FortiLink部署之星型组网
通过简要上线指南中的拓扑,来说明星型组网部署方案。
简要上线指南拓扑
星型拓扑
改造方案一
- 接入交换机直接串联到核心交换机上的FortiLink部署。
- 这种方案比较简洁,容易理解,存在的问题:核心交换机存在单点故障风险,一旦核心交换机出现故障(比如断电),整网将全部中断。
改造方案二
交换机串联,FortiGate使用“FortiLink split interface”特性互联到每一台FortiSwitch核心交换机上。
使用聚合接口并利用“FortiLink split interface”,将防火墙的聚合接口分别接到三台交换机上,但是正常情况下只有接核心交换机的接口是UP的,其他的接口处于备份状态。
如果交换机很多,可以使用以下方案拓扑。使用聚合接口并利用“FortiLink split interface”,将防火墙的聚合接口分别接到两台核心交换机上,但是正常情况下只有接其中一台核心交换机的接口是UP的,另外一台核心交换机的接口是DOWN的,处于备份状态。
FortiGate100及以下型号的设备改进方案。使用硬交换机接口(LAN/Internal)对接三台FortiSwitch,使用硬交换部署FortiLink的时候尽量不要有STP(环路)。
最终方案三
以上两种改善方案也存在自身的问题,实际的情况是,大部分的交换机都不在同一个机架上,可能每个楼层一台交换机,这样的话,如果需要防火墙和每一个交换机进行直接互联,这个部分有时候由于环境问题会存在一定的困难。
另外还有一个问题是防火墙本身也存在单点故障风险。因此一个更加好一点的改进方案是,引进FortiGate的HA机制,然后启用双核心交换机组网完成FortiLink的架构。
继续改善的FortiGate HA加双核心FortiSwitch的星型组网方案。
由于FortiGate使用聚合接口+HA部署FortiLink,这个时候可以不需要使用“FortiLink split interface”进行跨交换机的对接,因为将聚合都接到一台交换机可以增加带宽的使用效率,同时HA可以monitor聚合接口,一旦核心交换机或聚合接口故障,可以HA切换到备防火墙上,相应的流量也会切换到另外一台核心交换机上,从而实现整体的业务备份效果。
对于上述所有的拓扑图,从配置的角度来说只需要选择好适合的方案,然后只需配置FortiGate的FortiLink接口即可,FortiSwitch和FortiAP只需要接物理的线即可,不需要有任何的手工配置FortiSwitch和FortiAP,按照拓扑图接好物理的线之后,等待FortiLink整网收敛完毕之后,就可以通过FortiGate统一的管理和配置FortiSwitch和FortiAP,整网的所有的有线和无线的配置统统都在FortiGate上完成,通过FortiGate的FortiLink做到整网可控、可配、可视化。
总结来看,越完美的东西就意味着越复杂,有时候简单也是一种优势,因此选择用什么样的FortiLink组网,需要考虑自身的需求和对业务的重视情况而定,并非越简单越好,也并非越复杂越好,适合自己的才是最好的。