Fortigate防火墙二层接口的几种实现方式

初始配置

FortiGate出厂配置默认地址为192.168.1.99(MGMT接口),可以通过https的方式进行web管理(默认用户名admin,密码为空),不同型号设备用于管理的接口略有不同。

console接口的配置

在这里插入图片描述

防火墙查看命令

show full-configuration              #查看设备全部的配置信息
get system performance status        #查看设备运行状态,包括cpu、内存利用率
get system session status            #查看会话数
get system arp                       #查看arp列表
get system ha status                 #查看ha状态
get system interface physical        #查看物理接口状态
get system status                    #查看系统信息,包括软硬件版本、设备名、时间等等
get router info routing-table all    #查看路由表
get system session list              #查看会话列表
get system admin list                #查看登录用户信息

防火墙修改管理协议

FG1240B # config system interface
FG1240B (interface) # 
# show命令可以查看现有配置信息
FG1240B (interface) # showedit "port28"set vdom "root"set ip 10.1.1.11 255.255.255.240set allowaccess ping snmp telnetset vlanforward enableset type physicalset alias "outside"set snmp-index 28next
FG1240B (interface) # edit port28 
# 在set allowaccess命令中增加http
FG1240B (port28) # set allowaccess ping http snmp telnet
# 输入命令end,退出后直接保存
FG1240B (port28) # end
FG1240B #

交换接口

使用交换接口的目的在于两个接口共享一个IP地址,由于Camtel只能给大学提供一条链路,为了减少单点故障,Camtel的设备最好能够同时连接两台大学的NE40路由器,且使用一个IP地址,Fortigate 500设备提供了这种功能,可以通过软交换或交换接口来实现,具体区别如下:

VLAN/Hardware与Software Switch的区别:

功能VLAN/Hardware switchSoftware switch
转发数据包由设备硬件交换机或SPU在硬件层面处理数据包由CPU处理
STP支持不支持
无线SSIDs不支持支持
交换接口互访默认允许默认允许,可以通过策略控制

软交换

软交换口是将防火墙的多个3层接口,通过软件的方式,组成一个2层交换接口。 当FortiGate的每个口都为3层路由接口时,可以将其中的接口组成软件交换接口。

功能配置

添加聚合接口,进入网络→接口,新建接口。

在这里插入图片描述

类型选择软件交换,选择物理接口成员。

在这里插入图片描述

注意:建议在不需要的情况下关闭接口配置下的“设备探测”(Device detection)功能,该功能用于MAC地址厂商设备信息识别及MAC地址过滤,会消耗较多的设备资源,可能导致流量无法被芯片加速。
接口配置页面查看建立的软交换口。

在这里插入图片描述

在命令行查看软交换接口的配置。

FortiGate # show full-configuration system switch-interface sw1
config system switch-interfaceedit "sw1"set vdom "root"set member "port2" "port3"set type switchset intra-switch-policy implicitset mac-ttl 300set span disablenext
end
使用限制

软交换口是通过软件的方式模拟出的,需要由CPU处理,无法被芯片加速,会影响系统的性能,谨慎使用。(部分型号的设备自带硬交换接口,支持硬件加速,如100F)。
默认配置下,交换机内部的成员接口之间通信是放通的,可以通过如下命令修改为必须匹配防火墙策略。

FortiGate # config sys switch-interface 
FortiGate (switch-interface) # edit sw1
FortiGate (test) # set intra-switch-policy ?
implicit    Traffic between switch members is implicitly allowed.    //默认配置,成员之间的流量全部放通
explicit    Traffic between switch members must match firewall policies.    //根据配置的防火墙策略执行放通或拒绝动作

模拟器下做出来的效果

在这里插入图片描述

FortiGate-VM64-KVM # show full-configuration system switch-interface Inter
config system switch-interfaceedit "Inter"set vdom "root"set member "port2" "port3"set type switchset intra-switch-policy implicitset mac-ttl 300set span disablenext
end

VLAN/Hardware Switch

VLAN/Hardware Switch是一个虚拟交换机接口,它将不同的物理接口组合在一起,以便FortiGate可以将这些成员接口组合成单个接口。部分支持此接口的FortiGate型号有一个默认的硬件交换接口,称为internal或lan,VLAN/Hardware Switch可以被硬件级别的芯片支持。
连接到同一VLAN/Hardware Switch的接口,类似于位于同一广播域中的同一物理交换机上一样。接口成员可以从VLAN/Hardware Switch中移除并分配给另一个交换机或用作独立物理接口。


VLAN Switch和Hardware Switch的区别

  1. 60F、80F、100F、200F等具有硬件交换模块的型号,通过内部硬件交换机创建的交换接口为VLAN Switch。这些型号的设备一般在默认配置下会存在一个名称为lan或Internal的VLAN Switch接口,交换接口成员默认包含硬件交换模块中的成员接口,这些接口可以从预置的交换接口中取出,变为普通物理口。包括500E和501E
  2. 40F、300E、400E、1100E、2200E、3600E、3980E、400F、600F、1800F、2600F、3000F、4400F等具有硬件交换模块的型号,通过内部硬件交换机创建的交换接口为Hardware Switch。
  3. VLAN Switch接口可以直接在接口下配置VLAN ID,同时配置IP后,可以直接将VLAN Switch配置为VLAN Interface(携带VLAN Tag),实现接口成员同属于该VLAN Interface的效果,而无需在VLAN Switch接口上再配置VLAN接口,而Hardware Switch无法配置VLAN ID,想实现上述效果,必须在Hardware Switch上配置VLAN Interface。

除此之外,VLAN Switch与Hardware Switch这两种交换接口在功能使用上没有差别。


功能配置
  1. 在SoC平台(如40F、60F、80F、100F、200F等)默认配置下会存在一个名称为lan或Internal的VLAN Switch接口,编辑该接口,交换接口成员默认包含硬件交换模块中的成员接口,这些接口可以从预置的交换接口中取出,变为普通物理口,也可将硬件交换模块的接口加入该交换接口,如下FortiGate101F所示。

将物理口加入Switch接口时,接口需要清除IP地址(配置为0.0.0.0/0),且不能被其他功能引用。

在这里插入图片描述

  1. 创建新的VLAN/Hardware Switch,进入“网络→接口”页面,新建接口。

在这里插入图片描述

  1. 选择类型为“VLAN交换/硬件交换”,如下图所示为FortiGate601F,交换接口为“硬件交换”,并添加或删除接口成员。

在这里插入图片描述

  1. 通过CLI删除VLAN/Hardware Switch接口。
config system virtual-switchedit "internal"config portdelete internal2delete internal7...endnext
end
Copy
  1. 通过CLI添加VLAN/Hardware Switch接口。
config system virtual-switchedit "internal"set physical-switch "sw0"config portedit "internal3"nextedit "internal5"nextedit "internal4"nextedit "internal6"nextendnext
end

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/25221.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

java并发控制(猴子摘桃例子)

【问题】 有n个桃子, 猴子A每次固定摘2个,猴子B每次固定摘3个,这2只猴子不断摘桃子直到剩余桃子数量不足以摘(必须满足摘桃个数); 【1】 使用AtomicInteger(推荐) 1)利…

iOS--block再学习

block再学习 什么是blockblock是带有自动变量的匿名函数block语法 block的实现block的实质截获自动变量__blcok说明符Block存储域__block变量存储域使用__block变量用结构体成员变量__forwarding的原因 截获对象 什么是block Block时c语言的扩充功能,它允许开发者定…

pytorch之猫狗识别项目

1. 导入资源包 资源包: import torchvision:PyTorch 提供的视觉库,包含了常用的计算机视觉模型架构、数据集以及图像转换工具。 from torchvision import datasets, models:导入 torchvision 中的 datasets 和 models 模块&#…

spring boot +Scheduled 动态定时任务配置

通常情况下我们设定的定时任务都是固定的,有时候需要我们动态的配置定时任务,下面看代码 import com.mybatisflex.core.query.QueryWrapper; import com.yzsec.dsg.web.modules.exportpwd.entity.ExportPwd; import com.yzsec.dsg.web.modules.exportpwd.entity.table.Export…

如何使用GPT-4o函数调用构建一个实时应用程序?

本教程介绍了如何使用OpenAI最新的LLM GPT-4o通过函数调用将实时数据引入LLM。 我们在LLM函数调用指南(详见https://thenewstack.io/a-comprehensive-guide-to-function-calling-in-llms/)中讨论了如何将实时数据引入聊天机器人和代理。现在,我们将通过将来自Fligh…

bat脚本简介

一、bat脚本 概念定义 BAT 批处理是一种在 Windows 系统中用于将一系列命令组合成一个可执行文件(.bat 文件)的脚本技术。 允许用户将多个操作命令按顺序编写在一起。形成一个自动化执行的流程。批处理文件可以包含各种系统命令和程序调用。 如文件操作…

中国现在最厉害的书法家颜廷利:东方伟大思想家哲学家教育家

中国书法界名人颜廷利教授,一位在21世纪东方哲学、科学界及当代中国教育领域内具有深远影响力的泰斗级人物,不仅以其深厚的国学修为和对易经姓名学的独到见解著称,还因其选择在济南市历城区的龙泉大街以及天桥区的凤凰山庄与泉星小区等地设立…

如何在隔离环境中设置 LocalAI 以实现 GPU 驱动的文本嵌入

作者:来自 Elastic Valeriy Khakhutskyy 你是否想在 Elasticsearch 向量数据库之上构建 RAG 应用程序?你是否需要对大量数据使用语义搜索?你是否需要在隔离环境中本地运行?本文将向你展示如何操作。 Elasticsearch 提供了多种方法…

多曝光融合算法(三)cv2.createAlignMTB()多曝光图像融合的像素匹配问题

文章目录 1.cv2.createAlignMTB() 主要是计算2张图像的位移,假设位移移动不大2.多曝光图像的aline算法:median thresold bitmap原理讲解3.图像拼接算法stitch4.多曝光融合工具箱 1.cv2.createAlignMTB() 主要是计算2张图像的位移,假设位移移动…

Python中猴子补丁是什么,如何使用

1、猴子补丁奇遇记 🐒 在Python的世界深处,隐藏着一种神秘而又强大的技巧——猴子补丁(Monkey Patching)。这是一项允许你在程序运行时动态修改对象(如模块、类或函数)的行为的技术。它得名于其“快速修补…

问题排查: Goalng Defer 带来的性能损耗

本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。 本作品 (李兆龙 博文, 由 李兆龙 创作),由 李兆龙 确认,转载请注明版权。 文章目录 引言问题背景结论 引言 性能优化之路道阻且长,因为脱敏规定,…

vite常识性报错解决方案

1.导入路径不能以“.ts”扩展名结束。考虑改为导入“xxx.js” 原因:当你尝试从一个以 .ts 结尾的路径导入文件时,ESLint 可能会报告这个错误,因为它期望导入的是 JavaScript 文件(.js 或 .jsx)而不是 TypeScript 文件&…

coap-emqx:使用libcoap与emqx通信

# emqx开启CoAP网关 请参考【https://blog.csdn.net/chenhz2284/article/details/139562749?spm1001.2014.3001.5502】 # 写一个emqx的客户端程序&#xff0c;不断地往topic【server/1】发消息 【pom.xml】 <dependency><groupId>org.springframework.boot<…

开源与新质生产力

在这个信息技术迅猛发展的时代&#xff0c;全球范围内的产业都在经历着深刻的变革。在这样的背景下&#xff0c;“新质生产力”的概念引起了广泛的讨论。无论是已经成为或正努力转型成为新质生产力的企业&#xff0c;都在寻求新的增长动力和竞争优势。作为一名长期从事开源领域…

Linux用户和用户组的管理

目录 前言一、系统环境二、Linux用户组的管理2.1 新增用户组2.2 删除用户组2.3 修改用户组2.4 查看用户组 三、Linux用户的管理3.1 新增用户3.2 删除用户3.3 修改用户3.4 查看用户3.5 用户口令&#xff08;密码&#xff09;的管理 总结 前言 本篇文章介绍如何在Linux系统上实现…

OrangePi Kunpeng Pro深度评测:性能与体验的完美融合

文章目录 一、引言二、硬件开箱与介绍1.硬件清单2.硬件介绍 三、软件介绍四、性能测试1. 功率测试2. cpu测试2.1 单线程cpu测试2.2 多线程cpu测试 五、实际开发体验1. 搭建API服务器2. ONNX推理测试3. 在线推理平台 五、测评总结1. 能与硬件配置2. 系统与软件3. 实际开发体验个…

探索智慧商场的功能架构与应用

在数字化和智能化的浪潮下&#xff0c;智慧商场已经成为零售业的重要发展方向之一。智慧商场系统的功能架构设计与应用&#xff0c;结合了现代信息技术和零售业的实际需求&#xff0c;为商场的管理和运营提供了全新的解决方案。本文将深入探讨智慧商场的功能架构与应用&#xf…

matlab---app

一 基础 标签和信号灯没有回调函数 clc,clear,close all %清理命令区、工作区&#xff0c;关闭显示图形 warning off %消除警告 feature jit off %加速代码运行 ysw{i}i %循环赋值 celldisp(ysw) %显示元胞数组ysw.y1{1}[1,2] …

《软件定义安全》之二:SDN/NFV环境中的安全问题

第2章 SDN/NFV环境中的安全问题 1.架构安全 SDN强调了控制平面的集中化&#xff0c;从架构上颠覆了原有的网络管理&#xff0c;所以SDN的架构安全就是首先要解决的问题。例如&#xff0c;SDN实现中网络控制器相关的安全问题。 1.1 SDN架构的安全综述 从网络安全的角度&…

@BeforeAll 和 @AfterAll 必须是 static 的原因

BeforeAll 和 AfterAll 必须是 static 的原因 执行时机&#xff1a; BeforeAll 方法在所有测试方法之前运行。AfterAll 方法在所有测试方法之后运行。 实例化前/后的执行&#xff1a; 因为 BeforeAll 是在所有测试方法执行之前运行的&#xff0c;所以它在任何一个测试实例创建…