謝謝, 的確我是要在FortiGate上實作, 但請教一定要切switch嗎? 還是可以切VLAN的方式?

收到一個建議, 透過下方圖例去建置VLANs, 這概念應該跟您提到的是一樣的, 只是差在您的是switch, 而這個是VLAN.

稍早爬文看到有分兩種方式, layer 2 and layer 3, 您建議的應該是屬於layer 2方式, 也就是透過switch自身VLAN trunk去把定義好的switches給串接起來, 就好比現實社會把一個以上的實體switch設備串再一起, 而這好處是不需要在switch上去assign IP(layer 2也沒得assign), 僅需要第一個跟最後一個port接出去的設備端有IP即可使用. 然後另一種方式是layer 3, 就需要透過VLAN tagged去assign每個port IP address, 然後再透過routing table去定義封包走向. 所以請教一下, 哪種方式比較省時省力? 然後因為我是這方面的新手, 有沒有範例command可以提供給我讓我有一個方向? 謝謝!

switch方式可以避免掉一些耗損
直接訴之於FGT的NPU晶片處理

至於建立的方式用GUI就可以做到，文件如下
記得要選Hardware switch
不然效能會有差哦

感謝提供資訊, 查到官方切換mode的方式. 兩個問題: 1. 按照您提供的方式把兩個port都各自切成獨立switch, 然後在policy上面新增各switch可以互相access的政策, 這樣我就不需要每個port都給他assign IP address, 我只需要把連接到第一跟最後一個port的外部Xena設備的LAN接口assign IP就可以了, 對吧? 2. 我需要將STP給關閉嗎? 不關閉會不會網路會被切斷? 因為switch to switch的接法好像會有broadcast storm的問題, 所以理論上在每個port都要把STP功能給打開, 對嗎?

上面的文件鏈結似乎沒弄好，已修正
至於每個switch印象種是要給網段的
文件裡似乎有更清楚的說明
至於STP應該是不用特別去設
不會有loop或廣播風暴的問題
封包應該很單純才是

好的, 這幾天我會拿手上的FortiGate做實驗設定看看.

前兩天收到新買的二手FG-60E, 但我嘗試去綁定兩個ports到一個VLAN時發現他一次只能assign一個port到一個VLAN, 請教要如何把兩個ports綁在一個VLAN底下呢? 例如下方截圖, 我要如何把internal 2跟internal 3綁在同一個VLAN-100下面? 謝謝!!!!!

不知道我這樣的設置是否正確? 我在Hardware Switch底下先把兩個ports綁在一起, 然後再將這個兩ports的switch設定成VLAN, 只是我不知道VLAN這邊的IP要如何設定? 以及這樣是否就可以達到snake topology的效果? 我把internal 2/3綁在一起. 4/5綁在一起. 6/7綁在一起, 然後實體port連接就是internal 2跟7接Xena traffic generator, 然後用網路線把internal 3/4跟5/6接在一起.

我在Reddit上發文詢問, 有人建議我用VDOM的方式, 目前沒看到有人建議用VLAN的方式: https://www.reddit.com/r/fortinet/comments/1dikysb/how_to_set_up_a_snake_test_on_fortigate_60e_thru/

依照您的方式, 我把VLAN的設定移除, 在firewall policy上設置SW1->SW2以及SW2->SW3允許通過(正像跟反向), 然後把internal3/4接在一起5/6接在一起, internal2跟7各接一台筆電, 然後在兩台筆電上手動設定同網段的IP address, 結果兩台筆電可以互相ping成功, 這應該表示這樣的snake topology有建立起來. 但有個疑問, 這方式應該僅是針對internal switch去運作, 但後端的NPU應該是不會有任何effort, 如果要連後端NPU都要有effort, 可能要朝向VDOM的方式去建立.