FortiSwitch

Fortinet:FortiSwitch

Vorwort

Dieser Artikel enthält Informationen über das Produkt FortiSwitch

Dokumentation

Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?

Wo finde ich Produkte Informationen für den FortiSwitch?

Die Datenblätter und Quickstart Guides sind hier zu finden:

      Fortinet:ProduktInfo#FortiSwitch
      Datei:FortiSwitch-Compatible-Transceivers.pdf
      Datei:FortiSwitch-SecureAccess-Features.pdf

Welches Firewallmodell kann wie viele FortiSwitches verwalten?

Folgende Tabelle gilt für die Releases FortiOS 5.4, 5.6 und 6.0. Unter FortiOS 6.2 werden diese Werte eventuell angehoben. Die hier angegebenen Werte können nicht manuell erhöht werden und gelten pro Gerät und nicht pro VDOM.

Firmwareupdate

Wo kann die aktuellste Firmware für einen FortiSwitch bezogen werden?

Herunterladen der Firmware
Die Firmware kann im Supportportal von Fortinet heruntergeladen werden.

1. gehe nach https://support.fortinet.com
2. Logge dich mit deinem Account ein (Erstelle allenfalls einen Account mit deiner Geschäftsaddresse falls du noch keinen Zugang hast)
3. Navigiere nach Download > Firmware Images
4. Wähle das Produkt FortiSwitch und klicke auf Download
5. Wähle den gewünschten Release (Für gewisse D-Modelle gibt es keine Firmware auf dem Release v6.00. Dort muss auf den neuesten V3.00 Release zurückgegriffen werden)
6. Wähle den gewünschten Sub- und Sub-Sub-Release
7. Suche in der Liste dein Switchmodell und klicke anschliessend auf HTTPS, damit das *.out File geladen werden kann.

Wie kann die Firmware via GUI aktualisiert werden?

1. Konfiguriere auf der Netzwerkschnittstelle deines Rechners die IP 192.168.1.98 255.255.255.0.
2. Verbinde dein Notebook mit dem fabrikneuen oder auf Factoryreset gesetzten Switch via MGMT Port.
3. Öffne einen Browser, und navigiere nach https://192.168.1.99. Klicke allfällige Browserfehlermeldungen wegen eines fehlerhaften Zertifikates weg. Dann siehst du folgende Loginmaske:

4. Logge dich hier mit dem Benutzernamen Admin und einem leeren Passwortfeld ein.
5. Wähle nun das Dashboard, und klicke im oberen Widget links bei Firmware auf Upgrade

6. Wähle hier die zuvor heruntergeladene Datei, und lade diese hoch:

7. Die Datei wird nun auf den Webserver des Switches geladen. Dies wird mit einer Statusanzeige auf dem GUI visualisiert:

8. anschliessend bootet der Switch, und kommt mit der neuen Firmware hoch.

Wie kann die Firmware via CLI aktualisiert werden?

1. Verbinde die serielle Schnittstelle deines Notebooks mit dem Konsolenport des Switches. Öffne ein Hyperterminal mit 115200 Baud, 8 Datenbit, 1 Stopbit, 0 Paritätsbit
2. Logge dich mit dem Hyperterminal oder Putty am Switch mit dem Benutzernamen admin und keinem Passwort ein:

	S224EPTF18001198 login: admin
	Password:
	Welcome !
	S224EPTF18001198 #

3. Konfiguriere auf der Netzwerkschnittstelle deines Rechners die IP 192.168.1.98 255.255.255.0.
4. Verbinde deinen Rechner mit dem fabrikneuen oder auf Factoryreset gesetzten Switch via MGMT Port
5. Starte auf deinem Notebook ein TFTP Tool (Tftp64), stelle sicher dass dieses Tool auf der Netzwerkkarte mithört, und dass sich im Rootverzeichnis die zuvor heruntergeladene Firmware befindet. Benenne diese Datei um in image.out

6. Stelle sicher dass auf deinem Notebook keine Firewall (Windows Firewall oder ähnliches) die Kommunikation blockiert. 7. Setze nun in der CLI folgendes Kommando ab:

	S224EPTF18001198 # execute restore image tftp image.out 192.168.1.98
	This operation will replace the current firmware version!
	Do you want to continue? (y/n)y

	Please wait...

	Connect to tftp server 192.168.1.98 ...
	#######

	Check image OK.

	Checking new firmware integrity ... pass

	Upgrading firmware.  Please wait for system to restart.


	Firmware upgrade in progress

	Writing the flash........100%
	Verifying the image in flash......100%
	Succeeded in verifying image written to flash.
	Done(2).

7. Der Upload beginnt unverimttelt. Nach dem Upload wird der Switch neu gebootet, was über die Konsole mitverfolgt werden kann:

	The system is going down NOW !!

	Please stand by while rebooting the system.
	Restarting system.

	FortiSwitch-224E-POE (15:28-08.09.2017)
	BIOS version : 04000004
	Serial number: S224EPTF18001198

	Please wait for OS to boot, or press any key to display configuration menu...  0
	Booting backup partition : FortiSwitch-224E-POE v6.0.0,build0027,180529

	Kernel... OK
	RootFS... OK
	Booting FortiSwitch.

	System is started.
	The config file may contain errors,
	Please see details by the command 'diagnose debug config-error-log read'

	S224EPTF18001198 login:

8. Anschliessend kann man sich wieder mit dem admin am Switch einloggen. Auch via WebGUI ist nun ein Zugriff wieder möglich.

Basiskonfiguration

Wie wird ein Switch zu Verwaltungszwecken in eine Fortigate aufgenommen?

Die grossen Vorteile der Switches aus dem Porfolio von Fortinet liegen darin, dass ein solcher Switch über die Firewall verwaltet werden kann. Dies öffnet weitreichende Management- und Securityfunktionalitäten wie beispielsweise NAC-Szenarien mit Quarantäne welche sonst nur von Enterprise Netzwerken her bekannt sind.

Zielarchitektur:

Vorbereitungen:

• Um einen Switch mit einer Firewall zu verbinden, empfiehlt es sich, gemäss Kapitel Firmwareupdate die Firmware des Switches auf den neuesten Stand zu bringen.
• Die Konfiguration des Switches sollte sich für folgendes Szenario auf Werkseinstellungen befinden.

Konfigurationsschritte:

Technische Hintergründe

Welche Informationen werden über den FortiLink übermittelt?

Nebst den Nutzdaten wird über ein FortiLink auch der gesamte Management Traffic übermittelt. Hier handelt es sich um verschiedene unterschiedliche Protokolle:

• FortiLink Heartbeat
• LLDP wird verwendet für das FortiSwitch discovery
• CAPWAP Konfigurationskommandos sowie die Software Upgrades der Switches
• NTP für die Zeitsynchronisation zwischen Switches und Fortigate
• HTTPS für die Konfiguration (Via REST API), Diagnosekommandos
• FortiSwitch InterSwitch Link

Wie soll eine Architektur mit Fortiswitches grundsätzlich aufgebaut werden?

Verschiedene empfehlungen für Referenzarchitekturen sind in folgender Präsentation ab Folie 32 zu finden: Datei:Fsw secure switching.pdf