• FortiLink简要上线指南
  • 组网需求
  • 网络拓扑
  • 配置步骤
    • 准备事项
    • 连接FortiLink
    • 创建VLAN
    • 分配VLAN
    • 无线配置
    • SD-WAN配置
    • 安全策略配置
  • 结果验证
    • 客户端访问
    • 切换测试

FortiLink简要上线指南

组网需求

1. SAA（Secure Access Architecture）是Fortinet针对中小企业推出的有线无线一体的安全解决方案，包括有线无线设备的接入和认证，通过防火墙来统一管理网络中的有线和无线设备，并且有线交换机和无线AP都是即插即用，非常方便易用。
2. 如果再加入SD-WAN的部分可以组成叫SD-WAN Branch的方案。

网络拓扑

1. 一个最简单的FortiLink部署环境：一台防火墙+一台FortiSwtich+一台FortiAP，通过FortiLink非常便捷的实现一个通过FGT统一管理的可视化的有线+无线的安全网络。
2. 整体规划：
   • 外网IP网段规划：
     • WAN1联通出口：IP 202.100.1.21，GW 202.100.1.192
     • WAN2电信出口：IP 101.100.1.21，GW 101.100.1.192
   • WAN1和WAN2合并成SD-WAN接口。
   • 内网IP网段规划，FGT通过FortiLink+Capwap协议统一的接管FortiSW和FortiAP，为有线和无线统一进行管理和业务处理：
     • 有线网络规划：VLAN 10，192.168.10.1
     • 无线网络规划：员工WIFI VLAN 20，192.168.20.1
     • 无线网络规划：访客WIFI VLAN 30，192.168.30.1
     • 管理FortiAP：VLAN 99，192.168.99.1
   • FortiLink互联部分规划：
     • FortiGate的a和b做聚合接口与Fortiswitch的后两个接口互联即可实现聚合接口的FortiLink管理。
     • 加入FortiLink的接口自动变为聚合口成员。

配置步骤

准备事项

1. 首先确认FortiGate如下全局配置已开启（一般默认为开启状态）。

   config system settings
       set gui-switch-controller enable
   end
   

2. 配置wan1和wan2的IP地址。

   

3. 配置FortiLink实现FortiSwith上线，我们只需要将用于FortiLink的成员接口加入FortiLink接口即可。此拓扑中，FortiGate用于连接FortiSwitch的接口为a和b，编辑FortiLink接口，将a和b加入FortiLink（某些产品型号会默认将两个接口加入FortiLink），开启自动授权设备，关闭FortiLink分离接口，其他配置保持默认，可以看到FortiLink为一个聚合接口。

   

   

   

   FortiLink分离接口什么时候应该开启？ 分离接口的意是，如果聚合接口的port1和port2分别连接了一台SW，在没有使用MCLAG的情况下（没开启堆叠功能），则聚合接口的port1和port2没办法同时UP（同时开启聚合接口无法正常工作），因此必须开启FortiLink分离接口功能，让聚合接口只有一个物理接口（port1）是处于UP状态的，另外一个物理接口（port2）处于DOWN的备份状态，当port1接口状态DOWN，则Port2立即接管Port1的工作，让聚合接口的FortiLink继续运行，这是一个聚合接口在FortiLink管理时候的备份机制。

   

   FortiLink split interface 什么时候应该disable？ 如果FGT的聚合接口只接到了一台交换机上，并没有跨交换机聚合（没有MCLAG，也不需要FortiLink split interface），因此这种情况应该让聚合接口的两个物理接口port1和port2同时UP，两个接口同时工作起来，以便提供更高带宽和备份的作用。

   

   相关CLI：

   NTP:
   config system ntp
       set ntpsync enable
       set server-mode enable
       set interface "fortilink"
   end
   ----------------------------------------------------------------------
   DHCP:
   config system dhcp server
       edit 2
           set dns-service local
           set ntp-service local
           set default-gateway 10.255.1.1
           set netmask 255.255.255.0
           set interface "fortilink"
           config ip-range
               edit 1
                   set start-ip 10.255.1.2
                   set end-ip 10.255.1.254
               next
           end
           set vci-match enable
           set vci-string "FortiSwitch" "FortiExtender"
       next
   end
   ----------------------------------------------------------------------
   FortiLink:
   config system interface
       edit "fortilink"
           set vdom "root"
           set fortilink enable
           set ip 10.255.1.1 255.255.255.0
           set allowaccess ping fabric
           set type aggregate
           set member "a" "b"
           set lldp-reception enable
           set lldp-transmission enable
           set auto-auth-extension-device enable
           set fortilink-split-interface disable
           set switch-controller-nac "fortilink"
           set switch-controller-dynamic "fortilink"
           set swc-first-create 255
       next
   end
   

连接FortiLink

1. 配置完FortiGate之后，这个时候再去接FortiGate的FortiLink到FortiSwitch的线，以及FortiSwitch之间的线，严格按照拓扑图，从核心交换机往接入交换机这样的顺序接线。FortiSwitch如果以前有使用过，建议都恢复一下出厂设置，然后再加入到FortiLink。

2. FortiSwitch的靠后接口一般都默认开启了FortiLink接口属性，如果接前面的接口可能会无法加入到FortiLink，因此FortiSwitch的FortiLink最好都使用靠后的接口进行接线。FortiSwitch各型号默认开启FortiLink功能的接口如下：

   FortiSwitch型号	默认开启FortiLink的接口
   FS-108D-POE	port9–port10
   FS-108E, FS-108E-POE, FS-108E-FPOE	port7–port10
   FSR-112D-POE	port5–port12
   FS-124D, FS-124D-POE	port23–port26
   FSR-124D	port1-port4, port21–port28
   FS-124E, FS-124E-POE, FS-124E-FPOE	port21–port28
   FS-148E, FS-148E-POE	port21–port52
   FS-224D-POE	port21–port24
   FS-224D-FPOE	port21–port28
   FS-224E, FS-224E-POE	port21–port28
   FS-248D, FS-248D-FPOE	port45–port52
   FS-248D-POE	port47–port50
   FS-248E-POE, FS-248E-FPOE	port45–port52
   FS-424D, FS-424D-POE, FS-424D-FPOE	port23–port26
   FS-424E-Fiber	port1-port30
   FS-426E-FPOE-MG	port23-port30
   FS-448D, FS-448D-POE, FS-448D-FPOE	port45–port52
   FS-524D, FS-524D-FPOE	port21–port30
   FS-548D	port39–port54
   FS-548D-FPOE, FS-548DN	port45–port54
   FS-1024D	port1–port24
   FS-1048D, FS-1048E	port1–port52
   FS-3032D, FS-3032E	port1–port32

3. 如果FortiSwitch无法被FortiGate管理，登陆到FortiSwitch上进行确认接口是否开启了FortiLink。

   FortiSwitch # show switch interface port9
   config switch interface
       edit "port9
           set auto-discovery-fortilink enable    //接口下又此命令的接口才可以自动加入到FortiLink中
       next
   end
   

4. 交换机之间如果接多根线，会自动进行聚合，但是FortiLink自动聚合会花比较长的时间，建议可以先接单线，等FortiLink的拓扑较快的形成结束之后，再增加彼此之间的另外一根线，再进行自动聚合，这样效率会比较高一些。

5. 接线是很重要的步骤，仔细看拓扑图，做好接口标签，不要接错。

6. 接好线之后，FortiSwitch和FortiGate之间会自动在后台进行FortiLink、CAPWAP、MSTP、聚合接口的协商加入等操作，等FortiLink的管理结束之后，在FortiGate上会看到一个网站的FortiSwitch拓扑图，和我们规划的拓扑图应该是一致的，可以仔细核对接线是否正确。

7. 在FortiGate上进入无线&交换机控制器→FortiSwitch管理页面，查看交换机被管理状态。

   

8. 交换机加入到FortiGate的FortiLink，会先清除配置再重启，然后从standalone的状态进入到“Fortilink remote control”的状态，后续所有的配置都通过FortiGate下发即可。

9. 编辑该交换机，可以修改交换机名字以及升级版本，如果交换机很多的话，规划好的命名可以有效的迅速找到交换机的位置。

   

创建VLAN

1. FortiGate通过FortiLink + Capwap协议统一的接管FortiSwitch和FortiAP，为有线和无线统一进行管理和业务处理。

2. 进入FortiGate的无线&交换机控制器→FortiSwitch VLAN页面，新建有线网络VLAN 10、员工无线网络VLAN 20、访客无线网络VLAN 30、管理FortiAP VLAN 99。注意管理FortiAP的VLAN接口要开启Security Fabric，包含CAPWAP。

   

   

   

   

   

3. VLAN创建完成。

   

分配VLAN

1. 交换机的port1接FortiAP，配置为Trunk模式，允许 VLAN20和VLAN30，VLAN20用于WIFI-STAFF的SSID用户，VLAN30用于WIFI-GUEST的SSID用户。另外本地VLAN设置为VLAN 99，用于FortiAP的管理（FortiAP的管理相当于使用不打vlan-tag的VLAN 99，本地VLAN默认是VLAN 1，因此只需要将本地VLAN设置为VLAN 99即可）。

2. Port2接具体的物理PC，因此只需要将Port2设置为access口，分配VLAN 10即可，用FortiSwitch的概念来说就是将本地VLAN设置为VLAN 10，本地VLAN不打vlan-tag，相当于就是设置接口为access vlan 10。

   

无线配置

1. FortiAP连接后，会通过VLAN 99的DHCP获取到192.168.99.0/24网段的IP地址。

   

2. 在之前的配置中，VLAN 99的接口开启了CAPWAP协议（包含在Security Fabric中），激活了FortiGate的无线管理功能，这时候FortiAP会自动找到FGT进行注册。因此在FortiAP管理的地方可以看到这个FortiAP的信息（如果没有看到检查配置，并将FortiAP恢复出厂，让FortiAP重新获取IP地址并发起注册）。

   

3. 右键点击上图中等待认证的FortiAP，点击授权按钮，等待几分钟，FortiAP成功上线。

   

4. 编辑FortiAP设置，配置FortiAP的名称，或进行升级操作。

   

5. 进入无线&交换机控制器→SSIDs页面，点击新建按钮。

   

6. 新建SSID：Fortinet_WiFi_Staff VLAN 20用于员工WIFI使用，Fortinet_WiFi_Guest VLAN 30用于访客WiFi使用。

   

   

   

7. 将SSID关联到FortiAP上，然后让FortiAP发布无线SSID信号，这样用户就可以通过SSID连接到无线了。进入FortiAP配置文件页面，编辑FortiAP关联的配置文件。

   

8. 桥模式的SSID需要在FortiAP配置文件里面手工指定一下，另外下图标示出的配置为推荐配置。

   

   

9. FortiAP会自动关联到这个FortiAP配置文件里面的内容，发起SSID的信号。

   

SD-WAN配置

1. 将wan1和wan2加入SD-WAN接口，并配置各自的网关。

   

2. 添加SD-WAN的默认路由。

   

3. 配置SD-WAN的SLA，以便wan1和wan2相互备份和切换。

   

   

4. SD-WAN规则可根据需求配置，这里保持默认的按照源IP负载均衡。

   

安全策略配置

1. 需求与规划：

   • 员工的有线与无线都需要访问互联网
   • 访客的无线仅仅可以访问互联网
   • 员工的有线和无线需要互访

2. 建议将防火墙的接口划分区域，以区域的方式配置策略，有时候可以做到简化配置的目的，甚至未来替换设备的时候，策略的备份和还原也会更加简单一些。规划区域两个区域：

   • 员工网络区域：包括员工的有线VLAN 10和员工的无线VLAN 20 （区域之间的隔离关闭，这样VLAN 10和VLAN 20之间的数据可通）
   • 访问网络区域：包括访问的无线VLAN 30

3. 进入网络→接口页面，新建所属区域。

   

4. 分别创建Staff_Zone（包含VLAN 10和VLAN20）和Guest_Zone（包含VLAN30）。

   

   

   

5. 如此只需要配置两条策略，就可以实现我们规划的需求，新建Staff-Zone到SD-WAN与Guest-Zone到SD-WAN的安全策略。

   

结果验证

客户端访问

1. 进入无线&交换机控制器→WiFi客户端，查看在线的无线客户端。可以看到WiFi_Staff和WiFi_Guest各有一个终端在线。

   

2. 在DHCP状态检测中查看所有的客户端信息，可以看到有线网络的PC也正常上线。

   

3. 有线网络（VLAN 10）用户访问互联网。

   

4. 无线网络用户访问互联网。

   

5. 使用VLAN 20下的客户端访问VLAN 20下的另一个客户端（Staff区域）。

   

6. 使用VLAN 30下的客户端访问VLAN 30下的另一个客户端（Guest区域），可以看到由于该区域配置了禁止相互访问，所以VLAN 30下的客户端是无法互相访问的。

   

切换测试

1. 在我们的测试场景下FortiLink聚合接口的a和b是同时UP起来的，如果a或b DOWN（不能同时DOWN），是否有影响业务呢？

2. 经过测试，DOWN a或b接口，客户端丢包1个或者不丢包。