FortiSwitch — это Ethernet-коммутатор компании Fortinet. Его можно подключить к FortiGate и получить:

• удобное управление;
• автоматические настройки безопасности

Администратор управляет FortiSwitch через интерфейс FortiGate из одного окна. Даже если устройства находятся в разных филиалах компании. Подключение, авторизация и настройка нового коммутатора происходит в несколько кликов.

FortiSwitch автоматически копирует настройки безопасности FortiGate и работает на L3-уровне модели OSI. Если в сети нет FortiGate, FortiSwitch работает изолированно с ограниченным функционалом, только на уровне L2.

Устройства взаимодействуют по проприетарному протоколу FortiLink. Он позволяет проверять трафик с любых конечных устройств: телефонов, компьютеров, терминалов оплаты и так далее.

FortiSwitch подойдёт тем, кто хочет:

• безопасно масштабировать сеть с FortiGate;
• автоматически развернуть новый филиал;
• сменить вендора и перейти на Fortinet

Компания, у которой уже есть FortiGate, может безопасно масштабировать сеть с помощью FortiSwitch. Например, это понадобится при росте числа офисных сотрудников.

Быстро развернуть новый филиал можно, купив FortiGate и FortiSwitch. Администратор запустит и настроит оборудование удалённо из головного офиса.

Для компании, которая хочет сменить вендора и перейти на Fortinet, единовременная замена всего оборудования может оказаться слишком дорогой. Пока старые коммутаторы работают, мы рекомендуем начать миграцию на Fortinet с покупки FortiGate. А по мере выхода из строя коммутаторов заменять их на FortiSwitch.

Далее мы рассмотрим функции безопасности, доступные в FortiSwitch, затем режимы работы и модели коммутаторов. В конце статьи мы приведём несколько возможных сценариев использования FortiSwitch в компаниях с разным числом сотрудников.

Для удобства мы собрали самое важное о FortiSwitch в 5-минутном видео. Можно посмотреть сначала его, а интересные темы прочитать в статье подробно и основательно:

Функции безопасности

FortiSwitch поддерживает несколько десятков различных функций, отвечающих за безопасность. Например:

• настройка политик доступа;
• блокировка портов;
• блокировка трафика от пользователей;
• защита от образования петель в сети

Настройка политик доступа. FortiSwitch повышает безопасность конечных устройств: определяет их принадлежность к группе пользователей, проверяет теги трафика или запрашивает аутентификацию через сервер RADIUS.

Среди функций, связанных с политиками доступа, наиболее интересна Access VLANs. Она запрещает устройствам в одной VLAN обмен данными. Это повышает безопасность сети, так как весь трафик принудительно проходит через FortiGate.

Администратор может вручную разрешить прямую передачу данных между устройствами.

Устройства A и B подключены к одной VLAN, но не могут взаимодействовать напрямую. FortiGate обрабатывает все данные, безопасный трафик передаёт на устройство B, а небезопасный блокирует

Блокировка портов. В FortiSwitch часть портов можно зарезервировать для подключения пользовательских устройств. Если к такому порту случайно подключат другой коммутатор, FortiSwitch заблокирует передачу трафика.

Блокировка трафика от пользователей. FortiSwitch считает безопасными портами только те, к которым подключены серверы, коммутаторы и NGFW. Если к порту подключён компьютер или телефон, трафик от него обязательно попадёт на FortiGate. При обнаружении угрозы, FortiSwitch остановит передачу трафика и заблокирует порт.

Защита от образования петель в сети. FortiSwitch периодически отправляет с заданного порта в сеть служебные пакеты. Если в сети есть петля, коммутатор получит пакет обратно. Для разрыва петли FortiSwitch заблокирует порт, с которого был передан пакет.

Пример действия функции Spanning Tree Protocol (STP), которая предотвращает образование петель. К каждому коммутатору ведёт только один канал, остальные не участвуют в передаче пакетов

Полный список функций FortiSwitch можно найти в спецификациях, ссылки на них в разделе «Модели» этой статьи

Режимы работы

FortiSwitch работает в двух режимах:

• интегрированном;
• изолированном

Режимы отличаются способом управления и настройки, а также доступными функциями.

Интегрированный режим используют, когда в сети есть FortiGate. Весь проходящий через FortiSwitch трафик обрабатывается на FortiGate.

Это важно для компаний, в которых сотрудники подключаются к корпоративной сети с собственных устройств. Если FortiGate обнаружит угрозу, он автоматически заблокирует скомпрометированное устройство.

FortiSwitch интегрируется в сеть автоматически. Это удобно, когда нужно быстро запустить оборудование в нескольких удалённых филиалах. Администратор сети работает только в интерфейсе FortiGate, без физического доступа к коммутаторам.

Коммутаторы управляются через интерфейс FortiGate или FortiGate Cloud. Если в сети несколько NGFW, к каждому из которых подключены несколько коммутаторов, для управления удобно использовать FortiManager

Для автоматической интеграции нужно включить функции управления коммутаторами и авторизации FortiSwitch в настройках FortiGate. Затем физически подключить коммутаторы к портам NGFW — это может сделать любой сотрудник удалённого филиала.

В интегрированном режиме не нужно докупать лицензию для FortiSwitch. Максимальное количество коммутаторов в сети определяется лицензией FortiGate: от 8 до 256 коммутаторов.

Изолированный режим нужен в сетях, где нет устройств FortiGate. На изолированном FortiSwitch работают не все функции. Например, нельзя автоматически настроить политики безопасности, их нужно прописывать вручную.

Набор доступных без интеграции функций зависит от модели FortiSwitch. Определить, какие функции поддерживает конкретная модель, поможет таблица в руководстве по администрированию.

Администратор управляет изолированным коммутатором напрямую, с помощью встроенного пользовательского интерфейса. Другой режим управления — через командную строку

Если в сети несколько изолированных FortiSwitch удобно управлять ими централизованно через FortiSwitch Cloud — веб-интерфейс, доступный на сайте Fortinet. В нем администратор может в одном окне настраивать отдельные коммутаторы, даже если их несколько десятков.

Для FortiSwitch в изолированном режиме необходима лицензия. Она оплачивается на 1 год для каждого устройства отдельно.

Модели

Fortinet предлагает 44 модели FortiSwitch с разным числом портов и коммутационной способностью. Можно подобрать подходящее устройство для стартапа с 10 сотрудниками, компании с тысячами пользовательских устройств или для эксплуатации в суровых условиях.

Все модели FortiSwitch делятся на семейства:

• для офисов и корпоративных сетей;
• для центров обработки данных;
• для установки в производственных помещениях и на улице

Семейство моделей для офисов и корпоративных сетей включает четыре серии: 100, 200, 400 и 500. Серии различаются по коммутационной способности, числу и характеристикам портов (GE, 10GE, 40GE).

Серии условно разделены по сегменту бизнеса, в котором их используют. Серия 100 предназначена для микробизнеса и стартапов; 200 — для малого и среднего бизнеса; 400 и 500 — для крупных корпораций с высокими требованиями к производительности

Все характеристики моделей семейства указаны в спецификации.

Для расширения сети или открытия нового филиала часто не нужны устройства с очень высокой производительность. Например, трафик будет небольшим, если коммутаторы устанавливают в сетевом магазине, чтобы подключить кассы и терминалы оплаты.

Для сравнения по стоимости мы выбрали настольные и среднепроизводительные модели как наиболее популярные.

В сегменте настольных моделей FortiSwitch самым привлекательным предложением. Он работает на уровне L3, автоматически настраивается и управляется через FortiGate и стоит дешевле конкурентов.

Семейство моделей для центров обработки данных (ЦОД) представляют четыре устройства. Они мощнее, чем в предыдущем семействе, но не поддерживают технологию PoE.

Модели сверху вниз: 1024D, 1048E, 3032D, 3032E. Их используют в качестве узлового коммутатора в сетях с большим числом филиалов или для коммутации на уровне серверной стойки в ЦОД

Краткое сравнение числа сетевых интерфейсов разных моделей и их коммутационной способности представлено в таблице. Посмотреть другие характеристики моделей можно в спецификации.

Семейство моделей для  тяжёлых условий (Rugged) состоит из двух устройств. Они предназначены для установки в пыльных или влажных помещениях и работают при очень низких или очень высоких температурах, на улице.

Условия работы модели FSR-112D-POE:

• температура −40 — +75 ℃;
• влажность 5–95%;
• высота до 2 км;
• корпус защищён от частиц > 2,5 мм (класс IP30)

Условия работы модели FSR-124D:

• температура −40 — +85 ℃;
• влажность 10–95%;
• высота до 3 км;
• корпус защищён от частиц > 1 мм (класс IP40)

Другие характеристики можно узнать в спецификации.

Модели используют на критически важных объектах инфраструктуры, например, в коммунальных службах, нефтегазовой промышленности или в сфере перевозок.

Среднее время безотказной работы моделей семейства Rugged — 25 лет. Устройства имеют входы для резервного питания и систему пассивного охлаждения без движущихся элементов

Определить подходящую для конкретных задач модель FortiSwitch и сравнить несколько вариантов можно на сайте Fortinet.

Сценарии использования

В этом разделе собраны примеры конфигурации сети для разного числа пользователей. Fortinet предлагает большой выбор моделей для любого сегмента бизнеса и промышленности, поэтому для примера мы выбрали очень разные сценарии:

• до 20 пользователей;
• до 200 пользователей;
• до 800 пользователей;
• центры обработки данных

До 20 пользователей. При невысокой (до 20 Гбит/с) нагрузке на коммутаторы, можно использовать модели FortiSwitch серии 100. Сценарий подходит для филиалов торговых сетей, школ, малого бизнеса и стартапов.

Удобно использовать устройства с поддержкой POE для подключения конечных устройств, например, терминалов оплаты

До 200 пользователей. Сценарий подходит, например, для крупных торговых сетей, где в филиалах используют беспроводные терминалы оплаты. Для построения такой сети используют FortiSwitch серии 200 под управлением пары FortiGate.

Два FortiGate нужны для увеличения отказоустойчивости системы. Если основное устройство выйдет из строя, его заменит второй FortiGate.

Управлять такой конфигурацией сети удобно с помощью FortiManager

До 800 пользователей. Топология сети с большим числом пользователей выглядит также, как в предыдущем сценарии. Но вместо FortiSwitch серии 200, нужно использовать более производительные модели из серий 400 или 500.

Центр обработки данных. Коммутаторы в ЦОД должны выдерживать постоянную высокую нагрузку. Модели серий 1000 и 3000 рассчитаны на бесперебойную работу 24/7 в течение 10 лет.

Сценарий подходит для серверов виртуализации или вычислительных центров, где необходима высокоскоростная коммутация до 6400 Гбит/секунду

Заключение

FortiSwitch как самостоятельное устройство не имеют значительных преимуществ перед коммутаторами других производителей. Но если FortiSwitch интегрирован с FortiGate, весь его функционал используется в полной мере. Поэтому мы рекомендуем применять FortiSwitch именно как часть фабрики безопасности Fortinet.

Преимущества FortiSwitch в составе Fortinet Security Fabric:

• Простое масштабирование. Каждый FortiSwitch становится логической частью FortiGate;
• Быстрая интеграция. Коммутаторы подключаются в автоматическом режиме, даже если в филиале нет сетевого администратора;
• Централизованное управление. Всеми устройствами можно управлять из одного окна;
• Низкая совокупная стоимость. Для интегрированных коммутаторов не требуется лицензия, не нужны администраторы в филиалах.