾过滤”功能,如下2图显示: 6,在保护内容表的最后一部分,可以把相关的攻击等日志记录下来,送给日志服务器:
飞塔防火墙fortigate的show命令显示相关配置
飞塔防火墙fortigate的show命令显示相关配置,而使用get命令显示实时状态 show full-configuration显示当前完全配置 show system global 查看主机名,管理端口 显示结果如下 config system global set admin-sport 10443 set admintimeout 480 set hostname "VPN-FT3016-02" set language simch set optimize antivirus set sslvpn-sport 443 set timezone 55 end show system interface 查看接口配置 显示结果如下 edit "internal" set vdom "root" set ip 88.140.194.4 255.255.255.240 set allowaccess ping https ssh snmp http telnet set dns-query recursive set type physical next get system inter physical查看物理接口状态,,如果不加physical参数可以显示逻辑vpn接口的状态 ==[port1] mode: static ip: 218.94.115.50 255.255.255.248 status: up speed: 100Mbps Duplex: Full ==[port2] mode: static ip: 88.2.192.52 255.255.255.240 status: up speed: 1000Mbps Duplex: Full show router static 查看默认路由的配置 显示结果如下 config router static edit 1 set device "wan1" set gateway 27.151.120.X
服务器双网卡设置同时上内外网route命令
服务器双网卡设置同时上内外网 首先需要有两块网卡,分别接到两个路由上。 外网 internet 地址:192.168.1.1 子网掩码: 255.255.255.0,网关: 192.168.1.1 内网地址: 192.168.42.129 子网掩码:255.255.255.0 网关:192.168.42.132 按正常的设置每块网卡的ip(或通过DHCP自动获取),再cmd下使用route print查看时会看到 即指向0.0.0.0的有两个网关,这样就会出现路由冲突,两个网络的访问都会出现问题。我们需要手动配置路由,才能实现同时访问两个网络。运行cmd(win需要管理员权限) 第一步: route delete 0.0.0.0 ::删除所有的0.0.0.0的路由 第二步:route -p add 0.0.0.0 mask 0.0.0.0 mask 192.168.1.1(此处是IP,不是网关) ::添加0.0.0.0网络路由,这个是缺省时路由用192.168.1.1,加上-p的目的是设为静态(永久)路由,防止下次重起时配置消失。 第三步: route -p add 192.168.42.0 mask 255.255.255.0 192.168.42.132 ::添加 192.168.42.0网段路由为192.168.42.132内网路由,可以根据需要调整ip段和子网掩码太到多网段内网路由的效果。 执行后,永久路由就多了二项了
因为上面我们添加的是静态路由,所以,重起后,tcp/ip设置里的默认网络会成为活动网关,这样也会造成路由冲突,所以,需要把内网的tcp/ip设置里的网关去掉 注:第三步 route -p add 192.168.42.0 mask 255.255.255.0 192.168.42.132添加路由的时候,如果目标服务器和添加的路由(本网卡)IP没有在一个网段,那么第三步改成:route -p add 192.168.0.0 mask 255.255.255.0 192.168.42.132
双线路双网卡双网关如何设置
双线路双网卡双网关如何设置 经常遇到一台计算机要同时访问两个网络(一个是互联网,一个是企业内部网)的要求 以本单位为例:地址是虚构的^_^ 机器有两块网卡,接到两台交换机上 internet地址:218.22.123.123,子网掩码:255.255.255.0,网关:218.22.123.254 企业内部网地址:10.128.123.123,子网掩码:255.255.255.0,网关:10.128.123.254 如果按正常的设置方法设置每块网卡的ip地址和网关,再cmd下使用route print查看时会看到 Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 218.22.123.254 218.22.123.123 20 0.0.0.0 0.0.0.0 10.128.123.254 10.128.123.123 1 即指向0.0.0.0的有两个网关,这样就会出现路由冲突,两个网络都不能访问。要实现同时访问两个网络就要用到route命令 第一步:route delete 0.0.0.0 "删除所有0.0.0.0的路由" 第二步:route add 0.0.0.0 mask 0.0.0.0 218.22.123.254 "添加0.0.0.0网络路由" 第三步:route add 10.0.0.0 mask 255.0.0.0 10.128.123.254 "添加10.0.0.0网络路由" 这时就可以同时访问两个网络了,但碰到一个问题,使用上述命令添加的路由在系统重新启动后会自动丢失,怎样保存现有的路由表呢? 在win2000 下可以使用route add -p 添加静态路由,即重启后,路由不会丢失。注意使用前要在tcp/ip设置里去掉接在企业内部网的网卡的网关 在win98下没有-p 参数,可以把以上命令存入到一个.bat文件中,然后在启动时调用即可 =============================================== WINDOWS系统下双网卡设置路由 本文主要涉及到静态路由。 二、WINDOWS系统下设置路由
单网卡双ip双网关问题解决
学校机房教师机上课时要利用多媒体教学系统对学生机进行广播,同时也要通过教育网连接Internet,由于学生机的配置属于内网,IP地址:192.168.1.x 默认网关:192.168.1.1 ,而连接学校外网IP地址:10.1.2.112 默认网关:10.1.2.1,教师机是单网卡,为此我设置了两个IP地址和两个网关。 教师机设置如下: IP:192.168.1.2 子网掩码:255.255.255.0 默认网关:192.168.1.1 IP:10.1.2.112 子网掩码:255.255.255.0 默认网关:10.1.2.1 但在使用过程中出现下列现象:网页经常打不开,修复连接后访问Internet正常了,但过不了多久又不能正常访问了,删除内网IP和网关后,访问外网正常但是又不能对学生机访问了,这可咋整呢? 俺上网搜了搜资料,终于意识到可能是路由出了问题。 点开始菜单——“运行”,输入 cmd 进入命令行模式 输入 route print 命令查看一下,果然发现其中有两行是这样的: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.2 20 0.0.0.0 0.0.0.0 10.1.6.1 192.168.1 .2 20 当访问Internet时,计算机若是选择了内网的网关时,当然是不能访问的。 知道了故障原因,解决起来就好办了 点开始菜单——“运行”,输入 cmd 进入命令行模式 执行 route -p add 192.0.0.0 mask 255.0.0.0 192.168.1.1 执行 route delete 0.0.0.0 mask 0.0.0.0 192.168.1.1 现在打开IE,上外网正常,同时访问学生机正常,电子教室使用正常。 本以为大功告成,不料第二天开机上网又出现无法访问的现象。 再次在命令行窗口输入route print 发现昨天删掉的路由又自动生成了,该怎样让计算机一启动就删掉这条路由呢,我想起了DOS下的批处理文件。 打开记事本输入下列命令: @echo off route delete 0.0.0.0 mask 0.0.0.0 192.168.1.1 保存为批处理文件drt.bat
双网卡不同网段上网的设置方法
双网卡上网的设置方法 一台电脑装有两个网卡,同时开启网卡分别连接不同网段的网络,我们希望当访问不同的网段时,能自动从相应的网卡发送接收数据,但是默认情况下会有路由冲突。 通过ipconfig /all命令能看到两个网卡的mac地址、ip地址、网关等信息 电脑里也存在着路由表,通过DOS下使用命令route print可以看到路由表里的相关信息
Interface List 接口列表:包括环回口、物理网口、虚拟网口的信息。 0x1 0x2 0x10004是接口索引号后面跟mac地址、网卡名称 Active Routes 活动路由通过自动学习到的路由信息。 Network Destination Netmask Gateway Interface Metric 目的网络子网掩码下一跳地址(网关)出口地址度量值(越小 优先级越 高)Default Gateway 默认网关 因此,当两个网卡同时启用且不在同一网段时,如果設置有网关,则路由表里会有两条度量值一样的默认路由,0.0.0.0 0.0.0.0 172.17.128.2 0.0.0.0 0.0.0.0 192.17.18.2 且只能存在一个默认网关,这样会造成路由冲突。 Persistent Routes 固定路由:route –p add 与add 命令共同使用时,指定路由被添加到注册表并在启动TCP/IP 协议的时候初始化IP 路由表。默认情况下,启动TCP/IP 协议时不会保存添加的路由。与print 命令一起使用时,则显示永久路由列表。所有其它的命令都忽略此参数。永久路由存储在注册表中的位置是 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Persi stentRoutes。 Route命令详解 route [-f] [-p] [Command [Destination] [mask Netmask] [Gateway] [metric Metric]] [if Interface]] route add目的网络号mask目的网络的子网掩码本地网关metric 20 if 网卡标识符 Route -f 清除所有不是主路由(网掩码为255.255.255.255 的路由)、环回网络路由(目标为127.0.0.0,网掩码为255.255.255.0的路由)或组播路由(目标为224.0.0.0,网掩码为240.0.0.0 的路由)的条目的路由表。 route add 添加路由metric参数缺省为1 route change 更改现存路由 route delete 删除路由 route print 显示全部路由 如果是print 或delete 命令,可以忽略Gateway 参数,并且可以使用通配符来表示目的网络和网关。
双网卡内外网设置(精)
关键是网关。用dos操作 mac查找方法:步骤 1 :点击左下角“开始”处—— > 运行步骤 2 :在对话框里输入 cmd ,进入 DOS 窗口状态步骤 3:输入 ipconfig /all 后回车,Physical Address显示的即为本机的 MAC 地址案例一:双网卡静态IP设置电脑在公司局域网内。使用用192.168.0.1这个网关时,电脑只能访问外部网,而用192.168.0.2这个网关时只能访问内部网。请问,有没有什么办法可以让我同时访问内、外部网而不用手工更改网关设置?答:你只要这样进行设置:把192.168.0.1作为内部网关,手工增加内部各网段的静态路由,例如:route add 192.168.1.0 mask 255.255.255.0 192.168.0.2 案例二:双网卡加路由器外网自动获取IP内网静态IP 买了个路由,将楼上的机子接入互联网,可是问题来了,双网卡内外网冲突,双网关冲突,XP连个提示都没有,好在我的2003一设置就有提示,搞清楚了,用案例二解决。前提你的路由器开启DHCP。主机接外网的网卡IP自动获取,接内网的网卡的IP10.11.2.*,子网码是255.255.255.0, 又如何实现,内外网同时可以上线浏览?答:你只要这样进行设置:把内网网卡的IP设置为10.11.2.*(根据你自己的内网分配ip),子网码255.0.0.0 (重要)网关不填(重要);把外网网卡的IP、dns设置为自动获取即可案例三:双网卡内外网IP自动获取主机接外网的网卡IP自动获取,接内网的网卡的ip也是自动获取请问,有没有什么办法可以让我同时访问内、外网?答:最简单的办法增加路由器,推荐欣全向多WAN口路由器进行解决,实现的最后效果为:所有pc只接一个网卡,连接到我们的路由器上,两条线路接到路由器上就可以了,至于您的访问该走哪条线路由路由器进行识别.路由器里的具体设置还要根据您两条线的访问权限的情况进行. 案例四:双网卡内外网IP自动获取如案例三一个网卡内外网同时上,需要修改下路由即可外网网关192.168.1.1,内网网关132.235.1.1。新建一个文本文档,敲入:route delete 0.0.0.0 route delete 10.0.0.0 route add 0.0.0.0 mask 0.0.0.0 192.168.88.254 route add 10.0.0.0 mask 255.0.0.0 10.167.53.1 保存为.bat文件。把这个文件设置为开机自动运行,就可以内网外网同时上了。案例五:双网卡外网自动获取IP内网静止IP 我现在在济南,总公司的ERP服务器在北京,一个网卡连在路由器的交换机上,另一个网卡连ADSL的外网,现在只能上外网,不能上ERP。该怎么解决呢答:外网网卡自动获取IP,另一个网关不填案例六:双网卡内外网静止IP 机器有
Windows2008R2双线双IP网络配置
Windows2008R2双线双IP网络配置 实验环境: 操作系统:microsfot windows 2008 R2 物理网卡:2块 IP地址: 电信IP:183.60.178.146掩码:255.255.255.240网关:183.60.178.145 联通IP:122.13.38.2掩码:255.255.255.240网关:122.13.38.1 重要一步:修改注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces 下面的每一个子项分别代表一个网络适配器,每个子项会有一个叫EnableDeadGWDetect的DWORD值 值名称:EnableDeadGWDetect 值类型:REG _ DWORD 值范围:0 或1 (False, True) 会激活失效网关检测的原因估计跟机房的线路质量有很大关系,网络不好有掉包现象时或服务器受到可承受限度内的攻击时让系统做出失误的判断,出现DOS现象 把跟本地连接实网卡有关的这个值全部改成0,禁用失效网关检测 这个方法不需要任何设置路由表,静态路由之类的。 物理网卡一配置图:
物理网卡二配置图 两块网卡电信IP配置电信网关,联通IP配联通网关,两个默认网关的跃点数修改为同一样1,接口跃点数为10. 最终路由表如下
单网卡双IP配置 第一,增加一块虚拟网卡,步骤如下 开始->控制面板->硬件和声音->设备管理器
然后直接下一步就完成安装。 下一步桥接虚拟网卡和物理网卡,选择刚刚添加的虚拟网卡,和物理网卡然后右键弹出桥接操作。
双网卡同时上网
关键是网关。用dos操作 mac查找方法:步骤 1 :点击左下角“开始”处——>运行 步骤 2 :在对话框里输入cmd ,进入DOS 窗口状态 步骤3:输入ipconfig /all 后回车,Physical Address显示的即为本机的MAC 地址 案例一:双网卡静态IP设置 电脑在公司局域网内。使用用192.168.0.1这个网关时,电脑只能访问外部网,而用192.168.0.2这个网关时只能访问内部网。请问,有没有什么办法可以让我同时访问内、外部网而不用手工更改网关设置? 答:你只要这样进行设置:把192.168.0.1作为内部网关,手工增加内部各网段的静态路由,例如:route add 192.168.1.0 mask 255.255.255.0 192.168.0.2 案例二:双网卡加路由器外网自动获取IP内网静态IP 买了个路由,将楼上的机子接入互联网,可是问题来了,双网卡内外网冲突,双网关冲突,XP连个提示都没有,好在我的2003一设置就有提示,搞清楚了,用案例二解决。前提你的路由器开启DHCP。 主机接外网的网卡IP自动获取,接内网的网卡的IP10.11.2.*,子网码是255.255.255.0, 又如何实现,内外网同时可以上线浏览? 答:你只要这样进行设置:把内网网卡的IP设置为10.11.2.*(根据你自己的内网分配ip),子网码255.0.0.0 (重要)网关不填(重要);把外网网卡的IP、dns设置为自动获取即可 案例三:双网卡内外网IP自动获取 主机接外网的网卡IP自动获取,接内网的网卡的ip也是自动获取请问,有没有什么办法可以让我同时访问内、外网? 答:最简单的办法增加路由器,推荐欣全向多WAN口路由器进行解决,实现的最后效果为:所有pc只接一个网卡,连接到我们的路由器上,两条线路接到路由器上就可以了,至于您的访问该走哪条线路由路由器进行识别.路由器里的具体设置还要根据您两条线的访问权限的情况进行. 案例四:双网卡内外网IP自动获取 如案例三 一个网卡内外网同时上,需要修改下路由即可 外网网关192.168.1.1,内网网关132.235.1.1。 新建一个文本文档,敲入: route add 132.0.0.0 mask 255.0.0.0 132.235.1.1 route add 0.0.0.0 mask 0.0.0.0 192.168.1.1 route delete 0.0.0.0 mask 0.0.0.0 132.235.1.1 保存为.bat文件。把这个文件设置为开机自动运行,就可以内网外网同时上了。 案例五:双网卡外网自动获取IP内网静止IP 我现在在济南,总公司的ERP服务器在北京,一个网卡连在路由器的交换机上,另一个网卡连ADSL的外网,现在只能上外网,不能上ERP。该怎么解决呢 答:外网网卡自动获取IP,另一个网关不填 案例六:双网卡内外网静止IP
FortiGate防火墙常用配置命令(可编辑修改word版)
FortiGate 常用配置命令 一、命令结构 config Configure object. 对策略,对象等进行配置get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件 diagnose Diagnose facility. 诊断命令 execute Execute static commands. 常用的工具命令,如ping exit Exit the CLI. 退出 二、常用命令 1、配置接口地址: FortiGate # config system interface FortiGate (interface) # edit lan FortiGate (lan) # set ip 192.168.100.99/24 FortiGate (lan) # end 2、配置静态路由 FortiGate (static) # edit 1 FortiGate (1) # set device wan1 FortiGate (1) # set dst 10.0.0.0 255.0.0.0
FortiGate (1) # set gateway 192.168.57.1 FortiGate (1) # end 3、配置默认路由 FortiGate (1) # set gateway 192.168.57.1 FortiGate (1) # set device wan1 FortiGate (1) # end 4、添加地址 FortiGate # config firewall address FortiGate (address) # edit clientnet new entry 'clientnet' added FortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end 5、添加 ip 池 FortiGate (ippool) # edit nat-pool new entry 'nat-pool' added FortiGate (nat-pool) # set startip 100.100.100.1 FortiGate (nat-pool) # set endip 100.100.100.100 FortiGate (nat-pool) # end
解决双网卡连接双网段问题
双网卡内外网同时使用的方法(转载) 不少公司的网管试图解决双网卡问题,下面我就给大家详细的讲解一下双网卡同时使用的方法,这样即可保障内网的安全,又能解决电脑访问外网的问题,一举两得。希望大家喜欢。 首先你的机器需要有两块网卡,分别接到两台交换机上, internet地址:192.168.1.8,子网掩码:255.255.255.0,网关:192.168.1.1 内部网地址:172.23.1.8,子网掩码:255.255.255.0,网关:172.23.1.1 如果按正常的设置方法设置每块网卡的ip地址和网关,再cmd下使用route print查看时会看到 Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.8 0.0.0.0 0.0.0.0 172.23.1.1 172.23.1.8 即指向0.0.0.0的有两个网关,这样就会出现路由冲突,两个网络都不能访问。 如何实现同时访问两个网络?那要用到route命令 第一步:route delete 0.0.0.0 "删除所有0.0.0.0的路由" 第二步:route add 0.0.0.0 mask 0.0.0.0 192.168.1.1 "添加0.0.0.0网络路由"这个是主要的,意思就是你可以上外网. 第三步:route add 172.23.0.0 mask 255.0.0.0 172.23.1.1 "添加172.23.0.0网络路由",注意mask为255.0.0.0 ,而不是255.255.255.0 ,这样内部的多网段才可用。 这时就可以同时访问两个网络了,但碰到一个问题,使用上述命令添加的路由在系统重新启动后会自动丢失,怎样保存现有的路由表呢? route add -p 添加静态路由,即重启后,路由不会丢失。注意使用前要在tcp/ip设置里去掉接在企业内部网的网卡的网关 ------------------------------------------------------------------------------------------------ 一些单位将内网和外网分开了。痛苦啊,偶单位就是如此。boss当然是基于安全性考虑了,可是没有笔记本的怎么办?又要办公,有得上网。没办法,发扬DIY精神偷偷装一块网卡,让聊天与工作同在。让你的主机内外兼顾。这是我在网上找到的,谢谢作者了。方法如下:
双网卡同时上网
双网卡同时上网;双网卡共享上网;网络带宽叠加。 前言: 越来越多的用户拥有双网卡,可是默认情况下只能使用一张网卡上internet网,我们应该如何设置才能把多网卡利用起来,达到尽其物用其材!以下方法适合2张及2张以上网卡。当然这里的双网卡可包含任意的两张及两张网卡以上,如100MB以太网+宽带拔号网卡;双100MB以太网卡;100MB以太网卡+54MB无线网卡等任意组合。 实例一:网卡A上internet网,网卡B上内部网络。 两张自适应1000\100\10MB,网卡A+网卡B,网卡A接宽带路由器,网卡B接局域网设备(router\switch)。 网卡A地址:192.168.11.222 mask 255.255.255.0 gateway 192.168.11.1 网卡B地址:192.168.1.111 mask 255.255.255.0 gateway 192.168.1.1 接上网线后,进入系统,打开“开始”-“运行”输入CMD ,此时打开了命令行窗口。 输入以下命令:(注:每行输完按回车键,每次开机都需要手动输入;您也可以写bat文件每次开机自动运行) route add 192.168.1.0 mask 255.255.255.0 192.168.1.1 route delete 0.0.0.0 route add 0.0.0.0 mask 0.0.0.0 192.168.11.1 当然,如果您不想麻烦,您也可以让命令永久生效,在add前面加个“-p” 格式如下。route -p add 192.168.1.0..... 实例二:网卡A+网卡B,网卡A接宽带modem,需要拔号上网,网卡B接局域网设备。网卡A地址:动态拔号。 网卡B地址:192.168.1.111 mask 255.255.255.0 gateway 192.168.1.1 系统默认情况下将是以拔号为主网络,即当你拔号后,你是无法通过网卡B去访问局域网的。所以这里需要 输入一条命令即可实现: route add 192.168.1.0 mask 255.255.255.0 192.168.1.1 以上两实例均实现了既可上带宽又可访问局域网网络。 ------------------------------ 实例三:双网卡共享上网,让其它PC\notebook都能上网。 网卡A:192.168.11.222 无线网卡B:空闲 目的是让朋友的notebook能通过我的电脑上internet网。 1、共享网卡A,将外网卡设置为"允许网络用户通过我的连接上internet网".在你的外网卡的属性--高级那里.打勾.此时你的内网卡将会被重置为192.168.0.1 255.255.255.0 您如果不想这个IP为内网,可以手动改变.这样所有的PC接到你的内网卡的网络上就可以共享你的外网网络。
使用双网卡进行两个网络上网(三段案例方式)
同时使用双网卡进行两个网络上网 如果你电脑同时装了双网卡(包括无线网卡),且分别属于不直接相连的网段,此时如果在两个属性里都设了网关,Windows只认其中一个导致两个网段不能同时上。 所以只能在其中一个网卡的属性中设网关(如两个内网段随便取一个,一个外网一个内网的设外网的方便),另一个网关先留空,然后运行cmd,运行“route -p add 内网网段mask 子网掩码内网网关(刚留空的)”,如果内网网段有多段的则多打几次这个命令就可以了。这个命令目的在于将原内网地址永久性地默认通过内网网关,适用于学校企业等同时存在多个不同网段服务器且接入也不同的。 特别要注意的是网段与子网掩码的对应关系不能输错! example: route -p add 192.168.0.0 mask 255.255.0.0 192.168.180.254 metric 1 route -p add 10.0.0.0 mask 255.0.0.0 192.168.180.254 metric 1 实践中发现该命令非常有用,可以指定任何特定的IP或段指向某网关。 metric Metric 为路由指定所需跃点数的整数值(范围是1 ~ 9999),它用来在路由表里的多个路由中选择与转发包中的目标地址最为匹配的路由。所选的路由具有最少的跃点数。跃点数能够反映跃点的数量、路径的速度、路径可靠性、路径吞吐量以及管理属性。 Metric用于指出路由的成本。通常情况下代表到达目标地址所需要经过的跃点数量,一个跃点代表经过一个路由器。 类似的方法如下: 主要原因是:2个网卡的优先级一致,导致上内网的时候,到不了外网,而上外网的时候,就进不了内网,因为计算机无法识别同样的默认网关。在设置ip的时候系统就会提示2个网卡一起使用,会使计算机网络不能正常使用。 解决办法就是设置不同的默认网关级别。 外网设置:打开tcp/ip协议,高级,编辑默认网关的跃点数为10,默认为自动,值为20,用route print查到的;设置自动跃点数为10。 这样的设置是把外网的优先级提高。内网优先级就比较底了。 用route print 命令来查看:未设置以前的值是有两个默认网关0.0.0.0, network destination netmask gateway interface metric 0.0.0.0 0.0.0.0 192.168.198.66 192.168.198.101 20 0.0.0.0 0.0.0.0 10.172.2.2 10.172.2.222 20 因为两个默认网关的metric 值都是20。 修改后的值是: network destination netmask gateway interface metric 0.0.0.0 0.0.0.0 192.168.198.66 192.168.198.101 10 0.0.0.0 0.0.0.0 10.172.2.2 10.172.2.222 20
飞塔防火墙fortigate的show命令显示相关配置精编版
飞塔防火墙f o r t i g a t e 的s h o w命令显示相关 配置 公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]
飞塔fortigate的show显示相关,而使用get显示实时状态 show full-configuration显示当前完全 show system global 查看主机名,管理端口 显示结果如下 config system global set admin-sport 10443 set admintimeout 480 set hostname "VPN-FT3016-02" set language simch set optimize antivirus set sslvpn-sport 443 set timezone 55 end show system interface 查看接口配置 显示结果如下 edit "internal" set vdom "root" set ip set allowaccess ping https ssh snmp http telnet set dns-query recursive set type physical next get system inter physical查看物理接口状态,,如果不加physical参数可以显示逻辑vpn接口的状态 ==[port1] mode: static ip: status: up speed: 100Mbps Duplex: Full ==[port2] mode: static ip: status: up speed: 1000Mbps Duplex: Full show router static 查看默认路由的配置 显示结果如下 config router static
H3C NGFW网关双主模式典型配置指南
H3C 盒式 NGFW 设备出口网关双主模式典型指南
1 简介 本文档介绍了H3C 盒式NGFW 设备出口网关双主典型配置举例。 2 配置前提 本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IRF LLB 和链路聚合等特性。 3 使用限制 ?在F1000 系列防火墙中,最优选择相同型号的机型之间建立IRF。 ?组建IRF 的两台F1000 防火墙堆叠必须使用相同的软件版本。 ?F1000 的IRF 口可以使用前面板的GE 光口或GE 电口。 4 配置举例 4.1 组网需求 如图1所示,两台F1050 组成IRF,内网用户通过防火墙下行链路聚合HASH分流到两台设备,在防火墙上通过链路负载均衡技术选路到电信网络和联通网络,在F1050 上配置链路聚合本地优先,对本地转发流量优先从本设备出,避免横向流量。由于有非对称场景,所以需要配置会话热备功能。
图1 NGFW 设备出口网关双主典型配置组网图 4.2 配置思路 ?在两台F1050 之间建立IRF。 ?为了防止IRF 链路故障导致IRF 分裂,在网络中产生两个配置冲突的IRF,需要启用MAD 检测功能。将F1050_1 的GE1/0/4 和F1050_2 的GE2/0/4 BFD MAD 检测。 ?将F1050_1 的GE1/0/6 和F1050_2 的GE2/0/6 配置为三层聚合口。F1050_1 的GE1/0/7 配置为电信网络出接口,并添加到聚合组2 中,F1050_2 的GE2/0/7 配置为联通网络出接口, 同样添加到聚合组3 中。 ?在防火墙上配置链路负载均衡将内网流量负载分担到两条链路中。 4.3 使用版本 本举例是在F1050 的Ess 9316 版本上进行配置和验证的。 4.4 配置注意事项 F1050 配置堆叠时注意配置顺序,保存配置后在激活堆叠口配置。 4.5 配置步骤 4.5.1 F1050IRF的配置步骤 # IRF 的配置(两台F1050 可以通过多个IRF 口相连接,如下以GE1/0/9~GE2/0/9 和GE1/0/22~GE2/0/22 为例)