路由介绍

路由转发表

  1. FIB (Forwarding Information Base),包含所有已知的本地或非本地路由,从路由表载入,由内核访问。

  2. 内核转发数据时看diagnose ip route list,而非get router info routing-table all。

    diagnose ip route list
    

路由表

  1. 路由表包括最具体的路由条目、最长掩码匹配原则、路由的管理距离、度量值等决定哪个协议产生的哪条路由被内核采用。

    get router info routing-table all
    
  2. 路由表中的相关元素。

    image-20230105190147549

    • Distance(管理距离)

      image-20230105190222937

    • Metric(度量值)

      image-20230105190257410

    • Priority(优先级)

      image-20230105190333818

路由选路

  1. 情景1:相同的distance,相同的priority。

    image-20230105190515768

  2. 情景2:不同的distance,相同的priority。

    image-20230105190603090

  3. 情景3:相同的distance,不同的priority。

    image-20230105190637849

    image-20230105190725943

  4. Weight(权重)对选路的影响。

    image-20230105190849234

  5. 总结:

    • 策略路由比路由表优先
    • 如果接口down则没有相关的路由(包括没有直连路由)
    • 目标网段不同,都优选
    • 目标网段相同,子网掩码不同时,都优选:转发时最长掩码匹配目标网段、子网掩码都相同时,最低管理距离优先
    • 目标网段、子网掩码、管理距离都相同时,最低度量值优先目标网段、子网掩码、管理距离、度量值都相同时,视具体协议而定,一般可形成等开销负载分担路由

      RPF(Reverse Path Forwarding,反向路径转发)

RPF的作用:

  • 阻止IP欺骗攻击

    • 测试DDoS不成功的原因(攻击源IP为随机IP)
  • 校验所有包的源地址

    • 和接口相关的路由比较IP地址

    • 丢弃那些源IP没有返回路由的包

      image-20230105191730467

  • 如果源IP地址的返回路径与包来的路径不匹配,则这个包被丢弃

    image-20230105191953998

    image-20230105192113097

  • RPF只检查会话的第一个包

    • 来去路径相同时,不检查回应包(也没有必要)
    • 异步情况下,对回包也执行检查

源进源出

  1. 源进源出介绍:

    image-20230105192332158

  2. 如何关闭RPF(同时源进源出特性跟随关闭):

    • 开启异步路由(一般情况下不建议,会话安全性检查将降低):

      config system settings
          set asymroute enable    //default = disable
      end
      
    • 基于接口关闭RPF:

      config system interface
          edit <interface>
              set src-check disable
      end
      

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2024-01-02 17:32:44

results matching ""

    No results matching ""