组织没有 AS 编号。截至目前,我们正在为任何 ISP 手动进行路由。当默认 Internet 链接关闭时,在防火墙上启用第二个链接。
我在 google 上看到了一些配置 BGP 的解决方案,但为此我们需要组织 AS 编号。如果互联网链接故障转移的任何替代方案(不同的 ISP)请提供解决方案,我们有 fortigate 100D 防火墙。
在一个组织中,有两个 ISP 配置在 fortigate 防火墙上?我们如何为互联网进行故障转移?
网络工程
防火墙
BGP
互联网
网络服务商
加强
2022-02-09 06:48:38
2个回答
创建 2 个默认路由 (0.0.0.0/0) 到您的 ISP 的 2 个网关地址。第二个应该有更高的距离,比如 20,因为 FortiOS 中的默认距离是 10。
这将保护您免受链接故障的影响。一旦一个链接断开,它的默认路由就会从路由表中删除,并添加另一个。
如果两个连接都可以处理出站流量,您可能会想要查看它们(链接故障有明显的限制)。您可以设置远程 ping 服务器,将 ping 发送到公共的、始终在线的目的地。一旦 ping 服务器出现故障,路由就会被删除。
这是在 CLI 中配置的。您可以指定多个目标服务器必须同时发生故障才能触发故障转移。
这是一个例子:
config system link-monitor
edit "quad9"
set srcintf "wan1"
set server "9.9.9.9" "9.9.9.10"
set interval 10
next
end
为了完成这个要求,需要在防火墙上配置浮动静态路由。通常,对于 Internet 访问,默认路由配置为指向 ISP 网关。配置具有更高管理距离值 (AD) 的辅助 ISP。具有较高 AD 值的辅助默认路由将处于非活动状态,并在主 ISP 链路发生故障时变为活动状态
IP route 0.0.0.0 0.0.0.0 pointing towards ISP1 gateway 10
IP route 0.0.0.0 0.0.0.0 pointing towards ISP2 gateway 30