教程篇(5.4) 14. 透明模式 ❀ FortiGate 安全 ❀ Fortinet 网络安全专家 NSE 4
在这节课中你将学习如何在一个FortiGate里做透明模式和二层交换。
完成这节课程之后,你应该具备配置FortiGate作为二层交换来使用的实用技能,它们包括:
配置FortiGate接口作为二层交换操作
配置一个VDOM以透明模式操作
监控MAC地址表
将二层网络划分为多个广播域
在网络中安装FortiGate运行生成树协议(STP)
在本节中我们将探索透明模式。
传统的IPv4防火墙和NAT模式的FortiGate可以像路由器一样处理流量。因此,每个接口都必须在不同的子网中,并形成不同的广播域。根据IP报头信息路由IP包的路由,覆盖源MAC地址。因此,如果客户端向连接到不同FortiGate的服务器发送一个包,那么这个包就会到达服务器,而不是客户的MAC地址。
在透明模式的情况下,FortiGate转发帧,并不改变MAC地址。当客户端从连接到不同的FortiGate接口的服务器收到一个包时,这个框架包含了服务器的真实MAC地址,FortiGate不会重写MAC的头。FortiGate是一层二层的桥或交换。因此,接口没有IP地址,并且都属于相同的广播域(默认情况下)。
这意味着在不改变客户的IP地址计划的情况下,可以在客户网络中安装一个透明模式FortiGate。一些客户,尤其是大型组织,不想重新配置数以千计的设备来定义一个新的内部和外部网络。
下面是一个显示NAT模式的示例。
FortiGate有三个连接的端口,每个端口都有独立的IP子网。FortiGate的所有接口都有IP地址,在这种情况下,NAT在网络之间转换。防火墙策略允许流量在网络之间流动。
根据他们的路由,根据目的地IP地址(在OSI模型的第3层),大多数情况下都是根据他们的路由来处理数据包的。
每个子网的客户机发送的帧都是用于FortiGate的MAC地址,而不是服务器的真实MAC地址。
下面是一个显示透明模式的示例。防火墙策略仍然扫描,然后允许或阻塞流量。但也有差异。
请注意,在FortiGate上的物理接口没有IP。因此,FortiGate不会对ARP请求作出响应。当然也有例外。例如,当更改为透明模式时,你必须指定一个管理IP地址来接收来自网络管理员的连接,并发送日志消息、SNMP陷阱、警告电子邮件等。这个IP地址没有分配给任何特定的接口,而是给VDOM设置。
默认情况下,一个透明的FortiGate不会做NAT,而且,客户端发送帧会直接到达真正的路由器或服务器MAC地址。
我们已经提到,一个透明模式FortiGate是一个透明的桥。这是什么意思?
它的意思是,FortiGate有一个MAC地址表,其中包含了必须用来到达每个MAC地址的接口。此表使用从每个帧的源MAC地址获取的信息填充此表。
FortiGate作为一个透明的交换机,它将网络分割为多个冲突域,减少网络中的通信量并改善响应时间。
在透明模式下,默认情况每个VDOM都形成一个单独的转发域。但是接口没有,这对网络有什么影响?
在你更改初始的VDOM配置之前,所有的接口,不管它们的VLAN ID,都是同一个广播域的一部分。为了找到任何未知的目标MAC地址,FortiGate将从VDOM的每个接口中广播。在大型网络上,这可能会产生大量的广播流量和铺天盖地的回复,一场广播风暴。
下面是问题的一个例子,在转发域0(默认)的所有接口上进行广播。一个设备发送ARP请求。它通过VDOM中的一个接口到达了FortiGate。
因为所有的接口都属于同一个转发域,所以它会重新广播到所有其他接口,甚至是属于不同vlan的接口。这产生不必要的流量。在那之后,ARP响应仍然只有一个接口,而FortiGate将会知道MAC在那个界面上。
正如我们所解释的,转发域就像广播域一样。
这个例子与我们之前展示的是相同的网络,但是在这里,不同的转发域ID分配给每个VLAN。
到达一个接口的流量只会广播到具有相同转发域ID的接口。
这个调试命令在一个以透明模式运行的VDOM中列出MAC地址表。正如我们前面所解释的,表包含了到达每个学习的MAC地址的出站接口。
这一部分是关于虚拟连接对的。正如你将看到的,虚拟连接对提供了另一种创建广播域的方式。使用虚拟连接对,你还可以在一个NAT/路由VDOM中拥有像透明模式一样的界面对。
当只有两个物理接口需要连接到相同的广播域时,你可以使用虚拟连接对。例如,在内部网络和ISP的路由器之间连接的一个FortiGate通常是这样的。
在配置虚拟连接对时,两个端口逻辑上绑定或链接,就像过滤的电缆或管道一样。到达一个港口的所有流量都被转发到另一个港口。这避免了与广播风暴或MAC地址飘移有关的问题。
你可以在一个FortiGate中创建多个端口对。
这里有一个例子,在透明模式下,在一个FortiGate中使用了两个虚拟连接对。
这个FortiGate有四个端口,每个端口连接到不同的物理位置。但是流量不允许在四个地点之间流动。虚拟线路只允许在同一对端口之间进行通信:port1和port2之间,port3和wan1之间。
因此,在这个例子中,port3上的网络可以通过wan1到达Internet。然而,port2和port1上的网络无法到达因特网。他们只能互相接触。
另一方面,这是一个在NAT模式下的FortiGate里的虚拟连接对的例子。在本例中,IP数据包进入接口wan1,以及内部使用IP报头信息进行路由。这两个接口有不同的IP地址,每个接口都形成一个独立的广播域。
现在,接口wan2和dmz的情况是不同的。当它们被配置为一个虚拟连接对时,它们没有分配IP地址,它们组成一个单一的广播域。观察服务器的IP地址和连接到wan2的路由器。它们必须都属于同一子网。
因此,虚拟连接对提供了一种将NAT/路由模式功能与一些透明模式功能混合到相同的VDOM中的方法。
创建虚拟连接口对需要选择两个物理接口,不要多也不要少。
在此之后,你将创建虚拟连接对策略,以检查虚拟连接对的通信。通配符VLAN设置指定了如何将这些策略应用到不同的VLAN上,它们之间的通信流是:
如果启用了通配符VLAN,那么虚拟连接对策略将同样适用于物理接口和VLAN的通信量。
如果禁用了通配符,那么虚拟连接对策略只适用于物理接口。任何VLAN标记的通信都被拒绝。
虚拟连线的防火墙策略是在一个不同的菜单部分创建的。只要创建了至少一个虚拟线路对,就会显示这个部分。
在本节中,我们将探讨软件交换。一个软件交换增加了一个虚拟二层交换到FortiGate的配置。
一个软件交换组将多个接口组合成一个虚拟交换机,它充当一个硬件二层交换。这意味着所有的交换接口都是同一个广播域的一部分。
每个软件交换都有一个与之相关联的虚拟接口。它的IP地址由所有物理交换机接口共享。你可以在防火墙策略和路由配置中使用这个虚拟接口。
在本例中,管理员将一个带有port1和port2的无线接口组合成一个软件交换。这三个接口是同一个广播域的一部分。所有连接到交换机接口的设备都属于同一个IP子网192.168.1.0/24。例如,这允许FortiGate从无线客户端传送到port1和port2。
软件交换接口本身有一个IP地址,它也在相同的子网192.168.1.0/24中。这是连接到软件交换的所有设备的默认网关IP地址。
服务器10.0.1.1连接到一个不属于软件交换机的接口(dmz)。因此,它属于不同的广播域和IP子网。
本节讨论的是关于FortiGate设备在2层网络中运行生成树协议。
生成树协议将自动确保没有第2层循环。在默认情况下,FortiGate不参与STP学习,也不转发BPDU。但你可以启用它。不过你必须限制广播域,这样它们就不会太大了。
要使FortiGate能够参与STP树,请在CLI中使用〖config system stp〗命令。
请注意,这只支持物理交换机接口的型号,例如FortiGate 30D、60C、60D、80C和90D。
对于非物理交换接口的接口,你可以选择转发或阻止STP BPDU。
这是回顾一下我们所讨论的主题:
透明模式和NAT模式
域名导向
MAC地址表监控
虚拟连线对
软件交换
STP配置
飞塔技术 - 老梅子 QQ:57389522
教程篇(5.4) 14. 透明模式 ❀ FortiGate 安全 ❀ Fortinet 网络安全专家 NSE 4相关推荐
- 教程篇(5.4) 13. 虚拟域 ❀ FortiGate 安全 ❀ Fortinet 网络安全专家 NSE 4
在本课程中将向你展示如何配置虚拟域(VDOM)和常见的使用示例.这个课程也涵盖了VLAN的配置. 在完成这一课程之后,你应该具备创建VDOM和VLAN所需的实用技能.你还将学习限制分配给每个VDOM的 ...
- 教程篇(5.4) 18. 单点登录 ❀ FortiGate 安全 ❀ Fortinet 网络安全专家 NSE 4
在这节课中你将学习Fortinet单点登录(FSSO).有了这个功能,你的用户就不需要在每次访问不同的网络资源时登录. 在完成这一课程之后,你应该具备配置Fortinet SSO功能的技能.这包括: ...
- 教程篇(6.0) 07. Web过滤 ❀ FortiGate 安全 ❀ Fortinet 网络安全专家 NSE 4
在本课中,你将学习如何在FortiGate上配置Web过滤,以控制网络中的Web流量. 在本次课程中,你将探讨以下主题: 检测模式 Web过滤基础 附加的基于代理的web过滤功能 DNS过滤 最佳实践 ...
- 教程篇(6.0) 06. 证书操作 ❀ FortiGate 安全 ❀ Fortinet 网络安全专家 NSE 4
在本课中,你将了解FortiGate为什么使用数字证书,如何配置FortiGate以使用证书(包括使用证书检查加密流量的内容),以及FortiGate如何管理证书. 在本次课程中,你将探讨以下主题: ...
- 教程篇(6.0) 02. 防火墙策略 ❀ FortiGate 安全 ❀ Fortinet 网络安全专家 NSE 4
在本课中,你将学习如何理解和应用防火墙策略来允许和拒绝通过 FortiGate 的流量.它的核心是防火墙,所以它对你的流量所做的几乎所有事情都与你的防火墙策略相关联. 在本次课程中,你将探讨以下主题: ...
- 教程篇(7.2) 02. 防火墙策略 FortiGate安全 ❀ Fortinet网络安全专家 NSE4
在本节课中,你将了解防火墙策略以及如何应用它们来允许和拒绝通过FortiGate的流量.就其核心而言,FortiGate是一个防火墙,因此它对你的流量所做的几乎所有事情都与你的防火墙策略相关联. ...
- 教程篇(7.2) 11. 安全架构 FortiGate安全 ❀ Fortinet网络安全专家 NSE4
在本节课中,你将了解Fortinet安全架构. 通过展示部署Fortinet安全架构的能力,使用和扩展安全架构功能,并了解其拓扑结构,你将能够在你的网络里有效地使用Fortinet安全架构. 通 ...
- 教程篇(7.0) 04. FortiClient 部署 ❀ FortiClient EMS ❀ Fortinet 网络安全专家 NSE 5
在本课中,你将学习如何部署FortiClient,以及如何使用FortiClient EMS管理部署包. 通过展示FortiClient部署能力,你将能够准备Windows Active Dire ...
- 考题篇(7.0) 11 ❀ FortiGate防火墙 ❀ Fortinet 网络安全专家 NSE 4
To complete the final step of a Security Fabric configuration, an administrator must authorize all ...
最新文章
- unity球体添加光源_Unity渲染路径——光源种类
- 安装yaml报错:ERROR: Cannot uninstall 'PyYAML'.
- java中String类是什么_Java中的String类
- 在RHEL5.0中用YUM解决RPM包的依赖关系
- Android学习笔记26:图片切换控件ImageSwitcher的使用
- 设备的阻塞与非阻塞操作
- python编程狮app题库_Python编程狮-零基础学Python im App Store
- java 代码scope注解_Spring学习(15)--- 基于Java类的配置Bean 之 @Bean @Scope 注解
- 初级Java开发与架构之间的差距不仅仅是开发时间
- 手机连接电脑wifi
- 新仓库无线AP手持连接故障
- The Linux Process Principle, PID、PGID、PPID、SID、TID、TTY
- wxPython 资料链接
- SylixOS线程创建的流程分析
- Web 开发的 JavaScript 框架资料收集(15款)
- 2011-10-10
- 西部旅游杂志西部旅游杂志社西部旅游编辑部2022年第19期目录
- 高斯投影法正反算代码MATLAB版本
- 语音专题第一讲,麦克风阵列的语音信号处理技术
- mysql 军规_58到家MySQL军规升级版