【简介】由于业务的需要，创建两个独立VDOM，每个VDOM有各自的宽带，但是FortiGuard服务却无法升级，有什么办法解决吗？

---

  VDOM概念

　　首先我们看看什么是VDOM。

　　① VDOM将你的FortiGate划分为多个逻辑设备，并将一个安全域划分为多个安全域。

　　每个VDOM具有独立的安全策略和路由表。此外，在默认情况下，来自一个VDOM的流量不能进入不同的VDOM。这意味着不同VDOM中的两个接口可以共享相同的IP地址，而不会出现子网重叠的问题。

　　当使用VDOM时，单个FortiGate设备将成为网络安全、UTM检测和安全通信设备的虚拟数据中心。

 　　② 当你想从一个FortiGate创建多个逻辑防火墙时，请使用multi-VDOM模式。每个VDOM都充当独立的FortiGate。

　　Multi-VDOM模式适用于利用多租户配置的托管服务提供者，或需要部门分割的大型企业环境。你可以为每个单独的租户或部门提供其VDOM的可见性和控制权，同时保持其他VDOM的独立性和不可见性。

　　可以在多VDOM模式下创建两种类型的VDOM：管理VDOM和流量VDOM。管理VDOM用于强化管理，流量VDOM允许流量通过FortiGate。

　　如果FortiGate是split-VDOM模式，升级时将转换为multi-VDOM模式。FG-traffic VDOM成为一种流量类型VDOM。根VDOM成为管理VDOM。

　　③ 从FortiGate发射的信号呢?一些系统守护进程，如NTP和FortiGuard更新，产生来自FortiGate的流量。

　　从FortiGate到这些全局服务的流量来自管理VDOM。在一个FortiGate设备上，只有一个VDOM被分配为管理VDOM的角色。

　　默认情况下，根VDOM作为管理VDOM，但你可以在mullet-VDOM模式下手动将此任务重新分配给不同的VDOM。

　　需要注意的是，管理VDOM指定只针对FortiGate产生的流量，例如FortiGuard更新，对通过FortiGate的流量没有影响。因此，管理功能可以由任何指定的VDOM执行。

　　类似于未启用VDOM的FortiGate，管理VDOM应该具有对外的internet访问。否则，诸如计划的FortiGuard更新等功能将失败。

　　④ 最常见的是独立VDOM，每个网络通过自己的VDOM访问互联网。

　　注意，这里没有inter-VDOM链接。因此，VDOM间流量是不可能的，除非它在物理上离开FortiGate，指向internet，并被重新路由回来。这种拓扑最适合这样的场景：多个客户共享一个FortiGate，每个客户在自己的VDOM中使用物理上分离的ISP。

  VDOM配置

　　下面开始在FortiOS 7.4上配置独立VDOM。

　　① 登录FortiGate防火墙，选择菜单【系统管理】-【设置】，在系统运行设置栏下启用【虚拟域】。

　　② 显示提示【更改虚拟域配置将需要你重新登录。你确定要继续吗？】，点击【OK】。

　　③ 重新登录防火墙，注意，防火墙并不会重启。在右上角多出一个VDOM菜单。VDOM分别为【全局】和【root】。

　　④ 在全局VDOM中，选择菜单【系统管理】-【VDOM】，可以看到默认root VDOM为管理VDOM。点击【新建】。

　　⑤ 输入新建虚拟域名称，如果在此VDOM下有配置FortiAP，将WiFi国家/地址设置为中国。否则保持默认即可。点击【确认】。

　　⑥ 显示提示【现在必须将接口移动到新的VDOM才能继续。】点击【Go to interface list page】。

　　⑦ 显示全局VDOM下的接口界面，接口菜单栏多出一个【虚拟域】，所有接口默认属于root。选择接口port1，点击【编辑】。

　　⑧ 将接口的虑拟域，由默认的root改为OldMei-A。点击【确认】。

　　⑨ 同样的操作，将port2、port3、port4分配给OldMei-A VDOM。

　　⑩ 再次创建VDOM OldMei-B，将port5、port6、port7、port8加入VDOM OldMei-B。除了手动加入的接口外，新创建的VDOM还有自动创建三个默认接口。 

  FortiGuard服务升级

　　目前root为管理VDOM，而FortiGuard升级是通过管理VDOM进行的。

　　① 由于root下的所有接口都没有配置宽带，因为防火墙无法连接到FortiGuard服务器。

　　② 那么在非管理VDOM配置宽带上网，是否能访问FortiGuard服务器呢？点击右上角域下拉菜单，切换到VDOM OldMei-A。

　　③ 在VDOM OleMei-A选择菜单【网络】-【接口】，可以看到分配的四个物理接口，编辑接口port1。

　　④ 输入接口的别名，角色选择【WAN】，由于port1接入的是路由器，可以自动获取IP，寻址模式这里选择【DHCP】，点击【确认】。

　　⑤ 在命令窗口Ping公网IP，可以Ping通，说明VDOM OldMei-A是可以上网的。

　　⑥ FortiGate也能解析update.fortiguard.net和service.fortiguard.net域名并Ping通，说明访问FortiGuard服务器没有问题。

　　⑦ 由于当前VDOM OldMei-A是独立VDOM，不是管理VDOM，所以在【系统管理】下并没有FortiGuard菜单。

　　⑧ 切换回全局VDOM。

　　⑨ 选择菜单【系统管理】-【FortiGuard】，可以看到已经连接FortiGuard服务器，并有通讯数据。

  早期FortiOS版本的解决办法

　　早期FortiOS版本中，独立VDOM有宽带的话是无法连接FortiGuard服务器的，必须是管理VDOM root下有宽带连接，FortiGate才可以连接FortiGuard服务器。但也有解决办法。

　　① 在全局VDOM情况下，执上图中的命令，将管理VDOM分配为VDOM OldMei-A。

　　② 选择菜单【系统管理】-【VDOM】，可以看到OldMei-A已经是管理VDOM了。

　　【总结】FortiOS 7.4版本，优化了VDOM环境中访问FortiGuard服务器的功能，即无需管理VDOM上网，即使只有独立VDOM上网，也可以访问FortiGuard服务器进行升级，而在早期FortiOS版本中，必须使用命令切换管理VDOM才能完成。

---