飞塔防火墙透明模式配置.ppt

《飞塔防火墙透明模式配置.ppt》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、透明模式配置启用透明模式系统默认运行模式为NAT，在状态面板中系统信息可以更改为透明模式更改为透明模式后，输入管理地址与网关用于管理防火墙CDP与VTP穿越1CDP/VTP数据包Port1LACPCDP/VTP数据包switchswitchCDP与VTP穿越2switch1cdp表switch2cdp表Trunk与forward-domain1Port3Port4switch1switch2Vlan102Vlan103Vlan102Vlan103internextern通过系统管理--网络中新建vlan接口，及定义vlanid。配置完成后需要在cli中声明forwad-domai

2、n。Trunk与forward-domain2防火墙新建策略，允许指定Vlan通过防火墙Note:透明模式默认情况下(vlanforward=enabled)，当Fortigate的物理接口收到一个标记vlan信息的数据包，该数据包将转发至所有其他的物理接口，这种情况下，不需要配置防火墙策略，vlan数据即可穿越防火墙。Trunk与forward-domain3防火墙抓取数据包后可以看到Vlan的原始信息，及使用fgt2eth转换的数据信息L2forward防火墙在透明模式下默认仅转发EthernetII数据帧，其他类型数据帧，如IPX,需要在相关的进出接口下启用二层数据转发l2

3、forward。configsysteminterfaceedit"port3"setvdom"root"setallowaccesspinghttpssetl2forwardenablesetstpforwardenablesettypephysicalnextend透明模式下的多播流量MulticastMulticastMAC地址转发表1透明模式下防火墙依靠2层转发数据库转发数据流量，通过以下命令可以查看FortiGate2层转发数据库表。当存在多个vdom时，使用以下命令查看系统所有vdom的转发表名称diagnetlinkbrctlnamehost.

4、b例如:diagnetlinkbrctlnamehostroot.b此MAC地址转发表与diagnoseiparplist显示的arp地址表不同的是，前者用于所有流经墙数据流的地址转发，后者仅为FortiGate自身提供转发。MAC地址转发表2查看转发表存在的forward-domain数量及id查看转发表与各接口的对应关系Tagged与untagged防火墙接口下可创建多个VLAN接口,所有的VLAN接口都依附在物理接口之下。从物理接口流出的数据包为untagged数据包(红色标记)。从Vlan接口流出的数据包为tagged数据包(绿色标记)。Untagged数据包流经防火墙必

5、须配置策略允许从相关的物理端口进出