F-B2. 内网接口的拆分 ❀ 飞塔 (Fortinet) 防火墙

       【简介】飞塔低端防火墙大部分内网接口都是硬件交换模式，共用一个 IP 地址，如果需要在防火墙接口上配置多个 IP 地址网段，那要怎么办？

  释放指定接口

        以为飞塔防火墙 FortiGate 90D 为例，默认1-14口都是硬件交换，所有接口的IP地址都是同样的。

        ① 登录防火墙后选择菜单【系统管理】－【网络】－【接口】，点击默认的【internal】接口，选择【编辑】。

        ② 可以看到物理接口成员中，每个接口右边会有个叉，如果需要释放某个接口，点击接口右边的叉就可以了（并不是所有的接口都可以释放，最后两个不能）。

        ③ 这里只释放internal13和internal14接口，可以看到释放的接口可以独立进行配置了，可以设置为不同网段的IP地址，连接不同网段设备。

  释放所有接口

        直接点叉释放接口，最后会有两个接口不能释放。如果要想所有接口都设置成为独立的接口，那么就需要更改接口的模式了。

        ① 在默认接口【intelnal】上点击鼠标右键，可以看到【更改模式】为灰色，建是因为这个接口已经被使用了。

        ② 在internal接口的右边可以看到有两条关联，点击开可以看到一条关联是默认的允许访问外网的策略，另一条关联是打开了DHCP服务，需要把这两个关联都去掉。

        ③ 双击编辑 internal 接口，关闭DHCP服务。

        ④ 选择菜单【策略＆对象】－【策略】－【IPv4】，点击默认的内网访问外网策略，选择【删除】（以后设置防火墙上网时需要重建这条策略）。

        ⑤ 默认接口的两项关联都取消了。

       ⑥ 再次鼠标右击硬件交换接口，弹出菜单选择更改模式，如果有窗口弹出，选择接口为交换模式，确认后防火墙会重启。

        ⑦ 如果仍没有窗口弹出，则需要在命令模式下输入修改接口模式的命令，然后重新启动防火墙。成功释放所有接口后，接口默认都没有IP地址，需要通过CONSOLE口在命令模式下修改接口的IP地址。

  命令模式下释放所有接口

        用配置线连接防火墙，打开 SecureCRT 软件，登录防火墙。具体操作可以参考：

        A 连接篇 ❀ 3. 配置线连接 ❀ 飞塔 (Fortinet) 防火墙

        ① 在命令模式下，用 show system interface 命令查看系统接口信息。

        ② 如果看到独立的1号接口，说明全部拆分完成。

        ③ 但也有可能遇到另一种情况，那就是 set internal-switch-mode interface 命令已经运行了，可是接口仍然没有释放。

        ④ 查看系统内的虚拟交换。

        ⑤ 删除虚拟交换后再查看。

        ⑥ 可以所到所有接口都是独立的了，但是都没有IP地址，也就无法访问。

        ⑦ 使用命令设置接口 internal1 的IP地址，允许https等访问。

          【注意】 设置接口 IP 的时候，子网掩码为255.255.255.0，允许/24网段访问，不要设置成255.255.255.255了。     

        ⑧ 再次用浏览器访问，就可以看到所有的接口都是独立的了。