在本课中,你将学习如何在FortiGate上使用透明操作模式和二层交换。
本节课,你将学习这上图显示的主题。
通过展示理解和配置VLAN的能力,你将能够有效地将你的网络划分为更小的逻辑段。
VLAN将物理LAN划分为多个逻辑LAN。在NAT模式下,每个VLAN形成一个单独的广播域。
同一个物理接口上可以同时存在多个VLAN,但VLAN ID不同。将一个物理接口划分为两个或多个逻辑接口。为每个以太网帧添加标签,以标识该帧所属的VLAN。
上图显示了一个以太网帧。帧包含目的MAC地址和源MAC地址、类型、数据负载和CRC代码,以确认它没有损坏。
在带VLAN标签的以太网帧的情况下,根据802.1q标准,在MAC地址之后多插入4个字节。它们包含一个标识VLAN的ID号。
OSI的二层设备,例如交换机,可以从以太网帧中添加或删除这些标签,但它不能改变它们。
对于三层设备(如路由器、FortiGate设备)来说,可以通过改变VLAN标签来路由报文。从而实现VLAN间的路由。
当在NAT模式下工作时,FortiGate在其最基本的配置中作为OSI三层路由器运行。在这种模式下,VLAN就是设备上的一个接口。VLAN标签可以在出接口添加,在入接口删除,或者根据路由决策重写。FortiGate不会在入接口添加VLAN标签(这是以前的设备的责任)。
在上图的NAT操作模式示例中,VLAN 100上的主机向VLAN 300上的主机发送帧。交换机A在VLAN 100的接口上收到该帧。然后在交换机A与FortiGate之间的trunk链路上添加VLAN 100标签。
FortiGate在VLAN 100接口接收帧。然后将流量从VLAN 100路由到VLAN 300,并将VLAN ID重写为VLAN 300。
交换机B在VLAN trunk接口上接收到该帧,在VLAN 300接口上删除该帧的VLAN标签,再将该帧转发到目的端口。
通过图形化方式创建VLAN时,单击“新建”,选择“接口”,然后在“类型”下拉列表框中选择“VLAN”。必须指定VLAN ID和要绑定的物理接口。属于该类型接口的帧总是被标记。另一方面,物理接口段发送或接收的帧不会被打上标签。它们属于所谓的本地VLAN (VLAN ID0)。
注意,在多VDOM环境中,物理接口及其VLAN子接口可以在单独的VDOM中。
答案:B
现在你了解了VLAN。接下来,你将学习透明模式。
通过展示理解和配置透明操作模式的能力,你将了解在FortiGate上实现二层交换的一个关键组件。
传统的IPv4防火墙和NAT模式FortiGate设备处理流量的方式与路由器相同。每个接口必须在不同的子网中,每个子网组成不同的广播域。FortiGate基于IP头信息进行IP报文路由,覆盖源MAC地址。因此,如果客户端向连接到不同FortiGate接口的服务器发送数据包,该数据包到达服务器时带有FortiGate MAC地址,而不是客户端MAC地址。
在透明运行模式下,FortiGate在不改变MAC地址的情况下转发帧。当客户端从连接到不同FortiGate接口的服务器接收到报文时,帧包含服务器的真实MAC地址。FortiGate不会重写MAC头。FortiGate充当二层桥接器或交换机。缺省情况下,所有接口都属于同一个广播域。
这意味着你可以在客户网络中安装透明模式FortiGate,而不必更改客户的IP地址规划。一些客户,特别是大型组织,不希望重新配置数千台设备来定义一个与外部网络分离的新的内部网络。
上图展示了NAT操作模式的一个例子。
FortiGate有三个连接端口,每个端口都有独立的IP子网。FortiGate上的所有接口都有IP地址,在这种情况下,NAT在网络之间进行转换。防火墙策略允许网络之间的流量流动。
FortiGate根据它们的路由处理数据包。在大多数情况下,路由是基于目的IP地址的(在OSI模型的第三层)。
每个子网上的客户端发送帧的目的地是FortiGate MAC地址,而不是服务器的真实MAC地址。
上图展示了一个透明操作模式的例子。防火墙策略扫描,然后允许或阻断流量。但也有区别。
注意FortiGate上的物理接口没有IP地址。因此,FortiGate不会响应ARP请求。然而,也有一些例外。例如,当切换到透明操作模式时,你必须指定一个管理IP地址,以便接收来自你的网络管理员的连接、发送日志消息、SNMP trap、告警电子邮件等。该IP地址没有分配给特定的接口。它被分配给VDOM设置。管理IP地址对通过FortiGate的流量没有影响。
缺省情况下,透明模式的FortiGate设备不会进行NAT转换。同时,客户端也会将帧直接发送到真实路由器或服务器的MAC地址。
透明模式下FortiGate设备充当透明桥。这是什么意思?
这意味着FortiGate有一个MAC地址表,其中包括必须用于到达每个MAC地址的接口。FortiGate用来自每一帧的源MAC地址的信息填充这个表。
FortiGate作为透明交换,将网络划分为多个冲突域,减少了网络流量,提高了响应时间。
默认情况下,在透明操作模式下,每个VDOM形成一个单独的转发域;但是,接口不需要。这对网络有什么影响?
在修改初始的VDOM配置之前,所有接口,无论其VLAN ID如何,都属于同一个广播域。FortiGate从VDOM中的每个接口广播,以便找到任何未知的目的MAC地址。在大型网络中,这可能会产生大量的广播流量和压倒性的回复——一场广播风暴。
上图说明了一个问题——在正向域0(默认)上有所有接口的广播。一台设备发送ARP请求。它通过VDOM中的一个接口到达FortiGate。
因为所有的接口都属于同一个转发域,所以FortiGate会重新广播给所有其他的接口,甚至是属于不同VLAN的接口。这会产生不必要的流量。此后,仍然只有一个接口收到ARP回复,FortiGate获知MAC在该接口上。
正如你在本课前面学到的,转发域类似于广播域。
上图的示例显示了与前面相同的网络,但为每个VLAN分配了不同的转发域ID。
从一个接口到达的流量将只向具有相同转发域ID的接口广播。
该命令用来显示VDOM透明模式下的MAC地址表。上图中的表格包含了到达每个学习到的MAC地址的出接口。
答案:A
答案:B
现在你了解了透明模式。接下来,你将学习虚拟链接对。
通过演示使用虚拟链接对的能力,你将了解创建广播域的另一种方式,并能够创建操作类似于NAT VDOM中的透明模式的接口对。
当只需要将两个物理接口连接到同一个广播域时,可以使用虚连线配对。最常见的例子是FortiGate连接内部网络和ISP路由器。
在配置虚拟连线配对时,两个端口在逻辑上绑定或连接,就像过滤电缆或管道一样。所有到达一个端口的流量都被转发到另一个端口。这可以防止与广播风暴或MAC地址震荡相关的问题。
你可以在FortiGate上创建多个虚拟连线对。
上图展示了FortiGate透明模式下使用的两个虚拟链接对的示例。
这个FortiGate有四个端口,每个端口连接到不同的物理位置。但这四个地点之间的流量是不允许的。虚拟连线配对只允许同一对端口之间的流量:port1和port2, port3和wan1。
所以在本例中,port3的网络可以通过wan1到达internet。但是port2和port1上的网络无法访问internet,他们只能接触到对方。
上图展示了一个FortiGate虚拟链接对在NAT模式下运行的例子。本例中,进入wan1接口和internal接口的IP报文都使用IP头信息进行路由。这两个接口有不同的IP地址,每个接口形成一个单独的广播域。
wan2和dmz的情况不同。因为这些接口被配置为一个虚拟链接对,它们没有分配IP地址,它们形成一个单一的广播域。观察连接到wan2的服务器和路由器的IP地址。它们必须属于同一个子网。
因此,虚拟连线配对提供了一种在同一个VDOM中混合NAT模式功能和一些透明模式功能的方法。
这个场景最常用作分段防火墙。这种配置允许将FortiGate集成到现有的网络中,其中web服务器位于一个公共IP地址上。它避免了使用虚拟IP的需要,并提供了与网络其他部分的隔离。它还允许将FortiGate立即集成到一个已建立的网络中,并提供到FortiGate基础设施的迁移路径。
在创建虚拟链接对时,必须选择两个物理接口——不多也不少。
选择两个接口后,创建虚拟连线对策略,用于检测通过该虚拟链接对的流量。
通过设置“通配符VLAN”,可以指定这些策略如何应用不同VLAN的流量在这一对之间流动:
● 启用“通配符VLAN”后,虚拟链接对策略在物理接口和VLAN上的应用是相同的。
● 如果不启用“通配符VLAN”,则虚拟链接对策略只应用在物理接口上。任何带有VLAN标签的流量都将被拒绝。
对于基于配置文件的配置,在“策略与对象>防火墙虚拟链接对策略”菜单下配置虚拟连线对的防火墙策略,当至少创建了一个虚拟链接对时,该菜单才会显示。
防火墙虚拟链连对策略可以包含多个虚拟链接对。通过消除为每个虚拟链接对创建多个相似策略的需要,该功能可以简化策略管理过程。在创建或修改策略时,可以为策略中包含的每个VWP选择流量方向。
可以通过视图顶部的下拉列表过滤,只显示与特定VWP关联的策略。包含多个VWP的策略会出现在包含的所有VWP的策略列表中。
对于基于策略的配置,“安全虚似链接对策略”和“虚拟连接对SSL检测与认证”页面的顶部都有“VWP”下拉列表。
答案:B
答案:A
现在你了解了虚拟链接对。接下来,你将了解软交换功能。
通过展示使用软交换功能的能力,你将了解如何将多个物理和无线接口分组为单个虚拟接口。
软交换将多个接口组成一个虚拟交换,相当于一个传统的二层交换。这意味着所有交换接口都属于同一个广播域。
每个软件交换都有一个与之相关联的虚拟接口。
它的IP地址为所有交换物理接口和成员SSID共享。该虚拟接口用于防火墙策略和路由的配置。
在上图所示的例子中,管理员将一个无线接口与port1和port2组合成一个软件交换。这三个接口属于同一个广播域。交换接口所连接的所有设备都属于同一个IP子网:192.168.1.0/24。这允许FortiGate将广播流量从无线客户端转发到port1和port2。
软交换接口本身有一个IP地址,也在同一个子网中:192.168.1.0/24。这是连接到软交换的所有设备的默认网关IP地址。
服务器10.0.1.1连接到一个不属于软交换的接口(dmz)。所以,它属于不同的广播域和IP子网。
答案:B
答案:B
现在你了解了软件切换功能。接下来,你将学习生成树协议(STP)。
通过展示STP的能力,你将了解如何在运行STP的网络中安装FortiGate,以及如何避免常见的STP相关问题。
只要有可能,网络设计者就会在他们的网络中提供冗余。网络越大,对冗余的需求就越迫切。然而,冗余也有它自己的问题。
当以太网交换机接收到一个帧时,它将该帧转发到同一广播域中的所有端口,除了接收该帧的端口。如果网络中有冗余路径,则帧在这两个链路上广播。这将产生所谓的广播风暴,最终导致网络的彻底崩溃,因为帧在每个端口上被一遍又一遍地重播。
为了防止广播风暴,可以使用生成树协议 (STP)。
STP的工作原理是首先在广播域中选择一台交换机作为根桥。然后交换机开始交换称为桥接协议数据单元(BPDU)的特殊数据包。这些BPDU为每台交换机提供有关其邻居及其接口的信息。当所有路径都已知时,交换机就会识别出潜在的环路,并根据转发成本最低的原则指定根端口作为主路径。其他可能导致循环的端口被阻塞。
由于BPDU每两秒发送一次,交换机可以检测到任何网络中断,并根据需要解除阻塞端口,以恢复中断周围的备用路径。
缺省情况下,FortiGate不参与STP学习,也不转发BPDU数据包。但是你可以启用它。(你仍然必须限制广播域,以使它们不太大。)
为了使FortiGate能够参与到STP树中,可以在CLI下使用config system STP命令。
需要注意的是,只支持有物理交换机接口的型号,如FortiGate 30D、60D、60E和90D。
对于非物理交换接口的接口,你可以可以转发或阻断STP BPDU。
答案:B
现在你了解了STP。接下来,你将学习在使用二层交换时使用的一些最佳实践。
通过展示在FortiGate上使用二层交换最佳实践的能力,你将了解如何识别、解决和预防常见的二层问题。
当你实现具有二层功能的FortiGate设备时,上图显示了你应该遵循的一些最佳实践,以避免你的网络中可预防的问题。
恭喜你!你已经学完了这一课。
现在,你将回顾你在这一课中涉及的目标。
上图展示了你在这节课中涉及的目标。
通过掌握本课所涵盖的目标,你学习了如何使用透明操作模式和FortiGate的二层交换。