شرکت فنی مهندسی ساپرا صنعت

شرکت فنی مهندسی ساپرا صنعت

تامین و نگهداری تجهیزات – F5 – Fortinet – HPE

021-76871880
سبد خرید ( 0 مورد)

پیکربندی multicast forwarding در فورتی گیت

پیکربندی multicast forwarding    :

 

 

 

گاهی اوقات بین اصطلاحات forwarding و Routing اشتباه فهمی به وجود می آید. این دو عملکرد نباید همزمان باشد. وقتی FortiGate  در حالت NAT است و می خواهید بسته های multicasting را بین روترها و گیرنده های multicast هدایت کنید ، multicast forwarding باید فعال شود. با این حال ، هنگامی که FortiGate خود به عنوان روتر multicast  فعالیت می کند ، یا دارای یک پروتکل مسیریابی قابل استفاده است که از multicast استفاده می کند ، این عملکرد نباید فعال شود. برای پیکربندیmulticast forwarding  دو مرحله وجود دارد:

  • multicast forwardingرا فعال کنید
  • multicast policies را فعال کنید

فعال کردن multicast forwarding :

به طور پیش فرض multicast forwarding فعال است. اگر FortiGate در حالت transparent کار می کند ، افزودن multicast policy   امکان multicast forwarding را فراهم می کند. در حالت NAT برای فعال یا غیرفعال کردن multicast-forwarding باید از تنظیمات multicast-forward استفاده کنید.

 

multicast forwarding در حالت : NAT  

 

هنگامی که multicast-forward فعال است ،  FortiGateهر بسته multicast-forward IP  را که TTL در آن 2 یا بالاتر است ، به همه رابط ها و رابط های VLAN ، به جز اینترفیسی که ترافیک به آن وارد شده ، هدایت می کند. TTL در هدر IP به میزان 1 کاهش می یابد. حتی اگر بسته  ها به همه اینترفیس ها ارسال می شوند ، شما باید multicast policy   را اضافه کنید  تا ارسال بسته های multicast  از طریق FortiGate مجاز باشند.

فعال کردن گزینه multicast forwarding  در حالت : NAT  

 

Config system settings

    set multicast-forward enable

end

 

 

جلوگیری از تغییر TTL بسته های ارسال شده

 

می توانید از گزینه multicast-ttl-notchange استفاده کنید تا FortiGate مقدار TTL را برای بسته های چندپخشی ارسال شده افزایش ندهد. فقط در صورت انقضای بسته ها قبل از رسیدن به روتر  multicastاز این گزینه استفاده کنید.

 

فعال کردن گزینه جلوگیری از تغییر TTL بسته های ارسال شده :

 

config system settings    set multicast-ttl-notchange enableend

 

 ترافیکmulticast  را در  FortiGate را بدون بررسی policy در حالت transparent  غیرفعال کنید

 

در حالت transparent  ، FortiGate فریم هایی با آدرس مقصد multicast  را ارسال نمی کند. FortiGate نباید در ترافیک multicast استفاده شده توسط پروتکل های مسیریابی ، رسانه های جریانی (صوت و تصویر و ..) یا سایر ارتباطات multicast تداخل ایجاد کند. برای جلوگیری از بروز هرگونه مشکل در حین انتقال ، می توانید گزینه multicast-skip-policy را غیرفعال کرده   policyهای امنیتی muticast را پیکربندی کنید.

غیرفعال کردن این گزینه

 

config system settings    set multicast-skip-policy disableend

پیکربندی multicast policies :

 

بسته های multicast به سیاست های multicast  نیاز دارند تا بسته ها از یک رابط به رابط دیگر منتقل شوند. مشابه سیاست های فایروال ، در خط مشی چندپخشی شما رابط های مبدا و مقصد و محدوده آدرس مجاز برای آدرس مبدا و مقصد بسته ها را مشخص می کنید. همچنین می توانید برای تنظیمات NAT و مقصد NAT برای بسته های multicast از policy های  multicast استفاده کنید.

 

موارد زیر را هنگام پیکربندی multicast policies به خاطر بسپارید:

. آدرس IP منبع multicast فرستاده شده (خروجی) به آدرس IP پیکربندی شده تغییر می کند.

. تنظیم SNAT اختیاری است. در صورت نیاز به SNAT از آن استفاده کنید.

نمونه ای از یک POLICY  اولیه :                                    

در این پالیسی اولیه ، بسته های multicast دریافت شده در یک رابط (اینترفیس)، بدون قید و شرط به همه رابط های دامنه ترافیک ، به جز رابط ورودی ، سرازیر می شوند.

 

config firewall multicast-policy    edit 1        set srcintf “any”        set dstintf “any”        set srcaddr “all”        set dstaddr “all”    nextend

آدرس مقصد (dst addr) یک آدرس multicast است. گزینه all مربوط به کلیه آدرس های چندپخشی در محدوده 224.0.0.0-239.255.255.255 است.

 

 

 

 

 

 

 

نمونه ای از یک پالیسی با اینترفیس های ورودی و خرجی خاص :

 در این policy ، بسته ها اجازه دارند از wan1 به internal جریان داشته باشند و از طریق آدرس 172.20.120.129 که توسط object  آدرس با نام address-1  نشان داده می شود ، ایجاد شده اند.

config firewall multicast-policy    edit 1        set srcintf “wan1”        set dstintf “internal”        set srcaddr “example_addr-1”        set dstaddr “all”    nextend

پیکربندی multicast forwarding    :

گاهی اوقات بین اصطلاحات forwarding و Routing اشتباه فهمی به وجود می آید. این دو عملکرد نباید همزمان باشد. وقتی FortiGate  در حالت NAT است و می خواهید بسته های multicasting را بین روترها و گیرنده های multicast هدایت کنید ، multicast forwarding باید فعال شود. با این حال ، هنگامی که FortiGate خود به عنوان روتر multicast  فعالیت می کند ، یا دارای یک پروتکل مسیریابی قابل استفاده است که از multicast استفاده می کند ، این عملکرد نباید فعال شود. برای پیکربندیmulticast forwarding  دو مرحله وجود دارد:

  • multicast forwardingرا فعال کنید
  • multicast policies را فعال کنید

فعال کردن multicast forwarding :

به طور پیش فرض multicast forwarding فعال است. اگر FortiGate در حالت transparent کار می کند ، افزودن multicast policy   امکان multicast forwarding را فراهم می کند. در حالت NAT برای فعال یا غیرفعال کردن multicast-forwarding باید از تنظیمات multicast-forward استفاده کنید.

 

multicast forwarding در حالت : NAT  

 

هنگامی که multicast-forward فعال است ،  FortiGateهر بسته multicast-forward IP  را که TTL در آن 2 یا بالاتر است ، به همه رابط ها و رابط های VLAN ، به جز اینترفیسی که ترافیک به آن وارد شده ، هدایت می کند. TTL در هدر IP به میزان 1 کاهش می یابد. حتی اگر بسته  ها به همه اینترفیس ها ارسال می شوند ، شما باید multicast policy   را اضافه کنید  تا ارسال بسته های multicast  از طریق FortiGate مجاز باشند.

فعال کردن گزینه multicast forwarding  در حالت : NAT  

 

Config system settings

    set multicast-forward enable

end

 

 

جلوگیری از تغییر TTL بسته های ارسال شده

 

می توانید از گزینه multicast-ttl-notchange استفاده کنید تا FortiGate مقدار TTL را برای بسته های چندپخشی ارسال شده افزایش ندهد. فقط در صورت انقضای بسته ها قبل از رسیدن به روتر  multicastاز این گزینه استفاده کنید.

 

فعال کردن گزینه جلوگیری از تغییر TTL بسته های ارسال شده :

 

config system settings    set multicast-ttl-notchange enableend

 

 ترافیکmulticast  را در  FortiGate را بدون بررسی policy در حالت transparent  غیرفعال کنید

 

در حالت transparent  ، FortiGate فریم هایی با آدرس مقصد multicast  را ارسال نمی کند. FortiGate نباید در ترافیک multicast استفاده شده توسط پروتکل های مسیریابی ، رسانه های جریانی (صوت و تصویر و ..) یا سایر ارتباطات multicast تداخل ایجاد کند. برای جلوگیری از بروز هرگونه مشکل در حین انتقال ، می توانید گزینه multicast-skip-policy را غیرفعال کرده   policyهای امنیتی muticast را پیکربندی کنید.

غیرفعال کردن این گزینه

 

config system settings    set multicast-skip-policy disableend

پیکربندی multicast policies :

 

بسته های multicast به سیاست های multicast  نیاز دارند تا بسته ها از یک رابط به رابط دیگر منتقل شوند. مشابه سیاست های فایروال ، در خط مشی چندپخشی شما رابط های مبدا و مقصد و محدوده آدرس مجاز برای آدرس مبدا و مقصد بسته ها را مشخص می کنید. همچنین می توانید برای تنظیمات NAT و مقصد NAT برای بسته های multicast از policy های  multicast استفاده کنید.

 

موارد زیر را هنگام پیکربندی multicast policies به خاطر بسپارید:

. آدرس IP منبع multicast فرستاده شده (خروجی) به آدرس IP پیکربندی شده تغییر می کند.

. تنظیم SNAT اختیاری است. در صورت نیاز به SNAT از آن استفاده کنید.

نمونه ای از یک POLICY  اولیه :                                    

در این پالیسی اولیه ، بسته های multicast دریافت شده در یک رابط (اینترفیس)، بدون قید و شرط به همه رابط های دامنه ترافیک ، به جز رابط ورودی ، سرازیر می شوند.

 

config firewall multicast-policy    edit 1        set srcintf “any”        set dstintf “any”        set srcaddr “all”        set dstaddr “all”    nextend

آدرس مقصد (dst addr) یک آدرس multicast است. گزینه all مربوط به کلیه آدرس های چندپخشی در محدوده 224.0.0.0-239.255.255.255 است.

 

 

 

 

 

 

 

نمونه ای از یک پالیسی با اینترفیس های ورودی و خرجی خاص :

 در این policy ، بسته ها اجازه دارند از wan1 به internal جریان داشته باشند و از طریق آدرس 172.20.120.129 که توسط object  آدرس با نام address-1  نشان داده می شود ، ایجاد شده اند.

config firewall multicast-policy    edit 1        set srcintf “wan1”        set dstintf “internal”        set srcaddr “example_addr-1”        set dstaddr “all”    nextend

اشتراک گذاری در facebook
اشتراک گذاری در twitter
اشتراک گذاری در linkedin
اشتراک گذاری در telegram
اشتراک گذاری در whatsapp
اشتراک گذاری در email
در صورتی که نیاز به مشاوره دارید از طریق زیر اقدام نمایید. همکاران ما در کمترین زمان با شما تماس حاصل می‌کنند.

مطالب مرتبط

کارت شبکه 331flr
مقالات
amir vakili

انواع کارت شبکه 331flr

جدید ترین کارت شبکه 331flr کارت شبکه اچ‌پی 331FLR  (HPE Ethernet 331FLR Adapter) کارت شبکه 331flr زمانی که از کارت شبکه صحبت می‌کنیم با اصطلاحاتی

ادامه مطلب »