Secure Unified Access

Tutoriais

Acesso seguro ao Enterprise FortiSwitch

Arquitetura FortiSwitch de 2 camadas altamente resiliente (convergência mais rápida) que tira proveito do desempenho total (utilização da largura de banda) oferecido pelo MCLAG (LAG multichassis).

Os FortiGates, utlizados, estão sob FortiOS 6.0.1 e FortiSwitch em 6.0 ou 3.6.6 (dependendo da compatibilidade da plataforma). O FortiSwitch deve estar no mínimo em 3.6.4 para implantar o MCLAG com o anel de acesso (access ring).

Certifique-se também de que os modelos FortiSwitch usados ​​para o MCLAG suportam o recurso: Folha de dados do FortiSwitch

No final, a topologia a seguir será implantada:

1. Logging

Aumentar o nível de registro para seguir as etapas de implantação:

2. Configuração do FortiLink

• Conecte o FG1-Master ao Disti-1 (porta 9 à porta 48)

• E confirme a descoberta do FSW nos logs

• Autorize o Disti-1

• Neste ponto, o switch será reinicializado e será convertido de modo autônomo para gerenciado

• E receba um endereço IP no segmento configurado anteriormente

• O túnel CAPWAP aparecerá como UP nos logs

• O Disti-1 será agora gerenciado

• Vincule a Distribuição 1 à Distribuição 2 da seguinte maneira:

• E permitir a adição do Disti2

3. Configuração MCLAG

• Conecte-se no CLI ao Disti2

• Ativar MCLAG-ICL no tronco para o Disti-1

• O que resultará na seguinte confirmação no nível do log

• Conecte-se ao Disti-1 no CLI

• Ative o MCLAG-ICL no tronco em direção ao Disti-2

• Desativar o Split-Interface do FortiLink e ativar a autorização automática

• Feche o loop, do Disti-2 para o segundo porto do FortiLink LAG do FortiGate Master

• Apresentação resultante do FortiSwitch:

• Você pode validar a consistência no nível MCLAG usando o seguinte comando:

Vários outros comandos permitem diagnosticar o recurso:

• No FortiGate: diagnosticar fortilink de nome netlinkaggregate
• Em FortiSwitch Disti: diagnosticar lista de troncos de switch __FoRtI1LiNk0__
• Em FortiSwitch Disti: diagnosticar a lista mclag switch __FoRtI1LiNk0__
• Em FortiSwitch Disti: diagnosticar switch mclag icl

4. Configuração IDF

• Você pode validar a consistência no nível MCLAG usando o seguinte comando:

• Tudo o que resta é conectar o IDF-3 ao Disti-2

5. Configuração HA

• Configurar HA no modo ativo-passivo

• Verifique se a configuração está bem sincronizada

• Conecte o equilíbrio dos links para replicar coerentemente a fiação do FortiGate Master e do FortiGate Slave, como segue:

• O que irá resultar no FortiSwitch Gerenciado

• Finalize dobrando os links ICL entre os dois switches de distribuição

• E valide a integração automática no tronco (LAG)

6. Validações

• Para garantir a robustez da topologia, crie uma VLAN de teste que será atribuída, por exemplo, a um dos switches IDF.

• E permitir acesso à internet

• Você deve ser capaz de reinicializar o FortiGate-Master, remover alguns links (porta Disti1 para IDF-1 no nosso caso), gerar balanceamento HA através da perda do link monitorado ( WAN ) e ver no máximo apenas a perda de alguns pacotes:

7. Visibilidade do fabric de segurança

• Com o Security Fabric, além de estender seu controle e proteção, você obtém visibilidade de ponta a ponta incomparável:

Bônus

1. Acesso FortiSwitch

• Para acessar o FortiSwitch, certifique-se de configurar uma política no CLI

• Que aparecerá na GUI

• Isso permitirá que você tenha acesso ao FSW

• Resultado tangível