收藏
下载资源 加入VIP免费专享

飞塔防火墙的路由与透明模式要点课件.ppt

上传人:牧羊曲112 文档编号:3836636 上传时间:2023-03-24 格式:PPT 页数:39 大小:799KB
返回 下载 相关 举报
飞塔防火墙的路由与透明模式要点课件.ppt_第1页
第1页 / 共39页
飞塔防火墙的路由与透明模式要点课件.ppt_第2页
第2页 / 共39页
飞塔防火墙的路由与透明模式要点课件.ppt_第3页
第3页 / 共39页
飞塔防火墙的路由与透明模式要点课件.ppt_第4页
第4页 / 共39页
飞塔防火墙的路由与透明模式要点课件.ppt_第5页
第5页 / 共39页
点击查看更多>>
资源描述

《飞塔防火墙的路由与透明模式要点课件.ppt》由会员分享,可在线阅读,更多相关《飞塔防火墙的路由与透明模式要点课件.ppt(39页珍藏版)》请在三一办公上搜索。

1、路由与透明模式 Course 301,支持的路由类型,设置FortiGate设备的路由是指设置提供给FortiGate设备将数据包转发到一个特殊目的地的所需的信息 静态静态路由直连网络缺省路由动态RIPOSPFBGP策略路由,网关检测,使用“ping server”(GUI)或者“detect server”(CLI)用ICMP ping来检测某主机是否能够抵达来判断所指定的接口是否工作ICMP ping 间歇和阈值都是可以配置的,路由的判断过程(一),1、当数据包抵达FortiGate接口时,FortiGate首先根据数据包的标志位比对会话表,如果发现有对应的会话,则转发该数据包。2、For

2、tiGate截取数据包的源地址,看是否可以能够根据路由与该源IP通讯,如果无法与该源地址通讯,则会丢弃该数据包。3、目标地址如果在本地的地址范围内,FortiGate则转发到相应的设备上。4、如果数据包目标地址是下一个网络,则FortiGate根据路由表将数据包转发到下一跳地址,路由的判断过程(二),判断的优先级:1、子网掩码,子网掩码大的,也就是说网络范围小的,优先2、管理距离(distance),管理距离小的有限3、路由的优先级优先级设置越低,越接近首选路由,如何让3优先于2?,路由的判断过程(三),多路径选择当路由表中几条进入的条目到达的是同一个目的地时,会发生多路径路由。多路径路由发生

3、时,FortiGate设备中对于进入的数据包可能存在几个可能的目标地址,迫使FortiGate设备判定哪个下一站中继是最佳的选择。两种方法可以手动解决到达同一目的地存在多条路由路线的问题,一是降低路线的管理距离,二是设置路由路线的优先级。管理距离决定可用路由的优先级。路由表中的所有条目都有对应的管理距离。如果路由表中包含的几个条目指向同一个目的地时(这些条目可能具有不同的网关与接口通信设置),FortiGate设备将各个条目的管理距离进行比较,选择具有最低管理距离的条目将其放置在FortiGate转发列表中作为路由路线。由此,FortiGate转发列表中只包含具有最低管理距离到达各个可能的目的

4、地的路由。,等同花费多路线路由(ECMP:equal cost multipath routes)到同一目的地存在不止一条路由路线时,便产生安装并使用哪条路由这样的问题。有关解决这样问题的方法,设置管理距离与路由优先级,在上文中有过叙述。但是,当这样的路由的管理距离与优先级设置都相同时,便成为等同花费多路线路由(ECMP:equal cost multipath routes)。如果对ECMP启动了负载平衡,那么不同的会话将使用不同的路由到达相同的地址。,路由的判断过程(四),缺省的路径长度,动态接口生成的路径长度和优先级,接口属性中设置路径长度命令行下的接口属性中设置优先级(priority

5、)只有当接口设置为DHCP或PPPoE动态获得IP后,该选项才可以设置,策略路由,路由策略将流量与静态路由绑定,目的在于实现允许某些类型的流量进行不同的路由。通过进入(向内)流量的协议、源地址或接口、目标地址或端口号判断流量被发送到的目标位置。举例说明,通常情况下网络流量进入子网中的路由器,但是您想SMTP或POP3流量直接发送到邮件服务器。这种情况下可以应用策略路由。路由策略已存在且数据包到达FortiGate设备时,FortiGate设备根据策略路由表逐次查看并试图找到与该数据包相匹配的策略。如果发现匹配信息并且策略中包含了足够的信息路由数据包(必须注明下一站路由的IP地址以及将数据包转发

6、FortiGate设备的接口),FortiGate设备使用策略中的信息路由数据包。如果没有与数据包相匹配的策略,FortiGate设备使用路由表路由数据包。注意:因为大多数策略设置是可选项,一个匹配的策略可能还不足以提供给FortiGate设备足够的信息转发数据包。FortiGate设备将转向参考路由表试图将传送的数据包报头的信息与路由表中的路由相匹配。举例说明,如果策略中只列出向外的接口名称,FortiGate设备将在路由表中查询下一站路由的IP地址。这种情况只有在FortiGate设备接口是动态的接收IP(例如对FortiGate设备接口设置了DHCP或PPPoE)或因为IP地址是动态更改

7、状态您不能够指定下一站路由的IP地址下发生。,RIP说明,RIP是距离向量协议,用于小型且相对同构网络。FortiGate设备执行的RIP(路由信息协议)既支持RFC1058定义的RIP版本1也支持RFC2453定义的RIP版本2。RIP版本2能够使RIP信息承载更多的信息并支持单一认证与子网掩码。启动RIP后,FortiGate设备从每个启动RIP的接口广播RIP更新的请求。邻近的路由器将其路由表信息作为回应发送到FortiGate设备。FortiGate设备将把从邻近路由获得的信息进行筛选,将设备路由表中不存在的路由信息添加在路由表中。当一条路由已经在路由表中存在,FortiGate设备将

8、广播的路由与记录在路由表中路由相比较筛选最佳路由。RIP是距离向量路由协议,适用于相对同构的网络。RIP的向量是基于跳数的。跳数为1表示该网络直接与FortiGate设备相连接,跳数16表示FortiGate设备连接不到该网络。数据包到达目的地所穿越的每个网络通常规定为1跳。FortiGate设备将两项到达同一目标地址的路由相比较,路由跳数较低的路由项将被添加到路由表中。同样,当接口启动了RIP时,FortiGate设备以常规标准对邻近的路由器发送RIP响应。根据您对广播这些路由项的设置,更新信息中包含FortiGate设备路由的信息。您可以设定FortiGate发送更新的频率;一项路由在Fo

9、rtiGate路由表保持多长时间不被更新或不被定期更新;在一项路由从FortiGate路由表删除之前多长时间FortiGate设备广播该路由是不可达的。,RIP启用,进入“路由动态路由RIP”。选择所要编辑的启动了RIP设置的接口,点击对应的编辑图标。设置接口。设置发送与接收RIP版本。设置验证级别。作为可选项,设置被动屏蔽RIP广播。点击OK保存设置并返回到“路由动态RIP”。,RIP选项说明,RIP高级选项(一),RIP高级选项(二),接口设置,OSPF,OSPF(OSPF:open shortest path first)是一种链路状态协议,最常用于异构网络中在相同的自主域(AS:aut

10、omonous system)中共享路由信息。FortiGate设备支持OSPF版本2(参见RFC2328)。一个OSPF自主域(AS:automonous system)是由边界路由器链接的分割为不同逻辑区域组成的系统。一个区域由一组同构网络构成。一个区域边界路由器通过一个或多个区域链接到OSPF主干网络(区域ID为0)。,定义自治域,进入“路由动态路由OSPF”。在“区域”项下,点击“新建”。定义一个或多个OSPF区域特征。在“网络”项下,点击“新建”。建立所定义的区域与属于OSPF自主域的本地网络的通信连接。、如需要,调整启动了OSPF设置的接口配置。点击“接口”项下的“新建”。配置接口

11、的OSPF操作参数。参见“配置OSPF接口的操作参数”。如需要,配置其他启动了OSPF设置接口的参数。如需要,点击配置OSPF自主域的“高级OSPF选项”。点击“应用”。,自治域的参数(一),自治域的参数(二),OSPF接口(一),OSPF接口(二),BGP,边界网关协议(BGP:Border Gateway Protocol)是ISP用来在不同的ISP网络之间交换路由信息的互联网路由协议。例如,BGP可以在自主域中使用RIP和/或OSPF实现共享ISP网络之间的路径。FortiGate设备的BGP实现支持BGP-4并与RFC-1771兼容。启动BGP设置后,每当FortiGate设备路由表中

12、任何一部分更改,FortiGate设备将发送路由表更新到邻接的自主域(AS)。每个自主域,包括FortiGate设备所属的本地自主域都配置了自主域编号。自主域编号参考特殊目标网络。BGP更新同时将最佳路径广播到目标网络。FortiGate设备接收到BGP更新时,核对可能路由的多口标识(MED)以便将路径记录在FortiGate路由表之前识别到达目标网络的最佳路径。,基本的BGP选项,基本的BGP选项,监控路由表,get router info routing all或者,内核的转发表,diag ip route list,透明模式,FortiOS的工作模式决定了数据包是如何转发的透明模式使用二

13、层转发,以太网帧根据MAC地址转发NAT/Route模式根据三层的IP数据头中的IP地址来转发。(策略路由使用数据头中的额外数据,透明模式首先分析一下以太网帧,源和目的MAC地址6 byte MAC地址Fortinet OUI 00:09:0f广播 MAC ff:ff:ff:ff:ff:ff,多播MAC 01:00:5e:nn:nn:nnType指出协议类型l(0 x0800 IP)Data如果数据少于46 bytes,会填充其他东西Jumbo Frames(非标准的,依赖于芯片或驱动的支持)可以被FortiOS支持,也就是说可以传播大于 1500 bytes以上的数据包CRC32 check

14、sum只能检测最大到9000bytesCRC32AKA Frame Check Sequence如果有checksum错误,该帧会被丢掉,以太网帧VLAN标记,Type 0 x8100 表明是802.1Q VLAN 标记接下来的两个字节是Tag Control Information前3-bits是 User Priority Field,也是应用到以太帧的优先级下 1-bit 是 以太网帧用到的 Canonical Format Indicator(CFI),用来表明 Routing Information Field(RIF)下 12-bits是VLAN Id,用来识别以太网帧所在的VLA

15、N(在FortiOS中设置的Vlan类接口),Destination MAC(6 bytes),Source MAC(6 bytes),Type81 00(2 bytes),CRC(4 bytes),Data(46 1500 bytes),Type08 00(2 bytes),Tag Control Info(2 bytes),如何从Sniffer中读懂以太网数据报头,diagnose sniffer packet port5 6 interfaces=port5filters=0.793493 port5-802.1Q vlan#101 P0 havnt been added to snif

16、fer0 x0000 0009 0f0b a1c2 0009 0f09 0605 8100 0065.e0 x0010 0800 4500,类型 0 x8100 802.1Q标记信息如下0-表示优先级和格式的指示符-00 后面的12个字位表示 VLAN ID-065 是 vlan id 16进制,源MAC地址,目的MAC地址,类型 0 x0800 IP,IP包的开始Version,header length,tos,透明模式桥,学习和转发单播帧的转发顺序A DPorts 2,3D APort 1Q AFilteredZ CPorts 1,3,透明模式的问题,问题是如图所示的情况下,启用防病毒后

17、,客户端无法连接到FTP服务器上。为什么启用防病毒扫描后,FTP数据包会被丢弃呢?,TP代理和MAC地址变化,用户连接FTP服务器,数据包转发到VLAN 101的网关FTP代理被启用,发送SYN ACK回应包给客户端SYN包被路由器转发,MAC地址发生变化透明模式下,AV代理对MAC地址变化是非常敏感的。代理需要记录MAC地址,这样才能产生新的会话FortiGate不会查询MAC地址,仅仅转发解决方案把Vlan 101和Vlan 102放到不同的虚拟域,这样就有两个不同的代理来处理这个数据包了最好的方式,用FortiGate来替代路由器。,Spanning Tree Protocol是什么,S

18、panning TreeSpanning Tree GroupsPVST(Per Vdom Spanning Tree)PVST+,网桥之间通过BPDU(BridgeProtocol Data Unit)进行交流。STP BPDU是一种二层报文,目的MAC是多播地址01-80-C2-00-00-00,所有支持STP协议的网桥都会接收并处理收到的BPDU报文。该报文 的数据区里携带了用于生成树计算的所有有用信息。,FortiOS TP透明模式和Spanning Tree Protocol,缺省状态下该协议是被阻断的这主要是在透明模式的HA方式所需要的。如果启用 spanning tree 则会导

19、致端口被禁止而让HA出现故障,透明模式和802.3ad端口汇聚,透明模式下的FortiGate设备可以被加入到汇聚链中两个汇聚链被创建FortiGate加入到这两个链的管理(LACP)端口汇聚可以使用基于2、3、4层的算法来实现数据流的分担。2层的分担是基于源MAC地址和目标MAC地址来实现分担,3层是基于源IP地址和目标IP地址,4层是使用源端口和目标端口,MAC地址重叠的案例,diagnose netlink brctl name host trafficTP.bshow bridge control interface trafficTP.b host.Bridge trafficTP.

20、b host tableport no device devname mac addr ttl attributes 10 22 server102 00:09:0f:68:34:e4 0 Local Static 7 19 server101 00:09:0f:68:34:e4 0 Local Static 5 17 toServer 00:09:0f:68:34:e4 0 Local Static 1 2 port1 00:09:0f:68:34:e4 0 Local Static 2 3 port2 00:09:0f:68:34:e5 0 Local Static 9 21 switch

21、102 00:09:0f:68:34:e6 0 Local Static 8 20 switch101 00:09:0f:68:34:e6 0 Local Static 6 18 toSwitch 00:09:0f:68:34:e6 0 Local Static 3 4 port3 00:09:0f:68:34:e6 0 Local Static 4 5 port4 00:09:0f:68:34:e7 0 Local Static 10 22 server102 00:09:0f:68:35:5c 0 7 19 server101 00:09:0f:68:35:5c 0 9 21 switch

22、102 00:11:11:cc:e6:cf 0 8 20 switch101 00:11:11:cc:e6:cf 0,VLAN interfaces,Local aggregate Interface,Local aggregate Interface,VLAN interfaces,Remote aggregate Interface,Remote aggregate Interface,Duplicate MAC addresses are learnt in different forwarding domains so can reside in forwarding table,TP

23、模式下的Session表,session info:proto=1 proto_state=00 expire=59 timeout=3600 flags=00000000 av_idx=0 use=3bandwidth=0/sec guaranteed_bandwidth=0/sec traffic=0/sec prio=0 logtype=session ha_id=0 hakey=0tunnel=/state=may_dirtystatistic(bytes/packets/err):org=504/6/0 reply=504/6/0 tuples=2orgin-sink:org pre-post,reply pre-post oif=19/20 gwy=0.0.0.0/0.0.0.0hook=pre dir=org act=noop 192.168.101.2:26728-192.168.101.254:8(0.0.0.0:0)hook=post dir=reply act=noop 192.168.101.254:26728-192.168.101.2:0(0.0.0.0:0)misc=0 domain_info=0 auth_info=0 ids=0 x0 vd=2 serial=0000065d tos=ff/ff,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号