【简介】FortiSwitch是飞塔的产换机产品，它最大的优点是可以由防火墙统一管理，在一个窗口下就可以用图形介面管理整个局域网络的FortiSwitch交换机。

---

  FortiSwitch 交换机与 FortiGate 防火墙的连接

        通常FortiSwitch交换机会预留几个接口与其它交换机或防火墙连接。

        ① 这里以FortiSwitch 124D为例，除了24个常规的千兆电口外，还保留两个SFP口，这里我们为了保证速度，用防火墙的SFP口与交换机的SFP口进行连接。

        ② 默认情况下，每一个FortiSwitch型号都提供了一组端口，这些端口可以用于自动发现其它设备。我们可以利用这些端口来连接其它交换机或防火墙。我们连接的124D的26号端口就属于自动发现端口。

  防火墙发现FortiSwitch

        飞塔防火墙有一组菜单专门用来发现及管理FortiSwitch设备的。

        ① 如果我们在菜单里没有找到FortiSwitch管理选项，可以选择菜单【系统管理】－【可见功能】，启用【Switch控制器】。

        ② 我们已经把FortiSwitch 124D连接到FortiGate 200D的DMZ1口了，因此选择菜单【网络】－【接口】，选择DMZ1口单击【编辑】。

        ③ 输入一个别名，地址模式选择【专用于FortiSwitch】，也就是将这个接口标记为只连接FortiSwitch交换机。给这个接口设置一个IP地址，这个IP地址在做三层交换路由时会用到。

       ④ 接下来选择菜单【WiFi与交换控制器】-【可管理FortiSwich】，我们发现找到了连接的FortiSwitch。默认是没有准许的，没准许也就不能用。选择交换机，点击【准许】。

       ⑤ 准许后显示FortiSwitch是离线状态。

       ⑥ 耐心的等待几分钟，FortiSwitch连接状态会变成【已连接】。这样就可以管理这台FortiSwitch设备了。

    升级固件

        一般我们建议将FortiSwitch固件升级到最新版本，好配置防火墙管理。

        ① 得到固件的方式和防火墙一样，使用帐号登录飞塔的支持网站，在服务没有过期的情况下，下载FortiSwitch的最新固件。具体操作参照FortiGate防火墙固件下载。

        ② 选择状态为已连接的FortiSwitch，点击【升级】。

        ③ 选择下载的最新FortiSwitch固件文件，点击【升级】，稍等片刻设备会重启，升级成功。

创建及分配 VLAN

        象思科这类的交换机，需要输入大量的代码来进行VLAN的建立及端口的分配，而且FortiSwitch交换机用图形界面就可以完成这些设置。

        ① 我们可以在接口里直接建立VLAN。选择菜单【网络】-【接口】，点击【新建】-【接口】，创建一个虚拟接口。

        ② 输入接口名称，这里我们是用来连接FortiAP的。接口选择的是连接FortiSwtich的接口，输入VLAN ID，颜色是用来在FortiSwitch虚拟图上区别不同VLAN接口的。输入IP并启用DHCP。

        ③ 在连接FortiSwitch的接口上可以看到默认的两个虚拟接口和刚刚新建的Vlan虚拟接口。

       ④ 选择菜单【WiFi与交换控制器】-【虚拟交换】，看到新建立的VLAN和两个默认虚拟交换。点击【新建】，再建立一个连接PC机的VLAN。

       ⑤ 和建立第一个连接AP的VLAN一样，只是不用再选择接口。

       ⑥ 然后就是将建立的两个VLAN分配到FortiSwitch端口上，选择菜单【WiFi与交换控制器】-【端口】，点击【列表】。

       ⑦ 选择端口1-10，将本地VLAN修改为vlan-PC。

       ⑧ 选择端口11-14，将本地VLAN修改为vlan-AP。

       ⑨ 回到端口菜单，现在我们知道设置颜色的作用了，是用来区分不同端口不同VLAN的。

验证 VLAN 是否有效

        为了判断连接PC的VLAN是否有效。我们将设置这个VLAN允许通过防火墙上网。假设防火墙的Wan1已经连接互联网。

        ① 选择菜单【策略&对象】-【IPv4策略】，新建一条策略，允许vlan-PC允许通过Wan1接口上网。

        ② 将电脑连接到FortiSwitch的1口，由于在建立vlan-PC时启用了DHCP，我们可以看到自动获得了IP。

        ③ 能够Ping通DNS地址，说明可以上网了。

        ④ 通过FortiView下的源可以查看到，这台电脑是通过刚才建立vlanPC访问外网策略上网的。

        ⑤ 下面我们来连接FortiAP，虽然vlanAP是虚拟接口，但也要象物理接口一样，需要启用CAPWAP才能查找到FortiAP。

        ⑥ 这里我们不再讲解怎么配置FortiAP，可以看到即使FortiAP接入的是FortiSwitch，FortiGate防火墙仍可以找到并管理FortiAP。

        ⑦ 在可管理FortiSwitch窗口，可以看到FortiSwitch每个端口的连接的情况，这里我们接入一台电脑和两台FortiAP，分属于两个VLAN。

        ⑧ 选择菜单【Security Fabric】-【物理拓扑】，我们可以看到两个AP和一台电脑接入FortiSwitch，再接入FortiGate防火墙，然后上网。FortiSwitch交换机的设置大部分都通过图形化完成，管理起来非常方便。

飞塔技术-老梅子   QQ：57389522

---