資源描述:
《10_路由與透明模式》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1、路由與透明模式Course301支持的路由類型設(shè)置FortiGate設(shè)備的路由是指設(shè)置提供給FortiGate設(shè)備將數(shù)據(jù)包轉(zhuǎn)發(fā)到一個(gè)特殊目的地的所需的信息靜態(tài)靜態(tài)路由直連網(wǎng)絡(luò)缺省路由動(dòng)態(tài)RIPOSPFBGP策略路由網(wǎng)關(guān)檢測(cè)使用“pingserver”(GUI)或者“detectserver”(CLI)用ICMPping來檢測(cè)某主機(jī)是否能夠抵達(dá)來判斷所指定的接口是否工作ICMPping間歇和閾值都是可以配置的路由的判斷過程(一)1、當(dāng)數(shù)據(jù)包抵達(dá)FortiGate接口時(shí),F(xiàn)ortiGate首先根據(jù)數(shù)據(jù)包的標(biāo)志位比對(duì)會(huì)話表
2、,如果發(fā)現(xiàn)有對(duì)應(yīng)的會(huì)話,則轉(zhuǎn)發(fā)該數(shù)據(jù)包。2、FortiGate截取數(shù)據(jù)包的源地址,看是否可以能夠根據(jù)路由與該源IP通訊,如果無法與該源地址通訊,則會(huì)丟棄該數(shù)據(jù)包。3、目標(biāo)地址如果在本地的地址范圍內(nèi),F(xiàn)ortiGate則轉(zhuǎn)發(fā)到相應(yīng)的設(shè)備上。4、如果數(shù)據(jù)包目標(biāo)地址是下一個(gè)網(wǎng)絡(luò),則FortiGate根據(jù)路由表將數(shù)據(jù)包轉(zhuǎn)發(fā)到下一跳地址路由的判斷過程(二)判斷的優(yōu)先級(jí):1、子網(wǎng)掩碼,子網(wǎng)掩碼大的,也就是說網(wǎng)絡(luò)范圍小的,優(yōu)先2、管理距離(distance),管理距離小的有限3、路由的優(yōu)先級(jí)優(yōu)先級(jí)設(shè)置越低,越接近首選路由如何讓3優(yōu)
3、先于2?路由的判斷過程(三)多路徑選擇當(dāng)路由表中幾條進(jìn)入的條目到達(dá)的是同一個(gè)目的地時(shí),會(huì)發(fā)生多路徑路由。多路徑路由發(fā)生時(shí),F(xiàn)ortiGate設(shè)備中對(duì)于進(jìn)入的數(shù)據(jù)包可能存在幾個(gè)可能的目標(biāo)地址,迫使FortiGate設(shè)備判定哪個(gè)下一站中繼是最佳的選擇。兩種方法可以手動(dòng)解決到達(dá)同一目的地存在多條路由路線的問題,一是降低路線的管理距離,二是設(shè)置路由路線的優(yōu)先級(jí)。管理距離決定可用路由的優(yōu)先級(jí)。路由表中的所有條目都有對(duì)應(yīng)的管理距離。如果路由表中包含的幾個(gè)條目指向同一個(gè)目的地時(shí)(這些條目可能具有不同的網(wǎng)關(guān)與接口通信設(shè)置),F(xiàn)ort
4、iGate設(shè)備將各個(gè)條目的管理距離進(jìn)行比較,選擇具有最低管理距離的條目將其放置在FortiGate轉(zhuǎn)發(fā)列表中作為路由路線。由此,F(xiàn)ortiGate轉(zhuǎn)發(fā)列表中只包含具有最低管理距離到達(dá)各個(gè)可能的目的地的路由。等同花費(fèi)多路線路由(ECMP:equalcostmultipathroutes)到同一目的地存在不止一條路由路線時(shí),便產(chǎn)生安裝并使用哪條路由這樣的問題。有關(guān)解決這樣問題的方法,設(shè)置管理距離與路由優(yōu)先級(jí),在上文中有過敘述。但是,當(dāng)這樣的路由的管理距離與優(yōu)先級(jí)設(shè)置都相同時(shí),便成為等同花費(fèi)多路線路由(ECMP:equal
5、costmultipathroutes)。如果對(duì)ECMP啟動(dòng)了負(fù)載平衡,那么不同的會(huì)話將使用不同的路由到達(dá)相同的地址。路由的判斷過程(四)缺省的路徑長(zhǎng)度路由協(xié)議默認(rèn)管理距離直接的物理連接1靜態(tài)路由10EBGP20RIP110OSPF120IBGP200動(dòng)態(tài)接口生成的路徑長(zhǎng)度和優(yōu)先級(jí)接口屬性中設(shè)置路徑長(zhǎng)度命令行下的接口屬性中設(shè)置優(yōu)先級(jí)(priority)只有當(dāng)接口設(shè)置為DHCP或PPPoE動(dòng)態(tài)獲得IP后,該選項(xiàng)才可以設(shè)置策略路由路由策略將流量與靜態(tài)路由綁定,目的在于實(shí)現(xiàn)允許某些類型的流量進(jìn)行不同的路由。通過進(jìn)入(向內(nèi))
6、流量的協(xié)議、源地址或接口、目標(biāo)地址或端口號(hào)判斷流量被發(fā)送到的目標(biāo)位置。舉例說明,通常情況下網(wǎng)絡(luò)流量進(jìn)入子網(wǎng)中的路由器,但是您想SMTP或POP3流量直接發(fā)送到郵件服務(wù)器。這種情況下可以應(yīng)用策略路由。路由策略已存在且數(shù)據(jù)包到達(dá)FortiGate設(shè)備時(shí),F(xiàn)ortiGate設(shè)備根據(jù)策略路由表逐次查看并試圖找到與該數(shù)據(jù)包相匹配的策略。如果發(fā)現(xiàn)匹配信息并且策略中包含了足夠的信息路由數(shù)據(jù)包(必須注明下一站路由的IP地址以及將數(shù)據(jù)包轉(zhuǎn)發(fā)FortiGate設(shè)備的接口),F(xiàn)ortiGate設(shè)備使用策略中的信息路由數(shù)據(jù)包。如果沒有與數(shù)據(jù)
7、包相匹配的策略,F(xiàn)ortiGate設(shè)備使用路由表路由數(shù)據(jù)包。注意:因?yàn)榇蠖鄶?shù)策略設(shè)置是可選項(xiàng),一個(gè)匹配的策略可能還不足以提供給FortiGate設(shè)備足夠的信息轉(zhuǎn)發(fā)數(shù)據(jù)包。FortiGate設(shè)備將轉(zhuǎn)向參考路由表試圖將傳送的數(shù)據(jù)包報(bào)頭的信息與路由表中的路由相匹配。舉例說明,如果策略中只列出向外的接口名稱,F(xiàn)ortiGate設(shè)備將在路由表中查詢下一站路由的IP地址。這種情況只有在FortiGate設(shè)備接口是動(dòng)態(tài)的接收IP(例如對(duì)FortiGate設(shè)備接口設(shè)置了DHCP或PPPoE)或因?yàn)镮P地址是動(dòng)態(tài)更改狀態(tài)您不能夠指定下
8、一站路由的IP地址下發(fā)生。RIP說明RIP是距離向量協(xié)議,用于小型且相對(duì)同構(gòu)網(wǎng)絡(luò)。FortiGate設(shè)備執(zhí)行的RIP(路由信息協(xié)議)既支持RFC1058定義的RIP版本1也支持RFC2453定義的RIP版本2。RIP版本2能夠使RIP信息承載更多的信息并支持單一認(rèn)證與子網(wǎng)掩碼。啟動(dòng)RIP后,F(xiàn)ortiGate設(shè)備從每個(gè)啟動(dòng)RIP的接口廣播RIP