Fabric篇(6.0) 02. Fabric 与 FortiSwitch ❀ 飞塔 (Fortinet) 防火墙
【简介】我们前面已经知道,Security Fabric是支持FortiSwitch 交换机的,我们来看看FortiSwitch的配置。
FortiGate 聚合口连接 FortiSwitch
在实际应用中,为了不产生接口瓶颈,通常都会使用聚合口,这里我们来看看FortiGate与FortiSwitch的聚合口是怎么配置的。
① 这里使用的是FortiSwitch 224D-POE交换机,Port23、Port24接口与FortiGate的Port7、Port8接口用光纤连接。
② 登录FortiGate 300D,选择菜单【网络】-【接口】,这里看到Port8接口是单臂嗅探模式,这种情况是不能建立聚合口的,因此选择Port8接口,点击【编辑】。
③ 地址模式选择【自定义】,IP默认为0.0.0.0/0.0.0.0,这样就可以了,点击【确认】。
④ 回到接口菜单,选择【新建】-【接口】。
⑤ 输入新建接口名称,类型选择802.3ad聚合,接口成员选择Port7和Port8,地址模式选择专用于FortiSwitch,将会自动分配一个不常用的IP地址给该接口,默认就可以了。FortiLink split interface默认是启用的,如果关闭的话,交换机上的光口只有一个工作,启用的话两个都工作。这个功能是接多台交换机时才用到的。
⑥ 聚合口建好后,可以看到有个绿色向上箭头的图标,表示聚合口起来了。
识别并许可 FortiSwitch
配置好聚合口后,就可以识别FortiSwitch了。
① 选择菜单【WiFi与交换机控制器】-【可管理FortiSwitch】,可以看到已经识别到了FortiSwitch交换,点击【准许】。
② 稍等一会儿,可以看到FortiSwitch到FortiGate的虚线变成了实现,FortiSwtich显示已连接。
③ 鼠标移到交换机的接口上,可以看到接口的信息。在接口上点击鼠标。
④ 可以看到交换机的所有接口,都属于默认vsw.FortiSwitch的VLAN。
⑤ 为了让交换机接口都能快速的用起来,我们需要对默认VLAN进行配置,选择菜单【网络】-【接口】,选择汇聚接口下的vsw.FortiSwtich,点击【编辑】。
⑥ 输入VLAN的别名,角色选择VLAN,输入IP,设置访问方式并启用DHCP服务。点击【确认】。
⑦ 将电脑接入FortiSwitch的任意接口,自动获取得到IP地址。
⑧ 访问vsw.FortiSwitch的VLAN接口地址,可以登录FortiGate,说明FortiSwtich交换机工作正常。
⑨ 再次选择菜单【Security Fabric】-【物理拓朴】,可以看到FortiSwitch交换机已经自动加入了Security Fabric。
经 FortiSwitch 访问 FortiAnalyzer
由于连接FortiSwitch和FortiAnalyzer是防火墙的不同接口,因此如果要从FortiSwith登录FortiAnalyzer,还需要在FortiGate配置不同接口的访问策略。
① 登录FortiGate 300D,选择菜单【策略&对象】-【IPv4策略】,点击【新建】。
② 策略允许FortiSwitch的默认VLAN,也就是vsw.FortiSwitch,可以访问防火墙的Port4口,而Port4口是连接FortiAnalyzer的接口,NAT不启用。
③ 访问192.168.18.253,这是FortiAnalyzer的Port4口的IP地址,可以登录并访问。这样就可以从FortiSwitch上访问FortiGate与FortiAnalyzer了。注意,FortiAnalyzer上的那条静态路由很重要!如果没有那条静态路由,这里将不会登录成功。
飞塔老梅子 QQ: 57389522