Browse Ask a Question
 
Tools Add
Rss Categories

 Featured
Advanced Static Routing

Author: Partian Co Reference Number: AA-00344 Views: 2285 Created: 2017-10-05 11:41 Last Updated: 2018-01-14 15:16 0 Rating/ Voters

Advanced Static Routing

 Advanced Static Routing شامل ویژگی ها و مفاهیمی می باشد که بیشتر در در شبکه های پیچیده مورد استفاده قرار می گیرد. 

مفاهیم Routing

مفاهیم زیادی در ارتباط با عملیات Routing وجود دارند که در Static Routing کاربردی می باشند. بدون آشنایی با این مفاهیم پایه، درک و یادگیری Dynamic Routing برای شما مقدور نمی باشد. در ادامه به بحث و بررسی مفاهیم زیر خواهیم پرداخت:

  1. Routing in VDOMs
  2. Default Route
  3. Adding a Static Route
  4. Routing Table
  5. Static Routing Security

Routing in VDOM

عملیات Routing در دستگاه های FortiGate بر اساس تنظیمات VDOM انجام می شود. در واقع اگر VDOM در دستگاه فوق فعال شده باشد، ابتدا باید وارد VDOM مورد نظر شده و در ادامه عملیات Routing را انجام دهید. عمل فوق باعث می شود هر VDOM به صورت مستقل عمل کرده و Default Route و تنظیمات Routing مربوط به خود را داشته باشد. جهت انتخاب VDOM مورد نظر باید از منوی سمت چپ بر روی Virtual Domains کلیک کرده و در ادامه VDOM مورد نظر خود را انتخاب کنید.


  • همچنین می توانید از منوی سمت چپ به مسیر Global > Dashboard > Status رفته و CLI Console Widget را انتخاب کرده و دستورات زیر را جهت انتخاب VDOM مورد نظر خود وارد کنید:

conf vdom
edit VDOM-Name
  •  بعد از انتخاب VDOM مورد نظر می توانید تنظیمات مربوط به Routing را انجام دهید.

Default route - Adding a Static Route

در صورتی که هیچ روتی در جدول Routing وجود نداشته باشد و یا هیچ کدام از Route های دیگر  به سمت یک Destination اعمال نشوند، از Default route استفاده می شود. با تعیین Gateway در تنظیمات Default Route در واقع یک Next-Hop را برای ترافیک در زمان ترک شبکه ی داخلی مشخص خواهید کرد. آدرس Gateway معمولا آدرس مربوط به روتری است که در در لبه ی شبکه ی داخلی قرار دارد.

  • جهت ایجاد یک Default Route یا Static Route از منوی سمت چپ به مسیر Router > Static > Static Routes رفته و گزینه ی Create New را انتخاب کنید. سپس مطابق شکل تنظیمات را انجام دهید. همانطور که در بالا ذکر گردید اگر VDOM فعال باشد ابتدا باید VDOM مورد نظر خود را انتخاب کرده و سپس مسیر فوق را طی کنید.



نکته:

  • برای فیلد Destination IP/Mask باید IP Address و Subnet مربوط به مقصد را وارد کنید. جهت ایجاد Default Route معمولا از 0.0.0.0/0.0.0.0 برای مقدار دهی این فیلد استفاده می شود.
  • Device: توسط این فیلد نام پورتی که Static Route از آن برای متصل شدن استفاده می کند را مشخص می کنید.
  • Gateway: توسط این فیلد IP Address مربوط به Gateway را مشخص خواهید کرد.
  • Distance: در صورت وجود چند مسیر با پروتکل های متفاوت به سمت یک مقصد، توسط این فیلد می توانید مشخص کنید که ابتدا کدام مسیر انتخاب گردد. مقدار پیش فرض برای این فیلد 10 می باشد.
  • Priority: توسط این فیلد می توانید بین Static Route هایی که Destination مشابهی دارند اولویت بندی انجام دهید. هر چه مقدار این فیلد کمتر باشد Static Route مربوطه از اولویت بالاتری برخوردار است. مقدار پیش فرض برای این فیلد 0 می باشد.

نکته:

اگر دستگاه Fortigate در حالت Transparet قرار داشته باشد، گزینه ی Routing در منوی اصلی تنظیمات وجود نخواهد داشت.

جهت دسترسی به تنظیمات Routing باید به مسیر System > Network > Routing Table بروید. در این حالت تنها سه گزینه زیر جهت انجام تنظیمات وجود خواهند داشت:

  1. Destination IP/Mask
  2. Gateway
  3. Priority

 Routing Table

  • به طور پیش فرض همه ی Route ها در لیست Routing Monitor نمایش داده می شوند. جهت مشاهده ی Route ها در جدول Routing ، می توانید از منوی سمت چپ به مسیر Router > Monitor > Routing Monitor بروید.

  • همچنین می توانید از منوی سمت چپ به مسیر Global > Dashboard > Status رفته و CLI Console Widget را انتخاب کرده و دستور زیر را جهت مشاهده ی جدول Routing مورد نظر خود وارد کنید:

get router info routing-table all

 Static Routing Security

عمل Routing امنیت شبکه ی شما را  با استفاده از روش هایی فراهم خواهد کرد. به عنوان مثال پنهان کردن آدرسهای داخلی شبکه بوسیله یNAT، استفاده از  Access Control List جهت ایجاد محدودیت در دسترسی به شبکه، استفاده از Blackhole Routing.

در زیر هر کدام از روش های فوق به صورت اجمالی مورد بررسی قرار خواهد گرفت:

  • Network Address Translation (NAT): هنگام ایجاد یک Policy جهت دسترسی شبکه ی داخلی به اینترنت یا یک شبکه ی خارجی، در قسمت Firewall / Network Options  گزینه ی NAT را فعال کرده و بر اساس تنظیمات شبکه ی خود یکی از گزینه های Use Outgoing Interface Address یا Use Dynamic IP Pool را انتخاب کنید.


  • Access Control List (ACL): توسط ACL می توانید تعیین کنید که آیا یک لیست از آدرس ها، اجاز ه ی Send و Receive اطلاعات بر روی یک یا تعدادی از Interface را داشته باشند یا خیر. بدین منظور از منوی سمت چپ به مسیر Global > Dashboard > Status رفته و CLI Console Widget را انتخاب کنید و دستورات زیر را وارد کنید:
config router access-list
edit access_list_name
set comments
config rule
edit access_list_id
set action deny | permit
set exact-match enable | disable
set prefix IPv4 address and network mask | any
set wildcard ipv4_address  wildcard_mask

 

نکته:

  • در خط دوم یک نام برای Access List وارد کنید. توجه شود که یک Access List و یک Prefix List نمی توانند نام مشابه داشته باشند.
  • توسط دستور خط سوم می توانید یک سری توضیحات در مورد ACL مربوطه وارد کنید. حداکثر طول مجاز برای توضیحات فوق 127 کاراکتر می باشد.
  • در خط پنجم یک عدد صحیح برای Access List وارد کنید.
  • در خط هفتم اگر گزینه ی Enable را انتخاب کنید، Access List تنها با Prefix مشخص شده در تنظیمات Match خواهد شد.
  • در خط هشتم یک Prefix را برای Access List مشخص خواهید کرد. در صورتی که گزینه ی Any را انتخاب کنید Access List با هر Prefix ای Match خواهد شد.

  • Blackhole Route : توسط Blackhole Route هرگونه ترافیکی که به سمت مقصدی که در تنظیمات مشخص شده فرستاده شود، Drop خواهد شد. Blackhole Route همچنین می تواند ترافیک بر روی یک Subnet را محدود کند. اگر یک Subnet Address در حال حاضر استفاده نمی شود، ترافیکی که به سمت این آدرس فرستاده می شود به سمت یک Blackhole فرستاده خواهد شد. در نتیجه امنیت افزایش یافته و ترافیک بر روی Subnet فوق کاهش پیدا می کند. در Blackhole Routing از یک Loopback Interface استفاده می شود. این Interface در واقع یک Virtual Interface می باشد که ترافیک را Forward نمی کند. Loopback Interface پارامتر های کمی جهت انجام تنظیمات دارد و تمامی ترافیک هایی که به سمت آن فرستاده می شود در همان جا متوقف می شوند. از جایی که این Interface دارای اتصالات فیزیکی نمی باشد همیشه در دسترس است. بعد از انجام تنظیمات می توانید از Loopback Interface در policy ها، تنظیمات روتینگ وغیره استفاده کنید.

ECMP Failover and Load Balancing

 ECMP  مخفف عبارت Equal Cost Multi-Path می باشد. Failover و Load Balancing درECMP  به شما اجازه می دهند از پهنای باند شبکه خود بطور موثر تر و بهینه تر استفاده کرده و همچنین Down Time را نیز کاهش دهید.

Equal-Cost Multi-Path (ECMP)

دستگاه Fortigate از ECMP جهت توزیع ترافیک به سمت اینترنت یا دیگر شبکه ها استفاده می کند. با استفاده از ECMP می توانید چندین Route را به سمت Destination اضافه کرده و به هر کدام از این Route ها Distance و Priority مشابه بدهید.

اگر چندین Route به سمت یک Destination دارای Priority مشابه ولی Distance متفاوت باشند، Route ای که دارای پایین ترین Distance است مورد استفاده قرار می گیرد. اگر چندین Route به سمت یک Destination داری Distance مشابه ولی Priority متفاوت باشند، Route ای که دارای پایین ترین Priority است مورد استفاده قرار می گیرد. در انتخاب مسیر، Distance بر Priority تقدم دارد بطوریکه که اگر چندین Route به سمت یک Destination دارای Priority و Distance متفاوت باشند، Route ای که دارای پایین ترین  Distance است مورد استفاده قرار می گیرد. حتی اگر بالاترین Priority را داشته باشد .

اگر بیشتر از یک ECMP Route موجود باشد، می توانید تنظیماتی را جهت نحوه ی انتخاب Route انجام دهید. نسخه های قبلی سیستم عامل Fortigate تنها از روش Source IP-Based Load Balancing برای ECMP Route استفاده می کرد. ولی در نسخه های جدیدتر چهار روش برای ECMP Route وجوددارد:

1. :Source IP Based در این روش دستگاه FortiGate عمل Load Balance کردن Session ها میان ECMP Route ها را بر اساس IP Address مربوط به Session ها انجام می دهد. این روش، روش پیش فرض دردستگاه های FortiGate می باشد و نیاز به هیچ گونه انجام تنظیمات نمی باشد در واقع .Next Hope بر اساس Source IP مشخص می شود.

2. :Weighted Load Balance در این روش دستگاه FortiGate عمل Load Balance کردن Session ها میان ECMP Route ها را بر اساس Weight هایی که به ECMP Route ها اختصاص می دهید، انجام می دهد. بطوریکه بیشتر ترافیک به سمت Route هایی که دارای Weight بالاتری هستند فرستاده می شود. در صورت انتخاب این روش باید به هر Static Route یک Weight بدهید.

3. :Spillover (usage-based): در این روش دستگاه FortiGate عمل Load Balance کردن Session ها میان ECMP Route ها را بر اساس اینکه Interface هایی که در هر Route استفاده شده اند چه مقدار پهنای باند را استفاده می کنند، انجام می دهد. در صورت انتخاب این روش باید Spillover Threshold را برای Interface هایی که در ECMP Route ها استفاده شده اند، اضافه کنید. دستگاه FortiGate تمامی Session ها را به سمت Interface با پایین ترین شماره می فرستد. زمانیکه پهنای باند استفاده شده توسط این interface با مقدار Spillover Threshold برابر شد، دستگاه FortiGate بقییه ی Session ها را به سمت Interface بعدی که کمترین شماره را دارد می فرستد. محدوده ای که برای Spillover Threshold در نظر گرفته شده از 0 تا 2097000 می باشد.

4.:Source-Destination IP based در این روش دستگاه FortiGate عمل Load Balance کردن Session ها میان ECMP Route ها را بر اساس Source IP Address و Destination IP Addresse مربوط به Session انجام می دهددر واقع   . Next Hope بر اساس Source-Destination IP مشخص می شود. .

تنظیمات ECMP Load Balancing

  •  از منوی سمت چپ  به مسیر Router > Static > Settings بروید و در قسمت ECMP Load Balancing Method یکی از روش های Source IP Based یا Weighted Load Balance یا Spillover یا Source-Destination IP Based را انتخاب کنید.


  • همچنین می توانید از منوی سمت چپ به مسیر Global > Dashboard > Status رفته و CLI Console Widget را انتخاب و دستور زیر را جهت انتخاب روش مورد نظر خود وارد کنید:

config system settings
set v4-ecmp-mode usage-based
end

 بررسی وضعیت پورت جهت عملیات Gateway Load Balancing

بواسطه ی Interface Status Detection مشخص خواهد شد که آیا پکت هایی که از سمت یک Interface فرستاده می شوند پاسخی از سمت سرور دریافت خواهد کرد یا خیر. شما می توانید از سه پروتکل مختلف جهت تایید این که یک Interface می تواند به سرور متصل شود، استفاده کنید.

تنظیمات مربوط به بررسی Gateway Failover برای یک Interface

  • از منوی سمت چپ به مسیر Router > Static > Settings رفته و در قسمت Link Health Monitor گزینه یCreate New را انتخاب کنید.


نکته:

  • Interface: توسط این فیلد پورتی که می خواهید مورد بررسی قرار گیرد را انتخاب کنید.
  • Gateway: برای این فیلد IP Address مربوط به Gateway را وارد کنید.
  • Probe Type: توسط این فیلد شیوه ی بررسی را انتخاب خواهید کرد. این فید شامل گزینه های Ping و HTTP می باشد.
  • Server: توسط این فیلد آدرس سروری که پکت ها جهت تست به سمت آن فرستاده می شود را مشخص خواهید کرد. آدرس مربوطه می تواند یک IP Address یا FQDN باشد.
  • Probe Interval: توسط این فیلد فاصله ی زمانی بین Ping ها را بر حسب ثانیه مشخص خواهید کرد.
  • Failure Threshold: توسط این فیلد تعداد دفعاتی که یک تست می تواند با خطا مواجه می شود را مشخص می کنید. بعد از تعداد فوق مشخص خواهد شد که Interface نمی تواند به سرور متصل شود.
  • Recovery Threshold: برای این فیلد تعداد مجاز برای ECMP Recovery را مشخص کنید.این فیلد را از 1 تا 10 می توانید مقدار دهی کنید.

 Spillover یا Usage-Based ECMP 

Spill-over یا Usage-Based در واقع برای Session های جدید، مسیری به سمت پورت هایی که از محدودیت پهنای باند اعمال شده تجاوز نکرده اند، تعیین می کند. لازم به ذکر است محدودیت فوق توسط Spillover Threshold تعیین می گردد. جهت انجام تنظیمات مربوط به Spillover ابتدا باید Spillover ECMP را فعال کرده و در ادامه یک ECMP Route ایجاد کنید. سپس برای پورت هایی که در ECMP Route استفاده شده اند یک Spillover Threshold تعیین کنید. همانطور که گفته شد تنظیم Spillover Thresholds جهت ایجاد محدودیت در استفاده از پهنای باند توسط هر  پورت انجام می شود. مقدار مجاز برای پهنای باند را می توانید از 0 تا 2097000 در نظر بگیرید. لازم به ذکر است که محدودیت پهنای باند فقط برای ترافیک خروجی در نظر گرفته می شود.

توسط اعمال Spillover ECMP Routing دستگاه FortiGate در نتیجه Session های جدید را به سمت یک پورت که تنظیمات ECMP Route بر روی آن انجام شده می فرستد. زمانی که پهنای باند استفاده شده توسط این پورت با Spillover Threshold برابر شد، بقیه  Session ها به سمت پورت های دیگری که تنظیمات ECMP Route بر روی آن ها انجام شده فرستاده می شود.

تنظیمات  Spillover Thresholds در Interface

در ادامه با ارائه ی یک مثال نحوه ی فعال کردن Usage Based ECMP Routing و تنظیمات Spillover Threshold در پورت ها، مورد بررسی قرار خواهد گرفت.

  • از منوی سمت چپ به مسیر Router > Static > Settings رفته و در قسمت ECMP Load Balance Method گزینه ی Spillover را انتخاب کنید. در ادامه Spillover Thresholds را برای Port3 و Port4 مقدار دهی کنید.


  • سپس از منوی سمت چپ به مسیر Router > Static > Static Routes رفته و یک ECMP Route برای هر کدام از پورت های 3 و 4 ایجاد کنید.




Rss Comments
  • There are no comments for this article.
Info Add Comment
Nickname: Your Email: Subject: Comment:
Enter the code below:
Info Ask a Question