飞塔防火墙配置局域网主机网络唤醒

一、环境说明

网络环境：电信宽带拨号上网，拥有公网IP，飞塔防火墙位于电信光猫之后，电信光猫配置DMZ主机映射飞塔防火墙至外网，飞塔防火墙配置SSL VPN使得外网访问内网。

内网环境：一台PC使用有线网卡上网

二、内网PC开启网络唤醒

1、有线网卡开启网络唤醒功能

有线网卡支持关机不断电功能，可以持续接收数据包，实现网络唤醒功能。

      ①开启有线网卡网络唤醒功能。打开设备管理器，找到网络适配器，选择对应的有线网卡，右键属性，选择高级标签，开启网络唤醒功能，选择电源管理标签，开启网络唤醒功能。

      ②关闭Windows快速启动功能。Windows快速启动原理为关机时保存内存中的进程于硬盘中，下次开机时快速调用，类似于睡眠，并不是真正意义上的关机，既然未关机，则不能进行网络唤醒。

      打开控制面板，依次点击电源选项，选择电源按钮的功能，更改当前不可用的设置，取消勾选启用快速启动（推荐）复选框。

2、主板BIOS开启网络唤醒功能

       电脑重启进入BIOS，找到网络堆栈（Network Stack）、网络唤醒（Wake On LAN）或者Wake Up字眼，并选择开启（Enable）。

3、局域网测试网络唤醒

       ①使用任务栏中搜索打开CMD命令行，输入ipconfig /all查看有线网卡MAC地址，并记录MAC地址值XX-XX-XX-XX-XX-XX。

②使用同局域网下的手机打开微信小程序网络唤醒WakeOnLan（本机网络唤醒）或者其他软件测试网络唤醒功能（默认情况下网络唤醒魔术包为端口号为9的UDP数据包）。

③无法网络唤醒主机的排障。开启需要唤醒的PC主机，安装WakeOnLAN软件，选择封包监控诊断工具，再次使用微信小程序发送唤醒包，如果封包监控诊断工具窗口中未有数据包，则前面步骤配置出现错误。

三、防火墙配置端口映射

      ①登录飞塔防火墙，选择策略&对象-->虚拟IP-->新建-->虚拟IP，将内网192.168.1.1的PC主机端口9映射出去。

②右键点击该策略，选择使用此对象创建防火墙策略，（图中流入接口为SD-WAN接口）并开启AV反病毒，IPS等UTM安全防护功能。

四、防火墙配置ARP绑定

      PC主机关机之后会导致防火墙ARP信息消失，无法正确将网络唤醒魔术幻包送达PC主机，导致网络唤醒失败，需要对飞塔防火墙做静态ARP绑定。

      ①通过命令行连接飞塔防火墙，使用命令get system arp查看当前ARP信息（此时局域网内PC主机必须处于开机状态），找到对应的IP地址（Address）和MAC地址（Hardware Addr）以及在防火墙上对应的接口（Interface）。

②Fortigate配置静态ARP entry命令

config system arp-table

edit %value%   //%value% 是指entry的号码，每个虚拟主机的IP----MAC都给一个不同的entry number

set interface %int%

set ip 192.168.x.x  

set mac xx:xx:xx:xx:xx:xx

end

execute clear system arp table  //关键步骤，必须重制ARP表才能使刚才手动添加的静态ARP entry生效

③配置完成后，使用命令get system arp查看arp信息，对应主机ARP信息中超时时间Age（min）变为-，即不超时。

五、测试外网网络唤醒

通过微信小程序网络唤醒WakeOnLan（服务端唤醒）或者其他软件输入公网IP或域名，端口号使用9测试外网网络唤醒功能。

六、远程桌面连接

通过SSL VPN连接至局域网，使用远程桌面连接即可实现远程办公。