飞塔防火墙的路由与透明模式.ppt

路由与透明模式 Course 301 支持的路由类型 设置FortiGate设备的路由是指设置提供给FortiGate设备将数据包转发到一个特殊目的地的所需的信息 静态 静态路由 直连网络 缺省路由 动态 RIP OSPF BGP 策略路由 网关检测 使用“ping server” (GUI) 或者 “detect server” (CLI) 用ICMP ping来检测某主机是否能够抵达来判断所指定的接口是否工作 ICMP ping 间歇和阈值都是可以配置的 路由的判断过程（一） 1、当数据包抵达FortiGate接口时，FortiGate首先根据数据包的标志位比对会话表，如果发现有对应的会话，则转发该数据包。 2、FortiGate截取数据包的源地址，看是否可以能够根据路由与该源IP通讯，如果无法与该源地址通讯，则会丢弃该数据包。 3、目标地址如果在本地的地址范围内，FortiGate则转发到相应的设备上。 4、如果数据包目标地址是下一个网络，则FortiGate根据路由表将数据包转发到下一跳地址 路由的判断过程（二） 判断的优先级： 1、子网掩码，子网掩码大的，也就是说网络范围小的，优先 2、管理距离(distance)，管理距离小的有限 3、路由的优先级 优先级设置越低，越接近首选路由 路由的判断过程（三） 多路径选择 当路由表中几条进入的条目到达的是同一个目的地时，会发生多路径路由。多路径路由发生时，FortiGate设备中对于进入的数据包可能存在几个可能的目标地址，迫使FortiGate设备判定哪个下一站中继是最佳的选择。 两种方法可以手动解决到达同一目的地存在多条路由路线的问题，一是降低路线的管理距离，二是设置路由路线的优先级。管理距离决定可用路由的优先级。 路由表中的所有条目都有对应的管理距离。如果路由表中包含的几个条目指向同一个目的地时（这些条目可能具有不同的网关与接口通信设置），FortiGate设备将各个条目的管理距离进行比较，选择具有最低管理距离的条目将其放置在FortiGate转发列表中作为路由路线。由此，FortiGate转发列表中只包含具有最低管理距离到达各个可能的目的地的路由。  等同花费多路线路由（ECMP: equal cost multipath routes） 到同一目的地存在不止一条路由路线时，便产生安装并使用哪条路由这样的问题。有关解决这样问题的方法，设置管理距离与路由优先级，在上文中有过叙述。但是，当这样的路由的管理距离与优先级设置都相同时，便成为等同花费多路线路由（ECMP: equal cost multipath routes）。如果对ECMP启动了负载平衡，那么不同的会话将使用不同的路由到达相同的地址。 缺省的路径长度 动态接口生成的路径长度和优先级 接口属性中设置路径长度 命令行下的接口属性中设置优先级(priority) 只有当接口设置为DHCP或PPPoE动态获得IP后，该选项才可以设置 策略路由 路由策略将流量与静态路由绑定，目的在于实现允许某些类型的流量进行不同的路由。通过进入（向内）流量的协议、源地址或接口、目标地址或端口号判断流量被发送到的目标位置。举例说明，通常情况下网络流量进入子网中的路由器，但是您想SMTP或POP3流量直接发送到邮件服务器。这种情况下可以应用策略路由。 路由策略已存在且数据包到达FortiGate设备时，FortiGate设备根据策略路由表逐次查看并试图找到与该数据包相匹配的策略。如果发现匹配信息并且策略中包含了足够的信息路由数据包（必须注明下一站路由的IP地址以及将数据包转发FortiGate设备的接口），FortiGate设备使用策略中的信息路由数据包。如果没有与数据包相匹配的策略，FortiGate设备使用路由表路由数据包。 注意：因为大多数策略设置是可选项，一个匹配的策略可能还不足以提供给FortiGate设备足够的信息转发数据包。FortiGate设备将转向参考路由表试图将传送的数据包报头的信息与路由表中的路由相匹配。举例说明，如果策略中只列出向外的接口名称，FortiGate设备将在路由表中查询下一站路由的IP地址。这种情况只有在FortiGate设备接口是动态的接收IP（例如对FortiGate设备接口设置了DHCP或PPPoE）或因为IP地址是动态更改状态您不能够指定下一站路由的IP地址下发生。 RIP说明 RIP是距离向量协议，用于小型且相对同构网络。FortiGate设备执行的RIP（路由信息协议）既支持RFC1058定义的RIP版本1也支持RFC2453定义的RIP版本2。RIP版本2能够使RIP信息承载更多的信息并支持单一认证与子网掩码。 启动RIP后，FortiGate设备从每个启动RI