飛塔防火墻的路由與透明模式

路由與透明模式

Course301支持的路由類型設(shè)置FortiGate設(shè)備的路由是指設(shè)置提供給FortiGate設(shè)備將數(shù)據(jù)包轉(zhuǎn)發(fā)到一個(gè)特殊目的地的所需的信息靜態(tài)靜態(tài)路由直連網(wǎng)絡(luò)缺省路由動(dòng)態(tài)RIPOSPFBGP策略路由網(wǎng)關(guān)檢測(cè)使用“pingserver”(GUI)或者“detectserver”(CLI)用ICMPping來(lái)檢測(cè)某主機(jī)是否能夠抵達(dá)來(lái)判斷所指定的接口是否工作ICMPping間歇和閾值都是可以配置的路由的判斷過(guò)程（一）1、當(dāng)數(shù)據(jù)包抵達(dá)FortiGate接口時(shí)，F(xiàn)ortiGate首先根據(jù)數(shù)據(jù)包的標(biāo)志位比對(duì)會(huì)話表，如果發(fā)現(xiàn)有對(duì)應(yīng)的會(huì)話，則轉(zhuǎn)發(fā)該數(shù)據(jù)包。2、FortiGate截取數(shù)據(jù)包的源地址，看是否可以能夠根據(jù)路由與該源IP通訊，如果無(wú)法與該源地址通訊，則會(huì)丟棄該數(shù)據(jù)包。3、目標(biāo)地址如果在本地的地址范圍內(nèi)，F(xiàn)ortiGate則轉(zhuǎn)發(fā)到相應(yīng)的設(shè)備上。4、如果數(shù)據(jù)包目標(biāo)地址是下一個(gè)網(wǎng)絡(luò)，則FortiGate根據(jù)路由表將數(shù)據(jù)包轉(zhuǎn)發(fā)到下一跳地址路由的判斷過(guò)程（二）判斷的優(yōu)先級(jí)：1、子網(wǎng)掩碼，子網(wǎng)掩碼大的，也就是說(shuō)網(wǎng)絡(luò)范圍小的，優(yōu)先2、管理距離(distance)，管理距離小的有限3、路由的優(yōu)先級(jí)優(yōu)先級(jí)設(shè)置越低，越接近首選路由

如何讓3優(yōu)先于2？路由的判斷過(guò)程（三）多路徑選擇當(dāng)路由表中幾條進(jìn)入的條目到達(dá)的是同一個(gè)目的地時(shí)，會(huì)發(fā)生多路徑路由。多路徑路由發(fā)生時(shí)，F(xiàn)ortiGate設(shè)備中對(duì)于進(jìn)入的數(shù)據(jù)包可能存在幾個(gè)可能的目標(biāo)地址，迫使FortiGate設(shè)備判定哪個(gè)下一站中繼是最佳的選擇。兩種方法可以手動(dòng)解決到達(dá)同一目的地存在多條路由路線的問(wèn)題，一是降低路線的管理距離，二是設(shè)置路由路線的優(yōu)先級(jí)。管理距離決定可用路由的優(yōu)先級(jí)。路由表中的所有條目都有對(duì)應(yīng)的管理距離。如果路由表中包含的幾個(gè)條目指向同一個(gè)目的地時(shí)（這些條目可能具有不同的網(wǎng)關(guān)與接口通信設(shè)置），F(xiàn)ortiGate設(shè)備將各個(gè)條目的管理距離進(jìn)行比較，選擇具有最低管理距離的條目將其放置在FortiGate轉(zhuǎn)發(fā)列表中作為路由路線。由此，F(xiàn)ortiGate轉(zhuǎn)發(fā)列表中只包含具有最低管理距離到達(dá)各個(gè)可能的目的地的路由。

等同花費(fèi)多路線路由（ECMP:equalcostmultipathroutes）到同一目的地存在不止一條路由路線時(shí)，便產(chǎn)生安裝并使用哪條路由這樣的問(wèn)題。有關(guān)解決這樣問(wèn)題的方法，設(shè)置管理距離與路由優(yōu)先級(jí)，在上文中有過(guò)敘述。但是，當(dāng)這樣的路由的管理距離與優(yōu)先級(jí)設(shè)置都相同時(shí)，便成為等同花費(fèi)多路線路由（ECMP:equalcostmultipathroutes）。如果對(duì)ECMP啟動(dòng)了負(fù)載平衡，那么不同的會(huì)話將使用不同的路由到達(dá)相同的地址。

路由的判斷過(guò)程（四）缺省的路徑長(zhǎng)度路由協(xié)議默認(rèn)管理距離直接的物理連接1靜態(tài)路由10EBGP20RIP110OSPF120IBGP200動(dòng)態(tài)接口生成的路徑長(zhǎng)度和優(yōu)先級(jí)接口屬性中設(shè)置路徑長(zhǎng)度命令行下的接口屬性中設(shè)置優(yōu)先級(jí)(priority)只有當(dāng)接口設(shè)置為DHCP或PPPoE動(dòng)態(tài)獲得IP后，該選項(xiàng)才可以設(shè)置策略路由路由策略將流量與靜態(tài)路由綁定，目的在于實(shí)現(xiàn)允許某些類型的流量進(jìn)行不同的路由。通過(guò)進(jìn)入（向內(nèi)）流量的協(xié)議、源地址或接口、目標(biāo)地址或端口號(hào)判斷流量被發(fā)送到的目標(biāo)位置。舉例說(shuō)明，通常情況下網(wǎng)絡(luò)流量進(jìn)入子網(wǎng)中的路由器，但是您想SMTP或POP3流量直接發(fā)送到郵件服務(wù)器。這種情況下可以應(yīng)用策略路由。路由策略已存在且數(shù)據(jù)包到達(dá)FortiGate設(shè)備時(shí)，F(xiàn)ortiGate設(shè)備根據(jù)策略路由表逐次查看并試圖找到與該數(shù)據(jù)包相匹配的策略。如果發(fā)現(xiàn)匹配信息并且策略中包含了足夠的信息路由數(shù)據(jù)包（必須注明下一站路由的IP地址以及將數(shù)據(jù)包轉(zhuǎn)發(fā)FortiGate設(shè)備的接口），F(xiàn)ortiGate設(shè)備使用策略中的信息路由數(shù)據(jù)包。如果沒(méi)有與數(shù)據(jù)包相匹配的策略，F(xiàn)ortiGate設(shè)備使用路由表路由數(shù)據(jù)包。注意：因?yàn)榇蠖鄶?shù)策略設(shè)置是可選項(xiàng)，一個(gè)匹配的策略可能還不足以提供給FortiGate設(shè)備足夠的信息轉(zhuǎn)發(fā)數(shù)據(jù)包。FortiGate設(shè)備將轉(zhuǎn)向參考路由表試圖將傳送的數(shù)據(jù)包報(bào)頭的信息與路由表中的路由相匹配。舉例說(shuō)明，如果策略中只列出向外的接口名稱，F(xiàn)ortiGate設(shè)備將在路由表中查詢下一站路由的IP地址。這種情況只有在FortiGate設(shè)備接口是動(dòng)態(tài)的接收IP（例如對(duì)FortiGate設(shè)備接口設(shè)置了DHCP或PPPoE）或因?yàn)镮P地址是動(dòng)態(tài)更改狀態(tài)您不能夠指定下一站路由的IP地址下發(fā)生。RIP說(shuō)明RIP是距離向量協(xié)議，用于小型且相對(duì)同構(gòu)網(wǎng)絡(luò)。FortiGate設(shè)備執(zhí)行的RIP（路由信息協(xié)議）既支持RFC1058定義的RIP版本1也支持RFC2453定義的RIP版本2。RIP版本2能夠使RIP信息承載更多的信息并支持單一認(rèn)證與子網(wǎng)掩碼。啟動(dòng)RIP后，F(xiàn)ortiGate設(shè)備從每個(gè)啟動(dòng)RIP的接口廣播RIP更新的請(qǐng)求。鄰近的路由器將其路由表信息作為回應(yīng)發(fā)送到FortiGate設(shè)備。FortiGate設(shè)備將把從鄰近路由獲得的信息進(jìn)行篩選，將設(shè)備路由表中不存在的路由信息添加在路由表中。當(dāng)一條路由已經(jīng)在路由表中存在，F(xiàn)ortiGate設(shè)備將廣播的路由與記錄在路由表中路由相比較篩選最佳路由。RIP是距離向量路由協(xié)議，適用于相對(duì)同構(gòu)的網(wǎng)絡(luò)。RIP的向量是基于跳數(shù)的。跳數(shù)為1表示該網(wǎng)絡(luò)直接與FortiGate設(shè)備相連接，跳數(shù)16表示FortiGate設(shè)備連接不到該網(wǎng)絡(luò)。數(shù)據(jù)包到達(dá)目的地所穿越的每個(gè)網(wǎng)絡(luò)通常規(guī)定為1跳。FortiGate設(shè)備將兩項(xiàng)到達(dá)同一目標(biāo)地址的路由相比較，路由跳數(shù)較低的路由項(xiàng)將被添加到路由表中。同樣，當(dāng)接口啟動(dòng)了RIP時(shí)，F(xiàn)ortiGate設(shè)備以常規(guī)標(biāo)準(zhǔn)對(duì)鄰近的路由器發(fā)送RIP響應(yīng)。根據(jù)您對(duì)廣播這些路由項(xiàng)的設(shè)置，更新信息中包含F(xiàn)ortiGate設(shè)備路由的信息。您可以設(shè)定FortiGate發(fā)送更新的頻率；一項(xiàng)路由在FortiGate路由表保持多長(zhǎng)時(shí)間不被更新或不被定期更新；在一項(xiàng)路由從FortiGate路由表刪除之前多長(zhǎng)時(shí)間FortiGate設(shè)備廣播該路由是不可達(dá)的。RIP啟用進(jìn)入“路由>動(dòng)態(tài)路由>RIP”。選擇所要編輯的啟動(dòng)了RIP設(shè)置的接口，點(diǎn)擊對(duì)應(yīng)的編輯圖標(biāo)。設(shè)置接口。設(shè)置發(fā)送與接收RIP版本。設(shè)置驗(yàn)證級(jí)別。作為可選項(xiàng)，設(shè)置被動(dòng)屏蔽RIP廣播。點(diǎn)擊OK保存設(shè)置并返回到“路由>動(dòng)態(tài)>RIP”。RIP選項(xiàng)說(shuō)明RIP版本

設(shè)置FortiGate設(shè)備兼容的RIP版本。您可以對(duì)與啟動(dòng)了RIP設(shè)置的網(wǎng)絡(luò)連接的FortiGate設(shè)備所有接口的全局RIP設(shè)置。選中1即發(fā)送與接收RIP版本1數(shù)據(jù)包。選中2即發(fā)送與接收RIP版本2數(shù)據(jù)包。如需要，可以撤消具體的FortiGate接口的全局設(shè)置。（參見(jiàn)“撤消接口的RIP操作參數(shù)”）各個(gè)網(wǎng)絡(luò)與FortiGate設(shè)備連接的運(yùn)行RIP的網(wǎng)絡(luò)IP地址與掩碼。將一個(gè)網(wǎng)絡(luò)添加在網(wǎng)絡(luò)列表中，與該網(wǎng)絡(luò)連接的FortiGate設(shè)備的接口將在RIP更新中被廣播?？梢耘渲脤?duì)與RIP網(wǎng)絡(luò)地址相匹配的FortiGate設(shè)備接口的IP地址啟動(dòng)RIP設(shè)置IP/掩碼輸入啟動(dòng)了RIP設(shè)置網(wǎng)絡(luò)的IP地址與掩碼。添加點(diǎn)擊將該網(wǎng)絡(luò)的信息添加在網(wǎng)絡(luò)列表中。各個(gè)接口FortiGate設(shè)備接口中需要調(diào)整RIP操作的任何其他設(shè)置。

新建配置接口的RIP操作參數(shù)。這些參數(shù)將取代該接口設(shè)置全局RIP設(shè)置生效。參見(jiàn)“撤消接口的RIP操作參數(shù)”。接口點(diǎn)擊選擇配置RIP參數(shù)的接口。發(fā)送選擇通過(guò)每個(gè)接口發(fā)送更新的RIP版本。接收選擇每個(gè)接口中用戶獲得更新的RIP版本號(hào)。認(rèn)證選擇該接口的認(rèn)證類型：無(wú)，文本或MD5。被動(dòng)設(shè)置在該接口屏蔽RIP廣播。刪除與編輯圖標(biāo)刪除或編輯一項(xiàng)RIP網(wǎng)絡(luò)條目或RIP接口定義。RIP高級(jí)選項(xiàng)（一）缺省跳數(shù)輸入FortiGate分配的用于到添加在路由表中的跳數(shù)。跳數(shù)設(shè)置的范圍是1到16之間任何的數(shù)字。除非另行指定，該值同樣適用于路由重新發(fā)布設(shè)置。啟動(dòng)產(chǎn)生缺省路由點(diǎn)擊生成并無(wú)條件將路由信息廣播到與FortiGate設(shè)備相連接的啟動(dòng)RIP設(shè)置的網(wǎng)絡(luò)。所生成的路由信息可以是基于動(dòng)態(tài)路由協(xié)議或路由表中的路由信息。RIP定時(shí)器替換默認(rèn)的RIP計(jì)時(shí)器設(shè)置。默認(rèn)的設(shè)置對(duì)于大部分配置是可以生效的，您更改這些設(shè)置時(shí)，請(qǐng)確定新的設(shè)置與本地路由器火訪問(wèn)服務(wù)器是可以兼容的。更新

RIP更新發(fā)送的時(shí)間間隔（秒計(jì)）。失效將失效的路由信息刪除之前的計(jì)時(shí)。如果RIP在超時(shí)計(jì)時(shí)器之后但是在Garbage計(jì)時(shí)器超時(shí)之前接收到一個(gè)路由更新，該更新將是有效的。超時(shí)一條路由信息宣布無(wú)效之后時(shí)間間隔（以秒計(jì)）。該路由信息將從路由表中刪除。RIP保持該路由直至garbage計(jì)時(shí)超時(shí)，然后將該路由刪除。如果在超時(shí)計(jì)時(shí)器過(guò)時(shí)之前RIP接收到一條更新，超時(shí)計(jì)時(shí)器將重新啟動(dòng)計(jì)時(shí)。如果RIP在超時(shí)計(jì)時(shí)器過(guò)時(shí)之后但是在garbage計(jì)時(shí)器過(guò)期之前接收到一條路由更新，該更新將恢復(fù)為可以獲得的信息。超時(shí)計(jì)時(shí)器的設(shè)置值應(yīng)該是更新計(jì)時(shí)器設(shè)置值的至少三倍。RIP高級(jí)選項(xiàng)（二）路由重發(fā)布啟動(dòng)或撤消通過(guò)RIP獲得路由的RIP更新。FortiGate設(shè)備可以使用RIP將直接連接的網(wǎng)絡(luò)、靜態(tài)路由、OSPF或BGP獲得的路由信息重新發(fā)布。直連路由廣播從直接連接的網(wǎng)絡(luò)獲得的路徑。如果您想指定這些路由的跳數(shù)，在跳數(shù)字段輸入跳數(shù)值，設(shè)定范圍是1到16之間的任何整數(shù)。靜態(tài)路由廣播從靜態(tài)路由獲得的路由信息。如果您想指定這些路由的跳數(shù)，在跳數(shù)字段輸入跳數(shù)值，設(shè)定范圍是1到16之間的任何整數(shù)。OSPF廣播從OSPF獲得的路由信息。如果您想指定這些路由的跳數(shù)，在跳數(shù)字段輸入跳數(shù)值，設(shè)定范圍是1到16之間的任何整數(shù)。BGP廣播從BGP獲得的路由信息。如果您想指定這些路由的跳數(shù)，在跳數(shù)字段輸入跳數(shù)值，設(shè)定范圍是1到16之間的任何整數(shù)。接口設(shè)置接口選擇這些設(shè)置應(yīng)用的FortiGate接口名稱。該接口必須與啟動(dòng)了RIP配置的網(wǎng)絡(luò)連接。該接口可以是虛擬IPSec或GRE接口。發(fā)送版本/接收版本通過(guò)接口發(fā)送與接收更新設(shè)置默認(rèn)的兼容RIP：RIP版本1，RIP版本2或兩者都。認(rèn)證設(shè)置在指定的接口發(fā)送與接收的RIP信息驗(yàn)證的方式。

驗(yàn)證設(shè)置為“無(wú)”，將不執(zhí)行驗(yàn)證。

如果接口與運(yùn)行RIP版本2的網(wǎng)絡(luò)連接，設(shè)置“文本”方式驗(yàn)證并在密碼字段中輸入密碼（密碼最大可以設(shè)置為35個(gè)字符）。FortiGate設(shè)備與RIP更新路由器必須配置相同的密碼。密碼通過(guò)網(wǎng)絡(luò)以文本格式發(fā)送選擇MD5即使用MD5驗(yàn)證來(lái)往的RIP更新。被動(dòng)接口設(shè)置接口不廣播路由信息。如要接口對(duì)RIP請(qǐng)求作出反應(yīng)，撤消該設(shè)置。OSPFOSPF(OSPF:openshortestpathfirst)是一種鏈路狀態(tài)協(xié)議，最常用于異構(gòu)網(wǎng)絡(luò)中在相同的自主域(AS:automonoussystem)中共享路由信息。FortiGate設(shè)備支持OSPF版本2（參見(jiàn)RFC2328）。一個(gè)OSPF自主域(AS:automonoussystem)是由邊界路由器鏈接的分割為不同邏輯區(qū)域組成的系統(tǒng)。一個(gè)區(qū)域由一組同構(gòu)網(wǎng)絡(luò)構(gòu)成。一個(gè)區(qū)域邊界路由器通過(guò)一個(gè)或多個(gè)區(qū)域鏈接到OSPF主干網(wǎng)絡(luò)（區(qū)域ID為0）。定義自治域進(jìn)入“路由>動(dòng)態(tài)路由>OSPF”。在“區(qū)域”項(xiàng)下，點(diǎn)擊“新建”。定義一個(gè)或多個(gè)OSPF區(qū)域特征。在“網(wǎng)絡(luò)”項(xiàng)下，點(diǎn)擊“新建”。建立所定義的區(qū)域與屬于OSPF自主域的本地網(wǎng)絡(luò)的通信連接。、如需要，調(diào)整啟動(dòng)了OSPF設(shè)置的接口配置。點(diǎn)擊“接口”項(xiàng)下的“新建”。配置接口的OSPF操作參數(shù)。參見(jiàn)“配置OSPF接口的操作參數(shù)”。如需要，配置其他啟動(dòng)了OSPF設(shè)置接口的參數(shù)。如需要，點(diǎn)擊配置OSPF自主域的“高級(jí)OSPF選項(xiàng)”。點(diǎn)擊“應(yīng)用”。自治域的參數(shù)(一)路由ID輸入唯一性的路由ID，用以區(qū)分FortiGate設(shè)備與其它OSPF路由。常規(guī)情況下，該路由ID是OSPF自主域中按序分配到FortiGate任何一個(gè)接口的最高IP地址。OSPF運(yùn)行時(shí)不要更改路由ID。區(qū)有關(guān)組成OSPF自主系統(tǒng)的區(qū)域信息。OSPF數(shù)據(jù)包的報(bào)頭包含一個(gè)區(qū)域ID，該ID用來(lái)識(shí)別自主系統(tǒng)中的數(shù)據(jù)包發(fā)生源區(qū)域區(qū)域ID為是自主系統(tǒng)的主干區(qū)域。類型自主系統(tǒng)中區(qū)域的類型。有關(guān)區(qū)域是一個(gè)常規(guī)的OSPF區(qū)域，顯示“常規(guī)”。區(qū)域是非純stub區(qū)域，顯示“NSSA”。區(qū)域是stub區(qū)域，顯示“Stub”。驗(yàn)證通過(guò)與每個(gè)區(qū)域鏈接的所有FortiGate接口發(fā)送與接收OSPF數(shù)據(jù)包的驗(yàn)證方法。沒(méi)有啟動(dòng)驗(yàn)證設(shè)置時(shí)顯示“無(wú)”。啟動(dòng)基于文本的密碼驗(yàn)證時(shí)顯示“文本”。啟動(dòng)MD5驗(yàn)證時(shí)顯示“MD5”。在一個(gè)區(qū)域中的一些接口可以應(yīng)用不同的驗(yàn)證設(shè)置，不同的驗(yàn)證方法將在接口的設(shè)置項(xiàng)下顯示。例如，如果一個(gè)區(qū)域只應(yīng)用密碼驗(yàn)證，您可以在該區(qū)域中的一個(gè)或多個(gè)網(wǎng)絡(luò)的中設(shè)置不同的密碼。自治域的參數(shù)(二)各個(gè)網(wǎng)絡(luò)OSPF自主系統(tǒng)中的網(wǎng)絡(luò)與其區(qū)域ID。將網(wǎng)絡(luò)添加在網(wǎng)絡(luò)列表中，與該網(wǎng)絡(luò)發(fā)生通信的全部接口的信息將全部列入OSPF鏈路狀態(tài)通告。您可以對(duì)與OSPF網(wǎng)絡(luò)地址相匹配的FortiGate接口IP地址啟動(dòng)OSPF設(shè)置。新建點(diǎn)擊在自主系統(tǒng)中添加網(wǎng)絡(luò)以及設(shè)定該區(qū)域的ID，并將新建的網(wǎng)絡(luò)添加在網(wǎng)絡(luò)列表中。參見(jiàn)“設(shè)定OSPF網(wǎng)絡(luò)”。網(wǎng)絡(luò)自主系統(tǒng)中運(yùn)行OSPF的網(wǎng)絡(luò)IP地址與掩碼。FortiGate設(shè)備中可能有物理接口或VLAN接口與該網(wǎng)絡(luò)連接。區(qū)域分配到OSPF網(wǎng)絡(luò)的區(qū)域ID。各個(gè)接口FortiGate設(shè)備接口中OSPF設(shè)置的其他選項(xiàng)。新建添加FortiGate設(shè)備接口其它的OSPF操作參數(shù)，并將新建接口添加到接口列表中。參見(jiàn)“設(shè)置OSPF接口的操作參數(shù)”。名稱OSPF接口的名稱。接口配置應(yīng)用OSPF設(shè)置的FortiGate設(shè)備物理或VLAN接口名稱，用于區(qū)分在同一區(qū)域中分配到其他接口的默認(rèn)值。IP具有其他不同設(shè)置的且啟動(dòng)了OSPF配置接口的IP地址。驗(yàn)證驗(yàn)證通過(guò)啟動(dòng)OSPF設(shè)置的接口發(fā)送與接收鏈路狀態(tài)通告的方法。該設(shè)置將代替區(qū)域驗(yàn)證的設(shè)置。OSPF接口（一）接口選擇與該OSPF接口通信的FortiGate設(shè)備接口。例如，port1,external接口或VLAN_1。FortiGate設(shè)備可以使用物理接口、VLAN、虛擬IPSec或GRE接口連接啟動(dòng)OSPF設(shè)置的網(wǎng)絡(luò)。IP地址輸入分配到啟動(dòng)OSPF設(shè)置接口的IP地址。該接口支持運(yùn)行OSPF，因?yàn)槠銲P地址與OSPF網(wǎng)絡(luò)的地址相匹配。例如，如果定義OSPF網(wǎng)絡(luò)地址為/24，對(duì)port1分配的IP地址為40與網(wǎng)絡(luò)地址相匹配，接口便啟動(dòng)了OSPF設(shè)置。認(rèn)證設(shè)置在指定接口LSA互換時(shí)應(yīng)用的驗(yàn)證方式。設(shè)置為“無(wú)”中止驗(yàn)證。設(shè)置為“文本”使用基于純文本的密碼方式驗(yàn)證LSA。密碼設(shè)置最大長(zhǎng)度為35個(gè)字符設(shè)置為“MD5”使用一個(gè)或更多密鑰生成MD5hash。該設(shè)置優(yōu)先于區(qū)域中設(shè)置的驗(yàn)證方式。OSPF接口（二）密碼輸入純文本格式的密碼。輸入一串字母數(shù)字混合的最多為15位的字符。發(fā)送LSA到FortiGate接口的OSPF鄰居必須配置使用相同的密碼。密碼輸入字段只有您使用以純文本密碼方式驗(yàn)證時(shí)可用。MD5密鑰在ID字段（范圍為1到255），對(duì)（第一個(gè)）密碼輸入密鑰標(biāo)識(shí)符。然后在密鑰字段輸入相關(guān)的密碼。密碼的最大設(shè)置長(zhǎng)度為16位數(shù)字與字母混合的字符串。發(fā)送LSA到該接口的OSPF鄰居必須設(shè)置相同的MD5密鑰。如果OSPF鄰居使用不止一個(gè)密鑰生成MD5hash，點(diǎn)擊添加圖標(biāo)將其他的MD5密鑰添加在列表。該字段只有您設(shè)置以MD5方式驗(yàn)證時(shí)可用。Hello間隔作為可選項(xiàng)，設(shè)置hellointerval與所有OSPF鄰居的Hellointerval設(shè)置相兼容。該時(shí)間間隔是通過(guò)設(shè)置的接口發(fā)送hello數(shù)據(jù)包的時(shí)間。

失效間隔作為可選項(xiàng)，設(shè)置失效間隔與所有OSPF鄰居的失效間隔設(shè)置相兼容。該設(shè)置是定義FortiGate設(shè)備等待通過(guò)接口從OSPF鄰居接收hello數(shù)據(jù)包的時(shí)間。如果FortiGate設(shè)備沒(méi)有在設(shè)定的時(shí)間內(nèi)接收hello數(shù)據(jù)包，F(xiàn)ortiGate設(shè)備認(rèn)為該OSPF鄰居不可達(dá)。常規(guī)配置下，失效間隔的設(shè)置值是hello間隔設(shè)置值的四倍。BGP邊界網(wǎng)關(guān)協(xié)議（BGP:BorderGatewayProtocol）是ISP用來(lái)在不同的ISP網(wǎng)絡(luò)之間交換路由信息的互聯(lián)網(wǎng)路由協(xié)議。例如，BGP可以在自主域中使用RIP和/或OSPF實(shí)現(xiàn)共享ISP網(wǎng)絡(luò)之間的路徑。FortiGate設(shè)備的BGP實(shí)現(xiàn)支持BGP-4并與RFC-1771兼容。啟動(dòng)BGP設(shè)置后，每當(dāng)FortiGate設(shè)備路由表中任何一部分更改，F(xiàn)ortiGate設(shè)備將發(fā)送路由表更新到鄰接的自主域(AS)。每個(gè)自主域，包括FortiGate設(shè)備所屬的本地自主域都配置了自主域編號(hào)。自主域編號(hào)參考特殊目標(biāo)網(wǎng)絡(luò)。BGP更新同時(shí)將最佳路徑廣播到目標(biāo)網(wǎng)絡(luò)。FortiGate設(shè)備接收到BGP更新時(shí)，核對(duì)可能路由的多口標(biāo)識(shí)(MED)以便將路徑記錄在FortiGate路由表之前識(shí)別到達(dá)目標(biāo)網(wǎng)絡(luò)的最佳路徑?；镜腂GP選項(xiàng)

基本的BGP選項(xiàng)本地自主域輸入FortiGate設(shè)備所屬的本地自主域的編號(hào)。路由ID輸入FortiGate設(shè)備唯一路由ID以區(qū)別其他BGP路由器。路由ID是十進(jìn)制格式的、以逗點(diǎn)分隔的IP地址。如果在BGP運(yùn)行時(shí)更改路由ID，所有到BGP對(duì)等的連接都將暫時(shí)中止，直到重新建立連接。多個(gè)鄰居鄰居自主域中BGP對(duì)等體的IP地址與自主域編號(hào)。IP輸入連接到BGP網(wǎng)絡(luò)的鄰居接口的IP地址。遠(yuǎn)程自主域輸入鄰居所屬的自主域的編號(hào)。添加/編輯點(diǎn)擊將網(wǎng)絡(luò)信息添加到網(wǎng)絡(luò)列表中。鄰居BGP對(duì)等的IP地址。遠(yuǎn)程自主域與BGP對(duì)等連接的自主域數(shù)量。多個(gè)網(wǎng)絡(luò)輸入廣播到BGP對(duì)等體的網(wǎng)絡(luò)IP地址與掩碼。FortiGate設(shè)備的物理接口或VLAN接口與這些網(wǎng)絡(luò)存在連接。IP/掩碼被廣播的網(wǎng)絡(luò)的IP地址與掩碼。添加點(diǎn)擊“添加”，在網(wǎng)絡(luò)列表中添加網(wǎng)絡(luò)信息。網(wǎng)絡(luò)被廣播到BGP隊(duì)等體的主要網(wǎng)絡(luò)的IP地址與掩碼。刪除圖標(biāo)點(diǎn)擊刪除一個(gè)BGP鄰居條目或BGP網(wǎng)絡(luò)。監(jiān)控路由表getrouterinforoutingall或者內(nèi)核的轉(zhuǎn)發(fā)表diag

iproutelist透明模式FortiOS的工作模式?jīng)Q定了數(shù)據(jù)包是如何轉(zhuǎn)發(fā)的透明模式使用二層轉(zhuǎn)發(fā)，以太網(wǎng)幀根據(jù)MAC地址轉(zhuǎn)發(fā)NAT/Route模式根據(jù)三層的IP數(shù)據(jù)頭中的IP地址來(lái)轉(zhuǎn)發(fā)。(策略路由使用數(shù)據(jù)頭中的額外數(shù)據(jù)透明模式——首先分析一下以太網(wǎng)幀源和目的MAC地址6byteMAC地址FortinetOUI00:09:0f廣播MACff:ff:ff:ff:ff:ff,多播MAC01:00:5e:nn:nn:nnType指出協(xié)議類型l(0x0800IP)Data如果數(shù)據(jù)少于46bytes，會(huì)填充其他東西JumboFrames(非標(biāo)準(zhǔn)的，依賴于芯片或驅(qū)動(dòng)的支持)可以被FortiOS支持，也就是說(shuō)可以傳播大于1500bytes以上的數(shù)據(jù)包CRC32checksum只能檢測(cè)最大到9000bytesCRC32AKAFrameCheckSequence如果有checksum錯(cuò)誤，該幀會(huì)被丟掉DestinationMAC(6bytes)SourceMAC(6bytes)Type(2bytes)CRC32(4bytes)Data(46–1500bytes)以太網(wǎng)幀——VLAN標(biāo)記Type0x8100表明是802.1QVLAN標(biāo)記接下來(lái)的兩個(gè)字節(jié)是TagControlInformation前3-bits是UserPriorityField，也是應(yīng)用到以太幀的優(yōu)先級(jí)下1-bit是以太網(wǎng)幀用到的CanonicalFormatIndicator(CFI)，用來(lái)表明RoutingInformationField(RIF)下12-bits是VLANId，用來(lái)識(shí)別以太網(wǎng)幀所在的VLAN(在FortiOS中設(shè)置的Vlan類接口)DestinationMAC(6bytes)SourceMAC(6bytes)Type8100(2bytes)CRC(4bytes)Data(46–1500bytes)Type0800(2bytes)TagControlInfo(2bytes)如何從Sniffer中讀懂以太網(wǎng)數(shù)據(jù)報(bào)頭diagnosesnifferpacketport5""6interfaces=[port5]filters=[]0.793493port5--802.1Qvlan#101P0havn'tbeenaddedtosniffer0x000000090f0ba1c200090f09060581000065...............e0x001008004500…類型0x8100802.1Q標(biāo)記信息如下0---表示優(yōu)先級(jí)和格式的指示符-00后面的12個(gè)字位表示VLANID-065是

vlanid16進(jìn)制

源MAC地址目的MAC地址類型0x0800IPIP包的開(kāi)始Version,headerlength,tos…透明模式——橋?qū)W習(xí)和轉(zhuǎn)發(fā)單播幀的轉(zhuǎn)發(fā)順序ADPorts2,3DAPort1QAFilteredZCPorts1,3BPort1Port2Port3AQZCDM透明模式的問(wèn)題問(wèn)題是如圖所示的情況下，啟用防病毒后，客戶端無(wú)法連接到FTP服務(wù)器上。為什么啟用防病毒掃描后，F(xiàn)TP數(shù)據(jù)包會(huì)被丟棄呢？TP代理和MAC地址變化用戶連接FTP服務(wù)器，數(shù)據(jù)包轉(zhuǎn)發(fā)到VLAN101的網(wǎng)關(guān)FTP代理被啟用，發(fā)送SYNACK回應(yīng)包給客戶端SYN包被路由器轉(zhuǎn)發(fā)，MAC地址發(fā)生變化透明模式下，AV代理對(duì)MAC地址變化是非常敏感的。代理需要記錄MAC地址，這樣才能產(chǎn)生新的會(huì)話FortiGate不會(huì)查詢MAC地址，僅僅轉(zhuǎn)發(fā)解決方案把Vlan101和Vlan102放到不同的虛擬域，這樣就有兩個(gè)不同的代理來(lái)處理這個(gè)數(shù)據(jù)包了最好的方式，用FortiGate來(lái)替代路由器。SpanningTreeProtocol是什么SpanningTreeSpanningTreeGroupsPVST(PerVdomSpanningTree)PVST+網(wǎng)橋之間通過(guò)BPDU（BridgeProtocolDataUnit）進(jìn)行交流。STPBPDU是一種二層報(bào)文，目的MAC是多播地址01-80-C2-00-00-00，所有支持STP協(xié)議的網(wǎng)橋都會(huì)接收并處理收到的BPDU報(bào)文。該報(bào)文的數(shù)據(jù)區(qū)里攜帶了用于生成樹(shù)計(jì)算的所有有用信息。

FortiOSTP透明模式和SpanningTreeProtocol缺省狀態(tài)下該協(xié)議是被阻斷的這主要是在透明模式的HA方式所需要的。如果啟用spanningtree則會(huì)導(dǎo)致端口被禁止而讓HA出現(xiàn)故障RootbridgeForwardingForwardingForwardingBlockingFGTopmodeTPHAA-A透明模式和802.3ad端口匯聚透明模式下的FortiGate設(shè)備可以被加入到匯聚鏈中兩個(gè)匯聚鏈被創(chuàng)建FortiGate加入到這兩個(gè)鏈的管理(LACP)端口匯聚可以使用基于2、3、4層的算法來(lái)實(shí)現(xiàn)數(shù)據(jù)流的分擔(dān)。2層的分擔(dān)是基于源MAC地址和目標(biāo)MAC地址來(lái)實(shí)現(xiàn)分擔(dān)，3層是基于源IP地址和目標(biāo)IP地址，4層是使用源端口和目標(biāo)端口MAC地址重疊的案例diagnosenetlink

brctlnamehosttrafficTP.bshowbridgecontrolinterfacetrafficTP.bhost.BridgetrafficTP.bhosttableportnodevicedevname

mac

addr

ttlattributes1022server10200:09:0f:68:34:e40LocalStatic719server10100:09:0f:68:34:e40LocalStatic517toServer00:09:0f:68:34:e40LocalStatic12port100:09:0f:68:34:e40LocalStatic23port200:09:0f:68:34:e50LocalStatic921switch10200:09:0f:68:34:e60LocalStatic820