飞塔防火墙的路由与透明模式要点课件.ppt

1、路由与透明模式 Course 301支持的路由类型支持的路由类型设置FortiGate设备的路由是指设置提供给FortiGate设备将数据包转发到一个特殊目的地的所需的信息 静态 静态路由 直连网络 缺省路由动态 RIP OSPF BGP策略路由网关检测网关检测使用“ping server” (GUI) 或者 “detect server” (CLI)用ICMP ping来检测某主机是否能够抵达来判断所指定的接口是否工作ICMP ping 间歇和阈值都是可以配置的路由的判断过程（一）路由的判断过程（一）1、当数据包抵达FortiGate接口时，FortiGate首先根据数据包的标志位比对会话表

2、，如果发现有对应的会话，则转发该数据包。2、FortiGate截取数据包的源地址，看是否可以能够根据路由与该源IP通讯，如果无法与该源地址通讯，则会丢弃该数据包。3、目标地址如果在本地的地址范围内，FortiGate则转发到相应的设备上。4、如果数据包目标地址是下一个网络，则FortiGate根据路由表将数据包转发到下一跳地址路由的判断过程（二）路由的判断过程（二）判断的优先级：1、子网掩码，子网掩码大的，也就是说网络范围小的，优先2、管理距离(distance)，管理距离小的有限3、路由的优先级优先级设置越低，越接近首选路由 如何让3优先于2？路由的判断过程（三）路由的判断过程（三）多路径选

3、择多路径选择当路由表中几条进入的条目到达的是同一个目的地时，会发生多路径路由。多路径路由发生时，FortiGate设备中对于进入的数据包可能存在几个可能的目标地址，迫使FortiGate设备判定哪个下一站中继是最佳的选择。两种方法可以手动解决到达同一目的地存在多条路由路线的问题，一是降低路线的管理距离，二是设置路由路线的优先级。管理距离决定可用路由的优先级。路由表中的所有条目都有对应的管理距离。如果路由表中包含的几个条目指向同一个目的地时（这些条目可能具有不同的网关与接口通信设置），FortiGate设备将各个条目的管理距离进行比较，选择具有最低管理距离的条目将其放置在FortiGate转发列

4、表中作为路由路线。由此，FortiGate转发列表中只包含具有最低管理距离到达各个可能的目的地的路由。等同花费多路线路由（等同花费多路线路由（ECMP: equal cost multipath routesECMP: equal cost multipath routes）到同一目的地存在不止一条路由路线时，便产生安装并使用哪条路由这样的问题。有关解决这样问题的方法，设置管理距离与路由优先级，在上文中有过叙述。但是，当这样的路由的管理距离与优先级设置都相同时，便成为等同花费多路线路由（ECMP: equal cost multipath routes）。如果对ECMP启动了负载平衡，那么不同

5、的会话将使用不同的路由到达相同的地址。 路由的判断路由的判断过过程（四）程（四）缺省的路径长度缺省的路径长度路由协议路由协议默认管理距离默认管理距离直接的物理连接1静态路由10EBGP20RIP110OSPF120IBGP200动态接口生成的路径长度和优先级动态接口生成的路径长度和优先级接口属性中设置路径长度命令行下的接口属性中设置优先级(priority)只有当接口设置为DHCP或PPPoE动态获得IP后，该选项才可以设置策略路由策略路由路由策略将流量与静态路由绑定，目的在于实现允许某些类型的流量进行不同的路由。通过进入（向内）流量的协议、源地址或接口、目标地址或端口号判断流量被发送到的目标

6、位置。举例说明，通常情况下网络流量进入子网中的路由器，但是您想SMTP或POP3流量直接发送到邮件服务器。这种情况下可以应用策略路由。路由策略已存在且数据包到达FortiGate设备时，FortiGate设备根据策略路由表逐次查看并试图找到与该数据包相匹配的策略。如果发现匹配信息并且策略中包含了足够的信息路由数据包（必须注明下一站路由的IP地址以及将数据包转发FortiGate设备的接口），FortiGate设备使用策略中的信息路由数据包。如果没有与数据包相匹配的策略，FortiGate设备使用路由表路由数据包。注意：注意：因为大多数策略设置是可选项，一个匹配的策略可能还不足以提供给Forti

7、Gate设备足够的信息转发数据包。FortiGate设备将转向参考路由表试图将传送的数据包报头的信息与路由表中的路由相匹配。举例说明，如果策略中只列出向外的接口名称，FortiGate设备将在路由表中查询下一站路由的IP地址。这种情况只有在FortiGate设备接口是动态的接收IP（例如对FortiGate设备接口设置了DHCP或PPPoE）或因为IP地址是动态更改状态您不能够指定下一站路由的IP地址下发生。RIPRIP说明说明RIP是距离向量协议，用于小型且相对同构网络。FortiGate设备执行的RIP（路由信息协议）既支持RFC1058定义的RIP版本1也支持RFC2453定义的RIP版

8、本2。RIP版本2能够使RIP信息承载更多的信息并支持单一认证与子网掩码。启动RIP后，FortiGate设备从每个启动RIP的接口广播RIP更新的请求。邻近的路由器将其路由表信息作为回应发送到FortiGate设备。FortiGate设备将把从邻近路由获得的信息进行筛选，将设备路由表中不存在的路由信息添加在路由表中。当一条路由已经在路由表中存在，FortiGate设备将广播的路由与记录在路由表中路由相比较筛选最佳路由。RIP是距离向量路由协议，适用于相对同构的网络。 RIP的向量是基于跳数的。跳数为1表示该网络直接与FortiGate设备相连接，跳数16表示FortiGate设备连接不到该网

9、络。数据包到达目的地所穿越的每个网络通常规定为1跳。FortiGate设备将两项到达同一目标地址的路由相比较，路由跳数较低的路由项将被添加到路由表中。同样，当接口启动了RIP时，FortiGate设备以常规标准对邻近的路由器发送RIP响应。根据您对广播这些路由项的设置，更新信息中包含FortiGate设备路由的信息。您可以设定FortiGate发送更新的频率；一项路由在FortiGate路由表保持多长时间不被更新或不被定期更新；在一项路由从FortiGate路由表删除之前多长时间FortiGate设备广播该路由是不可达的。RIPRIP启用启用进入“路由动态路由RIP”。选择所要编辑的启动了RI

10、P设置的接口，点击对应的编辑图标。设置接口。设置发送与接收RIP版本。设置验证级别。作为可选项，设置被动屏蔽RIP广播。点击OK保存设置并返回到“路由动态RIP”。RIPRIP选项说明选项说明RIP版本版本 设置FortiGate设备兼容的RIP版本。您可以对与启动了RIP设置的网络连接的FortiGate设备所有接口的全局RIP设置。选中1即发送与接收RIP版本1数据包。选中2即发送与接收RIP版本2数据包。如需要，可以撤消具体的FortiGate接口的全局设置。（参见“撤消接口的RIP操作参数”）各个网络各个网络与FortiGate设备连接的运行RIP的网络IP地址与掩码。将一个网络添加在

11、网络列表中，与该网络连接的FortiGate设备的接口将在RIP更新中被广播。可以配置对与RIP网络地址相匹配的FortiGate设备接口的IP地址启动RIP设置IP/掩码掩码输入启动了RIP设置网络的IP地址与掩码。添加添加点击将该网络的信息添加在网络列表中。各个接口各个接口FortiGate设备接口中需要调整RIP操作的任何其他设置。 新建新建配置接口的RIP操作参数。这些参数将取代该接口设置全局RIP设置生效。参见“撤消接口的RIP操作参数”。接口接口点击选择配置RIP参数的接口。发送发送选择通过每个接口发送更新的RIP版本。接收接收选择每个接口中用户获得更新的RIP版本号。认证认证选择

12、该接口的认证类型：无，文本或MD5。被动被动设置在该接口屏蔽RIP广播。删除与编辑图标删除与编辑图标删除或编辑一项RIP网络条目或RIP接口定义。RIPRIP高级选项（一）高级选项（一）缺省跳数缺省跳数输入FortiGate分配的用于到添加在路由表中的跳数。跳数设置的范围是1到16之间任何的数字。除非另行指定，该值同样适用于路由重新发布设置。启动产生缺省路由启动产生缺省路由点击生成并无条件将路由信息广播到与FortiGate设备相连接的启动RIP设置的网络。所生成的路由信息可以是基于动态路由协议或路由表中的路由信息。RIP定时器定时器替换默认的RIP计时器设置。默认的设置对于大部分配置是可以生

13、效的，您更改这些设置时，请确定新的设置与本地路由器火访问服务器是可以兼容的。更新更新 RIP更新发送的时间间隔（秒计）。失效失效将失效的路由信息删除之前的计时。如果RIP在超时计时器之后但是在Garbage计时器超时之前接收到一个路由更新，该更新将是有效的。超时超时一条路由信息宣布无效之后时间间隔（以秒计）。该路由信息将从路由表中删除。RIP保持该路由直至garbage计时超时，然后将该路由删除。如果在超时计时器过时之前RIP接收到一条更新，超时计时器将重新启动计时。如果RIP在超时计时器过时之后但是在garbage计时器过期之前接收到一条路由更新，该更新将恢复为可以获得的信息。超时计时器的设

14、置值应该是更新计时器设置值的至少三倍。RIPRIP高级选项（二）高级选项（二）路由重发布路由重发布启动或撤消通过RIP获得路由的RIP更新。FortiGate设备可以使用RIP将直接连接的网络、静态路由、OSPF或BGP获得的路由信息重新发布。直连路由直连路由广播从直接连接的网络获得的路径。如果您想指定这些路由的跳数，在跳数字段输入跳数值，设定范围是1到16之间的任何整数。静态路由静态路由广播从静态路由获得的路由信息。如果您想指定这些路由的跳数，在跳数字段输入跳数值，设定范围是1到16之间的任何整数。OSPF广播从OSPF获得的路由信息。如果您想指定这些路由的跳数，在跳数字段输入跳数值，设定范

15、围是1到16之间的任何整数。BGP广播从BGP获得的路由信息。如果您想指定这些路由的跳数，在跳数字段输入跳数值，设定范围是1到16之间的任何整数。接口设置接口设置接口接口选择这些设置应用的FortiGate接口名称。该接口必须与启动了RIP配置的网络连接。该接口可以是虚拟IPSec或GRE接口。发送版本发送版本/接收版本接收版本通过接口发送与接收更新设置默认的兼容RIP：RIP版本1，RIP版本2或两者都。认证认证设置在指定的接口发送与接收的RIP信息验证的方式。 验证设置为“无”，将不执行验证。 如果接口与运行RIP版本2的网络连接，设置“文本”方式验证并在密码字段中输入密码（密码最大可以设

16、置为35个字符）。FortiGate设备与RIP更新路由器必须配置相同的密码。密码通过网络以文本格式发送选择MD5即使用MD5验证来往的RIP更新。被动接口被动接口设置接口不广播路由信息。如要接口对RIP请求作出反应，撤消该设置。OSPFOSPFOSPF(OSPF: open shortest path first)是一种链路状态协议，最常用于异构网络中在相同的自主域(AS: automonous system)中共享路由信息。 FortiGate设备支持OSPF版本2（参见RFC2328）。一个OSPF自主域(AS: automonous system)是由边界路由器链接的分割为不同逻辑区域

17、组成的系统。一个区域由一组同构网络构成。一个区域边界路由器通过一个或多个区域链接到OSPF主干网络（区域ID为0）。定义自治域定义自治域进入“路由动态路由OSPF”。在“区域”项下，点击“新建”。定义一个或多个OSPF区域特征。在“网络”项下，点击“新建”。建立所定义的区域与属于OSPF自主域的本地网络的通信连接。、如需要，调整启动了OSPF设置的接口配置。点击“接口”项下的“新建”。配置接口的OSPF操作参数。参见“配置OSPF接口的操作参数”。如需要，配置其他启动了OSPF设置接口的参数。如需要，点击配置OSPF自主域的“高级OSPF选项”。点击“应用”。自治域的参数自治域的参数( (一一

18、) )路由ID输入唯一性的路由输入唯一性的路由ID，用以区分，用以区分FortiGate设备与其它设备与其它OSPF路由。常规情况下，该路由。常规情况下，该路由路由ID是是OSPF自主域中按序分配到自主域中按序分配到FortiGate任何一个接口的最高任何一个接口的最高IP地址。地址。OSPF运行时不要更改路由运行时不要更改路由ID。区有关组成有关组成OSPF自主系统的区域信息。自主系统的区域信息。OSPF数据包的报头包含一个区域数据包的报头包含一个区域ID，该，该ID用来识别自主系统中的数据包发生源用来识别自主系统中的数据包发生源区域区域区域ID为为0.0.0.0是自主系统的主干区域。是自主

19、系统的主干区域。类型自主系统中区域的类型。自主系统中区域的类型。有关区域是一个常规的有关区域是一个常规的OSPF区域，显示区域，显示“常规常规”。区域是非纯区域是非纯stub区域，显示区域，显示“NSSA”。区域是区域是stub区域，显示区域，显示“Stub”。验证通过与每个区域链接的所有通过与每个区域链接的所有FortiGate接口发送与接收接口发送与接收OSPF数据包的验证数据包的验证方法。方法。没有启动验证设置时显示没有启动验证设置时显示“无无”。启动基于文本的密码验证时显示启动基于文本的密码验证时显示“文本文本”。启动启动MD5验证时显示验证时显示“MD5”。在一个区域中的一些接口可以

20、应用不同的验证设置，不同的验证方法将在一个区域中的一些接口可以应用不同的验证设置，不同的验证方法将在接口的设置项下显示。例如，如果一个区域只应用密码验证，您在接口的设置项下显示。例如，如果一个区域只应用密码验证，您可以在该区域中的一个或多个网络的中设置不同的密码。可以在该区域中的一个或多个网络的中设置不同的密码。自治域的参数自治域的参数( (二二) )各个网络OSPF自主系统中的网络与其区域自主系统中的网络与其区域ID。将网络添加在网络列表中，与该网络。将网络添加在网络列表中，与该网络发生通信的全部接口的信息将全部列入发生通信的全部接口的信息将全部列入OSPF链路状态通告。您可以对与链路状态通

21、告。您可以对与OSPF网络地址相匹配的网络地址相匹配的FortiGate接口接口IP地址启动地址启动OSPF设置。设置。新建点击在自主系统中添加网络以及设定该区域的点击在自主系统中添加网络以及设定该区域的ID，并将新建的网络，并将新建的网络添加在网络列表中。参见添加在网络列表中。参见“设定设定OSPF网络网络”。网络自主系统中运行自主系统中运行OSPF的网络的网络IP地址与掩码。地址与掩码。FortiGate设备中可能有设备中可能有物理接口或物理接口或VLAN接口与该网络连接。接口与该网络连接。区域分配到分配到OSPF网络的区域网络的区域ID。各个接口FortiGate设备接口中设备接口中OS

22、PF设置的其他选项。设置的其他选项。新建添加添加FortiGate设备接口其它的设备接口其它的OSPF操作参数，并将新建接口添加到操作参数，并将新建接口添加到接口列表中。参见接口列表中。参见 “设置设置OSPF接口的操作参数接口的操作参数”。名称OSPF接口的名称。接口的名称。接口配置应用配置应用OSPF设置的设置的FortiGate设备物理或设备物理或VLAN接口名称，用于区接口名称，用于区分在同一区域中分配到其他接口的默认值。分在同一区域中分配到其他接口的默认值。IP具有其他不同设置的且启动了具有其他不同设置的且启动了OSPF配置接口的配置接口的IP地址。地址。验证验证通过启动验证通过启动

23、OSPF设置的接口发送与接收链路状态通告的方法。该设置的接口发送与接收链路状态通告的方法。该设置将代替区域验证的设置。设置将代替区域验证的设置。OSPFOSPF接口（一）接口（一）接口选择与该选择与该OSPF接口通信的接口通信的FortiGate设备接口。设备接口。例如例如，port1,external接口或接口或VLAN_1。FortiGate设备可以使用物理接口、设备可以使用物理接口、VLAN、虚拟虚拟IPSec或或GRE接口连接启动接口连接启动OSPF设置的设置的网络。网络。IP地址输入分配到启动输入分配到启动OSPF设置接口的设置接口的IP地址。该接地址。该接口支持运行口支持运行OSP

24、F，因为其，因为其IP地址与地址与OSPF网网络的地址相匹配。络的地址相匹配。例如，如果定义例如，如果定义OSPF网络地址为网络地址为170.20.120.0/24，对，对port1分配的分配的IP地址为地址为172.20.120.140与网与网络地址相匹配，接口便启动了络地址相匹配，接口便启动了OSPF设置。设置。认证设置在指定接口设置在指定接口LSA互换时应用的验证方式。互换时应用的验证方式。设置为设置为“无无”中止验证。中止验证。设置为设置为“文本文本”使用基于纯文本的密码方式使用基于纯文本的密码方式验证验证LSA。密码设置最大长度为。密码设置最大长度为35个字符个字符设置为设置为“MD

25、5”使用一个或更多密钥生成使用一个或更多密钥生成MD5 hash。该设置优先于区域中设置的验证方式。该设置优先于区域中设置的验证方式。OSPFOSPF接口（二）接口（二）密码输入纯文本格式的密码。输入一串字母数字混合的最多为输入纯文本格式的密码。输入一串字母数字混合的最多为15位的字符位的字符。发送。发送LSA到到FortiGate接口的接口的OSPF邻居必须配置使用相同的密码。密邻居必须配置使用相同的密码。密码输入字段只有您使用以纯文本密码方式验证时可用。码输入字段只有您使用以纯文本密码方式验证时可用。MD5 密钥在在ID字段（范围为字段（范围为1到到255），对（第一个）密码输入密钥标识符

26、。然），对（第一个）密码输入密钥标识符。然后在密钥字段输入相关的密码。密码的最大设置长度为后在密钥字段输入相关的密码。密码的最大设置长度为16位数字与字位数字与字母混合的字符串。发送母混合的字符串。发送LSA到该接口的到该接口的OSPF邻居必须设置相同的邻居必须设置相同的MD5密钥。如果密钥。如果OSPF邻居使用不止一个密钥生成邻居使用不止一个密钥生成MD5 hash，点击添加图，点击添加图标将其他的标将其他的MD5密钥添加在列表。该字段只有您设置以密钥添加在列表。该字段只有您设置以MD5方式验证方式验证时可用。时可用。Hello间隔作为可选项，设置作为可选项，设置hello interval

27、与所有与所有OSPF邻居的邻居的Hello interval设置设置相兼容。该时间间隔是通过设置的接口发送相兼容。该时间间隔是通过设置的接口发送hello数据包的时间。数据包的时间。 失效间隔作为可选项，设置失效间隔与所有作为可选项，设置失效间隔与所有OSPF邻居的失效间隔设置相兼容。邻居的失效间隔设置相兼容。该设置是定义该设置是定义FortiGate设备等待通过接口从设备等待通过接口从OSPF邻居接收邻居接收hello数据包数据包的时间。如果的时间。如果FortiGate设备没有在设定的时间内接收设备没有在设定的时间内接收hello数据包，数据包，FortiGate设备认为该设备认为该OSP

28、F邻居不可达。常规配置下，失效间隔的设置邻居不可达。常规配置下，失效间隔的设置值是值是hello间隔设置值的四倍。间隔设置值的四倍。BGPBGP边界网关协议（BGP: Border Gateway Protocol）是ISP用来在不同的ISP网络之间交换路由信息的互联网路由协议。例如，BGP可以在自主域中使用RIP和/或OSPF实现共享ISP网络之间的路径。FortiGate设备的BGP实现支持BGP-4并与RFC-1771兼容。启动BGP设置后，每当FortiGate设备路由表中任何一部分更改，FortiGate设备将发送路由表更新到邻接的自主域(AS)。每个自主域，包括FortiGate设

29、备所属的本地自主域都配置了自主域编号。自主域编号参考特殊目标网络。BGP更新同时将最佳路径广播到目标网络。FortiGate设备接收到BGP更新时，核对可能路由的多口标识(MED)以便将路径记录在FortiGate路由表之前识别到达目标网络的最佳路径。基本的基本的BGPBGP选项选项 基本的基本的BGPBGP选项选项本地自主域输入输入FortiGate设备所属的本地自主域的编号。设备所属的本地自主域的编号。路由ID输入输入FortiGate设备唯一路由设备唯一路由ID以区别其他以区别其他BGP路由器。路由路由器。路由ID是是十进制格式的、以逗点分隔的十进制格式的、以逗点分隔的IP地址。如果在地

30、址。如果在BGP运行时更改运行时更改路由路由ID，所有到，所有到BGP对等的连接都将暂时中止，直到重新建立对等的连接都将暂时中止，直到重新建立连接。连接。多个邻居邻居自主域中邻居自主域中BGP对等体的对等体的IP地址与自主域编号。地址与自主域编号。IP输入连接到输入连接到BGP网络的邻居接口的网络的邻居接口的IP地址。地址。远程自主域输入邻居所属的自主域的编号。输入邻居所属的自主域的编号。添加/编辑点击将网络信息添加到网络列表中。点击将网络信息添加到网络列表中。邻居BGP对等的对等的IP地址。地址。远程自主域与与BGP对等连接的自主域数量。对等连接的自主域数量。多个网络输入广播到输入广播到BG

31、P对等体的网络对等体的网络IP地址与掩码。地址与掩码。FortiGate设备的物设备的物理接口或理接口或VLAN接口与这些网络存在连接。接口与这些网络存在连接。IP/掩码被广播的网络的被广播的网络的IP地址与掩码。地址与掩码。添加点击点击“添加添加”，在网络列表中添加网络信息。，在网络列表中添加网络信息。网络被广播到被广播到BGP队等体的主要网络的队等体的主要网络的IP地址与掩码。地址与掩码。删除图标点击删除一个点击删除一个BGP邻居条目或邻居条目或BGP网络。网络。监控路由表监控路由表get router info routing all或者内核的转发表内核的转发表 diag ip rout

32、e list透明模式透明模式FortiOS的工作模式决定了数据包是如何转发的 透明模式使用二层转发，以太网帧根据MAC地址转发 NAT / Route模式根据三层的IP数据头中的IP地址来转发。 (策略路由使用数据头中的额外数据透明模式透明模式首先分析一下以太网首先分析一下以太网帧帧源和目的MAC地址6 byte MAC地址Fortinet OUI 00:09:0f广播 MAC ff:ff:ff:ff:ff:ff, 多播MAC 01:00:5e:nn:nn:nnType指出协议类型l (0 x0800 IP)Data如果数据少于46 bytes，会填充其他东西Jumbo Frames (非标准

33、的，依赖于芯片或驱动的支持)可以被FortiOS支持，也就是说可以传播大于 1500 bytes以上的数据包CRC32 checksum只能检测最大到9000bytesCRC32AKA Frame Check Sequence如果有checksum错误，该帧会被丢掉Destination MAC(6 bytes)Source MAC(6 bytes)Type(2 bytes)CRC32(4 bytes)Data( 46 1500 bytes)以太网帧以太网帧VLANVLAN标记标记Type 0 x8100 表明是802.1Q VLAN 标记接下来的两个字节是Tag Control Inform

34、ation前3-bits是 User Priority Field，也是应用到以太帧的优先级下 1-bit 是 以太网帧用到的 Canonical Format Indicator (CFI)，用来表明 Routing Information Field (RIF)下 12-bits是VLAN Id，用来识别以太网帧所在的VLAN (在FortiOS中设置的Vlan类接口)Destination MAC(6 bytes)Source MAC(6 bytes)Type81 00(2 bytes)CRC(4 bytes)Data( 46 1500 bytes)Type08 00(2 bytes)T

35、ag Control Info(2 bytes)如何从如何从SnifferSniffer中读懂以太网数据报中读懂以太网数据报头头diagnose sniffer packet port5 6 interfaces=port5filters=0.793493 port5 - 802.1Q vlan#101 P0 havnt been added to sniffer0 x0000 0009 0f0b a1c2 0009 0f09 0605 8100 0065 .e0 x0010 0800 4500 类型 0 x8100 802.1Q标记信息如下0-表示优先级和格式的指示符-00 后面的12个字位

36、表示 VLAN ID-065 是 vlan id 16进制 源MAC地址目的MAC地址类型 0 x0800 IPIP包的开始Version, header length, tos透明模式透明模式桥桥学习和转发 单播帧的转发顺序 A D Ports 2, 3 D A Port 1 Q A Filtered Z C Ports 1, 3BPort 1Port 2Port 3AQZCDM透明模式的问题透明模式的问题问题是 如图所示的情况下，启用防病毒后，客户端无法连接到FTP服务器上。 为什么启用防病毒扫描后，FTP数据包会被丢弃呢？TPTP代理和代理和MACMAC地址变化地址变化1.用户连接FTP

37、服务器，数据包转发到VLAN 101的网关2.FTP代理被启用，发送SYN ACK回应包给客户端3.SYN包被路由器转发，MAC地址发生变化透明模式下，AV代理对MAC地址变化是非常敏感的。代理需要记录MAC地址，这样才能产生新的会话FortiGate不会查询MAC地址，仅仅转发解决方案把Vlan 101和Vlan 102放到不同的虚拟域，这样就有两个不同的代理来处理这个数据包了最好的方式，用FortiGate来替代路由器。Spanning Tree ProtocolSpanning Tree Protocol是什么是什么Spanning TreeSpanning Tree GroupsPVS

38、T (Per Vdom Spanning Tree)PVST +网桥之间通过BPDU（BridgeProtocol Data Unit）进行交流。STP BPDU是一种二层报文，目的MAC是多播地址01-80-C2-00-00-00，所有支持STP协议的网桥都会接收并处理收到的BPDU报文。该报文 的数据区里携带了用于生成树计算的所有有用信息。 FortiOS TPFortiOS TP透明模式和透明模式和Spanning Spanning Tree ProtocolTree Protocol缺省状态下该协议是被阻断的 这主要是在透明模式的HA方式所需要的。如果启用 spanning tree

39、则会导致端口被禁止而让HA出现故障Root bridgeForwardingForwardingForwardingBlockingFGT opmode TP HA A-A透明模式和透明模式和802.3ad802.3ad端口汇聚端口汇聚透明模式下的FortiGate设备可以被加入到汇聚链中 两个汇聚链被创建 FortiGate加入到这两个链的管理 (LACP)端口汇聚可以使用基于2、3、4层的算法来实现数据流的分担。2层的分担是基于源MAC地址和目标MAC地址来实现分担，3层是基于源IP地址和目标IP地址，4层是使用源端口和目标端口MACMAC地址重叠的案例地址重叠的案例diagnose ne

40、tlink brctl name host trafficTP.bshow bridge control interface trafficTP.b host.Bridge trafficTP.b host tableport no device devname mac addr ttl attributes 10 22 server102 00:09:0f:68:34:e4 0 Local Static 7 19 server101 00:09:0f:68:34:e4 0 Local Static 5 17 toServer 00:09:0f:68:34:e4 0 Local Static

41、1 2 port1 00:09:0f:68:34:e4 0 Local Static 2 3 port2 00:09:0f:68:34:e5 0 Local Static 9 21 switch102 00:09:0f:68:34:e6 0 Local Static 8 20 switch101 00:09:0f:68:34:e6 0 Local Static 6 18 toSwitch 00:09:0f:68:34:e6 0 Local Static 3 4 port3 00:09:0f:68:34:e6 0 Local Static 4 5 port4 00:09:0f:68:34:e7

42、0 Local Static 10 22 server102 00:09:0f:68:35:5c 0 7 19 server101 00:09:0f:68:35:5c 0 9 21 switch102 00:11:11:cc:e6:cf 0 8 20 switch101 00:11:11:cc:e6:cf 0VLAN interfacesLocal aggregate InterfaceLocal aggregate InterfaceVLAN interfacesRemote aggregate InterfaceRemote aggregate InterfaceDuplicate MAC

43、 addresses are learnt in different forwarding domains so can reside in forwarding tableTPTP模式下的模式下的SessionSession表表session info: proto=1 proto_state=00 expire=59 timeout=3600 flags=00000000 av_idx=0 use=3bandwidth=0/sec guaranteed_bandwidth=0/sec traffic=0/sec prio=0 logtype=session ha_id=0 hakey=0t

44、unnel=/state=may_dirtystatistic(bytes/packets/err): org=504/6/0 reply=504/6/0 tuples=2orgin-sink: org pre-post, reply pre-post oif=19/20 gwy=0.0.0.0/0.0.0.0hook=pre dir=org act=noop 192.168.101.2:26728-192.168.101.254:8(0.0.0.0:0)hook=post dir=reply act=noop 192.168.101.254:26728-192.168.101.2:0(0.0.0.0:0)misc=0 domain_info=0 auth_info=0 ids=0 x0 vd=2 serial=0000065d tos=ff/ff