FortiLink 介绍

FortiLink是防火墙和被管理的交换机之间的通讯协议
Fortinet的私有协议, FGT基于FortiLink来管理FSW
FortiLink 链路承载了FSW/FAP和FGT之间的通讯报文以及用户业务数据报文(FortiLink报文 + CAPWAP控制报文+ 真实业务流量)



真实环境组网图:







FGT和FSW之间的FortiLink建立过程与报文交互:


CAPWAP 交互过程记录 --- 三层报文, UDP Port 5246:


Keep Alive   --- FGT侧
FGT对于 FortiLink状态的健康:
FGT和FSW各自使用不同的Keep alive机制, FGT使用基于CAPWAP机制的Keep Alive
FGT 每30秒发送一次REQ_MSG给FSW, 如果没有收到RSP, 则重传6次,如果重传6次都没有成功, 则认为FSW掉线



Keep Alive   --- FSW侧
FSW对于 FortiLink状态的健康:
1.FSW会实时监控Fortilink的物理端口状态, 如果端口down, 则FSW认为FortiLink down

2.FortiLink down后, FSW会继续尝试与FGT建立FortiLink, 每3秒发送一次FortiLink Discovery报文,如果由于链路原因没有收到FGT返回的应答, FSW默认有一个30秒的超时时间, 超过此时间, 则FSW认为FortiLink down. FSW会继续尝试与FGT建立FortiLink, 重复FSW重新上线过程,包括重新CAPWAP协商。

FSW对于CAPWAP的监控:
1.switch 每30秒发送一次echo request 并等待echo response
2.如果连续10个echo 没有response, 则重置CAPWAP状态,交换机认为自己掉线,即capwap超时时间300秒
3.每次FortiLink重新建立后, 如果当前CAPWAP状态为RUN,会重新开始CAPWAP进程


FSW与FGT的FortiLink 链路断了后会发生什么?

1.FSW继续使用当前的配置工作,本地转发的数据继续转发
2.如果此时重启FSW, FSW重启后会继续使用重启之前的配置工作, 本地转发的数据继续转发
3.如果FSW在与FGT断了后, 被别的FGT发现并授权, 此时FSW不会再重启,但会丢弃之前在旧FGT上获得的配置,重新从新的FGT上获取配置;这种情况下,FSW从一个FGT手动切换到另外一个FGT上, 最好先清一下配置
4.如果FSW掉线后,在FSW上如果又修改了配置后, 在FSW重新上线后,FGT会重新下发配置, 之前在FSW上修改的配置会被丢弃