飞塔三层路由器配置.pdf

Fortilink 三层管理模式下的MCLAG 配置指导 版本 1.0 时间 2021 年3 月 设备版本 FortiGate-81E v6.4.5, build1828,210217 (GA) FortiSwitch-224E-POE v6.4.6, build0470,210211 (GA) FortiSwitch-224D-FPOE v6.4.6,build0470,210211 (GA) 作者 夏苗青 状态 已审核 反馈 support_cn@ 目录 简介3 1. 防火墙侧相关配置5 1.1 Fortilink 接口配置5 2. L3 Router 配置6 2.1 配置跟防火墙连接的聚合接口6 2.2 配置跟交换机连接的聚合接口6 2.3 配置交换机和防火墙之间的三层报文转发7 3. 上线交换机7 3.1 上线224E-MCLAG-17 3.2 上线224E-MCLAG-210 3.3 配置使能MCLAG 11 3.4 上线224D-ACCESS-1 14 3.5 在两个MCLAG 交换机之间多接一条线16 4. 设备状态查看17 4.1 防火墙状态查看17 4.2 224E-MCLAG-1 状态查看17 4.3 224E-MCLAG-2 状态查看20 4.4 224D-ACCESS-1 状态查看22 5. 链路切换测试23 6. 关于STP 设置27 Fortinet 公司 第 2页 / 共28页 简介 在交换机的实际部署中, 在某些情况下,客户的当前部署中,核心交换机使 用的是第三方的交换机, 这样的话对于汇聚层和接入层的FortiSwitch 来说,如 果要被防火墙管理的话需要开启交换机的三层管理模式即 Fortilink Over Layer3, 本文描述了 Fortilink 三层架构下的相关配置以及在此架构下开启 MCLAG 模式的配置指导. Fortinet 公司 第 3页 / 共28页 网络拓扑: 网络拓扑介绍: FGT81E: 防火墙管理交换机, 转发网络流量, Fortilink 接口(port2/port3) ip:; L3 Router: port2和port3 起聚合接口连接防火墙, ip 地址; 本例中使用FWF61E 作为L3 Router, 提供三层转发; port4 和port5 起聚合分别连接MCLAG 的两个交换机, 并且给交换机分配ip 地 址, 转发流量到防火墙, 聚合口ip 地址; 交换机: 从L3 Router 获取192.168.17.x 网段的地址; PC: 工作在vlan30, 从L3 Router 获取vlan30 网段ip 地址. Fortinet 公司 第 4页 / 共28页 1. 防火墙侧相关配置 1.1 Fortilink 接口配置 注意: Fortilink 接口的split 模式为disable. 同时配置防火墙和交换机的通讯: 注意:在Fortilink Layer3 模式部署时, 防火墙和管理的交换机之间不能基于NAT 方 式通讯. Fortinet 公司 第 5页 / 共28页 2. L3 Router 配置 2.1 配置跟防火墙连接的聚合接口 2.2 配置跟交换机连接的聚合接口 注意:L3 Router 给交