设置FortiGate 静态路由和策略路由
2012-12-21 16:58:09   来源：   评论：0 点击：

本文档针对所有FortiGate设备的静态路由和策略路由配置进行说明。
环境介绍：
本文使用FortiGate400A做演示。本文支持的系统版本为FortiOS v2.8及更高。

一，静态路由：不用动态路由协议，手工制定的路由条目
路由表：路由表根据目的网段掩码和管理距离决定路由优先级。
目的网段掩码越长越优先；
如果目的网段掩码相同则管理距离越小越优先。
步骤一：在路由----静态中可以看到当前静态路由，选择新建创建一条新路由。
目的IP/掩码：指要去往的IP地址段和掩码；如果全为零指所有网段。
设备：指去往下一跳的出口
网关：对段下一跳地址
管理距离：默认为10，范围从1到250，管理距离越低路由越优先。

步骤二：创建好后会增加一个相应的条目。本例中指所有去往172.22.6.0/24网络的数据包都从port1出去，下一跳为192.168.1.1。

步骤三：在路由----当前路由中可以看到路由表中列出的所有路由。

二，策略路由：当转发的数据包符合策略路由所有条件时执行策略路由，策略路由优先于路由表中所有条目，当有多个策略路由时按顺序从上致下执行。
步骤一：在路由----策略路由中新建一条策略路由。
协议端口：指数据包的三层协议号，范围从0到255，0则禁用此选项，例如，1指ICMP。
进入接口：指数据包进入FortiGate的接口
源地址/掩码：指数据包的源地址，全为零则禁用此选项。
目的地址/掩码：指数据包的目的地址，全为零则禁用此选项。
目的端口：指数据包的四层TCP/UDP端口，其他协议忽略此选项，全为零则禁用此选项。
Type of Service：指数据包IP包头中的服务类型，全为零则禁用此选项。
流出接口：强制数据包从FortiGate出去的接口
网关地址：强制数据包去往的下一跳地址，不允许全为零。

步骤二：创建好后会增加一个相应的条目。本例中指如果数据包的协议号为1，即ICMP，从port2进入，源是192.168.100.22/32，目的是172.22.6.202/32，则该数据包会从port1流出，并且下一跳改为192.168.1.20。