Descripción
Este artículo describe cómo configurar y solucionar problemas de configuración de Fortilink MCLAG de 3 niveles.
Topologías de red -> Configuración Fortilink MCLAG de tres niveles.
Alcance
Para la versión 6,2 y posteriores.
Solución
Configuración FortiLink MCLAG de tres niveles.
Para crear una topología FortiLink MCLAG de tres niveles, use FortiOS 6.2.3 GA o posterior y FortiSwitchOS 6.2.3 GA o posterior.
Para configurar las dos unidades FortiGate:
1) Establezca una configuración HA activa-pasiva.
2) (Opcional) Deshabilite la anulación en la configuración de HA CLI.
3) Utilice la GUI o la CLI para crear la interfaz de FortiLink.
4) Configure la interfaz de FortiLink:
# config system interface
edit Fortilink
set vdom «root»
set fortilink enable
set ip 169.254.1.1 255.255.255.0
set allowaccess ping fabric
set type added
set member «x1» «x2»
set fortilink-split-interface disabled
next
end
5) Cambie la política de configuración automática predeterminada:
# config switch-controller auto-config policy
edit default
set poe-status disabled
next
end6) Cambiar el modo de actualización del firmware:
# config switch-controller
conjunto global https-image-push enable
endPara configurar las unidades FortiSwitch en el núcleo:
1) Primero conecte los interruptores del núcleo a la interfaz agregada de FGT y conecte el enlace entre los interruptores del núcleo (SW 1 y SW 2 en el ejemplo anterior). Ambos conmutadores formarán 2 troncales: uno con FGT y otro ISL (enlace entre conmutadores)
2) SSH en los conmutadores del FGT y encuentre el troncal entre los dos conmutadores MCLAG SW 1 y SW 2. Habilite mclag-icl en ISL fortilink troncal en ambos interruptores. El nombre predeterminado del enlace troncal MCLAG-ICL son los últimos 13 caracteres del nombre del conmutador del par más ‘-0’. Por ejemplo:# show switch trunk <—– Edite la interfaz troncal en ambos FortiSwitches principales.
# config switch trunk
edit «8EFxxxxxxxx-0»
set mclag-icl enable
end
3) Espere a que ambos interruptores SW 1 y SW 2 se conecten. Verifique el estado de ‘# diagnostic switch mclag peer-consistency-check ‘ en ambos FortiSwitches.
4) Cree troncales de enlace descendente en los conmutadores MCLAG-ICL.
Nota: Solo los enlaces troncales de los conmutadores MCLAG-ICL de nivel superior a los conmutadores MCLAG-ICL de nivel siguiente necesitan esta configuración.
5) Agregue un auto-isl-port-group para el MCLAG de nivel 2 SW 3 y SW 4 en los switches SW 1 y SW 2:
En SW 1:# config switch auto-isl-port-group
edit tier-2-3
set members port22
endEn SO 2:
edit tier-2-4
set members port21
next
end
6) Nota: No realice todas las conexiones en este punto. Conecte solo SW 3 a SW 1 y una vez que SW 3 esté en línea, conecte SW 4 a SW 3. No conecte SW 4 a SW 2 todavía. SW 4 estará en línea en FGT sobre SW 3
7) Agregue dos auto-isl-port-group para los conmutadores MCLAG de nivel 3 tanto en el conmutador SW 3 como en el conmutador SW 4:
Tanto en SW3 como en SW4:# config switch auto-isl-port-group
edit tier-3-SW5_6
set member port20
end8) Habilite el enlace troncal MCLAG-ICL de nivel 2 en el interruptor SW 4: (el enlace troncal ISL fortilink se formó en SW4 a SW3, similar al paso 2)
# config switch trunk
edit «<ISL trunk link to SW3>»
set mclag-icl enable
end9) Nota: Ahora, conecte solo SW 5 a SW 3 y una vez que SW 5 esté en línea, conecte SW 6 a SW 5. No conecte SW 6 a SW 4 todavía. SW 6 se conectará en línea en FGT sobre SW 5
10) Habilite los enlaces troncales MCLAG-ICL de nivel 3 en SW 6. (El enlace troncal ISL fortilink se formó en SW6 a SW5, similar al paso 2)
NOTA: El enlace troncal debe configurarse desde el final de la conexión en cadena FortiSwitch.
# config switch trunk
edit «<ISL trunk link to SW5>»
set mclag-icl enable
end11) Una vez que el SW 6 esté configurado para MCLAG-ICL con SW 5, inicie sesión en SW 5 y repita el paso anterior para configurar Tier3-MCLAG-ICL en SW 5
Use el comando diagnostic switch mclag peer-consistency-check CLI para verificar que el enlace troncal MCLAG-ICL se formó con éxito en ambos conmutadores SW 5 y SW 6.
12) Habilite el enlace troncal Tier2-MCLAG-ICL en el SW 3 de forma similar a como se hizo para el SW 4 en el paso 8.
Utilice el conmutador de diagnóstico mclag peer-consistency-check Comando CLI para verificar que el enlace troncal MCLAG-ICL se formó correctamente en ambos switches SW 5 y SW 6.
13) Verifique que todos los FortiLinks estén activos y vuelva a verificar que la configuración MCLAG-ICL en cada MCLAG FortiSwitch.
14) Conecte el SW 4 al SW 2.
15) Verifique que los FortiLinks estén activos.
16) Conecte SW 6 a SW 4.
17) Verifique que los FortiLinks estén activos.
18) Utilice el comando de la CLI diagnostic switch mclag peer-consistency-check para verificar que los switches MCLAG de nivel 1, nivel 2 y nivel 3 estén formados correctamente.
19) Todos los FortiLinks deberían estar activos.
Comandos útiles en FortiSwitch:# diagnose switch mclag peer-consistency-check
# diagnose switch trunk list
# diag switch mclag icl
# diag switch mclag list
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!