FortiLink简介

简介

  1. FortiLink是防火墙和被管理的交换机之间的通讯协议。
  2. Fortinet的私有协议,FortiGate基于FortiLink来管理FortiSwitch。
  3. FortiLink链路承载了FortiSwitch/FortiAP和FortiGate之间的通讯报文以及用户业务数据报文(FortiLink报文 + CAPWAP控制报文 + 真实业务流量)

image-20230214141736032

典型组网环境

image-20230214141914073

FortiLink报文交互

image-20230214142242759

CAPWAP 交互过程记录(三层报文, UDP Port 5246)

image-20230214142646485

Keep Alive(FGT侧)

FGT对于FortiLink状态的健康,FGT和FSW各自使用不同的Keep alive机制, FGT使用基于CAPWAP机制的Keep Alive,FGT 每30秒发送一次REQ_MSG给FSW, 如果没有收到RSP, 则重传6次,如果重传6次都没有成功, 则认为FSW掉线。

image-20230214142806367

Keep Alive(FSW侧)

FSW对于 FortiLink状态的健康检查:

  1. FSW会实时监控Fortilink的物理端口状态, 如果端口down, 则FSW认为FortiLink down。

    image-20230214142901158

  2. FortiLink down后,FSW会继续尝试与FGT建立FortiLink,每3秒发送一次FortiLink Discovery报文,如果由于链路原因没有收到FGT返回的应答,FSW默认有一个30秒的超时时间,超过此时间,则FSW认为FortiLink down。FSW会继续尝试与FGT建立FortiLink,重复FSW上线过程,包括重新CAPWAP协商。

  3. FSW对于CAPWAP的监控:

    • switch 每30秒发送一次echo request 并等待echo response
    • 如果连续10个echo 没有response, 则重置CAPWAP状态,交换机认为自己掉线,即capwap超时时间300秒
    • 每次FortiLink重新建立后, 如果当前CAPWAP状态为RUN,会重新开始CAPWAP进程

    image-20230214143325912

FortiLink中断检测过程

  1. FSW继续使用当前的配置工作,本地转发的数据继续转发。
  2. 如果此时重启FSW,FSW重启后会继续使用重启之前的配置工作,本地转发的数据继续转发。
  3. 如果FSW在与FGT断了后,被别的FGT发现并授权,此时FSW不会再重启,但会丢弃之前在旧FGT上获得的配置,重新从新的FGT上获取配置。这种情况下,FSW从一个FGT手动切换到另外一个FGT上,最好先清一下配置。
  4. 如果FSW掉线后,在FSW上如果又修改了配置后,在FSW重新上线后,FGT会重新下发配置,之前在FSW上修改的配置会被丢弃。

其他

官方参考配置文档:

https://docs.fortinet.com/document/fortiswitch/7.0.8/devices-managed-by-fortios/

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2024-03-07 17:57:58

results matching ""

    No results matching ""