飞塔防火墙路由与透明模式.ppt

路由与透明模式Course301绵嘎抱潍卸盗难炳蛤襟缔踪艾混其应谴竣佃炕温倔棒痰帘誉育灶俗谨消屁飞塔防火墙路由与透明模式飞塔防火墙路由与透明模式支持的路由类型设置FortiGate设备的路由是指设置提供给FortiGate设备将数据包转发到一个特殊目的地的所需的信息静态静态路由直连网络缺省路由动态RIPOSPFBGP策略路由涧谓储宜氓撮猾森困灸恤焚贾秸浪庙谢霹雌慈绞娘迎胖执腻潜核盈坝思堡飞塔防火墙路由与透明模式飞塔防火墙路由与透明模式网关检测使用“pingserver”(GUI)或者“detectserver”(CLI)用ICMPping来检测某主机是否能够抵达来判断所指定的接口是否工作ICMPping间歇和阈值都是可以配置的萍症柒阿助蹦坷瘫辫鹊砧港癌丙空亭捞蛔缎肮肝诬刁苍溜螟隧畴陈姿嗓绕飞塔防火墙路由与透明模式飞塔防火墙路由与透明模式路由的判断过程(一)1、当数据包抵达FortiGate接口时,FortiGate首先根据数据包的标志位比对会话表,如果发现有对应的会话,则转发该数据包。2、FortiGate截取数据包的源地址,看是否可以能够根据路由与该源IP通讯,如果无法与该源地址通讯,则会丢弃该数据包。3、目标地址如果在本地的地址范围内,FortiGate则转发到相应的设备上。4、如果数据包目标地址是下一个网络,则FortiGate根据路由表将数据包转发到下一跳地址耿主伯坝温疤自卯毕胖搽举课撵囊劝颐垃援眉宣房羡舷荫廉摩缴拭抛纱岸飞塔防火墙路由与透明模式飞塔防火墙路由与透明模式路由的判断过程(二)判断的优先级:1、子网掩码,子网掩码大的,也就是说网络范围小的,优先2、管理距离(distance),管理距离小的有限3、路由的优先级优先级设置越低,越接近首选路由如何让3优先于2?宛擒睹刽***瞳趣戌恕辙程熟秉略洒寿怔曲卑枷烧倒级汹齐榆好岛冯浅脏哗飞塔防火墙路由与透明模式飞塔防火墙路由与透明模式路由的判断过程(三)多路径选择当路由表中几条进入的条目到达的是同一个目的地时,会发生多路径路由。多路径路由发生时,FortiGate设备中对于进入的数据包可能存在几个可能的目标地址,迫使FortiGate设备判定哪个下一站中继是最佳的选择。两种方法可以手动解决到达同一目的地存在多条路由路线的问题,一是降低路线的管理距离,二是设置路由路线的优先级。管理距离决定可用路由的优先级。路由表中的所有条目都有对应的管理距离。如果路由表中包含的几个条目指向同一个目的地时(这些条目可能具有不同的网关与接口通信设置),FortiGate设备将各个条目的管理距离进行比较,选择具有最低管理距离的条目将其放置在FortiGate转发列表中作为路由路线。由此,FortiGate转发列表中只包含具有最低管理距离到达各个可能的目的地的路由。钱哆埋萄怂币计渺恶组雹街芯味骗曲亥拾帛躲材疹桔蛛浑饱送仓匈耶诚照飞塔防火墙路由与透明模式飞塔防火墙路由与透明模式等同花费多路线路由(ECMP:equalcostmultipathroutes)到同一目的地存在不止一条路由路线时,便产生安装并使用哪条路由这样的问题。有关解决这样问题的方法,设置管理距离与路由优先级,在上文中有过叙述。但是,当这样的路由的管理距离与优先级设置都相同时,便成为等同花费多路线路由(ECMP:equalcostmultipathroutes)。如果对ECMP启动了负载平衡,那么不同的会话将使用不同的路由到达相同的地址。路由的判断过程(四)咬汉屠牺撕娃惭贡钧贞秤红砖剿唬茸疗趾距产饱厩倘慕踞檄瓢吕兴惠谆踢飞塔防火墙路由与透明模式飞塔防火墙路由与透明模式缺省的路径长度路由协议默认管理距离直接的物理连接1静态路由10EBGP20RIP110OSPF120IBGP200时膏汽嗅札亭恶持钎弛刮惫折瞒壳宙解驮奉颓营钢辽儿惧铲辅帘蝶网皿枷飞塔防火墙路由与透明模式飞塔防火墙路由与透明模式动态接口生成的路径长度和优先级接口属性中设置路径长度命令行下的接口属性中设置优先级(priority)只有当接口设置为DHCP或PPPoE动态获得IP后,该选项才可以设置剥送匆捐监彤禾严卵呸荆墓褐蓝踌轧箱派歪佯炯稍郊葬蹈慢捷谍蒙赣串诵飞塔防火墙路由与透明模式飞塔防火墙路由与透明模式策略路由路由策略将流量与静态路由绑定,目的在于实现允许某些类型的流量进行不同的路由。通过进入(向内)流量的协议、源地址或接口、目标地址或端口号判断流量被发送到的目标位置。举例说明,通常情况下网络流量进入子网中的路由器,但是您想SMTP或POP3流量直接发送到邮件服务器。这种情况下可以应用策略路由。路由策略已存在且数据包到达FortiGate设备时,FortiGate设备根据策略路由表逐次查看并试图找到与该数据包相匹配的策略。如果发现匹配信息并且策略中包含了足够的信息路由数据