飞塔防火墙透明模式配置
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Untagged 数据包流经防火墙必须配置策略允许从相关的物理端口进出
Fortinet Confidential
当存在多个vdom时,使用以下命令查看系统所有vdom的转发表名称
此MAC地址转发表与diagnose ip arp list显示的arp地址表不同的是,前者用于所有流经 墙数据流的地址转发,后者仅为FortiGate自身提供转发。
Fortinet Confidential
MAC地址转发表 2
查看转发表存在的forward-domain数量及id
防火墙抓取数据包后可以看到Vlan的原始信息,及使用fgt2eth转换的数据信息
Fortinet Confidential
L2forward
防火墙在透明模式下默认仅转发Ethernet II数据帧,其他类型数据帧,如IPX,需 要在相关的进出接口下启用二层数据转发l2forward。
config system interface edit "port3" set vdom "root" set allowaccess ping https set l2forward enable set stpforward enable set type physical next end
查看转发表与各接口的对应关系
Fortinet Confidential
Tagged与untagged
防火墙接口下可创建多个VLAN接口,所有的VLAN接口都依附在物理接口之下。 从物理接口流出的数据包为untagged数据包(红色标记)。 从Vlan接口流出的数据包为tagged数据包(绿色标记)。
LACP
sw源自文库tch
Fortinet Confidential
CDP与VTP穿越 2
switch1 cdp 表
switch2 cdp 表
Fortinet Confidential
Trunk与forward-domain 1
Vlan 102 Vlan 103
intern Port3
extern Port4
透明模式配置
Fortinet Confidential
启用透明模式
系统默认运行模式为NAT,在 状态面板中系统信息可以更改 为透明模式
更改为透明模式后,输入管理 地址与网关用于管理防火墙
Fortinet Confidential
CDP与VTP穿越 1
CDP/VTP数据包
CDP/VTP数据包
Port1 switch
Fortinet Confidential
透明模式下的多播流量
Multicast
Multicast
Fortinet Confidential
MAC地址转发表 1
透明模式下防火墙依靠2层转发数据库转发数据流量,通过以下命令可以查看 FortiGate 2层转发数据库表。 diag netlink brctl name host <VDOM_name>.b 例如: diag netlink brctl name host root.b
Note:透明模式默认情况下(vlanforward=enabled),当Fortigate的物理接口收到 一个标记vlan信息的数据包,该数据包将转发至所有其他的物理接口,这种情况下 ,不需要配置防火墙策略,vlan数据即可穿越防火墙。
Fortinet Confidential
Trunk与forward-domain 3
Vlan 102 Vlan 103
switch1
switch2
通过系统管理--网络中新建vlan 接口,及定义vlan id。配置完成 后需要在cli中声明forwaddomain。
Fortinet Confidential
Trunk与forward-domain 2
防火墙新建策略,允许指定Vlan通过防火墙