【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙

这篇具有很好参考价值的文章主要介绍了【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

  【简介】公司有两条宽带用来上网,一条电信,一条联通,访问常用的某些网站速度时快时慢。领导要求,根据上网流量的目标运营商IP归属,将流量送到相应的运营商出口去,避免跨运营商上网。那么应该怎么做?


 地址对象&地址组

  解决方案是:将运营商所属IP创建地址对象和地址组,通过路由走相应的宽带口。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ① 可以网上找到很多有关于运营商所属IP的网站,例如 https://ispip.clang.cn 。可以看到联通有650条数据,网站会以HTML和TXT等格式显示IP数据,这里我们点击HTML下的联通IP数据。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ② 可以看到联通所有的IP地址段表,并且是每日更新,值得信赖。但是有一个问题时,如何将这么多地址变成防火墙上的地址对象?一条一条输入显然是不合适,这样就需要用到批量处理工具。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ③ 批量处理工具推荐NimbleText,可以在官方 https://nimbletext.com 下载免费版本。仅支持Windows。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ④ 下载界面提示输入名称和邮件,也可以点击【skip that, download anyway.】跳过。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ⑤ NimbleText程序文件下载成功,只有883KB。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ⑥ 双击打开NimbleText,选择菜单【Tools】-【Options】。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ⑦ 默认【Output a new line after each row】选项被钩选,这里要将它取消钩选择。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ⑧ 将从 https://ispip.clang.cn 网站获取的前10条联通数据复制粘贴到NimbleText的数据区。为什么只复制10条?因为我们需要用少量数据创建一个可以使用的模板,避免后期排错走弯路。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ⑨ 在模板区输入上图中的命令,第一大段是配置防火墙地址对象,第二大段是配置防火墙地址组。$0是变量,用来引用数据区的数据。$ONCE的作用是只执行一次,$EACH的作用是循环执行,自至$0变量取不到数据。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ⑩ 点击【Calculate】或钩选【auto】,可以在下方看到最终在防火墙上执行的命令行。第一大段生成配置防火墙地址对象命令,将在防火墙上生成10条地址对象。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ⑪ 第二大段命令,将10条自动生成的地址对象,加入一个地址组。注意这里地址对象都是连接在一起的,中间空格隔开。如果每个地址对象都是独立的一行,后面执行时会报错。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ⑫ 选择菜单【File】-【Save result as...】。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ⑬ 保存类型选择【Text files (*.txt)】,输入文件名,点击【保存】。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ⑭ 用记事本打开刚刚保存的文本文件,可以看到将在在防火墙上运行的脚本内容。编码为UTF-8。

  执行脚本

  用批量工具创建好命令脚本后,下一步就是在防火墙上执行脚本了。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ① 登录防火墙,点击右上角管理员旁下拉图标,弹出菜单选择【配置】-【脚本】。 

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ② 点击【运行脚本】。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ③ 选择由NimbleText生成并保存的文本文件,点击确认。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ④ 脚本成功运行,在【策略&对象】-【地址】,可以看到自动创建的10条联通IP地址对象。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ⑤ 选择【Address Group】,可以到新建的地址组Unicom_GRP,由10条地址对象组成。

  批量执行

  少量数据的脚本可以完整执行后,就可以通过模板将其它数据导入了。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ① 如果我们将剩下的640条数据都粘贴到数据区会怎么样?

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ② 从生成的脚本文件中可以看到,将地址对象加入地址组的命令是一行,所以命令会很长。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ③ 再次执行脚本,出现报错信息,提示成员数最大为600。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ④ 选择菜单【策略&对象】-【地址】,可以看到剩于的640条地址对象都已经创建好了,由于加入地址组命令报错,所以640条地址对象的关系项都为0,可以批量选择全部640条地址地象,点击鼠标右键,弹出菜单选择删除。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ⑤ 因为要将全部650条数据分批创建脚本,那么给数据加上序号,就显得非常重要了。选择并复制全部650条数据。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ⑥ 打开Execl,新建工作簿,在A1格中点击鼠标右键,弹出菜单选择【选择性粘贴】。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ⑦ 方式选择【文本】,点击【确定】。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ⑧ 650条数据显示在Execl中,由于左右有序号,这样就方便我们的选择,前10条数据已经回入防火墙,这次选择11-590,共复制580条数据。我们前面知道最大数据量是600,但是为了避免出错,建议留出一部空间,选择580条数据。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ⑨ 580条数据粘贴到NimbleText的数据区。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ⑩ 生成580条数据的脚本。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ⑪ 这次执行脚本成功了。得到结果是一次性将580条地址对象加入一个地址组。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ⑫ 查看地址组,里面有580条地址对象。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ⑬ 再次生成最后60条数据脚本,成功的在防火墙上执行了脚本,但是。。。。地址组也只剩下60条地址对象了。这是为什么?原来每次 set member 命令都是重新设置成员,而不是加入成员,而且每个组的成员不能超过600个,那么联通的650个地址对象怎么办?很显然无法放入一个地址组中。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ⑮ 建议将前500条数据,加入一个地址组。500是整数,好记,另外给地址组预留一些空间。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ⑯ 将后150条数据加入另外一个组。分别生成两个脚本文件。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ⑰ 删除防火墙上前面创建的关于联通的所有地址组和地址对象,然后重新运行脚本。两个脚本都运行成功。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ⑱ 在菜单【策略&对象】-【地址】下,可以看到有650条联通的地址对象。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ⑲ 而在地址组窗口,也可以看到有两个关于联通的地址组,一个有500条地址对象,另一个有150条地址对象。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ⑳ 为了方便操作,可以将两个联通地址组再统一加入到Unicom_GRP组中,这样只要引用一个地址组就可以了。

  路由分流

  当我们拥有地址对象和地址组后,就可以通过路由分流了。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ① 可以创建静态路由,目标地址选择【地址命名】,下拉选择联通地址组。接口选择联通宽带。这样当访问的IP是联通地址时,会走Wan2联通宽带出去。

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,运营商,所属IP,分流,地址对象,地址组

  ② 可以创建策略路由,例如内网接口所有IP访问联通IP地址时走Wan2联通宽带出去。

  【总结】 将运营商所属IP网段创建地址对象和地址组,通过路由匹配,访问不同运营商IP时走所属运营商宽带出去,可以加快访问速度。每个地址组最多只能加600个地址对象。地址组可以加入另一个地址组。文章来源地址https://www.toymoban.com/news/detail-799741.html


到了这里,关于【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络基础-思科-模拟构建家庭-ISP运营商网络

    一次在思科模拟器里进行的中型局域网架构实战,没有感情全是干货,所有构建网络需要的知识点和技术都有详解 第三篇会给配置好的pkt文件,这是第一部分 1、放置设备并连线(最好标注接口号,方便后续配置) Router-PT-Empty这个设备本身是没有接口的,必须加板卡 在硬件

    2024年02月03日
    浏览(74)
  • 华为配置ISP选路实现报文按运营商转发

    介绍通过配置ISP选路实现报文按运营商转发的配置举例。 组网需求 如图1所示,FW作为安全网关部署在网络出口,企业分别从ISP1和ISP2租用一条链路。 企业希望访问Server 1的报文从ISP1链路转发,访问Server 2的报文从ISP2链路转发。 当其中一条链路故障时,后续流量可以通过另一

    2024年03月16日
    浏览(37)
  • 从美油管运营商被勒索事件浅谈安全行业

    国内外各大安全厂商或媒体都在争相报道Colonial Pipeline被勒索事件以及美国宣布进入国家紧急状态等,此次网络攻击事件最早爆光在5月8号,笔者先给大家梳理一下这次攻击事件的一些相关信息。 5月8号(上周五),美国最大的燃油料管道-殖民地管道公司(Colonial Pipeline)受到网络

    2024年02月21日
    浏览(36)
  • 中国四大骨干网和三大运营商网络是什么关系?

    中国四大骨干网和三大运营商网络是什么关系? 来源: “鲜枣课堂”公众号 骨干网是什么; 几台计算机连接起来,互相可以看到其他人的文件,这叫局域网,整个城市的计算机都连接起来,就是城域网,把城市之间连接起来的网就叫骨干网。这些骨干网是国家批准的可以直

    2024年02月16日
    浏览(40)
  • 运营商精准大数据获客 快速精准触达目标用户

    【导语】 运营商大数据”现在已经被各行业,与各中小微企业熟知,但是很多人也只是在听说的程度,却没有真正的使用过“运营商大数据”,都说“运营商大数据”的“获客”能力很厉害,可以“精准获客”,但是真正体验过的人很有限。接下来小编就从几个维度对“运营

    2024年02月11日
    浏览(34)
  • 运营商三要素 API:构建安全高效的身份验证系统

    前言 当今数字化的世界中,身份验证是各行各业中至关重要的一环。为了保护用户的隐私和数据安全,企业需要寻求一种既安全可靠又高效便捷的身份验证方式。运营商三要素 API 应运而生,为构建安全高效的身份验证系统提供了有力的解决方案。 运营商三要素API简介 运营

    2024年02月12日
    浏览(41)
  • 【Android】获取手机上所有电话卡的运营商和信号强度

    同一张卡的网络信号,有2G,3G,4G,5G等多种 这里主要实现4G和5G信号强度的获取,2G和3G的获取方式雷同 但由于现在已经不常用了,所以不再写多余的代码

    2024年02月11日
    浏览(39)
  • 5G已难拉动收入增长,运营商对于高投入的5G左右为难

    随着三大运营商的5G用户数突破10亿,5G已很难拉动ARPU的增长了,表现出来的业绩就是增长快速放缓,工信部披露的数据显示移动数据业务收入增长已接近于零。 工信部发布了“2023年1-5月份通信业经济运行情况”显示三大运营商的移动数据业务收入为2770亿元,占电信业务收

    2024年02月11日
    浏览(55)
  • 三大运营商乘风破浪,为什么离不开BAT等互联网企业?

    【全球云观察 | 热点关注】 对于中国联通从2017年开始的混改,业界关注挺多,之后确实带入了互联网企业如腾讯、京东、阿里、百度等参与,从而对中国联通在云计算、物联网等新兴技术领域的发展激发了业务的创新热情。 特别是2022年11月的多方消息称,联通与腾讯设立

    2023年04月08日
    浏览(43)
  • 移远通信率先完成5G RedCap运营商实网测试,为商用部署奠定良好基础

    近日,移远通信Rx255C 5G RedCap系列模组在上海率先完成了运营商RedCap实网环境下的测试,并成功验证了RedCap网络接入等一系列能力,为加速RedCap在中高速物联网领域的商用部署奠定了良好的基础。 位于上海市嘉定区的RedCap实网测试现场 本次外场测试基于上海联通在嘉定区部署

    2024年02月11日
    浏览(48)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包