Fortigate MC-LAG

上圖為成功的架構 ，實際上理想的架構是FS-A與FS-B 之間MCLAG-iSL串接線是2條。
成功的架構只部署了1條10GB光纖。

1.先把Fortigate_Master ， Fortigate_Slave 的HA先架構出來。

2.新增聚合群組介面 802.3ad Aggregate

    FortiLink Split Interface 要關閉 ，這樣FS-A與FS-B才會同時在線服務，如果開啟會變成一台
    成為主服務一台備援。

    接下來進到CLii模式，針對此介面下指令
    confit system interface
               edit 聚合介面名稱
                      set lacp-mod active
                      set lacp-speed fast
             end


2.從FS-A進入指令模式
    config switch trunk
               edit FS-B-SN
                      set mode lacp-active
                      set auto-isl 1
                      set mclag-icl enable
                      set members "port21"
                      set lacp-speed fast
          next
               edit Fortigate_Master-SN
                      set mode lacp-active
                      set auto-isl 1
                      set mclag enable
                      set members "port24"
                      set lacp-speed fast   
    end



3.從FS-B進入指令模式
    config switch trunk
               edit FS-A-SN
                      set mode lacp-active
                      set auto-isl 1
                      set mclag-icl enable
                      set members "port21"
                      set lacp-speed fast
          next
               edit Fortigate_Master-SN
                      set mode lacp-active
                      set auto-isl 1
                      set mclag enable
                      set members "port24"
                      set lacp-speed fast   
    end

VMWare vNetwork failover (vmnic teaming) + Trunk

測試環境
1. HP 1810-24g               IP:192.168.1.253
2. fortigate 90e                IP:192.168.1.254
3. VMWare 主機一台     IP;192.168.1.100


LAB的設定順序
1.foritgate90E 創vlan100,200,300 ，分別給出DHCP 10.10.1-3.X /24 ，Lan為192.168.1.254

2.HP1810 創建vlan100,200,300
                 創建Trunk1(45port) , Trunk2(46port) ，個別將45,46port派給Trunk
                 再回Trunk選項，啟用Static Capability
                 分派vlan port ，tag port 47, 48, Trunk1, Trunk2帶vlan100,200,300

3.VMWare主機    先本機操作，啟用2張網卡並輸入管理IP:192.168.1.100
                              登入管理介面，編輯vSwitch 確定有2張網卡，第二張為待命狀態。
                              新增群組，把vlan100,200,300建立出來，並分派給各虛擬機。
                              測試虛擬機有抓到該vlan的IP網段。


紅色解說
本來是要做Trunk + LACP的，原本Trunk1派給它45+46port一起，但設定之後一直無法
 ping通192.168.1.00

 VMware 對於 NIC Teaming 有很多限制和條件, 簡單的說:

• ESXi 5.1 以前的版本, 只支援 802.3ad LACP static mode
• ESXi 5.1 開始的版本, 只能在 vDS 功能內, 支援 802.3ad LACP dynamic mode, 而且必須搭配 Single switch 或是 Stackable Switch。
• 不能跨多台分散式 Switch.除此之外, 他都是用 EtherChannel 的模式來支援 Teaming.(註: vDS 是 Enterprise Plus 版才有的專屬功能，而且要使用vCenter來設定.)

IBM Server Guide USB開機 + 內含windows 2016

這次在安裝IBM x3650 M5時發現沒光碟機，也忘了帶外接式光碟機。
只好做USB開機光碟。

唯一要注意的是，做開機光碟時要把USB做成NTFS格式，如果做成FAT32的話會導致windows2016 \ source \ install.win 這個檔無法複製，install.win 這個檔的大小為5GB。

第一步，使用Rufus製做USB開機碟

選擇serverguide10.6.iso ， 格式選擇NTFS

第二步，將windows2016.iso內容全複制到 USB:\\sgdeploy\os 

第三步，使用USB開機進ServerGuide就可以看到來源可以選擇USB裡的OS安裝

VMWare's vNetwork s 概念及新增一個備份用10GB網路卡介面

VMWare 的 vNetwork 分二種型式
  1.Standard Switch (VSS)
  2.Distributed Switch (VDS)
用法
  1.VSS與VDS 用於VM-VM之間溝通，VM-Switch之間溝通
  2.VSS無法跨VMWare主機，不需搭配vCenter
  3.VDS可跨VMWare主機(Enterprise Plus版本才支援)，有啟用vMotion功能會用到，需搭配vCenter

vNetwork 的 vSwitch 分三種連線類型
  1.供虛擬機連線使用，歸類於"標準校換器的虛擬機器連接埠群組"俗稱Prot Group
  2.VMKernel : iSCSI、NFS、NAS等IP Storage 及 vMotion 。
  3.Service Console : ESXi主機的管理介面IP設於此項。

Prot Group
 Binding模式
 1.Static Binding : 一個VM佔用一個Port 。
 2.Dynamic Binding : VM Power on 佔用一個Port ，Power off 時釋出 。
 3.Ephemeral -no Binding : 沒有Binding功能 。

 Vlan模式
 1.VST(Virtual Switch Tagging) : 此模式實體Switch的孔位必需為Trunk Port ，vSwitch再新增所有VLAN ID進去。
 2.VGT(Virtual Guest Tagging): 實體Switch孔位必需為Trunk Port，vSwitchk新增一個0-10449的VLAN，由Guest OS系統內的網卡自行改Vlan ID。(此方式很少使用)
 3.EST(External Switch Tag) : vSwtich不需設定VLAN ，實體Switch接哪個VLAN Port就是哪個VLAN 。

以下我是要新增一張10GB的光纖網卡讓NAS備份使用 及 設新增一個VLAN 200的Port Group (圖為vsphere 6.5 版本)

1.新增10GB網卡順帶一起建VMKernel，網卡在ESXi關機後接上，開機後檢查是否有多一張10GB網卡即可，不需特別裝Driver。

選擇新增實體網路卡

上圖按 + 選擇10GB網卡後加入

2.新增VLAN 200 的 Port Group

因為我是使用VST模式，所以VLAN識別碼選自行輸入200

如果你是使用VGT模式，可以在下拉式選單中選取0-10449

新增出來後就有VLAN 200的網路了，再去Guest OS編輯網路套用即可。

Switch的三種模式．Trunk及Hybrid的區別

三種模式截錄於網路，已不知來源為何處了。

1.Untagged Port和tagged Port不是實體網孔的狀態，而是實體網孔所擁有的某一個VID的狀態，所以一個實體網孔可以在某一個VID上是Untagged Port，在另一個VID上是tagged Port。

2.一個實體網孔只能有一個PVID，當一個實體網孔擁有了一個PVID的時候，必定會擁有和PVID的TAG等同的VID，而且在這個VID上，這個實體網孔必定是Untagged Port。

3.PVID的作用是在交換機從外部接受到Untagged封包的時候給封包加上TAG標記用的，讓封包在該VLAN流通。

4.在同一個VLAN的實體網孔，不論是Untagged Port或者tagged Port，都可以接受來自交換機內部的標記了相同VLAN的tagged封包。

5.在同一個VLAN的實體網孔，只有在這個VID上是tagged Port，才可以接受來自交換機外部的標記了相同VLAN的tagged封包。

Trunk 及 Hybird 的區別

Trunk可以屬於多個VLAN，可以接收和送送多個VLAN的封包，一般用於交换機之間的連接。

Hybrid也可以屬於多個VLAN，可以接收和送送多個VLAN的封包，可以用於交換機之間的連接也可以用於交換機和用户電腦之間的連接。

但主要區別是，Hybird端口可以允許多個VLAN的封包不上Tag，而Trunk端口只允許默認VLAN的封包不上Tag，同一個交換機上不能Hybrid和Trunk併存。

FortiAP 221E 安裝

FortiAP安裝只有四個步驟

  1.授權FortiAP使用，

  2.建立SSID名稱跟安全性

  3.建立ForitAP型號套用SSID的範本

  4.到已授權的FortiAP套用範本

已授權的3台FortiAP

建立SSID有二種方式

1.通道模式 - client跟AP本身建立通道，等於建立一個子網路做NAT，流量由AP承載

2.橋接Bridge模式 - 通常是搭配原有的Lanan介面或Vlan使用(範例以此模式做演譯)

Vlan ID 為1001跟1002 在下方這邊設定

VLAN Pooling 開啟後會隔離VLAN

再來是建立型號範本及套用SSID，本範例啟用2.4G及5G

示範的型號為221E ， 它的raido1固定是2.4G 只能用20MHZ 每種型號都不一樣

重點在於"用戶負載平衡" 的二種模式，可一起開啟使用

1.頻率越區切換 - 主要將使用者導向5G為優先，SSID套用跟2.4G相同即可。

2.AP越區切換 - 這個比較常見就不做解說

範本已經新增出來

再回 管理FortiAP 套用新增出來的範本就完成

以下是轉錄自FortiGate原廠對 頻率越區切換的資訊:

     WiFi控制器探測客戶端以確定其WiFi頻帶功能。它還記錄每個頻段上每個客戶端的        RSSI（信號強度）。

如果新客戶端嘗試加入網絡，則控制器在其無線設備表中查找該客戶端的MAC地址，並確定它是否為雙頻設備。如果它不是雙頻設備，那麼它允許加入。如果它是雙頻設備，則其5GHz上的RSSI用於確定設備是否足夠接近接入點以從移動到5GHz頻率中受益。

如果1）雙頻設備和2）RSSI值都很強，則無線控制器不回复客戶端的加入請求。這會強制客戶端重試幾次，然後超時並嘗試在5GHz上加入相同的SSID。一旦控制器在5GHz上看到這個新請求，則再次測量RSSI並允許客戶端加入。如果RSSI低於閾值，則更新設備表，控制器強制客戶端再次超時。客戶第二次嘗試以2.4GHz連接將被接受。

CLi i 語法

config wireless-controller wtp-profile

edit new-ap-profile

set handoff-rssi <rssi_int>

set handoff-sta-thresh <clients_int>

config radio-1

set frequency-handoff {disable | enable}

set ap-handoff {disable | enable}

end

config radio-2

set frequency-handoff {disable | enable}

set ap-handoff {disable | enable}

end

end

• handoff-rssi是RSSI閾值。具有超過該值的5GHz RSSI閾值的客戶端被負載平衡到5GHz頻帶。默認值為25.範圍是20到30。
• handoff-sta-thresh是接入點切換閾值。如果訪問點的客戶端數多於此閾值，則會將其視為忙，並將客戶端更改為另一個訪問點。默認值為30，範圍為5到25。
• frequency-handoff啟用或禁用此無線電的頻率切換負載平衡。默認情況下禁用。
• ap-handoff啟用或禁用此無線電的接入點切換負載平衡。默認情況下禁用。

Fortigate 與 Sharetech 建立Site to Site VPN

Sharetech UR918 (v2.2)

眾至UTM設定IPSec一個頁面幾乎就結束了

Fortigate 80E (V6.03)

 Phase2Phase2 裡的 PFS 不勾選，因為眾至預設是NO 以配合眾至來設定。

 自動密鑰保持激活 在這裡好感覺不出差異在哪，所以也沒勾選。

建立好後就會產生一個IPSecec的連線出來，不過是未連通的狀態

再去靜態路由設定一筆VPN的路由

一般只要點選 "未使用" 就會跳到Phase2的啟動畫面

也可以直接由 監測 > IPSecec監測器 進入

如果兩台都是fortigate而且用精靈來做的話，相信按了啟動就通了，但我在這卡關了很久

我一直用sharetech的思維來做fortigate ，以sharetech來說只要建好IPsecsec的頁面，

加密都沒問題的話就會通了，但fortigate兩邊加密都建好在Phase2畫面怎麼按就是不通。

後來把 VPN to Lan  及 Lan to VPN 的條例也要設定起來 VPN才通。

在sharetech思維裡ipsec歸ipsec ，條例不是ipsec的主要部份，但Fortigate把條例也看成是ipsec的一部分設定。