Fortigate防火墙二层接口的几种实现方式

初始配置

FortiGate出厂配置默认地址为192.168.1.99(MGMT接口),可以通过https的方式进行web管理(默认用户名admin,密码为空),不同型号设备用于管理的接口略有不同。

console接口的配置

在这里插入图片描述

防火墙查看命令

show full-configuration              #查看设备全部的配置信息
get system performance status        #查看设备运行状态,包括cpu、内存利用率
get system session status            #查看会话数
get system arp                       #查看arp列表
get system ha status                 #查看ha状态
get system interface physical        #查看物理接口状态
get system status                    #查看系统信息,包括软硬件版本、设备名、时间等等
get router info routing-table all    #查看路由表
get system session list              #查看会话列表
get system admin list                #查看登录用户信息

防火墙修改管理协议

FG1240B # config system interface
FG1240B (interface) # 
# show命令可以查看现有配置信息
FG1240B (interface) # showedit "port28"set vdom "root"set ip 10.1.1.11 255.255.255.240set allowaccess ping snmp telnetset vlanforward enableset type physicalset alias "outside"set snmp-index 28next
FG1240B (interface) # edit port28 
# 在set allowaccess命令中增加http
FG1240B (port28) # set allowaccess ping http snmp telnet
# 输入命令end,退出后直接保存
FG1240B (port28) # end
FG1240B #

交换接口

使用交换接口的目的在于两个接口共享一个IP地址,由于Camtel只能给大学提供一条链路,为了减少单点故障,Camtel的设备最好能够同时连接两台大学的NE40路由器,且使用一个IP地址,Fortigate 500设备提供了这种功能,可以通过软交换或交换接口来实现,具体区别如下:

VLAN/Hardware与Software Switch的区别:

功能VLAN/Hardware switchSoftware switch
转发数据包由设备硬件交换机或SPU在硬件层面处理数据包由CPU处理
STP支持不支持
无线SSIDs不支持支持
交换接口互访默认允许默认允许,可以通过策略控制

软交换

软交换口是将防火墙的多个3层接口,通过软件的方式,组成一个2层交换接口。 当FortiGate的每个口都为3层路由接口时,可以将其中的接口组成软件交换接口。

功能配置

添加聚合接口,进入网络→接口,新建接口。

在这里插入图片描述

类型选择软件交换,选择物理接口成员。

在这里插入图片描述

注意:建议在不需要的情况下关闭接口配置下的“设备探测”(Device detection)功能,该功能用于MAC地址厂商设备信息识别及MAC地址过滤,会消耗较多的设备资源,可能导致流量无法被芯片加速。
接口配置页面查看建立的软交换口。

在这里插入图片描述

在命令行查看软交换接口的配置。

FortiGate # show full-configuration system switch-interface sw1
config system switch-interfaceedit "sw1"set vdom "root"set member "port2" "port3"set type switchset intra-switch-policy implicitset mac-ttl 300set span disablenext
end
使用限制

软交换口是通过软件的方式模拟出的,需要由CPU处理,无法被芯片加速,会影响系统的性能,谨慎使用。(部分型号的设备自带硬交换接口,支持硬件加速,如100F)。
默认配置下,交换机内部的成员接口之间通信是放通的,可以通过如下命令修改为必须匹配防火墙策略。

FortiGate # config sys switch-interface 
FortiGate (switch-interface) # edit sw1
FortiGate (test) # set intra-switch-policy ?
implicit    Traffic between switch members is implicitly allowed.    //默认配置,成员之间的流量全部放通
explicit    Traffic between switch members must match firewall policies.    //根据配置的防火墙策略执行放通或拒绝动作

模拟器下做出来的效果

在这里插入图片描述

FortiGate-VM64-KVM # show full-configuration system switch-interface Inter
config system switch-interfaceedit "Inter"set vdom "root"set member "port2" "port3"set type switchset intra-switch-policy implicitset mac-ttl 300set span disablenext
end

VLAN/Hardware Switch

VLAN/Hardware Switch是一个虚拟交换机接口,它将不同的物理接口组合在一起,以便FortiGate可以将这些成员接口组合成单个接口。部分支持此接口的FortiGate型号有一个默认的硬件交换接口,称为internal或lan,VLAN/Hardware Switch可以被硬件级别的芯片支持。
连接到同一VLAN/Hardware Switch的接口,类似于位于同一广播域中的同一物理交换机上一样。接口成员可以从VLAN/Hardware Switch中移除并分配给另一个交换机或用作独立物理接口。


VLAN Switch和Hardware Switch的区别

  1. 60F、80F、100F、200F等具有硬件交换模块的型号,通过内部硬件交换机创建的交换接口为VLAN Switch。这些型号的设备一般在默认配置下会存在一个名称为lan或Internal的VLAN Switch接口,交换接口成员默认包含硬件交换模块中的成员接口,这些接口可以从预置的交换接口中取出,变为普通物理口。包括500E和501E
  2. 40F、300E、400E、1100E、2200E、3600E、3980E、400F、600F、1800F、2600F、3000F、4400F等具有硬件交换模块的型号,通过内部硬件交换机创建的交换接口为Hardware Switch。
  3. VLAN Switch接口可以直接在接口下配置VLAN ID,同时配置IP后,可以直接将VLAN Switch配置为VLAN Interface(携带VLAN Tag),实现接口成员同属于该VLAN Interface的效果,而无需在VLAN Switch接口上再配置VLAN接口,而Hardware Switch无法配置VLAN ID,想实现上述效果,必须在Hardware Switch上配置VLAN Interface。

除此之外,VLAN Switch与Hardware Switch这两种交换接口在功能使用上没有差别。


功能配置
  1. 在SoC平台(如40F、60F、80F、100F、200F等)默认配置下会存在一个名称为lan或Internal的VLAN Switch接口,编辑该接口,交换接口成员默认包含硬件交换模块中的成员接口,这些接口可以从预置的交换接口中取出,变为普通物理口,也可将硬件交换模块的接口加入该交换接口,如下FortiGate101F所示。

将物理口加入Switch接口时,接口需要清除IP地址(配置为0.0.0.0/0),且不能被其他功能引用。

在这里插入图片描述

  1. 创建新的VLAN/Hardware Switch,进入“网络→接口”页面,新建接口。

在这里插入图片描述

  1. 选择类型为“VLAN交换/硬件交换”,如下图所示为FortiGate601F,交换接口为“硬件交换”,并添加或删除接口成员。

在这里插入图片描述

  1. 通过CLI删除VLAN/Hardware Switch接口。
config system virtual-switchedit "internal"config portdelete internal2delete internal7...endnext
end
Copy
  1. 通过CLI添加VLAN/Hardware Switch接口。
config system virtual-switchedit "internal"set physical-switch "sw0"config portedit "internal3"nextedit "internal5"nextedit "internal4"nextedit "internal6"nextendnext
end

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/342050.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

电脑在线怎么改图片格式?3步改图片格式的操作步骤

在日常生活和工作中经常会因为不同的用途,需要使用不同格式的图片,那么如果遇到图片格式问题时,有什么方法能够快速在线转图片格式呢? 想要快速将图片格式转换成自己需要使用的格式,比较简单的一种方法可以使用网上的…

3 - 大的国家(高频 SQL 50 题基础版)

3.大的国家 -- 查询属性:国家名称、人口和面积 select name,population,area fromWorld where area>3000000 OR population>25000000;

Redis实战篇——搭建主从复制

Redis实战篇——搭建主从复制 1.Redis主从1.1.主从集群结构1.2.搭建主从集群1.2.1.启动多个Redis实例1.2.2.建立集群1.2.3.测试 1.Redis主从 单节点Redis的并发能力是有上限的,要进一步提高Redis的并发能力,就需要搭建主从集群,实现读写分离…

Python Flask 入门开发

Python基础学习: Pyhton 语法基础Python 变量Python控制流Python 函数与类Python Exception处理Python 文件操作Python 日期与时间Python Socket的使用Python 模块Python 魔法方法与属性 Flask基础学习: Python中如何选择Web开发框架?Pyth…

代码随想录 day27|day28|day29

回溯2 切割问题:是在每个节点判断是否是要剪枝收割元素。 startidx 是切割起点,i是本次切割终点 分割回文串 复原ip地址 非递减子序列 都是在树的节点依照题意判断,之后决定是否剪枝。 也就是都有if判断来剪枝 。 下面是非递减子序列。 下…

关于stm32的软件复位

使用软件复位的目的: 软件复位并不会擦除存储器中的数据,它只是将处理器恢复到复位状态,即中断使能位被清除,系统寄存器被重置,但RAM和Flash存储器中的数据保持不变。 STM32软件复位(基于库文件V3.5) ,对…

IDC发布《中国WAAP厂商技术能力评估,2024》研究报告

从市场规模来看,未来WAAP将逐步替代WAF,成为Web应用安全市场主流产品,同时也将涵盖API安全等其它市场。 随着云原生和微服务架构的兴起,Web业务的部署和管理方式发生了巨大变化。以APP应用和小程序为代表的移动应用使用量骤增&am…

使用眼精星票证识别系统识别国外护照的操作指南

你知道吗?在这个全球化的大潮中,处理和管理各类国际证件简直是头疼得要命! 想象一下,你面前堆满了来自世界各地的护照,每个护照上的信息都要手动录入,这得花多少时间啊!不过,别急&am…

vscode 离线下载指定版本插件和安装方法

1、背景 由于不同的vscode版本需要安装对应的插件版本,一般情况下,vscode版本会落后于vscode插件库提供的可以下载的插件版本,网页一般只会提供最新的插件下载版本,因此我们需要下载指定的版本需要采取一些措施。 2、获取需要安…

2.1.4 采用配置类与注解方式使用MyBatis

实战概述:采用配置类与注解方式使用MyBatis 创建MyBatis配置类 在net.huawei.mybatis.config包中创建MyBatisConfig类,用于配置MyBatis核心组件,包括数据源、事务工厂和环境设置。 配置数据源和事务 使用PooledDataSource配置MySQL数据库连接…

生命在于学习——Python人工智能原理(3.2)

三、深度学习 (二)人工神经网络 人工神经网络是模仿人类大脑神经系统工作原理所创建的数学模型,有并行的分布处理能力、高容错性和自我学习等特征。 1、感知器 感知器由Frank Roseblatt于1957年提出,是一种广泛使用的线性分类…

K8s种的service配置

什么是service 官方的解释是:   k8s中最小的管理单元是pod;而service是 将运行在一个或一组 Pod 上的网络应用程序公开为网络服务的方法;   Kubernetes 中 Service 的一个关键目标是让你无需修改现有应用以使用某种服务发现机制。 你可以在 Pod 集合中运行代码…

安防综合管理系统EasyCVR视频汇聚平台GA/T 1400协议中的关键消息交互示例

在当今的信息化时代,公共安全防范日益成为保障社会和谐稳定的关键。视频监控系统作为现代安全防范的重要手段,正不断在公安、交通、城市管理等领域发挥着越来越重要的作用。而GA/T 1400协议视图库,作为公安视频图像信息应用系统的标准&#x…

计算机网络 期末复习(谢希仁版本)第1章

大众熟知的三大网络:电信网络、有线电视网络、计算机网络。发展最快起到核心的是计算机网络。Internet是全球最大、最重要的计算机网络。互联网:流行最广、事实上的标准译名。互连网:把许多网络通过一些路由器连接在一起。与网络相连的计算机…

Python dateutil库:日期和时间处理的利器

更多Python学习内容:ipengtao.com Python的dateutil库是一个强大且灵活的日期和时间处理工具。它扩展了标准库中的datetime模块,提供了更多的功能和更高的灵活性。dateutil库特别适用于复杂的日期解析、日期计算、时区转换和重复事件处理。本文将详细介绍…

【全开源】在线投票系统(微信公众号+PC端)

🔥在线投票系统,让决策更民主更高效!🚀​​ 🌈 一、什么是在线投票系统? 在数字化时代,我们越来越多地依赖科技来辅助我们的工作与生活。在线投票系统,就是这样一个神奇的工具。简…

【云原生】Kubernetes----RBAC用户资源权限

目录 引言 一、Kubernetes安全机制概述 二、认证机制 (一)认证方式 1.HTTPS证书认证 1.1 证书颁发 1.2 config文件 1.3 认证类型 1.4 Service Account 1.4.1 作用 1.4.2 包含内容 1.4.3 与Secret的关系 2.Bearer Tokens 3.基本认证 三、鉴…

Python编程学习第一篇——制作一个小游戏休闲一下

到上期结束,我们已经学习了Python语言的基本数据结构,除了数值型没有介绍,数值型用的非常广,但也是最容易理解的,将在未来的学习中带大家直接接触和学习掌握。后续我们会开始学习这门语言的一些基础语法和编程技巧&…

【Python数据挖掘实战案例】机器学习LightGBM算法原理、特点、应用---基于鸢尾花iris数据集分类实战

一、引言 1、简要介绍数据挖掘的重要性和应用 在数字化时代,数据已经成为企业和社会决策的重要依据。数据挖掘作为一门交叉学科,结合了统计学、机器学习、数据库技术和可视化等多个领域的知识,旨在从海量数据中提取有价值的信息&#xff0c…

回归模型的算法性能评价

一、概述 在一般形式的回归问题中,会得到系列的预测值,它们与真实值(ground truth)的比较表征了模型的预测能力,为有效量化这种能力,常见的性能评价指标有平均绝对误差(MAE)、均方误…