飛塔防火墻的路由與透明模式

1、路由與透明模式 Course 301支持的路由類型支持的路由類型設置FortiGate設備的路由是指設置提供給FortiGate設備將數(shù)據(jù)包轉發(fā)到一個特殊目的地的所需的信息 靜態(tài) 靜態(tài)路由 直連網(wǎng)絡 缺省路由動態(tài) RIP OSPF BGP策略路由網(wǎng)關檢測網(wǎng)關檢測使用“ping server” (GUI) 或者 “detect server” (CLI)用ICMP ping來檢測某主機是否能夠抵達來判斷所指定的接口是否工作ICMP ping 間歇和閾值都是可以配置的路由的判斷過程（一）路由的判斷過程（一）1、當數(shù)據(jù)包抵達FortiGate接口時，F(xiàn)ortiGate首先根據(jù)數(shù)據(jù)包的標志位比對會話表

2、，如果發(fā)現(xiàn)有對應的會話，則轉發(fā)該數(shù)據(jù)包。2、FortiGate截取數(shù)據(jù)包的源地址，看是否可以能夠根據(jù)路由與該源IP通訊，如果無法與該源地址通訊，則會丟棄該數(shù)據(jù)包。3、目標地址如果在本地的地址范圍內(nèi)，F(xiàn)ortiGate則轉發(fā)到相應的設備上。4、如果數(shù)據(jù)包目標地址是下一個網(wǎng)絡，則FortiGate根據(jù)路由表將數(shù)據(jù)包轉發(fā)到下一跳地址路由的判斷過程（二）路由的判斷過程（二）判斷的優(yōu)先級：1、子網(wǎng)掩碼，子網(wǎng)掩碼大的，也就是說網(wǎng)絡范圍小的，優(yōu)先2、管理距離(distance)，管理距離小的有限3、路由的優(yōu)先級優(yōu)先級設置越低，越接近首選路由 如何讓3優(yōu)先于2？路由的判斷過程（三）路由的判斷過程（三）多路徑選

3、擇多路徑選擇當路由表中幾條進入的條目到達的是同一個目的地時，會發(fā)生多路徑路由。多路徑路由發(fā)生時，F(xiàn)ortiGate設備中對于進入的數(shù)據(jù)包可能存在幾個可能的目標地址，迫使FortiGate設備判定哪個下一站中繼是最佳的選擇。兩種方法可以手動解決到達同一目的地存在多條路由路線的問題，一是降低路線的管理距離，二是設置路由路線的優(yōu)先級。管理距離決定可用路由的優(yōu)先級。路由表中的所有條目都有對應的管理距離。如果路由表中包含的幾個條目指向同一個目的地時（這些條目可能具有不同的網(wǎng)關與接口通信設置），F(xiàn)ortiGate設備將各個條目的管理距離進行比較，選擇具有最低管理距離的條目將其放置在FortiGate轉發(fā)列

4、表中作為路由路線。由此，F(xiàn)ortiGate轉發(fā)列表中只包含具有最低管理距離到達各個可能的目的地的路由。等同花費多路線路由（等同花費多路線路由（ECMP: equal cost multipath routesECMP: equal cost multipath routes）到同一目的地存在不止一條路由路線時，便產(chǎn)生安裝并使用哪條路由這樣的問題。有關解決這樣問題的方法，設置管理距離與路由優(yōu)先級，在上文中有過敘述。但是，當這樣的路由的管理距離與優(yōu)先級設置都相同時，便成為等同花費多路線路由（ECMP: equal cost multipath routes）。如果對ECMP啟動了負載平衡，那么不同

5、的會話將使用不同的路由到達相同的地址。 路由的判斷路由的判斷過過程（四）程（四）缺省的路徑長度缺省的路徑長度路由協(xié)議路由協(xié)議默認管理距離默認管理距離直接的物理連接1靜態(tài)路由10EBGP20RIP110OSPF120IBGP200動態(tài)接口生成的路徑長度和優(yōu)先級動態(tài)接口生成的路徑長度和優(yōu)先級接口屬性中設置路徑長度命令行下的接口屬性中設置優(yōu)先級(priority)只有當接口設置為DHCP或PPPoE動態(tài)獲得IP后，該選項才可以設置策略路由策略路由路由策略將流量與靜態(tài)路由綁定，目的在于實現(xiàn)允許某些類型的流量進行不同的路由。通過進入（向內(nèi)）流量的協(xié)議、源地址或接口、目標地址或端口號判斷流量被發(fā)送到的目標

6、位置。舉例說明，通常情況下網(wǎng)絡流量進入子網(wǎng)中的路由器，但是您想SMTP或POP3流量直接發(fā)送到郵件服務器。這種情況下可以應用策略路由。路由策略已存在且數(shù)據(jù)包到達FortiGate設備時，F(xiàn)ortiGate設備根據(jù)策略路由表逐次查看并試圖找到與該數(shù)據(jù)包相匹配的策略。如果發(fā)現(xiàn)匹配信息并且策略中包含了足夠的信息路由數(shù)據(jù)包（必須注明下一站路由的IP地址以及將數(shù)據(jù)包轉發(fā)FortiGate設備的接口），F(xiàn)ortiGate設備使用策略中的信息路由數(shù)據(jù)包。如果沒有與數(shù)據(jù)包相匹配的策略，F(xiàn)ortiGate設備使用路由表路由數(shù)據(jù)包。注意：注意：因為大多數(shù)策略設置是可選項，一個匹配的策略可能還不足以提供給Forti

7、Gate設備足夠的信息轉發(fā)數(shù)據(jù)包。FortiGate設備將轉向參考路由表試圖將傳送的數(shù)據(jù)包報頭的信息與路由表中的路由相匹配。舉例說明，如果策略中只列出向外的接口名稱，F(xiàn)ortiGate設備將在路由表中查詢下一站路由的IP地址。這種情況只有在FortiGate設備接口是動態(tài)的接收IP（例如對FortiGate設備接口設置了DHCP或PPPoE）或因為IP地址是動態(tài)更改狀態(tài)您不能夠指定下一站路由的IP地址下發(fā)生。RIPRIP說明說明RIP是距離向量協(xié)議，用于小型且相對同構網(wǎng)絡。FortiGate設備執(zhí)行的RIP（路由信息協(xié)議）既支持RFC1058定義的RIP版本1也支持RFC2453定義的RIP版

8、本2。RIP版本2能夠使RIP信息承載更多的信息并支持單一認證與子網(wǎng)掩碼。啟動RIP后，F(xiàn)ortiGate設備從每個啟動RIP的接口廣播RIP更新的請求。鄰近的路由器將其路由表信息作為回應發(fā)送到FortiGate設備。FortiGate設備將把從鄰近路由獲得的信息進行篩選，將設備路由表中不存在的路由信息添加在路由表中。當一條路由已經(jīng)在路由表中存在，F(xiàn)ortiGate設備將廣播的路由與記錄在路由表中路由相比較篩選最佳路由。RIP是距離向量路由協(xié)議，適用于相對同構的網(wǎng)絡。 RIP的向量是基于跳數(shù)的。跳數(shù)為1表示該網(wǎng)絡直接與FortiGate設備相連接，跳數(shù)16表示FortiGate設備連接不到該網(wǎng)

9、絡。數(shù)據(jù)包到達目的地所穿越的每個網(wǎng)絡通常規(guī)定為1跳。FortiGate設備將兩項到達同一目標地址的路由相比較，路由跳數(shù)較低的路由項將被添加到路由表中。同樣，當接口啟動了RIP時，F(xiàn)ortiGate設備以常規(guī)標準對鄰近的路由器發(fā)送RIP響應。根據(jù)您對廣播這些路由項的設置，更新信息中包含F(xiàn)ortiGate設備路由的信息。您可以設定FortiGate發(fā)送更新的頻率；一項路由在FortiGate路由表保持多長時間不被更新或不被定期更新；在一項路由從FortiGate路由表刪除之前多長時間FortiGate設備廣播該路由是不可達的。RIPRIP啟用啟用進入“路由動態(tài)路由RIP”。選擇所要編輯的啟動了RI

10、P設置的接口，點擊對應的編輯圖標。設置接口。設置發(fā)送與接收RIP版本。設置驗證級別。作為可選項，設置被動屏蔽RIP廣播。點擊OK保存設置并返回到“路由動態(tài)RIP”。RIPRIP選項說明選項說明RIP版本版本 設置FortiGate設備兼容的RIP版本。您可以對與啟動了RIP設置的網(wǎng)絡連接的FortiGate設備所有接口的全局RIP設置。選中1即發(fā)送與接收RIP版本1數(shù)據(jù)包。選中2即發(fā)送與接收RIP版本2數(shù)據(jù)包。如需要，可以撤消具體的FortiGate接口的全局設置。（參見“撤消接口的RIP操作參數(shù)”）各個網(wǎng)絡各個網(wǎng)絡與FortiGate設備連接的運行RIP的網(wǎng)絡IP地址與掩碼。將一個網(wǎng)絡添加在

11、網(wǎng)絡列表中，與該網(wǎng)絡連接的FortiGate設備的接口將在RIP更新中被廣播?？梢耘渲脤εcRIP網(wǎng)絡地址相匹配的FortiGate設備接口的IP地址啟動RIP設置IP/掩碼掩碼輸入啟動了RIP設置網(wǎng)絡的IP地址與掩碼。添加添加點擊將該網(wǎng)絡的信息添加在網(wǎng)絡列表中。各個接口各個接口FortiGate設備接口中需要調(diào)整RIP操作的任何其他設置。 新建新建配置接口的RIP操作參數(shù)。這些參數(shù)將取代該接口設置全局RIP設置生效。參見“撤消接口的RIP操作參數(shù)”。接口接口點擊選擇配置RIP參數(shù)的接口。發(fā)送發(fā)送選擇通過每個接口發(fā)送更新的RIP版本。接收接收選擇每個接口中用戶獲得更新的RIP版本號。認證認證選擇

12、該接口的認證類型：無，文本或MD5。被動被動設置在該接口屏蔽RIP廣播。刪除與編輯圖標刪除與編輯圖標刪除或編輯一項RIP網(wǎng)絡條目或RIP接口定義。RIPRIP高級選項（一）高級選項（一）缺省跳數(shù)缺省跳數(shù)輸入FortiGate分配的用于到添加在路由表中的跳數(shù)。跳數(shù)設置的范圍是1到16之間任何的數(shù)字。除非另行指定，該值同樣適用于路由重新發(fā)布設置。啟動產(chǎn)生缺省路由啟動產(chǎn)生缺省路由點擊生成并無條件將路由信息廣播到與FortiGate設備相連接的啟動RIP設置的網(wǎng)絡。所生成的路由信息可以是基于動態(tài)路由協(xié)議或路由表中的路由信息。RIP定時器定時器替換默認的RIP計時器設置。默認的設置對于大部分配置是可以生

13、效的，您更改這些設置時，請確定新的設置與本地路由器火訪問服務器是可以兼容的。更新更新 RIP更新發(fā)送的時間間隔（秒計）。失效失效將失效的路由信息刪除之前的計時。如果RIP在超時計時器之后但是在Garbage計時器超時之前接收到一個路由更新，該更新將是有效的。超時超時一條路由信息宣布無效之后時間間隔（以秒計）。該路由信息將從路由表中刪除。RIP保持該路由直至garbage計時超時，然后將該路由刪除。如果在超時計時器過時之前RIP接收到一條更新，超時計時器將重新啟動計時。如果RIP在超時計時器過時之后但是在garbage計時器過期之前接收到一條路由更新，該更新將恢復為可以獲得的信息。超時計時器的設

14、置值應該是更新計時器設置值的至少三倍。RIPRIP高級選項（二）高級選項（二）路由重發(fā)路由重發(fā)布布啟動或撤消通過RIP獲得路由的RIP更新。FortiGate設備可以使用RIP將直接連接的網(wǎng)絡、靜態(tài)路由、OSPF或BGP獲得的路由信息重新發(fā)布。直連直連路路由由廣播從直接連接的網(wǎng)絡獲得的路徑。如果您想指定這些路由的跳數(shù)，在跳數(shù)字段輸入跳數(shù)值，設定范圍是1到16之間的任何整數(shù)。靜態(tài)靜態(tài)路路由由廣播從靜態(tài)路由獲得的路由信息。如果您想指定這些路由的跳數(shù)，在跳數(shù)字段輸入跳數(shù)值，設定范圍是1到16之間的任何整數(shù)。OSPF廣播從OSPF獲得的路由信息。如果您想指定這些路由的跳數(shù)，在跳數(shù)字段輸入跳數(shù)值，設定范

15、圍是1到16之間的任何整數(shù)。BGP廣播從BGP獲得的路由信息。如果您想指定這些路由的跳數(shù)，在跳數(shù)字段輸入跳數(shù)值，設定范圍是1到16之間的任何整數(shù)。接口設置接口設置接口接口選擇這些設置應用的FortiGate接口名稱。該接口必須與啟動了RIP配置的網(wǎng)絡連接。該接口可以是虛擬IPSec或GRE接口。發(fā)送版本發(fā)送版本/接收版本接收版本通過接口發(fā)送與接收更新設置默認的兼容RIP：RIP版本1，RIP版本2或兩者都。認證認證設置在指定的接口發(fā)送與接收的RIP信息驗證的方式。 驗證設置為“無”，將不執(zhí)行驗證。 如果接口與運行RIP版本2的網(wǎng)絡連接，設置“文本”方式驗證并在密碼字段中輸入密碼（密碼最大可以設

16、置為35個字符）。FortiGate設備與RIP更新路由器必須配置相同的密碼。密碼通過網(wǎng)絡以文本格式發(fā)送選擇MD5即使用MD5驗證來往的RIP更新。被動接口被動接口設置接口不廣播路由信息。如要接口對RIP請求作出反應，撤消該設置。OSPFOSPFOSPF(OSPF: open shortest path first)是一種鏈路狀態(tài)協(xié)議，最常用于異構網(wǎng)絡中在相同的自主域(AS: automonous system)中共享路由信息。 FortiGate設備支持OSPF版本2（參見RFC2328）。一個OSPF自主域(AS: automonous system)是由邊界路由器鏈接的分割為不同邏輯區(qū)域

17、組成的系統(tǒng)。一個區(qū)域由一組同構網(wǎng)絡構成。一個區(qū)域邊界路由器通過一個或多個區(qū)域鏈接到OSPF主干網(wǎng)絡（區(qū)域ID為0）。定義自治域定義自治域進入“路由動態(tài)路由OSPF”。在“區(qū)域”項下，點擊“新建”。定義一個或多個OSPF區(qū)域特征。在“網(wǎng)絡”項下，點擊“新建”。建立所定義的區(qū)域與屬于OSPF自主域的本地網(wǎng)絡的通信連接。、如需要，調(diào)整啟動了OSPF設置的接口配置。點擊“接口”項下的“新建”。配置接口的OSPF操作參數(shù)。參見“配置OSPF接口的操作參數(shù)”。如需要，配置其他啟動了OSPF設置接口的參數(shù)。如需要，點擊配置OSPF自主域的“高級OSPF選項”。點擊“應用”。自治域的參數(shù)自治域的參數(shù)( (一一

18、) )路由ID輸入唯一性的路由輸入唯一性的路由ID，用以區(qū)分，用以區(qū)分FortiGate設備與其它設備與其它OSPF路由。常規(guī)情況下，該路由路由。常規(guī)情況下，該路由ID是是OSPF自主域中按序分配到自主域中按序分配到FortiGate任何一個接口的最高任何一個接口的最高IP地址。地址。OSPF運行時不要更改路運行時不要更改路由由ID。區(qū)有關組成有關組成OSPF自主系統(tǒng)的區(qū)域信息。自主系統(tǒng)的區(qū)域信息。OSPF數(shù)據(jù)包的報頭包含一個區(qū)域數(shù)據(jù)包的報頭包含一個區(qū)域ID，該，該ID用來識別自主用來識別自主系統(tǒng)中的數(shù)據(jù)包發(fā)生源系統(tǒng)中的數(shù)據(jù)包發(fā)生源區(qū)域區(qū)域區(qū)域ID為為是自主系統(tǒng)的主干區(qū)域。是自主

19、系統(tǒng)的主干區(qū)域。類型自主系統(tǒng)中區(qū)域的類型。自主系統(tǒng)中區(qū)域的類型。有關區(qū)域是一個常規(guī)的有關區(qū)域是一個常規(guī)的OSPF區(qū)域，顯示區(qū)域，顯示“常規(guī)常規(guī)”。區(qū)域是非純區(qū)域是非純stub區(qū)域，顯示區(qū)域，顯示“NSSA”。區(qū)域是區(qū)域是stub區(qū)域，顯示區(qū)域，顯示“Stub”。驗證通過與每個區(qū)域鏈接的所有通過與每個區(qū)域鏈接的所有FortiGate接口發(fā)送與接收接口發(fā)送與接收OSPF數(shù)據(jù)包的驗證方法。數(shù)據(jù)包的驗證方法。沒有啟動驗證設置時顯示沒有啟動驗證設置時顯示“無無”。啟動基于文本的密碼驗證時顯示啟動基于文本的密碼驗證時顯示“文本文本”。啟動啟動MD5驗證時顯示驗證時顯示“MD5”。在一個區(qū)域中的一些接口可以

20、應用不同的驗證設置，不同的驗證方法將在接口的設在一個區(qū)域中的一些接口可以應用不同的驗證設置，不同的驗證方法將在接口的設置項下顯示。例如，如果一個區(qū)域只應用密碼驗證，您可以在該區(qū)域中的一個置項下顯示。例如，如果一個區(qū)域只應用密碼驗證，您可以在該區(qū)域中的一個或多個網(wǎng)絡的中設置不同的密碼。或多個網(wǎng)絡的中設置不同的密碼。自治域的參數(shù)自治域的參數(shù)( (二二) )各個網(wǎng)絡OSPF自主系統(tǒng)中的網(wǎng)絡與其區(qū)域自主系統(tǒng)中的網(wǎng)絡與其區(qū)域ID。將網(wǎng)絡添加在網(wǎng)絡列表中，與該網(wǎng)絡。將網(wǎng)絡添加在網(wǎng)絡列表中，與該網(wǎng)絡發(fā)生通信的全部接口的信息將全部列入發(fā)生通信的全部接口的信息將全部列入OSPF鏈路狀態(tài)通告。您可以對與鏈路狀態(tài)通

21、告。您可以對與OSPF網(wǎng)絡地址相匹配的網(wǎng)絡地址相匹配的FortiGate接口接口IP地址啟動地址啟動OSPF設置。設置。新建點擊在自主系統(tǒng)中添加網(wǎng)絡以及設定該區(qū)域的點擊在自主系統(tǒng)中添加網(wǎng)絡以及設定該區(qū)域的ID，并將新建的網(wǎng)絡，并將新建的網(wǎng)絡添加在網(wǎng)絡列表中。參見添加在網(wǎng)絡列表中。參見“設定設定OSPF網(wǎng)絡網(wǎng)絡”。網(wǎng)絡自主系統(tǒng)中運行自主系統(tǒng)中運行OSPF的網(wǎng)絡的網(wǎng)絡IP地址與掩碼。地址與掩碼。FortiGate設備中可能有設備中可能有物理接口或物理接口或VLAN接口與該網(wǎng)絡連接。接口與該網(wǎng)絡連接。區(qū)域分配到分配到OSPF網(wǎng)絡的區(qū)域網(wǎng)絡的區(qū)域ID。各個接口FortiGate設備接口中設備接口中OS

22、PF設置的其他選項。設置的其他選項。新建添加添加FortiGate設備接口其它的設備接口其它的OSPF操作參數(shù)，并將新建接口添加到操作參數(shù)，并將新建接口添加到接口列表中。參見接口列表中。參見 “設置設置OSPF接口的操作參數(shù)接口的操作參數(shù)”。名稱OSPF接口的名稱。接口的名稱。接口配置應用配置應用OSPF設置的設置的FortiGate設備物理或設備物理或VLAN接口名稱，用于區(qū)接口名稱，用于區(qū)分在同一區(qū)域中分配到其他接口的默認值。分在同一區(qū)域中分配到其他接口的默認值。IP具有其他不同設置的且啟動了具有其他不同設置的且啟動了OSPF配置接口的配置接口的IP地址。地址。驗證驗證通過啟動驗證通過啟動

23、OSPF設置的接口發(fā)送與接收鏈路狀態(tài)通告的方法。該設置的接口發(fā)送與接收鏈路狀態(tài)通告的方法。該設置將代替區(qū)域驗證的設置。設置將代替區(qū)域驗證的設置。OSPFOSPF接口（一）接口（一）接口選擇與該選擇與該OSPF接口通信的接口通信的FortiGate設備接口。設備接口。例如例如，port1,external接口或接口或VLAN_1。FortiGate設備可以使用物理接口、設備可以使用物理接口、VLAN、虛擬虛擬IPSec或或GRE接口連接啟動接口連接啟動OSPF設置的設置的網(wǎng)絡。網(wǎng)絡。IP地址輸入分配到啟動輸入分配到啟動OSPF設置接口的設置接口的IP地址。該接地址。該接口支持運行口支持運行OSP

24、F，因為其，因為其IP地址與地址與OSPF網(wǎng)網(wǎng)絡的地址相匹配。絡的地址相匹配。例如，如果定義例如，如果定義OSPF網(wǎng)絡地址為網(wǎng)絡地址為/24，對，對port1分配的分配的IP地址為地址為40與網(wǎng)與網(wǎng)絡地址相匹配，接口便啟動了絡地址相匹配，接口便啟動了OSPF設置。設置。認證設置在指定接口設置在指定接口LSA互換時應用的驗證方式?；Q時應用的驗證方式。設置為設置為“無無”中止驗證。中止驗證。設置為設置為“文本文本”使用基于純文本的密碼方式使用基于純文本的密碼方式驗證驗證LSA。密碼設置最大長度為。密碼設置最大長度為35個字符個字符設置為設置為“MD

25、5”使用一個或更多密鑰生成使用一個或更多密鑰生成MD5 hash。該設置優(yōu)先于區(qū)域中設置的驗證方式。該設置優(yōu)先于區(qū)域中設置的驗證方式。OSPFOSPF接口（二）接口（二）密碼輸入純文本格式的密碼。輸入一串字母數(shù)字混合的最多為輸入純文本格式的密碼。輸入一串字母數(shù)字混合的最多為15位的字符位的字符。發(fā)送。發(fā)送LSA到到FortiGate接口的接口的OSPF鄰居必須配置使用相同的密碼。密鄰居必須配置使用相同的密碼。密碼輸入字段只有您使用以純文本密碼方式驗證時可用。碼輸入字段只有您使用以純文本密碼方式驗證時可用。MD5 密鑰在在ID字段（范圍為字段（范圍為1到到255），對（第一個）密碼輸入密鑰標識符

26、。然），對（第一個）密碼輸入密鑰標識符。然后在密鑰字段輸入相關的密碼。密碼的最大設置長度為后在密鑰字段輸入相關的密碼。密碼的最大設置長度為16位數(shù)字與字位數(shù)字與字母混合的字符串。發(fā)送母混合的字符串。發(fā)送LSA到該接口的到該接口的OSPF鄰居必須設置相同的鄰居必須設置相同的MD5密鑰。如果密鑰。如果OSPF鄰居使用不止一個密鑰生成鄰居使用不止一個密鑰生成MD5 hash，點擊添加圖，點擊添加圖標將其他的標將其他的MD5密鑰添加在列表。該字段只有您設置以密鑰添加在列表。該字段只有您設置以MD5方式驗證方式驗證時可用。時可用。Hello間隔作為可選項，設置作為可選項，設置hello interval

27、與所有與所有OSPF鄰居的鄰居的Hello interval設置設置相兼容。該時間間隔是通過設置的接口發(fā)送相兼容。該時間間隔是通過設置的接口發(fā)送hello數(shù)據(jù)包的時間。數(shù)據(jù)包的時間。 失效間隔作為可選項，設置失效間隔與所有作為可選項，設置失效間隔與所有OSPF鄰居的失效間隔設置相兼容。鄰居的失效間隔設置相兼容。該設置是定義該設置是定義FortiGate設備等待通過接口從設備等待通過接口從OSPF鄰居接收鄰居接收hello數(shù)據(jù)包數(shù)據(jù)包的時間。如果的時間。如果FortiGate設備沒有在設定的時間內(nèi)接收設備沒有在設定的時間內(nèi)接收hello數(shù)據(jù)包，數(shù)據(jù)包，F(xiàn)ortiGate設備認為該設備認為該OSP

28、F鄰居不可達。常規(guī)配置下，失效間隔的設置鄰居不可達。常規(guī)配置下，失效間隔的設置值是值是hello間隔設置值的四倍。間隔設置值的四倍。BGPBGP邊界網(wǎng)關協(xié)議（BGP: Border Gateway Protocol）是ISP用來在不同的ISP網(wǎng)絡之間交換路由信息的互聯(lián)網(wǎng)路由協(xié)議。例如，BGP可以在自主域中使用RIP和/或OSPF實現(xiàn)共享ISP網(wǎng)絡之間的路徑。FortiGate設備的BGP實現(xiàn)支持BGP-4并與RFC-1771兼容。啟動BGP設置后，每當FortiGate設備路由表中任何一部分更改，F(xiàn)ortiGate設備將發(fā)送路由表更新到鄰接的自主域(AS)。每個自主域，包括FortiGate設

29、備所屬的本地自主域都配置了自主域編號。自主域編號參考特殊目標網(wǎng)絡。BGP更新同時將最佳路徑廣播到目標網(wǎng)絡。FortiGate設備接收到BGP更新時，核對可能路由的多口標識(MED)以便將路徑記錄在FortiGate路由表之前識別到達目標網(wǎng)絡的最佳路徑?；镜幕镜腂GPBGP選項選項 基本的基本的BGPBGP選項選項本地自主域輸入輸入FortiGate設備所屬的本地自主域的編號。設備所屬的本地自主域的編號。路由ID輸入輸入FortiGate設備唯一路由設備唯一路由ID以區(qū)別其他以區(qū)別其他BGP路由器。路由路由器。路由ID是是十進制格式的、以逗點分隔的十進制格式的、以逗點分隔的IP地址。如果在地

30、址。如果在BGP運行時更改運行時更改路由路由ID，所有到，所有到BGP對等的連接都將暫時中止，直到重新建立對等的連接都將暫時中止，直到重新建立連接。連接。多個鄰居鄰居自主域中鄰居自主域中BGP對等體的對等體的IP地址與自主域編號。地址與自主域編號。IP輸入連接到輸入連接到BGP網(wǎng)絡的鄰居接口的網(wǎng)絡的鄰居接口的IP地址。地址。遠程自主域輸入鄰居所屬的自主域的編號。輸入鄰居所屬的自主域的編號。添加/編輯點擊將網(wǎng)絡信息添加到網(wǎng)絡列表中。點擊將網(wǎng)絡信息添加到網(wǎng)絡列表中。鄰居BGP對等的對等的IP地址。地址。遠程自主域與與BGP對等連接的自主域數(shù)量。對等連接的自主域數(shù)量。多個網(wǎng)絡輸入廣播到輸入廣播到BG

31、P對等體的網(wǎng)絡對等體的網(wǎng)絡IP地址與掩碼。地址與掩碼。FortiGate設備的物設備的物理接口或理接口或VLAN接口與這些網(wǎng)絡存在連接。接口與這些網(wǎng)絡存在連接。IP/掩碼被廣播的網(wǎng)絡的被廣播的網(wǎng)絡的IP地址與掩碼。地址與掩碼。添加點擊點擊“添加添加”，在網(wǎng)絡列表中添加網(wǎng)絡信息。，在網(wǎng)絡列表中添加網(wǎng)絡信息。網(wǎng)絡被廣播到被廣播到BGP隊等體的主要網(wǎng)絡的隊等體的主要網(wǎng)絡的IP地址與掩碼。地址與掩碼。刪除圖標點擊刪除一個點擊刪除一個BGP鄰居條目或鄰居條目或BGP網(wǎng)絡。網(wǎng)絡。監(jiān)控路由表監(jiān)控路由表get router info routing all或者內(nèi)核的轉發(fā)表內(nèi)核的轉發(fā)表 diag ip rout

32、e list透明模式透明模式FortiOS的工作模式?jīng)Q定了數(shù)據(jù)包是如何轉發(fā)的 透明模式使用二層轉發(fā)，以太網(wǎng)幀根據(jù)MAC地址轉發(fā) NAT / Route模式根據(jù)三層的IP數(shù)據(jù)頭中的IP地址來轉發(fā)。 (策略路由使用數(shù)據(jù)頭中的額外數(shù)據(jù)透明模式透明模式首先分析一下以太網(wǎng)首先分析一下以太網(wǎng)幀幀源和目的MAC地址6 byte MAC地址Fortinet OUI 00:09:0f廣播 MAC ff:ff:ff:ff:ff:ff, 多播MAC 01:00:5e:nn:nn:nnType指出協(xié)議類型l (0 x0800 IP)Data如果數(shù)據(jù)少于46 bytes，會填充其他東西Jumbo Frames (非標準

33、的，依賴于芯片或驅(qū)動的支持)可以被FortiOS支持，也就是說可以傳播大于 1500 bytes以上的數(shù)據(jù)包CRC32 checksum只能檢測最大到9000bytesCRC32AKA Frame Check Sequence如果有checksum錯誤，該幀會被丟掉Destination MAC(6 bytes)Source MAC(6 bytes)Type(2 bytes)CRC32(4 bytes)Data( 46 1500 bytes)以太網(wǎng)幀以太網(wǎng)幀VLANVLAN標記標記Type 0 x8100 表明是802.1Q VLAN 標記接下來的兩個字節(jié)是Tag Control Inform

34、ation前3-bits是 User Priority Field，也是應用到以太幀的優(yōu)先級下 1-bit 是 以太網(wǎng)幀用到的 Canonical Format Indicator (CFI)，用來表明 Routing Information Field (RIF)下 12-bits是VLAN Id，用來識別以太網(wǎng)幀所在的VLAN (在FortiOS中設置的Vlan類接口)Destination MAC(6 bytes)Source MAC(6 bytes)Type81 00(2 bytes)CRC(4 bytes)Data( 46 1500 bytes)Type08 00(2 bytes)T

35、ag Control Info(2 bytes)如何從如何從SnifferSniffer中讀懂以太網(wǎng)數(shù)據(jù)報中讀懂以太網(wǎng)數(shù)據(jù)報頭頭diagnose sniffer packet port5 6 interfaces=port5filters=0.793493 port5 - 802.1Q vlan#101 P0 havnt been added to sniffer0 x0000 0009 0f0b a1c2 0009 0f09 0605 8100 0065 .e0 x0010 0800 4500 類型 0 x8100 802.1Q標記信息如下0-表示優(yōu)先級和格式的指示符-00 后面的12個字位

36、表示 VLAN ID-065 是 vlan id 16進制 源MAC地址目的MAC地址類型 0 x0800 IPIP包的開始Version, header length, tos透明模式透明模式橋橋?qū)W習和轉發(fā) 單播幀的轉發(fā)順序 A D Ports 2, 3 D A Port 1 Q A Filtered Z C Ports 1, 3BPort 1Port 2Port 3AQZCDM透明模式的問題透明模式的問題問題是 如圖所示的情況下，啟用防病毒后，客戶端無法連接到FTP服務器上。 為什么啟用防病毒掃描后，F(xiàn)TP數(shù)據(jù)包會被丟棄呢？TPTP代理和代理和MACMAC地址變化地址變化用戶連接FTP服務

37、器，數(shù)據(jù)包轉發(fā)到VLAN 101的網(wǎng)關FTP代理被啟用，發(fā)送SYN ACK回應包給客戶端SYN包被路由器轉發(fā)，MAC地址發(fā)生變化透明模式下，AV代理對MAC地址變化是非常敏感的。代理需要記錄MAC地址，這樣才能產(chǎn)生新的會話FortiGate不會查詢MAC地址，僅僅轉發(fā)解決方案把Vlan 101和Vlan 102放到不同的虛擬域，這樣就有兩個不同的代理來處理這個數(shù)據(jù)包了最好的方式，用FortiGate來替代路由器。Spanning Tree ProtocolSpanning Tree Protocol是什么是什么Spanning TreeSpanning Tree GroupsPVST (Per

38、 Vdom Spanning Tree)PVST +網(wǎng)橋之間通過BPDU（BridgeProtocol Data Unit）進行交流。STP BPDU是一種二層報文，目的MAC是多播地址01-80-C2-00-00-00，所有支持STP協(xié)議的網(wǎng)橋都會接收并處理收到的BPDU報文。該報文 的數(shù)據(jù)區(qū)里攜帶了用于生成樹計算的所有有用信息。 FortiOS TPFortiOS TP透明模式和透明模式和Spanning Spanning Tree ProtocolTree Protocol缺省狀態(tài)下該協(xié)議是被阻斷的 這主要是在透明模式的HA方式所需要的。如果啟用 spanning tree 則會導致端口

39、被禁止而讓HA出現(xiàn)故障Root bridgeForwardingForwardingForwardingBlockingFGT opmode TP HA A-A透明模式和透明模式和802.3ad802.3ad端口匯聚端口匯聚透明模式下的FortiGate設備可以被加入到匯聚鏈中 兩個匯聚鏈被創(chuàng)建 FortiGate加入到這兩個鏈的管理 (LACP)端口匯聚可以使用基于2、3、4層的算法來實現(xiàn)數(shù)據(jù)流的分擔。2層的分擔是基于源MAC地址和目標MAC地址來實現(xiàn)分擔，3層是基于源IP地址和目標IP地址，4層是使用源端口和目標端口MACMAC地址重疊的案例地址重疊的案例diagnose netlink brctl name host trafficTP.bshow bridge control interface trafficTP.b host.Bridge trafficTP.b host tableport no device devname mac addr ttl attributes 10 22 server102 00:09:0f:68:34:e4 0 Local Static 7 19 server101 00:09:0f:68:34:e4 0 Local Static