【簡介】在只有一條寬帶的環境下，需要同時能正常上網，又能通過軟路由訪問指定網站，這會是一個挑戰。

---

? 網絡拓樸

? ? ? ? 為了清晰的了解網絡的訪問原理，這里描述一下常見的防火墻連接方法。

? ? ? ??

　　① 最常見的防火墻連接方法是：路由器或防火墻通過ADSL寬帶貓撥號連接寬帶，交換機連接防火墻以及上網設備，包括電腦及無線AP，防火墻允許或阻止某些IP上網。如果是專線寬帶，可以省略掉ADSL寬帶貓及路由器。如果是撥號寬帶，并且有遠程訪問需求的話，可省略掉路由器，不能由ADSL寬帶貓撥號，而是由防火墻撥號。如果只是上網，沒有遠程訪問需求，建議用路由器撥號，這樣比防火墻撥號速度會更快一些。

　　② 在某些情況下需要訪問指定的網站，通過軟路由可以實現。

　　③ 可以用軟路由替代路由器，但是長期使用會有一個問題，那就是軟路由訪問是有流量限制的。如果所有上網都走軟路由，很明顯流量會不夠用。

　　④ 因此我們可以將軟路由旁掛，通過防火墻的策略路由設置，使得正常上網仍然走路由器，而訪問指定網站則走軟路由。這種方法仍然有個缺陷，那就是防火墻不能被遠程訪問。

　　⑤ 由防火墻撥號，可以使得防火墻能被遠程訪問，因此ADSL寬帶貓直接接入防火墻。將軟路由的兩個接口都接入防火墻中的兩個獨立接口，其中接軟路由wan口的防火墻接口允許通過防火墻上網。這樣軟路由也就可以上網了。接軟路由lan口的防火墻接口，可以當作另一條寬帶接口，這樣通過策略路由，就可以分別走兩個接口上網了。當正常上網時，可以看到藍色箭頭走向，當訪問指定網站時，可以看到紅色箭頭走向。

? 上網設置

　　這里我們用FortiGate 300D來做示例。

　　① FortiGate 300D正好有四個獨立的RJ45網口，我們用第1個口接寬帶，名稱為Wan1，第2個口接軟路由的Wan口，由于第2個口是允許軟路由上網，在防火墻上相當于內網口，因此命名為Lan2，第三個口用來接交換機或電腦上網，因此命令為Lan1，第4個口口是用來接軟路由的Lan口，但是在防火墻上，相當于另一條出去的寬帶口，因此命名為Wan2。

　　② 第一個接口port1，用來連接寬帶，別名Wan-1，寬帶可以是手動IP、DHCP獲取或PPPOE。如果是DHCP或PPPOE，就不需單獨設置靜態路由了。

　　③ 第三個接口port3，用來連接交換機或上網的電腦，別名Lan-1，可以啟用DHCP，使接口下的電腦自動獲取IP，也可以手動設置電腦IP。

　　④ 新建一條上網策略，允許電腦通過第一個接口上網。

　　⑤?電腦網卡設置為接口port3網關，網關指定port3接口IP，DNS建議使用8.8.8.8。

　　⑥ 電腦接入防火墻Port3口，Ping百度網址可以通，說明上網是OK的，Tracert跟蹤路由，可以看到是從防火墻的port3口入，port1口出。

? 軟路由設置

　　我們已經用了1和3口連接電腦上網，現在用2和4口連接軟路由。

　　① 我們用防火墻的port2口連接軟路由的lan口，由于軟路由的lan口地址是192.168.2.1，因此防火墻的port2口IP設置為192.168.2.2，別名Wan-2。

　　②?防火墻的Port4口用來連接軟路由的wan口，由于軟路由的wan口默認啟用了DHCP，因此在防火墻的port4口上啟用DHCP服務器，使軟路由的wan口可以獲得IP。port4口別名Lan-2，這是因為在防火墻上，它相當于是個內網接口。

　　③ 新建一條策略，允許port4通過port1上網，這樣軟路由的wan口就可以連通互聯網了。

　　④ 還要建一條策略，允許port3，也就是電腦接口，能通過port2上網，port2是連接軟路由的lan口。那么上網的路徑是port3(電腦)->port2->軟路由lan口->軟路由wan口->port4->port1(接寬帶)。

　　⑤ 是不是配置好了接口，建好了策略就能走軟路由上網呢，并不是的，還需要建立一策略路由，允許電腦的所有訪問都走port2口到達軟路由的lan口。由于策略路由優先于靜態路由，因此所有的訪問都會走軟路由。

　　⑥ tracert跟蹤路由，發現現在是通過軟路由繞了一圈再去上網的。

? ?分流

　　現在我們有兩條線路可以上網，下一步要做的，就是按需訪問了。

　　① 首先需要建立一個地理的地址對象，國家選擇China。

　　② 建立一條策略路由，當port3訪問的IP為中國的地址時，走port1接口。

　　③ 將新建的策略路由移到最上方，移動方法是鼠標按住策略路由最前面的數字，向上或向下拖動即可。由于指定目的為China的路由在最上面，因此先執行。如果訪問非中國IP，則會匹配第二條策略路由。

　　④ 分別打開不同的網頁。

　　⑤ 點擊【儀表板】-【FortiView Sources】菜單，找到剛剛打開網頁的電腦IP，雙擊。

　　⑥ 選擇【目標】，點擊最左邊的齒輪，彈出菜單里選擇【目標接口】，點擊【應用】。

　　⑦ 這里可以看到不同的目標走的是不同的接口上網。這樣就實現了訪問國內的網址時直接上網其它網址走軟路由上網。

---

總結

以上是生活随笔為你收集整理的【接口篇 / Wan】(6.4) ❀ 02. 单条宽带旁挂软路由优化 ❀ FortiGate 防火墙的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。