MCLAG-堆叠组网1 Tier MCLAG FortiLink(一层堆叠)配置组网举例

拓扑图

形成堆叠之后的逻辑简化版本：

需求说明：

FortiGate FortiGate-101E v6.2.4 *2

FortiSwitch：FortiSwitch v3.6.9* 4 （Core-FSW1和Core-FSW2 && Access-FSW1和Access-FSW2）

FortiAP：FP221C-v6.0-build5017 * 1

FGT运行HA-Cluster，核心交换和接入交换机采用MCLAG堆叠组网结构。

整体规划：

FortiGate HA-Cluster部署

HA独立管理口：

FGT101E_Master_379 mgmt：192.168.91.21

FGT101E_Slave_045 mgmt：192.168.91.22

外网IP网段规划：

WAN1 联通出口 IP 202.100.1.21 GW 202.100.1.192

WAN2 电信出口 IP 101.100.1.21 GW 101.100.1.192

WAN1和WAN2合并成SD-WAN接口。

内网IP网段规划：

FGT通过FortiLink+Capwap协议统一的接管FortiSW和FortiAP，为有线和无线统一进行管理和业务处理。

有线网络规划 VLAN 10 192.168.10.1

无线网络规划员工WIFI VLAN 20 192.168.20.1

无线网络规划访客WIFI VLAN 30 192.168.30.1

管理FortiAP VLAN99 192.168.99.1

FortiLink互联部分规划：

FortiGate的port1和port2做聚合接口与FortiSwitch的后两个接口互联即可实现聚合接口的FortiLink管理，FGT100及以上的防火墙推荐使用聚合接口建立FortiLink，而低端型号（FGT60E）不支持聚合接口的话，则直接使用单独物理口或者硬交换机接口即可。支持聚合接口的设备就使用聚合接口对接。

配置步骤：

首先可以在命令行输入一下GUI的优化脚本：

config system settings

set gui-switch-controller enable

set gui-multiple-utm-profiles enable

set gui-allow-unnamed-policy enable

set gui-multiple-interface-policy enable

end

config system global

set admintimeout 30

set language simch

set timezone 55

set revision-backup-on-logout enable

end

FG101E4Q17000379 # config system global

FG101E4Q17000379 (global) # set hostname FGT101E_Master_379 // 修改主FGT的名字

FG101E4Q17000379 (global) # end

FGT101E_Master_379 #

FG101E4Q17000045 # config system global

FG101E4Q17000045 (global) # set hostname FGT101E_Slave_045 // 修改备FGT的名字

FG101E4Q17000045 (global) # end

FGT101E_Slave_045 #

1.配置FortiGate*2的HA-Cluster，并配置独立管理口

初始化配置防火墙的时候可以通过mgmt口登陆到防火墙上，一般mgmt口的管理IP是192.168.1.99，第一步可以通过此IP登陆防火墙，或者通过console口管理防火墙。具体型号初始化如果网管和接口的网管IP信息等可参考链接：https://docs.fortinet.com/product/fortigate/hardware 和 https://docs.fortinet.com/document/fortigate/hardware/fortigate-quickstart-guide-high-end?model=all

举例FGT1500D：

https://docs.fortinet.com/document/fortigate/hardware/fortigate-1500d-information-supplement?model=all

按照以上方式登陆第一次开箱的防火墙。先登陆主防火墙，并配置进行HA的基础配置，然后登陆到备防火墙，配置备防火墙的HA基础配置。

分别配置主防火墙和备防火墙的HA，主防火墙优先级调整为150，备防火墙的优先级保持默认的120，配置HA-cluster组名字和密码，监控业务接口wan1和wan2，还有独立管理配置，都配置完毕之后，最后使用HA1和HA2接口互联。双方的HA配置完毕之后将ha1和ha2线相互直连，将会进行HA的选举，此时优先级150高的FGT将成为主防火墙，优先级低的120的FGT将成为备防火墙，然后备防火墙的配置将会和主防火墙进行同步，后续备防火墙所有业务配置都会和主防火墙保持一致。

要注意如果mgmt有关联的配置，则独立管理口不能选择mgmt，比如mgmt默认配置DHCP，则需要把dhcp相关的功能先去掉。

删除相关mgmt的关联配置之后，才可以将mgmt接口指定为独立管理口。

然后正式开始配置防火墙HA和独立管理口，GUI配置：

然后分别配置主备防火墙独立管控接口mgmt的管理IP：（主防火墙mgmt设置为192.168.91.21，备防火墙mgmt设置为192.168.91.22）

然后可以将两台FGT的HA1和HA2接口互联。

双方的HA配置完毕之后将ha1和ha2接口的线相互直连，此时将会进行HA的选举，优先级高150的FGT将成为主防火墙，优先级低的120的FGT将成为备防火墙，然后备防火墙的配置将会和主防火墙进行自动同步，后续备防火墙所有业务配置都会和主防火墙保持一致。

主备防火墙的HA命令行配置：

主防火墙HA和独立管理口配置：

FGT101E_Master_379 # config system ha

FGT101E_Master_379 (ha) # show

config system ha

set group-name "FGT-101E"

set mode a-p

set password ENC H+BH4klVwfNNlDtkxyVS0Cj+dMtB/Lnut0dQHYGb1SSAcNsiOf1nS41NhMU3zOfgAzvLtReupgoRQAp4aZ22OKHkfCn5TNXHQ5IduVWgL1Ys5Cg6eB7aN2WBd4sP34wI2ZQ+rRRvOIXRmB97AdRxG05IlPrVpViwjZEAjGFaZMLqDw4UY3+HjWlEJ4fhwloqKbqEwg==

set hbdev "ha1" 0 "ha2" 0

set session-pickup enable

set ha-mgmt-status enable

config ha-mgmt-interfaces

edit 1

set interface "mgmt"

set gateway 192.168.91.254

end

set override disable

set priority 150

set monitor "wan1" "wan2"

end

FGT101E_Master_379 # config system interface

FGT101E_Master_379 (interface) # edit mgmt

FGT101E_Master_379 (mgmt) # show

config system interface

edit "mgmt"

set ip 192.168.91.21 255.255.255.0

set allowaccess ping https ssh http fgfm

set type physical

set dedicated-to management

set role lan

set snmp-index 2

end

FGT101E_Master_379 (mgmt) # end

FGT101E_Master_379 #

备防火墙HA和独立管理口配置：

FGT101E_Slave_045 # config system ha

FGT101E_Slave_045 (ha) # show

config system ha

set group-name "FGT-101E"

set mode a-p

set password ENC GFTs2PeJ3PN+K7Yqhtei7SabkDQa+MlqWnW6lFR2FXMRulhBnbb+XWGfMINp5KHcqHYkXUzDIezETQl7vMjZi+NdAmdAgV2axOTiUdY7vvtrky0fdYODAZRzU2QrwY9V9421+EyPw9qwGDUwwLysnxQStoiEQLIoy8/iK7VKASH60Dok8vjYL0z1WASkhXFm/lb1xA==

set hbdev "ha1" 0 "ha2" 0

set session-pickup enable

set ha-mgmt-status enable

config ha-mgmt-interfaces

edit 1

set interface "mgmt"

set gateway 192.168.91.254

end

set override disable

set priority 120

set monitor "wan1" "wan2"

end

FGT101E_Slave_045 (ha) # end

FGT101E_Slave_045 #

FGT101E_Slave_045 # config system interface

FGT101E_Slave_045 (interface) # edit mgmt

FGT101E_Slave_045 (mgmt) # show

config system interface

edit "mgmt"

set ip 192.168.91.22 255.255.255.0

set allowaccess ping https ssh http fgfm

set type physical

set dedicated-to management

set role lan

set snmp-index 2

end

FGT101E_Slave_045 (mgmt) # end

FGT101E_Slave_045 #

配置完毕之后，直连接上ha1、ha2的心跳线，ha将会进行选举，选举结果如下：

FGT101E_Master_379 # diagnose sys ha status

HA information

Statistics

traffic.local = s:0 p:21648 b:6221516

traffic.total = s:0 p:21898 b:6259283

activity.fdb = c:0 q:0

Model=100, Mode=2 Group=0 Debug=0

nvcluster=1, ses_pickup=1, delay=0

[Debug_Zone HA information]

HA group member information: is_manage_master=1.

FG101E4Q17000379: Master, serialno_prio=0, usr_priority=150, hostname=FGT101E_Master_379

FG101E4Q17000045: Slave, serialno_prio=1, usr_priority=120, hostname=FGT101E_Slave_045

[Kernel HA information]

vcluster 1, state=work, master_ip=169.254.0.1, master_id=0:

FG101E4Q17000379: Master, ha_prio/o_ha_prio=0/0

FG101E4Q17000045: Slave, ha_prio/o_ha_prio=1/1

这三个命令都可以看到HA的选举结果和HA状态：

# diagnose sys ha status

# get system status

# get system ha status

GUI查看HA的选举结果和状态：

确认HA状态正常，确认HA独立管理工作正常。后续所有的配置可以都在主防火墙上完成，配置会自动同步到备防火墙，备防火墙可以登录GUI上去查看状态等信息，无需配置。

2.配置Fortilink将fortiswitch加入到fortigate的管理（MCLAG的配置）

1 Tier MCLAG主要配置步骤:

1.FGT配置聚合端口, 并设置split为enable模式。

2.上线Core-FSW1和Core-FSW2, 将FGT和Core-FSW1以及Core-FSW2连接起来。

3.分别登录到Core-FSW1和Core-FSW2上, 配置二者直连的ISL 接口为“mclag-icl enable”。配置为ICL堆叠线路（Inter-Chassis-Link），形成两台核心交换机的堆叠。

4.配置FGT聚合端口为split disable模式。

5.上线Access-FSW1和Access-FSW2。

6.上线FortiAP和有线PC, 并测试无线网络和有线网络的连通性。

注意: 如果Switch上线时, 有的Switch是旧的版本, 最好先升级Switch的版本后, 再组建mclag或是让交换机成环。

配置FortiLink实现Fortiswith上线，根据规划我们需要将FGT101E的port1和port2进行聚合，然后配置为fortilink接口。

默认101E的port1和port2属于硬交换机lan，如果要做聚合的话需要将port1和port2从LAN中移出，以便将port1和port2加入到Fortilink默认聚合接口里面。

将port1和port2移出硬交换lan：

然后可以看到单独的port1和port2接口：

将port1和port2两个物理接口加入到默认的FortiLink聚合接口里：

FortiLink split interface 功能说明：

FortiLink split interface 什么时候应该enable？

Split接口enabe的意思是，如果聚合接口的port1和port2分别连接了一台SW，在没有使用MCLAG的情况下（没开启堆叠功能），则聚合接口的port1和port2没办法同时UP（同时开启聚合接口无法正常工作），因此必须开启FortiLink split interface功能，让聚合接口只有一个物理接口（port1）是处于UP状态的，另外一个物理接口（port2）处于DOWN的备份状态，当port1接口状态DOWN，则Port2立即接管Port1的工作，让聚合接口的FortiLink继续运行，这是一个聚合接口在FortiLink管理时候的备份机制。

MCLAG组网刚刚开始是上述组网，因此刚刚开始的时候需要，保持enable状态。聚合接口的Port1和Port2只会UP一个接口，另外一个接口处于DOWN的状态。

FortiLink split interface 什么时候应该disable？

如果FGT的聚合接口只接到了一台交换机上，并没有跨交换机聚合（没有MCLAG，也不需要FortiLink split interface），因此这种情况应该让聚合接口的两个物理接口port1和port2同时UP，两个接口同时工作起来，以便提供更高带宽和备份的作用。

MCLAG组网的后期两台交换机堆叠之后，就是上述组网，因此交换机堆叠完毕之后，需要修改为disable，让两个聚合接口都可以同时工作起来，最大的利用聚合接口的带宽和资源。这个配置后续会说明。

实际上面的GUI的PortChannel-FortiLink配置包括以下几个部分：

NTP：

config system ntp // 用于FGT和FSW之间的时间同步

set ntpsync enable

set server-mode enable

set interface "fortilink"

end

DHCP：

config system dhcp server // 用于给FortiSwitch分配IP地址，以便FGT和FSW之间的通信

edit 3

set ntp-service local

set default-gateway 169.254.1.1

set netmask 255.255.255.0

set interface "fortilink"

config ip-range

edit 1

set start-ip 169.254.1.2

set end-ip 169.254.1.254

end

set vci-match enable

set vci-string "FortiSwitch" "FortiExtender"

end

FortiLink：

config system interface // PortChannel开启fortilink

edit "fortilink"

set vdom "root"

set fortilink enable

set ip 169.254.1.1 255.255.255.0

set allowaccess ping fabric

set type aggregate

set member "port1" "port2"

set alias "PortChannel_FortiLink"

set lldp-reception enable

set lldp-transmission enable

set snmp-index 10

end

先接Core-FSW1的线，然后授权并上线Core-FSW1，再接Core-FSW1和Core-FSW2互联的线，然后授权并上线Core-FSW2：

此时我们看防火墙的Fortilink聚合接口，此时应该只有port1或port2其中一个物理接口是UP的，这是FortiLink split interface enable的结果：

分别登录到Core-FSW1和Core-FSW2上，配置二者的互联聚合接口为”set mclag-icl enable”：

配置Core-FSW1和Core-FSW2设备的互联接口MCLAG-ICL enable注意，先不要把所有的线都接上去，一台一台的来操作，这个命令尽量可以Console去配置，而不是GUI，有时候由于在Fortilink计算和收敛会导致GUI连接不上去，或者先将CORE-FSW1下线，先单独配置CORE-FSW2，然后再将CORE-FSW2下线，再单独配置CORE-FSW1，然后再将二者互联的线接上去，这样是最稳妥的办法，避免GUI的CLI连不上的情况出现。而接入交换机这个时候是不建议接入的，等CORE-FSW1和CORE-FSW2的堆叠形成了之后，再将接入层交换机接线并授权。

另外还要一个注意的事情是：老版本不支持从GUI直接SSH到交换机，这个时候是需要先去防火墙的DHCP Moniter那边查看到交换机的具体IP地址，然后再在防火墙的CLI里面通过命令：exec ssh admin@169.254.1.3登陆到具体的交换机上。

结果查看：

FGT101E_Master_379 # execute ssh admin@169.254.1.4

Core-FSW1 #

Core-FSW1 # config switch trunk

Core-FSW1 (trunk) # show

config switch trunk

edit "D243Z17000085-0"

set mode lacp-active

set auto-isl 1

set mclag-icl enable // 手工配置

set members "port17" "port18"

edit "__FoRtI1LiNk0__"

set mode lacp-active

set mclag enable // 自动生成

set members "port23" "port24"

edit "8DP3W16000061-0"

set mode lacp-active

set auto-isl 1

set mclag enable // 自动生成

set members "port21"

edit "8DP3W16000060-0"

set mode lacp-active

set auto-isl 1

set mclag enable // 自动生成

set members "port22"

end

Core-FSW1 (trunk) # end

Core-FSW1 # exit

Auto backup config ...

Connection to 169.254.1.4 closed.

FGT101E_Master_379 #

FGT101E_Master_379 # execute ssh admin@169.254.1.3

Core-FSW2 #

Core-FSW2 # config switch trunk

Core-FSW2 (trunk) # show

config switch trunk

edit "D24T418000339-0"

set mode lacp-active

set auto-isl 1

set mclag-icl enable // 手工配置

set members "port17" "port18"

edit "8DP3W16000061-0"

set mode lacp-active

set auto-isl 1

set mclag enable // 自动生成

set members "port21"

edit "8DP3W16000060-0"

set mode lacp-active

set auto-isl 1

set mclag enable // 自动生成

set members "port22"

end

Core-FSW2 (trunk) # end

Core-FSW2 # exit

Auto backup config ...

Connection to 169.254.1.3 closed.

配置FortiGate聚合接口，将split设置为disable，让聚合接口（Port1和Port2）全部UP起来，充分利用聚合接口的资源，实现FortiGate与两台交换机（堆叠）的跨交换机聚合：

命令行：

FGT101E_Master_379 # config system interface

FGT101E_Master_379 (interface) # edit fortilink

FGT101E_Master_379 (fortilink) # show

config system interface

edit "fortilink"

set vdom "root"

set fortilink enable

set ip 169.254.1.1 255.255.255.0

set allowaccess ping fabric

set type aggregate

set member "port1" "port2"

set alias "PortChannel_FortiLink"

set lldp-reception enable

set lldp-transmission enable

set snmp-index 10

set fortilink-split-interface disable

end

结果查看：

FGT101E_Master_379 # execute ssh admin@169.254.1.4

Core-FSW1 # config switch trunk

Core-FSW1 (trunk) # show

config switch trunk

edit "D243Z17000085-0"

set mode lacp-active

set auto-isl 1

set mclag-icl enable // icl手工开启，用于建立核心交换机的堆叠

set members "port17" "port18"

edit "__FoRtI1LiNk0__" // 共享的堆叠交换机的聚合口1 与FortiGate*2的HA互联 Core-FSW1的Port23和Port24

set mode lacp-active

set mclag enable

set members "port23" "port24"

edit "8DP3W16000061-0" // 共享的堆叠交换机的聚合口2 与ACCESS-FSW1的Port47互联

set mode lacp-active

set auto-isl 1

set mclag enable

set members "port21"

edit "8DP3W16000060-0" // 共享的堆叠交换机的聚合口3 与ACCESS-FSW2的Port47互联

set mode lacp-active

set auto-isl 1

set mclag enable

set members "port22"

end

Core-FSW1 (trunk) # end

Core-FSW1 # exit

Connection to 169.254.1.4 closed.

FGT101E_Master_379 # execute ssh admin@169.254.1.3

Core-FSW2 # config switch trunk

Core-FSW2 (trunk) # show

config switch trunk

edit "D24T418000339-0"

set mode lacp-active

set auto-isl 1

set mclag-icl enable // icl手工开启，用于建立核心交换机的堆叠

set members "port17" "port18"

edit "8DP3W16000061-0" // 共享的堆叠交换机的聚合口2 与ACCESS-FSW1的Port48互联

set mode lacp-active

set auto-isl 1

set mclag enable

set members "port21"

edit "8DP3W16000060-0" // 共享的堆叠交换机的聚合口3 与ACCESS-FSW2的Port48互联

set mode lacp-active

set auto-isl 1

set mclag enable

set members "port22"

edit "__FoRtI1LiNk0__" // 共享的堆叠交换机的聚合口1 与FortiGate*2的HA互联 Core-FSW2的Port23和Port24

set mode lacp-active

set mclag enable

set members "port24" "port23"

end

Core-FSW2 (trunk) # end

Core-FSW2 # exit

Connection to 169.254.1.3 closed.

FGT101E_Master_379 #

关于跨交换机的聚合接口逻辑上可以这样理解：

Core-FSW1和Core-FSW2二者互联接口由于开启了ICL，因此就形成了堆叠交换机，可以将两台交换机看成一台大的堆叠交换机：

这台大的堆叠交换机有三个聚合接口，每个Core-FSW上看到的名字一样的聚合接口，可以认为是一个跨交换机的聚合：

__FoRtI1LiNk0__ 包括四个接口 Core-FSW1 Port23/24和Core-FSW2 Port23/24，对接FortiGate-Master Port1/Port2和FortiGate-Slave Port1/Port2。

8DP3W16000061-0 包括两个接口 Core-FSW1 Port21和Core-FSW2 Port21，对接的Access-FSW1的Port47/Port48。

8DP3W16000060-0 包括两个接口 Core-FSW1 Port22和Core-FSW2 Port22，对接的Access-FSW2的Port47/Port48。

FGT101E_Master_379 # execute switch-controller get-physical-conn standard FortiSwitch-Stack-fortilink

FortiGate(s)

FG101E4Q17000379(port1) <<------------------>> FS1D24T418000339(port23)

FG101E4Q17000045(port1) <<------------------>> FS1D24T418000339(port24)

FG101E4Q17000379(port2) <<------------------>> FS1D243Z17000085(port23)

FG101E4Q17000045(port2) <<------------------>> FS1D243Z17000085(port24)

Tier 1

FS1D24T418000339(port23) <<------------------>> FG101E4Q17000379(port1)

FS1D24T418000339(port24) <<------------------>> FG101E4Q17000045(port1)

FS1D243Z17000085(port23) <<------------------>> FG101E4Q17000379(port2)

FS1D243Z17000085(port24) <<------------------>> FG101E4Q17000045(port2)

Tier 2+

FS1D24T418000339(port17/D243Z17000085-0) <<------------------>> FS1D243Z17000085(port17/D24T418000339-0)

FS1D24T418000339(port18/D243Z17000085-0) <<------------------>> FS1D243Z17000085(port18/D24T418000339-0)

授权并上线接入交换机1和接入交换机2：

给接入交换机一个名称和描述：

结果查看：

FGT101E_Master_379 # execute ssh admin@169.254.1.2

Access_FSW1 #

Access_FSW1 # config switch trunk

Access_FSW1 (trunk) #

Access_FSW1 (trunk) # show

config switch trunk

edit "_FlInK1_MLAG0_" // 自动形成的fortilink聚合接口，会自动开启mclag，互联Core-FSW1的Port21和Core-FSW2的Port21，实现了跨核心交换机的聚合（堆叠交换机）。

set mode lacp-active

set auto-isl 1

set mclag enable

set members "port48" "port47"

end

Access_FSW1 (trunk) # end

Access_FSW1 #

Access_FSW1 # exit

Connection to 169.254.1.2 closed.

FGT101E_Master_379 #

FGT101E_Master_379 # execute ssh admin@169.254.1.5

Warning: Permanently added '169.254.1.5' (RSA) to the list of known hosts.

Access_FSW2 # config switch trunk

Access_FSW2 (trunk) # show

config switch trunk

edit "_FlInK1_MLAG0_" 自动形成的fortilink聚合接口，会自动开启mclag，互联Core-FSW1的Port22和Core-FSW2的Port22，实现了跨核心交换机的聚合（堆叠交换机）。

set mode lacp-active

set auto-isl 1

set mclag enable

set members "port48" "port47"

end

Access_FSW2 (trunk) # end

Access_FSW2 #

Access_FSW1和Access_FSW2这两条交换机是彼此独立的，没有任何关联，接入交换机之间不存在堆叠关系。

MCLAG的配置完毕！

FGT+FSW FortiLink拓扑图接线建议：

1.配置完防火墙之后，这个时候再去接FortiGate的FortiLink到FSW的线，以及FSW之间的线，严格按照拓扑图，从核心交换机往接入交换机这样的顺序接线。

2.FSW如果以前有使用过，建议都恢复一下出厂设置，然后再加入到FortiLink。

3.FSW的后面四个接口一般都默认开启了FortiLink接口属性，如果接前面的接口可能会无法加入到FortiLink，因此FSW的FortiLink最好都使用最后面的四个接口进行接线。如果FSW接口没有开启“auto-discovery-fortilink”则需要命令行手工开启一下。

登陆到交换机上进行确认接口是否开启了fortilink：

S248DP3W16000060 # config switch interface

S248DP3W16000060 (interface) # edit port47

S248DP3W16000060 (port47) # show

config switch interface

edit "port47"

set auto-discovery-fortilink enable // 接口下有此命令的接口才可以自动加入到FortiLink中

set snmp-index 47

end

4.交换机之间如果接多根线，会自动进行聚合，但是FortiLink+自动聚合会花比较长的时间，建议可以先接单线，等FortiLink的拓扑较快的形成结束之后，再增加彼此之间的另外一根线，再进行自动聚合，这样效率会比较高一些。不这样操作也没事，稍微慢一点而已。

5.接线是很重要的步骤，仔细看拓扑图，做好接口标签，不要接错。

6.接好线之后，FSW和FGT之间会自动在后台进行Fortilink&CAPWAP&MSTP&聚合接口的协商加入等操作，等Fortilink的管理结束之后，在FGT上会看到一个网站的FSW拓扑图，和我们规划的拓扑图应该是一致的，应该再次仔细核对接线是否正确。

最后不要忘记了：在FortiLink的聚合接口和FortiLink管理配置完毕，记得把这个FortiLink聚合接口加入到HA的监控接口列表中，这样当主核心交换机挂了（比如断电）之后，业务才可以平稳切换到备防火墙上：

以上FortiLink的配置和FSW的管理完毕。

3.配置内网规划的VLAN、WIFI配置等

内网IP网段规划：

FGT通过FortiLink+Capwap协议统一的接管FortiSW和FortiAP，为有线和无线统一进行管理和业务处理。

有线网络规划 VLAN 10 192.168.10.1

无线网络规划员工WIFI VLAN 20 192.168.20.1

无线网络规划访客WIFI VLAN 30 192.168.30.1

管理FortiAP VLAN 192.168.99.1

VLAN创建完毕。

接下来就是为交换机接口分配VLAN了。Sales部门交换机接入交换机1的port10接的Fortiap，用于无线测试、TAC部门接入交换机2的port10接的一台有线测试PC。

Sales部门交换机接入交换机1的port10---接FortiAP，FortiAP的部署方式为桥模式部署。

而交换机接AP的port10的VLAN的划分是这样的：

接口类型配置为trunk类型：

本地vlan（native vlan）设置为vlan99，fortiap的管理相当于使用不打vlan-tag的vlan 99（native vlan默认是vlan1，手工配置的vlan99作为管理VLAN，因此只需要将native设置为vlan99即可），此VLAN用于FGT管理FortiAP。

另外trunk需要允许 VLAN20和VLAN30，VLAN20用于WIFI-STAFF的SSID用户，VLAN30用于WIFI-GUEST的SSID用户。

TAC部门接入交换机2的port42--接具体的物理PC，因此只需要将Port42设置为access口，分配VLAN10即可，用fortiswitch的概念来说就是将native vlan设置为vlan10即可，native vlan不打vlan-tag，相当于就是设置接口为access vlan10。

宗上，交换机具体接口配置如下：

WIFI的配置

FortiAP会通过VLAN99的DHCP获取到192.168.99.0/24网段的IP地址，同时VLAN99的接口又开启的CAPWAP协议，激活了FGT的无线管理功能，这时候FortiAP会自动找到FGT进行注册。因此在FortiAP管理的地方可以看到这个FortiAP的信息。（如果没有看到检查配置，并将AP恢复出厂，让AP重新获取IP地址并发起注册）

同样也推荐给FortiAP起一个名字，方便快速定位FortiAP的位置：

配置WIFI：

规划 SSID：FORTINET-WIFI-STAFF VLAN20 用于员工WIFI使用

规划 SSID：FORTINET-WIFI-GUEST VLAN30 用于访客WIFI使用

将SSID关联到FortiAP上，然后让FortiAP发布无线SSID信号，这样用户就可以通过SSID连接到无线了：

桥模式的SSID需要在fortiap配置文件里面手工指定一下：

然后FortiAP会自动关联到这个FortiAP配置文件里面的内容，发起SSID的信号：

OK，到此为止，内网规划的VLAN和无线全部配置完毕。

4.外网部分规划的SD-WAN配置

外网IP网段规划：

WAN1 联通出口 IP 202.100.1.21 GW 202.100.1.192

WAN2 电信出口 IP 101.100.1.21 GW 101.100.1.192

WAN1和WAN2合并成SD-WAN接口。

将WAN1和WAN2加入到SD-WAN接口组：

添加SD-WAN的默认路由：

配置SD-WAN的健康检查，以便WAN1和WAN2相互备份和切换：

SD-WAN规则保持默认的按照源IP负载均衡即可：

外网规划的部分（SD-WAN部分）配置完毕。

5.FortiGate安全策略配置

需求与规划：

1.员工的有线与无线都需要访问互联网

2.访客的无线仅仅可以访问互联网

3.员工的有线和无线需要互访

建议将防火墙的接口划分区域，以区域的方式配置策略，有时候可以做到简化配置的目的，甚至未来替换设备的时候，策略的备份和还原也会更加简单一些。

规划区域两个区域：

员工网络-Zone：包括员工的有线VLAN10和员工的无线VLAN20 (Zone之间的隔离关闭，这样VLAN10和VLAN20之间的数据可通)

访问网络-Zone：包括访问的无线VLAN30

SD-WAN外网接口自成一个接口集（类似于Zone的感觉）

这样的话只需要配置两条策略，就可以实现我们规划的需求：

Staff-Zone到SD-WAN的策略

Guest-Zone到SD-WAN的策略

即可

所有配置完毕。

结果查看和测试：

FortiLink管理结果查看：

FortiAP管理结果查看：

有线用户接入和无线用户接入物理和逻辑拓扑：

整网拓扑信息可视化。
FortiView可视化：

流量日志（需要有硬盘，尽量不要记录流量日志，量太大了，建议使用FAZ存储和分析流量日志）

监控器信息：

FGT HA切换测试：

重启主防火墙查看内网PC丢包情况，HA切换丢包1个(5~10秒)：

此时查看备防火墙的FortiLink交换机接管状态，流量全部会切换到备防火墙上：