引用:

原帖由 jingshne 于 2006-1-5 09:00 发表
加两条默认路由，指定不同的管理距离，数字小的会被默认激活，再加两条由内到两外的通行策略并同时启用ping 服务，以判断线路是否可用，从而决定线路的切换！

可是现在的NS版本不能加2条默认路由，要到5.1以后的版本才能实现，飞塔可以加多条码？

引用:

原帖由 dahliawoo 于 2006-1-5 20:27 发表


MZWA这个Case结了吗？结果怎么样？我现在遇到一个类似情况，虽然与我关系不大，还是挺想了解的

我手里的NS是个最早的5xp做不了试验，和厂家的工程师沟通的结果是可以这样做的。5.1以前的版本不能直接加多个默认网关，只能手动的进行切换。

引用:

原帖由 mzwa 于 2006-1-5 20:35 发表

可是现在的NS版本不能加2条默认路由，要到5.1以后的版本才能实现，飞塔可以加多条码？

可以的，FG所有双/多WAN口的都可以加~实现起来也是非常方便的。

jingshne你有没有测试过这种方案？刚才我找了一个Windows主机作了一个测试。
主机IP：192.168.153.15和192.168.1.15
route add 0.0.0.0 mask 0.0.0.0 192.168.153.1 metric 1
route add 0.0.0.0 mask 0.0.0.0 192.168.1.1 metric 3
然后tracert -d www.163.com，结果OK，显示从192.168.153.1上走的。
然后将route add结果反过来，即 192.168.1.1 metric 1,192.168.153.1 metric 3,
然后再次tracert，结果就一直time out了（从192.168.1.1上走，192.168.1.1被我离线），没有跳到192.168.153.1上面。

主机上没有做过类似测试
不过在FG中有一个关键的步骤是启用ping服务，如果不启用，那么很难自动切换过来，因为防火墙是通过ping来了解线路的通断情况并做出反映的。
所以，看你的测试结果，在想如果没有软件介入的话，估计主机上不好实现。

我在公司用204做测试，做nat模式！！可是端口之间没有流量！！在fw上ping上下行端口都可以ping通！！可是在pc上就是ping不到外网口！！我把配置传上来，大家帮忙看看！！谢谢！！

楼上的没有设置内部网地址吧。看你只建了Eth1为Trust区。

我就是用1口做的内网呀！！只是测试不用专门在设一个内网吧？？

引用:

原帖由 影子 于 2006-1-9 09:58 发表
我就是用1口做的内网呀！！只是测试不用专门在设一个内网吧？？

好了吗？现在

引用:

原帖由 影子 于 2006-1-9 09:58 发表
我就是用1口做的内网呀！！只是测试不用专门在设一个内网吧？？

我的意思是你接Trust口的那台机器的IP没有加到Trust区。

引用:

原帖由 dahliawoo 于 2006-1-13 21:01 发表


我的意思是你接Trust口的那台机器的IP没有加到Trust区。

什么意思啊？trust口连接的那台计算机加到trust区是什么意思啊？  这台计算机通过交换机或者交叉线直接连接在fw的trust口上，那这个计算机的ip地址和trust的ip是一个网段，而且网关指向trust口，或者还有一个情况：计算机的ip和trust口ip不是一个网段，但是由三层交换机实现直接的互通，此时在fw上要加回指路由。
上面说的把IP添加到trust区是什么意思啊？trust是一个zone的名称，只能是将fw的网络接口添加进某个zone，如果将一个单机的ip加到zone里面阿？

我的意思是对于那台机器在FW中新建一个IP，该IP属于Trust的IP。有些FW如果客户端的IP没有被定义为Trust，就上不了网，不知对NS是否适用。就是下面这个意思：
set address "Trust" "Myhost" 192.168.1.50 255.255.255.255

引用:

原帖由 dahliawoo 于 2006-1-14 16:30 发表
我的意思是对于那台机器在FW中新建一个IP，该IP属于Trust的IP。有些FW如果客户端的IP没有被定义为Trust，就上不了网，不知对NS是否适用。就是下面这个意思：
set address "Trust" "Myhost"  ...

ns中没有这样的设置，呵呵

呵呵！！是呀，ns中不用这样的！！
感谢大家的帮助，现在好了，配置没变，我把ns放了几天，再联上去就好了！！
估计可能是配置过后，ns还没有自动改变原有配置！！机器也有个学习过程吧！！
呵呵

引用:

原帖由 影子 于 2006-1-16 14:03 发表
呵呵！！是呀，ns中不用这样的！！
感谢大家的帮助，现在好了，配置没变，我把ns放了几天，再联上去就好了！！
估计可能是配置过后，ns还没有自动改变原有配置！！机器也有个学习过程吧！！
呵呵

天哪！！无法控制的自然因素，哈哈！！！

一、虚拟系统与虚拟路由器之间有没有什么关联，虚拟系统必须是经过物理接口来划分吗，比如：e0/0、e1/1两个为一个虚拟系统，e0/1、e0/2、e0/3又化作另一个虚拟系统，这个理解对吗？

二、能用ns的防火墙进行VLAN的终结吗，并实现VLAN之间的访问控制：比如：防火墙－－核心交换机－－接入交换机，核心交换机配置多个vlan，但是把vlan间的路由放到防火墙上完成，并实施vlan间的访问控制；如果支持，在那个级别上的墙支持勒；

三、如果turst区域有多个网段的地址，对一个网段不作nat转换，对其他两个网段做不同的nat转换，可以实现吗，如何实现勒？

谢谢啊！

第一个问题：虚拟系统和虚拟路由器在NS上面是不同的概念，虚拟系统是指内存、cpu等进行共用，物理接口分开来用的多个单独的系统。虚拟路由器是在一个虚拟系统上面建立的多个虚拟路由器，相当于把防火墙作成了两个路由器串联的情况。

第二个问题：NS作vlan的穿越肯定是没有问题的，做VLAN的终结理论上是可以的，但是很少有这样用的，而且我也没有听说谁这样用过。至于VLAN间的访问控制，还不如理解为就是不同网段间的防火墙的访问控制。呵呵，个人见解

第三个问题：非常肯定地回答是可以的，使用策略NAT实现，非常简单，而且我也这样做过，没有问题的。

新年里面想将NS防火墙更加深入的研究研究，坛子里面不知道有没有考过NS认证的，来交流一下