FortiLink 简介

简介

1. FortiLink 是防火墙和被管理的交换机之间的通讯协议。
2. Fortinet 的私有协议，FortiGate 基于 FortiLink 来管理 FortiSwitch。
3. FortiLink 链路承载了 FortiSwitch/FortiAP 和 FortiGate 之间的通讯报文以及用户业务数据报文（FortiLink 报文 + CAPWAP 控制报文 + 真实业务流量）

典型组网环境

FortiLink 报文交互

CAPWAP 交互过程记录（三层报文, UDP Port 5246）

Keep Alive（FGT 侧）

FGT 对于 FortiLink 状态的健康，FGT 和 FSW 各自使用不同的 Keep alive 机制, FGT 使用基于 CAPWAP 机制的 Keep Alive，FGT 每 30 秒发送一次 REQ_MSG 给 FSW, 如果没有收到 RSP, 则重传 6 次, 如果重传 6 次都没有成功, 则认为 FSW 掉线。

Keep Alive（FSW 侧）

FSW 对于 FortiLink 状态的健康检查：

1. FSW 会实时监控 Fortilink 的物理端口状态, 如果端口 down, 则 FSW 认为 FortiLink down。

   

2. FortiLink down 后，FSW 会继续尝试与 FGT 建立 FortiLink，每 3 秒发送一次 FortiLink Discovery 报文，如果由于链路原因没有收到 FGT 返回的应答，FSW 默认有一个 30 秒的超时时间，超过此时间，则 FSW 认为 FortiLink down。FSW 会继续尝试与 FGT 建立 FortiLink，重复 FSW 上线过程，包括重新 CAPWAP 协商。

3. FSW 对于 CAPWAP 的监控：

   • switch 每 30 秒发送一次 echo request 并等待 echo response
   • 如果连续 10 个 echo 没有 response, 则重置 CAPWAP 状态, 交换机认为自己掉线, 即 capwap 超时时间 300 秒
   • 每次 FortiLink 重新建立后, 如果当前 CAPWAP 状态为 RUN, 会重新开始 CAPWAP 进程

   

FortiLink 中断检测过程

1. FSW 继续使用当前的配置工作，本地转发的数据继续转发。
2. 如果此时重启 FSW，FSW 重启后会继续使用重启之前的配置工作，本地转发的数据继续转发。
3. 如果 FSW 在与 FGT 断了后，被别的 FGT 发现并授权，此时 FSW 不会再重启, 但会丢弃之前在旧 FGT 上获得的配置，重新从新的 FGT 上获取配置。这种情况下，FSW 从一个 FGT 手动切换到另外一个 FGT 上，最好先清一下配置。
4. 如果 FSW 掉线后，在 FSW 上如果又修改了配置后，在 FSW 重新上线后，FGT 会重新下发配置，之前在 FSW 上修改的配置会被丢弃。

其他

官方参考配置文档：

https://docs.fortinet.com/document/fortiswitch/7.0.8/devices-managed-by-fortios/