FortiLink简要上线指南

组网需求

  1. SAA(Secure Access Architecture)是Fortinet针对中小企业推出的有线无线一体的安全解决方案,包括有线无线设备的接入和认证,通过防火墙来统一管理网络中的有线和无线设备,并且有线交换机和无线AP都是即插即用,非常方便易用。
  2. 如果再加入SD-WAN的部分可以组成叫SD-WAN Branch的方案。

网络拓扑

image-20230224161444465

  1. 一个最简单的FortiLink部署环境:一台防火墙+一台FortiSwtich+一台FortiAP,通过FortiLink非常便捷的实现一个通过FGT统一管理的可视化的有线+无线的安全网络。
  2. 整体规划:
    • 外网IP网段规划:
      • WAN1联通出口:IP 202.100.1.21,GW 202.100.1.192
      • WAN2电信出口:IP 101.100.1.21,GW 101.100.1.192
    • WAN1和WAN2合并成SD-WAN接口。
    • 内网IP网段规划,FGT通过FortiLink+Capwap协议统一的接管FortiSW和FortiAP,为有线和无线统一进行管理和业务处理:
      • 有线网络规划:VLAN 10,192.168.10.1
      • 无线网络规划:员工WIFI VLAN 20,192.168.20.1
      • 无线网络规划:访客WIFI VLAN 30,192.168.30.1
      • 管理FortiAP:VLAN 99,192.168.99.1
    • FortiLink互联部分规划:
      • FortiGate的a和b做聚合接口与Fortiswitch的后两个接口互联即可实现聚合接口的FortiLink管理。
      • 加入FortiLink的接口自动变为聚合口成员。

配置步骤

准备事项

  1. 首先确认FortiGate如下全局配置已开启(一般默认为开启状态)。

    config system settings
        set gui-switch-controller enable
    end
    
  2. 配置wan1和wan2的IP地址。

    image-20230223162601136

  3. 配置FortiLink实现FortiSwith上线,我们只需要将用于FortiLink的成员接口加入FortiLink接口即可。此拓扑中,FortiGate用于连接FortiSwitch的接口为a和b,编辑FortiLink接口,将a和b加入FortiLink(某些产品型号会默认将两个接口加入FortiLink),开启自动授权设备,关闭FortiLink分离接口,其他配置保持默认,可以看到FortiLink为一个聚合接口。

    image-20230307195252978

    image-20230223163303862

    image-20230223163345097

    FortiLink分离接口什么时候应该开启? 分离接口的意是,如果聚合接口的port1和port2分别连接了一台SW,在没有使用MCLAG的情况下(没开启堆叠功能),则聚合接口的port1和port2没办法同时UP(同时开启聚合接口无法正常工作),因此必须开启FortiLink分离接口功能,让聚合接口只有一个物理接口(port1)是处于UP状态的,另外一个物理接口(port2)处于DOWN的备份状态,当port1接口状态DOWN,则Port2立即接管Port1的工作,让聚合接口的FortiLink继续运行,这是一个聚合接口在FortiLink管理时候的备份机制。

    image-20230222145251886

    FortiLink split interface 什么时候应该disable? 如果FGT的聚合接口只接到了一台交换机上,并没有跨交换机聚合(没有MCLAG,也不需要FortiLink split interface),因此这种情况应该让聚合接口的两个物理接口port1和port2同时UP,两个接口同时工作起来,以便提供更高带宽和备份的作用。

    image-20230222145503645

    相关CLI:

    NTP:
    config system ntp
        set ntpsync enable
        set server-mode enable
        set interface "fortilink"
    end
    ----------------------------------------------------------------------
    DHCP:
    config system dhcp server
        edit 2
            set dns-service local
            set ntp-service local
            set default-gateway 10.255.1.1
            set netmask 255.255.255.0
            set interface "fortilink"
            config ip-range
                edit 1
                    set start-ip 10.255.1.2
                    set end-ip 10.255.1.254
                next
            end
            set vci-match enable
            set vci-string "FortiSwitch" "FortiExtender"
        next
    end
    ----------------------------------------------------------------------
    FortiLink:
    config system interface
        edit "fortilink"
            set vdom "root"
            set fortilink enable
            set ip 10.255.1.1 255.255.255.0
            set allowaccess ping fabric
            set type aggregate
            set member "a" "b"
            set lldp-reception enable
            set lldp-transmission enable
            set auto-auth-extension-device enable
            set fortilink-split-interface disable
            set switch-controller-nac "fortilink"
            set switch-controller-dynamic "fortilink"
            set swc-first-create 255
        next
    end
    
  1. 配置完FortiGate之后,这个时候再去接FortiGate的FortiLink到FortiSwitch的线,以及FortiSwitch之间的线,严格按照拓扑图,从核心交换机往接入交换机这样的顺序接线。FortiSwitch如果以前有使用过,建议都恢复一下出厂设置,然后再加入到FortiLink。

  2. FortiSwitch的靠后接口一般都默认开启了FortiLink接口属性,如果接前面的接口可能会无法加入到FortiLink,因此FortiSwitch的FortiLink最好都使用靠后的接口进行接线。FortiSwitch各型号默认开启FortiLink功能的接口如下:

    FortiSwitch型号 默认开启FortiLink的接口
    FS-108D-POE port9–port10
    FS-108E, FS-108E-POE, FS-108E-FPOE port7–port10
    FSR-112D-POE port5–port12
    FS-124D, FS-124D-POE port23–port26
    FSR-124D port1-port4, port21–port28
    FS-124E, FS-124E-POE, FS-124E-FPOE port21–port28
    FS-148E, FS-148E-POE port21–port52
    FS-224D-POE port21–port24
    FS-224D-FPOE port21–port28
    FS-224E, FS-224E-POE port21–port28
    FS-248D, FS-248D-FPOE port45–port52
    FS-248D-POE port47–port50
    FS-248E-POE, FS-248E-FPOE port45–port52
    FS-424D, FS-424D-POE, FS-424D-FPOE port23–port26
    FS-424E-Fiber port1-port30
    FS-426E-FPOE-MG port23-port30
    FS-448D, FS-448D-POE, FS-448D-FPOE port45–port52
    FS-524D, FS-524D-FPOE port21–port30
    FS-548D port39–port54
    FS-548D-FPOE, FS-548DN port45–port54
    FS-1024D port1–port24
    FS-1048D, FS-1048E port1–port52
    FS-3032D, FS-3032E port1–port32
  3. 如果FortiSwitch无法被FortiGate管理,登陆到FortiSwitch上进行确认接口是否开启了FortiLink。

    FortiSwitch # show switch interface port9
    config switch interface
        edit "port9
            set auto-discovery-fortilink enable    //接口下又此命令的接口才可以自动加入到FortiLink中
        next
    end
    
  4. 交换机之间如果接多根线,会自动进行聚合,但是FortiLink自动聚合会花比较长的时间,建议可以先接单线,等FortiLink的拓扑较快的形成结束之后,再增加彼此之间的另外一根线,再进行自动聚合,这样效率会比较高一些。

  5. 接线是很重要的步骤,仔细看拓扑图,做好接口标签,不要接错。

  6. 接好线之后,FortiSwitch和FortiGate之间会自动在后台进行FortiLink、CAPWAP、MSTP、聚合接口的协商加入等操作,等FortiLink的管理结束之后,在FortiGate上会看到一个网站的FortiSwitch拓扑图,和我们规划的拓扑图应该是一致的,可以仔细核对接线是否正确。

  7. 在FortiGate上进入无线&交换机控制器→FortiSwitch管理页面,查看交换机被管理状态。

    image-20230223170106355

  8. 交换机加入到FortiGate的FortiLink,会先清除配置再重启,然后从standalone的状态进入到“Fortilink remote control”的状态,后续所有的配置都通过FortiGate下发即可。

  9. 编辑该交换机,可以修改交换机名字以及升级版本,如果交换机很多的话,规划好的命名可以有效的迅速找到交换机的位置。

    image-20230223170155791

创建VLAN

  1. FortiGate通过FortiLink + Capwap协议统一的接管FortiSwitch和FortiAP,为有线和无线统一进行管理和业务处理。

  2. 进入FortiGate的无线&交换机控制器→FortiSwitch VLAN页面,新建有线网络VLAN 10、员工无线网络VLAN 20、访客无线网络VLAN 30、管理FortiAP VLAN 99。注意管理FortiAP的VLAN接口要开启Security Fabric,包含CAPWAP。

    image-20230222160911132

image-20230222163229617

image-20230222163201839

image-20230222162904597

  1. VLAN创建完成。

    image-20230222163116635

分配VLAN

  1. 交换机的port1接FortiAP,配置为Trunk模式,允许 VLAN20和VLAN30,VLAN20用于WIFI-STAFF的SSID用户,VLAN30用于WIFI-GUEST的SSID用户。另外本地VLAN设置为VLAN 99,用于FortiAP的管理(FortiAP的管理相当于使用不打vlan-tag的VLAN 99,本地VLAN默认是VLAN 1,因此只需要将本地VLAN设置为VLAN 99即可)。

  2. Port2接具体的物理PC,因此只需要将Port2设置为access口,分配VLAN 10即可,用FortiSwitch的概念来说就是将本地VLAN设置为VLAN 10,本地VLAN不打vlan-tag,相当于就是设置接口为access vlan 10。

    image-20230223171231489

无线配置

  1. FortiAP连接后,会通过VLAN 99的DHCP获取到192.168.99.0/24网段的IP地址。

    image-20230223182610107

  2. 在之前的配置中,VLAN 99的接口开启了CAPWAP协议(包含在Security Fabric中),激活了FortiGate的无线管理功能,这时候FortiAP会自动找到FGT进行注册。因此在FortiAP管理的地方可以看到这个FortiAP的信息(如果没有看到检查配置,并将FortiAP恢复出厂,让FortiAP重新获取IP地址并发起注册)。

    image-20230307195319201

  3. 右键点击上图中等待认证的FortiAP,点击授权按钮,等待几分钟,FortiAP成功上线。

    image-20230224110420954

  4. 编辑FortiAP设置,配置FortiAP的名称,或进行升级操作。image-20230224110458971

  5. 进入无线&交换机控制器→SSIDs页面,点击新建按钮。

    image-20230222174004844

  6. 新建SSID:Fortinet_WiFi_Staff VLAN 20用于员工WIFI使用,Fortinet_WiFi_Guest VLAN 30用于访客WiFi使用。

    image-20230222173838875

    image-20230222174417450

    image-20230222174504978

  7. 将SSID关联到FortiAP上,然后让FortiAP发布无线SSID信号,这样用户就可以通过SSID连接到无线了。进入FortiAP配置文件页面,编辑FortiAP关联的配置文件。

    image-20230224110902397

  8. 桥模式的SSID需要在FortiAP配置文件里面手工指定一下,另外下图标示出的配置为推荐配置。

    image-20230224111946635

    image-20230224143415061

  9. FortiAP会自动关联到这个FortiAP配置文件里面的内容,发起SSID的信号。

    image-20230222175609363

SD-WAN配置

  1. 将wan1和wan2加入SD-WAN接口,并配置各自的网关。

    image-20230224143607191

  2. 添加SD-WAN的默认路由。

    image-20230222180122451

  3. 配置SD-WAN的SLA,以便wan1和wan2相互备份和切换。

    image-20230222180302638

    image-20230307195339541

  4. SD-WAN规则可根据需求配置,这里保持默认的按照源IP负载均衡。

    image-20230222180530180

安全策略配置

  1. 需求与规划:

    • 员工的有线与无线都需要访问互联网
    • 访客的无线仅仅可以访问互联网
    • 员工的有线和无线需要互访
  2. 建议将防火墙的接口划分区域,以区域的方式配置策略,有时候可以做到简化配置的目的,甚至未来替换设备的时候,策略的备份和还原也会更加简单一些。规划区域两个区域:

    • 员工网络区域:包括员工的有线VLAN 10和员工的无线VLAN 20 (区域之间的隔离关闭,这样VLAN 10和VLAN 20之间的数据可通
    • 访问网络区域:包括访问的无线VLAN 30
  3. 进入网络→接口页面,新建所属区域。

    image-20230224144307077

  4. 分别创建Staff_Zone(包含VLAN 10和VLAN20)和Guest_Zone(包含VLAN30)。

    image-20230222181150018

    image-20230222181356194

    image-20230224144251938

  5. 如此只需要配置两条策略,就可以实现我们规划的需求,新建Staff-Zone到SD-WAN与Guest-Zone到SD-WAN的安全策略。

    image-20230222181810110

结果验证

客户端访问

  1. 进入无线&交换机控制器→WiFi客户端,查看在线的无线客户端。可以看到WiFi_Staff和WiFi_Guest各有一个终端在线。

    image-20230224151935430

  2. 在DHCP状态检测中查看所有的客户端信息,可以看到有线网络的PC也正常上线。

    image-20230224152405023

  3. 有线网络(VLAN 10)用户访问互联网。

    image-20230307195400089

  4. 无线网络用户访问互联网。

    image-20230224153948405

  5. 使用VLAN 20下的客户端访问VLAN 20下的另一个客户端(Staff区域)。

    image-20230224155433586

  6. 使用VLAN 30下的客户端访问VLAN 30下的另一个客户端(Guest区域),可以看到由于该区域配置了禁止相互访问,所以VLAN 30下的客户端是无法互相访问的。

    image-20230224155053311

切换测试

  1. 在我们的测试场景下FortiLink聚合接口的a和b是同时UP起来的,如果a或b DOWN(不能同时DOWN),是否有影响业务呢?

  2. 经过测试,DOWN a或b接口,客户端丢包1个或者不丢包。

    image-20230224155928996

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2023-12-28 16:50:42

results matching ""

    No results matching ""