上图显示了两个接口的出厂默认配置。请注意,尽管mgmt接口被配置为从DHCP获取其主要IP,但该接口也被分配了从IP 192.168.1.99/24。这意味着你可以将PC连接到mgmt端口,在192.168.1.0/24子网中为PC网卡分配任何IP,然后从PC访问交换机。或者,你可以将mgmt连接到你的LAN以通过DHCP获取IP,或者只是分配不同的静态IP地址。
上图展示了如何在mgmt接口上分配主IP地址,以及如何将SNMP添加到允许的管理协议列表中。默认情况下,mgmt只允许PING、HTTPS和SSH协议。
上图的示例显示了如何在internal上设置IP地址和允许的管理协议。注意,默认情况下,internal不允许任何协议。以修改上行端口的VLAN ID为例,本例中为port24。当你在端口上配置允许的VLAN设置时,请记住还包括你希望从端口上接收标记流量的其他VLAN ID。
● System:本节为你提供交换机管理功能设置的访问权限,例如内部和管理界面、身份验证服务器、证书、流量采样、管理员、FortiSwitchCloud以及固件和配置维护。此外,当你登录FortiSwitch GUI时,你将到达本节的仪表板页面。
● Switch:通常,此部分将花费大部分FortiSwitch管理时间。在这里,你可以配置所有与交换相关的方面,如交换机端口、VLAN、STP、ACL、QoS、PoE等。
● Router:这是你配置静态和动态路由的地方。仅当交换机具有有效的高级功能许可证时,才会显示动态路由选项。
● Log:浏览本节以查看系统日志,以及在设备上配置日志。
● 系统信息:包含基本系统信息,如交换机序列号、固件版本、时间和正常运行时间。还有一些链接,可让你快速访问固件、配置和许可证维护页面。你还可以找到重新启动或关闭交换机的链接。
● 操作:为你提供交换机的面板视图,显示端口的状态。它还显示了重要的健康信息,如当前的CPU和内存使用情况、以摄氏度为单位的设备温度及其PoE功耗。
● 带宽:包含显示总体带宽利用率的实时图表,以及前12个消耗带宽的接口。
● 损失:包含实时图表,显示交换机上由于端口错误和掉线造成的数据包丢失。本节的屏幕截图显示在下一张图片上。
接下来,你将了解管理员访问的一些最相关的GUl页面,以管理独立交换机。
在仪表板上,单击备份以下载交换机配置文件的副本。出于安全目的,你可以选择设置密码来加密文件。加密后,如果没有密码和相同型号和固件的FortiSwitch设备,配置文件将无法解密。如果你没有设置密码,大多数配置文件内容将以纯文本保存。然而,配置文件中的敏感信息被散列,因此被混淆了。散列的敏感信息将包括管理员、本地用户和证书的密码。它还可能包括RADIUS和LDAP服务器的密码。
恢复配置文件有两个选项:上传自己的文件或恢复到FortiSwitch自动保存的任何文件。单击仪表板上的恢复以上传你的配置文件。如果文件受密码保护,请确保输入密码,以便FortiSwitch可以恢复它。
修订页面显示系统在本地自动保存的配置文件列表。默认情况下,每当配置发生变化,管理员手动或自动从FortiSwitch注销时,都会发生这种情况。当管理会话过时、固件升级期间或设备重新启动时,管理员会自动注销。你可以恢复到此页面上显示的任何配置文件。
请注意,恢复或恢复配置会导致交换机重新启动。
配置文件大多包含非默认设置。如果文件是纯文本,出于隐私目的,密码将被散列。纯文本文件是故障排除的首选,因为你可以离线查看设备的配置,这在联系Fortinet技术支持时非常有用,也节省了时间。当文件加密时,你必须直接在设备上检查配置。
1. 阅读新固件的发布说明。该文档包含有关推荐升级路径的重要信息。它还包括有关新固件中引入的已知问题及其解决方案的信息(如果适用)。
2. 下载当前固件的图像文件。如果你遇到新固件问题,你会这样做,以防你想恢复到旧固件。
3. 备份当前配置文件。备份对于故障排除或在回滚期间恢复到旧配置非常有用。
4. 确保你有权访问控制台。这使你能够监控固件升级过程,并捕获控制台上生成的任何相关消息。如果你在升级后碰巧失去了与FortiSwitch的网络连接,控制台也很有用。
5. 或者,在降级固件后恢复旧的配置文件。当你降级固件时,如果新的固件文件不理解当前配置,因此无法应用它,一些设置可能会丢失。当FortiSwitch运行旧固件时,你备份了配置文件,那么你应该恢复旧配置,以确保不会丢失任何设置。
升级固件很简单:从本地工作站选择一个图像文件,然后单击应用。如果你上传的固件映像版本早于当前运行的FortiSwitch版本,请务必选择允许固件降级。请注意,升级或降级固件需要重新启动。
通常,你还希望通过分配管理员配置文件来限制管理员权限。
默认情况下,有一个名为super_admin的特殊配置文件,由默认帐户管理员使用。它无法更改,它提供了对一切的完全访问权限,使管理员帐户类似于根超级用户帐户。
prof_admin是另一个默认配置文件。它还提供完全访问权限,但与可以创建其他super_admin用户的super_admin不同,分配prof_admin配置文件的管理员不能。此外,如果需要,你可以更改prof_admin配置文件的权限。
此页面上可用的另外两个选项是节能以太网(EEE)和襟翼防护。当你启用EEE时,交换机会监控端口上的流量,如果没有传输数据,则将端口置于睡眠模式。当恢复数据传输时,端口再次开始消耗正常电量。
襟翼护罩通过检测和自动关闭拍打端口来防止STP不稳定。由于端口每次链接出现时都会通过不同的STP状态进行转换,因此关闭拍打端口可以防止STP进程变得不稳定。
物理开关端口页面还提供了在电缆上运行时域反射计(TDR)诊断测试的选项。FortiSwitch使用TDR来确定以太网铜缆上每对的估计长度,并检测一对是否有故障。上图的示例显示了连接到端口2的以太网电缆中所有对的良好TDR测试结果。
一个更适合独立部署的功能是专用VLAN(PVLAN)。PVLAN将一个主VLAN划分为一个或多个二级VLAN。目标是进一步限制VLAN中端点的访问,而无需更改其当前IP地址。在本课中,你将了解有关PVLAN的更多信息。
上图的示例显示了你编辑端口时切换接口页面上可用的一些设置。
Fortinet trunk模式的创建考虑到了特定的拓扑结构:FortiGate三明治部署。在这种情况下,你有一个或多个FortiSwitch设备从网络接收流量,并将其转发到一个或多个夹层的FortiGate设备进行检查。在FortiGate检查并接受流量后,流量被转发回FortiSwitch。它被称为三明治,因为FortiSwitch负载平衡了多个FortiGate设备的流量。为了平衡流量,你需要在FortiSwitch上配置一个或多个trunk,每个trunk成员连接到不同的FortiGate。
与使用LACCPDU监控trunk成员健康状况的LACP不同,Fortinet中继使用UDP进行心跳数据包。这种机制使FortiSwitch能够通过验证在 trunk成员上发送的心跳数据包是否在同一成员处收到来检查连接的夹层FortiGate设备的运行状况,从而防止FortiSwitch向死的FortiGate发送流量。
当你在FortiSwitch上启用管理交换机模式时,独立交换机上的配置将被管理交换机的默认配置所取代,这意味着你的独立设置将丢失。这也意味着你必须重新开始FortiSwitch配置,但这次使用FortiGate。为了节省时间,Fortinet为您提供了一个名为fortilinkify .py的迁移工具,可在fndn. fortinet.net的Fortinet Developer Network(FNDN)页面上下载。
该工具是一个Python脚本,可将FortiSwitch独立配置文件中支持的设置转换为托管交换机的等效FortiOS设置。请注意,并非FortiSwitch配置文件中的所有设置都已转换。只有那些由管理切换模式和脚本支持的。FNDN页面上的工具文档包含支持的设置列表。
使用脚本:
1. 从你的独立交换机下载配置文件。不要设置密码。
2. 运行脚本。该脚本将独立交换机的配置文件作为输入,并生成具有等效FortiOS设置的配置文件。
3. 查看脚本生成的配置文件。你应该知道将在FortiGate上应用的更改。
4. 在FortiGate上应用配置文件。为此,你可以使用FortiGate GUl脚本工具。
FortiLAN云要求每个交换机都有互联网接入和有效的支持合同。你还必须在Fortinet支持帐户上注册FortiSwitch,以便你可以在FortiLAN云上添加设备。此外,如果你想管理三个以上的FortiSwitch设备,你必须购买FortiLAN云许可证。
默认情况下,FortiLAN云被禁用。启用后,FortiSwitch使用HTTPS在TCP端口443上安全地连接到fortiswitch-dispatch. forticloud.com。建立连接后,FortiLAN云每5分钟从FortiSwitch轮询一次数据。
上图显示了控制FortiSwitch上FortiLAN云功能的FortiSwitchOS CLI设置。如果你还想从FortiLAN云管理你的独立交换机,请确保在config system flan-cloud下启用该功能。
每个小部件都包含链接,为你提供有关相关功能的更多详细信息。请注意,示例屏幕截图已裁剪过。
只有发现LLDP邻居的物理连接才包含在拓扑中。
你还可以单击缩放图标以显示物理连接的详细视图。
右键单击开关以显示可用操作和信息的列表。你还可以单击操作列中的图形图标,以显示重要操作参数的历史图形,例如CPU、温度、带宽和MAC地址表中的条目数量。
此页面还为你提供了SSH和GUI连接工具。当你使用FortiLAN云连接到FortiSwitch GUl或CLI时,你通过FortiLAN云与设备建立安全连接,而不是直接连接。
要使用ZTC应用配置,你需要输入要在设备上运行的相应FortiSwitchOS CLI设置。如果你还为设备选择了固件版本,那么FortiLAN云首先在FortiSwitch上应用新固件,然后应用配置。
默认情况下,新的ZTC任务被禁用。因此,你必须通过切换ZTC页面上的任务状态按钮来启用任务。
上图示例显示了一个ZTC任务,该任务将固件版本7.2.2应用于交换机,并设置其主机名。开关按主机名选择,任务计划在特定日期和时间运行。
默认情况下,新的计划升级任务被禁用。因此,你必须通过切换其状态按钮来启用任务。
上图示例显示了计划升级任务,该任务适用于所有108F型号FortiSwitches的最新固件版本。开关按型号选择,任务计划在特定日期和时间运行。请注意,有一个可用字段,你可以在其中添加序列号,以将特定设备排除在升级过程中。
● 流量处理:计数、删除、重定向或镜像帧
● QoS:速率限制,设置出口队列,或在帧上注释CoS和DSCP值
● VLAN:在帧上设置外部VLAN标签
要匹配ACL上的流量,你需要配置分类器。分类器使你能够使用多个标准匹配流量,例如:目标和源IP地址、目标和源MAC地址、CoS和DSCP值以及VLAN ID。FortiSwitch从上到下检查ACL策略,直到找到匹配项。
你可以在流量处理管道的不同阶段配置ACL。根据FortiSwitch型号,你可以配置ACL最多三个不同的阶段:
● 预查找:这是入口流量管道中的第一阶段。它发生在交换机执行第2层和第3层查找之前,它支持减少的操作数量。如果在此阶段支持你需要的操作,那么在大多数情况下,最好在交换机进一步处理流量之前在此阶段应用该操作。
● 这是入口流量的第二阶段。它支持更多的行动。
● 出口:动作仅应用于出口流量。
大多数FortiSwitch型号在入口阶段支持ACL。然而,只有一些型号在预查找和出口阶段支持ACL。
ACL配置期间的第一步是指示ACL策略ID和应用ACL策略的接口。上图的示例显示端口1是选定的接口,这意味着ACL入口策略应用于端口1接收的入口流量。或者,你还可以选择ACL组和时间表。
ACL组通过在组中安排ACL策略,允许同一数据包匹配多个ACL策略。结果是,FortiSwitch并行检查在多个组中配置的ACL策略,然后应用在每个匹配的ACL上配置的非冲突操作。如果有冲突的操作,FortiSwitch通过应用组号最低的ACL的操作来解决它。
支持的ACL组的数量取决于平台。例如,FortiSwitch 224E型号支持四组。默认情况下,在GUl上配置的所有ACL策略都放在第1组中。如果你想在ACL上设置不同的组,那么你必须使用CLI和创建ACL时设置组。
时间表指明了执行ACL的日期和时间。要让FortiSwitch在GUI上显示时间表,你必须之前在config system schedule下使用FortiSwitch CLl配置了它们。
你还可以定义要匹配的服务——示例中的所有ICMP流量。FortiSwitch附带一个预定义服务列表。如果你的流量与任何预定义服务不匹配,你可以在命令行config switch acl service custom命令下配置自定义服务。
请注意,以太网类型字段要求你以十进制形式键入以太网类型值。例如,IPv4十六进制表示0x0800,十进制表示2048。
有三个选项可以控制匹配数据包的转发方式。出口掩码表示数据包不得转发到的端口,而重定向物理端口表示将数据包重定向到的物理端口列表。你还可以使用重定向接口选项,该选项类似于重定向物理端口,只是你还可以将数据包重定向到逻辑接口,如内部接口和中继,而不仅仅是物理端口。使用重定向接口的一个缺点是,你只能选择一个接口。而重定向物理端口允许你选择多个端口。请注意,你不能与重定向接口同时使用出口掩码或重定向物理端口选项。
另外两个可用的行动是镜像和警务。镜像使FortiSwitch能够使用所选镜像配置文件中定义的SPAN、RSPAN或ERSPAN将匹配数据包的副本发送到监控设备。原始数据包仍然根据端口上配置的转发规则(丢弃、计数、重定向等)进行处理。只是制作了一份用于监控和故障排除数据包的副本。您将在另一节课中学习有关镜像的更多信息。Policing使FortiSwitch能够根据所选的警察配置文件对流量进行评级限制。
此外,请记住,如果你想将ACL策略分配给其他组(默认组为1),则必须在CLI和ACL创建期间设置组ID。
保证带宽、保证突发和最大突发设置分别对应于RFC 2697中定义的提交信息速率(CIR)、提交突发大小(CBS)和过剩突发大小(EBS)参数。
保证带宽以下的流量标记为绿色。保证突发以上和最大突发以下的流量被标记为黄色。超过最大突发的流量被标记为红色。然后,FortiSwitch允许标记为绿色的流量,并删除标记为黄色或红色的流量。
上图显示了一个ACL策略配置的示例。注意,Type的设置决定了策略是用于ACL的入口策略,还是用于ACL的出口策略。
基于MAC、IP和协议的VLAN允许你根据端点源MAC地址、源IP地址和以太网协议(或以太网类型)将入口流量分配给VLAN。然后,在处理入口流量时,FortiSwitch覆盖端口上的VLAN设置,将VLAN分配给MAC、IP和基于协议的VLAN配置中的端点(或成员)。一个好处是,你可以在不同的VLAN中将不同的设备放在同一个交换机端口后面。另一个好处是移动性,因为端点可以分配给相同的VLAN,无论它们连接到的交换机端口如何。
MAC、IP和基于协议的VLAN提供的好处也可以通过802.1X身份验证获得。然而,802.1X被认为更具可扩展性和安全性,因此通常是一个更好的选择。因此,MAC、IP和基于协议的VLAN更经常被用作特定场景的解决方案,而不是网络中的主要VLAN分配方法。
上图的示例显示了FortiSwitch上端口1后面的PC1和PC2。port1上的本机VLAN是VLAN 20。在标准VLAN操作下,这将导致FortiSwitch在将帧转发到端口2时从PC1用VLAN 20标记帧。然而,由于PC1是VLAN 10的成员(MAC地址的成员),所以FortiSwitch会用VLAN 10标记PC1的帧。来自PC2的出口端口2的帧被标记为VLAN 20,因为与PC1不同,PC2没有配置为VLAN 10的成员。
请注意,GUI屏幕截图已被裁剪。
上图的示例显示了与以前相同的拓扑,只是它专注于指向端点的流量。当FortiSwitch接收发送到PC1的端口2帧时,FortiSwitch不会将帧转发到端口1,除非端口1将VLAN 10配置为本机VLAN,或者VLAN 10包含在允许的VLAN设置中。如果您使用的是MAC、IP和基于协议的VLAN,那么您可能不想更改本机VLAN设置,这意味着您必须在允许的VLAN设置中包含VLAN 10。此外,如果连接的设备希望接收未标记的流量,那么你还必须在未标记的VLAN设置中包含VLAN 10,以便FortiSwitch在没有VLAN标签的情况下转发帧。对于PC2,FortiSwitch可以将流量转发到设备,因为VLAN 20被设置为端口1上的本机VLAN。
上图还展示了如何使用GUI配置允许的VLAN和未标记的VLAN设置。
请注意,MAC地址表还反映了MAC、IP和基于协议的VLAN分配。
从VLAN有两种类型:
● 隔离:此VLAN中的主机只能与主VLAN中的主机通信。与同一隔离VLAN中的主机的通信,以及与社区VLAN中的主机的通信被阻止。
● 社区:此VLAN中的主机可以与同一社区VLAN中的其他主机或主VLAN中的主机进行通信。与不同二级VLAN中的主机的通信被阻止。
根据PVLAN设置的不同,端口分为以下几种类型:
● 混杂端口(P-Port):仅作为主VLAN成员的端口。此端口上没有配置辅助VLAN。连接到此端口的主机可以与隔离VLAN或社区VLAN中的主机通信。通常,您需要在连接到路由器、防火墙和其他类型的网关设备的交换机端口上配置这种类型的端口。
● 隔离端口(I-Port):作为隔离VLAN成员的端口。用例可以是仅需要与网关设备(南北流量)通信的服务器,从而保护设备免受潜在的内部攻击。
● 社区端口(C-Port):作为社区VLAN成员的端口。用例可以是需要与网关设备以及同一社区VLAN中其他一些设备通信的服务器,用于东西方流量,从而将通信限制在必要的最低限度。
上图的示例显示了如何通过使用PVLAN在VLAN内限制通信。
下一步是配置接口VLAN设置。在上图显示的示例中,端口5、端口1和端口3分别配置为P-Port、I-Port和C-Port。
根据FortiSwitch型号,路由是在硬件或软件上完成的。基于硬件的路由通常性能更好,因为路由由ASIC完成,而基于软件的路由由系统CPU完成,这阻碍了性能。
你可以配置第3层接口以在FortiSwitch上执行路由。支持以下类型的第3层接口:
● 环回:没有关联任何物理接口的逻辑接口。它通常被用作可靠的IP接口,用于动态协议协商和更新。
● 交换机虚拟接口 (SVI):与VLAN关联并支持用户流量路由的逻辑接口。如果你熟悉FortiGate,请将SVI视为VLAN接口。
所有支持路由的FortiSwitch型号都可以执行静态路由。然而,根据型号,支持以下部分或全部动态路由协议:BGPv4、OSPFv2、RIPv2和ISIS。请参阅fortinet.com上的FortiSwitch数据表,以了解哪些型号执行基于硬件或软件的路由,哪些型号支持动态路由,以及它们支持的动态路由协议。
上图的示例显示了FortiSwitch作为第3层路由器。FortiSwitch在端点之间执行VLAN间路由。FortiSwitch还将互联网流量转发到FortiGate,后者充当互联网网关。FortiSwitch配置了三个SVl:V100、V101和V102。V100充当往返FortiGate的流量的IP接口。这可以使用静态或动态路由来完成。V101和V102分别作为VLAN 101和102中端点的LAN网关。
● OSPF设置:这是你在OSPF配置中的起点。在这里,你可以启用OSPF,设置OSPF路由器ID,并可选择要重新分配到OSPF的路由类型。上图的示例显示10.9.0.169为OSPF路由器ID,并且没有重新分配的路由。
● OSPF区域:启用OSPF后,你必须在本节中至少配置一个OSPF参与的OSPF区域。上图的示例显示了骨干区域(area0.0.0.0)的配置。
● OSPF网络:这是你在OSPF区域配置一个或多个OSPF网络的地方。网络决定了第3层接口FortiSwitch打开OSPF。这张幻灯片上的示例显示了在骨干区域配置的网络10.0.100.0/30。
● OSPF接口:可选地,你可以编辑系统接口(或第3层接口)上的默认OSPF设置。系统接口包括mgmt、内部和SVL。你可以配置接口设置,如OSPF计时器、MTU、成本、身份验证等。上图的示例显示了具有默认设置的系统接口。
上图的示例显示了之前在GUl上应用的等效CLI配置。与GUI一样,只有当FortiSwitch拥有有效的高级服务许可证时,CLI才会显示OSPF配置节点。如果你熟悉FortiOS中的OSPF配置,请注意FortiSwitchOS CLI中的OSPF配置与FortiOS非常相似。
请参阅docs. fortinet.com上的FortiSwitchOS CLI参考指南,以获取CLI上OSPF可用设置的完整列表。
另一个有用的CLI命令是get router info ospf interface。你可以使用此命令获取参与OSPF的系统接口列表。在上图的示例中,V100是唯一参与OSPF的接口。
请参阅docs. fortinet.com上的FortiSwitchOS CLI参考指南,以获取可用于OSPF的监控命令的完整列表。
上图的示例展示了一个非常基本的BGP配置。FortiSwitch分别被分配为65002和10.9.0.169作为自治系统(AS)和BGP路由器ID。此外,FortiSwitch被配置为与外部BGP邻居10.0.100.1对等,后者使用65001作为其AS。
如果你熟悉FortiOS中的BGP配置,请注意FortiSwitchOS CLl中的BGP配置与FortiOS非常相似。
参考docs.fortinet.com中的FortiSwitchOS CLI参考指南。在CLI上获取BGP可用设置的完整列表。
请注意,输出包含两个部分:一个用于IPv4,另一个用于IPv6。每个部分都表示收到的IPv4或IPv6前缀的数量。上图的示例显示,没有从邻居10.0.100.1收到IPv6前缀。
请参阅docs. fortinet.com上的FortiSwitchOS CLI参考指南,以获取BGP可用的监控命令的完整列表。
● Selected:表示该路由是否是目的网络的最佳路由。
● Queued:表示该路由是否在硬件路由表中等待安装。在硬件路由表中安装路由之前,首先对路由进行排队。这个过程通常发生得很快。
● Rejected:不支持的路由,因此被FortiSwitch拒绝。
● FIB:表示安装在转发信息库(FIB)中的路由。与FortiGate一样,FortiSwitch维护一个FIB,它由最佳(或选定的)连接、静态和动态路由组成。注意最佳使用。这是因为,与FortiGate一样,并非所有路由都安装在FortiSwitch FIB中。只有每个目的地网络的最佳路线才是。
● HW Table:表示FIB中的哪些路由被安装在硬件路由表中。FortiSwitch首先查找硬件路由表,如果没有匹配,则尝试FIB。基于硬件的路由是FortiSwitch使用硬件路由表中的路由,这些路由被加载到ASIc中。基于软件的路由是在FortiSwitch使用FIB中的路由时完成的,这些路由是在内核中加载的。
在上图所示的示例中,表中的第一条路由,即距离为220的静态默认路由,没有安装在FIB中,因为FortiSwitch更喜欢通过OSPF学习的默认路由,OSPF的距离较低(110)。然而,静态路由保持待命状态,如果删除OSPF路由,则安装在FIB中。
1398
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
