[已解決] FortiSwitch 108D-POE無法與FortiGate 60F透過fortilink正常連線

lasthero
個人積分：268分
文章編號：86487441

268分

樓主

2022-12-15 17:26

請教各位先進,
小弟我對於Fortinet產品是新手,
但為了資安所以一腳踏入這個世界,
最近買了FortiGate 60F and FortiSwitch 108D-POE and FortiAP 231F,
打算把家中網路建構成資安鐵三角,
但我一開始就遇到問題了,
我都是透過google自行爬文去設定,
目前60F可以透過中華光世代固定制線路連出去,
下一步是把FortiSwitch 108D-POE與60F透過fortilink連接起來,
但我依照自己google找到的資訊設定,
卻怎麼弄都無法讓108D變成online,
它一直處於offline狀態,
自己已經研究了兩天已經沒有方法可以試了,
所以想在這邊請教各位前輩,
我的設定是哪裡還沒有弄好呢?
下面是一些照片供參考.

不確定這個port 10的燈號是否正常? 它顯示橘燈然後下面那顆綠色非恆亮, 下面那顆只有偶爾閃個幾下但沒閃時就是沒有亮, 我記得一般active燈號應該是恆亮只有在傳資料時會閃, 就跟它旁邊port 9的兩顆燈一樣.
[已解決] FortiSwitch 108D-POE無法與FortiGate 60F透過fortilink正常連線

[已解決] FortiSwitch 108D-POE無法與FortiGate 60F透過fortilink正常連線

我的接線方式就是把108D最後面兩個port 9/10接到60F上的fortilink A/B,
然後把FortiLink split interface(沒關掉這個的話fortilink A/B只有一個port能動).
[已解決] FortiSwitch 108D-POE無法與FortiGate 60F透過fortilink正常連線

下面開始是相關的設定畫面.
[已解決] FortiSwitch 108D-POE無法與FortiGate 60F透過fortilink正常連線

先謝過!

===================================================

更新:

我後來買了一台FAP-231F然後register到FortiCloud,
原本以為在support那邊只能下載FortiAP相關的韌體,
但上去看發現所有Fortinet的device韌體都可以下載,
所以後來就直接下載最新的3.6.11刷上去,
然後再跟60F連接就成功了,
其實我後來從FW release note上就可以看的到3.6.11有提到link aggregation功能,
但3.3的沒有,
所以推論應該是因為60F是直接採用802.3ad而switch 3.3韌體不支援才導致無法正常連線,
換了3.6.11後就解決了!

2022-12-15 17:26 發佈

文章關鍵字 FortiSwitch 108D-POE FortiGate 60F fortilink 連線 108 60

tznx

tznx
個人積分：21分
文章編號：86488125

21分

2樓

2022-12-15 19:07

fortilink dhcp 沒開

tznx

匯出設定、重置、然後試著授權給switch 、如果能成功就代表一定有某個設定被誤刪了

2022-12-15 20:14

lasthero 樓主

這些是我新買的設備，都有經過reset，所以我是在default settings下去設定的，沒有去刪除什麼東西。

2022-12-15 20:18

lasthero

lasthero
個人積分：268分
文章編號：86488486

268分

樓主

2022-12-15 20:16

刪除

tznx

tznx
個人積分：21分
文章編號：86488580

21分

4樓

2022-12-15 20:35

那你可能要去借設備試試了，我裝的時候幾乎也沒特別設過

lasthero

lasthero
個人積分：268分
文章編號：86488903

268分

樓主

2022-12-15 21:36

剛爬文看到switch port上應該要有native vlan
就是設定fortilink的port上
不知道這個要怎麼弄出來
例如下圖中的port 23/24

https://www3.sips.ntpc.edu.tw/wordpress/?p=6040

lasthero

lasthero
個人積分：268分
文章編號：86491254

268分

樓主

2022-12-16 9:52

今早拿出先前用的50E再try看看,
結果是可以正常連線,
那表示108D那台應該是正常的,
可能是60F上設定的問題,
下面是50E上設定的畫面.

點我看大圖

其中我注意到Security Fabric connection設定上在50E跟60F上有不同,
在50E上我有開啟FortiGate Telemetry(上圖2),
但60F上的預設是disabled的,
然後我嘗試把它打開,
並依照50E上的設定在60F上設定,
不過有些選項是60F上有但50E上沒有的,
設定完後還是發現有些warning的部分,
不過還是沒辦法讓switch變online.

點我看大圖

lasthero

lasthero
個人積分：268分
文章編號：86491541

268分

樓主

2022-12-16 10:27

剛爬文看到類似的文章:

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Fix-the-issue-with-FortiSwitch-shows-Status/ta-p/197303

於是我按照文章上的方式去檢查我的ntp setting,
看起來好像是ntp沒有在switch上套用的關係?

點我看大圖

我不知道set interface後面的port是指什麼port,
嘗試下了switch的port9 and port10或是60F的porta and portb都失敗.

另外這篇文章也有提到類似問題:

https://www.reddit.com/r/fortinet/comments/nwulb7/fortiswitch_authorized_detected_yet_status_is/

只是當我嘗試透過60F CLI下execute ssh admin@xxx.xxx.xxx.xx的時候,
它提示我輸入密碼但我直接按enter它說失敗,
不知道switch的default password是什麼?
如果我能夠ssh進switch,
是否可以透過手動去assign date/time?
但為什麼switch接50E卻沒有這問題?

lasthero

lasthero
個人積分：268分
文章編號：86492253

268分

樓主

2022-12-16 11:49

我後來發現了一個問題,
Switch在我的50E上可以連線,
也可以看到FortiSwitchOS版本,
它是非常舊的3.3:

點我看大圖

而後來我去查Fortilink FortiOS vs FortiSwitchOS compatibility matrix:

點我看大圖

我的60F是7.2.3,
換句話說它FortiSwitchOS最低要求是3.6.11,
看起來好像是相容性的問題,
但我不知道為何我的switch在連接50E(有UTM授權)的情況下,
它沒有自動更新到3.6.11?

目前我正在跟當時我入手的賣家討論這個問題,
但賣家要我詢問原廠代理商看要怎麼更新108D韌體.

mascotqoo

mascotqoo
個人積分：5280分
文章編號：86492880

5280分

9樓

2022-12-16 13:27

很可能是軔體的問題，加油！

個人比較喜歡聯合國，家裡對外防火牆之前比較感興趣，使用多款如JUNIPER、

FortiGate、cisco asa、大陸深信服，最後留下FortiGate；

無線系統只使用過兩款如cisco air-2504+AIR-AP1242、aruba iap系列，自帶

controller，最後留下aruba，cisco系統退役

剛開始好玩，之後就累了玩不動了，只想用一套簡單又方便，又能控制小朋友

上網行為的設備，後面找時間把深信服防火牆安裝回來，方便功能又多

lasthero

lasthero
個人積分：268分
文章編號：86521964

268分

樓主

2022-12-21 9:06

更新:

我後來買了一台FAP-231F然後register到FortiCloud,
原本以為在support那邊只能下載FortiAP相關的韌體,
但上去看發現所有Fortinet的device韌體都可以下載,
所以後來就直接下載最新的3.6.11刷上去,
然後再跟60F連接就成功了,
其實我後來從FW release note上就可以看的到3.6.11有提到link aggregation功能,
但3.3的沒有,
所以推論應該是因為60F是直接採用802.3ad而switch 3.3韌體不支援才導致無法正常連線,
換了3.6.11後就解決了!