【高级篇 / System】(7.0) ❀ 03. 最外端准备一个可划VLAN的二层交换机 ❀ FortiGate 防火墙

　　在机柜的最上排，我们配置了一个思科的交换机，这个交换机起什么作用呢？

 由于我们需要用两台FortiGate 500E的防火墙做主备，因此要求两台防火墙的所有连线都是双份，包括宽带和内网。宽带只有一根网线，无法同时接入两台防火墙，因此我们需要一台交换机，将宽带一分为二。如果有两条宽带的话，还需要划分VLAN。

 FortiGate防火墙和FortiSwitch交换机都有独立的MGMT管理口，我们可以将交换机多余的接口划分VLAN，统一接入所有设备的管理口，最终只有管理人员允许访问这个VLAN，也只有管理人员可以登录所有设备的MGMT管理口进行配置，大大提高了方便性和安全性。

 前面我们已经学习了通过思科路由器2811做终端服务器，可以在一个界面登录多台设备的终端，输入C1，进入交换机的配置界面。

　　① 思科交换机的初始登录界面，输入no。

  　　② enable  //进入特权模式

　　show vlan brief //查看VLAN信息，可以看到所有接口都在默认Vlan 1下。

   　　③ config terminal  //进入全局配置模式

　　vlan 10  //新建VLAN 10

　　name Manager  //VLAN 10命令为Manager，用来连接设备管理口

　　end  //结束

　　④ 用同样的方法，新建VLAN 20和VLAN 30，分别命名Wan1和Wan2，用来连接两条宽带。

 　　⑤ interface range gi1/9/1-12  //选择接口范围1~12

　　switchport mode access  //交换端口为接入层模式

　　switchport access vlan 10  //将接口1~12分配给VLAN 10，也就是管理设备

　　exit  //退出

　　用同样的命令，将接口13~16分配为VLAN 20，将接口17~20分配给VLAN 30

　　⑥ 再次用show vlan brief命令查看VLAN，可以看到已经多出来10、20、30三个VLAN，而且已经分配好接口了。

　　⑦ 在某些场合，也有可能会对VLAN配置IP地址。

　　config terminal  //进入全局配置模式

 　　interface vlan 10  //接口VLAN 10

 　　ip address 10.10.10.254 255.255.255.0  //给VLAN10 配置IP地址

 　　no shutdown  //激活端口

 　　exit  //退出

　　⑧ show ip interface brief  //显示接口IP地址，这里可以看到vlan10已经有IP地址了

 最终的连接效果，由于13~16是一个VLAN，因此分别接入电信宽带，再接出到两台防火墙，这样就将宽带流量一分为二了。同样17~20接入的是移动宽带，也分别接出到两台防火墙。这样每台防火墙都有相同的两条宽带了。

 两台防火墙上的宽带线及管理口线的连接就是这样的，都有接入到最上层的交换机。这样下一步就可以配置两台防火墙的HA主备了。

---