当前位置：首页 > news >正文

Fortigate防火墙二层接口的几种实现方式

news 文章来源：https://blog.csdn.net/wuxiaobing1234/article/details/139458762 2025/4/3 18:56:14

初始配置

FortiGate出厂配置默认地址为192.168.1.99（MGMT接口），可以通过https的方式进行web管理（默认用户名admin，密码为空），不同型号设备用于管理的接口略有不同。

console接口的配置

在这里插入图片描述

防火墙查看命令

show full-configuration              #查看设备全部的配置信息
get system performance status        #查看设备运行状态，包括cpu、内存利用率
get system session status            #查看会话数
get system arp                       #查看arp列表
get system ha status                 #查看ha状态
get system interface physical        #查看物理接口状态
get system status                    #查看系统信息，包括软硬件版本、设备名、时间等等
get router info routing-table all    #查看路由表
get system session list              #查看会话列表
get system admin list                #查看登录用户信息

防火墙修改管理协议

FG1240B # config system interface
FG1240B (interface) # 
# show命令可以查看现有配置信息
FG1240B (interface) # showedit "port28"set vdom "root"set ip 10.1.1.11 255.255.255.240set allowaccess ping snmp telnetset vlanforward enableset type physicalset alias "outside"set snmp-index 28next
FG1240B (interface) # edit port28 
# 在set allowaccess命令中增加http
FG1240B (port28) # set allowaccess ping http snmp telnet
# 输入命令end，退出后直接保存
FG1240B (port28) # end
FG1240B #

交换接口

使用交换接口的目的在于两个接口共享一个IP地址，由于Camtel只能给大学提供一条链路，为了减少单点故障，Camtel的设备最好能够同时连接两台大学的NE40路由器，且使用一个IP地址，Fortigate 500设备提供了这种功能，可以通过软交换或交换接口来实现，具体区别如下：

VLAN/Hardware与Software Switch的区别：

功能	VLAN/Hardware switch	Software switch
转发	数据包由设备硬件交换机或SPU在硬件层面处理	数据包由CPU处理
STP	支持	不支持
无线SSIDs	不支持	支持
交换接口互访	默认允许	默认允许，可以通过策略控制

软交换

软交换口是将防火墙的多个3层接口，通过软件的方式，组成一个2层交换接口。当FortiGate的每个口都为3层路由接口时，可以将其中的接口组成软件交换接口。

功能配置

添加聚合接口，进入网络→接口，新建接口。

在这里插入图片描述

类型选择软件交换，选择物理接口成员。

在这里插入图片描述

注意：建议在不需要的情况下关闭接口配置下的“设备探测”（Device detection）功能，该功能用于MAC地址厂商设备信息识别及MAC地址过滤，会消耗较多的设备资源，可能导致流量无法被芯片加速。
接口配置页面查看建立的软交换口。

在这里插入图片描述

在命令行查看软交换接口的配置。

FortiGate # show full-configuration system switch-interface sw1
config system switch-interfaceedit "sw1"set vdom "root"set member "port2" "port3"set type switchset intra-switch-policy implicitset mac-ttl 300set span disablenext
end

使用限制

软交换口是通过软件的方式模拟出的，需要由CPU处理，无法被芯片加速，会影响系统的性能，谨慎使用。（部分型号的设备自带硬交换接口，支持硬件加速，如100F）。
默认配置下，交换机内部的成员接口之间通信是放通的，可以通过如下命令修改为必须匹配防火墙策略。

FortiGate # config sys switch-interface 
FortiGate (switch-interface) # edit sw1
FortiGate (test) # set intra-switch-policy ?
implicit    Traffic between switch members is implicitly allowed.    //默认配置，成员之间的流量全部放通
explicit    Traffic between switch members must match firewall policies.    //根据配置的防火墙策略执行放通或拒绝动作

模拟器下做出来的效果

在这里插入图片描述

FortiGate-VM64-KVM # show full-configuration system switch-interface Inter
config system switch-interfaceedit "Inter"set vdom "root"set member "port2" "port3"set type switchset intra-switch-policy implicitset mac-ttl 300set span disablenext
end

VLAN/Hardware Switch

VLAN/Hardware Switch是一个虚拟交换机接口，它将不同的物理接口组合在一起，以便FortiGate可以将这些成员接口组合成单个接口。部分支持此接口的FortiGate型号有一个默认的硬件交换接口，称为internal或lan，VLAN/Hardware Switch可以被硬件级别的芯片支持。
连接到同一VLAN/Hardware Switch的接口，类似于位于同一广播域中的同一物理交换机上一样。接口成员可以从VLAN/Hardware Switch中移除并分配给另一个交换机或用作独立物理接口。

VLAN Switch和Hardware Switch的区别

60F、80F、100F、200F等具有硬件交换模块的型号，通过内部硬件交换机创建的交换接口为VLAN Switch。这些型号的设备一般在默认配置下会存在一个名称为lan或Internal的VLAN Switch接口，交换接口成员默认包含硬件交换模块中的成员接口，这些接口可以从预置的交换接口中取出，变为普通物理口。包括500E和501E
40F、300E、400E、1100E、2200E、3600E、3980E、400F、600F、1800F、2600F、3000F、4400F等具有硬件交换模块的型号，通过内部硬件交换机创建的交换接口为Hardware Switch。
VLAN Switch接口可以直接在接口下配置VLAN ID，同时配置IP后，可以直接将VLAN Switch配置为VLAN Interface（携带VLAN Tag），实现接口成员同属于该VLAN Interface的效果，而无需在VLAN Switch接口上再配置VLAN接口，而Hardware Switch无法配置VLAN ID，想实现上述效果，必须在Hardware Switch上配置VLAN Interface。

除此之外，VLAN Switch与Hardware Switch这两种交换接口在功能使用上没有差别。

功能配置

在SoC平台（如40F、60F、80F、100F、200F等）默认配置下会存在一个名称为lan或Internal的VLAN Switch接口，编辑该接口，交换接口成员默认包含硬件交换模块中的成员接口，这些接口可以从预置的交换接口中取出，变为普通物理口，也可将硬件交换模块的接口加入该交换接口，如下FortiGate101F所示。

将物理口加入Switch接口时，接口需要清除IP地址（配置为0.0.0.0/0），且不能被其他功能引用。

在这里插入图片描述

创建新的VLAN/Hardware Switch，进入“网络→接口”页面，新建接口。

在这里插入图片描述

选择类型为“VLAN交换/硬件交换”，如下图所示为FortiGate601F，交换接口为“硬件交换”，并添加或删除接口成员。

在这里插入图片描述

通过CLI删除VLAN/Hardware Switch接口。

config system virtual-switchedit "internal"config portdelete internal2delete internal7...endnext
end
Copy

通过CLI添加VLAN/Hardware Switch接口。

config system virtual-switchedit "internal"set physical-switch "sw0"config portedit "internal3"nextedit "internal5"nextedit "internal4"nextedit "internal6"nextendnext
end

Fortigate防火墙二层接口的几种实现方式

初始配置

交换接口

软交换

功能配置

使用限制

VLAN/Hardware Switch

功能配置

相关文章：

Fortigate防火墙二层接口的几种实现方式

如何永久擦除Android手机中的所有个人数据？

使用手机小程序给证件照换底色

C语言杂谈：函数栈帧，函数调用时到底发生了什么

【Qt】win10,QTableWidget表头下无分隔线的问题

前端实现有时间限制的缓存

前端将xlsx转成json

使用LLaMA-Factory微调大模型

C语言二级指针、指针数组

python方法

0基础学习区块链技术——去中心化

索引的强大作用和是否创建的索引越多越好

批量GBK转UTF-8

C#WPF数字大屏项目实战08--生产量/良品统计

22、matlab锯齿波、三角波、方波：rectpuls()函数/sawtooth()函数/square()函数

手机和WINDOWS电脑蓝牙连接后怎样放歌,无法选择媒体音频蓝牙媒体音频勾选不上

MatrixOne→MatrixOS：矩阵起源的创业史即将用“AI Infra”和“AI Platform”书写新章程

vue3将自定义组件插入指定dom

flutter封装日历选择器（单日选择）

SwiftUI调用相机拍照

elasticsearch （dsl）

聊聊大模型微调训练全流程的思考

Python变量符号：深入探索与实用指南

实验八页面置换模拟程序设计

Spring类加载机制揭秘：深度解析“卸载”阶段

Jupyter Notebook快速搭建

Linux C语言：数组的定义和初始化

spring框架限制接口是否要登录过才能访问

【全开源】废品回收垃圾回收小程序APP公众号源码PHP版本

勒索软件分析_目标文件扫描行为分析