Consultor Online.

Secure Unified Access

Tutoriais

Acesso seguro ao Enterprise FortiSwitch

Arquitetura FortiSwitch de 2 camadas altamente resiliente (convergência mais rápida) que tira proveito do desempenho total (utilização da largura de banda) oferecido pelo MCLAG (LAG multichassis).

Os FortiGates, utlizados, estão sob FortiOS 6.0.1 e FortiSwitch em 6.0 ou 3.6.6 (dependendo da compatibilidade da plataforma). O FortiSwitch deve estar no mínimo em 3.6.4 para implantar o MCLAG com o anel de acesso (access ring).

Certifique-se também de que os modelos FortiSwitch usados ​​para o MCLAG suportam o recurso: Folha de dados do FortiSwitch

No final, a topologia a seguir será implantada:

Enterprise FortiSwitch

1. Logging

Aumentar o nível de registro para seguir as etapas de implantação:

Enterprise FortiSwitch

2. Configuração do FortiLink

Enterprise FortiSwitch
  • Em Rede> Interfaces, crie uma porta 802.3ad
  • Adicione as 2 portas membro que formarão o LAG e serão interconectadas do FortiGate-Master à distribuição 1 & 2
  • Selecione o modo de endereçamento "Dedicado ao FortiSwitch"
  • Por padrão, o segmento FortiLink é configurado em um intervalo de endereços APIPA. No contexto atual, nos certificaremos de que esse segmento seja roteável para validar certas métricas na GUI do FortiSwitch. Certifique-se de que, em um contexto corporativo, esse ambiente seja acessível apenas por meio de privilégios legítimos e restritos.
  • Para o propósito do exercício, asseguraremos que o FortiSwitch não seja automaticamente autorizado a validar certas etapas. Mas é bem possível acelerar o processo e permitir a autorização automática.
  • Certifique-se de que, a princípio, essa interface dividida esteja ativada (até a configuração MCLAG)
  • Conecte o FG1-Master ao Disti-1 (porta 9 à porta 48)
Enterprise FortiSwitch
  • E confirme a descoberta do FSW nos logs
Enterprise FortiSwitch
  • Autorize o Disti-1
Enterprise FortiSwitch
  • Neste ponto, o switch será reinicializado e será convertido de modo autônomo para gerenciado
Enterprise FortiSwitch
  • E receba um endereço IP no segmento configurado anteriormente
Enterprise FortiSwitch
  • O túnel CAPWAP aparecerá como UP nos logs
Enterprise FortiSwitch
  • O Disti-1 será agora gerenciado
Enterprise FortiSwitch
  • Vincule a Distribuição 1 à Distribuição 2 da seguinte maneira:
Enterprise FortiSwitch
  • E permitir a adição do Disti2
Enterprise FortiSwitch Enterprise FortiSwitch

3. Configuração MCLAG

  • Conecte-se no CLI ao Disti2
Enterprise FortiSwitch
  • Ativar MCLAG-ICL no tronco para o Disti-1
Enterprise FortiSwitch
  • O que resultará na seguinte confirmação no nível do log
Enterprise FortiSwitch
  • Conecte-se ao Disti-1 no CLI
Enterprise FortiSwitch
  • Ative o MCLAG-ICL no tronco em direção ao Disti-2
Enterprise FortiSwitch Enterprise FortiSwitch
  • Desativar o Split-Interface do FortiLink e ativar a autorização automática
Enterprise FortiSwitch
  • Feche o loop, do Disti-2 para o segundo porto do FortiLink LAG do FortiGate Master
Enterprise FortiSwitch
  • Apresentação resultante do FortiSwitch:
Enterprise FortiSwitch
  • Você pode validar a consistência no nível MCLAG usando o seguinte comando:
Enterprise FortiSwitch

Vários outros comandos permitem diagnosticar o recurso:

  • No FortiGate: diagnosticar fortilink de nome netlinkaggregate
  • Em FortiSwitch Disti: diagnosticar lista de troncos de switch __FoRtI1LiNk0__
  • Em FortiSwitch Disti: diagnosticar a lista mclag switch __FoRtI1LiNk0__
  • Em FortiSwitch Disti: diagnosticar switch mclag icl

4. Configuração IDF

  • Você pode validar a consistência no nível MCLAG usando o seguinte comando:
Enterprise FortiSwitch Enterprise FortiSwitch
  • Tudo o que resta é conectar o IDF-3 ao Disti-2
Enterprise FortiSwitch Enterprise FortiSwitch

5. Configuração HA

  • Configurar HA no modo ativo-passivo
Enterprise FortiSwitch
  • Verifique se a configuração está bem sincronizada
Enterprise FortiSwitch Enterprise FortiSwitch
  • Conecte o equilíbrio dos links para replicar coerentemente a fiação do FortiGate Master e do FortiGate Slave, como segue:
Enterprise FortiSwitch
  • O que irá resultar no FortiSwitch Gerenciado
Enterprise FortiSwitch
  • Finalize dobrando os links ICL entre os dois switches de distribuição
Enterprise FortiSwitch
  • E valide a integração automática no tronco (LAG)
Enterprise FortiSwitch Enterprise FortiSwitch

6. Validações

  • Para garantir a robustez da topologia, crie uma VLAN de teste que será atribuída, por exemplo, a um dos switches IDF.
Enterprise FortiSwitch Enterprise FortiSwitch
  • E permitir acesso à internet
Enterprise FortiSwitch
  • Você deve ser capaz de reinicializar o FortiGate-Master, remover alguns links (porta Disti1 para IDF-1 no nosso caso), gerar balanceamento HA através da perda do link monitorado ( WAN ) e ver no máximo apenas a perda de alguns pacotes:
Enterprise FortiSwitch

7. Visibilidade do fabric de segurança

  • Com o Security Fabric, além de estender seu controle e proteção, você obtém visibilidade de ponta a ponta incomparável:
Enterprise FortiSwitch Enterprise FortiSwitch

Bônus

1. Acesso FortiSwitch

  • Para acessar o FortiSwitch, certifique-se de configurar uma política no CLI
Enterprise FortiSwitch
  • Que aparecerá na GUI
Enterprise FortiSwitch
  • Isso permitirá que você tenha acesso ao FSW
Enterprise FortiSwitch
  • Resultado tangível
Enterprise FortiSwitch

Adquira o Fortinet Secure Access da DANRESA

Danresa Security and Network Solutions

Vantagens

Como representantes da Fortinet no Brasil, a DANRESA Security and Network Solutions está capacitada a fornecer todo o suporte necessário para o andamento de testes de avaliação e implantação efetiva, conquistando as vantagens e benefícios que Fortinet Secure Access oferece.

A DANRESA Security and Network Solutions é uma Consultoria de Segurança da Informação que se destaca por prover Soluções Completas em Segurança, Infraestrutura de Redes e Comunicação de TI.

Faça seu pedido dos produtos Fortinet pelos telefones: (11) 4452-6448 ou e-mail: comercial@danresa.com.br.

Conheça também

Adquira os produtos Fortinet

Atendimento à todo o Brasil

(55 11) 4452-6448

comercial@danresa.com.br