F-B3. 内网接口的合并 ❀ 飞塔 (Fortinet) 防火墙

       【简介】中高端飞塔防火墙，默认每个内网接口都是独立的，但有时我们需要某些接口合并运行，例如指定多个接口为同一网段，这样就需要对接口进行合并操作。

  接口状态

        飞塔防火墙根据型号不同，内网接口状态也不同。

        ① 桌面型防火墙，内网接口默认为硬件交换，所有接口共用一个 IP 地址。我们也可以将接口拆分成独立的接口。

        ② 机架式防火墙，默认每个接口都是独立的，可以分别对每个接口设置 IP 地址。

        ③ 要将接口合并，就需要新建虚拟接口，在接口介面下点击【Create New】-【接口】。

        ④ 在新建接口窗口中，点击【类型】下接菜单，能够看到可以建立的各种接口类型。

  软件交换

        软件交换就是将选择的接口模拟成交换机，每个接口都可以互相访问，只是和桌面型的硬件交换有所不同，接口之间的数据交换还是通过芯片进行处理的。

        ① 输入接口名称，类型选择“软件交换”，加入接口成员，设置 IP 地址。

        ② 可以看到新建了虚拟的软件交换接口，原来的物理接口里port1和port2已经不在了。在port1和port2分别接入设备，他们之间就象交换机一样，可以直接通信。也可以建立多组软件交换接口。

  冗余接口

        冗余接口可以把多个物理接口分进同一个逻辑组中，并用这个组来提供主用/备用的冗余环境，当主用接口失效时，备用接口将成为活动接口并且开始转发流量。这个特性可以增强网络的可靠性，并确保即使物理接口出现了故障，流量一样可以通过防火墙。

        ① 输入接口名称，类型选择“冗余接口”，加入接口成员，设置 IP 地址。

        ② 可以看到新建了虚拟的冗余接口，原来的物理接口里port1和port2已经不在了。在port1和port2分别接入设备，两个接口只有一个接口在工作，当工作的接口断开后，另一个接口立即接上工作，冗余接口适合连接交换机。

          【提示】 HA 双机热备的接口监控支持冗余接口，冗余接口其中任一接口断开都不会激发 HA 切换，只有冗余接口全部断开才会激发 HA 切换。

  汇聚接口

        汇聚接口可以把多个物理接口分进同一个逻辑组中，并将多个物理连接当作一个单一的逻辑连接来处理，它允许防火墙与交换机之间通过多个端口并行连接，同时传输数据以提供更高的带宽、更大的吞吐量和可恢复性。 一般来说，两个交换设备连接的最大带宽取决于媒介的连接速度（100BAST-TX双绞线为200M），而使用Trunk技术可以将4个200M的端口捆绑后成为一个高达800M的连接。这一技术的优点是以较低的成本通过捆绑多端口提高带宽，而其增加的开销只是连接用的普通五类网线和多占用的端口，它可以有效地提高子网的上行速度，从而消除网络访问中的瓶颈。另外Trunk还具有自动带宽平衡，即容错功能：即使Trunk只有一个连接存在时，仍然会工作，这无形中增加了系统的可靠性。

        ① 输入接口名称，类型选择“802.3ad Aggregate”，加入接口成员，设置 IP 地址。

        ② 可以看到新建了虚拟的汇聚接口，原来的物理接口里port1和port2已经不在了。在port1和port2分别接入设备，两个接口同时工作。当其中一个接口断开后，另一个接口仍然继续工作，汇聚接口适合连接交换机。

          【提示】 HA 双机热备的接口监控支持汇聚接口，汇聚接口其中任一接口断开都不会激发 HA 切换，只有汇聚接口全部断开才会激发 HA 切换。