环形组网配置组网举例
拓扑图
需求说明:
FortiGate FortiGate-101E v6.0.8 *2
FortiSwitch:FortiSwitch v3.6.9* 4
FortiAP:FP221C-v6.0-build5017 * 1
FGT运行HA-Cluster,核心交换和接入交换机采用全聚合接口(FSW全自动聚合,接线即可,无需手工配置聚合接口)对接的星型组网结构。
整体规划:
FortiGate HA-Cluster部署
HA独立管理口:
FGT101E_Master_379 mgmt:192.168.91.21
FGT101E_Slave_045 mgmt:192.168.91.22
外网IP网段规划:
WAN1 联通出口 IP 202.100.1.21 GW 202.100.1.192
WAN2 电信出口 IP 101.100.1.21 GW 101.100.1.192
WAN1和WAN2合并成SD-WAN接口。
内网IP网段规划:
FGT通过FortiLink+Capwap协议统一的接管FortiSW和FortiAP,为有线和无线统一进行管理和业务处理。
有线网络规划 VLAN 10 192.168.10.1
无线网络规划 员工WIFI VLAN 20 192.168.20.1
无线网络规划 访客WIFI VLAN 30 192.168.30.1
管理FortiAP VLAN99 192.168.99.1
FortiLink互联部分规划:
FortiGate的port1和port2做聚合接口与Fortiswitch的后两个接口互联即可实现聚合接口的FortiLink管理,FGT100及以上的防火墙推荐使用聚合接口建立FortiLink,而低端型号(FGT60E)不支持聚合接口的话,则直接使用单独物理口或者硬交换机接口即可。支持聚合接口的设备就使用聚合接口对接。
配置步骤:
首先可以在命令行输入一下GUI的优化脚本:
config system settings
set inspection-mode flow
set gui-switch-controller enable
set gui-multiple-utm-profiles enable
set gui-allow-unnamed-policy enable
set gui-multiple-interface-policy enable
end
config system global
set admintimeout 30
set language simch
set timezone 55
set revision-backup-on-logout enable
end
FG101E4Q17000379 # config system global
FG101E4Q17000379 (global) # set hostname FGT101E_Master_379 // 修改主FGT的名字
FG101E4Q17000379 (global) # end
FGT101E_Master_379 #
FG101E4Q17000045 # config system global
FG101E4Q17000045 (global) # set hostname FGT101E_Slave_045 // 修改备FGT的名字
FG101E4Q17000045 (global) # end
FGT101E_Slave_045 #
1.配置FortiGate*2的HA-Cluster,并配置独立管理口
初始化配置防火墙的时候可以通过mgmt口登陆到防火墙上,一般mgmt口的管理IP是192.168.1.99,第一步可以通过此IP登陆防火墙,或者通过console口管理防火墙。具体型号初始化如果网管和接口的网管IP信息等可参考链接:https://docs.fortinet.com/product/fortigate/hardware 和 https://docs.fortinet.com/document/fortigate/hardware/fortigate-quickstart-guide-high-end?model=all
举例FGT1500D:
按照以上方式登陆第一次开箱的防火墙。先登陆主防火墙,并配置进行HA的基础配置,然后登陆到备防火墙,配置备防火墙的HA基础配置。
分别配置主防火墙和备防火墙的HA,主防火墙优先级调整为150,备防火墙的优先级保持默认的120,配置HA-cluster组名字和密码,监控业务接口wan1和wan2,还有独立管理配置,都配置完毕之后,最后使用HA1和HA2接口互联。双方的HA配置完毕之后将ha1和ha2线相互直连,将会进行HA的选举,此时优先级150高的FGT将成为主防火墙,优先级低的120的FGT将成为备防火墙,然后备防火墙的配置将会和主防火墙进行同步,后续备防火墙所有业务配置都会和主防火墙保持一致。
要注意如果mgmt有关联的配置,则独立管理口不能选择mgmt,比如mgmt默认配置DHCP,则需要把dhcp相关的功能先去掉。
删除相关mgmt的关联配置之后,才可以将mgmt接口指定为独立管理口。
然后正式开始配置防火墙HA和独立管理口,GUI配置:
然后分别配置主备防火墙独立管控接口mgmt的管理IP:(主防火墙mgmt设置为192.168.91.21,备防火墙mgmt设置为192.168.91.22)
然后可以将两台FGT的HA1和HA2接口互联。
双方的HA配置完毕之后将ha1和ha2接口的线相互直连,此时将会进行HA的选举,优先级高150的FGT将成为主防火墙,优先级低的120的FGT将成为备防火墙,然后备防火墙的配置将会和主防火墙进行自动同步,后续备防火墙所有业务配置都会和主防火墙保持一致。
主备防火墙的HA命令行配置:
主防火墙HA和独立管理口配置:
FGT101E_Master_379 # config system ha
FGT101E_Master_379 (ha) # show
config system ha
set group-name "FGT-101E"
set mode a-p
set password ENC H+BH4klVwfNNlDtkxyVS0Cj+dMtB/Lnut0dQHYGb1SSAcNsiOf1nS41NhMU3zOfgAzvLtReupgoRQAp4aZ22OKHkfCn5TNXHQ5IduVWgL1Ys5Cg6eB7aN2WBd4sP34wI2ZQ+rRRvOIXRmB97AdRxG05IlPrVpViwjZEAjGFaZMLqDw4UY3+HjWlEJ4fhwloqKbqEwg==
set hbdev "ha1" 0 "ha2" 0
set session-pickup enable
set ha-mgmt-status enable
config ha-mgmt-interfaces
edit 1
set interface "mgmt"
set gateway 192.168.91.254
next
end
set override disable
set priority 150
set monitor "wan1" "wan2"
end
FGT101E_Master_379 # config system interface
FGT101E_Master_379 (interface) # edit mgmt
FGT101E_Master_379 (mgmt) # show
config system interface
edit "mgmt"
set ip 192.168.91.21 255.255.255.0
set allowaccess ping https ssh http fgfm
set type physical
set dedicated-to management
set role lan
set snmp-index 2
next
end
FGT101E_Master_379 (mgmt) # end
FGT101E_Master_379 #
备防火墙HA和独立管理口配置:
FGT101E_Slave_045 # config system ha
FGT101E_Slave_045 (ha) # show
config system ha
set group-name "FGT-101E"
set mode a-p
set password ENC GFTs2PeJ3PN+K7Yqhtei7SabkDQa+MlqWnW6lFR2FXMRulhBnbb+XWGfMINp5KHcqHYkXUzDIezETQl7vMjZi+NdAmdAgV2axOTiUdY7vvtrky0fdYODAZRzU2QrwY9V9421+EyPw9qwGDUwwLysnxQStoiEQLIoy8/iK7VKASH60Dok8vjYL0z1WASkhXFm/lb1xA==
set hbdev "ha1" 0 "ha2" 0
set session-pickup enable
set ha-mgmt-status enable
config ha-mgmt-interfaces
edit 1
set interface "mgmt"
set gateway 192.168.91.254
next
end
set override disable
set priority 120
set monitor "wan1" "wan2"
end
FGT101E_Slave_045 (ha) # end
FGT101E_Slave_045 #
FGT101E_Slave_045 # config system interface
FGT101E_Slave_045 (interface) # edit mgmt
FGT101E_Slave_045 (mgmt) # show
config system interface
edit "mgmt"
set ip 192.168.91.22 255.255.255.0
set allowaccess ping https ssh http fgfm
set type physical
set dedicated-to management
set role lan
set snmp-index 2
next
end
FGT101E_Slave_045 (mgmt) # end
FGT101E_Slave_045 #
配置完毕之后,直连接上ha1、ha2的心跳线,ha将会进行选举,选举结果如下:
FGT101E_Master_379 # diagnose sys ha status
HA information
Statistics
traffic.local = s:0 p:21648 b:6221516
traffic.total = s:0 p:21898 b:6259283
activity.fdb = c:0 q:0
Model=100, Mode=2 Group=0 Debug=0
nvcluster=1, ses_pickup=1, delay=0
[Debug_Zone HA information]
HA group member information: is_manage_master=1.
FG101E4Q17000379: Master, serialno_prio=0, usr_priority=150, hostname=FGT101E_Master_379
FG101E4Q17000045: Slave, serialno_prio=1, usr_priority=120, hostname=FGT101E_Slave_045
[Kernel HA information]
vcluster 1, state=work, master_ip=169.254.0.1, master_id=0:
FG101E4Q17000379: Master, ha_prio/o_ha_prio=0/0
FG101E4Q17000045: Slave, ha_prio/o_ha_prio=1/1
这三个命令都可以看到HA的选举结果和HA状态:
# diagnose sys ha status
# get system status
# get system ha status
GUI查看HA的选举结果和状态:
确认HA状态正常,确认HA独立管理工作正常。后续所有的配置可以都在主防火墙上完成,配置会自动同步到备防火墙,备防火墙可以登录GUI上去查看状态等信息,无需配置。
2.配置Fortilink将fortiswitch加入到fortigate的管理
配置FortiLink实现Fortiswith上线,根据规划我们需要将FGT101E的port1和port2进行聚合,然后配置为fortilink接口。
默认101E的port1和port2属于硬交换机lan,如果要做聚合的话需要将port1和port2从LAN中移出,以便将port1和port2聚合起来。
将port1和port2移出硬交换lan:
然后可以看到单独的port1和port2接口:
配置包括port1和port2两个物理接口的聚合接口并将其设置为FortiLink接口:
FortiLink split interface 功能说明:
FortiLink split interface 什么时候应该enable?
Split接口enabe的意思是,如果聚合接口的port1和port2分别连接了一台SW,在没有使用MCLAG的情况下(没开启堆叠功能),则聚合接口的port1和port2没办法同时UP(同时开启聚合接口无法正常工作),因此必须开启FortiLink split interface功能,让聚合接口只有一个物理接口(port1)是处于UP状态的,另外一个物理接口(port2)处于DOWN的备份状态,当port1接口状态DOWN,则Port2立即接管Port1的工作,让聚合接口的FortiLink继续运行,这是一个聚合接口在FortiLink管理时候的备份机制。
FortiLink split interface 什么时候应该disable?
如果FGT的聚合接口只接到了一台交换机上,并没有跨交换机聚合(没有MCLAG,也不需要FortiLink split interface),因此这种情况应该让聚合接口的两个物理接口port1和port2同时UP,两个接口同时工作起来,以便提供更高带宽和备份的作用。
实际上面的GUI的PortChannel-FortiLink配置包括以下几个部分:
NTP:
config system ntp // 用于FGT和FSW之间的时间同步
set ntpsync enable
set server-mode enable
set interface "PortChannel"
end
DHCP:
config system dhcp server // 用于给FortiSwitch分配IP地址,以便FGT和FSW之间的通信
edit 3
set ntp-service local
set default-gateway 169.254.1.1
set netmask 255.255.255.0
set interface "PortChannel"
config ip-range
edit 1
set start-ip 169.254.1.2
set end-ip 169.254.1.254
next
end
set vci-match enable
set vci-string "FortiSwitch"
next
end
FortiLink:
config system interface // PortChannel开启fortilink
edit "PortChannel"
set vdom "root"
set fortilink enable
set ip 169.254.1.1 255.255.255.0
set allowaccess ping capwap
set type aggregate
set member "port1" "port2"
config managed-device \\默认没有, 一旦管理上交换机会把交换机的序列号加入到列表中
edit "S248DP3W16000061"
next
edit "FS1D243Z17000085"
next
edit "S248DP3W16000060"
next
edit "FS1D24T418000339"
next
end
set alias "PortChannel_FortiLink"
set snmp-index 12
set auto-auth-extension-device enable
set lacp-mode static
next
end
FGT+FSW FortiLink拓扑图接线建议:
1.配置完防火墙之后,这个时候再去接FortiGate的FortiLink到FSW的线,以及FSW之间的线,严格按照拓扑图,从核心交换机往接入交换机这样的顺序接线。
2.FSW如果以前有使用过,建议都恢复一下出厂设置,然后再加入到FortiLink。
3.FSW的后面四个接口一般都默认开启了FortiLink接口属性,如果接前面的接口可能会无法加入到FortiLink,因此FSW的FortiLink最好都使用最后面的四个接口进行接线。如果FSW接口没有开启“auto-discovery-fortilink”则需要命令行手工开启一下。
登陆到交换机上进行确认接口是否开启了fortilink:
S248DP3W16000060 # config switch interface
S248DP3W16000060 (interface) # edit port47
S248DP3W16000060 (port47) # show
config switch interface
edit "port47"
set auto-discovery-fortilink enable // 接口下有此命令的接口才可以自动加入到FortiLink中
set snmp-index 47
next
end
4.交换机之间如果接多根线,会自动进行聚合,但是FortiLink+自动聚合会花比较长的时间,建议可以先接单线,等FortiLink的拓扑较快的形成结束之后,再增加彼此之间的另外一根线,再进行自动聚合,这样效率会比较高一些。不这样操作也没事,稍微慢一点而已。
5.接线是很重要的步骤,仔细看拓扑图,做好接口标签,不要接错。
6.接好线之后,FSW和FGT之间会自动在后台进行Fortilink&CAPWAP&MSTP&聚合接口的协商加入等操作,等Fortilink的管理结束之后,在FGT上会看到一个网站的FSW拓扑图,和我们规划的拓扑图应该是一致的,应该再次仔细核对接线是否正确。
查看交换机被管理的状态(自动授权):
交换机加入到 FGT的FortiLink,会先清除配置再重启,然后从Standalone的状态进入到“Fortilink remote control”的状态,FSW后续所有的配置都通过FortiGate下发即可。
FSW1和FSW2之间接多根线进行FortiLink互联,会默认自动聚合。其实接一根网线也是聚合的,只是聚合组里面只有一个接口而已,因此多根网线直连,这些多根直连的线都会自动加入到一个聚合接口里面(注意不能跨交换机,跨交换机的聚合是MCLAG):
FS1D24T418000339 # config switch trunk
FS1D24T418000339 (trunk) # show
config switch trunk
edit "D243Z17000085-0"
set mode lacp-active
set auto-isl 1
set members "port17" "port18"
next
edit "8DP3W16000060-0"
set mode lacp-active
set auto-isl 1
set members "port21" "port22"
next
edit "__FoRtI1LiNk0__"
set members "port24" "port23"
next
end
FS1D24T418000339 (trunk) # end
FortiLink之间的交换机互联,如果不用MCLAG的话,本质上是MSTP(多实例生成树)在整网统一的进行接口环路计算,从而实现网络的备份,与快速收敛恢复。
可以通过FGT的命令行界面用Telent/SSH到FSW上并分别查看四台FSW的STP状态:
FGT101E_Master_379 # execute telnet 169.254.1.2
Trying 169.254.1.2...
Connected to 169.254.1.2.
FS1D24T418000339 login: admin
Password:
No entry for terminal type "network";
using dumb terminal settings.
Notice: This switch is currently under Fortilink remote control. Local changes to the
system NOT recommended and may cause an inconsistency and/or disconnect from
the FortiGate.
Welcome !
FS1D24T418000339 #
FS1D24T418000339 #
FS1D24T418000339 # diagnose stp instance list // 主核心交换机“FS1D24T418000339”上查看STP的状态
MST Instance Information, primary-Channel:
Instance ID 0 (CST)
Config Priority 24576
Bridge MAC 704ca5e28210, MD5 Digest 9999b43d77cc58bba8854f9991c4a487 // Bridge MAC 704ca5e28210
Root MAC 704ca5e28210, Priority 24576, Path Cost 0, Remaining Hops 20 // Root MAC 704ca5e28210 直连主FGT的FSW会自动将网桥优先级降低到:Priority 24576,(默认都是28672)因此整个FortiLink二层网络中,自己就是根网桥。
(This bridge is the root)
Regional Root MAC 704ca5e28210, Priority 24576, Path Cost 0
(This bridge is the regional root)
Active Times Forward Time 15, Max Age 20, Remaining Hops 20
TCN Events Triggered 17, Received 159
Port Speed Cost Priority Role State HelloTime Flags
________________ ______ _________ _________ ___________ __________ _________ _______________
port1 - 200000000 128 DISABLED DISCARDING 2 EN ED
port2 - 200000000 128 DISABLED DISCARDING 2 EN ED
port3 - 200000000 128 DISABLED DISCARDING 2 EN ED
port4 - 200000000 128 DISABLED DISCARDING 2 EN ED
port5 - 200000000 128 DISABLED DISCARDING 2 EN ED
port6 - 200000000 128 DISABLED DISCARDING 2 EN ED
port7 - 200000000 128 DISABLED DISCARDING 2 EN ED
port8 - 200000000 128 DISABLED DISCARDING 2 EN ED
port9 - 200000000 128 DISABLED DISCARDING 2 EN ED
port10 - 200000000 128 DISABLED DISCARDING 2 EN ED
port11 - 200000000 128 DISABLED DISCARDING 2 EN ED
port12 - 200000000 128 DISABLED DISCARDING 2 EN ED
port13 - 200000000 128 DISABLED DISCARDING 2 EN ED
port14 - 200000000 128 DISABLED DISCARDING 2 EN ED
port15 - 200000000 128 DISABLED DISCARDING 2 EN ED
port16 - 200000000 128 DISABLED DISCARDING 2 EN ED
port19 - 200000000 128 DISABLED DISCARDING 2 EN ED
port20 - 200000000 128 DISABLED DISCARDING 2 EN ED
internal 1G 20000 128 DESIGNATED FORWARDING 2 ED
D243Z17000085-0 20G 1 128 DESIGNATED FORWARDING 2 EN // 和序列号085结尾的FSW互联的自动生成的聚合接口,STP为指定接口,转发状态
8DP3W16000060-0 2G 1 128 DESIGNATED FORWARDING 2 EN // 和序列号060结尾的FSW互联的自动生成的聚合接口,STP为指定接口,转发状态
__FoRtI1LiNk0__ 2G 10000 128 DESIGNATED FORWARDING 2 ED //与主FortiGate_FortiLink互联的自动生成的聚合接口,STP为指定接口,转发状态
Flags: EN(STP enable), ED(Edge), LP(Loop Protection), RG(Root Guard Triggered), BG(BPDU Guard Triggered)
Instance ID 15
Config Priority 24576, VLANs 4094
Bridge MAC 704ca5e28210, MD5 Digest 9999b43d77cc58bba8854f9991c4a487
Regional Root MAC 704ca5e28210, Priority 24576, Path Cost 0
(This bridge is the regional root)
TCN Events Triggered 16, Received 87
Port Speed Cost Priority Role State Flags
________________ ______ _________ _________ ___________ __________ _______________
internal 1G 20000 128 DESIGNATED FORWARDING ED
D243Z17000085-0 20G 1 128 DESIGNATED FORWARDING EN
8DP3W16000060-0 2G 1 128 DESIGNATED FORWARDING EN
__FoRtI1LiNk0__ 2G 10000 128 DESIGNATED FORWARDING ED
Flags: EN(STP enable), ED(Edge), LP(Loop Protection), RG(Root Guard Triggered), BG(BPDU Guard Triggered)
FS1D243Z17000085 # diagnose stp instance list // 备核心交换机“FS1D243Z17000085”上查看STP的状态
MST Instance Information, primary-Channel:
Instance ID 0 (CST)
Config Priority 28672 // 自己的优先级
Bridge MAC 704ca54959ac, MD5 Digest 9999b43d77cc58bba8854f9991c4a487 // 自己的MAC
Root MAC 704ca5e28210, Priority 24576, Path Cost 0, Remaining Hops 19 // 根网桥的MAC和根网桥的优先级,根网桥优先级低
Regional Root MAC 704ca5e28210, Priority 24576, Path Cost 1, Root Port D24T418000339-0 // 互联根网桥的信息:根网桥MAC 704ca5e28210,根网桥优先级 24576,互联根网桥的接口 D24T418000339-0
Active Times Forward Time 15, Max Age 20, Remaining Hops 19
TCN Events Triggered 10, Received 13
Port Speed Cost Priority Role State HelloTime Flags
port1 - 200000000 128 DISABLED DISCARDING 2 EN ED
port2 - 200000000 128 DISABLED DISCARDING 2 EN ED
port3 - 200000000 128 DISABLED DISCARDING 2 EN ED
port4 - 200000000 128 DISABLED DISCARDING 2 EN ED
port5 - 200000000 128 DISABLED DISCARDING 2 EN ED
port6 - 200000000 128 DISABLED DISCARDING 2 EN ED
port7 - 200000000 128 DISABLED DISCARDING 2 EN ED
port8 - 200000000 128 DISABLED DISCARDING 2 EN ED
port9 - 200000000 128 DISABLED DISCARDING 2 EN ED
port10 - 200000000 128 DISABLED DISCARDING 2 EN ED
port11 - 200000000 128 DISABLED DISCARDING 2 EN ED
port12 - 200000000 128 DISABLED DISCARDING 2 EN ED
port13 - 200000000 128 DISABLED DISCARDING 2 EN ED
port14 - 200000000 128 DISABLED DISCARDING 2 EN ED
port15 - 200000000 128 DISABLED DISCARDING 2 EN ED
port16 - 200000000 128 DISABLED DISCARDING 2 EN ED
port19 - 200000000 128 DISABLED DISCARDING 2 EN ED
port20 - 200000000 128 DISABLED DISCARDING 2 EN ED
internal 1G 20000 128 DESIGNATED FORWARDING 2 ED
D24T418000339-0 20G 1 128 ROOT FORWARDING 2 EN // 接主核心交换机,STP为根接口,转发状态
8DP3W16000061-0 2G 1 128 DESIGNATED FORWARDING 2 EN // 和序列号061结尾的FSW互联的自动生成的聚合接口,STP为指定接口,转发状态
__FoRtI1LiNk0__ 2G 10000 128 DESIGNATED FORWARDING 2 ED //与备FortiGate_FortiLink互联的自动生成的聚合接口,STP为指定接口,转发状态
>>> port23 STP state DISCARDING mismatches trunk `__FoRtI1LiNk0__`: Active members in HW: // 实际的物理接口port23为DISCARDING状态,因为备防火墙处于备份状态,不发送任何数据。这是一个fortilink的备份出口。
>>> port24 STP state DISCARDING mismatches trunk `__FoRtI1LiNk0__`: Active members in HW: // 实际的物理接口port24为DISCARDING状态,因为备防火墙处于备份状态,不发送任何数据。这是一个fortilink的备份出口。
Flags: EN(STP enable), ED(Edge), LP(Loop Protection), RG(Root Guard Triggered), BG(BPDU Guard Triggered)
Instance ID 15
Config Priority 28672, VLANs 4094
Bridge MAC 704ca54959ac, MD5 Digest 9999b43d77cc58bba8854f9991c4a487
Regional Root MAC 704ca5e28210, Priority 24576, Path Cost 1, Root Port D24T418000339-0
TCN Events Triggered 10, Received 79
Port Speed Cost Priority Role State Flags
________________ ______ _________ _________ ___________ __________ _______________
internal 1G 20000 128 DESIGNATED FORWARDING ED
D24T418000339-0 20G 1 128 ROOT FORWARDING EN
8DP3W16000061-0 2G 1 128 DESIGNATED FORWARDING EN
__FoRtI1LiNk0__ 2G 10000 128 DESIGNATED FORWARDING ED
>>> port23 STP state DISCARDING mismatches trunk `__FoRtI1LiNk0__`: Active members in HW:
>>> port24 STP state DISCARDING mismatches trunk `__FoRtI1LiNk0__`: Active members in HW:
Flags: EN(STP enable), ED(Edge), LP(Loop Protection), RG(Root Guard Triggered), BG(BPDU Guard Triggered)
S248DP3W16000060 # diagnose stp instance list // 接入交换机“S248DP3W16000060”上查看STP的状态
MST Instance Information, primary-Channel:
Instance ID 0 (CST)
Config Priority 28672 // 自己的网桥优先级
Bridge MAC 906caca3f1c2, MD5 Digest 9999b43d77cc58bba8854f9991c4a487 Bridge MAC 906caca3f1c2 自己的MAC
Root MAC 704ca5e28210, Priority 24576(根网桥优先级), Path Cost 0, Remaining Hops 19 Root MAC 704ca5e28210 根网桥的MAC,也就是核心交换机“FS1D24T418000339”的MAC
Regional Root MAC 704ca5e28210, Priority 24576, Path Cost 2, Root Port D24T418000339-0 // 互联根网桥的信息:根网桥MAC 704ca5e28210,根网桥优先级 24576,互联根网桥的接口 D24T418000339-0
Active Times Forward Time 15, Max Age 20, Remaining Hops 19
TCN Events Triggered 25, Received 141
Port Speed Cost Priority Role State HelloTime Flags
________________ ______ _________ _________ ___________ __________ _________ _______________
port1 - 200000000 128 DISABLED DISCARDING 2 EN ED
port2 - 200000000 128 DISABLED DISCARDING 2 EN ED
port3 - 200000000 128 DISABLED DISCARDING 2 EN ED
port4 - 200000000 128 DISABLED DISCARDING 2 EN ED
port5 - 200000000 128 DISABLED DISCARDING 2 EN ED
port6 - 200000000 128 DISABLED DISCARDING 2 EN ED
port7 - 200000000 128 DISABLED DISCARDING 2 EN ED
port8 - 200000000 128 DISABLED DISCARDING 2 EN ED
port9 - 200000000 128 DISABLED DISCARDING 2 EN ED
port10 1G 20000 128 DESIGNATED FORWARDING 2 EN
port11 - 200000000 128 DISABLED DISCARDING 2 EN ED
port12 - 200000000 128 DISABLED DISCARDING 2 EN ED
port13 - 200000000 128 DISABLED DISCARDING 2 EN ED
port14 - 200000000 128 DISABLED DISCARDING 2 EN ED
port15 - 200000000 128 DISABLED DISCARDING 2 EN ED
port16 - 200000000 128 DISABLED DISCARDING 2 EN ED
port17 - 200000000 128 DISABLED DISCARDING 2 EN ED
port18 - 200000000 128 DISABLED DISCARDING 2 EN ED
port19 - 200000000 128 DISABLED DISCARDING 2 EN ED
port20 - 200000000 128 DISABLED DISCARDING 2 EN ED
port21 - 200000000 128 DISABLED DISCARDING 2 EN ED
port22 - 200000000 128 DISABLED DISCARDING 2 EN ED
port23 - 200000000 128 DISABLED DISCARDING 2 EN ED
port24 - 200000000 128 DISABLED DISCARDING 2 EN ED
port25 - 200000000 128 DISABLED DISCARDING 2 EN ED
port26 - 200000000 128 DISABLED DISCARDING 2 EN ED
port27 - 200000000 128 DISABLED DISCARDING 2 EN ED
port28 - 200000000 128 DISABLED DISCARDING 2 EN ED
port29 - 200000000 128 DISABLED DISCARDING 2 EN ED
port30 - 200000000 128 DISABLED DISCARDING 2 EN ED
port31 - 200000000 128 DISABLED DISCARDING 2 EN ED
port32 - 200000000 128 DISABLED DISCARDING 2 EN ED
port33 - 200000000 128 DISABLED DISCARDING 2 EN ED
port34 - 200000000 128 DISABLED DISCARDING 2 EN ED
port35 - 200000000 128 DISABLED DISCARDING 2 EN ED
port36 - 200000000 128 DISABLED DISCARDING 2 EN ED
port37 - 200000000 128 DISABLED DISCARDING 2 EN ED
port38 - 200000000 128 DISABLED DISCARDING 2 EN ED
port39 - 200000000 128 DISABLED DISCARDING 2 EN ED
port40 - 200000000 128 DISABLED DISCARDING 2 EN ED
port41 - 200000000 128 DISABLED DISCARDING 2 EN ED
port42 - 200000000 128 DISABLED DISCARDING 2 EN ED
port43 - 200000000 128 DISABLED DISCARDING 2 EN ED
port44 - 200000000 128 DISABLED DISCARDING 2 EN ED
port49 - 200000000 128 DISABLED DISCARDING 2 EN ED
port50 - 200000000 128 DISABLED DISCARDING 2 EN ED
internal 1G 20000 128 DESIGNATED FORWARDING 2 ED
D24T418000339-0 2G 1 128 ROOT FORWARDING 2 EN // 接主核心交换机,STP为根接口,转发状态
8DP3W16000061-0 2G 1 128 DESIGNATED FORWARDING 2 EN // 接备交换机061,STP为指定接口,转发状态
Flags: EN(STP enable), ED(Edge), LP(Loop Protection), RG(Root Guard Triggered), BG(BPDU Guard Triggered)
Instance ID 15
Config Priority 28672, VLANs 4094
Bridge MAC 906caca3f1c2, MD5 Digest 9999b43d77cc58bba8854f9991c4a487
Regional Root MAC 704ca5e28210, Priority 24576, Path Cost 1, Root Port D24T418000339-0
TCN Events Triggered 33, Received 170
Port Speed Cost Priority Role State Flags
________________ ______ _________ _________ ___________ __________ _______________
internal 1G 20000 128 DESIGNATED FORWARDING ED
D24T418000339-0 2G 1 128 ROOT FORWARDING EN
8DP3W16000061-0 2G 1 128 DESIGNATED FORWARDING EN
Flags: EN(STP enable), ED(Edge), LP(Loop Protection), RG(Root Guard Triggered), BG(BPDU Guard Triggered)
S248DP3W16000061 # diagnose stp instance list // 接入交换机“S248DP3W16000061”上查看STP的状态
MST Instance Information, primary-Channel:
Instance ID 0 (CST)
Config Priority 28672 // 自己的网桥优先级
Bridge MAC 906caca3f1f6, MD5 Digest 9999b43d77cc58bba8854f9991c4a487 Bridge MAC 906caca3f1f6 自己的MAC
Root MAC 704ca5e28210, Priority 24576, Path Cost 0, Remaining Hops 18 // Root MAC 704ca5e28210 根网桥的MAC,也就是核心交换机“FS1D24T418000339”的MAC
Regional Root MAC 704ca5e28210, Priority 24576, Path Cost 2, Root Port D243Z17000085-0 // 互联根网桥的信息:根网桥MAC 704ca5e28210,根网桥优先级 24576,互联根网桥的接口 D243Z17000085-0
Active Times Forward Time 15, Max Age 20, Remaining Hops 18
TCN Events Triggered 52, Received 258
Port Speed Cost Priority Role State HelloTime Flags
________________ ______ _________ _________ ___________ __________ _________ _______________
port1 1G 20000 128 DESIGNATED FORWARDING 2 EN ED
port2 - 200000000 128 DISABLED DISCARDING 2 EN ED
port3 - 200000000 128 DISABLED DISCARDING 2 EN ED
port4 - 200000000 128 DISABLED DISCARDING 2 EN ED
port5 - 200000000 128 DISABLED DISCARDING 2 EN ED
port6 - 200000000 128 DISABLED DISCARDING 2 EN ED
port7 - 200000000 128 DISABLED DISCARDING 2 EN ED
port8 - 200000000 128 DISABLED DISCARDING 2 EN ED
port9 - 200000000 128 DISABLED DISCARDING 2 EN ED
port10 - 200000000 128 DISABLED DISCARDING 2 EN ED
port11 - 200000000 128 DISABLED DISCARDING 2 EN ED
port12 - 200000000 128 DISABLED DISCARDING 2 EN ED
port13 - 200000000 128 DISABLED DISCARDING 2 EN ED
port14 - 200000000 128 DISABLED DISCARDING 2 EN ED
port15 - 200000000 128 DISABLED DISCARDING 2 EN ED
port16 - 200000000 128 DISABLED DISCARDING 2 EN ED
port17 - 200000000 128 DISABLED DISCARDING 2 EN ED
port18 - 200000000 128 DISABLED DISCARDING 2 EN ED
port19 - 200000000 128 DISABLED DISCARDING 2 EN ED
port20 - 200000000 128 DISABLED DISCARDING 2 EN ED
port21 - 200000000 128 DISABLED DISCARDING 2 EN ED
port22 - 200000000 128 DISABLED DISCARDING 2 EN ED
port23 - 200000000 128 DISABLED DISCARDING 2 EN ED
port24 - 200000000 128 DISABLED DISCARDING 2 EN ED
port25 - 200000000 128 DISABLED DISCARDING 2 EN ED
port26 - 200000000 128 DISABLED DISCARDING 2 EN ED
port27 - 200000000 128 DISABLED DISCARDING 2 EN ED
port28 - 200000000 128 DISABLED DISCARDING 2 EN ED
port29 - 200000000 128 DISABLED DISCARDING 2 EN ED
port30 - 200000000 128 DISABLED DISCARDING 2 EN ED
port31 - 200000000 128 DISABLED DISCARDING 2 EN ED
port32 - 200000000 128 DISABLED DISCARDING 2 EN ED
port33 - 200000000 128 DISABLED DISCARDING 2 EN ED
port34 - 200000000 128 DISABLED DISCARDING 2 EN ED
port35 - 200000000 128 DISABLED DISCARDING 2 EN ED
port36 - 200000000 128 DISABLED DISCARDING 2 EN ED
port37 - 200000000 128 DISABLED DISCARDING 2 EN ED
port38 - 200000000 128 DISABLED DISCARDING 2 EN ED
port39 - 200000000 128 DISABLED DISCARDING 2 EN ED
port40 - 200000000 128 DISABLED DISCARDING 2 EN ED
port41 - 200000000 128 DISABLED DISCARDING 2 EN ED
port42 - 200000000 128 DISABLED DISCARDING 2 EN ED
port43 - 200000000 128 DISABLED DISCARDING 2 EN ED
port44 - 200000000 128 DISABLED DISCARDING 2 EN ED
port49 - 200000000 128 DISABLED DISCARDING 2 EN ED
port50 - 200000000 128 DISABLED DISCARDING 2 EN ED
internal 1G 20000 128 DESIGNATED FORWARDING 2 ED
D243Z17000085-0 2G 1 128 ROOT FORWARDING 2 EN // 接备核心交换机,STP为根接口,转发状态
8DP3W16000060-0 2G 1 128 ALTERNATIVE DISCARDING 2 EN // 接备交换机060,STP为备份接口 ”ALTERNATIVE DISCARDING“,处于STP阻塞/备份状态
Flags: EN(STP enable), ED(Edge), LP(Loop Protection), RG(Root Guard Triggered), BG(BPDU Guard Triggered)
Instance ID 15
Config Priority 28672, VLANs 4094
Bridge MAC 906caca3f1f6, MD5 Digest 9999b43d77cc58bba8854f9991c4a487
Regional Root MAC 704ca5e28210, Priority 24576, Path Cost 2, Root Port D243Z17000085-0
TCN Events Triggered 45, Received 152
Port Speed Cost Priority Role State Flags
________________ ______ _________ _________ ___________ __________ _______________
internal 1G 20000 128 DESIGNATED FORWARDING ED
D243Z17000085-0 2G 1 128 ROOT FORWARDING EN
8DP3W16000060-0 2G 1 128 ALTERNATIVE DISCARDING EN
Flags: EN(STP enable), ED(Edge), LP(Loop Protection), RG(Root Guard Triggered), BG(BPDU Guard Triggered)
FortiLink组网中STP是很重要部分,通常STP是一个稳定的状态,一旦出现FortiLink不稳定,则需要观察STP的状态和选举结果,从中找到相关线索,以便查出为何STP不稳定的原因,对于排错来说是很重要的。
FortiLink+STP稳定状态的实际数据转发拓扑图:
另外建议给每台交换机命名一个名字,如果交换机很多的话,规划好的命名可以有效的迅速找到交换机的位置:
可以给每一台交换机命名,命令规则可以是地点、机房、部门、方位等等,可以让你迅速了解交换机信息的描述都可以,目的是让你很清楚的交换机的位置,排错和定位问题的时候可以有很大的帮助。
最终拓扑图展示的命名效果:
FGT101E_Master_379 # execute switch-controller get-conn-status
Managed-devices in current vdom root:
STACK-NAME: FortiSwitch-Stack-PortChannel
SWITCH-ID VERSION STATUS ADDRESS JOIN-TIME NAME
FS1D24T418000339 v3.6.9 Authorized/Up 169.254.1.2 Wed Jan 15 11:15:02 2020 主-核心交换机-机房1
FS1D243Z17000085 v3.6.9 Authorized/Up 169.254.1.3 Wed Jan 15 11:20:51 2020 备-核心交换机-机房2
S248DP3W16000060 v3.6.10 Authorized/Up 169.254.1.5 Wed Jan 15 11:15:17 2020 TAC部门接入交换机
S248DP3W16000061 v3.6.10 Authorized/Up 169.254.1.4 Wed Jan 15 11:15:11 2020 Sales部门接入交换机
Managed-Switches: 4 UP: 4 DOWN: 0
FGT101E_Master_379 #
最后不要忘记了:在FortiLink的聚合接口和FortiLink管理配置完毕,记得把这个FortiLink聚合接口加入到HA的监控接口列表中,这样当主核心交换机挂了(比如断电)之后,业务才可以平稳切换到备防火墙上:
以上FortiLink的配置和FSW的管理完毕。
3.配置内网规划的VLAN、WIFI配置等
内网IP网段规划:
FGT通过FortiLink+Capwap协议统一的接管FortiSW和FortiAP,为有线和无线统一进行管理和业务处理。
有线网络规划 VLAN 10 192.168.10.1
无线网络规划 员工WIFI VLAN 20 192.168.20.1
无线网络规划 访客WIFI VLAN 30 192.168.30.1
管理FortiAP VLAN 192.168.99.1
VLAN创建完毕。
接下来就是为交换机接口分配VLAN了。Sales部门交换机接入交换机的port1接的fortiap,用于无线测试、TAC部门接入交换机的port10接的一台有线测试PC。
Sales部门交换机接入交换机的port1---接FortiAP,FortiAP的部署方式为桥模式部署。
而交换机接AP的port1的VLAN的划分是这样的:
接口类型配置为trunk类型:
本地vlan(native vlan)设置为vlan99,fortiap的管理相当于使用不打vlan-tag的vlan 99(native vlan默认是vlan1,手工配置的vlan99作为管理VLAN,因此只需要将native设置为vlan99即可),此VLAN用于FGT管理FortiAP。
另外trunk需要允许 VLAN20和VLAN30,VLAN20用于WIFI-STAFF的SSID用户,VLAN30用于WIFI-GUEST的SSID用户。
TAC部门接入交换机的port10--接具体的物理PC,因此只需要将Port10设置为access口,分配VLAN10即可,用fortiswitch的概念来说就是将native vlan设置为vlan10即可,native vlan不打vlan-tag,相当于就是设置接口为access vlan10。
宗上,交换机具体接口配置如下:
WIFI的配置
FortiAP会通过VLAN99的DHCP获取到192.168.99.0/24网段的IP地址,同时VLAN99的接口又开启的CAPWAP协议,激活了FGT的无线管理功能,这时候FortiAP会自动找到FGT进行注册。因此在FortiAP管理的地方可以看到这个FortiAP的信息。(如果没有看到检查配置,并将AP恢复出厂,让AP重新获取IP地址并发起注册)
同样也推荐给FortiAP起一个名字,方便快速定位FortiAP的位置:
配置WIFI:
规划 SSID:FORTINET-WIFI-STAFF VLAN20 用于员工WIFI使用
规划 SSID:FORTINET-WIFI-GUEST VLAN30 用于访客WIFI使用
将SSID关联到FortiAP上,然后让FortiAP发布无线SSID信号,这样用户就可以通过SSID连接到无线了:
桥模式的SSID需要在fortiap配置文件里面手工指定一下:
然后FortiAP会自动关联到这个FortiAP配置文件里面的内容,发起SSID的信号:
OK,到此为止,内网规划的VLAN和无线全部配置完毕。
4.外网部分规划的SD-WAN配置
外网IP网段规划:
WAN1 联通出口 IP 202.100.1.21 GW 202.100.1.192
WAN2 电信出口 IP 101.100.1.21 GW 101.100.1.192
WAN1和WAN2合并成SD-WAN接口。
将WAN1和WAN2加入到SD-WAN接口组:
添加SD-WAN的默认路由:
配置SD-WAN的健康检查,以便WAN1和WAN2相互备份和切换:
SD-WAN规则保持默认的按照源IP负载均衡即可:
外网规划的部分(SD-WAN部分)配置完毕。
5.FortiGate安全策略配置
需求与规划:
1.员工的有线与无线都需要访问互联网
2.访客的无线仅仅可以访问互联网
3.员工的有线和无线需要互访
建议将防火墙的接口划分区域,以区域的方式配置策略,有时候可以做到简化配置的目的,甚至未来替换设备的时候,策略的备份和还原也会更加简单一些。
规划区域两个区域:
员工网络-Zone:包括员工的有线VLAN10和员工的无线VLAN20 (Zone之间的隔离关闭,这样VLAN10和VLAN20之间的数据可通)
访问网络-Zone:包括访问的无线VLAN30
SD-WAN外网接口自成一个接口集(类似于Zone的感觉)
这样的话只需要配置两条策略,就可以实现我们规划的需求:
Staff-Zone到SD-WAN的策略
Guest-Zone到SD-WAN的策略
即可
所有配置完毕。
结果查看和测试:
FortiLink管理结果查看:
FortiAP管理结果查看:
有线用户接入和无线用户接入物理和逻辑拓扑:
整网拓扑信息可视化。
FortiView可视化:
FortiView可视化:
流量日志(需要有硬盘,尽量不要记录流量日志,量太大了,建议使用FAZ存储和分析流量日志)
监控器信息:
FGT HA切换测试:
重启主防火墙查看内网PC丢包情况,HA切换丢包1个:
此时查看备防火墙的FortiLink交换机接管状态,流量全部会切换到备防火墙上:
