教程篇(7.2) 01. 管理交换机 & FortiSwitch ❀ Fortinet网络安全专家 NSE6

飞塔老梅子

已于 2023-07-14 11:46:43 修改

阅读量1.8k

点赞数

于 2023-06-24 18:11:30 首次发布

NSE6 FortiSwitch 7.2 教程专栏收录该内容

8 篇文章 7 订阅

订阅专栏

在本课中，你将学习FortiSwitch的基本知识，重点是管理交换机模式。

在这节课中，你将学习上图显示的主题。

通过展示FortiSwitch的能力，你应该能够识别FortiSwitch型号和管理模式。

FortiSwitch是Fortinet以太网交换设备。像任何其他以太网交换机一样，它在OSI模型的第二层工作，根据帧的目的MAC地址和交换机的MAC地址表的内容转发以太网帧。所有型号都支持三层静态路由，部分型号支持动态路由。支持动态路由的型号需要购买高级功能许可证。你将在另一课中了解有关FortiSwitch路由功能的更多信息。

　　FortiSwitch运行自己的操作系统:FortiSwitchOS。FortiSwitchOS基于FortiOS内核和几个FortiOS用户空间应用程序。其中一些应用程序已被定制以满足FortiSwitchOS的要求。由于FortiSwitchOS基于FortiOS，因此FortiSwitchOS的大多数配置、故障排除、CLI命令和输出都与FortiOS非常相似，在某些情况下甚至完全相同。因此，具有FortiOS经验的管理员会发现FortiSwitchOS非常熟悉，这将大大缩短学习曲线。

　　你可以使用FortiLink在FortiGate上管理FortiSwitch。这是最常见的部署，它不需要额外的许可证。当你在FortiGate上管理FortiSwitch时，你可以通过使用FortiGate GUI和CLI来管理这两个设备，从而简化管理。此外，在FortiGate上进行管理时，FortiSwitch还集成了Fortinet安全架构，使FortiSwitch能够与FortiGate以及其他产品(如FortiManager、FortiAnalyzer和FortiAuthenticator)一起工作，以增强局域网边缘的安全性、部署、配置和故障排除。

　　FortiSwitch有20多种型号可供选择。可用型号的范围针对不同的业务规模和用例。

FortiSwitch产品组合根据其用例对FortiSwitch型号进行了分类：安全访问、数据中心和坚固耐用。上图介绍FortiSwitch安全访问系列。

　　安全访问系列在设计时考虑了端点连接。不同的型号使企业能够从最小的零售环境扩展到数据中心。有四个系列：100系列，200系列，400系列和500系列。上行链路容量是每个系列之间最明显的区别，从100系列开始有两条1G上行链路，到500系列结束有两条40G上行链路。

　　通常，选择合适的安全接入交换机型号是由网络流量需求决定的。在小型和远程站点中，部署100和200系列交换机通常绰绰有余。但是，在吞吐量要求较高的大型网络中，需要更多的上行链路容量，部署400系列和500系列交换机可能更方便。

　　在供电方面，所有系列均支持以太网+供电（PoE）接口，但只有400系列支持通用POE（UPoE）接口。

数据中心型号交换机被设计为在数据中心部署中充当机架上的配电交换机。1000系列提供更高的端口密度，而3000系列提供更高的吞吐量。在这两个系列中，你都可以将40G和100G端口拆分为多个低速端口，以实现更高的端口密度和聚合更多的设备。此外，这两款交换机都提供冗余的热插拔电源，但不支持PoE。缺乏PoE支持不应该是一种限制，因为交换机实际上并不是用来连接端点的，而是用来聚合来自接入交换机的流量。

　　你可以将这些交换机与安全访问线路结合起来，部署一个可以随着网络增长而扩展的FortiGate管理交换机堆栈。

坚固耐用型号交换机旨在承受更具挑战性的环境，例如在运营技术（OT）网络和其他关键基础设施中可能存在灰尘和其他恶劣条件的环境。交换机具有无源冷却机制，没有风扇或移动部件。这些交换机还提供冗余电源输入，并具有IP30保护等级。

你可以将FortiSwitch部署为独立交换机，也可以部署为管理交换机。

　　FortiSwitch的出厂默认管理模式为独立模式，也称为本地模式。在独立管理模式下，你可以通过FortiSwitch的GUl和CLI界面管理交换机，也可以通过FortiLAN Cloud管理交换机。FortiLAN Cloud是一种管理即服务(MaaS)解决方案，为独立的FortiSwitch设备提供集中的发现、可见性和配置。FortiLAN Cloud要求每个交换机都有互联网接入。

　　当作为管理交换机部署时，交换机由FortiGate控制，FortiGate作为交换机控制器，并使用其FortiLink接口与交换机通信。在此模式下，你可以从FortiGate管理交换机。管理交换机模式也称为FortiLink模式。本课只介绍管理交换机模式。

　　上图还显示了FortiSwitchOS CLI设置，用于控制交换机管理模式。默认情况下，交换机以本地模式运行，但是交换机自动网络配置选项被设置为启用。因此，交换机以独立模式运行，并将尝试在FortiGate上发现FortiLink接口。通过在命令行中设置交换机自动网络设置为禁用FortiSwitch自动发现行为，可以改变FortiSwitch自动发现行为。如果你还想从FortiLAN Cloud管理你的独立交换机，请确保在config system flan-cloud下启用该功能(默认情况下是禁用的)。

　　注意，与以前的FortiSwitchOS固件版本不同，当你更改FortiSwitch的管理模式时，交换机不会重新启动。最后，除非另有说明，本课中的所有参考都是针对管理交换机模式的。

答案：B

答案：A

非常好！现在你已经了解了FortiSwitch的基础知识。接下来你将了解管理交换机的操作。

通过展示管理交换机操作的能力，你应该能够理解管理交换机的工作原理，所涉及的不同管理协议的作用，以及FortiSwitch的自动发现和授权过程。

使用FortiGate管理FortiSwitch设备具有以下重要的关键优势：

　　● 零接触发放：管理员只需要将FortiSwitch连接到已启用FortiLink的FortiGate接口，FortiGate自动发现和预置FortiSwitch。如果使用FortiManager，也可以通过在FortiManager上配置FortiGate的设置来实现零接触发放。

　　● 安全配置管理：所有FortiSwitch管理都是在FortiGate的GUl和CLI上完成的，如果使用FortiManager，也可以在FortiManager上完成。FortiSwitch不需要管理员登录。

　　● 集中发放和维护：FortiSwitch成为FortiGate的扩展。使用FortiSwitch VLAN配置防火墙策略的方法与使用FortiGate VLAN配置防火墙策略的方法相同。认证和授权也在FortiGate或FortiManager上集中处理。

　　● FortiSwitch堆叠：FortiGate可以管理多个FortiSwitch设备，以不同的方式堆叠，提供可扩展性和冗余。

　　● 型号范围：FortiGate和FortiSwitch设备有不同的尺寸，以满足从零售和SMB客户到数据中心的每个人的需求。

在通过FortiGate管理FortiSwitch堆叠之前，必须确保在FortiGate上启用了交换机控制器功能，以便FortiGate可以发现和管理连接的FortiSwitch设备。此外，你必须确保交换机的FortiSwitchOS版本与FortiGate的FortiOS版本兼容。你可以在docs.fortinet.com中查看FortiSwitchOS和FortiOS兼容性。

　　默认情况下，大多数FortiGate型号的交换机控制器功能是启用的。但是，在FortiGate VM型号中，默认情况下不启用它，但是你可以通过运行上图所示的CLl命令来启用它。

　　开启交换机控制器功能后，相关交换机控制器设置将显示在WiFi&交换机控制器部分的GUI上。如果GUI设置未显示，请确保在可见功能页面上启用了交换机控制器功能。

为了在FortiGate上管理FortiSwitch，交换机必须直接或间接连接到FortiGate上的FortiLink接口。FortiLink接口的FortiSwitch端称为FortiLink trunk。你将在另一课中更多地了解FortiSwitch trunk。

　　连接到同一个FortiLink接口的一组管理交换机称为FortiSwitch堆叠。有多种方法可以将交换机连接在一起并连接到FortiGate。你将在另一课中了解支持的不同网络拓扑。

　　FortiGate和堆叠之间的交换机管理流量通过FortiLink接口传输。此外，来自连接到FortiSwitch堆叠的端点的用户inter-VLAN和互联网流量，以及指向FortiGate的流量，也通过FortiLink接口传输。

　　你可以在一个FortiGate上创建多个FortiLink接口，以管理多个FortiSwitch堆叠。FortiLink接口可以在同一个VDOM中创建，也可以在不同的VDOM中创建。

　　你可以通过独立或HA模式管理FortiSwitch设备。主备(A-P)模式和双活(A-A)模式都支持交换机管理。但是，配置FortiLink接口的VDOM必须以NAT模式运行。不能在透明的VDOM上管理FortiSwitch设备。

无论选择哪种网络拓扑来部署管理FortiSwitch堆叠，该堆叠都类似于router-on-a-stick拓扑。交换机堆叠与FortiGate FortiLink接口相连，因此堆叠与FortiGate之间的所有流量都通过该链路发送。

　　从逻辑上讲，intra-VLAN的流量由交换机堆叠处理。由于FortiGate通常是连接到交换机堆叠的端点的默认网关，因此intra-VLAN流量、互联网流量和任何其他受FortiGate保护的流量都通过FortiLink接口发送到FortiGate。FortiGate根据配置的路由设置、防火墙策略和其他相关设置对流量进行处理。对于intra-VLAN的流量，FortiGate接收入VLAN接口的用户流量，转发出VLAN接口的用户流量，并标记出接口的VLAN ID。

　　另外，交换机管理流量以不带标签的方式交换，默认分配到VLAN 4094。VLAN 4094配置为FortiLink中继、交换机间链路（ISL）和机箱间链路（ICL）上的本机VLAN。在另一节课中，你将了解有关VLAN、FortiSwitch VLAN、ISL和ICL的更多信息。

所有支持交换机控制器功能的FortiGate设备都在根VDOM中提供了一个名为fortilink的出厂默认FortiLink接口。默认情况下，FortiLink接口是一个链路聚合组(LAG)接口，没有任何成员。因此，管理员必须手动添加LAG成员。默认情况下，接口的地址为10.255.0.1/16。FortiGate使用地址和子网掩码配置DHCP作用域，为被管理交换机分配地址和其他网络参数。

　　FortiGate除了作为管理交换机的默认网关和DHCP服务器外，还默认成为管理交换机的DNS和NTP服务器。需要注意的是，虽然DHCP服务器下的默认DNS服务器配置为指定，但在FortiLink接口上应用初始化修改后，该配置仍然会自动变为与接口IP相同。

　　默认情况下，你必须对FortiGate发现的交换机进行授权，才能对其进行管理。也可以启用自动授权设备，使发现的交换机自动授权。另外，FortiLink分离接口默认开启。当FortiLink接口有两个或更多成员时，此选项指示FortiGate只保持一个FortiLink接口成员活动。当你将FortiLink接口从一台FortiGate设备连接到两台或两台以上交换机，并且交换机不支持多机箱链路聚合(MCLAG)或尚未配置MCLAG时，此行为非常有用。在这种情况下，如果关闭FortiLink分离接口，将失去对一个或多个交换机的管理。你将在另一课中了解有关MCLAG和冗余网络拓扑的更多信息。

　　最后，GUl还显示一个状态图标。如果FortiLink接口是LAG接口，则该图标表示该接口的LAG状态。

FortiGate使用多种协议来控制FortiSwitch。上图中列出的协议主要用于交换机发现、授权和健康检查。

　　对于发现，FortiGate默认使用FortiLink协议。FortiLink发现帧包括交换机序列号，以及交换机上的端口信息。请注意，当FortiSwitch处于独立模式时，默认情况下只有特定的端口发送FortiLink发现帧。有关更多信息，请参阅docs.fortinet.com上的FortiSwitch-Managed by FortiOS文档。直接连接到FortiGate的管理交换机也使用FortiLink发送心跳。

　　你还可以使用LLDP作为另一种交换机发现方法。在建立交换机堆叠时，也可以使用LLDP协议，因为它可以使交换机之间的链路自动配置为trunk (auto-ISL)。你将在另一课中更多地了解trunk和自动ISL。

　　CAPWAP是FortiGate用来管理FortiSwitch设备的另一种控制协议。CAPWAP通过在FortiGate和交换机之间建立数据报传输层安全（DTLS）隧道来执行交换机认证、授权和健康检查(心跳)。当你使用FortiGate GUl固件升级工具时，它也被用作向交换机发送固件映像文件的替代方法和遗留方法。FortiSwitch也使用CAPWAP协议向FortiGate发送LLDP邻居信息和交换机日志。

通过DHCP、DNS、NTP和HTTPS方式分别发放管理IP地址、时间、名称解析和配置信息。

　　FortiGate作为交换机的DHCP、DNS和NTP服务器。FortiSwitch使用DHCP从与FortiLink接口相同的子网中获取IP地址。另外，缺省情况下，FortiGate配置为响应从FortiLink接口接收到的DNS和NTP请求。使用NTP非常重要，因为FortiGate和FortiSwitch上的时间必须同步。否则，CAPWAP DTLS隧道将无法建立，因此交换机将无法联机。

　　FortiGate使用HTTPS推送交换机配置、收集诊断信息，并作为交换机默认的固件升级方式。为此，FortiGate使用FortiSwitch REST API与交换机通信。例如，当你在FortiGate上更改交换机的端口配置时，FortiGate使用FortiSwitch REST API在交换机上应用更改。当你在GUI上检查FortiSwitch端口时，FortiGate也会使用FortiSwitch REST API从交换机获取当前端口状态信息。通过FortiGate GUI或CLI方式使用FortiSwitch固件升级工具时，FortiGate会通过HTTPS方式将固件镜像文件上传到交换机。

　　最后，FortiGate还使用SSH访问交换机CLI。当你使用GUI上可用的CLI连接工具时，FortiGate将建立与交换机管理IP地址的SSH连接。

无论FortiSwitch的管理模式如何，FortiGate都可以发现FortiSwitch。

　　默认情况下，每个FortiSwitch都会在所有端口上广播FortiLink发现帧。FortiLink发现帧包含FortiGate用于在防火墙上创建交换机配置的交换机信息。FortiGate在从交换机接收到FortiLink发现帧后发现交换机。此时此刻，如果他们需要，管理员可以出于管理目的授权交换机。

　　如果你希望在一个或多个端口上禁用自动发现功能，你可以登录交换机，然后在端口上禁用auto-discovery-fortilink，这样FortiGate就不能通过该接口发现交换机。

　　当对独立模式的交换机进行授权时，交换机的管理模式将切换为管理模式(FortiLink模式)。当FortiSwitch切换到管理模式时，它将运行默认的FortiLink配置。结果，交换机以独立模式运行的配置将丢失。

　　此外，auto-network在所有端口上启用auto-ISL。因此，FortiSwitch会自动创建一个trunk，该trunk的成员包含连接到FortiLink接口的端口。

如果FortiLink接口未启用自动授权设备功能，则必须手动授权，请先打开FortiGate GUI或CLI，然后才能对其进行管理。

　　要在FortiGate GUI上对交换机进行授权，请单击无线&交换机控制器 > FortiSwitch管理，选择要授权的交换机，然后单击工具栏上的授权。或者，你可以右键单击该交换机以显示快捷菜单，然后单击授权。

　　你也可以使用FortiGate命令行通过启用管理交换机配置下的fsw-wan1-admin设置来授权交换机，如上图所示。

　　请注意，当你授权交换机时，FortiGate通过向交换机发送FortiLink帧来指示交换机将管理模式设置为FortiLink模式。如果此时交换机运行在本地模式，FortiSwitch会自动将管理模式切换为FortiLink模式。

上图描述以独立模式将FortiSwitch连接到FortiGate时的交换机自动发现和授权过程。FortiGate已禁用自动授权设备。此外，上图的示例显示了每个设备的序列号，以及FortiSwitch上用于连接FortiGate的端口。根据本举例，流程如下:

　　1. FortiSwitch向FortiGate发送FortiLink发现帧。帧每5秒发送一次，包含交换机序列号、型号和固件版本。

　　2. FortiGate收到FortiLink发现帧后，将新发现的交换机的配置添加到FortiOS中。交换机序列号(也称为交换机ID)在管理交换机列表中显示为未授权。添加到FortiOS的FortiSwitch端口配置和交换机GUI上显示的面板是基于FortiLink发现框架中包含的信息。此外，如果这是FortiGate发现的第一个FortiSwitch, FortiGate还将配置FortiSwitch管理所需的一些附加设置，例如默认的FortiSwitch VLAN、它们的DHCP作用域和隔离替换消息。

3.管理员在FortiGate GUl上授权交换机，因此FortiOS在交换机配置中启用了fsw-wan1-admin设置。FortiSwitch的状态也变为Offline。管理员也可以通过在FortiGate命令行中手动启用交换机配置中的fsw-wan1-admin设置(在config switch-controller managed-switch下)对交换机进行授权。

　　4. FortiGate向交换机发送FortiLink帧，通知交换机已被授权。

　　5. FortiSwitch加载默认的FortiLink配置。

6. FortiSwitch切换到FortiLink模式，并且:

　　a. 使用auto-ISL创建FortiLink trunk。trunk包含作为成员连接到FortiGate的端口，并将fortilink选项设置为1。后者表明，FortiLink trunk是在使用FortiLink作为发现方法检测到的交换机上创建的。

　　b. 开始与FortiGate交换FortiLink心跳以进行健康检查。心跳每三秒发送一次。

　　7. FortiSwitch通过DHCP方式从FortiGate获取IP地址和其他网络参数。网络参数包括FortiGate作为NTP服务器、DNS服务器和默认网关。

　　8. FortiGate在其DNS数据库中为交换机添加一条A记录。A记录将交换机序列号映射到交换机的管理IP地址。本例中交换机的管理IP地址为10.0.13.1。

9. FortiSwitch使用NTP与FortiGate进行时间同步。FortiGate和FortiSwitch之间的时间同步是CAPWAP隧道启动的关键。CAPWAP使用DTLS进行数据加密。由于DTLS使用基于证书的身份验证，因此两个设备之间的相当大的时差将导致DTLS握手失败，从而导致CAPWAP隧道无法建立。

　　10. FortiSwitch打开CAPWAP隧道。CAPWAP隧道建立成功后，FortiSwitch状态变为Online。FortiSwitch上线的时间戳被记录为加入时间。

　　11. FortiGate使用FortiSwitch REST API将配置推送到FortiSwitch。这个连接是通过HTTPS建立的。

　　至此，发现和授权过程已经完成。FortiGate和FortiSwitch将继续交换数据，用于健康检查、诊断和配置同步。

授权交换机后，它们最终会在FortiGate GUI的FortiSwitch管理页面上显示为Online。默认情况下，该页面在列表视图中显示交换机，该视图实际上是一个表，显示每个交换机的相关信息，如ID、状态、管理IP地址和加入时间。

　　特别是加入时间，这是一个非常重要的信息。在正常操作下，交换机加入时间应该保持不变。但是，如果交换机加入时间频繁更新，这可能表明交换机和FortiGate之间存在连接问题。

　　你还可以将鼠标悬停在交换机上以获取更多详细信息，或者右键单击设备以显示快捷菜单，其中包含你可以在交换机上执行的一些操作。该页面还包含两个饼状图，报告交换机状态和型号。

　　FortiSwitch管理页面还提供了另外两种视图类型：组和拓扑，将在下面介绍。

你可以创建FortiSwitch组来加速需要在两台或多台设备上执行的任务。例如，你可能希望重新启动FortiSwitch组，而不是重新启动每个单独的交换机，从而减少管理开销。你可能还希望在一组设备上执行固件升级，而不是升级单个交换机。

　　在FortiSwitch管理页面中单击新建 > FortiSwitch组，创建FortiSwitch组。创建组之后，GUI将自动更改为组视图。

组视图下显示已配置的FortiSwitch组及其成员。目前，你可以使用FortiGate GUl对FortiSwitch组执行的操作数量有限。例如，你可以单击快捷操作菜单上的注册，以查看组中所有设备的注册详细信息。

　　但是，在FortiGate CLI中，你可以使用更多命令对特定的FortiSwitch组执行操作。

拓扑视图显示一个简单但有用的拓扑，描述交换机之间的物理链路以及链路的类型。将鼠标悬停在端口上，可以查看端口的详细信息，如端口状态、本机VLAN和允许的VLAN、运行速度和STP状态。你也可以右键单击交换机以显示快捷菜单，在其中选择操作，例如编辑交换机设置、连接交换机CLI、交换机出厂重置或升级设备。

你还可以使用FortiGate命令行显示管理交换机列表。上图展示了可以运行以获取此信息的命令。

　　该命令提供的信息与FortiSwitch管理页面上的列表视图类似，不同之处在于它包含一个FLAG列，用于报告设备运行状态。

　　当你对管理的FortiSwitch堆叠上的问题进行故障排除时，你可能会从运行上图所示的CLl命令开始，因为它为你提供了交换机的总体状态，包括你可能需要进一步进行故障排除的两条信息：堆叠所连接的FortiLink接口的名称和堆叠中交换机的ID。由于FortiGate支持管理多个交换机堆叠，并且每个堆叠可以有多个交换机，因此了解堆叠所连接的FortiLink接口和问题交换机的交换机ID将有助于在执行故障处理命令时过滤所获得的输出信息。这在处理大型FortiSwitch部署时特别有用，因为检查所有管理的交换机的输出可能会让人不知所措。在上图所示的示例中，FortiLink接口是fortilink。

管理的FortiSwitch可以看作是FortiGate的扩展。通过这种方式，FortiSwitch将Fortinet安全架构的可见性扩展到第2层。通过FortiView的物理和逻辑拓扑视图，你可以可视化不同的安全段，以及所有堆叠的FortiSwitch和连接的终端设备。

　　在上图所示的示例中，安全架构物理拓扑视图显示了一个FortiGate控制三个FortiSwitch设备。拓扑图还显示了连接到接入交换机的两个Debian端点。

　　请注意，物理拓扑并没有显示FortiSwitch堆叠的完整物理拓扑。你可以查看在FortiSwitch管理页面的拓扑视图中查看完整的物理拓扑。

授权后，交换机通过DHCP方式向FortiGate申请两个IP地址。在FortiGate GUl中，可以浏览到DHCP小部件，显示分配给被管理交换机的IP地址。通过DHCP分配给每台交换机的IP地址如下:

　　● 管理IP：与FortiLink接口在同一网段。用于FortiGate与交换机之间的管理通信。虽然上图没有显示FortiLink接口配置，但该接口已经在10.0.13.0/24子网中分配了一个地址，这就是分配的交换机管理IP也在该子网中的原因。

　　● ERSPAN IP：封装远程SPAN (ERSPAN)， FortiSwitch可以将镜像流量封装成GRE，通过三层网络发送。使用ERSPAN IP地址作为GRE报文的源IP地址。请注意，虽然FortiSwitch也支持远程SPAN (RSPAN)，但该IP地址仅供ERSPAN使用。你将在另一课中更多地了解SPAN、RSPAN和ERSPAN。

　　上图还展示了FortiSwitchOS diagnose ip address list和diagnose netlink interface list internalCLI命令的输出。这些命令的工作方式与FortiOS相同：它们分别表示分配给交换机接口的IP地址列表和一些接口统计信息。显示信息显示交换机管理IP和ERSPAN IP分别分配给internal接口和rspan接口。由于rspan是与internal绑定的VLAN接口，所以两个接口的MAC地址相同。

　　internal接口是通过交换机端口访问的逻辑带内管理接口。一些FortiSwitch型号还带有一个名为mgmt的专用物理管理端口，为你提供带外交换机管理。

FortiSwitch一旦被FortiGate管理，通常不需要连接FortiSwitch的GUl或CLI。所有的管理都在FortiGate上完成。但是，如果需要访问FortiSwitch CLl，则可以通过SSH或telnet运行上图显示的命令来连接它。请记住，默认情况下，交换机内部接口上只启用SSH、HTTPS和PING访问。因此，如果要通过telnet方式连接FortiSwitch CLI，必须首先在交换机上开启telnet访问功能。

　　你也可以通过FortiGate GUl连接到FortiSwitch CLI。使用该方法时，FortiGate会与交换机的管理IP建立SSH连接。

管理交换机的GUI界面很少需要访问。但是，你仍然可以通过从网络中的管理工作站连接到交换机来访问它。缺省情况下，FortiGate上没有配置允许流量通过交换机堆叠的防火墙策略，因此必须配置允许流量通过交换机堆叠的防火墙策略。此外，通过设计，FortiGate GUI从你可以在防火墙策略中引用的可用接口列表中隐藏了FortiLink接口。这意味着你必须使用CLI配置防火墙策略，允许来自交换机堆叠或到达交换机堆叠的流量。

　　上图显示了在CLl上配置的防火墙策略示例，该策略允许连接到FortiGate上的port3的管理工作站的流量到默认的FortiLink接口。配置防火墙策略后，你可以在浏览器中输入交换机的管理IP地址访问FortiSwitch的GUl。请记住，默认情况下，FortiSwitch只允许对GUl进行HTTPS访问，不支持HTTPS重定向。这意味着你在浏览器中输入地址时必须指定HTTPS协议，或者如果你想使用HTTP，则必须手动允许在内部接口上访问HTTP。

　　请注意，不建议直接在管理交换机的GUI或CLI上进行更改，因为在FortiGate上更改交换机设置时，FortiGate将配置推送到交换机时可能会丢失更改。出于这个原因，你应该避免直接在FortiSwitch上进行更改，除非FortiGate上的设置不可用，或者交换机在独立模式下运行。你将在另一课中了解有关独立模式和FortiSwitch GUl的更多信息。

默认FortiLink接口的默认DHCP作用域设置FortiGate为其管理的交换机的默认网关、NTP服务器和DNS服务器。DHCP作用域根据接口分配的IP地址和子网掩码自动配置。缺省情况下，FortiLink接口的IP地址为10.255.0.1，子网掩码为255.255.0.0。此外，DHCP的作用域也仅限于供应商类标识符(VCI) FortiSwitch和FortiExtender。这意味着只有FortiSwitch和FortiExtender设备可以从该作用域获取地址。

　　对于NTP，FortiGate配置为响应从FortiLink接口接收到的NTP请求。

缺省情况下，FortiGate还作为其管理的交换机的DNS服务器。在FortiGate上授权第一个FortiSwitch时，FortiOS会在FortiLink接口的DHCP作用域配置中将dns-service设置为local，并将FortiLink接口添加到DNS服务器配置中，以便该接口可以响应来自交换机的传入DNS查询。

　　此外，交换机从FortiGate获取管理IP地址后，FortiOS还会添加一条A记录，将交换机序列号映射到交换机的管理IP地址。结果是管理员可以使用遵循语法<switch-id>.fsw的DNS名称ping或连接到交换机。

当FortiGate发现第一台交换机时，FortiGate会自动在其配置中添加交换机管理所需的一些设置。这些设置包括以下FortiSwitch VLAN：

　　● default：为所有交换机端口分配的缺省原生VLAN。

　　● quarantine：这是用于隔离通信流的默认VLAN。在FortiGate上，你可以隔离一个连接到交换机的设备，然后将该设备置于隔离VLAN中。

　　● rspan：用于跨网络发送封装的镜像流量。

　　● voice：当使用LLDP-Media终端发现 (LLDP-MED)时，如果检测到端点为语音设备，则可以将交换机端口分配到该VLAN。

　　● video：与voice VLAN相同，但在检测到端点为视频设备时使用。

　　● onboarding：启用NAC策略后，不符合配置的NAC策略的设备将被放置在这个VLAN中。你将在另一课中了解更多有关NAC政策的信息。

　　● nac_segment：用于NAC VLAN分段。你将在另一课中了解更多有关NAC的知识。

　　此外，除了缺省VLAN外，所有VLAN都配置了DHCP作用域。请注意，上图没有显示DHCP配置。

　　最后，VLAN也被分配了预定义的VLAN ID，如图所示，默认情况下没有管理访问协议。如果需要，可以编辑或删除缺省VLAN。你将在另一课中了解更多关于VLAN和FortiSwitch VLAN的信息。

答案：B

答案：A

非常好！至此你已经了解了交换机的管理操作。接下来，你将了解管理交换机的配置。

通过展示管理交换机配置的能力，你应该能够识别FortiGate和FortiManager用于交换机管理的配置布局。

当你授权工作在独立模式下的交换机时，交换机配置将在交换机更改为FortiLink模式之前保存在本地。稍后，如果将管理模式切换回独立模式，交换机将自动恢复之前备份的配置。

　　管理交换机的配置存储在FortiGate上，它是FortiOS配置文件的一部分。因此，在FortiGate上生成的配置修订和管理员所做的配置备份也包含所有管理交换机的配置。

　　当你在FortiGate上配置管理交换机时，使用FortiSwitch REST API将配置推送到交换机。管理交换机的配置推送遵循异步模式。这意味着只有在FortiGate上进行的配置更改才会被推送到交换机，而直接在交换机上进行的配置更改不会同步到FortiGate。因此，直接在交换机上进行的配置更改可能会丢失，因此不建议这样做。

　　为了提高性能和可扩展性，FortiGate只推送一次交换机的完整配置，即在交换机授权之后。之后，FortiGate只推送管理员所做的更改，也称为增量配置。此外，如果交换机状态从离线更改为在线，FortiGate也只会推送增量配置，前提是交换机在离线时对其进行更改。由于重新启动、固件升级或其他类型的网络断开事件，交换机状态可以在离线和在线之间更改。此外，如果你有多个管理交换机，FortiGate会同时将配置推送到多个交换机。

　　最后，如果你从FortiManager管理FortiGate，你还可以在FortiManager上管理FortiSwitch堆叠。为此，你可以使用FortiManager上的FortiSwitch管理器窗格来编辑交换机设置，然后将更改推送到FortiGate，而FortiGate又将它们推送到本地交换机。

FortiGate GUI包含无线&交换机控制器部分菜单，它为你提供了管理FortiAP和FortiSwitch设备的最常见配置选项。菜单的下半部分包含以下FortiSwitch管理页面：

　　● FortiLink接口：这是你为交换机堆叠配置FortiLink接口的地方。默认情况下，FortiOS创建名为fortilink的FortiLink接口。

　　● FortiSwitch管理：点击这里查看FortiGate当前发现或授权的交换机列表。你可以对交换机执行不同的操作，如重启、固件升级、重置出厂和取消授权。

　　● FortiSwitch VLAN：FortiSwitch VLAN本质上是绑定FortiLink接口的FortiGate VLAN接口。该VLAN用于FortiGate的三层路由和FortiSwitch的二层分段。此处配置FortiGate和FortiSwitch使用的VLAN。

　　● FortiSwitch Port：显示交换机上可用的端口和trunk列表及其状态。你还可以关闭或启动端口，调整其VLAN、STP和PoE设置等等。

　　● FortiSwitch端口策略：你可以在这里配置配置文件，以便在交换机端口上强制802.1X身份验证。

　　你将在另一课中了解有关这些配置页面的更多信息。

你可能还需要使用FortiGate CLI为你管理的交换机配置一些设置，特别是那些在FortiGate GUI上不可用的设置。

　　交换机堆叠的主要配置在config switch-controller managed-switch下。在这里，你将找到FortiGate发现的每个交换机的条目。表项按序列号组织，每个表项表示交换机连接的FortiLink接口。在上图所示的示例中，两个交换机都连接到默认的FortiLink接口。此外，每个表项还显示了交换机上的端口列表，你可以对这些端口进行多种设置调整，例如VLAN、安全配置文件、STP设置等。

管理交换机配置的另一个重要部分在config system interface下。除了系统中配置的FortiLink接口之外，你还可以在这里找到为交换机堆叠创建的不同FortiSwitch VLAN。

　　上图的例子显示了一些默认的FortiLink接口配置，以及一些默认的FortiSwitch VLAN配置。FortiSwitch的VLAN必须与FortiLink接口绑定，并分配唯一的VLAN ID。

你可能还需要为FortiSwitch设备配置依赖对象。其中大多数可以在config switch-controller下的不同位置找到。上图的示例显示了config switch-controller下可用的一些不同配置部分。

　　请注意，在交换机的配置中也可能使用一些其他FortiOS对象，例如防火墙地址、用户、组和RADIUS服务器。但是，大多数配置可能在config switch-controller和config system interface部分中找到。

一些交换机设置和诊断命令仅在FortiSwitch设备上可用，在FortiGate GUl或CLI上不可用。在这些情况下，你可以直接在FortiSwitch上运行相应的FortiSwitchOS命令，或者使用FortiGate CLl上的自定义命令功能在交换机上运行所需的命令。

　　上图的示例展示了如何配置和使用自定义命令功能，以在管理交换机的端口1上启用循环保护。循环保护仅在FortiSwitch GUl和CLI上可用，并使端口能够防止生成树协议（STP）无法检测到的循环。你将在另一节课中了解有关循环保护和STP的更多信息。

　　请注意，为了构建自定义命令列表，十六进制代码Oa放在每个命令的末尾，以标记列表中的换行符。还要注意，执行自定义命令时产生的任何输出都显示在FortiGate命令行中。

你还可以配置全局自定义命令，以便在授权交换机时运行，如上图所示。或者，你可以覆盖每个交换机的自定义命令，如上图所示。

在FortiManager中，被管理的FortiGate发现的FortiSwitch设备也会被FortiManager学习到，并显示在FortiSwitch Manager面板中。

　　通过FortiSwitch管理器，可以对所有已授权的FortiGate设备发现的FortiSwitch设备进行集中管理。你可以从FortiManager的单个窗格管理所有FortiGate设备所控制的所有FortiSwitch设备，而不是访问每个FortiGate设备来管理其附加的FortiSwitch设备。这可以大大减少网络的运营费用，特别是对于部署了数十或数百台交换机的大型网络。

　　当你访问FortiSwitch Manager窗格时，默认会进入管理交换机页面。该页面显示一个表格，其中包含在FortiManager上注册的所有FortiGate设备发现的所有交换机。对于每个已授权的交换机，该页面将显示名称、序列号、型号(或平台)、控制FortiGate和VDOM、IP地址(通过)、操作系统版本和加入时间。这与你在FortiGate GUl上看到的开关信息相同。每个交换机在其名称的左侧还显示一个图标，该图标报告其当前状态，该状态由FortiManager通过每三分钟轮询FortiGate REST API获得。不同的状态意味着：

　　● Online：交换机已授权，与FortiGate的管理链路正常。

　　● Offline：交换机已授权，但与FortiGate的管理链路断开。

　　● Unauthorized：该交换机被FortiGate发现，但未被授权。

　　● Unknown：交换机已被授权，但状态无法确定。当控制器(FortiGate)离线时，通常会出现这种情况。

　　本课程仅侧重于FortiGate的交换机管理，因此，不描述FortiManager的交换机管理。

答案：A

答案：B

非常好！现在你了解了管理交换机的配置。接下来，你将了解在管理模式下运行的交换机上的基本管理任务。

通过展示基本管理能力，你将了解在FortiSwitch以管理交换模式运行时可以在其上执行的一些基本管理任务。

你可能想要执行的第一批基本配置更改之一是为你的交换机设置一个描述性名称。通常，你需要设置一个名称来描述设备类型及其在网络中的作用。

　　在FortiGate的GUI界面中，在FortiSwitch管理配置页面中选择交换机，然后单击编辑，可以看到交换机名称的设置。在FortiGate CLl上，使用name设置来配置交换机名称。

　　配置交换机名称后，名称会自动显示在FortiSwitch管理配置界面中。

管理交换机上的管理访问由分配给交换机的访问配置文件控制。在FortiGate上对交换机进行授权后，将为交换机分配一个名为default的出厂默认访问配置文件。默认访问配置文件为mgmt和internal接口启用了HTTPS、PING和SSH管理访问。

　　如果需要编辑交换机上的管理访问权限，则必须创建新的访问配置文件并将其分配给交换机，或者编辑现有的默认访问配置文件。

管理交换机的admin密码由分配给交换机的交换机配置文件控制。在FortiGate上对交换机进行授权后，将为交换机分配一个名为default的工厂默认交换机配置文件。默认交换机配置文件不修改交换机本地设置的admin用户密码。

　　如果需要覆盖交换机本地设置的admin密码并用不同的密码替换，则必须创建新的交换机配置文件并将其分配给交换机，或者编辑现有的默认交换机配置文件。

FortiSwitch只支持内存日志和syslog日志。FortiSwitch不支持磁盘日志。

　　内存日志在FortiSwitch上默认是启用的。但是，当记录到内存时，分配给日志的空间量非常小，并且交换机重新启动导致删除存储在内存中的所有日志。由于这个原因，当你在FortiGate上管理交换机时，交换机也会将日志导出到FortiGate，这样它们就可以存储在FortiGate上并显示在GUI上。FortiSwitch通过CAPWAP向FortiGate发送日志。然后，FortiGate将FortiSwitch日志存储在所有启用的日志设备中：内存、磁盘、FortiAnalyzer和syslog。

　　此外，在默认情况下，FortiSwitch发送的日志被分配了一个严重级别的信息或更高的FortiGate。如上图所示，你可以设置全局或每个FortiSwitch的不同日志严重性级别。

你可以在所有管理交换机或FortiGate CLl上的每个交换机上启用syslog，如上图所示。

上图展示了FortiSwitch日志显示在FortiGate GUl上的一个示例。FortiSwitch日志可在FortiGate GUI的FortiSwitch Events子类别下作为事件日志使用。

你也可以在FortiGate命令行中显示FortiSwitch日志。设置filter为事件日志(category1)，subtype为switch-controller。上图中的示例展示了如何设置过滤器并显示日志。

上图中的示例显示了FortiSwitch在FortiAnalyzer上显示的一些日志。FortiSwitch日志作为事件日志在日志视图窗格的Switch-controller子类别下提供。

你可以通过FortiGate GUI升级交换机的固件，进入FortiSwitch管理页面，选择目标交换机，单击升级按钮。然后，你可以选择让FortiGate从FortiGuard下载固件升级文件或上传本地固件镜像。

　　FortiGate开始推送固件镜像到交换机后，交换机状态显示镜像正在下载。交换机接收到该文件后，作为固件升级过程的一部分，交换机将重启。因此，你会注意到交换机状态变为Offline，然后在完成升级过程并重新加入交换机控制器后又变为Online。

　　固件升级方式默认为HTTPS。你还可以使用CAPWAP作为另一种升级方法。推荐使用HTTPS，因为它具有更高的可扩展性和性能，并且从FortiSwitchOS 3.6.1开始支持。如果你的交换机运行的FortiSwitchOS版本早于3.6.1，你可以通过禁用上图显示的CLI设置来更改为CAPWAP。

你也可以通过FortiGate命令行升级交换机的固件。为此，必须首先从FTP或TFTP服务器将目标固件映像上传到FortiGate。请注意，FortiGate每个交换机型号只能存储一个映像。这意味着如果你为相同的交换机型号上传另一个映像，FortiGate将覆盖现有的映像。此外，在保存固件映像文件时，FortiGate将该文件保存在与原始文件名不同的名称下。

　　上图的示例展示了如何使用FortiGate CLI使用FTP上传固件映像，以及如何获取存储在FortiGate中的所有交换机固件映像文件的列表。