FortiSwitch
Fortinet:FortiSwitch
Vorwort
Dieser Artikel enthält Informationen über das Produkt FortiSwitch
Dokumentation
Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?
Release Notes
Version 3.5.x
- Datei:FortiSwitch-ReleaseNotes-Version-3.5.0.pdf
- Datei:FortiSwitch-ReleaseNotes-Version-3.5.1.pdf
- Datei:FortiSwitch-ReleaseNotes-Version-3.5.2.pdf
- Datei:FortiSwitch-ReleaseNotes-Version-3.5.3.pdf
- Datei:FortiSwitch-ReleaseNotes-Version-3.5.4.pdf
- Datei:FortiSwitch-ReleaseNotes-Version-3.5.5.pdf
- Datei:FortiSwitch-ReleaseNotes-Version-3.5.6.pdf
Version 3.6.x
- Datei:FortiSwitch-ReleaseNotes-Version-3.6.0.pdf
- Datei:FortiSwitch-ReleaseNotes-Version-3.6.1.pdf
- Datei:FortiSwitch-ReleaseNotes-Version-3.6.2.pdf
- Datei:FortiSwitch-ReleaseNotes-Version-3.6.3.pdf
- Datei:FortiSwitch-ReleaseNotes-Version-3.6.4.pdf
- Datei:FortiSwitch-ReleaseNotes-Version-3.6.5.pdf
- Datei:FortiSwitch-ReleaseNotes-Version-3.6.6.pdf
- Datei:FortiSwitch-ReleaseNotes-Version-3.6.7.pdf
Version 6.0.x
Administrations Guide Standalone Mode
Version 3.5.x
- Datei:FortiSwitch-Admin-StandaloneMode-Version-3.5.0.pdf
- Datei:FortiSwitch-Admin-StandaloneMode-Version-3.5.1.pdf
Version 3.6.x
- Datei:FortiSwitch-Admin-StandaloneMode-Version-3.6.0.pdf
- Datei:FortiSwitch-Admin-StandaloneMode-Version-3.6.2.pdf
- Datei:FortiSwitch-Admin-StandaloneMode-Version-3.6.3.pdf
- Datei:FortiSwitch-Admin-StandaloneMode-Version-3.6.4.pdf
Version 6.0.x
CLI Referenz
FortiSwitch gemanaget über die FortiGate
Wo finde ich Produkte Informationen für den FortiSwitch?
Die Datenblätter und Quickstart Guides sind hier zu finden:
Fortinet:ProduktInfo#FortiSwitch Datei:FortiSwitch-Compatible-Transceivers.pdf Datei:FortiSwitch-SecureAccess-Features.pdf
Welches Firewallmodell kann wie viele FortiSwitches verwalten?
Folgende Tabelle gilt für die Releases FortiOS 5.4, 5.6 und 6.0. Unter FortiOS 6.2 werden diese Werte eventuell angehoben. Die hier angegebenen Werte können nicht manuell erhöht werden und gelten pro Gerät und nicht pro VDOM.
Welche Ports auf den Switches sind für FortiLink per Default vorkonfiguriert?
Grundsätzlich kann auf einem FortiSwitch jeder Port so konfiguriert werden, dass er via Link mit einer Fortigate verbunden werden kann. Soll jedoch ein ZeroTouch Deployment erreicht werden, so muss dies über die standardmässig vorkonfigurierten Ports gemacht werden. Diese Ports variieren je nach Modell. Untenstehende Tabelle gibt aufschluss darüber, welche Ports standardmässig für FortiLink vorkonfiguriert sind:
Soll auf einem weiteren non-Default Port eine Fortilink Verbindung etabliert werden, so kann der Port mit folgendem Kommando dafür vorbereitet werden:
| Konfiguration über CLI |
config switch interface edit "portX" set auto-discovery-fortilink enable next end |
Firmwareupdate
Wo kann die aktuellste Firmware für einen FortiSwitch bezogen werden?
Herunterladen der Firmware
Die Firmware kann im Supportportal von Fortinet heruntergeladen werden.
- gehe nach https://support.fortinet.com
- Logge dich mit deinem Account ein (Erstelle allenfalls einen Account mit deiner Geschäftsaddresse falls du noch keinen Zugang hast)
- Navigiere nach Download > Firmware Images
- Wähle das Produkt FortiSwitch und klicke auf Download
- Wähle den gewünschten Release (Für gewisse D-Modelle gibt es keine Firmware auf dem Release v6.00. Dort muss auf den neuesten V3.00 Release zurückgegriffen werden)
- Wähle den gewünschten Sub- und Sub-Sub-Release
- Suche in der Liste dein Switchmodell und klicke anschliessend auf HTTPS, damit das *.out File geladen werden kann.
Wie kann die Firmware via GUI aktualisiert werden?
1. Konfiguriere auf der Netzwerkschnittstelle deines Rechners die IP 192.168.1.98 255.255.255.0.
2. Verbinde dein Notebook mit dem fabrikneuen oder auf Factoryreset gesetzten Switch via MGMT Port.
3. Öffne einen Browser, und navigiere nach https://192.168.1.99. Klicke allfällige Browserfehlermeldungen wegen eines fehlerhaften Zertifikates weg. Dann siehst du folgende Loginmaske:
4. Logge dich hier mit dem Benutzernamen Admin und einem leeren Passwortfeld ein.
5. Wähle nun das Dashboard, und klicke im oberen Widget links bei Firmware auf Upgrade
6. Wähle hier die zuvor heruntergeladene Datei, und lade diese hoch:
7. Die Datei wird nun auf den Webserver des Switches geladen. Dies wird mit einer Statusanzeige auf dem GUI visualisiert:
8. anschliessend bootet der Switch, und kommt mit der neuen Firmware hoch.
Wie kann die Firmware via CLI aktualisiert werden?
1. Verbinde die serielle Schnittstelle deines Notebooks mit dem Konsolenport des Switches. Öffne ein Hyperterminal mit 115200 Baud, 8 Datenbit, 1 Stopbit, 0 Paritätsbit
2. Logge dich mit dem Hyperterminal oder Putty am Switch mit dem Benutzernamen admin und keinem Passwort ein:
S224EPTF18001198 login: admin Password: Welcome ! S224EPTF18001198 #
3. Konfiguriere auf der Netzwerkschnittstelle deines Rechners die IP 192.168.1.98 255.255.255.0.
4. Verbinde deinen Rechner mit dem fabrikneuen oder auf Factoryreset gesetzten Switch via MGMT Port
5. Starte auf deinem Notebook ein TFTP Tool (Tftp64), stelle sicher dass dieses Tool auf der Netzwerkkarte mithört, und dass sich im Rootverzeichnis die zuvor heruntergeladene Firmware befindet. Benenne diese Datei um in image.out
6. Stelle sicher dass auf deinem Notebook keine Firewall (Windows Firewall oder ähnliches) die Kommunikation blockiert.
7. Setze nun in der CLI folgendes Kommando ab:
S224EPTF18001198 # execute restore image tftp image.out 192.168.1.98 This operation will replace the current firmware version! Do you want to continue? (y/n)y Please wait... Connect to tftp server 192.168.1.98 ... ####### Check image OK. Checking new firmware integrity ... pass Upgrading firmware. Please wait for system to restart. Firmware upgrade in progress Writing the flash........100% Verifying the image in flash......100% Succeeded in verifying image written to flash. Done(2).
8. Der Upload beginnt unverimttelt. Nach dem Upload wird der Switch neu gebootet, was über die Konsole mitverfolgt werden kann:
The system is going down NOW !! Please stand by while rebooting the system. Restarting system. FortiSwitch-224E-POE (15:28-08.09.2017) BIOS version : 04000004 Serial number: S224EPTF18001198 Please wait for OS to boot, or press any key to display configuration menu... 0 Booting backup partition : FortiSwitch-224E-POE v6.0.0,build0027,180529 Kernel... OK RootFS... OK Booting FortiSwitch. System is started. The config file may contain errors, Please see details by the command 'diagnose debug config-error-log read' S224EPTF18001198 login:
9. Anschliessend kann man sich wieder mit dem admin am Switch einloggen. Auch via WebGUI ist nun ein Zugriff wieder möglich.
Basiskonfiguration
Wie kann ein Switch auf der Fortigate verwaltet werden?
Die grossen Vorteile der Switches aus dem Porfolio von Fortinet liegen darin, dass ein solcher Switch über die Firewall verwaltet werden kann. Dies öffnet weitreichende Management- und Securityfunktionalitäten wie beispielsweise NAC-Szenarien mit Quarantäne welche sonst nur von Enterprise Netzwerken her bekannt sind.
Komponenten:
- Fortigate 100E oder höher
- FortiSwitch 224E PoE
Zielarchitektur:
Diese Architektur mit der redundanten Verbindung zwischen dem Switch und der Firewall funktioniert bei Firewalls ab der 100D. Kleinere Firewalls haben keine Möglichkeit, eine Link Aggregation zu erstellen. Für eine Anleitung ohne redundante Verbindung mit Geräten unter der 100E (30E,50E,60E,80E) verwenden Sie bitte folgenden Cookbook Artikel.
Vorbereitungen:
- Um einen Switch mit einer Firewall zu verbinden, empfiehlt es sich, gemäss Kapitel Firmwareupdate die Firmware des Switches auf den neuesten Stand zu bringen.
- Die Konfiguration des Switches sollte sich für folgendes Szenario auf Werkseinstellungen befinden.
Konfigurationsschritte:
Sämtliche Schritte werden auf der Fortigate Firewall vorgenommen.
|
Unter System > Feature Visibility muss die Funktion Switch Controller eingeschaltet werden. |
| Die Verbindung zwischen dem FortiSwitch und der Fortigate geschieht über einen so genannten FortiLink. Aus Ausfallsicherheitsgründen sollte dieser mit zwei Kabel über eine so genannte Aggregation gebaut werden. Dazu geht man unter Network > Interfaces und entfernt bei den Interfaces, welche später für den Fortilink verwendet werden sollen, sämtliche Konfiguration. | |
config system interface edit "fortilink" set vdom "root" set fortilink enable set ip 10.20.30.1 255.255.255.0 set allowaccess ping capwap set type aggregate set member "port13" "port14" set snmp-index 8 set lacp-mode static next end |
Anschliessend wird der Fortilink über die Konsole konfiguriert. Für den Managementtraffic zwischen Firewall und Switches wird wenn keine IP konfiguriert wird ein IP Range aus dem 169.x.x.x Range verwendet. Dies kann übersteuert werden, indem auf dem Fortilink ein gültiger Range konfiguriert wird. Dies hilft später, um die Switches via FortiLink troubleshooten zu können. Es empfiehlt sich, hier einen Range zu wählen, der sich sonst nicht in Verwendung befindet. |
|
Nun können die Kabel mit dem Switch verbunden werden. Als Ports für den FortiLink empfehlen sich Ports, welche gemäss Aneitung Welche Ports auf den Switches sind für FortiLink per Default vorkonfiguriert bereits dafür vorkonfiguriert sind. Sobald dies gemacht ist, erscheint der Switch unter Wifi & Switch Controller > Managed FortiSwitch. Dort kann er nun authorisiert werden. |
S224EPTF18001198 login: admin Password: Notice: This switch is currently under Fortilink remote control. Local changes to the system NOT recommended and may cause an inconsistency and/or disconnect from the FortiGate. Welcome ! S224EPTF18001198 # |
Wichtig! Ab diesem Zeitpunkt soll der Switch nicht mehr direkt verwaltet werden. Wird via RS232 auf diesen Switch zugegriffen, erscheint als Warnung linksstehende Meldung. Jede so getätigte Änderung wird von der Fortigate firewall wieder überschrieben. |
|
Sobald dies gemacht wurde, wird der Switch neustarten. Dieser Vorgang kann je nach Modell bis zu 5 Minuten dauern. Sobald der Switch wieder verfügbar ist, so wird dies unter Wifi & Switch Controller > Managed FortiSwitch mit durchgezogenen Linien angezeigt. Gestrichelte Linien bedeuten inaktive Linien. Die Farbwahl der Linien sagt hierbei nichts über den Status aus. |
config switch-controller switch-profile edit "default" set login-passwd-override enable set login-passwd <meinPasswort> next end |
Standardmässig ist das CLI eines jeden unter der Fortigate Firewall verwalteten Switches nicht Passwortgeschützt. Das heisst, dass theoretisch jeder der physischen Zugriff auf die Switches hätte, mittels RS232 auf diese zugreifen könnte. Damit dies nicht geschieht, muss auf dem CLI der Firewall folgende Konfiguration gemacht werden. Die hier definierten Passwörter gelten für alle Switches, welche auf die Firewall verbunden sind, oder in Zukunft noch verbunden werden. |
|
Mittels Rechtsklick > Edit können die Parameter auf dem Switch eingesehen, respektive angepasst werden. Unter Name kann dem Switch eine aussagekräftige Bezeichnung vergeben werden. Unter connecting From kann die IP Addresse entnommen werden, welche der Switch geonmmen hat. Ein klick auf Restart löst einen reboot des Switches aus, und unter dem Abschnitt Firmware könnte sogar ein Firmwareupdate von der Firewall aus eingeleitet werden. |
|
Unter Wifi & Switch Controller > FortiSwitch Port Kann nun die Konfiguration der einzelnen Swichports geändert werden. Standardmässig existiert ein VLAN namens vsw.fortilink welches als Natives VLAN konfiguriert ist, usowie ein qtn.fortilink welches als Allowed VLANs hinterlegt ist. Idee hinter diesem Konstrukt ist, dass mittels Security Policy definiert wird, was ein aktzeptables Verhalten eines Gerätes hinter einem Port darstellt und was nicht. Sobald ein Gerät gegen diese Verhaltensrichtlinie verstösst, wird er in die Quarantäne (qtn.fortilink) verschoben. |
| Unter Wifi & Switch Controller > FortiSwitch VLANs kann nun das vsw.fortilink auf die individuellen Bedürfnisse angepasst werden. Die Konfiguration präsentiert sich hier wie ein normales Interface welches direkt auf der Firewall konfiguriert werden kann. | |
|
Als letzter Schritt wird noch eine Firewallregel benötigt, welche den Datenverkehr von diesem VLAN in andere Netze erlaubt. Auch dies geschieht wie bei einer normalen Policy über Policy & Objects > IPv4 Policy. Es muss hier lediglich das entsprechende VLAN-Objekt als Quelle gewählt werden. |
Wie können weitere Switches mit einer Fortigate verwaltet werden?
Einleitung:
Möchte nun das Netz aus der Anleitung FortiSwitch - Wie kann ein Switch auf der Fortigate verwaltet werden erweitert werden, so sind im Folgenden die dazu nötigen Konfigurationsschritte beschrieben.
Einleitung / Architektonische Vorbemerkungen
Die Architektur von Fortinet im Bereich FortiSwitch sieht vor, dass ein Switch (oder zwei bei MCLAG) direkt via Fortilink mit der Firewall verbunden werden. Gemäss Architektur werden die nachfolgenden Switches gewöhnlicherweise nicht direkt an der Firewall, sondern am ersten FortiSwitch angeschlossen. Damit wird ein Mehrschichtiges Netzwerkmodell umgesetzt. Es empfiehlt sich dabei jedoch nicht, einfach wahllos Switches zu kaskadieren, sondern nach dem Schema des Hierarchischen Netzwerkkonzept zu arbeiten. Siehe hierzu Wikipedia - Hierarchisches Internetworkingg-Modell.
Bei kleine bis mittleren Netzwerkgrössen empfiehlt es sich, sich an das "Core - Distribution - Access" Modell zu halten. Die Core- Funktionalität (und somit die Routingfunktionalität) übernimmt hierbei die Firewall. Der erste angeschlossene Switch übernimmt die Distributionschicht, und als nächster Schritt würden wir jetzt einen oder mehrere Access Switch an diesen anschliessen. In dieser Architektur ist es erstrebenswert, dass es sich beim Distributionswitch (ergo der Switch, welcher direkt an die Fortigate Firewall angeschlossen wurde) um den leistungsstärksten und funktionsreichsten Switch handelt.
Interessierte finden mehr informationen zu empfohlenen Fortinet Referenzarchitekturen in folgendem Dokument: Datei:Fsw secure switching.pdf
Komponenten:
- Fortigate 100E oder höher
- FortiSwitch 224E PoE
- FortiSwitch 124D
Zielarchitektur:
Vorbereitungen:
- Um den zusätzlichen Switch mit einer Firewall zu verbinden, empfiehlt es sich, gemäss Kapitel Firmwareupdate die Firmware des Switches auf den neuesten Stand zu bringen.
- Die Konfiguration des weiteren Switches sollte sich für folgendes Szenario auf Werkseinstellungen befinden.
Konfigurationsschritte:
| Verbinde zwei Kabel vom bestehenden Distribution Switch (FortiSwitch 224E PoE) zum neu hinzuzufügenden Switch. Stelle dabei sicher, dass diese Verbindung von Ports gemacht wird, welche für den FortiLink vorgesehen sind. | |
|
Nach ca. 2 Minuten, erscheint der neue Switch im Dashboard unter Wifi & Switch Controller > Managed FortiSwitch. Hier kann er nun mit einem klick auf Authorized hinzugefügt werden. |
|
Der neu hinzugefügte Switch bootet nun neu und wird anschliessend als aktiv angezeigt. Der neue Switch kann nun genau gleich wie ein bestehender Switch verwaltet werden. |
Wie kann ich die Ausfallsicherheit eines FortiLinks prüfen?
Wie kann ein redundante 2Tier Switchinfrastruktur mit einer Fortigate verwaltet werden?
Wie erhalte ich weitere Infos über den Datenfluss in meinem redundanten Netz?
Wie können Security Policies auf diesen Switchports hinzugefügt werden?
Troubleshooting
Wie kann im CLI eine Übersicht über alle angeschlossenen Switches erhalten werden?
| Konfiguration über CLI |
fgt200-master # execute switch-controller get-conn-status Managed-devices in current vdom root: STACK-NAME: FortiSwitch-Stack-fortilink SWITCH-ID VERSION STATUS ADDRESS JOIN-TIME NAME S224EPTF18001198 v6.0.0 Authorized/Up 10.20.30.2 Mon Jul 23 18:40:33 2018 Distribution1 |
Wird hier unter JOIN-TIME ein Zeitstempel angezeigt, so heisst das dass der entsprechende Switch seit dieser Zeit verbunden und aktiv ist. Wird unter JOIN-TIME lediglich ein (-) oder N/A angezeigt, so ist dieser Switch aktuell nicht verbunden.
Wie kann im CLI herausgefunden werden, über welche Ports und wie die Switches miteinander verbunden sind?
Dieser Befehl benötigt den Namen des Fortilink Anschlusses. Dieser Name kann herausgefunden werden via execute switch-controller get-conn-status.
| Konfiguration über CLI |
fgt200-master # execute switch-controller get-physical-conn standard FortiSwitch-Stack-fortilink FortiGate(s) FG200D3916811639(port13 ) <<------->> S224EPTF18001198(port23 ) FG200D3916811639(port14 ) <<------->> S224EPTF18001198(port24 ) Tier 1 S224EPTF18001198(port23 ) <<------->> FG200D3916811639(port13 ) S224EPTF18001198(port24 ) <<------->> FG200D3916811639(port14 ) |
Diesem Output können nun detaillierte Informationen darüber erhalten werden, über welche Ports die einzelnen Switches miteinander verbunden sind.
Achtung! Dieser Output sagt nichts darüber aus, ob die Switches zum jetzigen Zeitpunkt auch so miteinander verbunden sind.
Wie kann bei einem aggregierten Fortilink Interface herausgefunden werden, ob beide physischen Ports aktiv sind?
Dies kann wie bei einer klassischen Link Aggregation herausgefunden werden. Zuerst muss der Name der entsprechenden Link Aggregation herausgefunden werden:
| Konfiguration über CLI |
fgt200-master # diag netlink aggregate list List of 802.3ad link aggregation interfaces: 1 name fortilink status up algorithm L4 lacp-mode static |
Anschliessend kann mit folgendem Befehl der Status der Link-Aggregation überprüft werden.
| Konfiguration über CLI |
fgt200-master # diag netlink aggregate name fortilink status: up npu: y flush: y asic helper: n oid: 19 ports: 2 link-up-delay: 50ms min-links: 1 ha: master distribution algorithm: L4 LACP mode: static slave: port13 index: 0 link status: down link failure count: 5 permanent MAC addr: 90:6c:ac:86:01:09 slave: port14 index: 1 link status: up link failure count: 3 permanent MAC addr: 90:6c:ac:86:01:0a |
Dem obenstehenden Beispiel kann entnommen werden, dass bei der Aggregation mit dem Namen Fortilink lediglich eine von zwei Verbindungen aktiv ist. Die gesamte Link-Aggregation hat jedoch nach wie vor noch den Status up.
Wie kann von der Firewall aus auf ein CLI des Switches zugegriffen werden ?
Obwohl auf den Switches selbst keine Konfigurationsänderungen vorgenommen werden sollen, kann es zu Troubleshootingzwecken trotzdem hilfreich sein, sich direkt auf das CLI des Switches zu verbinden. Wenn man sich bereits via SSH auf der Firewall befindet funktioniert dies via Telnet wie folgt:
| Konfiguration über CLI |
fgt200-master # execute telnet <ip-addresse-des-switches> Trying 10.20.30.2... Connected to 10.20.30.2. Distribution1 login: admin Password: ************** No entry for terminal type "network"; using dumb terminal settings. Notice: This switch is currently under Fortilink remote control. Local changes to the system NOT recommended and may cause an inconsistency and/or disconnect from the FortiGate. Welcome ! Distribution1 # |
Wie kann bei einer aggregierten InterSwitch-Verbindung herausgefunden werden, ob beide physischen Ports aktiv sind?
Technische Hintergründe
Welche Informationen werden über den FortiLink übermittelt?
Nebst den Nutzdaten wird über ein FortiLink auch der gesamte Management Traffic übermittelt. Hier handelt es sich um verschiedene unterschiedliche Protokolle:
- FortiLink Heartbeat
- LLDP wird verwendet für das FortiSwitch discovery
- CAPWAP Konfigurationskommandos sowie die Software Upgrades der Switches
- NTP für die Zeitsynchronisation zwischen Switches und Fortigate
- HTTPS für die Konfiguration (Via REST API), Diagnosekommandos
- FortiSwitch InterSwitch Link
Wie soll eine Architektur mit Fortiswitches grundsätzlich aufgebaut werden?
Verschiedene empfehlungen für Referenzarchitekturen sind in folgender Präsentation ab Folie 32 zu finden: Datei:Fsw secure switching.pdf