软交换配置

功能说明

软交换口是将防火墙的多个3层接口,通过软件的方式,组成一个2层交换接口。 当FortiGate的每个口都为3层路由接口时,可以将其中的接口组成软件交换接口。

VLAN/Hardware与Software Switch的区别

功能 VLAN/Hardware switch Software switch
转发 数据包由设备硬件交换机或SPU在硬件层面处理 数据包由CPU处理
STP 支持 不支持
无线SSIDs 不支持 支持
交换接口互访 默认允许 默认允许,可以通过策略控制

功能配置

  1. 添加聚合接口,进入网络→接口,新建接口。

    image-20230103104605457

  2. 类型选择软件交换,选择物理接口成员。

    image-20230103104735884

    注意:建议在不需要的情况下关闭接口配置下的“设备探测”(Device detection)功能,该功能用于MAC地址厂商设备信息识别及MAC地址过滤,会消耗较多的设备资源,可能导致流量无法被芯片加速。
  3. 接口配置页面查看建立的软交换口。

    image-20230103105703521

  4. 在命令行查看软交换接口的配置。

    FortiGate # show full-configuration system switch-interface sw1
    config system switch-interface
        edit "sw1"
            set vdom "root"
            set member "port2" "port3"
            set type switch
            set intra-switch-policy implicit
            set mac-ttl 300
            set span disable
        next
    end
    

注意事项

  1. 软交换口是通过软件的方式模拟出的,需要由CPU处理,无法被芯片加速,会影响系统的性能,谨慎使用。(部分型号的设备自带硬交换接口,支持硬件加速,如100F)。

  2. 默认配置下,交换机内部的成员接口之间通信是放通的,可以通过如下命令修改为必须匹配防火墙策略。

    FortiGate # config sys switch-interface 
    FortiGate (switch-interface) # edit sw1
    FortiGate (test) # set intra-switch-policy ?
    implicit    Traffic between switch members is implicitly allowed.    //默认配置,成员之间的流量全部放通
    explicit    Traffic between switch members must match firewall policies.    //根据配置的防火墙策略执行放通或拒绝动作
    

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2023-09-12 15:24:08

results matching ""

    No results matching ""