《飞塔防火墙的路由与透明模式ppt课件》由会员分享,可在线阅读,更多相关《飞塔防火墙的路由与透明模式ppt课件(39页珍藏版)》请在金锄头文库上搜索。
1、路由与透明模式路由与透明模式Course301. .支持的路由类型支持的路由类型设置FortiGate设备的路由是指设置提供给FortiGate设备将数据包转发到一个特殊目的地的所需的信息静态静态路由静态路由直连网络直连网络缺省路由缺省路由动态RIPRIPOSPFOSPFBGPBGP策略路由网关检测网关检测使用“pingserver”(GUI)或者“detectserver”(CLI)用ICMPping来检测某主机是否能够抵达来判断所指定的接口是否工作ICMPping间歇和阈值都是可以配置的路由的判断过程(一)路由的判断过程(一)1、当数据包抵达FortiGate接口时,FortiGate首先
2、根据数据包的标志位比对会话表,如果发现有对应的会话,则转发该数据包。2、FortiGate截取数据包的源地址,看是否可以能够根据路由与该源IP通讯,如果无法与该源地址通讯,则会丢弃该数据包。3、目标地址如果在本地的地址范围内,FortiGate则转发到相应的设备上。4、如果数据包目标地址是下一个网络,则FortiGate根据路由表将数据包转发到下一跳地址路由的判断过程(二)路由的判断过程(二)判断的优先级:1、子网掩码,子网掩码大的,也就是说网络范围小的,优先2、管理距离(distance),管理距离小的有限3、路由的优先级优先级设置越低,越接近首选路由如何让3优先于2?路由的判断过程(三)路
3、由的判断过程(三)多路径选择多路径选择当路由表中几条进入的条目到达的是同一个目当路由表中几条进入的条目到达的是同一个目的地时,会发生多路径路由。多路径路由发生的地时,会发生多路径路由。多路径路由发生时,时,FortiGateFortiGate设备中对于进入的数据包可能设备中对于进入的数据包可能存在几个可能的目标地址,迫使存在几个可能的目标地址,迫使FortiGateFortiGate设设备判定哪个下一站中继是最佳的选择。备判定哪个下一站中继是最佳的选择。两种方法可以手动解决到达同一目的地存在多两种方法可以手动解决到达同一目的地存在多条路由路线的问题,一是降低路线的管理距离,条路由路线的问题,一
4、是降低路线的管理距离,二是设置路由路线的优先级。管理距离决定可二是设置路由路线的优先级。管理距离决定可用路由的优先级。用路由的优先级。路由表中的所有条目都有对应的管理距离。如路由表中的所有条目都有对应的管理距离。如果路由表中包含的几个条目指向同一个目的地果路由表中包含的几个条目指向同一个目的地时(这些条目可能具有不同的网关与接口通信时(这些条目可能具有不同的网关与接口通信设置),设置),FortiGateFortiGate设备将各个条目的管理距设备将各个条目的管理距离进行比较,选择具有最低管理距离的条目将离进行比较,选择具有最低管理距离的条目将其放置在其放置在FortiGateFortiGat
5、e转发列表中作为路由路线。转发列表中作为路由路线。由此,由此,FortiGateFortiGate转发列表中只包含具有最低转发列表中只包含具有最低管理距离到达各个可能的目的地的路由。管理距离到达各个可能的目的地的路由。等同花费多路线路由(等同花费多路线路由(ECMP:equalcostmultipathroutes)到同一目的地存在不止一条路由路线时,便产生安装并使用哪条路由这样的问题。有关解决这样问题的方法,设置管理距离与路由优先级,在上文中有过叙述。但是,当这样的路由的管理距离与优先级设置都相同时,便成为等同花费多路线路由(ECMP:equalcostmultipathroutes)。如果
6、对ECMP启动了负载平衡,那么不同的会话将使用不同的路由到达相同的地址。路由的判断过程(四)路由的判断过程(四)缺省的路径长度缺省的路径长度路由协议路由协议默认管理距离默认管理距离直接的物理连接1静态路由10EBGP20RIP110OSPF120IBGP200动态接口生成的路径长度和优先动态接口生成的路径长度和优先级级接口属性中设置路径长度命令行下的接口属性中设置优先级(priority)只有当接口设置为DHCP或PPPoE动态获得IP后,该选项才可以设置策略路由策略路由 路由策略将流量与静态路由绑定,目的在于实现允许路由策略将流量与静态路由绑定,目的在于实现允许某些类型的流量进行不同的路由。
7、通过进入(向内)某些类型的流量进行不同的路由。通过进入(向内)流量的协议、源地址或接口、目标地址或端口号判断流量的协议、源地址或接口、目标地址或端口号判断流量被发送到的目标位置。举例说明,通常情况下网流量被发送到的目标位置。举例说明,通常情况下网络流量进入子网中的路由器,但是您想络流量进入子网中的路由器,但是您想SMTPSMTP或或POP3POP3流量直接发送到邮件服务器。这种情况下可以应用策流量直接发送到邮件服务器。这种情况下可以应用策略路由。略路由。 路由策略已存在且数据包到达路由策略已存在且数据包到达FortiGateFortiGate设备时,设备时,FortiGateFortiGate
8、设备根据策略路由表逐次查看并试图找到与设备根据策略路由表逐次查看并试图找到与该数据包相匹配的策略。如果发现匹配信息并且策略该数据包相匹配的策略。如果发现匹配信息并且策略中包含了足够的信息路由数据包(必须注明下一站路中包含了足够的信息路由数据包(必须注明下一站路由的由的IPIP地址以及将数据包转发地址以及将数据包转发FortiGateFortiGate设备的接口),设备的接口),FortiGateFortiGate设备使用策略中的信息路由数据包。如果没设备使用策略中的信息路由数据包。如果没有与数据包相匹配的策略,有与数据包相匹配的策略,FortiGateFortiGate设备使用路由表设备使用路
9、由表路由数据包。路由数据包。 注意:注意:注意:注意:因为大多数策略设置是可选项,一个匹配的策因为大多数策略设置是可选项,一个匹配的策略可能还不足以提供给略可能还不足以提供给FortiGateFortiGate设备足够的信息转发设备足够的信息转发数据包。数据包。FortiGateFortiGate设备将转向参考路由表试图将传送设备将转向参考路由表试图将传送的数据包报头的信息与路由表中的路由相匹配。举例的数据包报头的信息与路由表中的路由相匹配。举例说明,如果策略中只列出向外的接口名称,说明,如果策略中只列出向外的接口名称,FortiGateFortiGate设备将在路由表中查询下一站路由的设备将
10、在路由表中查询下一站路由的IPIP地址。这种情地址。这种情况只有在况只有在FortiGateFortiGate设备接口是动态的接收设备接口是动态的接收IPIP(例如对(例如对FortiGateFortiGate设备接口设置了设备接口设置了DHCPDHCP或或PPPoEPPPoE)或因为)或因为IPIP地址是动态更改状态您不能够指定下一站路由的地址是动态更改状态您不能够指定下一站路由的IPIP地地址下发生。址下发生。RIP说明说明 RIPRIP是距离向量协议,用于小型且相对同构网络。是距离向量协议,用于小型且相对同构网络。FortiGateFortiGate设设备执行的备执行的RIPRIP(路由
11、信息协议)既支持(路由信息协议)既支持RFC1058RFC1058定义的定义的RIPRIP版本版本1 1也支持也支持RFC2453RFC2453定义的定义的RIPRIP版本版本2 2。RIPRIP版本版本2 2能够使能够使RIPRIP信息信息承载更多的信息并支持单一认证与子网掩码。承载更多的信息并支持单一认证与子网掩码。 启动启动RIPRIP后,后,FortiGateFortiGate设备从每个启动设备从每个启动RIPRIP的接口广播的接口广播RIPRIP更新更新的请求。邻近的路由器将其路由表信息作为回应发送到的请求。邻近的路由器将其路由表信息作为回应发送到FortiGateFortiGate
12、设备。设备。FortiGateFortiGate设备将把从邻近路由获得的信息进设备将把从邻近路由获得的信息进行筛选,将设备路由表中不存在的路由信息添加在路由表中。行筛选,将设备路由表中不存在的路由信息添加在路由表中。当一条路由已经在路由表中存在,当一条路由已经在路由表中存在,FortiGateFortiGate设备将广播的路由设备将广播的路由与记录在路由表中路由相比较筛选最佳路由。与记录在路由表中路由相比较筛选最佳路由。 RIPRIP是距离向量路由协议,适用于相对同构的网络。是距离向量路由协议,适用于相对同构的网络。 RIPRIP的向量的向量是基于跳数的。跳数为是基于跳数的。跳数为1 1表示该
13、网络直接与表示该网络直接与FortiGateFortiGate设备相连设备相连接,跳数接,跳数1616表示表示FortiGateFortiGate设备连接不到该网络。数据包到达设备连接不到该网络。数据包到达目的地所穿越的每个网络通常规定为目的地所穿越的每个网络通常规定为1 1跳。跳。FortiGateFortiGate设备将两设备将两项到达同一目标地址的路由相比较,路由跳数较低的路由项将项到达同一目标地址的路由相比较,路由跳数较低的路由项将被添加到路由表中。被添加到路由表中。 同样,当接口启动了同样,当接口启动了RIPRIP时,时,FortiGateFortiGate设备以常规标准对邻近设备以
14、常规标准对邻近的路由器发送的路由器发送RIPRIP响应。根据您对广播这些路由项的设置,更响应。根据您对广播这些路由项的设置,更新信息中包含新信息中包含FortiGateFortiGate设备路由的信息。您可以设定设备路由的信息。您可以设定FortiGateFortiGate发送更新的频率;一项路由在发送更新的频率;一项路由在FortiGateFortiGate路由表保持路由表保持多长时间不被更新或不被定期更新;在一项路由从多长时间不被更新或不被定期更新;在一项路由从FortiGateFortiGate路路由表删除之前多长时间由表删除之前多长时间FortiGateFortiGate设备广播该路由
15、是不可达的。设备广播该路由是不可达的。RIP启用启用进入“路由动态路由RIP”。选择所要编辑的启动了RIP设置的接口,点击对应的编辑图标。设置接口。设置发送与接收RIP版本。设置验证级别。作为可选项,设置被动屏蔽RIP广播。点击OK保存设置并返回到“路由动态RIP”。RIP选项说明选项说明RIPRIP版本版本版本版本 设设置置FortiGateFortiGate设备设备兼容的兼容的RIPRIP版本。您可以版本。您可以对对与启与启动动了了RIPRIP设设置的置的网网络连络连接的接的FortiGateFortiGate设备设备所有接口的全局所有接口的全局RIPRIP设设置。置。 选选中中1 1即即
16、发发送与接收送与接收RIPRIP版本版本1 1数据包。数据包。 选选中中2 2即即发发送与接收送与接收RIPRIP版本版本2 2数据包。数据包。如需要,可以撤消具体的如需要,可以撤消具体的FortiGateFortiGate接口的全局接口的全局设设置。(参置。(参见见“ “撤消撤消接口的接口的RIPRIP操作参数操作参数” ”)各个网各个网各个网各个网络络与与FortiGateFortiGate设备连设备连接的运行接的运行RIPRIP的网的网络络IPIP地址与掩地址与掩码码。将一个网。将一个网络络添加在网添加在网络络列表中,与列表中,与该该网网络连络连接的接的FortiGateFortiGat
17、e设备设备的接口将在的接口将在RIPRIP更新中被广播。可以配置更新中被广播。可以配置对对与与RIPRIP网网络络地址相匹配的地址相匹配的FortiGateFortiGate设备设备接口的接口的IPIP地址启地址启动动RIPRIP设设置置IP/IP/掩掩掩掩码码输输入启入启动动了了RIPRIP设设置网置网络络的的IPIP地址与掩地址与掩码码。添加添加添加添加点点击击将将该该网网络络的信息添加在网的信息添加在网络络列表中。列表中。各个接口各个接口各个接口各个接口FortiGateFortiGate设备设备接口中需要接口中需要调调整整RIPRIP操作的任何其他操作的任何其他设设置。置。 新建新建新
18、建新建配置接口的配置接口的RIPRIP操作参数。操作参数。这这些参数将取代些参数将取代该该接口接口设设置全局置全局RIPRIP设设置生效。参置生效。参见见“ “撤消接口的撤消接口的RIPRIP操作参数操作参数” ”。接口接口接口接口点点击选择击选择配置配置RIPRIP参数的接口。参数的接口。发发送送送送选择选择通通过过每个接口每个接口发发送更新的送更新的RIPRIP版本。版本。接收接收接收接收选择选择每个接口中用每个接口中用户获户获得更新的得更新的RIPRIP版本号。版本号。认证认证选择该选择该接口的接口的认证类认证类型:无,文本或型:无,文本或MD5MD5。被被被被动动设设置在置在该该接口屏
19、蔽接口屏蔽RIPRIP广播。广播。删删除与除与除与除与编辑图编辑图标标删删除或除或编辑编辑一一项项RIPRIP网网络络条目或条目或RIPRIP接口定接口定义义。RIP高级选项(一)高级选项(一)缺省跳数缺省跳数缺省跳数缺省跳数输输入入FortiGateFortiGate分配的用于到添加在路由表中的跳数。跳数分配的用于到添加在路由表中的跳数。跳数设设置的范置的范围围是是1 1到到1616之之间间任何的数字。除非另行指定,任何的数字。除非另行指定,该值该值同同样样适用于路由重适用于路由重新新发发布布设设置。置。启启启启动产动产生缺省生缺省生缺省生缺省路由路由路由路由点点击击生成并无条件将路由信息广
20、播到与生成并无条件将路由信息广播到与FortiGateFortiGate设备设备相相连连接的启接的启动动RIPRIP设设置的网置的网络络。所生成的路由信息可以是基于。所生成的路由信息可以是基于动态动态路由路由协议协议或路或路由表中的路由信息。由表中的路由信息。RIPRIP定定定定时时器器器器替替换换默默认认的的RIPRIP计时计时器器设设置。默置。默认认的的设设置置对对于大部分配置是可以生效于大部分配置是可以生效的,您更改的,您更改这这些些设设置置时时,请请确定新的确定新的设设置与本地路由器火置与本地路由器火访问访问服服务务器是可以兼容的。器是可以兼容的。更新更新更新更新 RIPRIP更新更新
21、发发送的送的时间间时间间隔(秒隔(秒计计)。)。失效失效失效失效将失效的路由信息将失效的路由信息删删除之前的除之前的计时计时。如果。如果RIPRIP在超在超时计时时计时器之后但是器之后但是在在GarbageGarbage计时计时器超器超时时之前接收到一个路由更新,之前接收到一个路由更新,该该更新将是有效更新将是有效的。的。超超超超时时一条路由信息宣布无效之后一条路由信息宣布无效之后时间间时间间隔(以秒隔(以秒计计)。)。该该路由信息将从路路由信息将从路由表中由表中删删除。除。RIPRIP保持保持该该路由直至路由直至garbagegarbage计时计时超超时时,然后将,然后将该该路由路由删删除。
22、如果在超除。如果在超时计时时计时器器过时过时之前之前RIPRIP接收到一条更新,超接收到一条更新,超时计时时计时器将重新启器将重新启动计时动计时。如果。如果RIPRIP在超在超时计时时计时器器过时过时之后但是在之后但是在garbagegarbage计时计时器器过过期之前接收到一条路由更新,期之前接收到一条路由更新,该该更新将恢复更新将恢复为为可以可以获获得得的信息。超的信息。超时计时时计时器的器的设设置置值应该值应该是更新是更新计时计时器器设设置置值值的至少三的至少三倍。倍。RIP高级选项(二)高级选项(二)路由重路由重路由重路由重发发布布布布启启动动或撤消通或撤消通过过RIPRIP获获得路由
23、的得路由的RIPRIP更新。更新。FortiGateFortiGate设备设备可以可以使用使用RIPRIP将直接将直接连连接的网接的网络络、静、静态态路由、路由、OSPFOSPF或或BGPBGP获获得的路由信息重新得的路由信息重新发发布。布。直直直直连连路路路路由由由由广播从直接广播从直接连连接的网接的网络获络获得的路径。如果您想指定得的路径。如果您想指定这这些路由些路由的跳数,在跳数字段的跳数,在跳数字段输输入跳数入跳数值值,设设定范定范围围是是1 1到到1616之之间间的任何整数。的任何整数。静静静静态态路路路路由由由由广播从静广播从静态态路由路由获获得的路由信息。如果您想指定得的路由信息
24、。如果您想指定这这些路由的些路由的跳数,在跳数字段跳数,在跳数字段输输入跳数入跳数值值,设设定范定范围围是是1 1到到1616之之间间的的任何整数。任何整数。OSPFOSPF广播从广播从OSPFOSPF获获得的路由信息。如果您想指定得的路由信息。如果您想指定这这些路由的跳些路由的跳数,在跳数字段数,在跳数字段输输入跳数入跳数值值,设设定范定范围围是是1 1到到1616之之间间的任的任何整数。何整数。BGPBGP广播从广播从BGPBGP获获得的路由信息。如果您想指定得的路由信息。如果您想指定这这些路由的跳数,些路由的跳数,在跳数字段在跳数字段输输入跳数入跳数值值,设设定范定范围围是是1 1到到1
25、616之之间间的任何整的任何整数。数。接口设置接口设置接口接口接口接口选择这选择这些些设设置置应应用的用的FortiGateFortiGate接口名称。接口名称。该该接口必接口必须须与启与启动动了了RIPRIP配置的网配置的网络连络连接。接。该该接口可以是接口可以是虚虚拟拟IPSecIPSec或或GREGRE接口。接口。发发送版本送版本送版本送版本/ /接收接收接收接收版本版本版本版本通通过过接口接口发发送与接收更新送与接收更新设设置默置默认认的兼容的兼容RIPRIP:RIPRIP版本版本1 1,RIPRIP版本版本2 2或两者都。或两者都。认证认证设设置在指定的接口置在指定的接口发发送与接收
26、的送与接收的RIPRIP信息信息验证验证的方的方式。式。 验证设验证设置置为为“ “无无” ”,将不,将不执执行行验证验证。 如果接口与运行如果接口与运行RIPRIP版本版本2 2的网的网络连络连接,接,设设置置“ “文文本本” ”方式方式验证验证并在密并在密码码字段中字段中输输入密入密码码(密(密码码最最大可以大可以设设置置为为3535个字符)。个字符)。FortiGateFortiGate设备设备与与RIPRIP更新路由器必更新路由器必须须配置相同的密配置相同的密码码。密。密码码通通过过网网络络以文本格式以文本格式发发送送 选择选择MD5MD5即使用即使用MD5MD5验证验证来往的来往的R
27、IPRIP更新。更新。被被被被动动接口接口接口接口设设置接口不广播路由信息。如要接口置接口不广播路由信息。如要接口对对RIPRIP请请求作求作出反出反应应,撤消,撤消该设该设置。置。OSPFOSPF(OSPF:openshortestpathfirst)是一种链路状态协议,最常用于异构网络中在相同的自主域(AS:automonoussystem)中共享路由信息。FortiGate设备支持OSPF版本2(参见RFC2328)。一个OSPF自主域(AS:automonoussystem)是由边界路由器链接的分割为不同逻辑区域组成的系统。一个区域由一组同构网络构成。一个区域边界路由器通过一个或多个区
28、域链接到OSPF主干网络(区域ID为0)。定义自治域定义自治域进入进入“路由路由 动态路由动态路由OSPFOSPF”。在在“区域区域”项下,点击项下,点击“新建新建”。定义一个或多个定义一个或多个OSPFOSPF区域特征。区域特征。在在“网络网络”项下,点击项下,点击“新建新建”。建立所定义的区域与属建立所定义的区域与属于于OSPFOSPF自主域的本地自主域的本地网络的通信连接。、网络的通信连接。、如需要,调整启动了如需要,调整启动了OSPFOSPF设置的接口配置。设置的接口配置。点击点击“接口接口”项下的项下的“新建新建”。配置接口的配置接口的OSPFOSPF操作操作参数。参见参数。参见“配
29、置配置OSPFOSPF接口的操作参数接口的操作参数”。如需要,配置其他启动如需要,配置其他启动了了OSPFOSPF设置接口的参设置接口的参数。数。如需要,点击配置如需要,点击配置OSPFOSPF自主域的自主域的“高级高级OSPFOSPF选项选项”。点击点击“应用应用”。自治域的参数自治域的参数(一一)路由路由IDID输输入唯一性的路由入唯一性的路由入唯一性的路由入唯一性的路由IDID,用以区分,用以区分,用以区分,用以区分FortiGateFortiGate设备设备与其它与其它与其它与其它OSPFOSPF路由。常路由。常路由。常路由。常规规情况下,情况下,情况下,情况下,该该路由路由路由路由I
30、DID是是是是OSPFOSPF自主域中按序分配自主域中按序分配自主域中按序分配自主域中按序分配到到到到FortiGateFortiGate任何一个接口的最高任何一个接口的最高任何一个接口的最高任何一个接口的最高IPIP地址。地址。地址。地址。OSPFOSPF运行运行运行运行时时不不不不要更改路由要更改路由要更改路由要更改路由IDID。区区有关有关有关有关组组成成成成OSPFOSPF自主系自主系自主系自主系统统的区域信息。的区域信息。的区域信息。的区域信息。OSPFOSPF数据包的数据包的数据包的数据包的报头报头包包包包含一个区域含一个区域含一个区域含一个区域IDID,该该IDID用来用来用来用
31、来识别识别自主系自主系自主系自主系统统中的数据包中的数据包中的数据包中的数据包发发生源生源生源生源区域区域区域区域区域区域IDID为为0.0.0.00.0.0.0是自主系是自主系是自主系是自主系统统的主干区域。的主干区域。的主干区域。的主干区域。类类型型自主系自主系自主系自主系统统中区域的中区域的中区域的中区域的类类型。型。型。型。 有关区域是一个常有关区域是一个常有关区域是一个常有关区域是一个常规规的的的的OSPFOSPF区域,区域,区域,区域,显显示示示示“ “常常常常规规” ”。 区域是非区域是非区域是非区域是非纯纯stubstub区域,区域,区域,区域,显显示示示示“ “NSSANSS
32、A” ”。 区域是区域是区域是区域是stubstub区域,区域,区域,区域,显显示示示示“ “StubStub” ”。验证验证通通通通过过与每个区域与每个区域与每个区域与每个区域链链接的所有接的所有接的所有接的所有FortiGateFortiGate接口接口接口接口发发送与接收送与接收送与接收送与接收OSPFOSPF数据包的数据包的数据包的数据包的验证验证方法。方法。方法。方法。 没有启没有启没有启没有启动验证设动验证设置置置置时显时显示示示示“ “无无无无” ”。 启启启启动动基于文本的密基于文本的密基于文本的密基于文本的密码验证时显码验证时显示示示示“ “文本文本文本文本” ”。 启启启启
33、动动MD5MD5验证时显验证时显示示示示“ “MD5MD5” ”。在一个区域中的一些接口可以在一个区域中的一些接口可以在一个区域中的一些接口可以在一个区域中的一些接口可以应应用不同的用不同的用不同的用不同的验证设验证设置,置,置,置,不同的不同的不同的不同的验证验证方法将在接口的方法将在接口的方法将在接口的方法将在接口的设设置置置置项项下下下下显显示。例如,示。例如,示。例如,示。例如,如果一个区域只如果一个区域只如果一个区域只如果一个区域只应应用密用密用密用密码验证码验证,您可以在,您可以在,您可以在,您可以在该该区域中区域中区域中区域中的一个或多个网的一个或多个网的一个或多个网的一个或多个
34、网络络的中的中的中的中设设置不同的密置不同的密置不同的密置不同的密码码。自治域的参数自治域的参数(二二)各个网各个网络络OSPFOSPF自主系自主系自主系自主系统统中的网中的网中的网中的网络络与其区域与其区域与其区域与其区域IDID。将网。将网。将网。将网络络添加在网添加在网添加在网添加在网络络列表中,与列表中,与列表中,与列表中,与该该网网网网络发络发生通信的全部接口的信息将全部列生通信的全部接口的信息将全部列生通信的全部接口的信息将全部列生通信的全部接口的信息将全部列入入入入OSPFOSPF链链路状路状路状路状态态通告。您可以通告。您可以通告。您可以通告。您可以对对与与与与OSPFOSPF
35、网网网网络络地址相匹地址相匹地址相匹地址相匹配的配的配的配的FortiGateFortiGate接口接口接口接口IPIP地址启地址启地址启地址启动动OSPFOSPF设设置。置。置。置。新新建建点点点点击击在自主系在自主系在自主系在自主系统统中添加网中添加网中添加网中添加网络络以及以及以及以及设设定定定定该该区域的区域的区域的区域的IDID,并将新建的网并将新建的网并将新建的网并将新建的网络络添加在网添加在网添加在网添加在网络络列表中。参列表中。参列表中。参列表中。参见见“ “设设定定定定OSPFOSPF网网网网络络” ”。网网络络自主系自主系自主系自主系统统中运行中运行中运行中运行OSPFOS
36、PF的网的网的网的网络络IPIP地址与掩地址与掩地址与掩地址与掩码码。FortiGateFortiGate设备设备中可能有物理接口或中可能有物理接口或中可能有物理接口或中可能有物理接口或VLANVLAN接口与接口与接口与接口与该该网网网网络连络连接。接。接。接。区区域域分配到分配到分配到分配到OSPFOSPF网网网网络络的区域的区域的区域的区域IDID。各个接口各个接口FortiGateFortiGate设备设备接口中接口中接口中接口中OSPFOSPF设设置的其他置的其他置的其他置的其他选项选项。新新建建添加添加添加添加FortiGateFortiGate设备设备接口其它的接口其它的接口其它的
37、接口其它的OSPFOSPF操作参数,并操作参数,并操作参数,并操作参数,并将新建接口添加到接口列表中。参将新建接口添加到接口列表中。参将新建接口添加到接口列表中。参将新建接口添加到接口列表中。参见见 “ “设设置置置置OSPFOSPF接口的操作参数接口的操作参数接口的操作参数接口的操作参数” ”。名名称称OSPFOSPF接口的名称。接口的名称。接口的名称。接口的名称。接接口口配置配置配置配置应应用用用用OSPFOSPF设设置的置的置的置的FortiGateFortiGate设备设备物理或物理或物理或物理或VLANVLAN接口名称,用于区分在同一区域中分配到其他接口接口名称,用于区分在同一区域中
38、分配到其他接口接口名称,用于区分在同一区域中分配到其他接口接口名称,用于区分在同一区域中分配到其他接口的默的默的默的默认值认值。IPIP具有其他不同具有其他不同具有其他不同具有其他不同设设置的且启置的且启置的且启置的且启动动了了了了OSPFOSPF配置接口的配置接口的配置接口的配置接口的IPIP地址。地址。地址。地址。验验证证验证验证通通通通过过启启启启动动OSPFOSPF设设置的接口置的接口置的接口置的接口发发送与接收送与接收送与接收送与接收链链路状路状路状路状态态通告的方法。通告的方法。通告的方法。通告的方法。该设该设置将代替区域置将代替区域置将代替区域置将代替区域验证验证的的的的设设置。
39、置。置。置。OSPF接口(一)接口(一)接口接口选择选择与与与与该该OSPFOSPF接口通信的接口通信的接口通信的接口通信的FortiGateFortiGate设备设备接口。例如接口。例如接口。例如接口。例如,port1,externalport1,external接口或接口或接口或接口或VLAN_1VLAN_1。FortiGateFortiGate设备设备可以使用物理可以使用物理可以使用物理可以使用物理接口、接口、接口、接口、VLANVLAN、虚、虚、虚、虚拟拟IPSecIPSec或或或或GREGRE接口接口接口接口连连接启接启接启接启动动OSPFOSPF设设置的置的置的置的网网网网络络。I
40、PIP地地址址输输入分配到启入分配到启入分配到启入分配到启动动OSPFOSPF设设置接口的置接口的置接口的置接口的IPIP地址。地址。地址。地址。该该接口支持运行接口支持运行接口支持运行接口支持运行OSPFOSPF,因,因,因,因为为其其其其IPIP地址与地址与地址与地址与OSPFOSPF网网网网络络的的的的地址相匹配。地址相匹配。地址相匹配。地址相匹配。例如,如果定例如,如果定例如,如果定例如,如果定义义OSPFOSPF网网网网络络地址地址地址地址为为170.20.120.0/24170.20.120.0/24,对对port1port1分配的分配的分配的分配的IPIP地址地址地址地址为为17
41、2.20.120.140172.20.120.140与网与网与网与网络络地址相匹配,接口便启地址相匹配,接口便启地址相匹配,接口便启地址相匹配,接口便启动动了了了了OSPFOSPF设设置。置。置。置。认证认证设设置在指定接口置在指定接口置在指定接口置在指定接口LSALSA互互互互换时应换时应用的用的用的用的验证验证方式。方式。方式。方式。 设设置置置置为为“ “无无无无” ”中止中止中止中止验证验证。 设设置置置置为为“ “文本文本文本文本” ”使用基于使用基于使用基于使用基于纯纯文本文本文本文本的密的密的密的密码码方式方式方式方式验证验证LSALSA。密。密。密。密码设码设置最大置最大置最大
42、置最大长长度度度度为为3535个字符个字符个字符个字符 设设置置置置为为“ “MD5MD5” ”使用一个或更多使用一个或更多使用一个或更多使用一个或更多密密密密钥钥生成生成生成生成MD5 hashMD5 hash。该设该设置置置置优优先于区域中先于区域中先于区域中先于区域中设设置的置的置的置的验证验证方方方方式。式。式。式。OSPF接口(二)接口(二)密密码码输输入入入入纯纯文本格式的密文本格式的密文本格式的密文本格式的密码码。输输入一串字母数字混合入一串字母数字混合入一串字母数字混合入一串字母数字混合的最多的最多的最多的最多为为1515位的字符。位的字符。位的字符。位的字符。发发送送送送LS
43、ALSA到到到到FortiGateFortiGate接口接口接口接口的的的的OSPFOSPF邻邻居必居必居必居必须须配置使用相同的密配置使用相同的密配置使用相同的密配置使用相同的密码码。密。密。密。密码输码输入入入入字段只有您使用以字段只有您使用以字段只有您使用以字段只有您使用以纯纯文本密文本密文本密文本密码码方式方式方式方式验证时验证时可用。可用。可用。可用。MD5 MD5 密密钥钥在在在在IDID字段(范字段(范字段(范字段(范围为围为1 1到到到到255255),),),),对对(第一个)密(第一个)密(第一个)密(第一个)密码码输输入密入密入密入密钥标识钥标识符。然后在密符。然后在密符
44、。然后在密符。然后在密钥钥字段字段字段字段输输入相关的密入相关的密入相关的密入相关的密码码。密。密。密。密码码的最大的最大的最大的最大设设置置置置长长度度度度为为1616位数字与字母混合位数字与字母混合位数字与字母混合位数字与字母混合的字符串。的字符串。的字符串。的字符串。发发送送送送LSALSA到到到到该该接口的接口的接口的接口的OSPFOSPF邻邻居必居必居必居必须设须设置相同的置相同的置相同的置相同的MD5MD5密密密密钥钥。如果。如果。如果。如果OSPFOSPF邻邻居使用不止一居使用不止一居使用不止一居使用不止一个密个密个密个密钥钥生成生成生成生成MD5 hashMD5 hash,点,
45、点,点,点击击添加添加添加添加图标图标将其他的将其他的将其他的将其他的MD5MD5密密密密钥钥添加在列表。添加在列表。添加在列表。添加在列表。该该字段只有您字段只有您字段只有您字段只有您设设置以置以置以置以MD5MD5方式方式方式方式验证时验证时可用。可用。可用。可用。HelloHello间间隔隔作作作作为为可可可可选项选项,设设置置置置hello intervalhello interval与所有与所有与所有与所有OSPFOSPF邻邻居居居居的的的的Hello intervalHello interval设设置相兼容。置相兼容。置相兼容。置相兼容。该时间间该时间间隔是通隔是通隔是通隔是通过过
46、设设置的接口置的接口置的接口置的接口发发送送送送hellohello数据包的数据包的数据包的数据包的时间时间。 失效失效间间隔隔作作作作为为可可可可选项选项,设设置失效置失效置失效置失效间间隔与所有隔与所有隔与所有隔与所有OSPFOSPF邻邻居的失居的失居的失居的失效效效效间间隔隔隔隔设设置相兼容。置相兼容。置相兼容。置相兼容。该设该设置是定置是定置是定置是定义义FortiGateFortiGate设备设备等待通等待通等待通等待通过过接口从接口从接口从接口从OSPFOSPF邻邻居接收居接收居接收居接收hellohello数据包的数据包的数据包的数据包的时时间间。如果。如果。如果。如果Forti
47、GateFortiGate设备设备没有在没有在没有在没有在设设定的定的定的定的时间时间内接收内接收内接收内接收hellohello数据包,数据包,数据包,数据包,FortiGateFortiGate设备认为该设备认为该OSPFOSPF邻邻居不居不居不居不可达。常可达。常可达。常可达。常规规配置下,失效配置下,失效配置下,失效配置下,失效间间隔的隔的隔的隔的设设置置置置值值是是是是hellohello间间隔隔隔隔设设置置置置值值的四倍。的四倍。的四倍。的四倍。BGP边界网关协议(BGP:BorderGatewayProtocol)是ISP用来在不同的ISP网络之间交换路由信息的互联网路由协议。例
48、如,BGP可以在自主域中使用RIP和/或OSPF实现共享ISP网络之间的路径。FortiGate设备的BGP实现支持BGP-4并与RFC-1771兼容。启动BGP设置后,每当FortiGate设备路由表中任何一部分更改,FortiGate设备将发送路由表更新到邻接的自主域(AS)。每个自主域,包括FortiGate设备所属的本地自主域都配置了自主域编号。自主域编号参考特殊目标网络。BGP更新同时将最佳路径广播到目标网络。FortiGate设备接收到BGP更新时,核对可能路由的多口标识(MED)以便将路径记录在FortiGate路由表之前识别到达目标网络的最佳路径。基本的基本的BGP选项选项基本
49、的基本的BGP选项选项本地自主域本地自主域输输入入入入FortiGateFortiGate设备设备所属的本地自主域的所属的本地自主域的所属的本地自主域的所属的本地自主域的编编号。号。号。号。路由路由IDID输输入入入入FortiGateFortiGate设备设备唯一路由唯一路由唯一路由唯一路由IDID以区以区以区以区别别其他其他其他其他BGPBGP路由器。路由路由器。路由路由器。路由路由器。路由IDID是十是十是十是十进进制格式的、以制格式的、以制格式的、以制格式的、以逗点分隔的逗点分隔的逗点分隔的逗点分隔的IPIP地址。如果在地址。如果在地址。如果在地址。如果在BGPBGP运行运行运行运行时
50、时更更更更改路由改路由改路由改路由IDID,所有到,所有到,所有到,所有到BGPBGP对对等的等的等的等的连连接都将接都将接都将接都将暂暂时时中止,直到重新建立中止,直到重新建立中止,直到重新建立中止,直到重新建立连连接。接。接。接。多个多个邻邻居居邻邻居自主域中居自主域中居自主域中居自主域中BGPBGP对对等体的等体的等体的等体的IPIP地址与自主域地址与自主域地址与自主域地址与自主域编编号。号。号。号。IPIP输输入入入入连连接到接到接到接到BGPBGP网网网网络络的的的的邻邻居接口的居接口的居接口的居接口的IPIP地址。地址。地址。地址。远远程自程自主域主域输输入入入入邻邻居所属的自主域
51、的居所属的自主域的居所属的自主域的居所属的自主域的编编号。号。号。号。添加添加/ /编编辑辑点点点点击击将网将网将网将网络络信息添加到网信息添加到网信息添加到网信息添加到网络络列表中。列表中。列表中。列表中。邻邻居居BGPBGP对对等的等的等的等的IPIP地址。地址。地址。地址。远远程自程自主域主域与与与与BGPBGP对对等等等等连连接的自主域数量。接的自主域数量。接的自主域数量。接的自主域数量。多个网多个网络络输输入广播到入广播到入广播到入广播到BGPBGP对对等体的网等体的网等体的网等体的网络络IPIP地址与掩地址与掩地址与掩地址与掩码码。FortiGateFortiGate设备设备的物理
52、接口或的物理接口或的物理接口或的物理接口或VLANVLAN接口与接口与接口与接口与这这些网些网些网些网络络存在存在存在存在连连接。接。接。接。IP/IP/掩掩码码被广播的网被广播的网被广播的网被广播的网络络的的的的IPIP地址与掩地址与掩地址与掩地址与掩码码。添加添加点点点点击击“ “添加添加添加添加” ”,在网,在网,在网,在网络络列表中添加网列表中添加网列表中添加网列表中添加网络络信息。信息。信息。信息。网网络络被广播到被广播到被广播到被广播到BGPBGP队队等体的主要网等体的主要网等体的主要网等体的主要网络络的的的的IPIP地址与掩地址与掩地址与掩地址与掩码码。删删除除图标图标点点点点击
53、删击删除一个除一个除一个除一个BGPBGP邻邻居条目或居条目或居条目或居条目或BGPBGP网网网网络络。监控路由表监控路由表getrouterinforoutingall或者内核的转发表内核的转发表diagiproutelist透明模式透明模式 FortiOSFortiOS的工作模式决定了数据包是如何转发的的工作模式决定了数据包是如何转发的透明模式使用二层转发,以太网帧根据透明模式使用二层转发,以太网帧根据MACMAC地址转发地址转发NAT/RouteNAT/Route模式根据三层的模式根据三层的IPIP数据头中的数据头中的IPIP地址来转发。地址来转发。 ( (策略路由使用数据头中的额外策略
54、路由使用数据头中的额外数据数据透明模式透明模式首先分析一下以太网首先分析一下以太网帧帧 源和目的源和目的MACMAC地址地址 6byteMAC6byteMAC地址地址 FortinetOUI00:09:0fFortinetOUI00:09:0f 广播广播 MACff:ff:ff:ff:ff:ff,MACff:ff:ff:ff:ff:ff,多播多播MACMAC01:00:5e:nn:nn:nn01:00:5e:nn:nn:nn TypeType 指出协议类型指出协议类型l(0x0800IP)l(0x0800IP) DataData 如果数据少于如果数据少于46bytes46bytes,会填充其他
55、东西,会填充其他东西 JumboFrames(JumboFrames(非标准的,依赖于芯片或驱动的支非标准的,依赖于芯片或驱动的支持持) )可以被可以被FortiOSFortiOS支持,也就是说可以传播大于支持,也就是说可以传播大于 1500bytes1500bytes以上的数据包以上的数据包 CRC32checksumCRC32checksum只能检测最大到只能检测最大到9000bytes9000bytes CRC32CRC32 AKAFrameCheckSequenceAKAFrameCheckSequence 如果有如果有checksumchecksum错误,该帧会被丢掉错误,该帧会被丢
56、掉Destination MAC(6 bytes)Source MAC(6 bytes)Type(2 bytes)CRC32(4 bytes)Data( 46 1500 bytes)以太网帧以太网帧VLAN标记标记 Type0x8100Type0x8100表明是表明是802.1QVLAN802.1QVLAN标记标记 接下来的两个字节是接下来的两个字节是TagControlInformationTagControlInformation 前前3-bits3-bits是是UserPriorityFieldUserPriorityField,也是应用到以太帧,也是应用到以太帧的优先级的优先级 下下
57、1-bit1-bit是是 以太网帧用到的以太网帧用到的CanonicalFormatCanonicalFormatIndicator(CFI)Indicator(CFI),用来表明,用来表明RoutingInformationRoutingInformationField(RIF)Field(RIF) 下下12-bits12-bits是是VLANIdVLANId,用来识别以太网帧所在的,用来识别以太网帧所在的VLAN(VLAN(在在FortiOSFortiOS中设置的中设置的VlanVlan类接口类接口) )Destination MAC(6 bytes)Source MAC(6 bytes)
58、Type81 00(2 bytes)CRC(4 bytes)Data( 46 1500 bytes)Type08 00(2 bytes)Tag Control Info(2 bytes)如何从如何从Sniffer中读懂以太网数据报中读懂以太网数据报头头diagnosesnifferpacketport56interfaces=port5interfaces=port5filters=filters=0.793493port5-802.1Qvlan#101P0havntbeenaddedtosniffer0.793493port5-802.1Qvlan#101P0havntbeenaddedto
59、sniffer0x000000090f0ba1c200090f09060581000065.e0x000000090f0ba1c200090f09060581000065.e0x0010080045000x001008004500类型 0x8100 802.1Q标记信息如下0-表示优先级和格式的指示符-00 后面的12个字位表示 VLAN ID-065 是 vlan id 16进制 源MAC地址目的MAC地址类型 0x0800 IPIP包的开始Version, header length, tos透明模式透明模式桥桥 学习和转发学习和转发单播帧的转发顺序单播帧的转发顺序AADDPorts2,3
60、Ports2,3DDAAPort1Port1QQAAFilteredFilteredZZCCPorts1,3Ports1,3BPort 1Port 2Port 3AQZCDM透明模式的问题透明模式的问题 问题是问题是如图所示的情况下,如图所示的情况下,启用防病毒后,客户启用防病毒后,客户端无法连接到端无法连接到FTPFTP服服务器上。务器上。为什么启用防病毒扫为什么启用防病毒扫描后,描后,FTPFTP数据包会数据包会被丢弃呢?被丢弃呢?TP代理和代理和MAC地址变化地址变化1.1.用户连接用户连接FTPFTP服务器,数服务器,数据包转发到据包转发到VLAN101VLAN101的网关的网关2.2
61、.FTPFTP代理被启用,发送代理被启用,发送SYNACKSYNACK回应包给客户回应包给客户端端3.3.SYNSYN包被路由器转发,包被路由器转发,MACMAC地址发生变化地址发生变化 透明模式下,透明模式下,AVAV代理对代理对MACMAC地址变化是非常敏地址变化是非常敏感的。感的。 代理需要记录代理需要记录MACMAC地址,地址,这样才能产生新的会话这样才能产生新的会话 FortiGateFortiGate不会查询不会查询MACMAC地址,仅仅转发地址,仅仅转发 解决方案解决方案 把把Vlan101Vlan101和和VlanVlan102102放到不同的虚拟放到不同的虚拟域,这样就有两个
62、不域,这样就有两个不同的代理来处理这个同的代理来处理这个数据包了数据包了 最好的方式,用最好的方式,用FortiGateFortiGate来替代路来替代路由器。由器。SpanningTreeProtocol是什是什么么SpanningTreeSpanningTreeGroupsPVST(PerVdomSpanningTree)PVST+网桥之间通过BPDU(BridgeProtocol Data Unit)进行交流。STP BPDU是一种二层报文,目的MAC是多播地址01-80-C2-00-00-00,所有支持STP协议的网桥都会接收并处理收到的BPDU报文。该报文 的数据区里携带了用于生成树
63、计算的所有有用信息。 FortiOSTP透明模式和透明模式和SpanningTreeProtocol 缺省状态下该协议是被阻断的缺省状态下该协议是被阻断的这主要是在透明模式的这主要是在透明模式的HAHA方式所需要的。如方式所需要的。如果启用果启用 spanningtreespanningtree则会导致端口被禁止则会导致端口被禁止而让而让HAHA出现故障出现故障Root bridgeForwardingForwardingForwardingBlockingFGT opmode TP HA A-A透明模式和透明模式和802.3ad端口汇聚端口汇聚 透明模式下的透明模式下的FortiGateFo
64、rtiGate设备可以被加入到汇聚链设备可以被加入到汇聚链中中两个汇聚链被创建两个汇聚链被创建FortiGateFortiGate加入到这两个链的管理加入到这两个链的管理 (LACP)(LACP)端口汇聚可以使用基于端口汇聚可以使用基于2 2、3 3、4 4层的算法来实现层的算法来实现数据流的分担。数据流的分担。2 2层的分担是基于源层的分担是基于源MACMAC地址和地址和目标目标MACMAC地址来实现分担,地址来实现分担,3 3层是基于源层是基于源IPIP地址地址和目标和目标IPIP地址,地址,4 4层是使用源端口和目标端口层是使用源端口和目标端口MAC地址重叠的案例地址重叠的案例diagn
65、osenetlinkbrctlnamehosttrafficTP.bdiagnosenetlinkbrctlnamehosttrafficTP.bshowbridgecontrolinterfacetrafficTP.bhost.showbridgecontrolinterfacetrafficTP.bhost.BridgetrafficTP.bhosttableBridgetrafficTP.bhosttableportnodevicedevnamemacaddrttlattributesportnodevicedevnamemacaddrttlattributes1022server102
66、00:09:0f:68:34:e40LocalStatic1022server10200:09:0f:68:34:e40LocalStatic719server10100:09:0f:68:34:e40LocalStatic719server10100:09:0f:68:34:e40LocalStatic517toServer00:09:0f:68:34:e40LocalStatic517toServer00:09:0f:68:34:e40LocalStatic12port100:09:0f:68:34:e40LocalStatic12port100:09:0f:68:34:e40LocalS
67、tatic23port200:09:0f:68:34:e50LocalStatic23port200:09:0f:68:34:e50LocalStatic921switch10200:09:0f:68:34:e60LocalStatic921switch10200:09:0f:68:34:e60LocalStatic820switch10100:09:0f:68:34:e60LocalStatic820switch10100:09:0f:68:34:e60LocalStatic618toSwitch00:09:0f:68:34:e60LocalStatic618toSwitch00:09:0f
68、:68:34:e60LocalStatic34port300:09:0f:68:34:e60LocalStatic34port300:09:0f:68:34:e60LocalStatic45port400:09:0f:68:34:e70LocalStatic45port400:09:0f:68:34:e70LocalStatic1022server10200:09:0f:68:35:5c01022server10200:09:0f:68:35:5c0719server10100:09:0f:68:35:5c0719server10100:09:0f:68:35:5c0921switch1020
69、0:11:11:cc:e6:cf0921switch10200:11:11:cc:e6:cf0820switch10100:11:11:cc:e6:cf0820switch10100:11:11:cc:e6:cf0VLAN interfacesLocal aggregate InterfaceLocal aggregate InterfaceVLAN interfacesRemote aggregate InterfaceRemote aggregate InterfaceDuplicate MAC addresses are learnt in different forwarding do
70、mains so can reside in forwarding tableTP模式下的模式下的Session表表sessioninfo:proto=1proto_state=00expire=59timeout=3600sessioninfo:proto=1proto_state=00expire=59timeout=3600flags=00000000av_idx=0use=3flags=00000000av_idx=0use=3bandwidth=0/secguaranteed_bandwidth=0/sectraffic=0/secbandwidth=0/secguaranteed_
71、bandwidth=0/sectraffic=0/secprio=0logtype=sessionha_id=0hakey=0prio=0logtype=sessionha_id=0hakey=0tunnel=/tunnel=/state=may_dirtystate=may_dirtystatistic(bytes/packets/err):org=504/6/0reply=504/6/0tuples=2statistic(bytes/packets/err):org=504/6/0reply=504/6/0tuples=2orgin-sink:orgpre-post,replypre-po
72、stoif=19/20orgin-sink:orgpre-post,replypre-postoif=19/20gwy=0.0.0.0/0.0.0.0gwy=0.0.0.0/0.0.0.0hook=predir=orgact=noop192.168.101.2:26728-hook=predir=orgact=noop192.168.101.2:26728-192.168.101.254:8(0.0.0.0:0)192.168.101.254:8(0.0.0.0:0)hook=postdir=replyact=noop192.168.101.254:26728-hook=postdir=replyact=noop192.168.101.254:26728-192.168.101.2:0(0.0.0.0:0)192.168.101.2:0(0.0.0.0:0)misc=0domain_info=0auth_info=0ids=0x0vd=2serial=0000065dmisc=0domain_info=0auth_info=0ids=0x0vd=2serial=0000065dtos=ff/fftos=ff/ff
