VLAN/Hardware Switch

功能介绍

VLAN/Hardware Switch是一个虚拟交换机接口,它将不同的物理接口组合在一起,以便FortiGate可以将这些成员接口组合成单个接口。部分支持此接口的FortiGate型号有一个默认的硬件交换接口,称为internal或lan,VLAN/Hardware Switch可以被硬件级别的芯片支持。

连接到同一VLAN/Hardware Switch的接口,类似于位于同一广播域中的同一物理交换机上一样。接口成员可以从VLAN/Hardware Switch中移除并分配给另一个交换机或用作独立物理接口。

VLAN/Hardware与Software Switch的区别

功能 VLAN/Hardware switch Software switch
转发 数据包由设备硬件交换机或SPU在硬件层面处理 数据包由CPU处理
STP 支持 不支持
无线SSIDs 不支持 支持
交换接口互访 默认允许 默认允许,可以通过策略控制

VLAN Switch与Hardware Switch的区别

  1. 60F、80F、100F、200F等具有硬件交换模块的型号,通过内部硬件交换机创建的交换接口为VLAN Switch。这些型号的设备一般在默认配置下会存在一个名称为lan或Internal的VLAN Switch接口,交换接口成员默认包含硬件交换模块中的成员接口,这些接口可以从预置的交换接口中取出,变为普通物理口。

    具体型号与硬件结构请参考:

    https://docs.fortinet.com/document/fortigate/7.99.99/hardware-acceleration/366011/fortigate-np6xlite-architectures

    https://docs.fortinet.com/document/fortigate/7.99.99/hardware-acceleration/112876/fortigate-np6-architectures

  2. 40F、300E、400E、1100E、2200E、3600E、3980E、400F、600F、1800F、2600F、3000F、4400F等具有硬件交换模块的型号,通过内部硬件交换机创建的交换接口为Hardware Switch。

    具体型号与硬件结构请参考:

    https://docs.fortinet.com/document/fortigate/7.99.99/hardware-acceleration/46115/fortigate-np7-architectures

  3. VLAN Switch接口可以直接在接口下配置VLAN ID,同时配置IP后,可以直接将VLAN Switch配置为VLAN Interface(携带VLAN Tag),实现接口成员同属于该VLAN Interface的效果,而无需在VLAN Switch接口上再配置VLAN接口,而Hardware Switch无法配置VLAN ID,想实现上述效果,必须在Hardware Switch上配置VLAN Interface。

  4. 除此之外,VLAN Switch与Hardware Switch这两种交换接口在功能使用上没有差别。

配置VLAN/Hardware Switch

创建/编辑接口

  1. 在SoC平台(如40F、60F、80F、100F、200F等)默认配置下会存在一个名称为lan或Internal的VLAN Switch接口,编辑该接口,交换接口成员默认包含硬件交换模块中的成员接口,这些接口可以从预置的交换接口中取出,变为普通物理口,也可将硬件交换模块的接口加入该交换接口,如下FortiGate101F所示。

    将物理口加入Switch接口时,接口需要清除IP地址(配置为0.0.0.0/0),且不能被其他功能引用。

    image-20230607112408982

  2. 创建新的VLAN/Hardware Switch,进入“网络→接口”页面,新建接口。

    image-20230607112801881

  3. 选择类型为“VLAN交换/硬件交换”,如下图所示为FortiGate601F,交换接口为“硬件交换”,并添加或删除接口成员。

    image-20230607113125123

  4. 通过CLI删除VLAN/Hardware Switch接口。

    config system virtual-switch
        edit "internal"
            config port
                delete internal2
                delete internal7
                ...
            end
        next
    end
    
  5. 通过CLI添加VLAN/Hardware Switch接口。

    config system virtual-switch
        edit "internal"
            set physical-switch "sw0"
            config port
                edit "internal3"
                next
                edit "internal5"
                next
                edit "internal4"
                next
                edit "internal6"
                next
            end
        next
    end
    

在VLAN/Hardware Switch上使用802.1X

网络拓扑

image-20230607160440037

port3和port4是硬件交换模块的一部分,配置Hardware Switch,并将port3和port4加入,在该接口上执行802.1X身份验证。

配置步骤

  1. 在FortiGate上配置Radius服务器(配置方法参考用户与认证→Radius认证→Radius认证配置与排错章节)。

  2. 在FortiGate上配置用于802.1X远程Radius认证的用户组(配置方法参考用户与认证→Radius认证→Radius认证配置与排错章节)。

  3. 在FortiGate的“网络→接口”页面新建Hardware/VLAN Switch接口,将port3和port4加入该接口,对应CLI如下。

    config system virtual-switch
        edit "switch_1"
            set physical-switch "sw0"
            config port
                edit "port3"
                next
                edit "port4"
                next
            end
        next
    end
    
  4. 在FortiGate上配置防火墙策略允许新建的Hardware/VLAN Switch下的流量访问Internet。

  5. 在Hardware/VLAN Switch上开启802.1X认证,选择创建的Radius认证用户组。

    image-20230607162605191

    config system interface
        edit "switch_1"
            set vdom "vdom1"
            set ip 192.168.200.1 255.255.255.0
            set allowaccess ping http https
            set type hard-switch
            set security-mode 802.1X
            set security-groups "remotegroup"
            set device-identification disable
            set role lan
        next
    end
    

结果验证

  1. 客户端通过port3或port4连接,并通过802.1X认证后,可以正常访问Internet。

  2. 在FortiGate上查看802.1X认证端口状态。

    FortiGate # diagnose sys 802-1x status
    
    Virtual switch 'switch_1' (default mode) 802.1x member status:
      port3: Link up, 802.1X state: authorized
      port4: Link up, 802.1X state: unauthorized
    

在VLAN/Hardware Switch传输带VLAN Tag的流量

网络需求

VLAN/Hardware Switch也可以让FortiGate像二层VLAN交换机一样工作,进行VLAN交换,并可以设置一个物理口作为Trunk接口。支持的型号如:60F、80F、100E、100F、140E、200F、300E、400E、1100E、1800F、2600F、3500F、4200F、4400F。

网络拓扑

image-20230607170320295

  • FortiGate-1上有两个硬件交换机接口(port1、port2)被分配了VLAN 10,两个接口(port3、port4)被分配了VLAN 20。wan1接口被指定为Trunk端口,与上游的FortiGate-2相连。
  • 上游FortiGate-2的子接口VLAN10和VLAN20允许FortiGate-1过来的带VLAN Tag 10和20的流量访问Internet。

配置步骤

基础配置

需要确保在“config sys global”下,“virtual-switch-vlan”选项处于“enable”状态。

config sys global
    set virtual-switch-vlan enable
end
FortiGate-1
  1. 需要确保在“config sys global”下,“virtual-switch-vlan”选项处于“enable”状态;或在设备管理页面的“系统管理→设置→系统运行设置”中,“VLAN 交换机模式”选项处于开启状态。

    config sys global
        set virtual-switch-vlan enable
    end
    

    image-20230607172641313

  2. 新建两个VLAN/Hardware Switch,分别配置VLAN ID为10和20,分别添加成员port1、port2和port3、port4。

    config system virtual-switch
        edit "VLAN10"
            set physical-switch "sw0"
            set vlan 10
            config port
                edit "port1"
                next
                edit "port2"
                next
            end
        next
        edit "VLAN20"
            set physical-switch "sw0"
            set vlan 20
            config port
                edit "port3"
                next
                edit "port4"
                next
            end
        next
    end
    
  3. 配置两个VLAN/Hardware Switch接口的IP地址。

    config system interface
        edit "VLAN10"
            set vdom "root"
            set ip 192.168.10.99 255.255.255.0
            set allowaccess ping https ssh snmp http fgfm
            set type hard-switch
        next
        edit "VLAN20"
            set vdom "root"
            set ip 192.168.20.99 255.255.255.0
            set allowaccess ping https ssh snmp http fgfm
            set type hard-switch
        next
    end
    
  4. 配置wan1接口为Trunk口,承载VLAN10和VLAN20的流量。

    config system interface
        edit wan1
            set trunk enable
        next
    end
    
FortiGate-2
  1. 新建VLAN子接口VLAN10和VLAN20,并配置IP地址。

    config system interface
        edit "VLAN10"
            set ip 192.168.10.98 255.255.255.0
            set allowaccess ping https ssh
            set role lan
            set interface "dmz"
            set vlanid 10
        next
        edit "VLAN20"
            set ip 192.168.20.98 255.255.255.0
            set allowaccess ping https ssh
            set role lan
            set interface "dmz"
            set vlanid 20
        next
    end
    
  2. 在VLAN10和VLAN20接口上分别配置DHCP服务器,分别为VLAN10和VLAN20的客户端分配IP地址。

    config system dhcp server
        edit 0
            set dns-service default
            set default-gateway 192.168.10.98
            set netmask 255.255.255.0
            set interface "VLAN10"
            config ip-range
                edit 1
                    set start-ip 192.168.10.100
                    set end-ip 192.168.10.254
                next
            end
            set timezone-option default
        next
            edit 0
            set dns-service default
            set default-gateway 192.168.20.98
            set netmask 255.255.255.0
            set interface "VLAN20"
            config ip-range
                edit 1
                    set start-ip 192.168.20.100
                    set end-ip 192.168.20.254
                next
            end
            set timezone-option default
        next
    end
    
  3. 配置防火墙策略允许VLAN10和VLAN20的流量访问Internet。

    config firewall policy
        edit 0
            set name "VLAN10-out"
            set srcintf "VLAN10"
            set dstintf "wan1"
            set srcaddr "all"
            set dstaddr "all"
            set action accept
            set schedule "always"
            set service "ALL"
            set nat enable
        next
        edit 0
            set name "VLAN20-out"
            set srcintf "VLAN20"
            set dstintf "wan1"
            set srcaddr "all"
            set dstaddr "all"
            set action accept
            set schedule "always"
            set service "ALL"
            set nat enable
        next
    end
    

结果验证

  1. FortiGate-1下VLAN 10和VLAN 20的PC均可以通过FortiGate-2分别获取到VLAN10和VLAN20分配的IP地址。
  2. FortiGate-1下VLAN 10和VLAN 20的PC均可以Ping通FortiGate-1的VLAN/Hardware Switch接口IP。
  3. FortiGate-1下VLAN 10和VLAN 20的PC均可以Ping通FortiGate-2的VLAN子接口IP。
  4. FortiGate-1下VLAN 10和VLAN 20的PC均可以正常访问Internet,流量在FortiGate-1和FortiGate-2之间携带对应的VLAN Tag。

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2023-09-12 15:24:08

results matching ""

    No results matching ""