同步comodo防火墙设置

文档模板FGSP配置指导版本V1.
1时间2018年6月作者王祥状态反馈support_cn@fortinet.
com文档模板目录1.
应用场景.
32.
网络拓扑.
33.
设备版本.
34.
配置步骤.
44.
1.
路由/NAT模式.
44.
2.
透明模式.
65.
状态检查.
86.
注意事项.
10文档模板1.
应用场景从FortiOS5.
0支持FortiGateSessionLifeSupportProtocol(FGSP),在异步流量负载分担的场景中实现单机配置同步,会话同步.
2.
网络拓扑3.
设备版本FortiGate:FortiGate-900Dv5.
4.
2,build1100文档模板4.
配置步骤4.
1.
路由/NAT模式①配置FGSPFGT_A:configsystemhasetgroup-name"fgsp_demo"setpasswordfortinetsethbdev"port15"0//配置同步通过心跳口setstandalone-config-syncenable//开启配置同步setpriority200endFGT_B:configsystemhasetgroup-name"fgsp_demo"setpasswordfortinetsethbdev"port15"0//配置同步通过心跳口setstandalone-config-syncenable//开启配置同步setpriority100end注意:FGSP模式不能使用UTM功能.
②使用diasyshastatus查看同步状态FG900D3915800574#diagnosesyshastatusHAinformationStatisticstraffic.
local=s:0p:0b:0traffic.
total=s:0p:0b:0activity.
fdb=c:0q:0Model=900,Mode=0Group=0Debug=0nvcluster=1,ses_pickup=0,delay=0[Debug_ZoneHAinformation]HAgroupmemberinformation:is_manage_master=1.
FG900D3915800574:Master,serialno_prio=1,usr_priority=200,hostname=FG900D3915800615:Slave,serialno_prio=0,usr_priority=100,hostname=[KernelHAinformation]文档模板vcluster1,state=work,master_ip=169.
254.
0.
2,master_id=0:FG900D3915800574:Master,ha_prio/o_ha_prio=0/0FG900D3915800615:Slave,ha_prio/o_ha_prio=1/1③分别在两台设备上配置接口IP地址,静态路由.
④在主设备上配置防火墙策略,备设备会自动同步.
⑤在主设备上配置会话交接及同步接口,备设备会自动同步.
configsystemhasetsession-pickupenable//开启会话同步setsession-pickup-connectionlessenable//允许UDP,ICMP无状态协议会话同步setsession-pickup-natenable//允许NAT会话同步setsession-pickup-expectationenable//允许异步流量会话同步end注意:如果开启NAT会话同步,考虑到故障切换,则配置NAT策略的时候应该使用NAT地址池,不应该使用接口IP,因为两台设备接口IP地址不一样.
⑥配置会话同步配置会话同步有两种方式:(建议用A方式)A:使用二层方式进行会话同步,这种方式在内核中执行,效果高,同步会话更快.
configsyshasetsession-sync-dev"port16"//单独的会话同步接口或者是HA接口endB:使用三层方式进行会话同步,这种方式由用户空间的进程执行,比较A方式效率低,同步会话慢.
FGT_A:configsystemcluster-syncedit1setpeerip10.
0.
0.
1//FGT_Bport16接口的IP地址setpeervdroot//配置同步会话的vdomnextendFGT_B:configsystemcluster-syncedit1setpeerip10.
0.
0.
2//FGT_Aport16接口的IP地址setpeervdroot//配置同步会话的vdomnextend注意:如果是v5.
2的版本,配置会话同步的命令是configsystemsession-sync.
文档模板⑦配置故障切换在FGSP模式中,可以操纵FortiGate上下游设备来达到故障切换的目的.
也可以在FortiGate上配置VRRP实现故障切换,如果配置VRRP,那么FortiGate上下游设备指定的路由下一条就是VRRP虚拟地址.
configsysteminterfaceedit"portX"//编辑需要开启VRRP的接口setvrrp-virtual-macenableconfigvrrpedit1setvrgrpID//配置VRRP组IDsetvripIPAddr//配置VRRP虚拟地址,与实际地址在同一个网段setpriorityValue//配置VRRP优先级nextendend4.
2.
透明模式①配置FGSPFGT_A:configsystemhasetgroup-name"fgsp_demo"setpasswordfortinetsethbdev"port15"0setstandalone-config-syncenable//开启配置同步setpriority200endFGT_B:configsystemhasetgroup-name"fgsp_demo"setpasswordfortinetsethbdev"port15"0setstandalone-config-syncenable//开启配置同步setpriority100end注意:FGSP模式不能使用UTM功能.
文档模板②使用diasyshastatus查看同步状态FG900D3915800574#diagnosesyshastatusHAinformationStatisticstraffic.
local=s:0p:0b:0traffic.
total=s:0p:0b:0activity.
fdb=c:0q:0Model=900,Mode=0Group=0Debug=0nvcluster=1,ses_pickup=0,delay=0[Debug_ZoneHAinformation]HAgroupmemberinformation:is_manage_master=1.
FG900D3915800574:Master,serialno_prio=1,usr_priority=200,hostname=FG900D3915800615:Slave,serialno_prio=0,usr_priority=100,hostname=[KernelHAinformation]vcluster1,state=work,master_ip=169.
254.
0.
2,master_id=0:FG900D3915800574:Master,ha_prio/o_ha_prio=0/0FG900D3915800615:Slave,ha_prio/o_ha_prio=1/1③在主设备上配置会话交接及同步接口,备设备会自动同步.
configsystemhasetsession-sync-dev"port16"//可以使用单独的会话同步接口,也可以使用HA接口setsession-pickupenable//开启会话同步setsession-pickup-connectionlessenable//允许UDP,ICMP无状态协议会话同步setsession-pickup-expectationenable//允许异步流量会话同步end④在主设备上新建透明模式的vdomtp,将业务端口划分到vdomtp并配置相关的防火墙策略,备设备会自动同步.
⑤配置会话同步configsyshasetsession-sync-dev"port16"//可以使用单独的会话同步接口,也可以使用HA接口end文档模板5.
状态检查使用diagnosesyshachecksumshow比较配置同步详情,如果校验和一致表示配置完全同步.
FG900D3915800574#diagnosesyshachecksumshowis_manage_master()=1,is_root_master()=1debugzoneglobal:e1a001e9e020464b8e3fe5ceb1abca27root:091e9f828c940f449b2c36fbb1b9efd3all:ffd0d2bf8345ba7916dbc3c02a964822checksumglobal:e1a001e9e020464b8e3fe5ceb1abca27root:091e9f828c940f449b2c36fbb1b9efd3all:ffd0d2bf8345ba7916dbc3c02a964822FG900D3915800615#diagnosesyshachecksumshowis_manage_master()=0,is_root_master()=1debugzoneglobal:e1a001e9e020464b8e3fe5ceb1abca27root:091e9f828c940f449b2c36fbb1b9efd3all:ffd0d2bf8345ba7916dbc3c02a964822checksumglobal:e1a001e9e020464b8e3fe5ceb1abca27root:091e9f828c940f449b2c36fbb1b9efd3all:ffd0d2bf8345ba7916dbc3c02a964822使用diagnosesyssessionsync查看同步状态sync_started=1表示能够进行会话同步,如果为0表示不能够进行会话同步.
sync_tcp=1,sync_others=1,sync_expectation=1,andsync_nat=1表示FGSP已经能够同步TCP,connectionless,asymmetric,andNAT会话.
sync:create=135:0,recv:create=2662:0表示FortiGate同步135条会话给对端,同时收到对端通过过来的会话2662条.
FG900D3915800615#diagnosesyssessionsyncsync_ctx:sync_started=1,sync_tcp=1,sync_others=1,sync_expectation=1,sync_redir=0,sync_nat=1,stdalone_sesync=1.
文档模板sync:create=135:0,update=2991,delete=0:0,query=578recv:create=2662:0,update=3315,delete=0:0,query=536sespkts:send=10079,alloc_fail=0,recv=12802,recv_err=0sz_err=0udppkts:send=0,recv=0nCfg_sess_sync_num=5,mtu=1500sync_filter:1:vd=-1,szone=0,dzone=0,saddr=0.
0.
0.
0:0.
0.
0.
0,daddr=0.
0.
0.
0:0.
0.
0.
0,sport=0-65535,dport=0:65535使用diagnosesyssessionlist查看会话信息,如果会话中带有synced表示是这台FortiGate创建了这条会话并同步给对端.
FG900D3915800574#diagnosesyssessionlistsessioninfo:proto=6proto_state=01duration=19expire=3580timeout=3600flags=00000000sockflag=00000000sockport=0av_idx=0use=3origin-shaper=reply-shaper=per_ip_shaper=ha_id=0policy_dir=0tunnel=/vlan_cos=0/255state=may_dirtyndrnpusyncedstatistic(bytes/packets/allow_err):org=92/2/1reply=0/0/0tuples=2txspeed(Bps/kbps):0/0rxspeed(Bps/kbps):0/0orgin->sink:orgpre->post,replypre->postdev=37->36/36->37gwy=200.
0.
3.
1/0.
0.
0.
0hook=predir=orgact=noop172.
16.
50.
3:61319->192.
168.
90.
98:23(0.
0.
0.
0:0)hook=postdir=replyact=noop192.
168.
90.
98:23->172.
16.
50.
3:61319(0.
0.
0.
0:0)pos/(before,after)0/(0,0),0/(0,0)misc=0policy_id=1auth_info=0chk_client_info=0vd=0serial=000eeb2dtos=ff/ffapp_list=0app=0url_cat=0dd_type=0dd_mode=0npu_state=0x003494ips_offloadnpuinfo:flag=0x81/0x00,offload=8/0,ips_offload=1/0,epid=8/0,ipid=160/0,vlan=0x0000/0x0000vlifid=160/0,vtag_in=0x0000/0x0000in_npu=2/0,out_npu=2/0,fwd_en=0/0,qid=3/0no_ofld_reason:totalsession1文档模板6.
注意事项①形成FGSP的设备需要相同的型号和版本.
②在FGSP模式下,FortiGate是独立的设备,异步流量发送日志的时候,同一条会话,两台设备都会发送日志;同步流量发送日志的时候,只有主设备发送日志.