FortiGate透明模式下配置注意事项和故障排错技巧.PDF

FortiGate 透明模式下配置注意事项和故障排错技巧 版本 1.0 时间 2016 年 3 月 作者 刘康明 (kmliu@) 测试版本 FortiGate (FortiOS v5.x) 状态 草稿 目 录 简介 3 透明模式下配置注意事项 3 透明模式下故障排错技巧 5 透明模式下Troubleshooting 步骤 5 首先查看FortiGate 的L2 转发表项 5 其次通过debug sniffer 抓包进行定位 5 最后通过debug flow 跟踪会话进行定位 5 简介 本文给出了透明模式下的 FortiGate 设备的一些在实际部署过程中的配置 注意事项和故障排除技巧，如果您部署了透明模式的FortiGate，以下内容将可 能会帮助你解决一些在透明模式下遇到的各种问题。 透明模式下配置注意事项 1. 生成树的BPDU 默认情况下不转发，特别要注意引入网络中的二层FortiGate 设备可能会影响STP 的工作，因此而容易引起环路。 如果确定FortiGate 需要转发生成树BPDU，请在CLI 中选择需要转发的接口 并配置“set stpforward enable”： config system interface edit port1 set stpforward enable 2. 避免使用Trunk 接口的默认设置（vlan_Forward =enable），默认情况下Trunk 接口上所有的 VLAN 属于一个大的广播域。大部分情况下建议在特定的接口 或VLANs 上启用“Forward Domain “，例如将VLAN10 的所有接口全部配置 到VLAN10_ForwardDomain 域里面，这样的话相当于为VLAN10 创建了一个独 立的广播域，同一域内所有接口之间的所有广播和多播只会在本 VLAN 内传 播，而不会广播到vlan20 的所属接口上。 Trunk 配置时注意：配置Trunk Vlan 的时候始终为这些在同一个VLAN 里的 接口配置相同Forward Domian，创建一个独立的广播域。除非你明确的想要 在两个不同的 VLAN 之间转发流量。而另一种方法是为每对接口/VLAN 创建 VDOM。 config system interface edit Inside_vlan10 set vdom root set forward-domain 10 相同的 vlan ID配置相同的 fortward-domain set interface internal3 set vlanid 10 next edit Outside_vlan10 set vdom root set forward-domain 10相同的 vlan ID配置相同的 fortward-domain set interface internal4 set vlanid 10 3. 默认情况下只有 Ethernet II 可以被转发，而其他的帧类型协议 （如IPX 等）是不转发的。如果需要开启转发需要在接口下开启l2forward 属性： config system interface edit internal set l2forward enable 4. 组播默认不能通过 FortiGate，如果有组播需要通过防火墙，需要配置策略 放通组播流量。例如：透明模式的FortiGate 上下游为两台路由器，同时路 由器之间运行了OSPF 路由协议，策略应该允许IP 和 两个组播IP 的双向流量，同理RIP v2 （）的正常运行也需要策略 放通。 5. 如果需要带外管理，最好创建一个NAT 模式的root