【简介】FortiSwtich大多是二层交换机,那么在防火墙HA的环境下,FortiSwitch二层交换机是不是也能做到象其它三层交换机堆叠功能那样,保证两台核心交换机始终有一台能正常工作呢?
网络拓朴
现在双防火墙HA(主-备)、双核心交换机的情况非常普遍了。
① 双核心交换机之后的二层接入交换机,可以根据实据环境并联或串联。
② 这次配置我们分别用两台FortiGate-201E做为HA的主备防火墙,用两台FortiSwitch-248D作为核心交换机。
③ 为了少走弯路,我们在这里标明哪台设备需要接线到哪台设备,后期实际操作按上图所示。
防火墙初始设置
假设我们拿到的是一台默认出厂配置的防火墙,这里介绍一下初始配置。
① 电脑网卡设置为192.168.1.X网段IP地址。电脑网卡与防火墙MGMT接口用网线直连。
https://192.168.1.99,初次登录会有证书提示,确认通过,出现输入帐号密码页面,输入默认帐号 admin,密码为 空。
③ 系统固件版本6.2及以上,会在首次登录入时强制修改密码,这里输入两次新的密码,确认后,再以新的密码登录。
④ 如果出现上面这个提示,说明防火墙在没有正常退出的情况下就断电了,如果选择【Reboot and Check file system】,防火墙会重新启动,也可以选择【Reminder me later】暂时忽略。
⑤ FortiOS 6.4版本,会要求你定义主机名称、注册设备、修改密码、升级固件以及设置仪表板,点击【Later】以后再设置。
⑥ FortiOS 6.41版本会在启动时出现新功能窗口,启用【Don‘t show again】不再再启时显示,点击【OK】。
⑦ 初次登录防火墙,自动进入状态页面,左边是菜单,右边时状态内容,全部英文显示。我们可以设置为习惯的中文界面。
⑧ 选择菜单【System】-【Setting】,设置主机名为Firewall-A,为的是做HA后与另一台防火墙区分。时区设置为中国。这点很重要,不然的话查日志会摸不到头脑。空闲时间默认5分钟不操作防火墙,就会退出防火墙管理页面。初次配置防火墙时这里设置大一些,避免反复登录防火墙,以后熟悉后可以改小。
⑨ 设置页面内容比较多,向下拉动窗口,语言选项选择简体中文,点击【Apply】按钮。
⑩ 页面变成中文显示了。
防火墙HA设置
对第一台防火墙做了初始配置后,我们就需要进行HA配置了。
① 配置HA之前,需要对MGMT(管理接口)做一下设置,选择菜单【网络】-【接口】,选择MGMT接口,点击【编辑】。
② 在某种场合下,我们需要同时登录HA的主机和备机,这样就需要启需HA的管理接口功能,而管理接口可以使用MGMT口,前提是DHCP服务不能启用。主机和备机的管理接口设置为不同的IP,例如主机192.168.1.99,备机192.168.1.100。
③ 选择菜单【系统管理】-【高可靠性】,下接模式选项,共用三个选择,我们选择最常用的主动-被动模式,两台防火墙,同时只有一台作为主机在工作,另一台作为备机不工作,当主机出现问题后,主机退出,备机变成主机接替工作。
④ 高可靠性设置界面中,默认设备优先级为128,建议备机设为比128更小的数字,例如100,数字越大,优先级越高,越能成为主机。设置一个集群名称和密码,自定义,前提是备机内容也是一模一样。监控接口,当接口不工作时,防火墙主备进行切换,一般会选择工作的宽带接口和内网接口。FortiGate 201E自带一个HA心跳接口,也可以用其它接口替代,有条件的可以选择两条心跳接口,一主一备,以防主心跳接口坏了,还是能维持正常的HA。启用保留管理接口,这样主备的管理接口IP地址不同,可以同时登录主备防火墙。MGMT口由于关闭了DHCP服务,因此可以这里被选择。默认是选择不了的。
⑤ 设置完成后,显示FireWall-A成为主机(Master)。由于只配置了一台防火墙,主备之间也没有用心跳线连接,高可靠性窗口里,只显示了一台主设备。
【提示】 用同样的方法配置第二台防火墙,不同的地方是,主机名称为FireWall-B, MGMT接口的IP地址是192.168.1.100,高可靠性设置中设备优先级为100,其它设置与第一台防火墙完全相同。
连接第一台交换机
在防火墙连接交换机之前,我们还希望能看到更多的配置交换机时产生的日志。
① 登录第一台防火墙FireWall-A,点击主界面右上角【>_】,进入命令模式。
② 在CLI控制台中点击分离图标,可以将命令窗口单独显示,这样可以看到更多内容。
③ 为了更好的查看交换机的连接情况,这里用命令增加日志记录级别。(可以用get得到配置内容, 用?号查看命令帮助)
④ 选择菜单【网络】-【接口】,选择forlink,点击【编辑】。可以点击菜单边上的五角星,将常用菜单加入收藏,这样可以快速选择。fortilink虚拟接口是6.0版本以后才有的,早期固件版本的话需要手动建立一个802.3ad虚拟接口。
⑤ 成员接口加入port17和port18,也就是FortiGate 201E防火墙最右边的两个接口, 这两个接口用来接两台核心交换机。
默认的情况下,FortiLink分离接口是启用的。点击【确认】。
⑥ 将防火墙FireWall-A的17号口与交换机CoreSwitch-1的51号口用光纤跳线连接。
⑦ 可以看到fortilink虚拟接口下的port17接口状态为绿色,FortiOS 6.4.1可以识别SFP模块的型号。
⑧ 选择菜单【日志&报表】-【事件】,可以看到日志里显示发现交换机。将菜单加入收藏。
⑨ 选择菜单【WiFi与交换机控制】-【可管理FortiSwitch】,加入收藏,可以看到已经发现一台交换机,状态是灰色,选择这台交换机,点击【准许】。
⑩ 稍等片刻,交换机的状态显示为在线,点击最右边的【列表】,弹出菜单选择【拓扑】。
⑾ 拓朴图的黑线表示,防火墙已经连接第一台交换机了,在交换机上点击右键,弹出菜单选择【编辑】。
⑿ 给第一台交换机设置一个名称,这里还可以对交换机进行固件升级。
⒀ 第一台交换机连接完成。
连接第二台交换机
现在将第一台交换机与第二台交换机连接,请严格按照这个顺序来操作。
① 将第二台交换机的port50与第一台换机的port50用光纤跳线连接。
② 交换机拓朴显示发现第二台交换机,点击【准许】。
③ 经过十多分钟耐心的等待,第二台防火墙状态正常,连接正常,鼠标右击第二台防火墙,弹出子菜单选择【编辑】。
④ 输入第二台防火墙的名称CoreSwitch-2,点击【确认】。
⑤ 防火墙FireWall-A与交换机CoreSwitch-1、CoreSwitch-2连接完成,它们之间是串连在一起的。
