在本课中,你将学习FortiSwitch的基础知识,重点是管理交换机模式。
在这节课中,你将学习上图显示的主题。
通过展示以太网交换概念和操作的能力,你应该能够理解FortiSwitch如何处理网络中的流量。
交换是用于构建计算机网络的关键技术。交换使连接到以太网交换机的有线设备能够相互通信。为此,根据帧中的目标MAC地址切换已连接设备发送的以太网帧。MAC地址是分配给以太网设备的网络接口控制器(NIC)的48位唯一标识符。由于设备可能有多个网卡,因此设备可能分配了多个MAC地址(每个网卡一个)。
以太网交换机在OSI模型的数据链路层(第2层)工作。他们的转发决策取决于其MAC地址表的内容,MAC地址表是交换机维护的内部数据结构,并指示在网络中学习的不同MAC地址的位置。
交换机通常可以在局域网中找到,但也可以在广域网中找到。它们通过使网络设备能够以非常快的速度以非常低的延迟传输数据来提供高性能连接。
为了更好地了解在网络中使用交换机的好处,你应该了解冲突域和广播域的概念。冲突域由连接到同一网络段的一个或多个设备组成。网络段是由一个或多个连接设备共享的物理介质。由于冲突域中的设备共享相同的网络段,因此多个设备同时进行数据传输可能会相互冲突。
在使用交换机的现代网络中,你可以将网络段视为两个设备之间的物理连接——最常见的例子是将计算机连接到交换机的网络电缆。然而,在交换机存在之前,网络使用集线器进行部署。与交换机不同,集线器不会基于第2层信息转发流量。相反,当集线器在其任何端口上接收帧时,它会向所有其他端口广播相同的帧,无论目标MAC地址如何,然后让接收设备决定是否丢弃帧。这种行为导致网络段扩展到更大的冲突域,因此发生冲突的可能性更高。
当引入交换机时,由于分割,冲突被减少或完全消除,这使得交换机能够将冲突域分解为更小的域。此外,如果设备之间使用全双工连接,则不再可能发生冲突,因为设备现在有专用通道来传输和接收网络中的数据。
广播域是指可以使用第2层广播到达的网络的逻辑部分。虽然分段只能将单播帧转发到其预期目标,但仍然可以使用广播访问广播域中的所有设备。在上图显示的示例中,PC1到3位于同一冲突域中,因为它们连接到集线器,但PC4和5位于单独的冲突域中,因为它们连接到交换机。此外,图表中的所有PC都属于同一个广播域。
以太网交换使用MAC地址来确定帧的源和目的地。MAC地址是分配给将设备连接到网络的NIC的48位(或6字节)的唯一标识符。虽然MAC地址由NIC供应商分配并刻录到硬件中,但用户和应用程序可以使用他们选择的地址覆盖该物理地址。覆盖物理MAC地址并不常见。然而,有时你必须在设备NIC上手动设置不同的MAC地址才能正常工作。一个常见的情况是,你需要在更换设备上设置故障设备的同一MAC地址,因为相邻设备接受特定的MAC地址。
MAC地址结构可以分为两个3字节的半部分。前半部分(从左到右)包含组织唯一标识符(OUI),用于标识NIC制造商。例如,Fortinet使用的两个OUl是04:D5:90和00:09:OF。OUl第一个字节中的最小有效位称为个体/组(I/G)位,并确定地址是单播还是多播。第二个最不重要的位称为通用/本地(U/L)位,并指示地址是全局还是本地管理。在大多数情况下,两个位都设置为0。但是,如果以太网帧用于多播应用程序,I/L位应为1。此外,如果MAC地址是由管理员在本地配置的,则I/G位也应设置为1。MAC地址的最后3个字节表示特定于设备的数字,这被称为特定于NIC。
上图展示了用于MAC地址的三种类型的符号。虽然大多数Fortinet产品使用冒号分隔的符号,但也可以使用连字符和句点分隔的符号。不同的供应商对特定符号的采用是不同的。
与数据包中的目标IP地址一样,帧中的目标MAC地址取决于网络应用程序所需的传输类型,可以是单播、多播或广播。
在单播中,数据只能传递给一个接收器。在多播中,数据预计将由属于多播组的一组设备接收。在广播中,广播域中的所有设备都会收到帧的副本。
在多播中,目标MAC地址的I/G位始终设置为1。上图中显示的示例多播MAC地址用于互联网组管理协议(IGMP)数据包,并将I/G位设置为1。在广播中,目标MAC地址上的所有字节都设置为FF。
上图展示了一个有效载荷为1500字节的以太网帧的格式。
● 目标MAC地址:目标MAC地址。
● 源MAC地址:发送源的MAC地址。
● VLAN标签:可选的标签,由设备添加,用来标识与帧相关联的VLAN ID。
● 以太类型/长度:可以用来表示帧携带的有效载荷类型或其长度。大多数情况下,它用于指示有效载荷类型。IPv4和IPv6报文的以太类型分别为0800和86DD。
● 有效载荷:承载通过以太网传输的数据。在许多情况下,有效载荷是一个IP数据包。
● 帧校验序列(FCS):用于检测损坏的数据。
FCS通常在NIC级别进行检查,并在帧转发到主机进行进一步处理之前由NIC从帧中删除。这就是为什么Wireshark没有在以太网头中显示FCS的原因,更重要的是,为什么以太网帧通常被认为最大大小为1518字节(不带VLAN标签)或1522字节(带VLAN标签),除非使用巨型帧。请注意,最小帧大小为64字节(包括FCS)。小于64字节的帧称为runts,应该被NIC丢弃。
巨型帧可以承载高达9000字节的有效载荷。FortiSwitch为巨型帧使用216字节的标头,因此最大帧大小为9216字节。端口上的最大帧尺寸也称为最大传输单元(MTU)。默认情况下,FortiSwitch中的所有端口都配置为9216字节的MTU,因此支持开箱即用巨型帧。不要将框架MTU与IP MTU混淆。前者是指以太网帧大小,后者是指IP数据包大小。当你调整交换机上的MTU设置时,它通常会影响帧大小。当你在路由器或任何其他第3层设备上调整MTU设置时,它通常会影响IP数据包大小。
根据帧目标地址和MAC地址表的内容切换转发流量。MAC地址表是由交换机维护的内部数据结构,包含在端口上学习的每个MAC地址的条目,包括学习MAC地址的接口和VLAN。
交换机在处理传入流量时会学习MAC地址。当交换机收到帧时,它会查看源MAC地址。如果交换机在MAC地址表中没有该MAC地址的条目,则交换机将创建一个新的条目——一个动态条目,并为其分配一个老化计时器。动态条目在老化计时器过期后从MAC地址表中删除。老化计时器通常为五分钟,但可能因供应商而异。MAC地址表也可能包含静态条目。静态条目要么由管理员配置,要么由交换机自动创建,用于处理系统流量(如管理)的内部接口。
如果交换机找到源MAC地址的匹配条目,它会更新该条目并重置该特定条目的老化计时器。
在交换机为源MAC地址创建新条目或更新现有条目后,它会查看帧目标MAC地址,并在MAC地址表中查找匹配项。如果有匹配,交换机会将帧转发到与条目关联的接口。如果没有匹配项,交换机会将帧淹没到除接收帧的端口以外的所有端口。
上图的示例显示了两个交换机——FSW1和FSW2,以及分配给VLAN 10的PC1和PC2的两台计算机。PC1的MAC地址在FSW1上的端口1和FSW2上的端口9上看到。PC2的MAC地址在FSW2上的端口1和FSW1上的端口9上看到。当FSW1收到指向PC2的MAC地址的帧时,它会将帧转发到端口9。然后,FSW2在端口9上接收帧,并将其转发到端口1,这是PC2连接的地方。
diagnose switch-controller switch-info mac-table命令用来查看FortiSwitch的MAC地址表信息。
默认情况下,学习到的MAC地址老化定时器为300秒(5分钟)。通常,这个值适用于大多数网络。但是,如果要全局调整计时器,可以上图显示的命令。
答案:A
答案:A
答案:B
非常好!现在你理解了交换,接下来你将了解交换机端口。
通过展示交换机端口的能力,你应该能够识别FortiSwitch堆叠部署所需的端口,并在FortiGate上配置和监控它们。
FortiSwitch产品组合支持各种端口,以满足不同的网络连接要求。上图的表格显示了不同的端口类型、其支持的速度和电缆类型。该表还指示端口是否需要收发器,以及它是否支持拆分端口和以太网供电(PoE)。
支持的端口类型要么是RJ45,要么是小型可插拔(SFP)变体。RJ45仅使用铜电缆,而SFP可以使用光纤、铜或直接连接铜(DAC)电缆。使用SFP型收发器的主要优势是,你可以使用不同的电缆选项,这为你提供了更大的灵活性,以满足成本、距离和性能要求。例如,如果你需要将网络扩展到更远的距离,你可以使用光纤布线,或者如果你想在不影响性能的情况下降低成本,可以使用DAC电缆。DAC电缆是一种双轴铜电缆,直接连接到交换机端口和网络设备。DAC电缆更具成本效益,因为工厂用收发器端接,因此不需要单独的收发器来插入电缆。
FortiSwitch支持以下类型的SFP光模块:
● SFP:第一个SFP版本。它支持1G的固定速率。你可以使用光纤或铜线。
● SFP+:对SFP的改进,可实现高达10G的数据速率。它向后兼容SFP。
● Quad SFP+ (QSFP+):SFP+的进化。它携带4个10G通道来提供40G连接。该端口可分为四个独立的10G端口(需要断线电缆)。
● QSFP28:提供最高性能100G。该接口可分为2x50G、4x25G、4x10G(需要断线电缆)。
你将在另一课中了解有关拆分端口功能的更多信息。有关每种FortiSwitch型号的兼容收发器的详细信息,请在docs.fortinet.com参阅FortiSwitch-Compatible Transceivers文档。
FortiSwitch端口页面显示每个管理交换机可用的所有交换机端口。该页面还显示有关交换机trunk和面板的信息,因此请确保选择端口选项卡以显示交换机端口的信息。
除了查看每个端口的状态外,你还可以查看或编辑端口配置。要编辑端口上的设置,请将鼠标悬停在要编辑的列中的设置上。某些列中的设置仅显示状态信息,无法编辑。当你将鼠标悬停在它们上时,可以编辑的设置会显示铅笔图标。然后,你可以单击铅笔图标来更改设置。如果你要查找的设置未显示,请右键单击任何列的顶部单元格,以显示包含你可以添加到页面的其他列的快捷菜单。
还可以右键单击端口以显示快捷菜单,其中包含可以在端口上执行的一些操作和可以更改的一些端口设置。
你将在本课程的多个课程中了解更多关于不同端口设置的信息。
你可以通过运行execute switch-controller get-conn-status命令来获取FortiGate CLI上所有交换机端口的状态。确保在命令末尾添加交换机ID,否则将不会包含端口信息。
输出信息还包括trunk信息。这节课你会学到更多关于trunk的知识。
管理交换机的端口配置在config switch-Controller managed-switch下有一个单独的子部分。使用show命令显示端口配置,或导航到config ports子部分以编辑一个或多个设置。
FortiSwitch在交换机发现期间广播的FortiLink发现帧包含交换机上的端口列表及其类型。FortiOS使用此信息为交换机构建面板,你可以在FortiSwitch端口页面的面板选项卡上看到。
在页面顶部,你可以看到在FortiGate上创建的FortiSwitch VLAN列表。单击其中一个时,面板将突出显示分配给该本机VLAN的端口。
你可以将鼠标悬停在端口上以查看有关它的更多信息,例如链接状态、它所属的FortiSwitch设备、分配的VLAN、PoE和生成树协议(STP)状态。你将在本课中了解有关PoE的更多信息,并在另一课中了解STP。
你可以在FortiSwitch端口页面上查看收发器的基本信息。找到收发器列,并将鼠标悬停在你想要信息的收发器上。GUl显示基本信息,如收发器类型、供应商名称和部件号。
如果收发器经过Fortinet的认证,其旁边会出现一个绿色勾号。如果你使用未经Fortinet认证的收发器,则会出现黄色警告图标。Fortinet建议使用经过认证的收发器,因为它们已经过全面测试,因此可以保证在正常工作条件下工作。有关每个FortiSwitch型号的兼容收发器的更多信息,请参阅docs.fortinet.com上的FortiSwitch-Compatible Transceivers文档。
你还可以通过运行上图所示的命令在FortiGate CLI上查看收发器的基本信息。
如果你想查看详细的收发器信息,你必须使用上图显示的CLI命令。显示的附加信息包括连接器类型、编码方法和支持的光纤电缆类型。
答案:A
答案:B
非常好!现在你已经了解了交换机端口。接下来你将了解以太网供电(PoE)。
通过展示以太网电源(PoE)的能力,你应该能够了解PoE的好处,支持PoE的FortiSwitch可以提供多少电力,以及FortiSwitch如何优先分配设备。
PoE使交换机能够通过双绞线以太网电缆将电力传输到端点。目标是使用相同的以太网电缆来提供电源和数据,从而减少供电设备(PD)所需的布线量。PD的常见例子包括VolP电话、无线接入点和IP摄像机。使用PoE的另一个好处是,它简化了PD安装,因为需要更少的布线。使用PoE还使你能够在其他不切实际的地方安装PD,例如天花板。此外,PoE使你能够从交换机上为PD供电,而无需现场协助或单独的远程电源管理系统。
上图的表格描述了使用最广泛的PoE标准,每个标准都支持不同的功率容量。第一个PoE版本可以在端口上提供高达15.4 W的传输。每个后续的较新版本的标准都将前一个版本的最大功率翻倍,同时仍然向后兼容。请注意,交付给PD的一些电力在电缆上耗散了。因此,当端口提供最大功率时,还指示了PD的最小保证功率。
FortiSwitch安全接入和坚固系列支持PoE和PoE+,部分型号支持UPoE。每个交换机的数据表显示了其支持PoE的端口和PoE功率预算。在FortiSwitch端口页面的面板页签中也可以看到PoE的功率预算信息。请注意,交换机提供的总功率不能超过其预算。
交换机上所有PoE端口提供的电力总量不能超过其预算。在某些情况下,这可能会导致交换机无法在某些端口上供电。例如,FortiSwitch 224E POE有12个PoE/PoE+端口,预算为180W。如果你将12台PoE设备连接到交换机,交换机可以为所有12台设备供电,即使它们消耗了端口上可用的最大功率。但是,如果设备是PoE+,并且需要端口上的最大可用功率,则交换机只能为一半的设备供电。
查看PoE电源预算详细信息的最佳方式是使用上图显示的CLI命令。输出显示PoE电源预算和交换机使用的实际功率。输出还包括每个端口的PD消耗细节。PD根据他们所需的功率分配了一个类。在PD连接到端口后,交换机从PD获取类。虽然每个类在端口上分配了最大功率,但PD的实际功耗可能要低得多。
最后,PoE防护带保留了额外的电量,用于处理PoE消耗的突然峰值。
当将PD连接到FortiSwitch时,交换机必须判断PD是否可以上电。交换机做出此决定的方式取决于PoE供电模式、端口优先级、功耗状态和PD所需的功率。
当出现电力短缺时,该交换机支持两种模式来确定哪些设备在供电方面优先于其他设备:基于优先级和先到先得(FCFS)。前者是默认模式,并指示交换机切断优先级较低的PD的电源,以支持优先级较高的PD。管理员可以配置端口优先级。如果有两个或多个具有相同优先级的端口,则端口号将用作断路器——端口号最低的端口具有最高的优先级。在FCFS模式下,交换机优先考虑先连接的PD,而不是最后连接的PD。
在FortiSwitch确定是否打开PD电源后,交换机继续监控其总实际功耗。当出现电源不足时,交换机根据配置的电源模式采取以下操作之一:
● 如果模式是基于优先级的,则首先关闭连接到优先级较低端口的设备。
● 当模式为FCFS时,最后连接的设备将首先下电。
请注意,电力赤字是根据实际功耗计算的。
上图中的流程图描述了将PD连接到FortiSwitch时的PoE功率分配过程。该流程图适用于基于优先级的模式和FCFS模式。
首先,FortiSwitch将连接到PD的端口的优先级与其他活动PoE端口的优先级进行比较,然后按以下方式进行:
● 如果端口具有更高的优先级,FortiSwitch会对PD上电。
● 如果端口优先级较低,FortiSwitch会检查预算中的可用电量加上防护带是否高于或等于PD最大功率。如果是这样,FortiSwitch会打开PD。如果没有,它不会打开PD。
注意,如果在FCFS模式下,在连接PD后,端口总是被认为是低优先级的——它是最后连接的端口。因此,在FCFS模式下,只有当PD的功耗低于或等于可用预算加上保护带时,FortiSwitch才会给PD上电。
在FortiSwitch确定是否打开PD电源后,它会持续监控交换机的总实际功耗。当出现电力短缺时,FortiSwitch会以最低优先级关闭连接到端口的PD。在FCFS模式下,最低优先级端口是最后一个连接的端口。
在行政上禁用端口不会停止该端口的供电。相反,你必须使用FortiGate GUI或CLI重置端口上的PoE。
在FortiGate GUI上,浏览到FortiSwitch端口页面,右键单击要重置PoE的端口,然后在快捷菜单中选择重置PoE操作。
在FortiGate命令行中运行上图所示的命令。
答案:B
答案:B
答案:A
非常好!现在你了解了PoE,接下来你将了解链路聚合。
通过展示链路聚合的能力,你应该能够部署FortiSwitch堆叠利用trunk提供增强的性能和冗余。
链路聚合结合了多个网络连接,以实现冗余和更高的性能。捆绑在一起的一组网络连接称为链路聚合组(LAG)。LAG作为单个逻辑接口运行,通过该接口,框架根据选择的负载平衡(或散列)算法在所有LAG成员之间进行负载平衡。
你可以创建静态或动态LAG。静态LAG是根据两端配置的设置形成的。使用动态LAG,控制协议,如链路聚合控制协议(LACP),用于自动协商LAG成员并执行故障检测。其结果是,只有在LACP确定其配置正确且健康后,LAG成员才会活跃。LACP在IEEE 802.3ad中定义,并通过在所有LAG成员上发送链路聚合控制协议数据单元(LACPDU)来工作。LACP支持两种模式:主动和被动。在主动模式下,LACP向所有LAG成员发送LACPD。在被动模式下,LAG成员只有在首先从相邻端口接收LACCPDU后才开始发送LACPDU。
在FortiSwitch中,LAG被称为trunk。尽管其他供应商使用trunk一词来指代接受标记以太网帧的端口,但对于FortiSwitch来说,trunk只是一个LAG。trunk可以自动或手动创建。在将FortiSwitch连接到另一个FortiSwitch或FortiSwitch到FortiGate的交换机间链路(ISL)上自动创建trunk。在本课中,你将了解有关自动ISL的更多信息。FortiSwitch和第三方设备之间的LAG需要手动trunk。虽然trunk通常出现在网络基础设施设备(如交换机、防火墙和路由器)之间的连接中,但有时它们也用于连接服务器和其他需要增强冗余和性能的端点。
上图的例子显示了FortiSwitch (FSW1)有两个LAG: ToSW1和ToServer。每个LAG有两个10G端口作为成员。从逻辑的角度来看,两个LAG作为两个单独的接口工作,但带宽是其单个成员的两倍。
在FortiGate GUI上,你只能配置手动trunk或编辑现有trunk。auto-ISL trunk的配置仅显示在CLI上。
FortiSwitch端口页面显示手动trunk的配置。确保已选中Trunk选项卡。页面上显示的信息和可用的操作与端口选项卡中的操作几乎相同。即,你可以通过将鼠标悬停在相应设置上,右键单击任何列的顶部单元格以显示包含更多可用列的快捷菜单,或右键单击trunk行以显示快捷菜单,其中包含你可以采取的一些操作。
如果需要新建trunk,单击新建。在GUl上创建新trunk时,需要进行以下配置:
● 名称:这是LAG名称。
● MC-LAG:MCLAG使你能够与连接到配置为MCLAG对等体的两个不同交换机的端口成员形成逻辑LAG。在本课中,你将了解更多有关MCLAG的信息。
● 模式:如果要使用被动或主动LACP创建静态LAG或动态LAG,请选择此模式。
● Trunk成员:选择将成为LAG一部分的端口。
管理交换机的手动trunk配置也可以在config switch-controller managed-switch下的config ports子部分中找到。使用show命令显示端口配置,或导航到config ports子部分以编辑一个或多个设置。
你可以通过运行上图显示的命令在CLl上显示手动和自动trunk的配置。输出已被剪切,因此适合小范围显示。
在示例输出中,auto-isl设置为1,这表明trunk是auto-ISL trunk。fortilink设置为1,这表明trunk是使用FortiLink协议发现的交换机上创建的FortiLink trunk。默认情况下,FortiGate使用FortiLink协议发现FortiSwitch设备,但你也可以使用LLDP作为替代方案。当使用LLDP发现FortiSwitch时,isl-fortilink在FortiLink trunk配置中设置为1。
请注意,FortiLink trunk显示fortilink或isl-fortilink设置的值为1,但是两者都不是。FortiSwitch使用auto-isl、fortilink和isl-fortilink设置信息仅供使用,管理员不能更改这些设置。
上图显示了上上图命令输出的延续。它显示了手动trunk的配置。
FortiGate上的FortiSwitch端口页面显示有关trunk的基本信息。因此,获取trunk状态的最佳方法是使用CLI。execute switch-controller get-conn-status <switch-id>命令的输出在末尾包括一个部分,其中包含手动和auto-ISL trunk的基本状态信息。
你还可以通过运行上图显示的命令查看有关trunk的详细状态信息。你将在另一节课中了解有关此命令生成的输出的更多信息。
LAG提供了增强的性能,因为它们平衡了所有成员的流量。
上图显示了FortiSwitch trunk上可用的六种负载均衡方法。负载均衡方法,也称为散列算法或端口选择标准,根据帧中的MAC和IP地址确定发送帧的成员。
默认方法是src-dst-ip,它通常提供最佳的均匀分布,并且适用于大多数环境。但是,你可以通过运行上图显示的命令来更改FortiGate CLl上的负载均衡方法。例如,如果你的以太网流量携带非IP数据包,如AppleTalk、Internetwork Packet Exchange(IPX),那么最好使用仅基于MAC的散列算法。另一个例子是当以太网流量使用QinQ标记时,在这种情况下,使用基于MAC的负载均衡方法也很方便,因为FortiSwitch不查看QinQ帧的内部第3层协议。
自动ISL使FortiSwitch能够在连接到FortiLink接口的交换机端口和用于ISL的交换机端口上自动创建trunk。要使自动ISL工作,链接的至少一端必须连接到在FortiLink模式下工作的FortiSwitch。FortiSwitch使用链路层发现协议(LLDP)检测设备。在本课中,你将了解有关LLDP的更多信息。
当FortiSwitch连接到FortiLink接口时,它会自动创建FortiLink trunk,这在技术上也是一个自动ISL trunk。FortiLink trunk上的LACP模式会自动匹配FortiLink接口上的LACP模式,因此管理员无需手动指示FortiLink trunk上的LACP模式。如果你连接两个FortiSwitch设备,自动ISL trunk两端的LACP模式默认设置为活动模式,因此无需用户干预。
自动ISL trunk的成员是从同一相邻设备接收LLDP帧的端口。此外,FortiSwitch使用相邻设备序列号的一部分来命名trunk。Auto-ISL开箱即用,因为默认情况下,所有FortiSwitch端口都分配了default-auto-isl LLDP配置文件,该配置文件默认启用了auto-isl选项。
自动形成trunk后,交换机会监控从相邻设备接收的LLDP hello帧。如果相邻的设备是管理模式下的FortiSwitch,默认情况下,交换机每三秒钟接收一次LLDP帧。如果相邻的设备是FortiGate,则每30秒接收一次帧。如果FortiSwitch在一段时间内停止接收LLDP帧,它将自动从配置中删除自动ISL trunk。trunk删除超时通常为10分钟或更短,由FortiSwitch根据配置设置。
如果你想禁用端口上的自动ISL,你必须在禁用auto-isl设置的情况下将LLDP配置文件分配给端口。请注意,你无法禁用default-auto-isl配置文件上的auto-isl设置。
LAG结合了在同一交换机上终止的多个链接。虽然LAG提供了更高的带宽和冗余,但所有链路都在同一交换机上终止,这一事实使LAG仍然容易受到单点故障的影响。那就是,如果你丢失了交换机,你也会丢失所有链接。MCLAG通过使你能够通过两个不同交换机上终止的链接形成LAG来克服这一限制。相邻的网络设备将这两个交换机视为单个交换机。
最基本的MCLAG部署涉及两个交换机和一个客户端,如FortiGate。交换机通过一个或多个链接的LAG连接,以形成MCLAG对等组。连接交换机的LAG称为底盘间链路(ICL),用于转发用户流量,以及交换有关MCLAG的控制信息。客户端配置了两个链路,每个链路连接到不同的交换机。这些交换机一起工作,因此客户端上的LAG像普通LAG一样运行,尽管其链路在不同的交换机上终止。结果是,如果链接或交换机丢失,交换机相互协调,以确保用户流量继续通过剩余的活动链接转发。
除了上图显示的型号外,所有FortiSwitch型号都支持MCLAG。MCLAG是一个特定于供应商的实现,在FortiSwitch的情况下,有以下要求:
● 链路终止的交换机必须配置为MCLAG对等体。
● 一个MCLAG对等组由两个交换机组成。MCLAG对等组中的交换机必须具有相同的硬件型号和相同的软件版本。
● 必须在FortiSwitch上全局启用mclag-stp-aware,并且必须在ICL trunk上启用STP。默认情况下,这两个设置都是启用的。
上图的示例显示了一个基本的MCLAG设置。FortiLink接口连接到两个交换机的事实对FortiGate是透明的。因此,FortiGate将LAG视为常规的LAG。
上图显示的基本FortiLink MCLAG部署是FortiSwitch支持的多个MCLAG拓扑之一。FortiGate作为客户端,在配置为MCLAG对等体的两个交换机中终止其FortiLink接口。完成上图显示的物理连接后,假设交换机已授权并在线,你可以按以下方式配置MCLAG:
1. 在FortiLink接口上启用FortiLink分离接口。
默认情况下启用此设置,并指示FortiGate仅保持第一个FortiLink成员处于活动状态,同时保持第二个成员处于非活动状态。根据示例拓扑,port1和port2分别被视为第一个和第二个FortiLink成员。通过仅保持一个链接处于活动状态,你可以确保可以通过FortiGate的SSH连接到两个交换机来配置MCLAG,并且用户流量不会受到影响。否则,你将失去与其中一个交换机的管理连接,并导致网络服务中断。如果你有交换机的控制台访问权限,并且不关心网络中断,你可以省略此步骤。
2. 在ICL trunk上启用mclag-icl。
你必须在交换机CLl上配置此设置。如果你从FortiGate访问它们,请首先在终止第二个FortiLink接口链路的交换机的ICL trunk上启用设置(示例中的FSW2),然后在另一个交换机的ICL中继(FSW1)上启用它。这种执行顺序避免了失去对交换机的网络访问。如果你通过控制台连接到交换机CLI,顺序无关紧要。由于自动ISL,ICL trunk应该在每个交换机上自动形成。如果有多个trunk,请通过其名称来识别ICL trunk,该名称应与相邻交换机的序列号相匹配,或查看其端口成员(示例中的port9)。
3. 在FortiLink接口上关闭FortiLink分离接口。
两个FortiLink成员都必须积极参与,MCLAG谈判才能完成。
在之前的程序中,你必须连接到FortiSwitch CLI才能在ICL端口上手动启用mclag-icl。另一种方法是使用FortiGate CLI在ICL端口上设置default-auto-mclag-icl LLDP配置文件。此LLDP配置文件是在FortiSwitch发现的FortiGate上创建的默认LLDP配置文件之一。它指示FortiSwitch在包含具有LLDP配置文件集的端口的自动ISL trunk上自动启用mclag-icl。因此,FortiSwitch创建启用了mclag-icl的自动ISL trunk,并为其分配上图显示的名称。在本课中,你将了解有关LLDP和默认LLDP配置文件的更多信息。
程序中的其他步骤与上上图相同。就是这样,在开始时启用FortiLink分离接口,然后在结束时禁用它,以便MCLAG协商完成。
答案:B
答案:A
答案:A
非常好!你现在了解了链路聚合。接下来你将了解虚拟局域网(VLAN)。
通过展示VLAN的能力,你应该能够在交换机堆叠中部署VLAN,以提高安全性和性能。
当你将设备连接到交换机时,你将冲突域分解为更小的冲突域。然而,所有设备仍然属于同一个广播域,这意味着可以访问所有设备。这意味着设备不仅必须使用宝贵的带宽和系统资源来处理一些他们可能并不真正需要处理的流量,而且没有什么可以阻止设备到达广播域中的其他人。使用VLAN,管理员可以对设备进行逻辑分组并隔离它们,以提高性能和安全性。
当你使用VLAN时,你基本上是在指示交换机在第2层网络上创建额外的广播域,并在仅属于同一VLAN的交换机端口连接的设备之间转发流量。这被称为VLAN内部流量。
如果分配给不同VLAN的设备需要通信(这称为VLAN间流量),你需要第3层设备,如FortiGate或路由器,以启用VLAN之间的通信。作为最佳实践,你应该为每个VLAN分配唯一的IP地址子网。这避免了使用NAT在VLAN之间路由流量,从而简化了部署和故障排除。
在上图显示的示例中,有两种拓扑视图:物理视图和逻辑视图。物理拓扑视图显示了设备如何物理连接到交换机,以及交换机端口的本机VLAN配置。在本课中,你将了解有关本机VLAN的更多信息,但现在,请将其视为设备所属的VLAN。根据端口配置,端口1和端口2分配给VLAN 10,端口3和端口4分配给VLAN 20。因此,拓扑的逻辑视图将显示PC1和PC2可以相互通信,因为它们都属于同一个VLAN(VLAN 10)。同样,PC3和PC4都属于VLAN20,因此可以相互交谈。此外,属于不同VLAN的PC无法相互交谈,因为它们被交换机隔离在单独的广播域中。
VLAN还可以跨越第2层网络中的多个交换机。为了使其发挥作用,交换机在将帧转发到相邻的交换机时会向帧添加一个标签。标签指示帧所属的VLAN的ID。IEEE 802.1Q,通常称为dot1q,是定义以太网帧的VLAN标签以及交换机和其他dot1q兼容设备必须处理这些帧的方式的网络标准。
当相邻交换机收到标记帧时,它会查看标记中的VLAN ID,然后将帧转发到作为同一VLAN一部分的端口,以及记录目标MAC地址的位置。
为了确保相邻的交换机可以相应地处理标记的流量,你必须确保连接交换机间链接(ISL)的端口具有匹配的VLAN标签设置。在FortiSwitch中,控制端口上接受的VLAN ID的设置是Allowed VLANs设置。你将在本课中了解有关此设置的更多信息。
在上图显示的示例中,两个交换机具有相同的端口设置。每个交换机上的端口9用于ISL。端口9设置允许在ISL中标记VLAN ID 10和20的流量。此外,PC1和PC4在VLAN 10中,而PC2和PC3在VLAN 20中。由此产生的逻辑拓扑显示,放置在同一VLAN中的PC可以相互通信,即使它们连接到不同的交换机。
IEEE 802.1Q在以太网头中插入一个4字节字段,其中包含VLAN ID信息,以及当需要服务质量(QoS)时可用于流量标记和优先级设置的其他信息。
该字段分为两个16位一半:标签协议标识符(TPID)和标签控制信息(TCI)。TPID始终为8100,这表明VLAN标签的类型为802.1Q。TCI包含以下子字段:
● 优先级代码点(PCP):指IEEE 802.1p服务类,用于设置帧的优先级。使用QoS策略配置的交换机查看此值,以确定是否应加快帧速度。
● 掉落合格指示器(DEI):指示帧是否可以在拥堵期间掉落。
● VLAN ID (VID):帧所属VLAN的ID。VLAN ID是取值范围为0~4095的数字。FortiSwitch保留使用VLAN ID 0和4095,因此FortiSwitch的实际可配置范围是1~4094。
FortiSwitch使用的部分VLAN ID是FortiSwitch默认使用的。上图的表格显示了这些VLAN ID,以及使用它们的管理模式。
所有VLAN ID都用于用户流量,但VLAN ID 4094除外,该ID仅用于交换机管理流量。因此,FortiGate不会使用VLAN ID 4094创建FortiSwitch VLAN。
注意,你可以更改缺省VLAN ID及其名称,以防止与现有配置冲突。
FortiSwitch VLAN本质上是绑定到FortiLink接口的FortiGate VLAN接口。然后,VLAN用于FortiGate上的第3层路由和FortiSwitch上的第2层VLAN分割。目标是部署一个stick上的路由器拓扑,其中FortiGate处理VLAN间路由,FortiSwitch处理VLAN间转发。
当你在FortiGate上管理FortiSwitch时,你将配置FortiSwitch VLAN,并将其分配给交换机端口。虽然你可以使用FortiGate和第三方交换机部署stick上的路由器拓扑结构,但当你在管理交换机模式下使用FortiSwitch堆叠时,VLAN部署会大大简化,因为FortiOS会自动处理以下内容:
● 在FortiGate上创建VLAN接口
● 为该VLAN下的交换机端口分配相应的VLAN ID
● 确保在连接相邻交换机的ISL上允许使用该VLAN ID,以便多个VLAN的流量可以跨FortiSwitch堆叠
● 为FortiSwitch VLAN所使用的IP子网添加防火墙对象,以便在防火墙的VLAN间流量控制策略中引用
如果你使用的是第三方交换机,则必须手动完成所有这些配置,这可能导致VLAN配置不匹配,并可能影响业务。
上图的示例显示了使用VLAN时的物理和逻辑拓扑视图。请注意,VLAN 4094是默认的交换机管理VLAN,在FortiGate上不能作为FortiSwitch VLAN使用。
当你在FortiGate上管理交换机堆叠时,这些交换机将成为FortiGate的扩展。你以与FortiGate VLAN相同的方式配置和使用FortiSwitch VLAN。请记住,FortiSwitch VLAN必须绑定到FortiLink接口。否则,你在交换机端口上配置VLAN设置时将无法选择VLAN。
此外,FortiGate VLAN上通常提供的所有接口设置,在FortiSwitch VLAN上也可用,例如设备检测、强制门户、DHCP服务器等。
仅适用于FortiSwitch VLAN的一个特定设置是颜色。此设置允许你为VLAN分配颜色,因此当你在GUl上查看交换机端口配置时,你可以快速识别分配给端口的VLAN。
FortiSwitch可以处理标记和未标记的以太网帧。当你配置端口时,你必须确保端口VLAN设置与连接设备对入口和出口流量所需的VLAN标记相匹配。以下列表描述了定义端口如何处理标记和未标记的流量的VLAN设置。请注意,入口和出口流量分别指进入和离开交换机端口的流量。
● 本机VLAN:在大多数情况下,指的是分配给端点的VLAN。本机VLAN可以定义为不带标签的进入流量的缺省VLAN。由于大多数端点发送的流量没有VLAN标签,因此端点流量被放置在定义为本机VLAN的VLAN中。与本机VLAN匹配的出口流量帧也不带标签发送。
● 允许的VLAN:这定义了端口上允许的入口和出口流量以及标记和未标记流量的VLAN列表。端口上隐式允许本机VLAN,因此,你无需将其包含在允许的VLAN列表中。要使端口接受标记为本机VLAN以外的VLAN的传入帧,帧必须标记为允许的VLAN列表中定义的VLAN之一。当没有将VLAN定义为未标记的VLAN时,允许的VLAN的出口流量将被标记。允许的VLAN设置在ISL和FortiLink trunk中很重要,因为在交换机之间以及交换机和FortiGate之间转发的流量通常用多个VLAN标记。你可能还需要在连接发送和期望接收标记流量的端点的端口上调整允许的VLAN设置。一些利用VLAN标记为其应用程序使用的IP电话或服务器就是这种情况。
● 未标记的VLAN:通常,你不必配置此设置。然而,一些功能,如隔离MAC或动态VLAN分配,需要它才能使该功能正常工作。此设置仅适用于出口流量,并定义了出口流量未标记的VLAN列表。要使设置生效,未标记的VLAN也必须是允许的VLAN列表的成员。
要在GUl上编辑端口的本机VLAN和允许的VLAN设置,请浏览到FortiSwitch端口页面,然后将鼠标悬停在相应列上。出现一个铅笔图标。单击铅笔图标以显示可以分配的VLAN列表。对于本机VLAN设置,你只能选择一个VLAN。对于允许的VLAN设置,你可以选择多个。
你也可以通过CLI输入上图所示的CLI命令来配置端口上的VLAN设置。注意,untagged-vlans设置仅在CLl上可用。此外,请注意,在FortiGate GUI或CLI上指定VLAN时,引用的是FortiSwitch VLAN的名称,而不是其VLAN ID。之后,FortiOS将配置推送到交换机时,会给FortiSwitchOS的交换机端口分配相应的VLAN ID。FortiSwitchOS必须执行此映射,因为FortiSwitch在其配置中只引用VLAN ID,而不引用FortiSwitch的VLAN名称。
答案:A
答案:B
答案:B
非常好!现在你已经了解了虚拟局域网。接下来,你将了解第2层发现协议。
通过展示LLDP和CDP的能力,你应该能够理解FortiSwitch是如何做到的发现相邻设备,以及如何显示收集到的邻居信息。
LLDP是一种行业标准的第2层协议,用于发现局域网中的相邻设备。LLDP功能设备定期在连接的端口上发送LLDP广告,以告知邻居它们的存在和功能。LLDP广告中的邻居信息包含在Type-LengthValue(TLV)结构中。然后,邻居主要使用TLV来维护已发现的LLDP邻居列表,但在某些情况下,也用于执行任务,如trunk、端口和端点的自动配置。
在FortiSwitch中,LLDP是开箱即用的,默认情况下,LLDP广告每30秒发送一次。然而,如果交换机在管理交换机模式下运行,由于自动ISL功能,LLDP帧默认每三秒钟发送一次。FortiSwitch将LLDP用于以下目的:
● 第2层发现:FortiSwitch维护一个已发现的LLDP邻居及其功能的列表
● 替代FortiSwitch发现方法:FortiGate根据其LLDP广告而不是FortiLink发现帧发现FortiSwitch设备。
● Auto-ISL:FortiSwitch从相邻的FortiSwitch或FortiGate的LLDP通告中识别出相邻的FortiSwitch或FortiGate,并自动为相邻的设备形成trunk。
当使用LLDP-媒体终端发现 (LLDP-MED)时,它是LLDP的扩展,FortiSwitch还提供:
● 局域网策略的自动发现
● 设备位置发现
● PoE端点的扩展和自动化电源管理
● 库存管理
你将在另一课中了解更多有关LLDP-MED的信息。
上图显示了默认的LLDP设置:
● tx-hold:LLDP广告包括一个TTL TLV,该TLV定义了LLDP帧中包含的信息应在接收器上存储多长时间。TTL值是通过将tx-hold值乘以tx-interval值来计算的。在FortiSwitch上,默认TTL为120秒。
● tx-interval:定义LLDP广告的频率。在管理模式下,每个端口都被分配了default-auto-isl LLDP配置文件,该配置文件将auto-isl-hello-timer设置为3秒。因此,在管理模式下,实际默认间隔为3秒,而不是30秒。
● fast-start-interval:控制FortiSwitch单元在链路启动时发送前四个LLDP报文的频率。
● management-interface:FortiSwitch使用此处选择的接口的IP地址作为LLDP广告中的设备管理IP。
● device-detection:启用后,FortiSwitch使用CAPWAP将LLDP更新转发给FortiGate,以馈送FortiGate设备检测守护进程。
FortiOS不支持在管理交换机上全局禁用LLDP的CLI设置。但是,你可以通过禁用lldp-status来按端口禁用LLDP,如上图所示。默认设置是发送和接收LLDP帧(tx-rx),但你也可以将设置配置为仅发送LLDP帧(tx-only)或仅接收LLDP帧(rx-only)。
你可以使用LLDP配置文件来配置特定于端口的LLDP设置。例如,你可以启用或禁用auto-ISL,选择要宣传的LLDP-MED TLV,或配置LLDP-MED功能的设置,例如定位服务和网络策略。
你只能在FortiGate CLI上编辑LLDP配置文件,但你可以使用FortiGate CLI或GUI应用它们。上图展示了如何在CLI上配置和应用LLDP配置文件。
有关LLDP配置文件中可用设置的信息,请参阅docs.fortinet.com上的FortiSwitch-Managed Switch文档。
你可以在FortiSwitch端口页面应用LLDP配置文件。首先,启用LLDP Profile列。然后,将鼠标悬停在设置上,单击铅笔图标,然后在列表中选择LLDP配置文件。
你必须使用FortiGate CLI来显示你的交换机堆叠发现的LLDP邻居。上图显示了你可以运行的命令,以显示每个端口上从LLDP中学到的信息的摘要。通常,你会对查看设备名称和端口ID列感兴趣,这使你能够快速识别相邻的邻居和端口。
请注意,在示例中,FortiGate将其端口的MAC地址作为端口ID进行广告。当FortiGate端口没有配置别名时,就会发生这种情况。如果设置了别名,FortiGate会将别名作为端口ID进行广告。
使用上图显示的命令在特定端口上显示从LLDP学到的所有信息。输出被切割以适应幻灯片。
上图显示了LLDP详细输出的剩余部分。请注意,邻居中存在的VLAN也包含在输出中。此外,由于邻居通过trunk连接,输出还指示用于LAG的相邻设备上端口的端口ID(端口4)。
请注意,每个邻居显示的信息取决于它所发布的信息。因此,预计不同设备类型和供应商的信息会有所不同。
上图的表格显示了在FortiSwitch上默认创建的LLDP配置文件及其预期用途。
在FortiSwitch管理交换机模式下,所有端口默认分配default-auto-isl配置文件。同样的配置文件也仅在自动发现端口的独立模式下使用。FortiSwitch在独立模式下的所有其他端口都被分配了default配置文件。
另外两个配置文件,default-auto-mclag-icl和fortivoice.fortilink,默认在任何端口没有启用。但是,管理员可能希望使用它们在组成MCLAG对等体组的两台交换机之间自动配置MCLAG ICL trunk,并在语音端点和FortiSwitch所连接的端口上分别自动配置VLAN设置。
注意,除了fortivoice.fortilink之外,你不能删除任何默认的LLDP配置文件。但是,你可以编辑所有这些。
CDP是思科开发的专有协议,用于在局域网中发现相邻设备。FortiSwitch支持CDP广告的接收和处理及其传输。
缺省情况下,FortiSwitch不启用CDP。你可以在每个端口的基础上启用CDP。由于FortiOS不支持通过命令行设置来启用CDP,因此你必须直接在交换机上应用配置,或者使用FortiGate上提供的自定义命令工具。
上图显示了你必须在FortiSwitchOS上运行的CLI命令才能在端口上启用CDP。与LLDP一样,你可以选择是只传输CDP广告,只接收CDP广告,还是同时传输和接收CDP广告。
请注意,只有当你之前在端口上启用了LLDP时,CDP才有效。此外,CDP广告在为LLDP配置的相同间隔内传输。
对于LLDP的详细邻居信息,使用相同的命令显示CDP的邻居信息。上图的例子是为了适合这张幻灯片而剪裁的。
上图显示了CDP邻居详细输出的其余部分。
答案:B
答案:A
答案:B
非常好!现在你已经了解了第二层发现。接下来你将回顾一下本课所涉及的目标。
通过掌握本课所涵盖的目标,你了解了以太网交换基础知识,以及如何在FortiGate上配置基本的第2层功能。
扫一扫
270
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
