FortiSwitch: Unterschied zwischen den Versionen

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen
Zeile 99: Zeile 99:


'''Kompatible Transceivers'''
'''Kompatible Transceivers'''
  [[File:Fortinet-2612.jpg|1200px|link=]]
  [[File:Fortinet-2612.jpg|1200px]]
  [[File:Fortinet-2613.jpg|1200px|link=]]
  [[File:Fortinet-2613.jpg|1200px]]


  [[File:Fortinet-2614.jpg|1200px|link=]]
  [[File:Fortinet-2614.jpg|1200px]]
  [[File:Fortinet-2614-b.jpg|1200px|link=]]
  [[File:Fortinet-2614-b.jpg|1200px]]


'''Direct-Attach Kabel und Split Kabel'''
'''Direct-Attach Kabel und Split Kabel'''
  [[File:Fortinet-2615.jpg|1200px|link=]]
  [[File:Fortinet-2615.jpg|1200px]]


'''Dateien:'''
'''Dateien:'''
Zeile 116: Zeile 116:


----
----
<small>edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu</small>
<small>edit 28.05.2024 - 4Tinu</small>


=== Welche Ports auf den Switches sind für FortiLink per Default vorkonfiguriert? ===
=== Welche Ports auf den Switches sind für FortiLink per Default vorkonfiguriert? ===

Version vom 28. Mai 2024, 07:20 Uhr

Fortinet:FortiSwitch

FAQ-FortiSwitch.png

Vorwort

Dieser Artikel enthält Informationen über das Produkt FortiSwitch

Dokumentation

Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?

Administration Guide, Standalone Mode

Version 3.5.x

Version 3.6.x

Version 6.0.x FortiOS 60.svg

Version 7.0.x FortiOS 70.svg

Version 7.2 und 7.4 - Standalone Modelle


edit 28.05.2024 - 4Tinu

CLI Referenz

In diesen Dokumenten werden sämtliche Kommandos vom Command Line Interface (CLI) für das FortiSwitch OS beschrieben:


edit 28.05.2024 - 4Tinu

Log Referenzen


edit 25.04.2024 - 4Tinu

FortiSwitch verwaltet via FortiGate (FortiLink)


edit 11.12.2023 - 4Tinu

FortiSwitchOS Feature Matrix

In diesem Dokument sind die FortiSwitch-Funktionen vom Release 7.x aufgeführt, welche von den einzelnen FortiSwitch Modellreihen unterstützt werden:


edit 28.05.2024 - 4Tinu

Wo finde ich Produkte Informationen für den FortiSwitch?

Datenblätter, Schematics , Quickstartguides und so weiter findet man hier:

Welches Firewallmodell kann wie viele FortiSwitches verwalten?

Folgende Tabelle gilt für die Releases FortiOS 5.4, 5.6 und 6.0. Unter FortiOS 6.2 werden diese Werte eventuell angehoben. Die hier angegebenen Werte können nicht manuell erhöht werden und gelten pro Gerät und nicht pro VDOM.

Fortinet-2257.png

Welche Transceiver sind für welche FortiSwitch Modelle kompatibel?

In dieser Liste sind alle Tansceiver von Fortinet aufgelistet und zu welchen FortiSwitch Modellen diese Kompatibel sind.

Kompatible Transceivers

Fortinet-2612.jpg
Fortinet-2613.jpg
Fortinet-2614.jpg
Fortinet-2614-b.jpg

Direct-Attach Kabel und Split Kabel

Fortinet-2615.jpg

Dateien:

Eine Aktuelle Liste findet man jeweils unter folgendem Link:


edit 28.05.2024 - 4Tinu

Welche Ports auf den Switches sind für FortiLink per Default vorkonfiguriert?

Grundsätzlich kann auf einem FortiSwitch jeder Port so konfiguriert werden, dass er via Link mit einer Fortigate verbunden werden kann. Soll jedoch ein ZeroTouch Deployment erreicht werden, so muss dies über die standardmässig vorkonfigurierten Ports gemacht werden. Diese Ports variieren je nach Modell. Unten stehende Tabelle gibt Aufschluss darüber, welche Ports standardmässig für FortiLink vorkonfiguriert sind:

Fortinet-2270.png

Soll auf einem weiteren nicht Standard Port eine Fortilink Verbindung etabliert werden, so kann der Port mit folgendem Kommando dafür vorbereitet werden:

Config cli.png Konfiguration über die CLI:
config switch interface
 edit "portX"
  set auto-discovery-fortilink enable
 next
end

Mit welchen FortiOS und FortiSwitchOS ist der FortiLink kompatibel?

Die folgende Tabelle listet die FortiLink-Kompatibilität zwischen dem FortiOS und dem FortiSwitchOS auf:

FortiLinkCompatibility Matrix.jpg
FortiLinkCompatibility Matrix-2.jpg
Check.jpg Kombination möglich
 R Empfohlene Kombination von Fortinet

Das ganze ist auch in diesem Dokument abgebildet:

Firmware Upgrade

Wo kann die aktuellste Firmware für einen FortiSwitch bezogen werden?

Herunterladen der Firmware
Die Firmware kann im Support Portal von Fortinet heruntergeladen werden.

  1. gehe nach https://support.fortinet.com
  2. Logge dich mit deinem Account ein (Erstelle allenfalls einen Account mit deiner Geschäftsadresse falls du noch keinen Zugang hast)
  3. Navigiere nach Download > Firmware Images
  4. Wähle das Produkt FortiSwitch und klicke auf Download
  5. Wähle den gewünschten Release (Für gewisse D-Modelle gibt es keine Firmware auf dem Release v6.00. Dort muss auf den neuesten V3.00 Release zurückgegriffen werden)
  6. Wähle den gewünschten Sub- und Sub-Sub-Release
  7. Suche in der Liste dein Switchmodell und klicke anschliessend auf HTTPS, damit das *.out File geladen werden kann.

Wie kann die Firmware via GUI aktualisiert werden?

1. Konfiguriere auf der Netzwerkschnittstelle deines Rechners die IP 192.168.1.98 255.255.255.0.
2. Verbinde dein Notebook mit dem fabrikneuen oder auf Factory Reset gesetzten Switch via MGMT Port.
3. Öffne einen Browser, und navigiere nach https://192.168.1.99. Klicke allfällige Browser-Fehlermeldungen wegen eines fehlerhaften Zertifikates weg. Dann siehst du folgende Loginmaske:
Fortinet-2258.png
4. Logge dich hier mit dem Benutzernamen Admin und einem leeren Passwortfeld ein.
5. Wähle nun das Dashboard, und klicke im oberen Widget links bei Firmware auf Upgrade
Fortinet-2259.png
6. Wähle hier die zuvor heruntergeladene Datei, und lade diese hoch:
Fortinet-2260.png
7. Die Datei wird nun auf den Webserver des Switches geladen. Dies wird mit einer Statusanzeige auf dem GUI visualisiert:
Fortinet-2262.png
8. anschliessend bootet der Switch, und kommt mit der neuen Firmware hoch.

Wie kann die Firmware via CLI aktualisiert werden?

1. Verbinde die serielle Schnittstelle deines Notebooks mit dem Konsolenport des Switches. Öffne ein Hyper Terminal mit 115200 Baud, 8 Datenbit, 1 Stopbit, 0 Paritätsbit
2. Logge dich mit dem Hyper Terminal oder Putty am Switch mit dem Benutzernamen admin und keinem Passwort ein:

	S224EPTF18001198 login: admin
	Password:
	Welcome !
	S224EPTF18001198 #

3. Konfiguriere auf der Netzwerkschnittstelle deines Rechners die IP 192.168.1.98 255.255.255.0.
4. Verbinde deinen Rechner mit dem fabrikneuen oder auf Factoryreset gesetzten Switch via MGMT Port
5. Starte auf deinem Notebook ein TFTP Tool (Tftp64), stelle sicher dass dieses Tool auf der Netzwerkkarte mithört, und dass sich im Rootverzeichnis die zuvor heruntergeladene Firmware befindet. Benenne diese Datei um in image.out
Fortinet-2261.png
6. Stelle sicher dass auf deinem Notebook keine Firewall (Windows Firewall oder ähnliches) die Kommunikation blockiert.
7. Setze nun in der CLI folgendes Kommando ab:

	S224EPTF18001198 # execute restore image tftp image.out 192.168.1.98
	This operation will replace the current firmware version!
	Do you want to continue? (y/n)y

	Please wait...

	Connect to tftp server 192.168.1.98 ...
	#######

	Check image OK.

	Checking new firmware integrity ... pass

	Upgrading firmware.  Please wait for system to restart.


	Firmware upgrade in progress

	Writing the flash........100%
	Verifying the image in flash......100%
	Succeeded in verifying image written to flash.
	Done(2).

8. Der Upload beginnt unvermittelt. Nach dem Upload wird der Switch neu gebootet, was über die Konsole mitverfolgt werden kann:

	The system is going down NOW !!

	Please stand by while rebooting the system.
	Restarting system.

	FortiSwitch-224E-POE (15:28-08.09.2017)
	BIOS version : 04000004
	Serial number: S224EPTF18001198

	Please wait for OS to boot, or press any key to display configuration menu...  0
	Booting backup partition : FortiSwitch-224E-POE v6.0.0,build0027,180529

	Kernel... OK
	RootFS... OK
	Booting FortiSwitch.

	System is started.
	The config file may contain errors,
	Please see details by the command 'diagnose debug config-error-log read'

	S224EPTF18001198 login:

9. Anschliessend kann man sich wieder mit dem admin am Switch einloggen. Auch via WebGUI ist nun ein Zugriff wieder möglich.

Wo finde ich die Release Notes für den FortiSwitch?

Version 3.5.x


Version 3.6.x

Version 6.0.x

FortiOS 60.svg

Version 6.2.x

FortiOS 62.svg

Version 6.4.x

FortiOS 64.svg

Version 7.0.x

FortiOS 70.svg

Standalone Release Notes:


Release Notes mit FortiLink:


edit 28.05.2024 - 4Tinu

Version 7.2.x

FortiOS 72.svg



edit 28.05.2024 - 4Tinu

Version 7.4.x

FortiOS 74.svg



edit 25.04.2024 - 4Tinu

Basiskonfiguration

Wie kann ein Switch auf der Fortigate verwaltet werden?

Die grossen Vorteile der Switches aus dem Porfolio von Fortinet liegen darin, dass ein solcher Switch über die Firewall verwaltet werden kann. Dies öffnet weitreichende Management- und Sicherheitsfunktionalitäten wie beispielsweise NAC-Szenarien mit Quarantäne welche sonst nur von Netzwerken im Enterprisebereich bekannt sind.

Komponenten:

  • Fortigate 100E oder höher
  • FortiSwitch 224E PoE

Zielarchitektur:
Fortinet-2265.png

Diese Architektur mit der redundanten Verbindung zwischen dem Switch und der Firewall funktioniert bei Firewalls ab der 100D. Kleinere Firewalls haben keine Möglichkeit, eine Link Aggregation zu erstellen. Für eine Anleitung ohne redundante Verbindung mit Geräten unter der 100E (30E,50E,60E,80E) verwenden Sie bitte folgenden Cookbook Artikel.

Vorbereitungen:

  • Um einen Switch mit einer Firewall zu verbinden, empfiehlt es sich, gemäss Kapitel Firmwareupdate die Firmware des Switches auf den neuesten Stand zu bringen.
  • Die Konfiguration des Switches sollte sich für folgendes Szenario auf Werkseinstellungen befinden.

Konfigurationsschritte:
Sämtliche Schritte werden auf der Fortigate Firewall vorgenommen.

Fortinet-2263.png Unter System > Feature Visibility muss die Funktion Switch Controller eingeschaltet werden.
Die Verbindung zwischen dem FortiSwitch und der Fortigate geschieht über einen so genannten FortiLink. Aus Ausfallsicherheitsgründen sollte dieser mit zwei Kabel über eine so genannte Aggregation gebaut werden. Dazu geht man unter Network > Interfaces und entfernt bei den Interfaces, welche später für den Fortilink verwendet werden sollen, sämtliche Konfiguration.
config system interface
 edit "fortilink"
  set vdom "root"
  set fortilink enable
  set ip 10.20.30.1 255.255.255.0
  set allowaccess ping capwap
  set type aggregate
  set member "port13" "port14"
  set snmp-index 8
  set lacp-mode static
 next
end
Anschliessend wird der Fortilink über die Konsole konfiguriert. Für den Verwaltungsdatenverkehr zwischen Firewall und Switches wird wenn keine IP konfiguriert wird ein IP Range aus dem 169.x.x.x Range verwendet. Dies kann übersteuert werden, indem auf dem Fortilink ein gültiger IP-Range konfiguriert wird. Dies hilft später, um die Switches via FortiLink troubleshooten zu können. Es empfiehlt sich, hier einen IP-Range zu wählen, der sich sonst nicht in Verwendung befindet.
Fortinet-2264.png Nun können die Kabel mit dem Switch verbunden werden. Als Ports für den FortiLink empfehlen sich Ports, welche gemäss Anleitung Welche Ports auf den Switches sind für FortiLink per Default vorkonfiguriert bereits dafür vorkonfiguriert sind. Sobald dies gemacht ist, erscheint der Switch unter Wifi & Switch Controller > Managed FortiSwitch. Dort kann er nun autorisiert werden.
S224EPTF18001198 login: admin
Password:

Notice: 
This switch is currently under Fortilink remote control. Local changes to the system NOT recommended and may cause an inconsistency and/or disconnect from the FortiGate.

Welcome !
S224EPTF18001198 #
Wichtig! Ab diesem Zeitpunkt soll der Switch nicht mehr direkt verwaltet werden. Wird via RS232 auf diesen Switch zugegriffen, erscheint als Warnung links stehende Meldung. Jede so getätigte Änderung wird von der Firewall wieder überschrieben.
Fortinet-2266.png Sobald dies gemacht wurde, wird der Switch neu starten. Dieser Vorgang kann je nach Modell bis zu 5 Minuten dauern. Sobald der Switch wieder verfügbar ist, so wird dies unter Wifi & Switch Controller > Managed FortiSwitch mit durchgezogenen Linien angezeigt. Gestrichelte Linien bedeuten inaktive Linien. Die Farben der Linien sagen hierbei nichts über den Status aus.
config switch-controller switch-profile
 edit "default"
  set login-passwd-override enable
  set login-passwd <meinPasswort>
 next
end
Standardmässig ist das CLI eines jeden unter der Fortigate Firewall verwalteten Switches nicht Passwortgeschützt. Das heisst, dass theoretisch jeder der physischen Zugriff auf die Switches hätte, mittels RS232 auf diese zugreifen könnte. Damit dies nicht geschieht, muss auf dem CLI der Firewall folgende Konfiguration gemacht werden. Die hier definierten Passwörter gelten für alle Switches, welche auf die Firewall verbunden sind, oder in Zukunft noch verbunden werden.
Fortinet-2267.png Mittels Rechtsklick > Edit können die Parameter auf dem Switch eingesehen, respektive angepasst werden. Unter Name kann dem Switch eine aussagekräftige Bezeichnung vergeben werden. Unter connecting From kann die IP Addresse entnommen werden, welche der Switch gekommen hat. Ein klick auf Restart löst einen Neustart des Switches aus, und unter dem Abschnitt Firmware könnte sogar ein Firmware Update von der Firewall aus eingeleitet werden.
Fortinet-2268.png Unter Wifi & Switch Controller > FortiSwitch Port Kann nun die Konfiguration der einzelnen Swichports geändert werden. Standardmässig existiert ein VLAN namens vsw.fortilink welches als Natives VLAN konfiguriert ist, usowie ein qtn.fortilink welches als Allowed VLANs hinterlegt ist. Idee hinter diesem Konstrukt ist, dass mittels Security Policy definiert wird, was ein akzeptables Verhalten eines Gerätes hinter einem Port darstellt und was nicht. Sobald ein Gerät gegen diese Verhaltensrichtlinie verstösst, wird er in die Quarantäne (qtn.fortilink) verschoben.
Unter Wifi & Switch Controller > FortiSwitch VLANs kann nun das vsw.fortilink auf die individuellen Bedürfnisse angepasst werden. Die Konfiguration präsentiert sich hier wie ein normales Interface welches direkt auf der Firewall konfiguriert werden kann.
Fortinet-2269.png Als letzter Schritt wird noch eine Firewall Regel benötigt, welche den Datenverkehr von diesem VLAN in andere Netze erlaubt. Auch dies geschieht wie bei einer normalen Policy über Policy & Objects > IPv4 Policy. Es muss hier lediglich das entsprechende VLAN-Objekt als Quelle gewählt werden.
Berücksichtige im weiteren Aufbau der Infrastruktur auch die Empfehlung bzgl. Edge Ports

Wie können weitere Switches mit einer Fortigate verwaltet werden?

Einleitung:
Möchte nun das Netz aus der Anleitung FortiSwitch - Wie kann ein Switch auf der Fortigate verwaltet werden erweitert werden, so sind im Folgenden die dazu nötigen Konfigurationsschritte beschrieben.

Einleitung / Architektonische Vorbemerkungen
Die Architektur von Fortinet im Bereich FortiSwitch sieht vor, dass ein Switch (oder zwei bei MCLAG) direkt via Fortilink mit der Firewall verbunden werden. Gemäss Architektur werden die nachfolgenden Switches gewöhnlicherweise nicht direkt an der Firewall, sondern am ersten FortiSwitch angeschlossen. Damit wird ein Mehrschichtiges Netzwerk Modell umgesetzt. Es empfiehlt sich dabei jedoch nicht, einfach wahllos Switches zu kaskadieren, sondern nach dem Schema des Hierarchischen Netzwerk Konzept zu arbeiten. Siehe hierzu Wikipedia - Hierarchisches Internetworkingg-Modell.

Bei kleine bis mittleren Netzwerkgrössen empfiehlt es sich, sich an das "Core - Distribution - Access" Modell zu halten. Die Core- Funktionalität (und somit die Routing Funktionalität) übernimmt hierbei die Firewall. Der erste angeschlossene Switch übernimmt die Distributionschicht, und als nächster Schritt würden wir jetzt einen oder mehrere Access Switch an diesen anschliessen. In dieser Architektur ist es erstrebenswert, dass es sich beim Distributionswitch (ergo der Switch, welcher direkt an die Fortigate Firewall angeschlossen wurde) um den leistungsstärksten und funktionsreichsten Switch handelt.

Interessierte finden mehr Informationen zu empfohlenen Fortinet Referenz Architekturen in folgendem Dokument: Datei:Fsw secure switching.pdf

Komponenten:

  • Fortigate 100E oder höher
  • FortiSwitch 224E PoE
  • FortiSwitch 124D

Zielarchitektur:
Fortinet-2272.png

Vorbereitungen:

  • Um den zusätzlichen Switch mit einer Firewall zu verbinden, empfiehlt es sich, gemäss Kapitel Firmwareupdate die Firmware des Switches auf den neuesten Stand zu bringen.
  • Die Konfiguration des weiteren Switches sollte sich für folgendes Szenario auf Werkseinstellungen befinden.

Konfigurationsschritte:

Verbinde zwei Kabel vom bestehenden Distribution Switch (FortiSwitch 224E PoE) zum neu hinzuzufügenden Switch. Stelle dabei sicher, dass diese Verbindung von Ports gemacht wird, welche für den FortiLink vorgesehen sind.
Fortinet-2271.png Nach ca. 2 Minuten, erscheint der neue Switch im Dashboard unter Wifi & Switch Controller > Managed FortiSwitch. Hier kann er nun mit einem klick auf Authorized hinzugefügt werden.
Fortinet-2273.png Der neu hinzugefügte Switch bootet nun neu und wird anschliessend als aktiv angezeigt. Der neue Switch kann nun genau gleich wie ein bestehender Switch verwaltet werden.

Wie kann ich einen FortiSwitch umbenennen?

Mit dem folgendem Kommando ist es mir möglich einem FortiSwitch einen Namen zu geben. Dies hat den Vorteil, dass so die Übersicht behalten werden kann, wenn viele FortiSwitchen im System registriert sind. Bis anhin konnte man diese nur über die Serienummer identifzieren.

Config cli.png Konfiguration über die CLI:

Syntax:

 
config switch controller managed switch
rename [Serienummer_Switch] to [Name_Switch]
end

Beispiel:

 
config switch controller managed switch
rename S124FNTFxxxxxx to swaoem-lab-0002
end

Im Webgui sieht man die Namen der Switchen und in Klammern die Serienummer:

Fortinet-3351.jpg

add 19.03.2024 - 4Tinu

Wie wird ein redundante 2-Tier Umgebung mit FortiSwitches konfiguriert?

Wenn die zu verwaltende Netzwerk Infrastruktur nicht nur aus 1-2 Switches besteht, so ist oftmals eine gewisse Redundanz der Geräte gewünscht. Das folgende Szenario eignet sich für ein mittelgrosses Netzwerk bestehend aus zwei Distribution Switches, an welche dann die verschiedenen Access Switches (Beispielsweise Etagen Switches) angeschlossen werden können. In diesem Szenario sind Firewall sowie Distribution Switches komplett redundant ausgestaltet. Lediglich der Ausfall eines Etagen Switches hätte in diesem Szenario einen Unterbruch des Services zur Folge.

Komponenten:

  • 2x Fortigate 200E Alternativ können beliebige grössere Fortigate-Modelle zum Einsatz kommen. Die Firewalls sind bereits als HA Active-Passive Cluster vorkonfiguriert.
  • 2x FortiSwitch 224E Alternativ können zwei beliebige andere MCLAG fähige Fortiswitches verwendet werden.
  • 1x FortiSwitch 124D Alternativ kann ein beliebiger anderer Fortiswitch verwendet werden, welcher für den Access Bereich geeignet sind.

Zielarchitektur:
Fortinet-2274.png

Diese Architektur mit der redundanten Verbindung zwischen dem Switch und der Firewall funktioniert bei Firewalls ab der 100er Serie und bei Distribution Switches ab der 200er Serie welche MCLAG-fähig sind. Kleinere Firewalls und Switches haben keine Möglichkeit, eine Link Aggregation oder gar MCLAGs zu verwalten. Für eine Anleitung ohne redundante Verbindung mit Geräten unter der 100er Serie verwenden Sie bitte folgenden Cookbook Artikel.

Vorbereitungen:

  • Um den HA-Cluster der Firewall zu erstellen, verwenden Sie bitte folgende Anleitung FortiOS 6.0 - Wie wird ein HA-Failover Cluster erstellt?
  • Um einen Switch mit einer Firewall zu verbinden, empfiehlt es sich, gemäss Kapitel Firmwareupdate die Firmware des Switches auf den neuesten Stand zu bringen.
  • Die Konfiguration des Switches sollte sich für folgendes Szenario auf Werkseinstellungen befinden.

Konfigurationsschritte:
Sämtliche Schritte werden auf der Fortigate Firewall vorgenommen.

Fortinet-2263.png Unter System > Feature Visibility muss die Funktion Switch Controller eingeschaltet werden.
Die Verbindung zwischen dem FortiSwitch und der Fortigate geschieht über einen so genannten FortiLink. Aus Ausfallsicherheitsgründen sollte dieser mit zwei Kabel über eine so genannte Aggregation gebaut werden. Dazu geht man unter Network > Interfaces und entfernt bei den Interfaces, welche später für den Fortilink verwendet werden sollen, sämtliche Konfiguration.
config system interface
 edit "fortilink"
  set vdom "root"
  set fortilink enable
  set ip 10.20.30.1 255.255.255.0
  set allowaccess ping capwap
  set type aggregate
  set member "port13" "port14"
  set lacp-mode static
 next
end
Anschliessend wird der Fortilink über die Konsole konfiguriert. Für den Management Traffic zwischen Firewall und Switches wird wenn keine IP konfiguriert wird ein IP Range aus dem 169.x.x.x Range verwendet. Dies kann übersteuert werden, indem auf dem Fortilink ein gültiger Range konfiguriert wird. Dies hilft später, um die Switches via FortiLink troubleshooten zu können. Es empfiehlt sich, hier einen Range zu wählen, der sich sonst nicht in Verwendung befindet. Das Kommando fortilink-split-interface enable wird in dieser Anleitung nicht benötigt!
Fortinet-2264.png Nun können die Kabel mit dem ersten Distribution Switch verbunden werden. Zu diesem Zweck stecken wir Port13 von beiden HA-Mitgliedern der Fortigate 200D auf Port 23 und 24 des ersten Distribution Switches. Als Ports für den FortiLink auf dem Switch empfehlen sich Ports, welche gemäss Aneitung Welche Ports auf den Switches sind für FortiLink per Standard vorkonfiguriert bereits dafür vorkonfiguriert sind. Sobald dies gemacht ist, bootet der Switch und erscheint auf der Fortigate unter Wifi & Switch Controller > Managed FortiSwitch. Dort kann er nun autorisiert werden.
Fortinet-2275.png Im nächsten Schritt verbinden wir zusätzlich die Kabel für den MCLAG-ICL (Inter-Chassis-Link). Dazu verbinden wir bei beiden Distribution Switches Die Ports 21 und 22 und umgekehrt für eine redundante Verbindung. Der zweite Distribution Switch muss nun ebenfalls unter Wifi & Switch Controller > Managed FortiSwitch autorisiert werden. Anschliessend bootet der Switch und wird nachher als aktiv gekennzeichnet.
fgt200-master # execute telnet 10.20.30.4
Distribution2 # config switch trunk
Distribution2 (trunk) # edit 4EPTF
Distribution2 (4EPTF) # set mclag-icl enable
Distribution2 (4EPTF) # show
config switch trunk
 edit "4EPTF"
  set mode lacp-active
  set auto-isl 1
  set mclag-icl enable
  set members "port21" "port22"
 next
end
Distribution2 (4EPTF) # next
WARNING:  One or more trunk members has ACL configured.
Distribution2 (trunk) # end
Distribution2 # exit
Auto backup config ...Connection closed by foreign host.


fgt200-master # execute telnet 10.20.30.2
Distribution1 # config switch trunk
Distribution1 (trunk) # edit 4EPTG
Distribution1 (4EPTG) # set mclag-icl enable
Distribution1 (4EPTG) # show
config switch trunk
 edit "4EPTG"
  set mode lacp-active
  set auto-isl 1
  set mclag-icl enable
  set members "port21" "port22"
 next
end
Distribution1 (4EPTG) # next
WARNING:  One or more trunk members has ACL configured.
Distribution1 (trunk) # end
Distribution1 # quit
Auto backup config ...
Connection closed by foreign host.
Zwischen diesen beiden Switches wurde automatisch eine "gewöhnliche" Link-Aggregation erstellt. Um diese Link-Aggregation nun zu einer MCLAG-ICL zu machen, müssen wir uns auf beiden Switches einloggen und dies bei der entsprechenden Link-Aggregation konfigurieren.
Nun können die Kabel zwischen der Fortigate und dem zweiten Distribution Switch ebenfalls verbunden werden:

Distribution2(Port24)<======>Fortigate1(Port14)
Distribution2(Port23)<======>Fortigate2(Port14)

Fortinet-2276.png In der Übersicht auf der Fortigate Firewall wird nun der Distribution Switch als redundant angebunden angezeigt.
Fortinet2277.png Nun können die Kabel zwischen Distribution und Access Switch wie folgt gezogen werden:

Distribution1(Port20)<======>Access(Port23)
Distribution2(Port20)<======>Access(Port24)

Nach einem kurzen Moment muss der Switch in der Konsole akzeptiert werden und nach einem Reboot wird der Switch redundant angebunden angezeigt.
Somit ist die Infrastruktur komplett redundant aufgebaut. Nun können weitere Etagen Sswitches gemäss diesem Schema an den Distribution Switch angeschlossen werden.
Berücksichtige im weiteren Aufbau der Infrastruktur auch die Empfehlung bzgl. Edge Ports

Wie verhalten sich die FortiSwitches bei einem gesteckten Loop?

Bei einem gesteckten Loop innerhalb des selben Switches
Wird ein Kabel mit beiden Enden an einem FortiSwitch (mit einer DefaultKonfiguration auf den jeweiligen Ports) angesteckt, so ist der Switch nicht in der Lage, diese Fehlkonfiguration zu erkennen und es kommt zu einem unerwünschten Switching-Loop. (Weitere Infos Siehe Wikipedia)

Bei einem gesteckten Loop zwischen zwei Switches
Wird ein Kabel mit beiden Enden an zwei bereits verbundene FortiSwitches gesteckt, so ist die Firewall als Switchcontroller in der Lage, dies zu erkennen. Das zusätzliche Kabel wird einfach als zusätzliche Redundanz in den FortiLink aufgenommen.

Fortinet-2277.png

Wie lautet die Empfehlung, für die Konfiguration eines EdgePorts?

Unter dem Begriff EdgePort wird ein Switchport verstanden, an dem ein Endgerät angesteckt wird. In diesem Fall wird davon ausgegangen, dass an einem solchen Port kein Spanning-Tree-Protocol(STP) fähiges Gerät angeschlossen wird (da Spanning Tree normalerweise nur von Netzwerkgeräten wie Switches verwendet wird). Entdeckt ein Switch, dass an einem als EdgePort konfigurierten Port trotzdem STP-Pakete auftauchen, so kann man davon ausgehen dass entweder ein nicht autorisierter, weiterer Switch angeschlossen wurde oder dass innerhalb vom bestehenden Netz ein Loop gesteckt wurde. In beiden Fällen kann der Switch angewiesen werden, den Port sofort herunterzufahren, und keine weitere Kommunikation über diesen Port zuzulassen. Diese Funktion nennt sich bpdu-guard. An einem EdgePort wird normalerweise kein DHCP Server angeschlossen. Wenn dies trotzdem der Fall ist, kann dies vom Switch ebenfalls erkannt werden. EdgePorts sollten ausserdem nicht für einen Fortilink herangezogen werden. Aus diesem Grund kann dies ebenfalls ausgeschaltet werden. All diese Funktionen können einem Port via CLI übergeben werden:

Config cli.png Konfiguration über die CLI:
config switch-controller managed-switch
 edit S120402305430BD023
  config ports
   edit "portXY"
    set auto-discovery-fortilink disable
    set dhcp-snooping untrusted
    set stp-status enabled
    set edge-port enabled
    set stp-bpdu-guard enabled
   next
  end
 end

Im CLI gibt es keine Möglichkeit, diese Kommandos gerade mehreren Ports gleichzeitig zuzuweisen. Einige dieser Kommandos können jedoch auch über das GUI abgesetzt werden. Unter Wifi & Switch Controller > FortiSwitch Ports können mittels gedrückter Ctrl-Taste mehrere Ports selektiert werden. Mit einem anschliessenden Rechtsklick können einige via CLI Verfügbaren Parameter auch im GUI zugewiesen werden:

Fortinet-2278.png

FortiLink over L3

Welche Limitierungen bestehen, wennn ein FortiLink über eine L3 Verbindung geführt wird?

Fortinet-2280.png

Wie kann ein FortiLink über eine L3 Verbindung geführt werden?

In folgendem Konfigurationsbeispiel wird ein FortiLink über ein Layer3 geroutetes Netzwerk geführt. Ob der FortiLink dabei wie in obenstehendem Beispiel über einen Router, oder allenfalls sogar über mehrere Router und L3 Firewalls geführt wird ist egal. Relevant ist jedoch, dass zwischen FortiGate und dem FortiSwitch folgende Services funktionieren:

  • ICMP (Ping)
  • NTP (UDP:123)
  • HTTPS (TCP:443)
  • CAPWAP (UDP:5246, UDP:5247)
  • AC-Data Port (TCP und UDP:15250)


Zielarchitektur:
Fortinet-2281.png

Komponenten:

  • 1x FortiGate 60E Alternativ kann ein beliebiges, anderes FortiGate-Modelle zum Einsatz kommen.
  • 1x FortiSwitch 124D Alternativ kann ein beliebiger anderer Fortiswitch verwendet werden, welcher für den Access oder Intermediate-Bereich geeignet sind.
  • 1x Router eines Drittherstellers Alternativ auch eine Firewall, welche das Routing übernimmt.


Vorbereitungen:
Für die untenstehenden Konfigurationsschritte werden folgende vorarbeiten vorausgesetzt.

  • Router und FortiGate 60E sind vorkonfiguriert wie in der Zielarchitektur abgebildet.
  • Auf der FortiGate Firewall befindet sich eine statische Route für das Netz 10.10.1.0/24 welches auf den Router zeigt.
  • Auf dem Router befindet sich eine statische Default-Route welche auf die FortiGate Firewall zeigt.
  • Im Netz 10.10.1.0/24 befindet sich ein DHCP Server, welcher den Geräten IP-Adressen verteilt.
  • Der Switch wurde mit execute factoryreset auf Werkseinstellungen zurückgesetzt.

Konfigurationsschritte:

S124DN3W160 # config system global 
S124DN3W160 (global) # set switch-mgmt-mode fortilink
S124DN3W160 (global) # end
This operation will cleanup all of the
configuration and reboot the system!
Do you want to continue? (y/n)y

Verbinden Sie sich via RS232-Konsole mit dem Switch. Im ersten Schritt muss nun der switch-mgmt-mode von standalone auf FortiLink geändert werden. Sobald diese Änderung via CLI vorgenommen wurde, wird der Switch neu gestartet.
S124DN3W160 # config switch interface
S124DN3W160 (interface) # edit port24
S124DN3W160 (port24) # set native-vlan 4094
S124DN3W160 (port24) # show
config switch interface
	edit "port24"
		set native-vlan 4094
		set snmp-index 24
	next
end
S124DN3W160 (port24) # next
S124DN3W160 (interface) # end
Verbinden Sie sich nach dem Reboot wieder via RS232 mit dem Switch. Nun muss der Port, über den der FortiLink führen soll (in unserem Beispiel Port24) so konfiguriert werden, dass das FortiLink-VLAN mit der Nummer 4094 als natives VLAN ungetaggt auf diesem Port ausgegeben wird.
S124DN3W160 # config system interface
S124DN3W160 (interface) # get
== [ internal ]
name: internal    mode: dhcp    ip: 10.10.1.10 255.255.255.0   status: up    type: physical   mtu-override: disable
Sobald dies gemacht wurde, kann via config sys interface festgestellt werden, ob der Switch auf dem internen VLAN eine IP vom DHCP erhalten hat.
config router static
	edit 1
		set device "internal"
		set dst 0.0.0.0 0.0.0.0
		set gateway 10.10.1.1
	next
end
Damit nun eine IP-Kommunikation zwischen dem FortiSwitch und seinem späteren Controller möglich ist, benötigt der Switch eine statische Default-Route.
S124DN3W160 # execute ping 192.168.100.1
PING 192.168.100.1 (192.168.100.1): 56 data bytes
64 bytes from 192.168.100.1: icmp_seq=0 ttl=254 time=1.3 ms
Nachdem diese Route gesetzt wurde, kann mittels Ping geprüft werden, ob die Kommunikation zwischen FortiSwitch und FortiGate möglich ist. Dies ist eine zwingende Voraussetzung damit anschliessend eine Etablierung eines FortiLinks möglich ist.
config system ntp
set allow-unsync-source enable
	config ntpserver
		edit 1
			set server "192.168.100.1"
		next
	end
set ntpsync enable
end
Eine weitere zwingende Voraussetzung damit ein FortiLink etabliert werden kann ist, dass die FortiGate Firewall beim FortiSwitch als NTP Server fungiert. Auf dem FortiSwitch kann dies mit folgenden Kommandos erreicht werden.
fgt-demo # config global
fgt-demo (global) # config system ntp
fgt-demo (ntp) # show
config system ntp
	set ntpsync enable
	set syncinterval 60
	set server-mode enable
	set interface "internal7"
Damit die Firewall diese NTP-Anfragen vom Switch auch beantwortet, muss der NTP Daemon auf der FortiGate Firewall ebenfalls angepasst werden. Hier müssen mit set interface "internal7" zumindest die Anfragen auf dem Interface erlaubt werden, welches vom FortiSwitch angefragt wird.
S124DN3W160 # config switch-controller global
S124DN3W160 (global) # set ac-discovery-type static
S124DN3W160 (global) # config ac-list
S124DN3W160 (ac-list) # edit 1
new entry '1' added
S124DN3W160 (1) # set ipv4-address 192.168.100.1
S124DN3W160 (ac-list) # show
config ac-list
	edit 1
		set ipv4-address 192.168.100.1
	next
end
S124DN3W160 (ac-list) # end
S124DN3W160 (global) # end
Dem FortiSwitch muss nun beigebracht werden, von welcher IP Adresse her er in Zukunft verwaltet wird. Dies geschieht indem set ac-discovery-type im globalen Switch Controller Kontext auf static gestellt wird. Mittels ac-list kann anschliessend die statische IP-Adresse der FortiGate-Firewall hinterlegt werden.
S124DN3W160 # config switch interface
S124DN3W160 (interface) # edit port24
S124DN3W160 (port24) # set fortilink-l3-mode enable
S124DN3W160 (port24) # next
S124DN3W160 (interface) # end
Als letzter Schritt muss der Port24 für den FortiLink-l3-mode vorbereitet werden.
Fortinet-2282.png Somit sind auf dem Switch sämtliche Einstellungen getätigt, damit er via FortiGate Firewall verwaltet werden kann. Auf der FortiGate muss nun dieser Switch noch vor-erfasst werden. Dies geschieht im GUI via Wifi & Switch Controller > Managed FortiSwitch > Create New.
Fortinet-2283.png Wurden sämtliche Konfigurationen korrekt vorgenommen, so wird der Switch sich nach spätestens 3 Minuten mit der Firewall verbinden. Der Switch kann nun über die Firewall verwaltet werden. Über diese Konfiguration wird jedoch lediglich Management Traffic fliessen. Für allfälligen Nutzdatenverkehr muss der Switch separat konfiguriert werden.

Security Policies

Wie kann in einem VLAN Intra-VLAN Traffic verboten werden?

Mit folgender Konfiguration kann erreicht werden, dass sämtliche Clients innerhalb eines VLANs sich gegenseitig nicht mehr sehen. Es ist lediglich noch die Kommunikation zwischen dem DefaultGateway der Firewall und den jeweiligen, einzelnen Clients möglich. Diese Konfiguration ist vergleichbar mit der Funktion Client Isolation von WLAN. Diese Funktion wird sinnvollerweise dann konfiguriert, wenn ein Netz lediglich aus Clientgeräten besteht, welche untereinander keine Komunikation benötigen.

Config cli.png Konfiguration über die CLI:
fgt200-master# config system interface 
fgt200-master (interface) # edit vsw.fortilink
fgt200-master (vsw.fortilink) # set switch-controller-access-vlan enable 
fgt200-master (vsw.fortilink) # end

Wie kann eine Host Quarantäne etabliert werden?

NAC/802.1x

Wie könnnen Clients aufgrund von Zertifikaten dynamisch einem Netz zugewiesen werden?

Switch Konfiguration

Wie können auf den einzelnen Switchports Parameter konfiguriert werden, welche via GUI auf der Fortigate nicht zur Verfügung stehen?

Sämtliche Änderungen an den Switches wird über die Fortigate Firewall gemacht. Die Switches werden hierbei unglücklicherweise immer über die Seriennummer angesteuert und nicht über den konfigurierten Namen. Mit folgendem Befehl können sämtliche konfigurierbaren Switches angezeigt werden:

Config cli.png Konfiguration über die CLI:
fgt200-master # config switch-controller managed-switch

fgt200-master (managed-switch) # get
*switch-id    Managed-switch id.
S124DN3W16000660
S224EPTF18000881
S224EPTF18001198

Anschliessend kann man sich auf den entsprechenden Switch verbinden, und sich dort bis zum entsprechenden Port durchnavigieren:

Config cli.png Konfiguration über die CLI:
fgt200-master (managed-switch) # edit S124DN3W16000660

fgt200-master (S124DN3W16000660) # config ports
fgt200-master (ports) # edit port1

fgt200-master (port1) # show
config ports
    edit "port1"
        set vlan "vsw.fortilink"
        set allowed-vlans "qtn.fortilink"
        set untagged-vlans "qtn.fortilink"
        set export-to "root"
    next
end

Sobald der Kontext des Port1 mit next verlassen wird, wird eine allfällige Änderung der Konfiguration von der Fortigate Firewall an den Switch via Fortilink geändert. Die getätigte Änderung ist auf dem Switch somit sofort aktiv.

Troubleshooting

Wie kann im CLI eine Übersicht über alle angeschlossenen Switches erhalten werden?

Config cli.png Konfiguration über die CLI:
fgt200-master # execute switch-controller get-conn-status
Managed-devices in current vdom root:

STACK-NAME: FortiSwitch-Stack-fortilink
SWITCH-ID VERSION STATUS       ADDRESS    JOIN-TIME                NAME
S224EP198 v6.0.0 Authorized/Up 10.20.30.2 Fri Jul 27 08:54:02 2018 Distribution1
S224EP881 v6.0.0 Authorized/Up 10.20.30.4 Fri Jul 27 10:02:02 2018 Distribution2
S124DN660 v3.6.7 Authorized/Up 10.20.30.3 Fri Jul 27 10:21:02 2018 Access

Wird hier unter JOIN-TIME ein Zeitstempel angezeigt, so heisst das dass der entsprechende Switch seit dieser Zeit verbunden und aktiv ist. Wird unter JOIN-TIME lediglich ein (-) oder N/A angezeigt, so ist dieser Switch aktuell nicht verbunden.

Wie kann im CLI herausgefunden werden, über welche Ports und wie die Switches miteinander verbunden sind?

Dieser Befehl benötigt den Namen des Fortilink Anschlusses. Dieser Name kann herausgefunden werden via execute switch-controller get-conn-status.

Config cli.png Konfiguration über die CLI:

fgt200-master # execute switch-controller get-physical-conn standard FortiSwitch-Stack-fortilink

FortiGate(s)
FG200D3916811425(port14 ) <<----->> S224EP881(port23 )
FG200D3916811639(port14 ) <<----->> S224EP881(port24 )
FG200D3916811639(port13 ) <<----->> S224EP198(port23 )
FG200D3916811425(port13 ) <<----->> S224EP198(port24 )

Tier 1
S224EP881(port23 ) <<----->> FG200D3916811425(port14 )
S224EP881(port24 ) <<----->> FG200D3916811639(port14 )
S224EP198(port23 ) <<----->> FG200D3916811639(port13 )
S224EP198(port24 ) <<----->> FG200D3916811425(port13 )

Tier 2+
S224EP881(port20 /4DN660-0 ) <<----->> S124DN660(port24 /_FlInK1_MLAG0_ )
S224EP198(port20 /4DN660-0 ) <<----->> S124DN660(port23 /_FlInK1_MLAG0_ )
S224EP198(port21 /4EP881-0 ) <<----->> S224EP881(port21 /4EP198-0 )
S224EP198(port22 /4EP881-0 ) <<----->> S224EP881(port22 /4EP198-0 )

Diesem Output können nun detaillierte Informationen darüber erhalten werden, über welche Ports die einzelnen Switches miteinander verbunden sind.

Achtung! Dieser Output sagt nichts darüber aus, ob die Switches zum jetzigen Zeitpunkt auch so miteinander verbunden sind.

Wie kann bei einem aggregierten Fortilink Interface herausgefunden werden, ob beide physischen Ports aktiv sind?

Dies kann wie bei einer klassischen Link Aggregation herausgefunden werden. Zuerst muss der Name der entsprechenden Link Aggregation herausgefunden werden:

Config cli.png Konfiguration über die CLI:
fgt200-master # diag netlink aggregate list
List of 802.3ad link aggregation interfaces:
 1  name fortilink         status up      algorithm L4  lacp-mode static

Anschliessend kann mit folgendem Befehl der Status der Link-Aggregation überprüft werden.

Config cli.png Konfiguration über die CLI:
fgt200-master # diag netlink aggregate name fortilink
status: up
npu: y
flush: y
asic helper: n
oid: 19
ports: 2
link-up-delay: 50ms
min-links: 1
ha: master
distribution algorithm: L4
LACP mode: static

slave: port13
  index: 0
  link status: down
  link failure count: 5
  permanent MAC addr: 90:6c:ac:86:01:09

slave: port14
  index: 1
  link status: up
  link failure count: 3
  permanent MAC addr: 90:6c:ac:86:01:0a

Dem obenstehenden Beispiel kann entnommen werden, dass bei der Aggregation mit dem Namen Fortilink lediglich eine von zwei Verbindungen aktiv ist. Die gesamte Link-Aggregation hat jedoch nach wie vor noch den Status up.

Wie kann von der Firewall aus auf ein CLI des Switches zugegriffen werden ?

Obwohl auf den Switches selbst keine Konfigurationsänderungen vorgenommen werden sollen, kann es zu Troubleshootingzwecken trotzdem hilfreich sein, sich direkt auf das CLI des Switches zu verbinden. Wenn man sich bereits via SSH auf der Firewall befindet funktioniert dies via Telnet wie folgt:

Config cli.png Konfiguration über die CLI:
fgt200-master # execute telnet <ip-addresse-des-switches>
Trying 10.20.30.2...
Connected to 10.20.30.2.
Distribution1 login: admin
Password: **************
No entry for terminal type "network"; using dumb terminal settings.
Notice: This switch is currently under Fortilink remote control. Local changes to the system NOT recommended and may cause an inconsistency and/or disconnect from the FortiGate.
Welcome !
Distribution1 #

Wie kann bei einer aggregierten InterSwitch-Verbindung herausgefunden werden, ob beide physischen Ports aktiv sind?

Da eine InterSwitch-Verbindung sich immer zwischen zwei Switches befindet, muss das Troubleshooting direkt auf einem der betroffenen Switches gemacht werden. Dazu muss sich gemäss Anleitung auf den Switch verbunden werden.


Da auf einem Switch sich meistens zwei oder Mehr Link Aggregations befinden, müssen wir zuerst herausfinden wie Fortinet die Link-Aggregation benannt hat, welche wir analysieren möchten.

Config cli.png Konfiguration über die CLI:
Distribution1 # diag switch trunk sum
Trunk Name  Mode   PSC  MAC  Status Up Time
________________ ___________ ___________ _________________ ________ _________________________________
__FoRtI1LiNk0__  static      src-dst-ip  70:4C:A5:E0:0F:72 up(2/2)  0 days,2 hours,50 mins,31 secs
4DN3W16000660-0  lacp-active src-dst-ip  70:4C:A5:E0:0F:70 up(2/2)  0 days,1 hours,50 mins,58 secs

In unserem Fall handelt es sich um die Link-Aggregation mit dem Namen 4DN3W16000660-0 da es sich bei der anderen existierenden LAG um den FortiLink handelt.

Anschliessend kann die Link-Aggregation auf dem Switch wie folgt analysiert werden:

Config cli.png Konfiguration über die CLI:
Distribution1 # diag switch trunk list 4DN3W16000660-0
Switch Trunk Information, primary-Channel
 Trunk Name: 4DN3W16000660-0
 Mode: lacp-active (auto-isl)
 Port Selection Algorithm: src-dst-ip
 Trunk MAC: 70:4C:A5:E0:0F:70
 Active Port Up Time
 ___________ _________________________
 port21 0 days,1 hours,47 mins,39 secs
 port22 0 days,1 hours,51 mins,41 secs
 Non-Active Port Status
 _______________ ____________________
LACP flags: (A|P)(S|F)(A|I)(I|O)(E|D)(E|D)
(A|P) - LACP mode is Active or Passive
(S|F) - LACP speed is Slow or Fast
(A|I) - Aggregatable or Individual
(I|O) - Port In sync or Out of sync
(E|D) - Frame collection is Enabled or Disabled
(E|D) - Frame distribution is Enabled or Disabled

status: up
ports: 2
LACP mode: active
LACP speed: slow
aggregator ID: 1
actor key: 17
actor MAC address: 70:4c:a5:e0:0f:71
partner key: 17
partner MAC address: 90:6c:ac:6e:02:fa

slave: port22
 status: up
 link failure count: 6
 permanent MAC addr: 70:4c:a5:e0:0f:71
 actor state: ASAIEE
 partner state: ASAIEE
 aggregator ID: 1
 
slave: port21
 status: up
 link failure count: 0
 permanent MAC addr: 70:4c:a5:e0:0f:70
 actor state: ASAIEE
 partner state: ASAIEE
 aggregator ID: 1

Wie kann geprüft werden, ob bei einem Switch BPDU-Guard getriggert wurde?

Dies kann aktuell nur im CLI auf dem jeweiligen Switch gemacht werden. Folgendes Kommando gibt darüber Auskunft:

Config cli.png Konfiguration über die CLI:
Access # diag bpdu-guard display status

Portname  State     Status   Timeout  Count  Last-Event
________  _______   ______   _______  _____  __________________
port1     enabled      -        5       0     -
port2     enabled    Triggered  5       1     2018-07-30 09:28:31
port3     enabled    Triggered  5       1     2018-07-30 09:28:30
port4     enabled      -        -       -     -
port5     enabled      -        5       820   2018-07-30 08:44:23
port6     disabled     -        -       -     -
port7     disabled     -        -       -     -
port8     disabled     -        -       -     -

Wie können Events von den Switches auf der Fortigate geloggt werden ?

Auch ohne zusätzliche Konfiguration werden die Logs des Switches via CAPWAP auf die Firewall gesendet. Wie bei syslog üblich, werden die Logs in unterschiedlichen Severitys (Von Critical bis Debug) unterteilt. In der Standardkonfiguration sendet der Switch nur kritische Logeinträge an die Firewall. Dieses Verhalten kann wie folgt übersteuert werden:

Config cli.png Konfiguration über die CLI:
fgt200-master # config switch-controller switch-log

fgt200-master (switch-log) # set severity
emergency       Emergency level.
alert           Alert level.
critical        Critical level.
error           Error level.
warning         Warning level.
notification    Notification level.
information     Information level.
debug           Debug level.

fgt200-master (switch-log) # set severity notification
fgt200-master (switch-log) # end

Wird der Loglevel wie oben beschrieben von Critical auf Notification gestellt, so werden beispielsweise auch BPDU Events auf die Fortigate Firewall übermittelt. Auf der Firewall können diese Logeinträge nun unter Log & Report > System Events eingesehen werden. Als Benutzer wird jeweils Fortilink gefolgt von der Seriennummer des Switches angegeben.

Fortinet-2279.png

Wie können Events von den Fortiswitches auf einem externen Logdevice (Syslog/FortiAnalyzer) geloggt werden?

Eine direkte Übertragung vom Switch auf das externe Logdevice ist nicht vorgesehen.

Der Fluss der Logs läuft immer wie folgt:

FortiSwitch------>FortiGate------>FortiAnalyzer

.

Wie können detaillierte Portstatisiken eines bestimmten Switchportes auf der Fortigate ausgelesen werden?

Config cli.png Konfiguration über die CLI:
fgt200-master # diag switch-controller dump port-stats S224EPTF18001198 port1

Port(port1) is Admin up, line protocol is up
Interface Type is Serial Gigabit Media Independent Interface(SGMII/SerDes)
Address is 70:4C:A5:E0:0F:5C, loopback is not set
MTU 9216 bytes, Encapsulation IEEE 802.3/Ethernet-II
full-duplex, 1000 Mb/s, link type is auto
input  : 9870320 bytes, 45278 packets, 0 errors, 89 drops, 0 oversizes
         45020 unicasts, 171 multicasts, 87 broadcasts, 0 unknowns
output : 29118424 bytes, 51231 packets, 0 errors, 24 drops, 0 oversizes
         41262 unicasts, 7337 multicasts, 2632 broadcasts
0 fragments, 0 undersizes, 0 collisions, 0 jabbers

Technische Hintergründe

Welche Informationen werden über den FortiLink übermittelt?

Nebst den Nutzdaten wird über ein FortiLink auch der gesamte Management Traffic übermittelt. Hier handelt es sich um verschiedene unterschiedliche Protokolle:

  • FortiLink Heartbeat
  • LLDP wird verwendet für das FortiSwitch discovery
  • CAPWAP Konfigurationskommandos sowie die Software Upgrades der Switches
  • NTP für die Zeitsynchronisation zwischen Switches und Fortigate
  • HTTPS für die Konfiguration (Via REST API), Diagnosekommandos
  • FortiSwitch InterSwitch Link

Wie soll eine Architektur mit Fortiswitches grundsätzlich aufgebaut werden?

Verschiedene Empfehlungen für Referenz Architekturen sind in folgender Präsentation ab Folie 32 zu finden: Datei:Fsw secure switching.pdf

Multi-Gigabit mit FortiSwitch

Was ist Multi-Gigabit?

Multi-Gigabit, auch bekannt als Norm IEEE 802.3bz, ist ein Ethernet-Standard. Dieser bezieht sich auf die Übertragung der Daten (Cat5e- und Cat6 Kabel) in einer Geschwindigkeit von 2.5 Gbit/s und 5.0 Gbit/s.

Dieser Standard wurde 2016 seitens Institute of Electrical and Electronics Engineers (IEEE) eingeführt. Dadurch sollte die Lücke zwischen den bis dato vorhandenen Standards bzw. Geschwindigkeiten 1 Gbit/s und 10 Gbit/s minimiert werden. Ist die Geschwindigkeit höher als 1 Gbit/s, ist dank IEEE 802.3bz keine Neu-Verkabelung mehr notwendig.

Welche FortiSwitch unterstützt das Feature Multi-Gigabit?

Weil Multi-Gigabit u.a. bei Integration von Access-Points entscheidend ist, ermöglicht Fortinet dieses Feature mittels FortiSwitch
- momentan ausschliesslich auf FortiSwitch M426E-FPOE (insgesamt auf 8 Ports: 8x 2.5 GE RJ45 ports)

Im Datenblatt nach dem Feature Multi-Gigabit suchen:

Fortinet-2864.jpg

FortiSwitch Datenblatt:

IGMP mit FortiSwitch

Was ist IGMP und IGMP Snooping?

Internet Group Management Protocol (IGMP) ist ein Protokoll (TCP/IP), welches sich auf Multicast fokussiert. Multicast ist eine Übertragungsmethode, die mehrheitlich in IPv4-Netzwerken verwendet wird. Der Hauptvorteil liegt darin, dass der Absender sämtliche IP-Datenpakete präzise an gewünschte Empfängergruppen sendet. Somit werden nicht separate Datenpakete and einzelne Empfänger übermittelt, was u.a. Einsparung der Bandbreite zur Folge hat. Ein prominentes Verwendungsbeispiel sind Streaming-Plattformen wie z.B. Spotify, Netflix oder IPTV, die allesamt via Multicasting Datenpakete an Privat-Netzwerke schicken.

Die Switches (Layer 2) erhalten zunächst vom Sender die Datenpakete, leiten diese anschliessend an jene Clients/Empfänger weiter, die sich mittels IGMP (Layer 3) für den entsprechenden Multicast angemeldet haben. Seitens Switch erfolgt ein sog. IGMP Snooping, wobei Multicasts zielgerichtet verteilt werden. Wie oben erwähnt, beansprucht diese Methode weniger Bandbreite, weil Datenpakete initial nur einmal verschickt werden, und erst durch Switches verdoppelt, verdreifacht etc. werden, entsprechend der Anzahl Multicast-Gruppen.

Welche FortiSwitch unterstützen IGMP und IGMP Snooping?

Von IGMP gibt es momentan Version 1, 2 und 3. Version 1 und 2 werden von sämtlichen FortiSwitch-Modellen unterstützt. Version 3 funktioniert z.Z. nur passiv, d.h. FortiSwitchOS erkennt zwar IGMPv3-Anfragen, das Multicasting basiert jedoch weiterhin auf IGMPv2. Wie im oberen Abschnitt erwähnt, wird IGMP in IPv4-Netzwerken eingesetzt. Die Alternative für IPv6 ist das sog. Multicast Listener Discovery (MLD).


Folgender Link ist empfehlenswert hinsichtlich Konfiguration und allgemeinen Hinweisen zu IGMP Snooping (Stand: FortiSwitchOS 6.4.2):

       https://docs.fortinet.com/document/fortiswitch/6.4.2/administration-guide/607214/igmp-snooping#Configur3

Garantie

Welche Garantieansprüche habe ich bei einem FortiSwitch?

Sämtliche Modelle von FortiSwitch sind mit der Limited Lifetime Warranty von Fortinet ausgestattet. Im Falle eines Hardwaredefekt heisst das, dass ein Gerät 10 Jahre ab Kaufdatum beim Hersteller ausgetauscht werden kann. Hierfür ist kein zusätzlicher Support Contract notwendig.

Es gilt in jedem Fall das EULA des Herstellers: fortinet.com/content/dam/fortinet/assets/legal/EULA.pdf