教程篇(5.4) NSE4 14. 透明模式 ❀ 飞塔 (Fortinet) 网络安全专家

在这节课中你将学习如何在一个FortiGate里做透明模式和二层交换。

完成这节课程之后，你应该具备配置FortiGate作为二层交换来使用的实用技能，它们包括：

• 配置FortiGate接口作为二层交换操作

• 配置一个VDOM以透明模式操作

• 监控MAC地址表

• 将二层网络划分为多个广播域

• 在网络中安装FortiGate运行生成树协议(STP)

在本节中我们将探索透明模式。

传统的IPv4防火墙和NAT模式的FortiGate可以像路由器一样处理流量。因此，每个接口都必须在不同的子网中，并形成不同的广播域。根据IP报头信息路由IP包的路由，覆盖源MAC地址。因此，如果客户端向连接到不同FortiGate的服务器发送一个包，那么这个包就会到达服务器，而不是客户的MAC地址。

　　在透明模式的情况下，FortiGate转发帧，并不改变MAC地址。当客户端从连接到不同的FortiGate接口的服务器收到一个包时，这个框架包含了服务器的真实MAC地址，FortiGate不会重写MAC的头。FortiGate是一层二层的桥或交换。因此，接口没有IP地址，并且都属于相同的广播域(默认情况下)。

　　这意味着在不改变客户的IP地址计划的情况下，可以在客户网络中安装一个透明模式FortiGate。一些客户，尤其是大型组织，不想重新配置数以千计的设备来定义一个新的内部和外部网络。

下面是一个显示NAT模式的示例。

　　FortiGate有三个连接的端口，每个端口都有独立的IP子网。FortiGate的所有接口都有IP地址，在这种情况下，NAT在网络之间转换。防火墙策略允许流量在网络之间流动。

　　根据他们的路由，根据目的地IP地址(在OSI模型的第3层)，大多数情况下都是根据他们的路由来处理数据包的。

　　每个子网的客户机发送的帧都是用于FortiGate的MAC地址，而不是服务器的真实MAC地址。

下面是一个显示透明模式的示例。防火墙策略仍然扫描，然后允许或阻塞流量。但也有差异。

　　请注意，在FortiGate上的物理接口没有IP。因此，FortiGate不会对ARP请求作出响应。当然也有例外。例如，当更改为透明模式时，你必须指定一个管理IP地址来接收来自网络管理员的连接，并发送日志消息、SNMP陷阱、警告电子邮件等。这个IP地址没有分配给任何特定的接口，而是给VDOM设置。

　　默认情况下，一个透明的FortiGate不会做NAT，而且，客户端发送帧会直接到达真正的路由器或服务器MAC地址。

我们已经提到，一个透明模式FortiGate是一个透明的桥。这是什么意思？

　　它的意思是，FortiGate有一个MAC地址表，其中包含了必须用来到达每个MAC地址的接口。此表使用从每个帧的源MAC地址获取的信息填充此表。

　　FortiGate作为一个透明的交换机，它将网络分割为多个冲突域，减少网络中的通信量并改善响应时间。

在透明模式下，默认情况每个VDOM都形成一个单独的转发域。但是接口没有，这对网络有什么影响？

　　在你更改初始的VDOM配置之前，所有的接口，不管它们的VLAN ID，都是同一个广播域的一部分。为了找到任何未知的目标MAC地址，FortiGate将从VDOM的每个接口中广播。在大型网络上，这可能会产生大量的广播流量和铺天盖地的回复，一场广播风暴。

下面是问题的一个例子，在转发域0(默认)的所有接口上进行广播。一个设备发送ARP请求。它通过VDOM中的一个接口到达了FortiGate。

　　因为所有的接口都属于同一个转发域，所以它会重新广播到所有其他接口，甚至是属于不同vlan的接口。这产生不必要的流量。在那之后，ARP响应仍然只有一个接口，而FortiGate将会知道MAC在那个界面上。

正如我们所解释的，转发域就像广播域一样。

　　这个例子与我们之前展示的是相同的网络，但是在这里，不同的转发域ID分配给每个VLAN。

　　到达一个接口的流量只会广播到具有相同转发域ID的接口。

这个调试命令在一个以透明模式运行的VDOM中列出MAC地址表。正如我们前面所解释的，表包含了到达每个学习的MAC地址的出站接口。

这一部分是关于虚拟连接对的。正如你将看到的，虚拟连接对提供了另一种创建广播域的方式。使用虚拟连接对，你还可以在一个NAT/路由VDOM中拥有像透明模式一样的界面对。

当只有两个物理接口需要连接到相同的广播域时，你可以使用虚拟连接对。例如，在内部网络和ISP的路由器之间连接的一个FortiGate通常是这样的。

　　在配置虚拟连接对时，两个端口逻辑上绑定或链接，就像过滤的电缆或管道一样。到达一个港口的所有流量都被转发到另一个港口。这避免了与广播风暴或MAC地址飘移有关的问题。

　　你可以在一个FortiGate中创建多个端口对。

这里有一个例子，在透明模式下，在一个FortiGate中使用了两个虚拟连接对。

　　这个FortiGate有四个端口，每个端口连接到不同的物理位置。但是流量不允许在四个地点之间流动。虚拟线路只允许在同一对端口之间进行通信：port1和port2之间，port3和wan1之间。

　　因此，在这个例子中，port3上的网络可以通过wan1到达Internet。然而，port2和port1上的网络无法到达因特网。他们只能互相接触。

另一方面，这是一个在NAT模式下的FortiGate里的虚拟连接对的例子。在本例中，IP数据包进入接口wan1，以及内部使用IP报头信息进行路由。这两个接口有不同的IP地址，每个接口都形成一个独立的广播域。

　　现在，接口wan2和dmz的情况是不同的。当它们被配置为一个虚拟连接对时，它们没有分配IP地址，它们组成一个单一的广播域。观察服务器的IP地址和连接到wan2的路由器。它们必须都属于同一子网。

　　因此，虚拟连接对提供了一种将NAT/路由模式功能与一些透明模式功能混合到相同的VDOM中的方法。

创建虚拟连接口对需要选择两个物理接口，不要多也不要少。

　　在此之后，你将创建虚拟连接对策略，以检查虚拟连接对的通信。通配符VLAN设置指定了如何将这些策略应用到不同的VLAN上，它们之间的通信流是：

• 如果启用了通配符VLAN，那么虚拟连接对策略将同样适用于物理接口和VLAN的通信量。

• 如果禁用了通配符，那么虚拟连接对策略只适用于物理接口。任何VLAN标记的通信都被拒绝。

虚拟连线的防火墙策略是在一个不同的菜单部分创建的。只要创建了至少一个虚拟线路对，就会显示这个部分。

在本节中，我们将探讨软件交换。一个软件交换增加了一个虚拟二层交换到FortiGate的配置。

一个软件交换组将多个接口组合成一个虚拟交换机，它充当一个硬件二层交换。这意味着所有的交换接口都是同一个广播域的一部分。

每个软件交换都有一个与之相关联的虚拟接口。它的IP地址由所有物理交换机接口共享。你可以在防火墙策略和路由配置中使用这个虚拟接口。

在本例中，管理员将一个带有port1和port2的无线接口组合成一个软件交换。这三个接口是同一个广播域的一部分。所有连接到交换机接口的设备都属于同一个IP子网192.168.1.0/24。例如，这允许FortiGate从无线客户端传送到port1和port2。

　　软件交换接口本身有一个IP地址，它也在相同的子网192.168.1.0/24中。这是连接到软件交换的所有设备的默认网关IP地址。

　　服务器10.0.1.1连接到一个不属于软件交换机的接口(dmz)。因此，它属于不同的广播域和IP子网。

本节讨论的是关于FortiGate设备在2层网络中运行生成树协议。

生成树协议将自动确保没有第2层循环。在默认情况下，FortiGate不参与STP学习，也不转发BPDU。但你可以启用它。不过你必须限制广播域，这样它们就不会太大了。

要使FortiGate能够参与STP树，请在CLI中使用〖config system stp〗命令。

　　请注意，这只支持物理交换机接口的型号，例如FortiGate 30D、60C、60D、80C和90D。

对于非物理交换接口的接口，你可以选择转发或阻止STP BPDU。

这是回顾一下我们所讨论的主题：

• 透明模式和NAT模式

• 域名导向

• MAC地址表监控

• 虚拟连线对

• 软件交换

• STP配置

飞塔技术 - 老梅子   QQ：57389522

---