一、前置环境准备
1. 宿主机要求
- 系统:CentOS 7 x86_64
- CPU 开启:Intel VT-x / AMD-V 虚拟化
- 关闭:防火墙、SELinux
- 网络:至少准备2张虚拟网卡(WAN口、LAN口)
2. 准备文件
- FortiGate KVM 镜像:
.qcow2格式 - 记录:管理IP、网关、DNS
二、宿主机安装 KVM 依赖
执行全套命令:
bash
yum install -y qemu-kvm libvirt libvirt-daemon-kvm virt-install virt-manager bridge-utils
systemctl start libvirtd
systemctl enable libvirtd三、配置桥接网络(必做,否则不通网)
- 新建桥接网桥
br0 - 物理网卡绑定到网桥,虚拟机网卡挂
br0
作用:让 FGT-KVM 像物理防火墙一样独立三层上网
四、命令行创建 FGT-KVM 虚拟机
把镜像放到 /data/fgt/ 目录,执行:
bash
virt-install \
--name=FGT-KVM \
--virt-type=kvm \
--os-type=linux \
--os-variant=generic \
--memory=8192 \
--vcpus=4 \
--disk path=/data/fgt/FGT.qcow2,format=qcow2,bus=virtio \
--network bridge=br0,model=virtio \
--network bridge=br0,model=virtio \
--graphics vnc,listen=0.0.0.0,port=5900 \
--noautoconsole参数说明:
- 内存8G、4核(标准企业配置)
- 两块网卡:分别做 WAN / LAN
- VNC 5900 端口可连控制台
五、首次开机初始化配置
-
VNC 连接 宿主机IP:5900 进入 FGT 控制台
-
初始账号密码
admin
空密码(首次登录强制改密) -
配置管理口 IP
cli
config system interface
edit port1
set mode static
set ip 192.168.1.99 255.255.255.0
end- 浏览器访问:
https://192.168.1.99进入 Web 管理界面
六、基础上网配置(最简单流程)
- WAN口配置拨号/静态IP
- 开启策略:LAN → WAN 全通策略
- 开启 NAT 转发
配置完内网设备即可通过 FGT 上网、过安全防护。
七、FGT-KVM 双机 HA 主备搭建步骤
- 两台 FGT-KVM 版本、固件、硬件配置一致
- 单独拉一条心跳网卡直连
- 配置 HA 组、设置 主/备 角色
- 开启会话同步,故障自动切换
- 配置同步所有策略、地址、对象
八、常用运维命令(CLI)
bash
# 查看系统版本
get system status
# 查看网卡接口
show system interface
# 重启设备
execute reboot
# 恢复出厂
execute factoryreset