FortiLink MCLAG-堆叠组网2 Tier配置举例

组网需求

FortiGate运行HA-Cluster,核心交换和接入交换机采用MCLAG堆叠组网结构。

网络拓扑

image-20230313111156785

形成堆叠之后的逻辑拓扑:

image-20230313105714739

  1. 两台FortiGate配置为HA主备模式。
  2. 整体规划:
    • 外网IP网段规划:
      • WAN1联通出口:IP 202.100.1.21,GW 202.100.1.192
      • WAN2电信出口:IP 101.100.1.21,GW 101.100.1.192
    • WAN1和WAN2合并成SD-WAN接口。
    • 内网IP网段规划,FGT通过FortiLink+Capwap协议统一的接管FortiSW和FortiAP,为有线和无线统一进行管理和业务处理:
      • 有线网络规划:VLAN 10,192.168.10.1
      • 无线网络规划:员工WIFI VLAN 20,192.168.20.1
      • 无线网络规划:访客WIFI VLAN 30,192.168.30.1
      • 管理FortiAP:VLAN 99,192.168.99.1
    • FortiLink互联部分规划:
      • FortiGate的a和b做聚合接口与Fortiswitch的后两个接口互联即可实现聚合接口的FortiLink管理。
      • 加入FortiLink的接口自动变为聚合口成员。

配置要点

  1. FortiGate配置聚合端口,并设置split为enable模式。
  2. 上线Core-FSW1和Core-FSW2,将FortiGate和Core-FSW1以及Core-FSW2连接起来。
  3. 分别登录到Core-FSW2和Core-FSW1上,配置二者直连的ISL 接口为“mclag-icl enable”。配置为ICL堆叠线路(Inter-Chassis-Link),形成两台核心交换机的堆叠。
  4. 配置FortiGate聚合端口为split disable模式。
  5. 上线Access-FSW1和Access-FSW2。
  6. 分别登录到Access-FSW1和Access-FSW2上,配置二者直连的ISL 接口为“mclag-icl enable”。配置为ICL堆叠线路(Inter-Chassis-Link),形成两台接入交换机的堆叠。
  7. 在Core-FSW1和Core-FSW2上分别配置auto-isl-port-group,注意group的名字必须一致,端口可以不一样,这样是为了让核心的堆叠交换机与接入的堆叠交换机相互跨交换机手工形成聚合。
  8. 上线FortiAP和有线PC,并测试无线网络和有线网络的连通性。
  9. 注意:如果Switch上线时,有的Switch是旧的版本,最好先升级Switch的版本后,再组建mclag或是让交换机成环。

配置步骤

准备事项

  1. 首先确认FortiGate如下全局配置已开启(一般默认为开启状态)。

    config system settings
        set gui-switch-controller enable
    end
    
  2. 配置两台FortiGate的HA主备模式(配置方法请参考HA双机热备→HA典型基础配置)。

    image-20230307114131465

  3. 配置wan1和wan2的IP地址。

    image-20230307114232678

  4. 配置FortiLink实现FortiSwith上线,我们只需要将用于FortiLink的成员接口加入FortiLink接口即可。此拓扑中,FortiGate用于连接FortiSwitch的接口为a和b,编辑FortiLink接口,将a和b加入FortiLink(某些产品型号会默认将两个接口加入FortiLink),开启自动授权设备,关闭FortiLink分离接口,其他配置保持默认,可以看到FortiLink为一个聚合接口。

    image-20230307144155059

    image-20230310143817658

    image-20230307114442858

    FortiLink分离接口什么时候应该开启? 分离接口的意是,如果聚合接口的port1和port2分别连接了一台SW,在没有使用MCLAG的情况下(没开启堆叠功能),则聚合接口的port1和port2没办法同时UP(同时开启聚合接口无法正常工作),因此必须开启FortiLink分离接口功能,让聚合接口只有一个物理接口(port1)是处于UP状态的,另外一个物理接口(port2)处于DOWN的备份状态,当port1接口状态DOWN,则Port2立即接管Port1的工作,让聚合接口的FortiLink继续运行,这是一个聚合接口在FortiLink管理时候的备份机制。

    image-20230222145251886

    MCLAG配置前是上述组网,因此刚刚开始的时候需要,保持enable状态。聚合接口的Port1和Port2只会UP一个接口,另外一个接口处于DOWN的状态。 FortiLink split interface什么时候应该disable? 如果FGT的聚合接口只接到了一台交换机上,并没有跨交换机聚合(没有MCLAG,也不需要FortiLink split interface),因此这种情况应该让聚合接口的两个物理接口port1和port2同时UP,两个接口同时工作起来,以便提供更高带宽和备份的作用。

    image-20230222145503645

    配置两台交换机MCLAG堆叠之后,就是上述组网,因此交换机堆叠完毕之后,需要修改为disable,让两个聚合接口都可以同时工作起来,最大的利用聚合接口的带宽和资源。这个配置后续会说明。

    相关CLI:

    NTP:
    config system ntp
        set ntpsync enable
        set server-mode enable
        set interface "fortilink"
    end
    ----------------------------------------------------------------------
    DHCP:
    config system dhcp server
        edit 2
            set dns-service local
            set ntp-service local
            set default-gateway 10.255.1.1
            set netmask 255.255.255.0
            set interface "fortilink"
            config ip-range
                edit 1
                    set start-ip 10.255.1.2
                    set end-ip 10.255.1.254
                next
            end
            set vci-match enable
            set vci-string "FortiSwitch" "FortiExtender"
        next
    end
    ----------------------------------------------------------------------
    FortiLink:
    config system interface
        edit "fortilink"
            set vdom "root"
            set fortilink enable
            set ip 10.255.1.1 255.255.255.0
            set allowaccess ping fabric
            set type aggregate
            set member "a" "b"
            set lldp-reception enable
            set lldp-transmission enable
            set auto-auth-extension-device enable
            set fortilink-split-interface enable
            set switch-controller-nac "fortilink"
            set switch-controller-dynamic "fortilink"
            set swc-first-create 255
        next
    end
    

连接核心交换机

  1. 配置完FortiGate之后,这个时候再去接FortiGate的FortiLink到FortiSwitch的线,配置Core-FSW1和Core-FSW2设备的互联接口MCLAG注意,先不要把所有的线都接上去,一台一台的来操作,MCLAG配置尽量使用Console去配置,而不是GUI,有时候由于在Fortilink计算和收敛会导致GUI连接不上去,或者先将CORE-FSW1下线,先单独配置CORE-FSW2,然后再将CORE-FSW2下线,再单独配置CORE-FSW1,然后再将二者互联的线接上去,这样是最稳妥的办法,避免GUI的CLI连不上的情况出现。而接入交换机这个时候是不建议接入的,等CORE-FSW1和CORE-FSW2的堆叠形成了之后,再将接入层交换机的线。

    FortiSwitch如果以前有使用过,建议都恢复一下出厂设置,然后再加入到FortiLink。
  2. FortiSwitch的靠后接口一般都默认开启了FortiLink接口属性,如果接前面的接口可能会无法加入到FortiLink,因此FortiSwitch的FortiLink最好都使用靠后的接口进行接线。FortiSwitch各型号默认开启FortiLink功能的接口如下:

    FortiSwitch型号 默认开启FortiLink的接口
    FS-108D-POE port9–port10
    FS-108E, FS-108E-POE, FS-108E-FPOE port7–port10
    FSR-112D-POE port5–port12
    FS-124D, FS-124D-POE port23–port26
    FSR-124D port1-port4, port21–port28
    FS-124E, FS-124E-POE, FS-124E-FPOE port21–port28
    FS-148E, FS-148E-POE port21–port52
    FS-224D-POE port21–port24
    FS-224D-FPOE port21–port28
    FS-224E, FS-224E-POE port21–port28
    FS-248D, FS-248D-FPOE port45–port52
    FS-248D-POE port47–port50
    FS-248E-POE, FS-248E-FPOE port45–port52
    FS-424D, FS-424D-POE, FS-424D-FPOE port23–port26
    FS-424E-Fiber port1-port30
    FS-426E-FPOE-MG port23-port30
    FS-448D, FS-448D-POE, FS-448D-FPOE port45–port52
    FS-524D, FS-524D-FPOE port21–port30
    FS-548D port39–port54
    FS-548D-FPOE, FS-548DN port45–port54
    FS-1024D port1–port24
    FS-1048D, FS-1048E port1–port52
    FS-3032D, FS-3032E port1–port32
  3. 如果FortiSwitch无法被FortiGate管理,登陆到FortiSwitch上进行确认接口是否开启了FortiLink。

    FortiSwitch # show switch interface port9
    config switch interface
        edit "port9
            set auto-discovery-fortilink enable    //接口下又此命令的接口才可以自动加入到FortiLink中
        next
    end
    
  4. 交换机之间如果接多根线,会自动进行聚合,但是FortiLink自动聚合会花比较长的时间,建议可以先接单线,等FortiLink的拓扑较快的形成结束之后,再增加彼此之间的另外一根线,再进行自动聚合,这样效率会比较高一些。

  5. 接线是很重要的步骤,仔细看拓扑图,做好接口标签,不要接错。

  6. 先接Core-FSW1的线,再接Core-FSW1和Core-FSW2互联的线,先不要接接入层交换机的线,在FortiGate上进入无线&交换机控制器→FortiSwitch管理页面,右上角选择拓扑视图,查看交换机被管理状态。

    image-20230310153725047

  7. 此时我们看防火墙的FortiLink聚合接口,此时应该只有a或b其中一个物理接口是UP的,这是FortiLink split interface enable的结果。

    image-20230310154141328

配置核心交换机MC-LAG

  1. 通过FortiGate管理交换机页面右键交换机即可SSH到交换机,分别登录到Core-FSW1和Core-FSW2上。

    image-20230310161046740

  2. 配置二者的互联聚合接口为“set mclag-icl enable”(请注意此例中在GUI配置时一定要先配置CORE-FSW2,因为CORE-FSW2与FortiGate的FortiLink接口处于down的状态,如果先配置了CORE-FSW1,那么CORE-FSW2将无法通过GUI管理)

    image-20230310161246958

    config switch trunk
        edit "4DF3X15000373-0"
            set mclag-icl enable
        next
    end
    

    image-20230310160150394

    config switch trunk
        edit "4DF3X15000291-0"
            set mclag-icl enable
        next
    end
    
  3. 查看配置MCLAG后的交换机拓扑,可以看到两台交换机已经变为一个MC-LAG组。

    image-20230310161950103

  4. MC-LAG配置完成后,将FortiLink接口下的split interface设置为disable,让聚合接口(a和b)全部UP起来,充分利用聚合接口的资源,实现FortiGate与两台交换机(堆叠 )的跨交换机聚合。

    image-20230310162401739

    config system interface
        edit "fortilink"
            set fortilink-split-interface disable
        next
    end
    
  5. 等待CORE-FSW2重新在FortiGate上线后,查看Switch管理拓扑,FortiLink的两个成员接口均已UP。

    image-20230310163353166

  6. 在FortiGate的CLI下查看FortiLink成员状态,可以看到与实际物理连线一致。

    FortiGate # execute switch-controller get-physical-conn standard fortilink
    
    This will display connectivity graph information for FortiLink from FortiGate's perspective
    NOTE : If FortiSwitch is not authorized, no connectivity information will be shown
    NOTE : If FortiSwitch is in idle state, no connectivity information will be shown
    NOTE : If FortiSwitch ISL peer has inconsistent info, no connectivity information will be shown
            FortiLink interface : fortilink
    FortiGate(s)
    FGT61FTK22054783(a)  <<------------------>>  S224DF3X15000373(port23)
    FGT61FTK22054602(a)  <<------------------>>  S224DF3X15000373(port24)
    FGT61FTK22054783(b)  <<------------------>>  S224DF3X15000291(port23)
    FGT61FTK22054602(b)  <<------------------>>  S224DF3X15000291(port24)
    
    Tier 1
    S224DF3X15000373(port23)  <<------------------>>  FGT61FTK22054783(a)
    S224DF3X15000373(port24)  <<------------------>>  FGT61FTK22054602(a)
    S224DF3X15000291(port23)  <<------------------>>  FGT61FTK22054783(b)
    S224DF3X15000291(port24)  <<------------------>>  FGT61FTK22054602(b)
    
    Tier 2+
    S224DF3X15000373(port1/4DF3X15000291-0)  <<------------------>>  S224DF3X15000291(port1/4DF3X15000373-0)
    S224DF3X15000373(port2/4DF3X15000291-0)  <<------------------>>  S224DF3X15000291(port2/4DF3X15000373-0)
    

连接接入交换机

  1. 将接入层两台交换机的连线接入。在FortiGate上进入无线&交换机控制器→FortiSwitch管理页面,查看交换机被管理状态,修改视图为拓扑,可以看到4台交换机均已上线,两台交换机之间的接口为丢弃状态。

    image-20230313113134927

    image-20230313113343839

  2. 查看两台接入交换机的STP状态,Access-FSW1的接口均为转发状态,Access-FSW2与Access-FSW1的互联的接口为阻塞状态。

    FortiGate # exec ssh admin@10.255.1.3
    admin@10.255.1.3's password: 
    
    Access-FSW1 # diagnose stp instance list 15
    
    MST Instance Information, primary-Channel:
    Instance ID 15 
      Config         Priority 28672, VLANs 4094
                     Bridge MAC ac712e465448
      Regional Root  MAC 906cac30589c, Priority 20480, Path Cost 1, Root Port _FlInK1_MLAG0_
      TCN Events     Triggered 30 (0d 0h 21m 37s ago), Received 76 (0d 0h 21m 31s ago)
      Port               Speed   Cost       Priority   Role         State        Flags
      ________________   ______  _________  _________  ___________  __________   _______________
    
      internal           1G      20000      128        DESIGNATED   FORWARDING   ED 
      _FlInK1_MLAG0_     2G      1          128        ROOT         FORWARDING   EN 
      4ENTF20002824-0    2G      1          128        DESIGNATED   FORWARDING   EN 
      Flags: EN(STP enable), ED(Edge), LP(Loop Protection Triggered)
      RG(Root Guard Triggered), BG(BPDU Guard Triggered), IC(PVST Port Inconsistent)
      MV(PVST Port Vlan Mismatch)
    
    FortiGate # exec ssh admin@10.255.1.4
    admin@10.255.1.4's password: 
    
    Access-FSW2 # diagnose stp instance list 15
    
    MST Instance Information, primary-Channel:
    Instance ID 15 
      Config         Priority 28672, VLANs 4094
                     Bridge MAC e023ff54e7e0
      Regional Root  MAC 906cac30589c, Priority 20480, Path Cost 1, Root Port _FlInK1_MLAG0_
      TCN Events     Triggered 32 (0d 2h 48m 38s ago), Received 99 (0d 2h 48m 33s ago)
    
      Port               Speed   Cost       Priority   Role         State        Flags
      ________________   ______  _________  _________  ___________  __________   _______________
      internal           1G      20000      128        DESIGNATED   FORWARDING   ED 
      _FlInK1_MLAG0_     2G      1          128        ROOT         FORWARDING   EN 
      4ENTF22001220-0    2G      1          128        ALTERNATIVE  DISCARDING   EN 
    
      Flags: EN(STP enable), ED(Edge), LP(Loop Protection Triggered)
      RG(Root Guard Triggered), BG(BPDU Guard Triggered), IC(PVST Port Inconsistent)
      MV(PVST Port Vlan Mismatch)
    
  3. 为了防止出现环路导致FortiGate无法管理FortiSwitch,通过Console登录并配置两台接入交换机的互联聚合接口为“set mclag-icl enable”(或先将接入交换机之间互联口Down掉,通过FortiGate SSH到交换机配置)。

    Access-FSW1:
    config switch trunk
        edit "4ENTF20002824-0"
            set mclag-icl enable     
        next
    end
    
    Access-FSW2:
    config switch trunk
        edit "4ENTF22001220-0"
            set mclag-icl enable     
        next
    end
    
  4. 在Core-FSW1和Core-FSW2上分别配置auto-isl-port-group,注意group的名字必须一致,端口成员为与接入交换机互联的接口,这样是为了让核心的堆叠交换机与接入的堆叠交换机相互跨交换机手工形成聚合。

    Core-FSW1:
    config switch auto-isl-port-group
        edit "mclag-tier2"    //手工配置auto-isl-port-group,Core-FSW1和Core-FSW2的名字需要一样,都为mclag-tier2
            set members "port3" "port4"            
        next
    end
    
    Core-FSW2:
    config switch auto-isl-port-group
        edit "mclag-tier2"    //手工配置auto-isl-port-group,Core-FSW1和Core-FSW2的名字需要一样,都为mclag-tier2
            set members "port3" "port4"            
        next
    end
    
  5. 配置完毕之后Core-FSW1和Core-FSW2后会自动生成聚合接口,无需手工配置,此配置可以理解为手工创建了跨堆叠交换机的聚合接口:“mclag-tier2”包括四个物理接口,CORE-FSW1上的两个物理接口Port3和Port4以及 CORE-FSW2上的两个物理接口Port3和Port4,一共四个物理接口,共同属于聚合接口:“mclag-tier2”。

    Core-FSW1 # show switch trunk 
    config switch trunk
    ...
        edit "mclag-tier2"
            set mode lacp-active
            set auto-isl 1
            set mclag enable
            set members "port4" "port3"    //对于堆叠交换机而言,名字一样的聚合接口即为跨交换机聚合的聚合接口,这是"mclag-tier2"聚合接口在CORE-FSW1上的两个物理接口Port3和Port4
        next
    end
    
    Core-FSW2 # show switch trunk 
    config switch trunk
    ...
        edit "mclag-tier2"
            set mode lacp-active
            set auto-isl 1
            set mclag enable
            set members "port4" "port3"    //对于堆叠交换机而言,名字一样的聚合接口即为跨交换机聚合的聚合接口,这是"mclag-tier2"聚合接口在CORE-FSW1上的两个物理接口Port3和Port4
        next
    end
    
  6. 接好线之后,FortiSwitch和FortiGate之间会自动在后台进行FortiLink、CAPWAP、MSTP、聚合接口的协商加入等操作,等FortiLink的管理结束之后,在FortiGate上会看到一个网站的FortiSwitch拓扑图,和我们规划的拓扑图应该是一致的,可以仔细核对接线是否正确。

  7. 交换机加入到FortiGate的FortiLink,会先清除配置再重启,然后从standalone的状态进入到“Fortilink remote control”的状态,后续所有的配置都通过FortiGate下发即可。

  8. 编辑交换机,可以修改交换机名字以及升级版本,如果交换机很多的话,规划好的命名可以有效的迅速找到交换机的位置。

    image-20230223170155791

    image-20230313143729319

  9. FortiSwitch之间接多根线进行FortiLink互联,会默认自动聚合。其实接一根网线也是聚合的,只是聚合组里面只有一个接口而已,因此多根网线直连,这些直连的线都会自动加入到一个聚合接口里面(建议MC-LAG环境尽量使用两条或以上的连线)。

    FortiGate # exec ssh admin@10.255.1.6
    admin@10.255.1.6's password: 
    
    Core-FSW1 # show switch trunk
    
    config switch trunk
        edit "4DF3X15000291-0"
            set mode lacp-active
            set auto-isl 1
            set mclag-icl enable
            set members "port1" "port2"         
        next
        edit "GT61FTK22054602"
            set mode lacp-active
            set auto-isl 1
            set fortilink 1
            set mclag enable
            set members "port24"         
        next
        edit "GT61FTK22054783"
            set mode lacp-active
            set auto-isl 1
            set fortilink 1
            set mclag enable
            set members "port23"         
        next
        edit "mclag-tier2"
            set mode lacp-active
            set auto-isl 1
            set mclag enable
            set members "port4" "port3"         
        next
    end
    
  10. 再次查看FortiGate的FortiLink成员,可以看到两台接入交换机已上线,且连线与拓扑一致。

    FortiGate # execute switch-controller get-physical-conn standard fortilink
    
    This will display connectivity graph information for FortiLink from FortiGate's perspective
           FortiLink interface : fortilink
    FortiGate(s)
    FGT61FTK22054783(a)  <<------------------>>  S224DF3X15000373(port23)
    FGT61FTK22054602(a)  <<------------------>>  S224DF3X15000373(port24)
    FGT61FTK22054783(b)  <<------------------>>  S224DF3X15000291(port23)
    FGT61FTK22054602(b)  <<------------------>>  S224DF3X15000291(port24)
    Tier 1
    S224DF3X15000373(port23)  <<------------------>>  FGT61FTK22054783(a)
    S224DF3X15000373(port24)  <<------------------>>  FGT61FTK22054602(a)
    S224DF3X15000291(port23)  <<------------------>>  FGT61FTK22054783(b)
    S224DF3X15000291(port24)  <<------------------>>  FGT61FTK22054602(b)
    Tier 2+
    S224ENTF20002824(port23/_FlInK1_MLAG0_)  <<------------------>>  S224DF3X15000373(port4/mclag-tier2)
    S224ENTF20002824(port24/_FlInK1_MLAG0_)  <<------------------>>  S224DF3X15000291(port4/mclag-tier2)
    S224ENTF22001220(port21/4ENTF20002824-0)  <<------------------>>  S224ENTF20002824(port21/4ENTF22001220-0)
    S224ENTF22001220(port22/4ENTF20002824-0)  <<------------------>>  S224ENTF20002824(port22/4ENTF22001220-0)
    S224ENTF22001220(port23/_FlInK1_MLAG0_)  <<------------------>>  S224DF3X15000373(port3/mclag-tier2)
    S224ENTF22001220(port24/_FlInK1_MLAG0_)  <<------------------>>  S224DF3X15000291(port3/mclag-tier2)
    S224DF3X15000373(port1/4DF3X15000291-0)  <<------------------>>  S224DF3X15000291(port1/4DF3X15000373-0)
    S224DF3X15000373(port2/4DF3X15000291-0)  <<------------------>>  S224DF3X15000291(port2/4DF3X15000373-0)
    
  11. 最后不要忘记,在FortiLink的聚合接口和FortiLink管理配置完毕,记得把这个FortiLink聚合接口加入到HA的监控接口列表中,这样当主核心交换机挂了(比如断电)之后,业务才可以平稳切换到备防火墙上。

    image-20230307161011297

创建VLAN

  1. FortiGate通过FortiLink + Capwap协议统一的接管FortiSwitch和FortiAP,为有线和无线统一进行管理和业务处理。

  2. 进入FortiGate的无线&交换机控制器→FortiSwitch VLAN页面,新建有线网络VLAN 10、员工无线网络VLAN 20、访客无线网络VLAN 30、管理FortiAP VLAN 99。注意管理FortiAP的VLAN接口要开启Security Fabric,包含CAPWAP。

    image-20230222160911132

    image-20230222161216297

    image-20230222163229617

    image-20230222163201839

    image-20230222162904597

  3. VLAN创建完成。

    image-20230222163116635

分配VLAN

image-20230310172944009

  1. Access-FSW2交换机的port1接FortiAP,配置为Trunk模式,允许 VLAN20和VLAN30,VLAN20用于WIFI-STAFF的SSID用户,VLAN30用于WIFI-GUEST的SSID用户。另外本地VLAN设置为VLAN 99,用于FortiAP的管理(FortiAP的管理相当于使用不打vlan-tag的VLAN 99,本地VLAN默认是VLAN 1,因此只需要将本地VLAN设置为VLAN 99即可)。

    image-20230310173422903

  2. Access-FSW1交换机的Port2接具体的物理PC,因此只需要将Port2设置为access口,分配VLAN 10即可,用FortiSwitch的概念来说就是将本地VLAN设置为VLAN 10,本地VLAN不打vlan-tag,相当于就是设置接口为access vlan 10。

    image-20230310173410265

无线配置

  1. FortiAP连接后,会通过VLAN 99的DHCP获取到192.168.99.0/24网段的IP地址。

    image-20230310173537266

  2. 在之前的配置中,VLAN 99的接口开启了CAPWAP协议(包含在Security Fabric中),激活了FortiGate的无线管理功能,这时候FortiAP会自动找到FGT进行注册。因此在FortiAP管理的地方可以看到这个FortiAP的信息(如果没有看到检查配置,并将FortiAP恢复出厂,让FortiAP重新获取IP地址并发起注册)。

    image-20230307194955541

  3. 右键点击上图中等待认证的FortiAP,点击授权按钮,等待几分钟,FortiAP成功上线。

    image-20230310173637447

  4. 编辑FortiAP设置,配置FortiAP的名称,或进行升级操作。

    image-20230224110458971

  5. 进入无线&交换机控制器→SSIDs页面,点击新建按钮。

    image-20230222174004844

  6. 新建SSID:Fortinet_WiFi_Staff VLAN 20用于员工WIFI使用,Fortinet_WiFi_Guest VLAN 30用于访客WiFi使用。

    image-20230222173838875

    image-20230222174417450

    image-20230222174504978

  7. 将SSID关联到FortiAP上,然后让FortiAP发布无线SSID信号,这样用户就可以通过SSID连接到无线了。进入FortiAP配置文件页面,编辑FortiAP关联的配置文件。

    image-20230224110902397

  8. 桥模式的SSID需要在FortiAP配置文件里面手工指定一下,另外下图标示出的配置为推荐配置。

    image-20230224111946635

    image-20230224143415061

  9. FortiAP会自动关联到这个FortiAP配置文件里面的内容,发起SSID的信号。

    image-20230222175609363

SD-WAN配置

  1. 将wan1和wan2加入SD-WAN接口,并配置各自的网关。

    image-20230224143607191

  2. 添加SD-WAN的默认路由。

    image-20230222180122451

  3. 配置SD-WAN的SLA,以便wan1和wan2相互备份和切换。

    image-20230222180302638

    image-20230307194931575

  4. SD-WAN规则可根据需求配置,这里保持默认的按照源IP负载均衡。

    image-20230222180530180

安全策略配置

  1. 需求与规划:

    • 员工的有线与无线都需要访问互联网
    • 访客的无线仅仅可以访问互联网
    • 员工的有线和无线需要互访
  2. 建议将防火墙的接口划分区域,以区域的方式配置策略,有时候可以做到简化配置的目的,甚至未来替换设备的时候,策略的备份和还原也会更加简单一些。规划区域两个区域:

    • 员工网络区域:包括员工的有线VLAN 10和员工的无线VLAN 20 (区域之间的隔离关闭,这样VLAN 10和VLAN 20之间的数据可通
    • 访问网络区域:包括访问的无线VLAN 30
  3. 进入网络→接口页面,新建所属区域。

    image-20230310173831457

  4. 分别创建Staff_Zone(包含VLAN 10和VLAN20)和Guest_Zone(包含VLAN30)。

    image-20230222181150018

    image-20230222181356194

    image-20230310173859893

  5. 如此只需要配置两条策略,就可以实现我们规划的需求,新建Staff-Zone到SD-WAN与Guest-Zone到SD-WAN的安全策略。

    image-20230222181810110

结果验证

客户端访问

  1. 进入无线&交换机控制器→WiFi客户端,查看在线的无线客户端。可以看到WiFi_Staff和WiFi_Guest各有一个终端在线。

    image-20230310174611043

  2. 在DHCP状态检测中查看所有的客户端信息,可以看到有线网络的PC也正常上线。

    image-20230310174524451

  3. 有线网络(VLAN 10)用户访问互联网。

    image-20230307195400089

  4. 无线网络用户访问互联网。

    image-20230224153948405

  5. 使用VLAN 20下的客户端访问VLAN 20下的另一个客户端(Staff区域)。

    image-20230224155433586

  6. 使用VLAN 30下的客户端访问VLAN 30下的另一个客户端(Guest区域),可以看到由于该区域配置了禁止相互访问,所以VLAN 30下的客户端是无法互相访问的。

    image-20230224155053311

FortiLink切换测试

  1. 在我们的测试场景下FortiLink聚合接口的a和b是同时UP起来的,如果a或b DOWN(不能同时DOWN),是否有影响业务呢?

  2. 经过测试,DOWN a或b接口,客户端丢包1个或者不丢包。

    image-20230224155928996

HA切换测试

重启当前主防火墙查看内网PC丢包情况,HA切换丢包1个。

image-20230307194617024

核心交换机接口故障模拟

  1. Down掉Core-FSW2的Port3和Port4接口,查看内网PC丢包情况,可以看到Core-FSW2连接接入层交换机的接口Down掉时,丢包1个。

    image-20230310175511186

  2. 查看和Switch管理拓扑,Core-FSW2与接入层交换机的连线已断开。

    image-20230313144442927

注意事项

  1. 只能是堆叠交换机才可以跨交换机聚合,不同的堆叠交换机组,不支持配置为聚合接口。
  2. 如果是与FortiSwith对接,则是自动MCLAG聚合。
  3. 如果是和第三方设备对接,比如交换机、路由器、友商防火墙、服务器等等对接的话,推荐使用LACP Active方式动态聚合。

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2023-12-28 16:12:03

results matching ""

    No results matching ""