admin管理员组文章数量:1600859
在机柜的最上排,我们配置了一个思科的交换机,这个交换机起什么作用呢?
由于我们需要用两台FortiGate 500E的防火墙做主备,因此要求两台防火墙的所有连线都是双份,包括宽带和内网。宽带只有一根网线,无法同时接入两台防火墙,因此我们需要一台交换机,将宽带一分为二。如果有两条宽带的话,还需要划分VLAN。
FortiGate防火墙和FortiSwitch交换机都有独立的MGMT管理口,我们可以将交换机多余的接口划分VLAN,统一接入所有设备的管理口,最终只有管理人员允许访问这个VLAN,也只有管理人员可以登录所有设备的MGMT管理口进行配置,大大提高了方便性和安全性。
前面我们已经学习了通过思科路由器2811做终端服务器,可以在一个界面登录多台设备的终端,输入C1,进入交换机的配置界面。
① 思科交换机的初始登录界面,输入no。
② enable //进入特权模式
show vlan brief //查看VLAN信息,可以看到所有接口都在默认Vlan 1下。
③ config terminal //进入全局配置模式
vlan 10 //新建VLAN 10
name Manager //VLAN 10命令为Manager,用来连接设备管理口
end //结束
④ 用同样的方法,新建VLAN 20和VLAN 30,分别命名Wan1和Wan2,用来连接两条宽带。
⑤ interface range gi1/9/1-12 //选择接口范围1~12
switchport mode access //交换端口为接入层模式
switchport access vlan 10 //将接口1~12分配给VLAN 10,也就是管理设备
exit //退出
用同样的命令,将接口13~16分配为VLAN 20,将接口17~20分配给VLAN 30
⑥ 再次用show vlan brief命令查看VLAN,可以看到已经多出来10、20、30三个VLAN,而且已经分配好接口了。
⑦ 在某些场合,也有可能会对VLAN配置IP地址。
config terminal //进入全局配置模式
interface vlan 10 //接口VLAN 10
ip address 10.10.10.254 255.255.255.0 //给VLAN10 配置IP地址
no shutdown //激活端口
exit //退出
⑧ show ip interface brief //显示接口IP地址,这里可以看到vlan10已经有IP地址了
最终的连接效果,由于13~16是一个VLAN,因此分别接入电信宽带,再接出到两台防火墙,这样就将宽带流量一分为二了。同样17~20接入的是移动宽带,也分别接出到两台防火墙。这样每台防火墙都有相同的两条宽带了。
两台防火墙上的宽带线及管理口线的连接就是这样的,都有接入到最上层的交换机。这样下一步就可以配置两台防火墙的HA主备了。
版权声明:本文标题:【高级篇System】(7.0) ❀ 03. 最外端准备一个可划VLAN的二层交换机 ❀ FortiGate 防火墙 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1728362598a1155574.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论