FortiLink 星型组网

通过简要上线指南中的拓扑，来说明星型组网部署方案。

简要上线指南拓扑

星型拓扑

改造方案一

1. 接入交换机直接串联到核心交换机上的 FortiLink 部署。
2. 这种方案比较简洁，容易理解，存在的问题：核心交换机存在单点故障风险，一旦核心交换机出现故障（比如断电），整网将全部中断。

改造方案二

1. 交换机串联，FortiGate 使用“FortiLink split interface”特性互联到每一台 FortiSwitch 核心交换机上。

2. 使用聚合接口并利用“FortiLink split interface”，将防火墙的聚合接口分别接到三台交换机上，但是正常情况下只有接核心交换机的接口是 UP 的，其他的接口处于备份状态。

   

3. 如果交换机很多，可以使用以下方案拓扑。使用聚合接口并利用“FortiLink split interface”，将防火墙的聚合接口分别接到两台核心交换机上，但是正常情况下只有接其中一台核心交换机的接口是 UP 的，另外一台核心交换机的接口是 DOWN 的，处于备份状态。

   

4. FortiGate100 及以下型号的设备改进方案。使用硬交换机接口（LAN/Internal）对接三台 FortiSwitch，使用硬交换部署 FortiLink 的时候尽量不要有 STP（环路）。

   

最终方案三

1. 以上两种改善方案也存在自身的问题，实际的情况是，大部分的交换机都不在同一个机架上，可能每个楼层一台交换机，这样的话，如果需要防火墙和每一个交换机进行直接互联，这个部分有时候由于环境问题会存在一定的困难。

2. 另外还有一个问题是防火墙本身也存在单点故障风险。因此一个更加好一点的改进方案是，引进 FortiGate 的 HA 机制，然后启用双核心交换机组网完成 FortiLink 的架构。

3. 继续改善的 FortiGate HA 加双核心 FortiSwitch 的星型组网方案。

   

4. 由于 FortiGate 使用聚合接口 + HA 部署 FortiLink，这个时候可以不需要使用“FortiLink split interface”进行跨交换机的对接，因为将聚合都接到一台交换机可以增加带宽的使用效率，同时 HA 可以 monitor 聚合接口，一旦核心交换机或聚合接口故障，可以 HA 切换到备防火墙上，相应的流量也会切换到另外一台核心交换机上，从而实现整体的业务备份效果。

5. 对于上述所有的拓扑图，从配置的角度来说只需要选择好适合的方案，然后只需配置 FortiGate 的 FortiLink 接口即可，FortiSwitch 和 FortiAP 只需要接物理的线即可，不需要有任何的手工配置 FortiSwitch 和 FortiAP，按照拓扑图接好物理的线之后，等待 FortiLink 整网收敛完毕之后，就可以通过 FortiGate 统一的管理和配置 FortiSwitch 和 FortiAP，整网的所有的有线和无线的配置统统都在 FortiGate 上完成，通过 FortiGate 的 FortiLink 做到整网可控、可配、可视化。

6. 总结来看，越完美的东西就意味着越复杂，有时候简单也是一种优势，因此选择用什么样的 FortiLink 组网，需要考虑自身的需求和对业务的重视情况而定，并非越简单越好，也并非越复杂越好，适合自己的才是最好的。