通过扩展上线指南中的拓扑，来说明星型组网部署方案

”FortiLink简要上线指南“中原始拓扑图如下：一台FGT+一台FSW+一台FAP

扩充到：

一台FGT + N*FSW + N*FAP 

交换机星型组网分析（各种各样的星型组网）：

方案一：接入交换机直接串联到核心交换机上的Fortilink部署

比较简洁，容易理解，存在的问题：核心交换机存在单点故障风险，一旦核心交换机出现故障（比如断电），整网将全部中断。

FGT100以及以上型号的高端设备改进方案：

方案二：交换机串联，FGT使用“FortiLink split interface”特性互联到每一台FSW/核心防火墙上

使用聚合接口并利用“FortiLink split interface”enable，将防火墙的聚合接口分别接到三台交换机上，但是正常情况下只有接核心交换机的接口是UP的，其他的接口处于备份状态。

如果交换机很多可以有以下的小变种方案拓扑：

使用聚合接口并利用“FortiLink split interface”enable，将防火墙的聚合接口分别接到两台核心交换机上，但是正常情况下只有接其中一台核心交换机的接口是UP的，另外一台核心交换机的接口是DOWN的，处于备份状态。

FGT100以下型号的低端设备改进方案

使用硬交换机接口（LAN/Internal）对接三台FSW，使用硬交换部署FortiLink的时候尽量不要有STP（环路）：

以上两种改善方案也存在自身的问题，实际的情况是，大部分的交换机都不在同一个机架上，可能每个楼层一台交换机，这样的话，如果需要防火墙和每一个交换机进行直接互联，这个部分有时候由于环境问题会存在一定的困难。

另外还有一个问题是防火墙本身也存在单点故障风险。因此一个更加好一点的改进方案是，引进FortiGate的HA机制，然后启用双核心交换机组网完成FortiLink的架构。

继续改善的FGT HA加双核心FSW的星型组网方案：

方案三：FGT运行HA加两台核心FSW的星型组网部署

由于FortiGate使用聚合接口+HA部署FortiLink，这个时候可以不需要使用“FortiLink split interface”进行跨交换机的对接，因为将聚合都接到一台交换机可以增加带宽的使用效率，同时HA可以monitor聚合接口，一旦核心交换机或聚合接口故障，可以HA切换到备防火墙上，相应的流量也会切换到另外一台核心交换机上，从而实现整体的业务备份效果。

HA+FortiLink的方案相对来说比较完美。

对于上述所有的拓扑图，从配置的角度来说只需要选择好适合的方案，然后只需配置FortiGate的FortiLink接口即可，FortiSwitch和FortiAP只需要接物理的线即可，不需要有任何的手工配置FSW和FAP，按照拓扑图接好物理的线之后，等待FortiLink整网收敛完毕之后，就可以通过FortiGate统一的管理和配置FSW和FAP，整网的所有的有线和无线的配置统统都在FGT上完成，通过FGT的FortiLink做到整网可控、可配、可视化。

总结来看还是那个意思，越完美的东西就意味着越复杂，有时候简单也是一种优势，因此选择用什么样的FortiLink组网，需要考虑自身的需求和对业务的重视情况而定，并非越简单越好，也并非越复杂越好，适合自己的才是最好的。