下面是一个显示NAT模式的示例。
下面是一个显示透明模式的示例。防火墙策略仍然扫描,然后允许或阻塞流量。但也有差异。
我们已经提到,一个透明模式FortiGate是一个透明的桥。这是什么意思?
FortiGate作为一个透明的交换机,它将网络分割为多个冲突域,减少网络中的通信量并改善响应时间。
在透明模式下,默认情况每个VDOM都形成一个单独的转发域。但是接口没有,这对网络有什么影响?
下面是问题的一个例子,在转发域0(默认)的所有接口上进行广播。一个设备发送ARP请求。它通过VDOM中的一个接口到达了FortiGate。
因为所有的接口都属于同一个转发域,所以它会重新广播到所有其他接口,甚至是属于不同vlan的接口。这产生不必要的流量。在那之后,ARP响应仍然只有一个接口,而FortiGate将会知道MAC在那个界面上。
正如我们所解释的,转发域就像广播域一样。
这个例子与我们之前展示的是相同的网络,但是在这里,不同的转发域ID分配给每个VLAN。
到达一个接口的流量只会广播到具有相同转发域ID的接口。
这一部分是关于虚拟连接对的。正如你将看到的,虚拟连接对提供了另一种创建广播域的方式。使用虚拟连接对,你还可以在一个NAT/路由VDOM中拥有像透明模式一样的界面对。
当只有两个物理接口需要连接到相同的广播域时,你可以使用虚拟连接对。例如,在内部网络和ISP的路由器之间连接的一个FortiGate通常是这样的。
你可以在一个FortiGate中创建多个端口对。
这里有一个例子,在透明模式下,在一个FortiGate中使用了两个虚拟连接对。
这个FortiGate有四个端口,每个端口连接到不同的物理位置。但是流量不允许在四个地点之间流动。虚拟线路只允许在同一对端口之间进行通信:port1和port2之间,port3和wan1之间。
因此,在这个例子中,port3上的网络可以通过wan1到达Internet。然而,port2和port1上的网络无法到达因特网。他们只能互相接触。
因此,虚拟连接对提供了一种将NAT/路由模式功能与一些透明模式功能混合到相同的VDOM中的方法。
创建虚拟连接口对需要选择两个物理接口,不要多也不要少。
在此之后,你将创建虚拟连接对策略,以检查虚拟连接对的通信。通配符VLAN设置指定了如何将这些策略应用到不同的VLAN上,它们之间的通信流是:
虚拟连线的防火墙策略是在一个不同的菜单部分创建的。只要创建了至少一个虚拟线路对,就会显示这个部分。
在本节中,我们将探讨软件交换。一个软件交换增加了一个虚拟二层交换到FortiGate的配置。
一个软件交换组将多个接口组合成一个虚拟交换机,它充当一个硬件二层交换。这意味着所有的交换接口都是同一个广播域的一部分。
在本例中,管理员将一个带有port1和port2的无线接口组合成一个软件交换。这三个接口是同一个广播域的一部分。所有连接到交换机接口的设备都属于同一个IP子网192.168.1.0/24。例如,这允许FortiGate从无线客户端传送到port1和port2。
服务器10.0.1.1连接到一个不属于软件交换机的接口(dmz)。因此,它属于不同的广播域和IP子网。
本节讨论的是关于FortiGate设备在2层网络中运行生成树协议。
生成树协议将自动确保没有第2层循环。在默认情况下,FortiGate不参与STP学习,也不转发BPDU。但你可以启用它。不过你必须广播域,这样它们就不会太大了。
要使FortiGate能够参与STP树,请在CLI中使用〖config system stp〗命令。
请注意,这只支持物理交换机接口的型号,例如FortiGate 30D、60C、60D、80C和90D。
对于非物理交换接口的接口,你可以选择转发或阻止STP BPDU。
这是回顾一下我们所讨论的主题:
-
透明模式和NAT模式
-
域名导向
-
-
虚拟连线对
-
软件交换
-
STP配置
飞塔技术 - 老梅子 QQ:573522
