飛塔防火墻的路由與透明模式

路由與透明模式

Course301支持的路由類型設(shè)置FortiGate設(shè)備的路由是指設(shè)置提供給FortiGate設(shè)備將數(shù)據(jù)包轉(zhuǎn)發(fā)到一個特殊目的地的所需的信息靜態(tài)靜態(tài)路由直連網(wǎng)絡(luò)缺省路由動態(tài)RIPOSPFBGP策略路由網(wǎng)關(guān)檢測使用“pingserver”(GUI)或者“detectserver”(CLI)用ICMPping來檢測某主機(jī)是否能夠抵達(dá)來判斷所指定的接口是否工作ICMPping間歇和閾值都是可以配置的路由的判斷過程（一）1、當(dāng)數(shù)據(jù)包抵達(dá)FortiGate接口時，F(xiàn)ortiGate首先根據(jù)數(shù)據(jù)包的標(biāo)志位比對會話表，如果發(fā)現(xiàn)有對應(yīng)的會話，則轉(zhuǎn)發(fā)該數(shù)據(jù)包。2、FortiGate截取數(shù)據(jù)包的源地址，看是否可以能夠根據(jù)路由與該源IP通訊，如果無法與該源地址通訊，則會丟棄該數(shù)據(jù)包。3、目標(biāo)地址如果在本地的地址范圍內(nèi)，F(xiàn)ortiGate則轉(zhuǎn)發(fā)到相應(yīng)的設(shè)備上。4、如果數(shù)據(jù)包目標(biāo)地址是下一個網(wǎng)絡(luò)，則FortiGate根據(jù)路由表將數(shù)據(jù)包轉(zhuǎn)發(fā)到下一跳地址路由的判斷過程（二）判斷的優(yōu)先級：1、子網(wǎng)掩碼，子網(wǎng)掩碼大的，也就是說網(wǎng)絡(luò)范圍小的，優(yōu)先2、管理距離(distance)，管理距離小的有限3、路由的優(yōu)先級優(yōu)先級設(shè)置越低，越接近首選路由

如何讓3優(yōu)先于2？路由的判斷過程（三）多路徑選擇當(dāng)路由表中幾條進(jìn)入的條目到達(dá)的是同一個目的地時，會發(fā)生多路徑路由。多路徑路由發(fā)生時，F(xiàn)ortiGate設(shè)備中對于進(jìn)入的數(shù)據(jù)包可能存在幾個可能的目標(biāo)地址，迫使FortiGate設(shè)備判定哪個下一站中繼是最佳的選擇。兩種方法可以手動解決到達(dá)同一目的地存在多條路由路線的問題，一是降低路線的管理距離，二是設(shè)置路由路線的優(yōu)先級。管理距離決定可用路由的優(yōu)先級。路由表中的所有條目都有對應(yīng)的管理距離。如果路由表中包含的幾個條目指向同一個目的地時（這些條目可能具有不同的網(wǎng)關(guān)與接口通信設(shè)置），F(xiàn)ortiGate設(shè)備將各個條目的管理距離進(jìn)行比較，選擇具有最低管理距離的條目將其放置在FortiGate轉(zhuǎn)發(fā)列表中作為路由路線。由此，F(xiàn)ortiGate轉(zhuǎn)發(fā)列表中只包含具有最低管理距離到達(dá)各個可能的目的地的路由。

等同花費多路線路由（ECMP:equalcostmultipathroutes）到同一目的地存在不止一條路由路線時，便產(chǎn)生安裝并使用哪條路由這樣的問題。有關(guān)解決這樣問題的方法，設(shè)置管理距離與路由優(yōu)先級，在上文中有過敘述。但是，當(dāng)這樣的路由的管理距離與優(yōu)先級設(shè)置都相同時，便成為等同花費多路線路由（ECMP:equalcostmultipathroutes）。如果對ECMP啟動了負(fù)載平衡，那么不同的會話將使用不同的路由到達(dá)相同的地址。

路由的判斷過程（四）缺省的路徑長度路由協(xié)議默認(rèn)管理距離直接的物理連接1靜態(tài)路由10EBGP20RIP110OSPF120IBGP200動態(tài)接口生成的路徑長度和優(yōu)先級接口屬性中設(shè)置路徑長度命令行下的接口屬性中設(shè)置優(yōu)先級(priority)只有當(dāng)接口設(shè)置為DHCP或PPPoE動態(tài)獲得IP后，該選項才可以設(shè)置策略路由路由策略將流量與靜態(tài)路由綁定，目的在于實現(xiàn)允許某些類型的流量進(jìn)行不同的路由。通過進(jìn)入（向內(nèi)）流量的協(xié)議、源地址或接口、目標(biāo)地址或端口號判斷流量被發(fā)送到的目標(biāo)位置。舉例說明，通常情況下網(wǎng)絡(luò)流量進(jìn)入子網(wǎng)中的路由器，但是您想SMTP或POP3流量直接發(fā)送到郵件服務(wù)器。這種情況下可以應(yīng)用策略路由。路由策略已存在且數(shù)據(jù)包到達(dá)FortiGate設(shè)備時，F(xiàn)ortiGate設(shè)備根據(jù)策略路由表逐次查看并試圖找到與該數(shù)據(jù)包相匹配的策略。如果發(fā)現(xiàn)匹配信息并且策略中包含了足夠的信息路由數(shù)據(jù)包（必須注明下一站路由的IP地址以及將數(shù)據(jù)包轉(zhuǎn)發(fā)FortiGate設(shè)備的接口），F(xiàn)ortiGate設(shè)備使用策略中的信息路由數(shù)據(jù)包。如果沒有與數(shù)據(jù)包相匹配的策略，F(xiàn)ortiGate設(shè)備使用路由表路由數(shù)據(jù)包。注意：因為大多數(shù)策略設(shè)置是可選項，一個匹配的策略可能還不足以提供給FortiGate設(shè)備足夠的信息轉(zhuǎn)發(fā)數(shù)據(jù)包。FortiGate設(shè)備將轉(zhuǎn)向參考路由表試圖將傳送的數(shù)據(jù)包報頭的信息與路由表中的路由相匹配。舉例說明，如果策略中只列出向外的接口名稱，F(xiàn)ortiGate設(shè)備將在路由表中查詢下一站路由的IP地址。這種情況只有在FortiGate設(shè)備接口是動態(tài)的接收IP（例如對FortiGate設(shè)備接口設(shè)置了DHCP或PPPoE）或因為IP地址是動態(tài)更改狀態(tài)您不能夠指定下一站路由的IP地址下發(fā)生。RIP說明RIP是距離向量協(xié)議，用于小型且相對同構(gòu)網(wǎng)絡(luò)。FortiGate設(shè)備執(zhí)行的RIP（路由信息協(xié)議）既支持RFC1058定義的RIP版本1也支持RFC2453定義的RIP版本2。RIP版本2能夠使RIP信息承載更多的信息并支持單一認(rèn)證與子網(wǎng)掩碼。啟動RIP后，F(xiàn)ortiGate設(shè)備從每個啟動RIP的接口廣播RIP更新的請求。鄰近的路由器將其路由表信息作為回應(yīng)發(fā)送到FortiGate設(shè)備。FortiGate設(shè)備將把從鄰近路由獲得的信息進(jìn)行篩選，將設(shè)備路由表中不存在的路由信息添加在路由表中。當(dāng)一條路由已經(jīng)在路由表中存在，F(xiàn)ortiGate設(shè)備將廣播的路由與記錄在路由表中路由相比較篩選最佳路由。RIP是距離向量路由協(xié)議，適用于相對同構(gòu)的網(wǎng)絡(luò)。RIP的向量是基于跳數(shù)的。跳數(shù)為1表示該網(wǎng)絡(luò)直接與FortiGate設(shè)備相連接，跳數(shù)16表示FortiGate設(shè)備連接不到該網(wǎng)絡(luò)。數(shù)據(jù)包到達(dá)目的地所穿越的每個網(wǎng)絡(luò)通常規(guī)定為1跳。FortiGate設(shè)備將兩項到達(dá)同一目標(biāo)地址的路由相比較，路由跳數(shù)較低的路由項將被添加到路由表中。同樣，當(dāng)接口啟動了RIP時，F(xiàn)ortiGate設(shè)備以常規(guī)標(biāo)準(zhǔn)對鄰近的路由器發(fā)送RIP響應(yīng)。根據(jù)您對廣播這些路由項的設(shè)置，更新信息中包含F(xiàn)ortiGate設(shè)備路由的信息。您可以設(shè)定FortiGate發(fā)送更新的頻率；一項路由在FortiGate路由表保持多長時間不被更新或不被定期更新；在一項路由從FortiGate路由表刪除之前多長時間FortiGate設(shè)備廣播該路由是不可達(dá)的。RIP啟用進(jìn)入“路由>動態(tài)路由>RIP”。選擇所要編輯的啟動了RIP設(shè)置的接口，點擊對應(yīng)的編輯圖標(biāo)。設(shè)置接口。設(shè)置發(fā)送與接收RIP版本。設(shè)置驗證級別。作為可選項，設(shè)置被動屏蔽RIP廣播。點擊OK保存設(shè)置并返回到“路由>動態(tài)>RIP”。RIP選項說明RIP版本

設(shè)置FortiGate設(shè)備兼容的RIP版本。您可以對與啟動了RIP設(shè)置的網(wǎng)絡(luò)連接的FortiGate設(shè)備所有接口的全局RIP設(shè)置。選中1即發(fā)送與接收RIP版本1數(shù)據(jù)包。選中2即發(fā)送與接收RIP版本2數(shù)據(jù)包。如需要，可以撤消具體的FortiGate接口的全局設(shè)置。（參見“撤消接口的RIP操作參數(shù)”）各個網(wǎng)絡(luò)與FortiGate設(shè)備連接的運行RIP的網(wǎng)絡(luò)IP地址與掩碼。將一個網(wǎng)絡(luò)添加在網(wǎng)絡(luò)列表中，與該網(wǎng)絡(luò)連接的FortiGate設(shè)備的接口將在RIP更新中被廣播?？梢耘渲脤εcRIP網(wǎng)絡(luò)地址相匹配的FortiGate設(shè)備接口的IP地址啟動RIP設(shè)置IP/掩碼輸入啟動了RIP設(shè)置網(wǎng)絡(luò)的IP地址與掩碼。添加點擊將該網(wǎng)絡(luò)的信息添加在網(wǎng)絡(luò)列表中。各個接口FortiGate設(shè)備接口中需要調(diào)整RIP操作的任何其他設(shè)置。

新建配置接口的RIP操作參數(shù)。這些參數(shù)將取代該接口設(shè)置全局RIP設(shè)置生效。參見“撤消接口的RIP操作參數(shù)”。接口點擊選擇配置RIP參數(shù)的接口。發(fā)送選擇通過每個接口發(fā)送更新的RIP版本。接收選擇每個接口中用戶獲得更新的RIP版本號。認(rèn)證選擇該接口的認(rèn)證類型：無，文本或MD5。被動設(shè)置在該接口屏蔽RIP廣播。刪除與編輯圖標(biāo)刪除或編輯一項RIP網(wǎng)絡(luò)條目或RIP接口定義。RIP高級選項（一）缺省跳數(shù)輸入FortiGate分配的用于到添加在路由表中的跳數(shù)。跳數(shù)設(shè)置的范圍是1到16之間任何的數(shù)字。除非另行指定，該值同樣適用于路由重新發(fā)布設(shè)置。啟動產(chǎn)生缺省路由點擊生成并無條件將路由信息廣播到與FortiGate設(shè)備相連接的啟動RIP設(shè)置的網(wǎng)絡(luò)。所生成的路由信息可以是基于動態(tài)路由協(xié)議或路由表中的路由信息。RIP定時器替換默認(rèn)的RIP計時器設(shè)置。默認(rèn)的設(shè)置對于大部分配置是可以生效的，您更改這些設(shè)置時，請確定新的設(shè)置與本地路由器火訪問服務(wù)器是可以兼容的。更新

RIP更新發(fā)送的時間間隔（秒計）。失效將失效的路由信息刪除之前的計時。如果RIP在超時計時器之后但是在Garbage計時器超時之前接收到一個路由更新，該更新將是有效的。超時一條路由信息宣布無效之后時間間隔（以秒計）。該路由信息將從路由表中刪除。RIP保持該路由直至garbage計時超時，然后將該路由刪除。如果在超時計時器過時之前RIP接收到一條更新，超時計時器將重新啟動計時。如果RIP在超時計時器過時之后但是在garbage計時器過期之前接收到一條路由更新，該更新將恢復(fù)為可以獲得的信息。超時計時器的設(shè)置值應(yīng)該是更新計時器設(shè)置值的至少三倍。RIP高級選項（二）路由重發(fā)布啟動或撤消通過RIP獲得路由的RIP更新。FortiGate設(shè)備可以使用RIP將直接連接的網(wǎng)絡(luò)、靜態(tài)路由、OSPF或BGP獲得的路由信息重新發(fā)布。直連路由廣播從直接連接的網(wǎng)絡(luò)獲得的路徑。如果您想指定這些路由的跳數(shù)，在跳數(shù)字段輸入跳數(shù)值，設(shè)定范圍是1到16之間的任何整數(shù)。靜態(tài)路由廣播從靜態(tài)路由獲得的路由信息。如果您想指定這些路由的跳數(shù)，在跳數(shù)字段輸入跳數(shù)值，設(shè)定范圍是1到16之間的任何整數(shù)。OSPF廣播從OSPF獲得的路由信息。如果您想指定這些路由的跳數(shù)，在跳數(shù)字段輸入跳數(shù)值，設(shè)定范圍是1到16之間的任何整數(shù)。BGP廣播從BGP獲得的路由信息。如果您想指定這些路由的跳數(shù)，在跳數(shù)字段輸入跳數(shù)值，設(shè)定范圍是1到16之間的任何整數(shù)。接口設(shè)置接口選擇這些設(shè)置應(yīng)用的FortiGate接口名稱。該接口必須與啟動了RIP配置的網(wǎng)絡(luò)連接。該接口可以是虛擬IPSec或GRE接口。發(fā)送版本/接收版本通過接口發(fā)送與接收更新設(shè)置默認(rèn)的兼容RIP：RIP版本1，RIP版本2或兩者都。認(rèn)證設(shè)置在指定的接口發(fā)送與接收的RIP信息驗證的方式。

驗證設(shè)置為“無”，將不執(zhí)行驗證。

如果接口與運行RIP版本2的網(wǎng)絡(luò)連接，設(shè)置“文本”方式驗證并在密碼字段中輸入密碼（密碼最大可以設(shè)置為35個字符）。FortiGate設(shè)備與RIP更新路由器必須配置相同的密碼。密碼通過網(wǎng)絡(luò)以文本格式發(fā)送選擇MD5即使用MD5驗證來往的RIP更新。被動接口設(shè)置接口不廣播路由信息。如要接口對RIP請求作出反應(yīng)，撤消該設(shè)置。OSPFOSPF(OSPF:openshortestpathfirst)是一種鏈路狀態(tài)協(xié)議，最常用于異構(gòu)網(wǎng)絡(luò)中在相同的自主域(AS:automonoussystem)中共享路由信息。FortiGate設(shè)備支持OSPF版本2（參見RFC2328）。一個OSPF自主域(AS:automonoussystem)是由邊界路由器鏈接的分割為不同邏輯區(qū)域組成的系統(tǒng)。一個區(qū)域由一組同構(gòu)網(wǎng)絡(luò)構(gòu)成。一個區(qū)域邊界路由器通過一個或多個區(qū)域鏈接到OSPF主干網(wǎng)絡(luò)（區(qū)域ID為0）。定義自治域進(jìn)入“路由>動態(tài)路由>OSPF”。在“區(qū)域”項下，點擊“新建”。定義一個或多個OSPF區(qū)域特征。在“網(wǎng)絡(luò)”項下，點擊“新建”。建立所定義的區(qū)域與屬于OSPF自主域的本地網(wǎng)絡(luò)的通信連接。、如需要，調(diào)整啟動了OSPF設(shè)置的接口配置。點擊“接口”項下的“新建”。配置接口的OSPF操作參數(shù)。參見“配置OSPF接口的操作參數(shù)”。如需要，配置其他啟動了OSPF設(shè)置接口的參數(shù)。如需要，點擊配置OSPF自主域的“高級OSPF選項”。點擊“應(yīng)用”。自治域的參數(shù)(一)路由ID輸入唯一性的路由ID，用以區(qū)分FortiGate設(shè)備與其它OSPF路由。常規(guī)情況下，該路由ID是OSPF自主域中按序分配到FortiGate任何一個接口的最高IP地址。OSPF運行時不要更改路由ID。區(qū)有關(guān)組成OSPF自主系統(tǒng)的區(qū)域信息。OSPF數(shù)據(jù)包的報頭包含一個區(qū)域ID，該ID用來識別自主系統(tǒng)中的數(shù)據(jù)包發(fā)生源區(qū)域區(qū)域ID為是自主系統(tǒng)的主干區(qū)域。類型自主系統(tǒng)中區(qū)域的類型。有關(guān)區(qū)域是一個常規(guī)的OSPF區(qū)域，顯示“常規(guī)”。區(qū)域是非純stub區(qū)域，顯示“NSSA”。區(qū)域是stub區(qū)域，顯示“Stub”。驗證通過與每個區(qū)域鏈接的所有FortiGate接口發(fā)送與接收OSPF數(shù)據(jù)包的驗證方法。沒有啟動驗證設(shè)置時顯示“無”。啟動基于文本的密碼驗證時顯示“文本”。啟動MD5驗證時顯示“MD5”。在一個區(qū)域中的一些接口可以應(yīng)用不同的驗證設(shè)置，不同的驗證方法將在接口的設(shè)置項下顯示。例如，如果一個區(qū)域只應(yīng)用密碼驗證，您可以在該區(qū)域中的一個或多個網(wǎng)絡(luò)的中設(shè)置不同的密碼。自治域的參數(shù)(二)各個網(wǎng)絡(luò)OSPF自主系統(tǒng)中的網(wǎng)絡(luò)與其區(qū)域ID。將網(wǎng)絡(luò)添加在網(wǎng)絡(luò)列表中，與該網(wǎng)絡(luò)發(fā)生通信的全部接口的信息將全部列入OSPF鏈路狀態(tài)通告。您可以對與OSPF網(wǎng)絡(luò)地址相匹配的FortiGate接口IP地址啟動OSPF設(shè)置。新建點擊在自主系統(tǒng)中添加網(wǎng)絡(luò)以及設(shè)定該區(qū)域的ID，并將新建的網(wǎng)絡(luò)添加在網(wǎng)絡(luò)列表中。參見“設(shè)定OSPF網(wǎng)絡(luò)”。網(wǎng)絡(luò)自主系統(tǒng)中運行OSPF的網(wǎng)絡(luò)IP地址與掩碼。FortiGate設(shè)備中可能有物理接口或VLAN接口與該網(wǎng)絡(luò)連接。區(qū)域分配到OSPF網(wǎng)絡(luò)的區(qū)域ID。各個接口FortiGate設(shè)備接口中OSPF設(shè)置的其他選項。新建添加FortiGate設(shè)備接口其它的OSPF操作參數(shù)，并將新建接口添加到接口列表中。參見“設(shè)置OSPF接口的操作參數(shù)”。名稱OSPF接口的名稱。接口配置應(yīng)用OSPF設(shè)置的FortiGate設(shè)備物理或VLAN接口名稱，用于區(qū)分在同一區(qū)域中分配到其他接口的默認(rèn)值。IP具有其他不同設(shè)置的且啟動了OSPF配置接口的IP地址。驗證驗證通過啟動OSPF設(shè)置的接口發(fā)送與接收鏈路狀態(tài)通告的方法。該設(shè)置將代替區(qū)域驗證的設(shè)置。OSPF接口（一）接口選擇與該OSPF接口通信的FortiGate設(shè)備接口。例如，port1,external接口或VLAN_1。FortiGate設(shè)備可以使用物理接口、VLAN、虛擬IPSec或GRE接口連接啟動OSPF設(shè)置的網(wǎng)絡(luò)。IP地址輸入分配到啟動OSPF設(shè)置接口的IP地址。該接口支持運行OSPF，因為其IP地址與OSPF網(wǎng)絡(luò)的地址相匹配。例如，如果定義OSPF網(wǎng)絡(luò)地址為/24，對port1分配的IP地址為40與網(wǎng)絡(luò)地址相匹配，接口便啟動了OSPF設(shè)置。認(rèn)證設(shè)置在指定接口LSA互換時應(yīng)用的驗證方式。設(shè)置為“無”中止驗證。設(shè)置為“文本”使用基于純文本的密碼方式驗證LSA。密碼設(shè)置最大長度為35個字符設(shè)置為“MD5”使用一個或更多密鑰生成MD5hash。該設(shè)置優(yōu)先于區(qū)域中設(shè)置的驗證方式。OSPF接口（二）密碼輸入純文本格式的密碼。輸入一串字母數(shù)字混合的最多為15位的字符。發(fā)送LSA到FortiGate接口的OSPF鄰居必須配置使用相同的密碼。密碼輸入字段只有您使用以純文本密碼方式驗證時可用。MD5密鑰在ID字段（范圍為1到255），對（第一個）密碼輸入密鑰標(biāo)識符。然后在密鑰字段輸入相關(guān)的密碼。密碼的最大設(shè)置長度為16位數(shù)字與字母混合的字符串。發(fā)送LSA到該接口的OSPF鄰居必須設(shè)置相同的MD5密鑰。如果OSPF鄰居使用不止一個密鑰生成MD5hash，點擊添加圖標(biāo)將其他的MD5密鑰添加在列表。該字段只有您設(shè)置以MD5方式驗證時可用。Hello間隔作為可選項，設(shè)置hellointerval與所有OSPF鄰居的Hellointerval設(shè)置相兼容。該時間間隔是通過設(shè)置的接口發(fā)送hello數(shù)據(jù)包的時間。

失效間隔作為可選項，設(shè)置失效間隔與所有OSPF鄰居的失效間隔設(shè)置相兼容。該設(shè)置是定義FortiGate設(shè)備等待通過接口從OSPF鄰居接收hello數(shù)據(jù)包的時間。如果FortiGate設(shè)備沒有在設(shè)定的時間內(nèi)接收hello數(shù)據(jù)包，F(xiàn)ortiGate設(shè)備認(rèn)為該OSPF鄰居不可達(dá)。常規(guī)配置下，失效間隔的設(shè)置值是hello間隔設(shè)置值的四倍。BGP邊界網(wǎng)關(guān)協(xié)議（BGP:BorderGatewayProtocol）是ISP用來在不同的ISP網(wǎng)絡(luò)之間交換路由信息的互聯(lián)網(wǎng)路由協(xié)議。例如，BGP可以在自主域中使用RIP和/或OSPF實現(xiàn)共享ISP網(wǎng)絡(luò)之間的路徑。FortiGate設(shè)備的BGP實現(xiàn)支持BGP-4并與RFC-1771兼容。啟動BGP設(shè)置后，每當(dāng)FortiGate設(shè)備路由表中任何一部分更改，F(xiàn)ortiGate設(shè)備將發(fā)送路由表更新到鄰接的自主域(AS)。每個自主域，包括FortiGate設(shè)備所屬的本地自主域都配置了自主域編號。自主域編號參考特殊目標(biāo)網(wǎng)絡(luò)。BGP更新同時將最佳路徑廣播到目標(biāo)網(wǎng)絡(luò)。FortiGate設(shè)備接收到BGP更新時，核對可能路由的多口標(biāo)識(MED)以便將路徑記錄在FortiGate路由表之前識別到達(dá)目標(biāo)網(wǎng)絡(luò)的最佳路徑。基本的BGP選項

基本的BGP選項本地自主域輸入FortiGate設(shè)備所屬的本地自主域的編號。路由ID輸入FortiGate設(shè)備唯一路由ID以區(qū)別其他BGP路由器。路由ID是十進(jìn)制格式的、以逗點分隔的IP地址。如果在BGP運行時更改路由ID，所有到BGP對等的連接都將暫時中止，直到重新建立連接。多個鄰居鄰居自主域中BGP對等體的IP地址與自主域編號。IP輸入連接到BGP網(wǎng)絡(luò)的鄰居接口的IP地址。遠(yuǎn)程自主域輸入鄰居所屬的自主域的編號。添加/編輯點擊將網(wǎng)絡(luò)信息添加到網(wǎng)絡(luò)列表中。鄰居BGP對等的IP地址。遠(yuǎn)程自主域與BGP對等連接的自主域數(shù)量。多個網(wǎng)絡(luò)輸入廣播到BGP對等體的網(wǎng)絡(luò)IP地址與掩碼。FortiGate設(shè)備的物理接口或VLAN接口與這些網(wǎng)絡(luò)存在連接。IP/掩碼被廣播的網(wǎng)絡(luò)的IP地址與掩碼。添加點擊“添加”，在網(wǎng)絡(luò)列表中添加網(wǎng)絡(luò)信息。網(wǎng)絡(luò)被廣播到BGP隊等體的主要網(wǎng)絡(luò)的IP地址與掩碼。刪除圖標(biāo)點擊刪除一個BGP鄰居條目或BGP網(wǎng)絡(luò)。監(jiān)控路由表getrouterinforoutingall或者內(nèi)核的轉(zhuǎn)發(fā)表diag

iproutelist透明模式FortiOS的工作模式?jīng)Q定了數(shù)據(jù)包是如何轉(zhuǎn)發(fā)的透明模式使用二層轉(zhuǎn)發(fā)，以太網(wǎng)幀根據(jù)MAC地址轉(zhuǎn)發(fā)NAT/Route模式根據(jù)三層的IP數(shù)據(jù)頭中的IP地址來轉(zhuǎn)發(fā)。(策略路由使用數(shù)據(jù)頭中的額外數(shù)據(jù)透明模式——首先分析一下以太網(wǎng)幀源和目的MAC地址6byteMAC地址FortinetOUI00:09:0f廣播MACff:ff:ff:ff:ff:ff,多播MAC01:00:5e:nn:nn:nnType指出協(xié)議類型l(0x0800IP)Data如果數(shù)據(jù)少于46bytes，會填充其他東西JumboFrames(非標(biāo)準(zhǔn)的，依賴于芯片或驅(qū)動的支持)可以被FortiOS支持，也就是說可以傳播大于1500bytes以上的數(shù)據(jù)包CRC32checksum只能檢測最大到9000bytesCRC32AKAFrameCheckSequence如果有checksum錯誤，該幀會被丟掉DestinationMAC(6bytes)SourceMAC(6bytes)Type(2bytes)CRC32(4bytes)Data(46–1500bytes)以太網(wǎng)幀——VLAN標(biāo)記Type0x8100表明是802.1QVLAN標(biāo)記接下來的兩個字節(jié)是TagControlInformation前3-bits是UserPriorityField，也是應(yīng)用到以太幀的優(yōu)先級下1-bit是以太網(wǎng)幀用到的CanonicalFormatIndicator(CFI)，用來表明RoutingInformationField(RIF)下12-bits是VLANId，用來識別以太網(wǎng)幀所在的VLAN(在FortiOS中設(shè)置的Vlan類接口)DestinationMAC(6bytes)SourceMAC(6bytes)Type8100(2bytes)CRC(4bytes)Data(46–1500bytes)Type0800(2bytes)TagControlInfo(2bytes)如何從Sniffer中讀懂以太網(wǎng)數(shù)據(jù)報頭diagnosesnifferpacketport5""6interfaces=[port5]filters=[]0.793493port5--802.1Qvlan#101P0havn'tbeenaddedtosniffer0x000000090f0ba1c200090f09060581000065...............e0x001008004500…類型0x8100802.1Q標(biāo)記信息如下0---表示優(yōu)先級和格式的指示符-00后面的12個字位表示VLANID-065是

vlanid16進(jìn)制

源MAC地址目的MAC地址類型0x0800IPIP包的開始Version,headerlength,tos…透明模式——橋?qū)W習(xí)和轉(zhuǎn)發(fā)單播幀的轉(zhuǎn)發(fā)順序ADPorts2,3DAPort1QAFilteredZCPorts1,3BPort1Port2Port3AQZCDM透明模式的問題問題是如圖所示的情況下，啟用防病毒后，客戶端無法連接到FTP服務(wù)器上。為什么啟用防病毒掃描后，F(xiàn)TP數(shù)據(jù)包會被丟棄呢？TP代理和MAC地址變化用戶連接FTP服務(wù)器，數(shù)據(jù)包轉(zhuǎn)發(fā)到VLAN101的網(wǎng)關(guān)FTP代理被啟用，發(fā)送SYNACK回應(yīng)包給客戶端SYN包被路由器轉(zhuǎn)發(fā)，MAC地址發(fā)生變化透明模式下，AV代理對MAC地址變化是非常敏感的。代理需要記錄MAC地址，這樣才能產(chǎn)生新的會話FortiGate不會查詢MAC地址，僅僅轉(zhuǎn)發(fā)解決方案把Vlan101和Vlan102放到不同的虛擬域，這樣就有兩個不同的代理來處理這個數(shù)據(jù)包了最好的方式，用FortiGate來替代路由器。SpanningTreeProtocol是什么SpanningTreeSpanningTreeGroupsPVST(PerVdomSpanningTree)PVST+網(wǎng)橋之間通過BPDU（BridgeProtocolDataUnit）進(jìn)行交流。STPBPDU是一種二層報文，目的MAC是多播地址01-80-C2-00-00-00，所有支持STP協(xié)議的網(wǎng)橋都會接收并處理收到的BPDU報文。該報文的數(shù)據(jù)區(qū)里攜帶了用于生成樹計算的所有有用信息。

FortiOSTP透明模式和SpanningTreeProtocol缺省狀態(tài)下該協(xié)議是被阻斷的這主要是在透明模式的HA方式所需要的。如果啟用spanningtree則會導(dǎo)致端口被禁止而讓HA出現(xiàn)故障RootbridgeForwardingForwardingForwardingBlockingFGTopmodeTPHAA-A透明模式和802.3ad端口匯聚透明模式下的FortiGate設(shè)備可以被加入到匯聚鏈中兩個匯聚鏈被創(chuàng)建FortiGate加入到這兩個鏈的管理(LACP)端口匯聚可以使用基于2、3、4層的算法來實現(xiàn)數(shù)據(jù)流的分擔(dān)。2層的分擔(dān)是基于源MAC地址和目標(biāo)MAC地址來實現(xiàn)分擔(dān)，3層是基于源IP地址和目標(biāo)IP地址，4層是使用源端口和目標(biāo)端口MAC地址重疊的案例diagnosenetlink

brctlnamehosttrafficTP.bshowbridgecontrolinterfacetrafficTP.bhost.BridgetrafficTP.bhosttableportnodevicedevname

mac

addr

ttlattributes1022server10200:09:0f:68:34:e40LocalStatic719server10100:09:0f:68:34:e40LocalStatic517toServer00:09:0f:68:34:e40LocalStatic12port100:09:0f:68:34:e40LocalStatic23port200:09:0f:68:34:e50LocalStatic921switch10200:09:0f:68:34:e60LocalStatic820