跳至主要內容

VDOM 基本配置

2025/10/29大约 4 分钟

VDOM 基本配置

VDOM 简介

虚拟域 (VDOM),即虚拟防火墙,是将一台物理的 FortiGate 划分为两个或两个以上的可以独 立运行的虚拟防火墙的技术,虚拟域技术可以将 FortiGate 划分为多个不同的 NAT/透明模式多个虚拟 FortiGate,为每一个虚拟域提供独立的安全策略,路由及 VPN 配置等。

开启 VDOM

在 config system global 下开启 vdom,vdom 模式选择 multi-vdom,开启 vdom 后需要重新登录 FortiGate。

config system global 
    set vdom-mode multi-vdom 
end
You will be logged out for the operation to take effect.
Do you want to continue? (y/n)y

开启 vdom 后,FortiGate 默认将设备分为全局域和 root vdom。可以直接点击“全局”或者“root”来切换全局域和 root vdom。

image-20230106113546949

全局用于所有 vdom 都共享的配置,如 HA,SNMP,证书等。

image-20230106113731343

使用 CLI 配置时,需要使用 config global 进入全局模式,再配置具体的功能。如配置 snmp:

config global 
    config system snmp sysinfo
        set status enable
    end
end

root vdom 是一个默认的虚拟防火墙。root vdom 默认是管理 vdom,用于和 FortiGuard 通信来更新 license,特征库等。

image-20230106113922620

使用 CLI 配置时,需要使用 config vdom 进入对应的 vdom,在配置具体的功能,如配置防火墙策略:

config vdom 
    edit root 
    config firewall policy
        edit 3
            set name "test"
            set srcintf "port5"
            set dstintf "port2"
            set action accept
            set srcaddr "all"
            set dstaddr "all"
            set schedule "always"
            set service "ALL"
            set nat enable
        next
    end
end

创建 vdom

1.GUI 创建 vdom

在全局中,选择“系统管理”

image-20230106114110850

创建 OA vdom,用于独立的 OA 业务。创建的 vdom 默认是 NAT 模式的。

image-20230106140627186

点击确认后,创建完成。

image-20230106140657444

2.CLI 创建 vdom

进入 vdom,edit vdom 名称就会直接创建一个 vdom,默认是 NAT 模式的 vdom。

config vdom 
    edit Database
end

创建完成后,可以在 GUI 界面查看。

image-20230106144545814

可以避免 CLI 误创建 vdom,可以将 vdom 创建提示打开。

config global 
    config system global 
        set edit-vdom-prompt enable 
    end
end

再次创建 vdom 时,CLI 会提示。

config vdom 
edit Web

The input VDOM name doesn't exist.
Do you want to create a new VDOM?
Please press 'y' to continue, or press 'n' to cancel. (y/n)y

current vf=Web:5

end

3.将 vdom 改为透明模式

创建 vdom 时默认是 NAT 模式,需要通过 CLI 将 vdom 修改为透明模式。

重要

如果透明模式是一进一出的环境,建议使用虚拟接口对。

config vdom 
    edit Web 
    config system settings
        set opmode transparent
        set manageip 1.1.1.1/255.255.255.0
        set gateway 1.1.1.254
    end
end

将接口划入 vdom

1.GUI 方式将接口划入 vdom

切换到全局,选择“网络”-->”接口“。

image-20230106145434177

将接口划入 OA vdom。

image-20230106145520726

可以看到 OA 已经划入到 OA vdom。

image-20230106145609559 切换到 OA vdom 查看接口。

image-20230106145708212

2.CLI 方式将接口划入 vdom

命令行如下:

config global 
    config system interface
        edit port8
            set vdom OA
        next
    end
end

GUI 查看 OA vdom 的接口。(port7 是上一个操作划入 OA vdom 的)

image-20230106145923523

修改管理 vdom

管理 vdom 用于和 FortiGuard 通信来更新 license,特征库等,因此需要连接 Internet;也可以连接 FortiManager 更新,则 FortiManager 与 FortiGuard 通信。

1.GUI 修改管理 vdom

切换到全局,选择“系统管理”-->“VDOM”,选择 vdom,点击“交换机管理”切换为管理 VDOM,点击“OK”。

image-20230106150504851

可以看到 OA 已设置为管理 vdom。

image-20230106150912304

2.CLI 修改管理 vdom

config global 
    config system global
        set management-vdom OA
    end
end

删除 vdom

1.GUI 删除 vdom

在删除 vdom 前,需要把 vdom 中的接口以及相关的配置都移除,在没有完全移除之前,是不能删除该 vdom 的。如 OA vdom。

image-20230106150222700

选择“网络”-->“接口”,将接口划入到其他的 vdom。

image-20230106151205708 当 OA 中的接口及其他相关的配置都移除后,OA vdom 可以删除。

image-20230106151318439

点击“删除”。

image-20230106151423308

确认后,OA vdom 移除。

image-20230106151453507

2.CLI 删除 vdom

在删除 vdom 前,需要把 vdom 中的接口以及相关的配置都移除,在没有完全移除之前,是不能删除该 vdom 的。

config vdom 
    delete Database 
end

GUI 查看该 vdom 已经删除。

image-20230106151610610

关闭 vdom

将 FortiGate 的其他 vdom 都删除后,才可以关闭 vdom。

image-20230106190244885

CLI 关闭 vdom,关闭 vdom 后,需要重新登录。

config global 
    config system global 
        set vdom-mode no-vdom 
    end
    
You will be logged out for the operation to take effect.
Do you want to continue? (y/n)y
最近更新:
统计数据加载中…
Copyright © 2025 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.