FortiLink MCLAG-堆叠组网2 Tier配置举例

FortiLink MCLAG-堆叠组网2 Tier配置举例

组网需求

FortiGate运行HA-Cluster，核心交换和接入交换机采用MCLAG堆叠组网结构。

网络拓扑

形成堆叠之后的逻辑拓扑：

两台FortiGate配置为HA主备模式。
整体规划：
- 外网IP网段规划：
  - WAN1联通出口：IP 202.100.1.21，GW 202.100.1.192
  - WAN2电信出口：IP 101.100.1.21，GW 101.100.1.192
- WAN1和WAN2合并成SD-WAN接口。
- 内网IP网段规划，FGT通过FortiLink+Capwap协议统一的接管FortiSW和FortiAP，为有线和无线统一进行管理和业务处理：
  - 有线网络规划：VLAN 10，192.168.10.1
  - 无线网络规划：员工WIFI VLAN 20，192.168.20.1
  - 无线网络规划：访客WIFI VLAN 30，192.168.30.1
  - 管理FortiAP：VLAN 99，192.168.99.1
- FortiLink互联部分规划：
  - FortiGate的a和b做聚合接口与Fortiswitch的后两个接口互联即可实现聚合接口的FortiLink管理。
  - 加入FortiLink的接口自动变为聚合口成员。

配置要点

FortiGate配置聚合端口，并设置split为enable模式。
上线Core-FSW1和Core-FSW2，将FortiGate和Core-FSW1以及Core-FSW2连接起来。
分别登录到Core-FSW2和Core-FSW1上，配置二者直连的ISL 接口为“mclag-icl enable”。配置为ICL堆叠线路（Inter-Chassis-Link），形成两台核心交换机的堆叠。
配置FortiGate聚合端口为split disable模式。
上线Access-FSW1和Access-FSW2。
分别登录到Access-FSW1和Access-FSW2上，配置二者直连的ISL 接口为“mclag-icl enable”。配置为ICL堆叠线路（Inter-Chassis-Link），形成两台接入交换机的堆叠。
在Core-FSW1和Core-FSW2上分别配置auto-isl-port-group，注意group的名字必须一致，端口可以不一样，这样是为了让核心的堆叠交换机与接入的堆叠交换机相互跨交换机手工形成聚合。
上线FortiAP和有线PC，并测试无线网络和有线网络的连通性。
注意：如果Switch上线时，有的Switch是旧的版本，最好先升级Switch的版本后，再组建mclag或是让交换机成环。

配置步骤

准备事项

首先确认FortiGate如下全局配置已开启（一般默认为开启状态）。
```
config system settings
    set gui-switch-controller enable
end
```
配置两台FortiGate的HA主备模式（配置方法请参考HA双机热备→HA典型基础配置）。
配置wan1和wan2的IP地址。
配置FortiLink实现FortiSwith上线，我们只需要将用于FortiLink的成员接口加入FortiLink接口即可。此拓扑中，FortiGate用于连接FortiSwitch的接口为a和b，编辑FortiLink接口，将a和b加入FortiLink（某些产品型号会默认将两个接口加入FortiLink），开启自动授权设备，关闭FortiLink分离接口，其他配置保持默认，可以看到FortiLink为一个聚合接口。

FortiLink分离接口什么时候应该开启？分离接口的意是，如果聚合接口的port1和port2分别连接了一台SW，在没有使用MCLAG的情况下（没开启堆叠功能），则聚合接口的port1和port2没办法同时UP（同时开启聚合接口无法正常工作），因此必须开启FortiLink分离接口功能，让聚合接口只有一个物理接口（port1）是处于UP状态的，另外一个物理接口（port2）处于DOWN的备份状态，当port1接口状态DOWN，则Port2立即接管Port1的工作，让聚合接口的FortiLink继续运行，这是一个聚合接口在FortiLink管理时候的备份机制。
MCLAG配置前是上述组网，因此刚刚开始的时候需要，保持enable状态。聚合接口的Port1和Port2只会UP一个接口，另外一个接口处于DOWN的状态。 FortiLink split interface什么时候应该disable？如果FGT的聚合接口只接到了一台交换机上，并没有跨交换机聚合（没有MCLAG，也不需要FortiLink split interface），因此这种情况应该让聚合接口的两个物理接口port1和port2同时UP，两个接口同时工作起来，以便提供更高带宽和备份的作用。
配置两台交换机MCLAG堆叠之后，就是上述组网，因此交换机堆叠完毕之后，需要修改为disable，让两个聚合接口都可以同时工作起来，最大的利用聚合接口的带宽和资源。这个配置后续会说明。

相关CLI：
```
NTP:
config system ntp
    set ntpsync enable
    set server-mode enable
    set interface "fortilink"
end
----------------------------------------------------------------------
DHCP:
config system dhcp server
    edit 2
        set dns-service local
        set ntp-service local
        set default-gateway 10.255.1.1
        set netmask 255.255.255.0
        set interface "fortilink"
        config ip-range
            edit 1
                set start-ip 10.255.1.2
                set end-ip 10.255.1.254
            next
        end
        set vci-match enable
        set vci-string "FortiSwitch" "FortiExtender"
    next
end
----------------------------------------------------------------------
FortiLink:
config system interface
    edit "fortilink"
        set vdom "root"
        set fortilink enable
        set ip 10.255.1.1 255.255.255.0
        set allowaccess ping fabric
        set type aggregate
        set member "a" "b"
        set lldp-reception enable
        set lldp-transmission enable
        set auto-auth-extension-device enable
        set fortilink-split-interface enable
        set switch-controller-nac "fortilink"
        set switch-controller-dynamic "fortilink"
        set swc-first-create 255
    next
end
```

连接FortiLink

连接核心交换机

配置完FortiGate之后，这个时候再去接FortiGate的FortiLink到FortiSwitch的线，配置Core-FSW1和Core-FSW2设备的互联接口MCLAG注意，先不要把所有的线都接上去，一台一台的来操作，MCLAG配置尽量使用Console去配置，而不是GUI，有时候由于在Fortilink计算和收敛会导致GUI连接不上去，或者先将CORE-FSW1下线，先单独配置CORE-FSW2，然后再将CORE-FSW2下线，再单独配置CORE-FSW1，然后再将二者互联的线接上去，这样是最稳妥的办法，避免GUI的CLI连不上的情况出现。而接入交换机这个时候是不建议接入的，等CORE-FSW1和CORE-FSW2的堆叠形成了之后，再将接入层交换机的线。

FortiSwitch如果以前有使用过，建议都恢复一下出厂设置，然后再加入到FortiLink。

FortiSwitch的靠后接口一般都默认开启了FortiLink接口属性，如果接前面的接口可能会无法加入到FortiLink，因此FortiSwitch的FortiLink最好都使用靠后的接口进行接线。FortiSwitch各型号默认开启FortiLink功能的接口如下：

FortiSwitch型号	默认开启FortiLink的接口
FS-108D-POE	port9–port10
FS-108E, FS-108E-POE, FS-108E-FPOE	port7–port10
FSR-112D-POE	port5–port12
FS-124D, FS-124D-POE	port23–port26
FSR-124D	port1-port4, port21–port28
FS-124E, FS-124E-POE, FS-124E-FPOE	port21–port28
FS-148E, FS-148E-POE	port21–port52
FS-224D-POE	port21–port24
FS-224D-FPOE	port21–port28
FS-224E, FS-224E-POE	port21–port28
FS-248D, FS-248D-FPOE	port45–port52
FS-248D-POE	port47–port50
FS-248E-POE, FS-248E-FPOE	port45–port52
FS-424D, FS-424D-POE, FS-424D-FPOE	port23–port26
FS-424E-Fiber	port1-port30
FS-426E-FPOE-MG	port23-port30
FS-448D, FS-448D-POE, FS-448D-FPOE	port45–port52
FS-524D, FS-524D-FPOE	port21–port30
FS-548D	port39–port54
FS-548D-FPOE, FS-548DN	port45–port54
FS-1024D	port1–port24
FS-1048D, FS-1048E	port1–port52
FS-3032D, FS-3032E	port1–port32

如果FortiSwitch无法被FortiGate管理，登陆到FortiSwitch上进行确认接口是否开启了FortiLink。

FortiSwitch # show switch interface port9
config switch interface
    edit "port9
        set auto-discovery-fortilink enable    //接口下又此命令的接口才可以自动加入到FortiLink中
    next
end

交换机之间如果接多根线，会自动进行聚合，但是FortiLink自动聚合会花比较长的时间，建议可以先接单线，等FortiLink的拓扑较快的形成结束之后，再增加彼此之间的另外一根线，再进行自动聚合，这样效率会比较高一些。
接线是很重要的步骤，仔细看拓扑图，做好接口标签，不要接错。
先接Core-FSW1的线，再接Core-FSW1和Core-FSW2互联的线，先不要接接入层交换机的线，在FortiGate上进入无线&交换机控制器→FortiSwitch管理页面，右上角选择拓扑视图，查看交换机被管理状态。
此时我们看防火墙的FortiLink聚合接口，此时应该只有a或b其中一个物理接口是UP的，这是FortiLink split interface enable的结果。

配置核心交换机MC-LAG

通过FortiGate管理交换机页面右键交换机即可SSH到交换机，分别登录到Core-FSW1和Core-FSW2上。
配置二者的互联聚合接口为“set mclag-icl enable”（请注意此例中在GUI配置时一定要先配置CORE-FSW2，因为CORE-FSW2与FortiGate的FortiLink接口处于down的状态，如果先配置了CORE-FSW1，那么CORE-FSW2将无法通过GUI管理）。
```
config switch trunk
    edit "4DF3X15000373-0"
        set mclag-icl enable
    next
end
```
```
config switch trunk
    edit "4DF3X15000291-0"
        set mclag-icl enable
    next
end
```
查看配置MCLAG后的交换机拓扑，可以看到两台交换机已经变为一个MC-LAG组。
MC-LAG配置完成后，将FortiLink接口下的split interface设置为disable，让聚合接口（a和b）全部UP起来，充分利用聚合接口的资源，实现FortiGate与两台交换机（堆叠）的跨交换机聚合。
```
config system interface
    edit "fortilink"
        set fortilink-split-interface disable
    next
end
```
等待CORE-FSW2重新在FortiGate上线后，查看Switch管理拓扑，FortiLink的两个成员接口均已UP。

在FortiGate的CLI下查看FortiLink成员状态，可以看到与实际物理连线一致。

FortiGate # execute switch-controller get-physical-conn standard fortilink

This will display connectivity graph information for FortiLink from FortiGate's perspective
NOTE : If FortiSwitch is not authorized, no connectivity information will be shown
NOTE : If FortiSwitch is in idle state, no connectivity information will be shown
NOTE : If FortiSwitch ISL peer has inconsistent info, no connectivity information will be shown
        FortiLink interface : fortilink
FortiGate(s)
FGT61FTK22054783(a)  <<------------------>>  S224DF3X15000373(port23)
FGT61FTK22054602(a)  <<------------------>>  S224DF3X15000373(port24)
FGT61FTK22054783(b)  <<------------------>>  S224DF3X15000291(port23)
FGT61FTK22054602(b)  <<------------------>>  S224DF3X15000291(port24)

Tier 1
S224DF3X15000373(port23)  <<------------------>>  FGT61FTK22054783(a)
S224DF3X15000373(port24)  <<------------------>>  FGT61FTK22054602(a)
S224DF3X15000291(port23)  <<------------------>>  FGT61FTK22054783(b)
S224DF3X15000291(port24)  <<------------------>>  FGT61FTK22054602(b)

Tier 2+
S224DF3X15000373(port1/4DF3X15000291-0)  <<------------------>>  S224DF3X15000291(port1/4DF3X15000373-0)
S224DF3X15000373(port2/4DF3X15000291-0)  <<------------------>>  S224DF3X15000291(port2/4DF3X15000373-0)

连接接入交换机

将接入层两台交换机的连线接入。在FortiGate上进入无线&交换机控制器→FortiSwitch管理页面，查看交换机被管理状态，修改视图为拓扑，可以看到4台交换机均已上线，两台交换机之间的接口为丢弃状态。

查看两台接入交换机的STP状态，Access-FSW1的接口均为转发状态，Access-FSW2与Access-FSW1的互联的接口为阻塞状态。

FortiGate # exec ssh admin@10.255.1.3
admin@10.255.1.3's password: 

Access-FSW1 # diagnose stp instance list 15

MST Instance Information, primary-Channel:
Instance ID 15 
  Config         Priority 28672, VLANs 4094
                 Bridge MAC ac712e465448
  Regional Root  MAC 906cac30589c, Priority 20480, Path Cost 1, Root Port _FlInK1_MLAG0_
  TCN Events     Triggered 30 (0d 0h 21m 37s ago), Received 76 (0d 0h 21m 31s ago)
  Port               Speed   Cost       Priority   Role         State        Flags
  ________________   ______  _________  _________  ___________  __________   _______________

  internal           1G      20000      128        DESIGNATED   FORWARDING   ED 
  _FlInK1_MLAG0_     2G      1          128        ROOT         FORWARDING   EN 
  4ENTF20002824-0    2G      1          128        DESIGNATED   FORWARDING   EN 
  Flags: EN(STP enable), ED(Edge), LP(Loop Protection Triggered)
  RG(Root Guard Triggered), BG(BPDU Guard Triggered), IC(PVST Port Inconsistent)
  MV(PVST Port Vlan Mismatch)

FortiGate # exec ssh admin@10.255.1.4
admin@10.255.1.4's password: 

Access-FSW2 # diagnose stp instance list 15

MST Instance Information, primary-Channel:
Instance ID 15 
  Config         Priority 28672, VLANs 4094
                 Bridge MAC e023ff54e7e0
  Regional Root  MAC 906cac30589c, Priority 20480, Path Cost 1, Root Port _FlInK1_MLAG0_
  TCN Events     Triggered 32 (0d 2h 48m 38s ago), Received 99 (0d 2h 48m 33s ago)

  Port               Speed   Cost       Priority   Role         State        Flags
  ________________   ______  _________  _________  ___________  __________   _______________
  internal           1G      20000      128        DESIGNATED   FORWARDING   ED 
  _FlInK1_MLAG0_     2G      1          128        ROOT         FORWARDING   EN 
  4ENTF22001220-0    2G      1          128        ALTERNATIVE  DISCARDING   EN 

  Flags: EN(STP enable), ED(Edge), LP(Loop Protection Triggered)
  RG(Root Guard Triggered), BG(BPDU Guard Triggered), IC(PVST Port Inconsistent)
  MV(PVST Port Vlan Mismatch)

为了防止出现环路导致FortiGate无法管理FortiSwitch，通过Console登录并配置两台接入交换机的互联聚合接口为“set mclag-icl enable”（或先将接入交换机之间互联口Down掉，通过FortiGate SSH到交换机配置）。
```
Access-FSW1:
config switch trunk
    edit "4ENTF20002824-0"
        set mclag-icl enable     
    next
end

Access-FSW2:
config switch trunk
    edit "4ENTF22001220-0"
        set mclag-icl enable     
    next
end
```

在Core-FSW1和Core-FSW2上分别配置auto-isl-port-group，注意group的名字必须一致，端口成员为与接入交换机互联的接口，这样是为了让核心的堆叠交换机与接入的堆叠交换机相互跨交换机手工形成聚合。

Core-FSW1:
config switch auto-isl-port-group
    edit "mclag-tier2"    //手工配置auto-isl-port-group，Core-FSW1和Core-FSW2的名字需要一样，都为mclag-tier2
        set members "port3" "port4"            
    next
end

Core-FSW2:
config switch auto-isl-port-group
    edit "mclag-tier2"    //手工配置auto-isl-port-group，Core-FSW1和Core-FSW2的名字需要一样，都为mclag-tier2
        set members "port3" "port4"            
    next
end

配置完毕之后Core-FSW1和Core-FSW2后会自动生成聚合接口，无需手工配置，此配置可以理解为手工创建了跨堆叠交换机的聚合接口：“mclag-tier2”包括四个物理接口，CORE-FSW1上的两个物理接口Port3和Port4以及 CORE-FSW2上的两个物理接口Port3和Port4，一共四个物理接口，共同属于聚合接口：“mclag-tier2”。

Core-FSW1 # show switch trunk 
config switch trunk
...
    edit "mclag-tier2"
        set mode lacp-active
        set auto-isl 1
        set mclag enable
        set members "port4" "port3"    //对于堆叠交换机而言，名字一样的聚合接口即为跨交换机聚合的聚合接口，这是"mclag-tier2"聚合接口在CORE-FSW1上的两个物理接口Port3和Port4
    next
end

Core-FSW2 # show switch trunk 
config switch trunk
...
    edit "mclag-tier2"
        set mode lacp-active
        set auto-isl 1
        set mclag enable
        set members "port4" "port3"    //对于堆叠交换机而言，名字一样的聚合接口即为跨交换机聚合的聚合接口，这是"mclag-tier2"聚合接口在CORE-FSW1上的两个物理接口Port3和Port4
    next
end

接好线之后，FortiSwitch和FortiGate之间会自动在后台进行FortiLink、CAPWAP、MSTP、聚合接口的协商加入等操作，等FortiLink的管理结束之后，在FortiGate上会看到一个网站的FortiSwitch拓扑图，和我们规划的拓扑图应该是一致的，可以仔细核对接线是否正确。
交换机加入到FortiGate的FortiLink，会先清除配置再重启，然后从standalone的状态进入到“Fortilink remote control”的状态，后续所有的配置都通过FortiGate下发即可。
编辑交换机，可以修改交换机名字以及升级版本，如果交换机很多的话，规划好的命名可以有效的迅速找到交换机的位置。

FortiSwitch之间接多根线进行FortiLink互联，会默认自动聚合。其实接一根网线也是聚合的，只是聚合组里面只有一个接口而已，因此多根网线直连，这些直连的线都会自动加入到一个聚合接口里面（建议MC-LAG环境尽量使用两条或以上的连线）。

FortiGate # exec ssh admin@10.255.1.6
admin@10.255.1.6's password: 

Core-FSW1 # show switch trunk

config switch trunk
    edit "4DF3X15000291-0"
        set mode lacp-active
        set auto-isl 1
        set mclag-icl enable
        set members "port1" "port2"         
    next
    edit "GT61FTK22054602"
        set mode lacp-active
        set auto-isl 1
        set fortilink 1
        set mclag enable
        set members "port24"         
    next
    edit "GT61FTK22054783"
        set mode lacp-active
        set auto-isl 1
        set fortilink 1
        set mclag enable
        set members "port23"         
    next
    edit "mclag-tier2"
        set mode lacp-active
        set auto-isl 1
        set mclag enable
        set members "port4" "port3"         
    next
end

再次查看FortiGate的FortiLink成员，可以看到两台接入交换机已上线，且连线与拓扑一致。

FortiGate # execute switch-controller get-physical-conn standard fortilink

This will display connectivity graph information for FortiLink from FortiGate's perspective
       FortiLink interface : fortilink
FortiGate(s)
FGT61FTK22054783(a)  <<------------------>>  S224DF3X15000373(port23)
FGT61FTK22054602(a)  <<------------------>>  S224DF3X15000373(port24)
FGT61FTK22054783(b)  <<------------------>>  S224DF3X15000291(port23)
FGT61FTK22054602(b)  <<------------------>>  S224DF3X15000291(port24)
Tier 1
S224DF3X15000373(port23)  <<------------------>>  FGT61FTK22054783(a)
S224DF3X15000373(port24)  <<------------------>>  FGT61FTK22054602(a)
S224DF3X15000291(port23)  <<------------------>>  FGT61FTK22054783(b)
S224DF3X15000291(port24)  <<------------------>>  FGT61FTK22054602(b)
Tier 2+
S224ENTF20002824(port23/_FlInK1_MLAG0_)  <<------------------>>  S224DF3X15000373(port4/mclag-tier2)
S224ENTF20002824(port24/_FlInK1_MLAG0_)  <<------------------>>  S224DF3X15000291(port4/mclag-tier2)
S224ENTF22001220(port21/4ENTF20002824-0)  <<------------------>>  S224ENTF20002824(port21/4ENTF22001220-0)
S224ENTF22001220(port22/4ENTF20002824-0)  <<------------------>>  S224ENTF20002824(port22/4ENTF22001220-0)
S224ENTF22001220(port23/_FlInK1_MLAG0_)  <<------------------>>  S224DF3X15000373(port3/mclag-tier2)
S224ENTF22001220(port24/_FlInK1_MLAG0_)  <<------------------>>  S224DF3X15000291(port3/mclag-tier2)
S224DF3X15000373(port1/4DF3X15000291-0)  <<------------------>>  S224DF3X15000291(port1/4DF3X15000373-0)
S224DF3X15000373(port2/4DF3X15000291-0)  <<------------------>>  S224DF3X15000291(port2/4DF3X15000373-0)

最后不要忘记，在FortiLink的聚合接口和FortiLink管理配置完毕，记得把这个FortiLink聚合接口加入到HA的监控接口列表中，这样当主核心交换机挂了（比如断电）之后，业务才可以平稳切换到备防火墙上。

创建VLAN

FortiGate通过FortiLink + Capwap协议统一的接管FortiSwitch和FortiAP，为有线和无线统一进行管理和业务处理。
进入FortiGate的无线&交换机控制器→FortiSwitch VLAN页面，新建有线网络VLAN 10、员工无线网络VLAN 20、访客无线网络VLAN 30、管理FortiAP VLAN 99。注意管理FortiAP的VLAN接口要开启Security Fabric，包含CAPWAP。
VLAN创建完成。

分配VLAN

Access-FSW2交换机的port1接FortiAP，配置为Trunk模式，允许 VLAN20和VLAN30，VLAN20用于WIFI-STAFF的SSID用户，VLAN30用于WIFI-GUEST的SSID用户。另外本地VLAN设置为VLAN 99，用于FortiAP的管理（FortiAP的管理相当于使用不打vlan-tag的VLAN 99，本地VLAN默认是VLAN 1，因此只需要将本地VLAN设置为VLAN 99即可）。
Access-FSW1交换机的Port2接具体的物理PC，因此只需要将Port2设置为access口，分配VLAN 10即可，用FortiSwitch的概念来说就是将本地VLAN设置为VLAN 10，本地VLAN不打vlan-tag，相当于就是设置接口为access vlan 10。

无线配置

FortiAP连接后，会通过VLAN 99的DHCP获取到192.168.99.0/24网段的IP地址。
在之前的配置中，VLAN 99的接口开启了CAPWAP协议（包含在Security Fabric中），激活了FortiGate的无线管理功能，这时候FortiAP会自动找到FGT进行注册。因此在FortiAP管理的地方可以看到这个FortiAP的信息（如果没有看到检查配置，并将FortiAP恢复出厂，让FortiAP重新获取IP地址并发起注册）。
右键点击上图中等待认证的FortiAP，点击授权按钮，等待几分钟，FortiAP成功上线。
编辑FortiAP设置，配置FortiAP的名称，或进行升级操作。
进入无线&交换机控制器→SSIDs页面，点击新建按钮。
新建SSID：Fortinet_WiFi_Staff VLAN 20用于员工WIFI使用，Fortinet_WiFi_Guest VLAN 30用于访客WiFi使用。
将SSID关联到FortiAP上，然后让FortiAP发布无线SSID信号，这样用户就可以通过SSID连接到无线了。进入FortiAP配置文件页面，编辑FortiAP关联的配置文件。
桥模式的SSID需要在FortiAP配置文件里面手工指定一下，另外下图标示出的配置为推荐配置。
FortiAP会自动关联到这个FortiAP配置文件里面的内容，发起SSID的信号。

SD-WAN配置

将wan1和wan2加入SD-WAN接口，并配置各自的网关。
添加SD-WAN的默认路由。
配置SD-WAN的SLA，以便wan1和wan2相互备份和切换。
SD-WAN规则可根据需求配置，这里保持默认的按照源IP负载均衡。

安全策略配置

需求与规划：
- 员工的有线与无线都需要访问互联网
- 访客的无线仅仅可以访问互联网
- 员工的有线和无线需要互访
建议将防火墙的接口划分区域，以区域的方式配置策略，有时候可以做到简化配置的目的，甚至未来替换设备的时候，策略的备份和还原也会更加简单一些。规划区域两个区域：
- 员工网络区域：包括员工的有线VLAN 10和员工的无线VLAN 20 （区域之间的隔离关闭，这样VLAN 10和VLAN 20之间的数据可通）
- 访问网络区域：包括访问的无线VLAN 30
进入网络→接口页面，新建所属区域。
分别创建Staff_Zone（包含VLAN 10和VLAN20）和Guest_Zone（包含VLAN30）。
如此只需要配置两条策略，就可以实现我们规划的需求，新建Staff-Zone到SD-WAN与Guest-Zone到SD-WAN的安全策略。

结果验证

客户端访问

进入无线&交换机控制器→WiFi客户端，查看在线的无线客户端。可以看到WiFi_Staff和WiFi_Guest各有一个终端在线。
在DHCP状态检测中查看所有的客户端信息，可以看到有线网络的PC也正常上线。
有线网络（VLAN 10）用户访问互联网。
无线网络用户访问互联网。
使用VLAN 20下的客户端访问VLAN 20下的另一个客户端（Staff区域）。
使用VLAN 30下的客户端访问VLAN 30下的另一个客户端（Guest区域），可以看到由于该区域配置了禁止相互访问，所以VLAN 30下的客户端是无法互相访问的。