我们已经知道,单台FortiGate连接核心交换机,只要简单的配置防火墙的接口IP以及回程路由就可以了。但是HA的模式下,需要连接两台核心交换机,而且两台核心交换机之间也要互相通信,那么需要怎么配置呢?
HA连接核心交换机的拓朴是这样的。双核心交换机之后的二层接入交换机,可以根据实据环境并联或串联。
① 在机柜中设备的物理摆放是这样的。
② 虽然核心交换机有很多选择,这里我们还是选择了Fortinet自身的产品,这样兼容性和可控性更强。这里选择的是FortiSwitch 1024D交换机,数据中心级别,全万兆光口。
② FortiSwitch 1024D是双电源冗余。
③ FortiSwitch交换机对光模块有一定的要求,FINISAR系列模块兼容性最好。万兆光模又分为单模和多模,FINISAR FTLX1471D3BCL就属于单模,波长为1310nm。
④ FINISAR FTLX8571D3BCL则属于万兆多模,波长为850nm。它们的区别在于,单模光模块使用局限性小,适用于远距离数据传输,多模光模块可以传输多种模式的光,适用于近距离传输。
⑤ 不光是光模块分单模双模,光纤线也分单模双模。单模光纤跳线的护套一般是黄色的,单模光纤的传输距离不低于5km,一般用于远程通信。
⑥ 多模光纤一般是橙色或者所谓的水绿色(就是介于蓝色和绿色之间的颜色)。多模光纤的传输距离只能够达到2km左右,适用于建筑物内或者校园里的短距离通信。
⑦ 通常情况下,单模光纤用单模光模块,多模光纤用多模光模块。但是,多模光纤能够用在单模光模块,不能保障使用效果。多模光模块只能使用多模光纤。
总结:单模光纤的收发器采用的是固体激光光源,传输1310/1550波长,传输的频带宽而且传输的距离长,单模光纤芯径和色散都比较小,传输的质量比较稳定可靠,发射和接收的模块制作成本比较高。
多模光纤的收发模块采用的是发光二极管光源,传输850/1300波长,光纤传输速度低距离比较短,制作成本相对也比较低。
由于单模光纤和多模光纤光电转换制式、波长、衰减机理完全不同,两者传输的模式更不同,因此,单双模的光纤链路不可以混用。
登录主防火墙,选择【网络】-【接口】,我们可以看到FortiGate 500E有两个万兆接口X1和X2,已经加入到802.3ad链路聚合,我们将用这两个接口来连接核心交换机。选择链路聚合口fortilink,点击【编辑】。
① 启动自动授权设备,这样在发现新的交换机或AP后,会自动授权,不用再手动点击授权。启用FortiLink分离接口,可以理解为单独一个接口也可以识别和使用交换机。这两个选项都保持启用状态。
② 防火墙的X1和X2是万兆光口,一般是用来接核心交换机。交换机一般用最后两个接口连接防火墙。插入光模,并用光纤线连接主防火墙的X1接口和主核心交换机的23接口。
③ 在防火墙的接口界面,可以看到X1接口是连接状态。如果是非连接状态,查看【FortiLink分离接口】是否没有启用。
④ 选择菜单【无线&交换机控制器】-【FortiSwitch管理】,可以看到已经识别并自动授权了主核心交换机。
⑤ 点击最右边的【列表】,下拉选择【拓扑】。
⑥ 会以拓扑图的方式显示核心交换机与防火墙的连接状态。
⑦ 再用光纤连接主核心交换机的22口和备核心交换机的22号,可以理解为这是交换机之间的心跳线。
⑧ 稍等片刻,在拓扑上可以看到两台核心交换机和防火墙是串接在一起的。
防火墙识别两台核心交换机后,在拓扑上选择交换机,点击右键,在弹出菜单中可以选择升级固件和恢复出厂设置,使得交换机的固件版本和防火墙的固件版本是一致的。恢复出厂设置可以保证交换机里没有配置其它内容。选择【编辑】。
① 在名称处给核心交换机输入一个容易区分主备的名称。用同样的办法给备交换机也更改名称。
扫一扫
1161
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
