飞塔防火墙路由与透明模式.ppt

路由与透明模式Course301 支持的路由类型 设置FortiGate设备的路由是指设置提供给FortiGate设备将数据包转发到一个特殊目的地的所需的信息静态静态路由直连网络缺省路由动态RIPOSPFBGP策略路由 网关检测 使用 pingserver GUI 或者 detectserver CLI 用ICMPping来检测某主机是否能够抵达来判断所指定的接口是否工作ICMPping间歇和阈值都是可以配置的 路由的判断过程 一 1 当数据包抵达FortiGate接口时 FortiGate首先根据数据包的标志位比对会话表 如果发现有对应的会话 则转发该数据包 2 FortiGate截取数据包的源地址 看是否可以能够根据路由与该源IP通讯 如果无法与该源地址通讯 则会丢弃该数据包 3 目标地址如果在本地的地址范围内 FortiGate则转发到相应的设备上 4 如果数据包目标地址是下一个网络 则FortiGate根据路由表将数据包转发到下一跳地址 路由的判断过程 二 判断的优先级 1 子网掩码 子网掩码大的 也就是说网络范围小的 优先2 管理距离 distance 管理距离小的有限3 路由的优先级优先级设置越低 越接近首选路由 如何让3优先于2 路由的判断过程 三 多路径选择当路由表中几条进入的条目到达的是同一个目的地时 会发生多路径路由 多路径路由发生时 FortiGate设备中对于进入的数据包可能存在几个可能的目标地址 迫使FortiGate设备判定哪个下一站中继是最佳的选择 两种方法可以手动解决到达同一目的地存在多条路由路线的问题 一是降低路线的管理距离 二是设置路由路线的优先级 管理距离决定可用路由的优先级 路由表中的所有条目都有对应的管理距离 如果路由表中包含的几个条目指向同一个目的地时 这些条目可能具有不同的网关与接口通信设置 FortiGate设备将各个条目的管理距离进行比较 选择具有最低管理距离的条目将其放置在FortiGate转发列表中作为路由路线 由此 FortiGate转发列表中只包含具有最低管理距离到达各个可能的目的地的路由 等同花费多路线路由 ECMP equalcostmultipathroutes 到同一目的地存在不止一条路由路线时 便产生安装并使用哪条路由这样的问题 有关解决这样问题的方法 设置管理距离与路由优先级 在上文中有过叙述 但是 当这样的路由的管理距离与优先级设置都相同时 便成为等同花费多路线路由 ECMP equalcostmultipathroutes 如果对ECMP启动了负载平衡 那么不同的会话将使用不同的路由到达相同的地址 路由的判断过程 四 缺省的路径长度 动态接口生成的路径长度和优先级 接口属性中设置路径长度命令行下的接口属性中设置优先级 priority 只有当接口设置为DHCP或PPPoE动态获得IP后 该选项才可以设置 策略路由 路由策略将流量与静态路由绑定 目的在于实现允许某些类型的流量进行不同的路由 通过进入 向内 流量的协议 源地址或接口 目标地址或端口号判断流量被发送到的目标位置 举例说明 通常情况下网络流量进入子网中的路由器 但是您想SMTP或POP3流量直接发送到邮件服务器 这种情况下可以应用策略路由 路由策略已存在且数据包到达FortiGate设备时 FortiGate设备根据策略路由表逐次查看并试图找到与该数据包相匹配的策略 如果发现匹配信息并且策略中包含了足够的信息路由数据包 必须注明下一站路由的IP地址以及将数据包转发FortiGate设备的接口 FortiGate设备使用策略中的信息路由数据包 如果没有与数据包相匹配的策略 FortiGate设备使用路由表路由数据包 注意 因为大多数策略设置是可选项 一个匹配的策略可能还不足以提供给FortiGate设备足够的信息转发数据包 FortiGate设备将转向参考路由表试图将传送的数据包报头的信息与路由表中的路由相匹配 举例说明 如果策略中只列出向外的接口名称 FortiGate设备将在路由表中查询下一站路由的IP地址 这种情况只有在FortiGate设备接口是动态的接收IP 例如对FortiGate设备接口设置了DHCP或PPPoE 或因为IP地址是动态更改状态您不能够指定下一站路由的IP地址下发生 RIP说明 RIP是距离向量协议 用于小型且相对同构网络 FortiGate设备执行的RIP 路由信息协议 既支持RFC1058定义的RIP版本1也支持RFC2453定义的RIP版本2 RIP版本2能够使RIP信息承载更多的信息并支持单一认证与子网掩码 启动RIP后 FortiGate设备从每个启动RIP的接口广播RIP更新的请求 邻近的路由器将其路由表信息作为回应发送到FortiGate设备 FortiGate设备将把从邻近路由获得的信息进行筛选 将设备路由表中不存在的路由信息添加在路由表中 当一条路由已经在路由表中存在 FortiGate设备将广播的路由与记录在路由表中路由相比较筛选最佳路由 RIP是距离向量路由协议 适用于相对同构的网络 RIP的向量是基于跳数的 跳数为1表示该网络直接与FortiGate设备相连接 跳数16表示FortiGate设备连接不到该网络 数据包到达目的地所穿越的每个网络通常规定为1跳 FortiGate设备将两项到达同一目标地址的路由相比较 路由跳数较低的路由项将被添加到路由表中 同样 当接口启动了RIP时 FortiGate设备以常规标准对邻近的路由器发送RIP响应 根据您对广播这些路由项的设置 更新信息中包含FortiGate设备路由的信息 您可以设定FortiGate发送更新的频率 一项路由在FortiGate路由表保持多长时间不被更新或不被定期更新 在一项路由从FortiGate路由表删除之前多长时间FortiGate设备广播该路由是不可达的 RIP启用 进入 路由 动态路由 RIP 选择所要编辑的启动了RIP设置的接口 点击对应的编辑图标 设置接口 设置发送与接收RIP版本 设置验证级别 作为可选项 设置被动屏蔽RIP广播 点击OK保存设置并返回到 路由 动态 RIP RIP选项说明 RIP高级选项 一 RIP高级选项 二 接口设置 OSPF OSPF OSPF openshortestpathfirst 是一种链路状态协议 最常用于异构网络中在相同的自主域 AS automonoussystem 中共享路由信息 FortiGate设备支持OSPF版本2 参见RFC2328 一个OSPF自主域 AS automonoussystem 是由边界路由器链接的分割为不同逻辑区域组成的系统 一个区域由一组同构网络构成 一个区域边界路由器通过一个或多个区域链接到OSPF主干网络 区域ID为0 定义自治域 进入 路由 动态路由 OSPF 在 区域 项下 点击 新建 定义一个或多个OSPF区域特征 在 网络 项下 点击 新建 建立所定义的区域与属于OSPF自主域的本地网络的通信连接 如需要 调整启动了OSPF设置的接口配置 点击 接口 项下的 新建 配置接口的OSPF操作参数 参见 配置OSPF接口的操作参数 如需要 配置其他启动了OSPF设置接口的参数 如需要 点击配置OSPF自主域的 高级OSPF选项 点击 应用 自治域的参数 一 自治域的参数 二 OSPF接口 一 OSPF接口 二 BGP 边界网关协议 BGP BorderGatewayProtocol 是ISP用来在不同的ISP网络之间交换路由信息的互联网路由协议 例如 BGP可以在自主域中使用RIP和 或OSPF实现共享ISP网络之间的路径 FortiGate设备的BGP实现支持BGP 4并与RFC 1771兼容 启动BGP设置后 每当FortiGate设备路由表中任何一部分更改 FortiGate设备将发送路由表更新到邻接的自主域 AS 每个自主域 包括FortiGate设备所属的本地自主域都配置了自主域编号 自主域编号参考特殊目标网络 BGP更新同时将最佳路径广播到目标网络 FortiGate设备接收到BGP更新时 核对可能路由的多口标识 MED 以便将路径记录在FortiGate路由表之前识别到达目标网络的最佳路径 基本的BGP选项 基本的BGP选项 监控路由表 getrouterinforoutingall或者 内核的转发表 diagiproutelist 透明模式 FortiOS的工作模式决定了数据包是如何转发的透明模式使用二层转发 以太网帧根据MAC地址转发NAT Route模式根据三层的IP数据头中的IP地址来转发 策略路由使用数据头中的额外数据 透明模式 首先分析一下以太网帧 源和目的MAC地址6byteMAC地址FortinetOUI00 09 0f广播MACff ff ff ff ff ff 多播MAC01 00 5e nn nn nnType指出协议类型l 0 x0800IP Data如果数据少于46bytes 会填充其他东西JumboFrames 非标准的 依赖于芯片或驱动的支持 可以被FortiOS支持 也就是说可以传播大于1500bytes以上的数据包CRC32checksum只能检测最大到9000bytesCRC32AKAFrameCheckSequence如果有checksum错误 该帧会被丢掉 以太网帧 VLAN标记 Type0 x8100表明是802 1QVLAN标记接下来的两个字节是TagControlInformation前3 bits是UserPriorityField 也是应用到以太帧的优先级下1 bit是以太网帧用到的CanonicalFormatIndicator CFI 用来表明RoutingInformationField RIF 下12 bits是VLANId 用来识别以太网帧所在的VLAN 在FortiOS中设置的Vlan类接口 DestinationMAC 6bytes SourceMAC 6bytes Type8100 2bytes CRC 4bytes Data 46 1500bytes Type0800 2bytes TagControlInfo 2bytes 如何从Sniffer中读懂以太网数据报头 diagnosesnifferpacketport5 6interfaces port5 filters 0 793493port5 802 1Qvlan 101P0havn tbeenaddedtosniffer0 x000000090f0ba1c200090f09060581000065 e0 x001008004500 类型0 x8100802 1Q标记信息如下0 表示优先级和格式的指示符 00后面的12个字位表示VLANID 065是vlanid16进制 源MAC地址 目的MAC地址 类型0 x0800IP IP包的开始Version headerlength tos 透明模式 桥 学习和转发单播帧的转发顺序A DPorts2 3D APort1Q AFilteredZ CPorts1 3 透明模式的问题 问题是如图所示的情况下 启用防病毒后 客户端无法连接到FTP服务器上 为什么启用防病毒扫描后 FTP数据包会被丢弃呢 TP代理和MAC地址变化 用户连接FTP服务器 数据包转发到VLAN101的网关FTP代理被启用 发送SYNACK回应包给客户端SYN包被路由器转发 MAC地址发生变化透明模式下 AV代理对MAC地址变化是非常敏感的 代理需要记录MAC地址 这样才能产生新的会话FortiGate不会查询MAC地址 仅仅转发解决方案把Vlan101和Vlan102放到不同的虚拟域 这样就有两个不同的代理来处理这个数据包了最好的方式 用FortiGate来替代路由器 SpanningTreeProtocol是什么 SpanningTreeSpanningTreeGroupsPVST PerVdomSpanningTree PVST 网桥之间通过BPDU BridgeProtocolDataUnit 进行交流 STPBPDU是一种二层报文 目的MAC是多播地址01 80 C2 00 00 00 所有支持STP协议的网桥都会接收并处理收到的BPDU报文 该报文的数据区里携带了用于生成树计算的所有有用信息 FortiOSTP透明模式和SpanningTreeProtocol 缺省状态下该协议是被阻断的这主要是在透明模式的HA方式所需要的 如果启用spanningtree则会导致端口被禁止而让HA出现故障 透明模式和802 3ad端口汇聚 透明模式下的FortiGate设备可以被加入到汇聚链中两个汇聚链被创建FortiGate加入到这两个链的管理 LACP 端口汇聚可以使用基于2 3 4层的算法来实现数据流的分担 2层的分担是基于源MAC地址和目标MAC地址来实现分担 3层是基于源IP地址和目标IP地址 4层是使用源端口和目标端口 MAC地址重叠的案例 diagnosenetlinkbrctlnamehosttrafficTP bshowbridgecontrolinterfacetrafficTP bhost BridgetrafficTP bhosttableportnodevicedevnamemacaddrttlattributes1022server10200 09 0f 68 34 e40LocalStatic719server10100 09 0f 68 34 e40LocalStatic517toServer00 09 0f 68 34 e40LocalStatic12port100 09 0f 68 34 e40LocalStatic23port200 09 0f 68 34 e50LocalStatic921switch10200 09 0f 68 34 e60LocalStatic820switch10100 09 0f 68 34 e60LocalStatic618toSwitch00 09 0f 68 34 e60LocalStatic34port300 09 0f 68 34 e60LocalStatic45port400 09 0f 68 34 e70LocalStatic1022server10200 09 0f 68 35 5c0719server10100 09 0f 68 35 5c0921switch10200 11 11 cc e6 cf0820switch10100 11 11 cc e6 cf0 VLANinterfaces LocalaggregateInterface LocalaggregateInterface VLANinterfac