SAA (Secure Access Architecture) 是Fortinet针对中小企业推出的有线无线一体的安全解决方案, 包括有线无线设备的接入和认证, 通过防火墙来统一管理网络中的有线和无线设备, 并且有线交换机和无线AP都是即插即用,非常方便易用。
如果再加入SD-WAN的部分可以组成叫SD-WAN Branch的方案
拓扑图
需求说明:
FortiGate FortiGate-101E v6.0.8
FortiSwitch:FortiSwitch-248D-POE v3.6.10
FortiAP:FP221C-v6.0-build5017
一个最简单的FortiLink部署环境:
一台防火墙+一台FortiSW+一台FortiAP 通过FortiLink非常便捷的实现一个通过FGT统一管理的可视化的有线+无线的安全网络。
整体规划:
外网IP网段规划:
WAN1 联通出口 IP 202.100.1.21 GW 202.100.1.192
WAN2 电信出口 IP 101.100.1.21 GW 101.100.1.192
WAN1和WAN2合并成SD-WAN接口。
内网IP网段规划:
FGT通过FortiLink+Capwap协议统一的接管FortiSW和FortiAP,为有线和无线统一进行管理和业务处理。
有线网络规划 VLAN 10 192.168.10.1
无线网络规划 员工WIFI VLAN 20 192.168.20.1
无线网络规划 访客WIFI VLAN 30 192.168.30.1
管理FortiAP VLAN 99 192.168.99.1
FortiLink互联部分规划:
FortiGate的port1和port2做聚合接口与Fortiswitch的后两个接口互联即可实现聚合接口的FortiLink管理,FGT100及以上的防火墙推荐使用聚合接口建立FortiLink,而低端型号(FGT60E)不支持聚合接口的话,则直接使用单独物理口或者硬交换机接口即可。支持聚合接口的设备就使用聚合接口对接。
配置步骤:
首先可以在命令行输入一下GUI的优化脚本:
config system settings
set inspection-mode flow
set gui-switch-controller enable
set gui-multiple-utm-profiles enable
set gui-allow-unnamed-policy enable
set gui-multiple-interface-policy enable
end
config system global
set admintimeout 30
set language simch
set timezone 55
set revision-backup-on-logout enable
end
然后正式开启FortiGate的配置:
1.配置Fortilink将fortiswitch加入到fortigate的管理
配置FortiLink实现Fortiswith上线,根据规划我们需要将FGT101E的port1和port2进行聚合,然后配置为fortilink接口。
默认101E的port1和port2属于硬交换机lan,如果要做聚合的话需要将port1和port2从LAN中移出,以便将port1和port2聚合起来。
将port1和port2移出硬交换lan:
然后可以看到单独的port1和port2接口:
配置包括port1和port2聚合接口并将其设置为FortiLink接口:
FortiLink split interface 功能说明:
FortiLink split interface 什么时候应该enable?
Split接口enabe的意思是,如果聚合接口的port1和port2分别连接了一台SW,在没有使用MCLAG的情况下(没开启堆叠功能),则聚合接口的port1和port2没办法同时UP(同时开启聚合接口无法正常工作),因此必须开启FortiLink split interface功能,让聚合接口只有一个物理接口(port1)是处于UP状态的,另外一个物理接口(port2)处于DOWN的备份状态,当port1接口状态DOWN,则Port2立即接管Port1的工作,让聚合接口的FortiLink继续运行,这是一个聚合接口在FortiLink管理时候的备份机制。
FortiLink split interface 什么时候应该disable?
如果FGT的聚合接口只接到了一台交换机上,并没有跨交换机聚合(没有MCLAG,也不需要FortiLink split interface),因此这种情况应该让聚合接口的两个物理接口port1和port2同时UP,两个接口同时工作起来,以便提供更高带宽和备份的作用。
实际上面的GUI的PortChannel-FortiLink配置包括以下几个部分:
NTP:
config system ntp // 用于FGT和FSW之间的时间同步
set ntpsync enable
set server-mode enable
set interface "PortChannel"
end
DHCP:
config system dhcp server // 用于给FortiSwitch分配IP地址,以便FGT和FSW之间的通信
edit 3
set ntp-service local
set default-gateway 169.254.1.1
set netmask 255.255.255.0
set interface "PortChannel"
config ip-range
edit 1
set start-ip 169.254.1.2
set end-ip 169.254.1.254
next
end
set vci-match enable
set vci-string "FortiSwitch"
next
end
FortiLink:
config system interface // PortChannel开启fortilink
edit "PortChannel"
set vdom "root"
set fortilink enable
set ip 169.254.1.1 255.255.255.0
set allowaccess ping capwap
set type aggregate
set member "port1" "port2"
config managed-device
edit "S248DP3W16000060" \\默认没有, 一旦管理上交换机会把交换机的序列号加入到列表中
next
end
set alias "PortChannel_FortiLink"
set snmp-index 12
set auto-auth-extension-device enable
set lacp-mode static
next
end
FGT+FSW FortiLink拓扑图接线建议:
1.配置完防火墙之后,这个时候再去接FortiGate的FortiLink到FSW的线,以及FSW之间的线,严格按照拓扑图,从核心交换机往接入交换机这样的顺序接线。
2.FSW如果以前有使用过,建议都恢复一下出厂设置,然后再加入到FortiLink。
3.FSW的后面四个接口一般都默认开启了FortiLink接口属性,如果接前面的接口可能会无法加入到FortiLink,因此FSW的FortiLink最好都使用最后面的四个接口进行接线。如果FSW接口没有开启“auto-discovery-fortilink”则需要命令行手工开启一下。
登陆到交换机上进行确认接口是否开启了fortilink:
S248DP3W16000060 # config switch interface
S248DP3W16000060 (interface) # edit port47
S248DP3W16000060 (port47) # show
config switch interface
edit "port47"
set auto-discovery-fortilink enable // 接口下又此命令的接口才可以自动加入到FortiLink中
set snmp-index 47
next
end
4.交换机之间如果接多根线,会自动进行聚合,但是FortiLink+自动聚合会花比较长的时间,建议可以先接单线,等FortiLink的拓扑较快的形成结束之后,再增加彼此之间的另外一根线,再进行自动聚合,这样效率会比较高一些。
5.接线是很重要的步骤,仔细看拓扑图,做好接口标签,不要接错。
6.接好线之后,FSW和FGT之间会自动在后台进行Fortilink&CAPWAP&MSTP&聚合接口的协商加入等操作,等Fortilink的管理结束之后,在FGT上会看到一个网站的FSW拓扑图,和我们规划的拓扑图应该是一致的,可以仔细核对接线是否正确。
查看交换机被管理的状态(自动授权):
交换机加入到 FGT的FortiLink,会先清除配置再重启,然后从standalone的状态进入到“Fortilink remote control”的状态,后续所有的配置都通过FortiGate下发即可。
还可以给交换机命名一个名字,如果交换机很多的话,规划好的命名可以有效的迅速找到交换机的位置:
2.配置内网规划的VLAN、WIFI配置等
内网IP网段规划:
FGT通过FortiLink+Capwap协议统一的接管FortiSW和FortiAP,为有线和无线统一进行管理和业务处理。
有线网络规划 VLAN 10 192.168.10.1
无线网络规划 员工WIFI VLAN 20 192.168.20.1
无线网络规划 访客WIFI VLAN 30 192.168.30.1
管理FortiAP VLAN 192.168.99.1
VLAN创建完毕。
接下来就是为交换机接口分配VLAN了。交换机的port1接的fortiap,用于无线测试、port10接的一台有线测试PC。
port1---接FortiAP,FortiAP的部署方式为桥模式部署。
而交换机接AP的port1的VLAN的划分是这样的:
接口类型配置为trunk类型:
本地vlan(native vlan)设置为vlan99,fortiap的管理相当于使用不打vlan-tag的vlan 99(native vlan默认是vlan1,手工配置的vlan99作为管理VLAN,因此只需要将native设置为vlan99即可),此VLAN用于FGT管理FortiAP。
另外trunk需要允许 VLAN20和VLAN30,VLAN20用于WIFI-STAFF的SSID用户,VLAN30用于WIFI-GUEST的SSID用户。
port10---接具体的物理PC,因此只需要将Port10设置为access口,分配VLAN10即可,用fortiswitch的概念来说就是将native vlan设置为vlan10即可,native vlan不打vlan-tag,相当于就是设置接口为access vlan10。
宗上,交换机具体接口配置如下:
3.无线的配置
FortiAP会通过VLAN99的DHCP获取到192.168.99.0/24网段的IP地址,同时VLAN99的接口又开启的CAPWAP协议,激活了FGT的无线管理功能,这时候FortiAP会自动找到FGT进行注册。因此在FortiAP管理的地方可以看到这个FortiAP的信息。(如果没有看到检查配置,并将AP恢复出厂,让AP重新获取IP地址并发起注册)
同样也推荐给FortiAP起一个名字,方便快速定位FortiAP的位置:
配置WIFI:
规划 SSID:FORTINET-WIFI-STAFF VLAN20 用于员工WIFI使用
规划 SSID:FORTINET-WIFI-GUEST VLAN30 用于访客WIFI使用
将SSID关联到FortiAP上,然后让FortiAP发布无线SSID信号,这样用户就可以通过SSID连接到无线了:
桥模式的SSID需要在fortiap配置文件里面手工指定一下:
然后FortiAP会自动关联到这个FortiAP配置文件里面的内容,发起SSID的信号:
OK,到此为止,内网规划的VLAN和无线全部配置完毕。
4.外网部分规划的SD-WAN配置
外网IP网段规划:
WAN1 联通出口 IP 202.100.1.21 GW 202.100.1.192
WAN2 电信出口 IP 101.100.1.21 GW 101.100.1.192
WAN1和WAN2合并成SD-WAN接口。
将WAN1和WAN2加入到SD-WAN接口组:
添加SD-WAN的默认路由:
配置SD-WAN的健康检查,以便WAN1和WAN2相互备份和切换:
SD-WAN规则保持默认的按照源IP负载均衡即可:
外网规划的部分(SD-WAN部分)配置完毕。
5.FortiGate安全策略配置
需求与规划:
1.员工的有线与无线都需要访问互联网
2.访客的无线仅仅可以访问互联网
建议将防火墙的接口划分区域,以区域的方式配置策略,有时候可以做到简化配置的目的,甚至未来替换设备的时候,策略的备份和还原也会更加简单一些。
规划区域两个区域:
员工网络-Zone:包括员工的有线VLAN10和员工的无线VLAN20 (Zone之间的隔离关闭,这样VLAN10和VLAN20之间的数据可通)
访问网络-Zone:包括访问的无线VLAN30
SD-WAN外网接口自成一个接口集(类似于Zone的感觉)
这样的话只需要配置两条策略,就可以实现我们规划的需求:
Staff-Zone到SD-WAN的策略
Guest-Zone到SD-WAN的策略
即可
所有配置完毕。
结果查看和测试:
FortiLink管理结果查看:
FortiAP管理结果查看:
有线用户接入和无线用户接入:
整网拓扑信息可视化。
FortiView可视化:
流量日志(需要有硬盘,尽量不要记录流量日志,量太大了,建议使用FAZ存储和分析流量日志)
监控器信息:
聚合接口Port1&Port2的UP/DOWN切换测试:
在我们的这个场景下聚合接口的Port1和Port2是同时UP起来的,如果Port1或Port2 DOWN(不能同时DOWN),是否有影响业务呢?
经过测试:
DOWN port1 或 port2 丢包1个或者不丢包:
