教程篇(7.2) 07. 独立交换机 & FortiSwitch ❀ Fortinet网络安全专家 NSE6

本文详细介绍了FortiSwitch在独立模式下的管理功能,包括配置管理接口、管理协议、静态和动态路由设置,以及如何通过GUI访问和配置交换机。同时,文章提到了FortiLAN云服务,用于集中管理和监控独立的FortiSwitch设备,并讨论了高级第2层特性,如ACL、MAC/IP/协议VLAN和PVLAN。
摘要由CSDN通过智能技术生成

  在本课中,你将了解FortiSwitch独立管理,以及独立模式下可用的一些独特功能。

  在这节课中,你将学习上图显示的主题。

  通过展示本地管理能力,你应该能够理解如何在独立模式下配置和监视FortiSwitch。

  管理员通常进行的第一个配置更改是使用控制台端口将管理IP分配给FortiSwitch。FortiSwitch上有两个管理接口:mgmt和internal。Mgmt接口为你提供带外交换机管理。internal接口是通过交换机端口访问的逻辑带内管理接口。请注意,所有FortiSwitch型号都带有internal接口,但有些型号带有MGMT管理接口。

  上图显示了两个接口的出厂默认配置。请注意,尽管mgmt接口被配置为从DHCP获取其主要IP,但该接口也被分配了从IP 192.168.1.99/24。这意味着你可以将PC连接到mgmt端口,在192.168.1.0/24子网中为PC网卡分配任何IP,然后从PC访问交换机。或者,你可以将mgmt连接到你的LAN以通过DHCP获取IP,或者只是分配不同的静态IP地址。

  上图展示了如何在mgmt接口上分配主IP地址,以及如何将SNMP添加到允许的管理协议列表中。默认情况下,mgmt只允许PING、HTTPS和SSH协议。

  默认情况下,internal接口在管理交换机模式下使用,但你也可以在独立模式下使用该接口。但是,由于接口是通过交换机端口访问的,因此你必须确保连接到网络的交换机端口(通常是上行链路端口)默认接受分配给内部的VLAN ID,即VLAN 4094。例如,如果你将port24连接到上游网络基础设施设备,那么如果你希望在该端口接收未标记的管理流量,则可以将VLAN 4094作为port24的本机VLAN。或者,如果你希望管理流量被标记,你可以将VLAN 4094添加到端口24上允许的VLAN中。

  上图的示例显示了如何在internal上设置IP地址和允许的管理协议。注意,默认情况下,internal不允许任何协议。以修改上行端口的VLAN ID为例,本例中为port24。当你在端口上配置允许的VLAN设置时,请记住还包括你希望从端口上接收标记流量的其他VLAN ID。

  在FortiSwitch上设置基本管理访问权限后,你可以访问其GUl进行进一步配置。FortiSwitch GUI显示左侧菜单,该菜单分为以下四个主要部分:

  ● System:本节为你提供交换机管理功能设置的访问权限,例如内部和管理界面、身份验证服务器、证书、流量采样、管理员、FortiSwitchCloud以及固件和配置维护。此外,当你登录FortiSwitch GUI时,你将到达本节的仪表板页面。

  ● Switch:通常,此部分将花费大部分FortiSwitch管理时间。在这里,你可以配置所有与交换相关的方面,如交换机端口、VLAN、STP、ACL、QoS、PoE等。

  ● Router:这是你配置静态和动态路由的地方。仅当交换机具有有效的高级功能许可证时,才会显示动态路由选项。

  ● Log:浏览本节以查看系统日志,以及在设备上配置日志。

  当你访问FortiSwitch GUI时,你会登陆仪表板页面。该页面为你提供整体系统管理和操作信息,并分为四个部分:

  ● 系统信息:包含基本系统信息,如交换机序列号、固件版本、时间和正常运行时间。还有一些链接,可让你快速访问固件、配置和许可证维护页面。你还可以找到重新启动或关闭交换机的链接。

  ● 操作:为你提供交换机的面板视图,显示端口的状态。它还显示了重要的健康信息,如当前的CPU和内存使用情况、以摄氏度为单位的设备温度及其PoE功耗。

  ● 带宽:包含显示总体带宽利用率的实时图表,以及前12个消耗带宽的接口。

  ● 损失:包含实时图表,显示交换机上由于端口错误和掉线造成的数据包丢失。本节的屏幕截图显示在下一张图片上。

  上图显示了仪表板上可用的损失部分的屏幕截图。这张图片上所示的图表表明了这种情况。

  接下来,你将了解管理员访问的一些最相关的GUl页面,以管理独立交换机。

  如果你需要对系统接口进行进一步更改,你可以通过浏览物理系统接口页面来完成此操作,如上图所示。

  如果你想从不同的子网访问交换机,你可能需要在静态路由页面上为管理流量配置一个或多个静态路由。上图显示了使用mgmt接口的默认路由示例。

  要备份和恢复配置,你必须使用仪表板上可用的相应链接。然而,对于修订,你可以使用仪表板上的链接,也可以直接浏览到系统>配置下的修订页面。

  在仪表板上,单击备份以下载交换机配置文件的副本。出于安全目的,你可以选择设置密码来加密文件。加密后,如果没有密码和相同型号和固件的FortiSwitch设备,配置文件将无法解密。如果你没有设置密码,大多数配置文件内容将以纯文本保存。然而,配置文件中的敏感信息被散列,因此被混淆了。散列的敏感信息将包括管理员、本地用户和证书的密码。它还可能包括RADIUS和LDAP服务器的密码。

  恢复配置文件有两个选项:上传自己的文件或恢复到FortiSwitch自动保存的任何文件。单击仪表板上的恢复以上传你的配置文件。如果文件受密码保护,请确保输入密码,以便FortiSwitch可以恢复它。

  修订页面显示系统在本地自动保存的配置文件列表。默认情况下,每当配置发生变化,管理员手动或自动从FortiSwitch注销时,都会发生这种情况。当管理会话过时、固件升级期间或设备重新启动时,管理员会自动注销。你可以恢复到此页面上显示的任何配置文件。

  请注意,恢复或恢复配置会导致交换机重新启动。

  如果你在文本编辑器中打开配置文件,你将看到加密和未加密的配置文件都包含一个纯文本标题,其中包含有关设备的一些基本信息。上图的示例显示了包含哪些信息。要恢复加密的配置文件,你必须将其上传到相同型号和固件的FortiSwitch设备,然后提供密码。要恢复未加密的配置文件,你需要仅匹配型号和固件构建号。

  配置文件大多包含非默认设置。如果文件是纯文本,出于隐私目的,密码将被散列。纯文本文件是故障排除的首选,因为你可以离线查看设备的配置,这在联系Fortinet技术支持时非常有用,也节省了时间。当文件加密时,你必须直接在设备上检查配置。

  上图的示例显示了固件页面的屏幕截图。在将新固件应用于FortiSwitch之前,请确保遵循以下建议:

  1. 阅读新固件的发布说明。该文档包含有关推荐升级路径的重要信息。它还包括有关新固件中引入的已知问题及其解决方案的信息(如果适用)。

  2. 下载当前固件的图像文件。如果你遇到新固件问题,你会这样做,以防你想恢复到旧固件。

  3. 备份当前配置文件。备份对于故障排除或在回滚期间恢复到旧配置非常有用。

  4. 确保你有权访问控制台。这使你能够监控固件升级过程,并捕获控制台上生成的任何相关消息。如果你在升级后碰巧失去了与FortiSwitch的网络连接,控制台也很有用。

  5. 或者,在降级固件后恢复旧的配置文件。当你降级固件时,如果新的固件文件不理解当前配置,因此无法应用它,一些设置可能会丢失。当FortiSwitch运行旧固件时,你备份了配置文件,那么你应该恢复旧配置,以确保不会丢失任何设置。

  升级固件很简单:从本地工作站选择一个图像文件,然后单击应用。如果你上传的固件映像版本早于当前运行的FortiSwitch版本,请务必选择允许固件降级。请注意,升级或降级固件需要重新启动。

  你可以在管理员页面上创建新的系统管理员或编辑现有的系统管理员。编辑管理员时,你可以将其类型设置为常规或远程。前者使用本地密码进行身份验证,而后者使用存储在远程LDAP或RADIUS服务器中的密码。

  通常,你还希望通过分配管理员配置文件来限制管理员权限。

  你在管理员配置文件页面上为管理员配置文件分配权限。在这里,你可以指定读写权限、只读权限或无只读权限。此外,你将权限分配给特定的系统配置范围(或访问控制)。

  默认情况下,有一个名为super_admin的特殊配置文件,由默认帐户管理员使用。它无法更改,它提供了对一切的完全访问权限,使管理员帐户类似于根超级用户帐户。

  prof_admin是另一个默认配置文件。它还提供完全访问权限,但与可以创建其他super_admin用户的super_admin不同,分配prof_admin配置文件的管理员不能。此外,如果需要,你可以更改prof_admin配置文件的权限。

  端口和中继的配置在物理和接口设置中组织。物理设置显示在物理开关端口页面上,主要是特定第1层和第2层功能的设置。例如,你可以设置端口速度和双工模式,在管理上关闭或调出端口,配置端口LLDP设置等。

  此页面上可用的另外两个选项是节能以太网(EEE)和襟翼防护。当你启用EEE时,交换机会监控端口上的流量,如果没有传输数据,则将端口置于睡眠模式。当恢复数据传输时,端口再次开始消耗正常电量。

  襟翼护罩通过检测和自动关闭拍打端口来防止STP不稳定。由于端口每次链接出现时都会通过不同的STP状态进行转换,因此关闭拍打端口可以防止STP进程变得不稳定。

  物理开关端口页面还提供了在电缆上运行时域反射计(TDR)诊断测试的选项。FortiSwitch使用TDR来确定以太网铜缆上每对的估计长度,并检测一对是否有故障。上图的示例显示了连接到端口2的以太网电缆中所有对的良好TDR测试结果。

  大多数交换机端口设置都可以在交换机接口页面上找到。这是你配置portVLAN设置、STP、QoS、IGMP侦听、数据包和流量采样、端口安全等的地方。

  一个更适合独立部署的功能是专用VLAN(PVLAN)。PVLAN将一个主VLAN划分为一个或多个二级VLAN。目标是进一步限制VLAN中端点的访问,而无需更改其当前IP地址。在本课中,你将了解有关PVLAN的更多信息。

  上图的示例显示了你编辑端口时切换接口页面上可用的一些设置。

 你还可以通过浏览到Trunks页面来创建trunk。编辑或创建trunk时,你可以选择仅在独立模式下可用的trunk模式:Fortinet Trunk

  Fortinet trunk模式的创建考虑到了特定的拓扑结构:FortiGate三明治部署。在这种情况下,你有一个或多个FortiSwitch设备从网络接收流量,并将其转发到一个或多个夹层的FortiGate设备进行检查。在FortiGate检查并接受流量后,流量被转发回FortiSwitch。它被称为三明治,因为FortiSwitch负载平衡了多个FortiGate设备的流量。为了平衡流量,你需要在FortiSwitch上配置一个或多个trunk,每个trunk成员连接到不同的FortiGate。

  与使用LACCPDU监控trunk成员健康状况的LACP不同,Fortinet中继使用UDP进行心跳数据包。这种机制使FortiSwitch能够通过验证在 trunk成员上发送的心跳数据包是否在同一成员处收到来检查连接的夹层FortiGate设备的运行状况,从而防止FortiSwitch向死的FortiGate发送流量。

  你可能会访问的另一个重要页面是位于Switch菜单下的Monitor页面。在这里,你可以找到多个交换相关功能的状态信息,例如MAC地址表(或转发表)、trunk、端口统计信息和STP。上图的示例显示了转发表、trunk和端口统计页面的屏幕截图。

  浏览到日志页面以显示系统生成的本地日志。在这里,你可以将日志下载为文本文件或删除它们。还有一个过滤器工具栏和一个搜索栏,可用于显示特定的日志。

  大多数管理员在管理交换机模式下部署FortiSwitch。然而,一些不熟悉管理交换机模式的管理员更喜欢先在独立模式下部署FortiSwitch,然后最终转到FortiGate管理的设置。

  当你在FortiSwitch上启用管理交换机模式时,独立交换机上的配置将被管理交换机的默认配置所取代,这意味着你的独立设置将丢失。这也意味着你必须重新开始FortiSwitch配置,但这次使用FortiGate。为了节省时间,Fortinet为您提供了一个名为fortilinkify .py的迁移工具,可在fndn. fortinet.net的Fortinet Developer Network(FNDN)页面上下载。

  该工具是一个Python脚本,可将FortiSwitch独立配置文件中支持的设置转换为托管交换机的等效FortiOS设置。请注意,并非FortiSwitch配置文件中的所有设置都已转换。只有那些由管理切换模式和脚本支持的。FNDN页面上的工具文档包含支持的设置列表。

  使用脚本:

  1. 从你的独立交换机下载配置文件。不要设置密码。

  2. 运行脚本。该脚本将独立交换机的配置文件作为输入,并生成具有等效FortiOS设置的配置文件。

  3. 查看脚本生成的配置文件。你应该知道将在FortiGate上应用的更改。

  4. 在FortiGate上应用配置文件。为此,你可以使用FortiGate GUl脚本工具。

  答案:A

  答案:B

  答案:A

  非常好!你现在了解了本地管理。接下来你将了解FortiLAN云。

  通过展示FortiLAN云的能力,你应该能够了解如何从FortiLAN云管理一个或多个FortiSwitch岛屿。

  FortiLAN Cloud(fortilan.forticloud.com)是一个管理即服务(MaaS)解决方案,为独立的FortiSwitch设备和Fortinet无线FortiAP设备提供集中发现、可见性和配置,但是,本课程仅涵盖FortiSwitch。

  FortiLAN云要求每个交换机都有互联网接入和有效的支持合同。你还必须在Fortinet支持帐户上注册FortiSwitch,以便你可以在FortiLAN云上添加设备。此外,如果你想管理三个以上的FortiSwitch设备,你必须购买FortiLAN云许可证。

  默认情况下,FortiLAN云被禁用。启用后,FortiSwitch使用HTTPS在TCP端口443上安全地连接到fortiswitch-dispatch. forticloud.com。建立连接后,FortiLAN云每5分钟从FortiSwitch轮询一次数据。

  上图显示了控制FortiSwitch上FortiLAN云功能的FortiSwitchOS CLI设置。如果你还想从FortiLAN云管理你的独立交换机,请确保在config system flan-cloud下启用该功能。

  登录FortiLAN云后,你将登录摘要页面的网络选项卡。在此页面中,你可以访问已部署的FortiSwitch设备和事件的摘要信息。FortiLAN云使用网络将设备逻辑地组合在一起,以便进行管理。默认网络称为组合默认,如果没有定义自定义组,所有设备都将放置在此组中。你可以通过单击添加网络按钮从此页面创建自定义网络。要选择包含您要管理的设备的网络,请单击底部网络部分中的网络名称。

  设备选项卡上的库存设备显示已注册到Fortinet帐户但未部署到FortiLAN云进行管理的FortiSwitch设备。在此页面中,你可以通过选择设备并单击部署将一个或多个FortiSwitch设备部署到FortiLAN云。你将设备分配到其各自的网络,以便在部署过程中相应地分组。部署FortiSwitch设备后,它不再显示在库存设备下,而是移动到已部署的设备。在上图所示的示例中,FortiSwitch被部署到名为Lab_Network的网络中,库存设备计数器从3减少到2,此操作发生后,部署设备计数器从0增加到1。

  添加一个或多个FortiSwitch设备后,你可以浏览到Switch菜单下的仪表板页面,在那里你可以获得交换机的状态摘要。页面上有多个小部件,每个小部件都报告不同的FortiSwitch功能。每个仪表板都与你选择的网络对象相关。在上图显示的示例中,选择了名为Lab_Network的网络,因此仅显示添加到该网络的FortiSwitch设备。

  每个小部件都包含链接,为你提供有关相关功能的更多详细信息。请注意,示例屏幕截图已裁剪过。

  单击拓扑以查看基于交换机发现的LLDP邻居信息构建的物理拓扑。该页面显示由FortiLAN云管理的每个FortiSwitch岛的物理拓扑。岛屿是一组相互连接的FortiSwitch设备。上图的示例仅显示一个FortiSwitch岛。

  只有发现LLDP邻居的物理连接才包含在拓扑中。

  你还可以单击缩放图标以显示物理连接的详细视图。

  详细拓扑页面显示连接到每个LLDP邻居的端口。单击拓扑中的设备以显示详细信息。上图的示例显示了名为Core-1的FortiSwitch设备的连接详细信息。

  已部署交换机页面为你提供当前在FortiLAN云上管理的FortiSwitch设备列表。

  右键单击开关以显示可用操作和信息的列表。你还可以单击操作列中的图形图标,以显示重要操作参数的历史图形,例如CPU、温度、带宽和MAC地址表中的条目数量。

  诊断和详细信息页面允许您执行许多常见的配置和维护任务,例如配置备份和恢复、重新启动交换机、查看交换机端口详细信息和固件升级。您还可以启动电缆测试、启动ping和跟踪路由诊断、弹跳物理端口、重置PoE、查看MAC地址表、路由表、LLDP邻居详细信息等。

  此页面还为你提供了SSH和GUI连接工具。当你使用FortiLAN云连接到FortiSwitch GUl或CLI时,你通过FortiLAN云与设备建立安全连接,而不是直接连接。

  配置页面显示FortiSwitch上最常见功能的配置工具。此处显示的大多数功能你应该已经很熟悉了,配置它们的方式与你在FortiGate管理的交换机或直接在FortiSwitch上配置它们的方式非常相似。因此,本课程仅关注前三个功能,这些功能在FortiLAN云上是独一无二的:零触摸配置、配置备份/恢复和计划升级。

  零接触配置(ZTC)使你能够在预定时间或当交换机首次连接到FortiLAN云时,将配置设置和固件应用于一个或多个交换机。你可以按标签、序列号或型号选择目标交换机。

  要使用ZTC应用配置,你需要输入要在设备上运行的相应FortiSwitchOS CLI设置。如果你还为设备选择了固件版本,那么FortiLAN云首先在FortiSwitch上应用新固件,然后应用配置。

  默认情况下,新的ZTC任务被禁用。因此,你必须通过切换ZTC页面上的任务状态按钮来启用任务。

  上图示例显示了一个ZTC任务,该任务将固件版本7.2.2应用于交换机,并设置其主机名。开关按主机名选择,任务计划在特定日期和时间运行。

  浏览到计划升级页面,在一个或多个交换机上安排固件升级。你可以按型号、标签或主机名选择目标开关。

  默认情况下,新的计划升级任务被禁用。因此,你必须通过切换其状态按钮来启用任务。

  上图示例显示了计划升级任务,该任务适用于所有108F型号FortiSwitches的最新固件版本。开关按型号选择,任务计划在特定日期和时间运行。请注意,有一个可用字段,你可以在其中添加序列号,以将特定设备排除在升级过程中。

  配置备份/恢复页面允许你导入、克隆和恢复到FortiSwitch存储在FortiLAN云中的配置文件。你可以通过单击查看按钮快速查看配置文件的内容。如果你想将配置应用于交换机,请在选择所需配置时单击恢复按钮,如上图所示。请注意,将配置应用于交换机会导致交换机重新启动。

  浏览到监控页面以查看最常见功能的状态。上图显示了你可以监控的一些功能的示例屏幕截图。请注意,尽管显示的信息适用于所有管理交换机,但如果需要,你可以过滤特定交换机的信息。

  答案:A

   答案:B

  答案:B

  非常好!你现在了解了FortiLAN云。接下来你将了解高级第2层。

  通过展示高级第2层的能力,你应该能够了解如何使用ACL、MAC、IP和基于协议的VLAN以及PVLAN来部署复杂的第2层服务。

  访问控制列表(ACL)使你能够对进入和离开交换机的匹配流量执行多个操作。你可以将FortiSwitch配置为对流量执行以下类型的操作:

  ● 流量处理:计数、删除、重定向或镜像帧

  ● QoS:速率限制,设置出口队列,或在帧上注释CoS和DSCP值

  ● VLAN:在帧上设置外部VLAN标签

  要匹配ACL上的流量,你需要配置分类器。分类器使你能够使用多个标准匹配流量,例如:目标和源IP地址、目标和源MAC地址、CoS和DSCP值以及VLAN ID。FortiSwitch从上到下检查ACL策略,直到找到匹配项。

  你可以在流量处理管道的不同阶段配置ACL。根据FortiSwitch型号,你可以配置ACL最多三个不同的阶段:

  ● 预查找:这是入口流量管道中的第一阶段。它发生在交换机执行第2层和第3层查找之前,它支持减少的操作数量。如果在此阶段支持你需要的操作,那么在大多数情况下,最好在交换机进一步处理流量之前在此阶段应用该操作。

  ● 这是入口流量的第二阶段。它支持更多的行动。

  ● 出口:动作仅应用于出口流量。

  大多数FortiSwitch型号在入口阶段支持ACL。然而,只有一些型号在预查找和出口阶段支持ACL。

  上图显示了ACL入口策略配置的第一部分,该配置将端口1接收的ICMP流量重定向到端口2。创建ACL预查找和出口策略的过程是相同的,只是可用于分类器和操作的选项较少。

  ACL配置期间的第一步是指示ACL策略ID和应用ACL策略的接口。上图的示例显示端口1是选定的接口,这意味着ACL入口策略应用于端口1接收的入口流量。或者,你还可以选择ACL组和时间表。

  ACL组通过在组中安排ACL策略,允许同一数据包匹配多个ACL策略。结果是,FortiSwitch并行检查在多个组中配置的ACL策略,然后应用在每个匹配的ACL上配置的非冲突操作。如果有冲突的操作,FortiSwitch通过应用组号最低的ACL的操作来解决它。

  支持的ACL组的数量取决于平台。例如,FortiSwitch 224E型号支持四组。默认情况下,在GUl上配置的所有ACL策略都放在第1组中。如果你想在ACL上设置不同的组,那么你必须使用CLI和创建ACL时设置组。

  时间表指明了执行ACL的日期和时间。要让FortiSwitch在GUI上显示时间表,你必须之前在config system schedule下使用FortiSwitch CLl配置了它们。

  上图显示了ACL入口策略配置的第二部分,特别是分类器部分。在这里,你设置了FortiSwitch在数据包上查找的标准,以确定匹配。你可以定义多个第2层和第3层标准。

  你还可以定义要匹配的服务——示例中的所有ICMP流量。FortiSwitch附带一个预定义服务列表。如果你的流量与任何预定义服务不匹配,你可以在命令行config switch acl service custom命令下配置自定义服务。

  请注意,以太网类型字段要求你以十进制形式键入以太网类型值。例如,IPv4十六进制表示0x0800,十进制表示2048。

  上图显示了ACL入口策略配置的最后一部分,特别是操作部分。有多种操作可供选择,它们因阶段而异。上图的示例指示FortiSwitch计算匹配的数据包,并分别以5和10作为CoS和DSCP值进行注释。此外,数据包被转发到端口2。计数数据包对于故障排除和监控很有用,因为有时你想知道端口是否收到了与ACL策略上的特定分类器匹配的数据包。

  有三个选项可以控制匹配数据包的转发方式。出口掩码表示数据包不得转发到的端口,而重定向物理端口表示将数据包重定向到的物理端口列表。你还可以使用重定向接口选项,该选项类似于重定向物理端口,只是你还可以将数据包重定向到逻辑接口,如内部接口和中继,而不仅仅是物理端口。使用重定向接口的一个缺点是,你只能选择一个接口。而重定向物理端口允许你选择多个端口。请注意,你不能与重定向接口同时使用出口掩码或重定向物理端口选项。

  另外两个可用的行动是镜像和警务。镜像使FortiSwitch能够使用所选镜像配置文件中定义的SPAN、RSPAN或ERSPAN将匹配数据包的副本发送到监控设备。原始数据包仍然根据端口上配置的转发规则(丢弃、计数、重定向等)进行处理。只是制作了一份用于监控和故障排除数据包的副本。您将在另一节课中学习有关镜像的更多信息。Policing使FortiSwitch能够根据所选的警察配置文件对流量进行评级限制。

  上图显示了之前在GUI上配置的ACL入口策略的等效CLI设置。请注意,CLI以十六进制显示以太网类型。上图还显示了在ACL入口策略上选择的时间表的设置。

  此外,请记住,如果你想将ACL策略分配给其他组(默认组为1),则必须在CLI和ACL创建期间设置组ID。

  ACL策略使你能够对与ACL策略匹配的流量进行评级限制。策略的实现基于单速率三色标记(srTCM;RFC 2697)。

  保证带宽保证突发最大突发设置分别对应于RFC 2697中定义的提交信息速率(CIR)、提交突发大小(CBS)和过剩突发大小(EBS)参数。

  保证带宽以下的流量标记为绿色。保证突发以上和最大突发以下的流量被标记为黄色。超过最大突发的流量被标记为红色。然后,FortiSwitch允许标记为绿色的流量,并删除标记为黄色或红色的流量。

  上图显示了一个ACL策略配置的示例。注意,Type的设置决定了策略是用于ACL的入口策略,还是用于ACL的出口策略。

  如果你在ACL策略上启用计数操作,那么FortiSwitch会计算与ACL分类器匹配的每个数据包。你可以浏览ACL计数器页面,以显示ACL上匹配数据包和字节的总数。

  通常,你通过配置本机VLAN并将端口分配给VLAN,并在端口上允许VLAN设置。然后,FortiSwitch使用这些设置来确定VLAN来分配未标记和标记的入口流量。但是,如果你想根据流量的源地址和以太网协议将流量分配给VLAN呢?后者可以通过MAC、IP和基于协议的VLAN实现。

  基于MAC、IP和协议的VLAN允许你根据端点源MAC地址、源IP地址和以太网协议(或以太网类型)将入口流量分配给VLAN。然后,在处理入口流量时,FortiSwitch覆盖端口上的VLAN设置,将VLAN分配给MAC、IP和基于协议的VLAN配置中的端点(或成员)。一个好处是,你可以在不同的VLAN中将不同的设备放在同一个交换机端口后面。另一个好处是移动性,因为端点可以分配给相同的VLAN,无论它们连接到的交换机端口如何。

  MAC、IP和基于协议的VLAN提供的好处也可以通过802.1X身份验证获得。然而,802.1X被认为更具可扩展性和安全性,因此通常是一个更好的选择。因此,MAC、IP和基于协议的VLAN更经常被用作特定场景的解决方案,而不是网络中的主要VLAN分配方法。

  上图的示例显示了FortiSwitch上端口1后面的PC1和PC2。port1上的本机VLAN是VLAN 20。在标准VLAN操作下,这将导致FortiSwitch在将帧转发到端口2时从PC1用VLAN 20标记帧。然而,由于PC1是VLAN 10的成员(MAC地址的成员),所以FortiSwitch会用VLAN 10标记PC1的帧。来自PC2的出口端口2的帧被标记为VLAN 20,因为与PC1不同,PC2没有配置为VLAN 10的成员。

 你可以使用GUI通过MAC地址和IPv4地址配置VLAN成员,如上图所示。但是,如果你想通过IPv6地址和以太网协议配置成员,那么你必须使用CLI,如上图所示。

  请注意,GUI屏幕截图已被裁剪。

  在本课中引入MAC、IP和基于协议的VLAN时,示例显示,端口1上允许的VLAN和未标记的VLAN设置被设置为10。需要这些设置才能允许目的地为PC1的流量。

  上图的示例显示了与以前相同的拓扑,只是它专注于指向端点的流量。当FortiSwitch接收发送到PC1的端口2帧时,FortiSwitch不会将帧转发到端口1,除非端口1将VLAN 10配置为本机VLAN,或者VLAN 10包含在允许的VLAN设置中。如果您使用的是MAC、IP和基于协议的VLAN,那么您可能不想更改本机VLAN设置,这意味着您必须在允许的VLAN设置中包含VLAN 10。此外,如果连接的设备希望接收未标记的流量,那么你还必须在未标记的VLAN设置中包含VLAN 10,以便FortiSwitch在没有VLAN标签的情况下转发帧。对于PC2,FortiSwitch可以将流量转发到设备,因为VLAN 20被设置为端口1上的本机VLAN。

  上图还展示了如何使用GUI配置允许的VLAN和未标记的VLAN设置。

  你可以通过运行diagnose switch vlan assignment CLI命令来查看分配的VLAN成员。上图显示了MAC查询成员时显示的输出示例。

  请注意,MAC地址表还反映了MAC、IP和基于协议的VLAN分配。

  PVLAN将主VLAN划分为一个或多个辅助VLAN。也就是说,PVLAN将广播域划分为多个较小的广播子域。PVLAN使你能够进一步限制VLAN中设备的访问,而无需更改其当前IP地址。

  从VLAN有两种类型:

  ● 隔离:此VLAN中的主机只能与主VLAN中的主机通信。与同一隔离VLAN中的主机的通信,以及与社区VLAN中的主机的通信被阻止。

  ● 社区:此VLAN中的主机可以与同一社区VLAN中的其他主机或主VLAN中的主机进行通信。与不同二级VLAN中的主机的通信被阻止。

  根据PVLAN设置的不同,端口分为以下几种类型:

  ● 混杂端口(P-Port):仅作为主VLAN成员的端口。此端口上没有配置辅助VLAN。连接到此端口的主机可以与隔离VLAN或社区VLAN中的主机通信。通常,您需要在连接到路由器、防火墙和其他类型的网关设备的交换机端口上配置这种类型的端口。

  ● 隔离端口(I-Port):作为隔离VLAN成员的端口。用例可以是仅需要与网关设备(南北流量)通信的服务器,从而保护设备免受潜在的内部攻击。

  ● 社区端口(C-Port):作为社区VLAN成员的端口。用例可以是需要与网关设备以及同一社区VLAN中其他一些设备通信的服务器,用于东西方流量,从而将通信限制在必要的最低限度。

  上图的示例显示了如何通过使用PVLAN在VLAN内限制通信。

  配置PVLAN的第一步是在VLAN页面上创建PVLAN。选择启用以显示辅助VLAN的设置。请注意,每个主VLAN只能配置一个隔离的VLAN,但可以配置多个社区VLAN。

  下一步是配置接口VLAN设置。在上图显示的示例中,端口5、端口1和端口3分别配置为P-Port、I-Port和C-Port。

  答案:B

  答案:A

  答案:B

  非常好!你现在了解了高级第2层。接下来你将了解路由。

  通过演示路由能力,你应该能够理解如何配置FortiSwitch来路由用户流量。

  默认情况下,FortiSwitch只进行以太网切换。但是,你可以将FortiSwitch配置为使用静态和动态路由路由用户流量。请注意,动态路由需要高级服务许可证。

  根据FortiSwitch型号,路由是在硬件或软件上完成的。基于硬件的路由通常性能更好,因为路由由ASIC完成,而基于软件的路由由系统CPU完成,这阻碍了性能。

  你可以配置第3层接口以在FortiSwitch上执行路由。支持以下类型的第3层接口:

  ● 环回:没有关联任何物理接口的逻辑接口。它通常被用作可靠的IP接口,用于动态协议协商和更新。

  ● 交换机虚拟接口 (SVI):与VLAN关联并支持用户流量路由的逻辑接口。如果你熟悉FortiGate,请将SVI视为VLAN接口。

  所有支持路由的FortiSwitch型号都可以执行静态路由。然而,根据型号,支持以下部分或全部动态路由协议:BGPv4、OSPFv2、RIPv2和ISIS。请参阅fortinet.com上的FortiSwitch数据表,以了解哪些型号执行基于硬件或软件的路由,哪些型号支持动态路由,以及它们支持的动态路由协议。

  上图的示例显示了FortiSwitch作为第3层路由器。FortiSwitch在端点之间执行VLAN间路由。FortiSwitch还将互联网流量转发到FortiGate,后者充当互联网网关。FortiSwitch配置了三个SVl:V100、V101和V102。V100充当往返FortiGate的流量的IP接口。这可以使用静态或动态路由来完成。V101和V102分别作为VLAN 101和102中端点的LAN网关。

  上图的示例展示了如何在GUl上配置SVI和环回接口。请注意,你必须将SVI绑定到内部接口。

  上图示例显示了在GUl上配置的默认静态路由。请注意,你必须选择路由使用的接口(或设备)。

  如果你的FortiSwitch拥有有效的高级服务许可证,FortiSwitch GUl会显示一个OSPF子菜单,可用于配置OSPF。上图的示例显示了GUI上可用的四个OSPF部分中每个部分的基本OSPF配置。接下来描述了这四个部分:

  ● OSPF设置:这是你在OSPF配置中的起点。在这里,你可以启用OSPF,设置OSPF路由器ID,并可选择要重新分配到OSPF的路由类型。上图的示例显示10.9.0.169为OSPF路由器ID,并且没有重新分配的路由。

  ● OSPF区域:启用OSPF后,你必须在本节中至少配置一个OSPF参与的OSPF区域。上图的示例显示了骨干区域(area0.0.0.0)的配置。

  ● OSPF网络:这是你在OSPF区域配置一个或多个OSPF网络的地方。网络决定了第3层接口FortiSwitch打开OSPF。这张幻灯片上的示例显示了在骨干区域配置的网络10.0.100.0/30。

  ● OSPF接口:可选地,你可以编辑系统接口(或第3层接口)上的默认OSPF设置。系统接口包括mgmt、内部和SVL。你可以配置接口设置,如OSPF计时器、MTU、成本、身份验证等。上图的示例显示了具有默认设置的系统接口。

  或者,你可以使用FortiSwitch CLI配置OSPF。CLI为你提供了更多配置OSPF的设置。通常,高级OSPF用户首先在FortiSwitch GUI上配置基本OSPF设置,然后在CLI上继续设置以配置高级设置。

  上图的示例显示了之前在GUl上应用的等效CLI配置。与GUI一样,只有当FortiSwitch拥有有效的高级服务许可证时,CLI才会显示OSPF配置节点。如果你熟悉FortiOS中的OSPF配置,请注意FortiSwitchOS CLI中的OSPF配置与FortiOS非常相似。

  请参阅docs. fortinet.com上的FortiSwitchOS CLI参考指南,以获取CLI上OSPF可用设置的完整列表。

  上图显示了两个最常见的OSPF监控CLI命令。你可以使用get router info ospf neighbor命令在FortiSwitch上获取OSPF邻接状态。上图的示例显示,与邻居ID 10.9.0.205的邻接已启动(完全同步),并且邻居是指定路由器(DR)。

  另一个有用的CLI命令是get router info ospf interface。你可以使用此命令获取参与OSPF的系统接口列表。在上图的示例中,V100是唯一参与OSPF的接口。

  请参阅docs. fortinet.com上的FortiSwitchOS CLI参考指南,以获取可用于OSPF的监控命令的完整列表。

  你只能在FortiSwitch CLI上配置BGP。此外,BGP仅在高端FortiSwitch型号上受支持,前提是交换机具有有效的高级服务许可证。

  上图的示例展示了一个非常基本的BGP配置。FortiSwitch分别被分配为65002和10.9.0.169作为自治系统(AS)和BGP路由器ID。此外,FortiSwitch被配置为与外部BGP邻居10.0.100.1对等,后者使用65001作为其AS。

  如果你熟悉FortiOS中的BGP配置,请注意FortiSwitchOS CLl中的BGP配置与FortiOS非常相似。

  参考docs.fortinet.com中的FortiSwitchOS CLI参考指南。在CLI上获取BGP可用设置的完整列表。

  上图显示了由get router info bgp summary CLI命令产生的输出示例。该命令通常用于在FortiSwitch上监控BGP,并显示所有BGP对等的状态。上图的示例显示,与邻居10.0.100.1的对等已上升,FortiSwitch从该邻居那里收到了一个前缀。

  请注意,输出包含两个部分:一个用于IPv4,另一个用于IPv6。每个部分都表示收到的IPv4或IPv6前缀的数量。上图的示例显示,没有从邻居10.0.100.1收到IPv6前缀。

  请参阅docs. fortinet.com上的FortiSwitchOS CLI参考指南,以获取BGP可用的监控命令的完整列表。

  乍一看,FortiSwitch路由表显示与其他路由表相同的标准信息。然而,一个区别是选择、排队、拒绝、硬件表和FIB列的存在,接下来将解释:

  ● Selected:表示该路由是否是目的网络的最佳路由。

  ● Queued:表示该路由是否在硬件路由表中等待安装。在硬件路由表中安装路由之前,首先对路由进行排队。这个过程通常发生得很快。

  ● Rejected:不支持的路由,因此被FortiSwitch拒绝。

  ● FIB:表示安装在转发信息库(FIB)中的路由。与FortiGate一样,FortiSwitch维护一个FIB,它由最佳(或选定的)连接、静态和动态路由组成。注意最佳使用。这是因为,与FortiGate一样,并非所有路由都安装在FortiSwitch FIB中。只有每个目的地网络的最佳路线才是。

  ● HW Table:表示FIB中的哪些路由被安装在硬件路由表中。FortiSwitch首先查找硬件路由表,如果没有匹配,则尝试FIB。基于硬件的路由是FortiSwitch使用硬件路由表中的路由,这些路由被加载到ASIc中。基于软件的路由是在FortiSwitch使用FIB中的路由时完成的,这些路由是在内核中加载的。

  在上图所示的示例中,表中的第一条路由,即距离为220的静态默认路由,没有安装在FIB中,因为FortiSwitch更喜欢通过OSPF学习的默认路由,OSPF的距离较低(110)。然而,静态路由保持待命状态,如果删除OSPF路由,则安装在FIB中。

  答案:A

  答案:B

  非常好!你现在已经了解了路由。接下你将回顾本课中涵盖的目标。

  通过掌握本课所涵盖的目标,你了解了FortiSwitch在独立模式下运行时可以使用哪些特性。


评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值