Fortinet FortiBridge 1000, Configuration

Page: 135 / 286

网络配置 在您的内部网络中提 供 DHCP 服务
FortiGate-1000 安装和配置指南
121
策略 路由
策略 路由 拓 展 了 目的路由的 功 能。您可以使用 策略 路由根据以 下 内容路由 通讯 ：
·源地址
· 协议 、服务 类 型或 端 口范 围
·进 入的或 源 接口
您可以使用 策略 路由 创建 一个路由 策略数 据 库 (RPDB) ，从一 组 路由规 则 中 为通讯
找 出 适 当 的路由。 要为通讯 选 择 一个路由， FortiGate 从 头 搜索 RPDB 寻 找与通讯匹 配
的路由 策略 。 搜索 到的第一个 匹 配的 策略 将 被 用于设置 通讯 的路由。路由支持网络 跳
跃 网关和用于 此 通讯 的 FortiGate 接口。
数 据包在 匹 配目的 策略 之 前先匹 配 策略 路由。如果一个 数 据包不能 匹 配 策略 路由，
它将使用目的路由 进 行路由。
添加 到 策略 路由的网关 必 须也 添加 到一 条 目的路由。 当 FortiGate 设备使用 RPDB
中的一 条 路由 匹 配 数 据包的时 候 ， FortiGate 设备在目的路由表中 寻 找添加 到 策略 路由
的网关。如果 找 到 了 一 条匹 配的内容， FortiGate 将使用 匹 配的目的路由 记 录路由 这 个
数 据包。如果 没 有 找 到 匹 配的内容， FortiGate 将使用 常 规路由 条 目 进 行路由。
在 寻 找 带 有 匹 配的网关的路由的过程中， FortiGate 设备从目的路由表 顶 部开始 搜
索 ， 直 到它发现 了 第一 条匹 配的路由。 这 个 匹 配的路由 被 用 来 路由 数 据包。
关于 策略 路由的例子，请 见 第 41 页 “ 策略 路由的例子 ” 。
策略 路由命令 语 法
使用以 下 CLI 命令配置 策略 路由。
set system route policy <
路由 编 号
_
整数
> src <
源
_ip> <
源
_
掩 码
>
iifname <
源 接口
_
名 称
> dst <
目的
_ip> <
目的
_
掩 码
> oifname <
目的接口
_
名
称
> protocol <
协议
_
整数
> port <
低端 口
_
整数
> <
高 端 口
_
整数
> gw <
网关
_ip>
在第 六 卷：
FortiGateCLI 参 考 指南
中有关于 策略 路由 语 法 的 完整 叙 述 。
在您的内部网络中提 供 DHCP 服务
如果 FortiGate 设备 运 行在 NAT/ 路由模式，您可以使用 CLI 命令
set system
dhcpserver
将 FortiGate 设备配置 为 您的内部网络中的 DHCP 服务 器 。 表 2 描 述了
set
system dhcpserver
命令的 语 法 。
‘
表 2: 设置
system dhcpserver
命令 语 法
关 键 词 说明
defaultroute <
网关
_ip>
要为 DHCP 客户 端 指定的默认路由。默认路由、 排除 范 围 、 IP 范
围 和保 留 IP 地址 必 须 在内部接口的 同 一子网内。
dns <dns_ip>
[<dns_ip>] [<dns_ip>]
DHCP 客户 端 可以用 来 解析域名 的 DNS 服务 器地址 ， 最 多可以设
置 三 个。使用 空 格 分隔 IP 地址 。 要删除 一个 DNS IP 地址 ，将
IP 设置 为 0.0.0.0 。
domain <
域名 字 符串
>
DHCP 服务 器分 配 给 DHCP 客户 端 的 域名 。