30 Juni 2026
Eine Hürde, die man überwinden muss, wenn man von einer alten Switching-Infrastruktur auf eine FortiLink-Konfiguration mit FortiSwitches migriert, sind VLANs. Die sind normalerweise mit dem alten Core-Switch verbunden und doch viel besser auf einem FortiLink Interface aufgehoben.
Heute, liebe Leser, schauen wir uns an, wie man diese VLANs am besten migriert und das auf zwei Arten.
Das Setup
- FortiGate 70G mit 7.6.7
- FortiSwitch 424E mit 7.6.6
- 3rd-Party Switch (Core-Switch)
Es besteht ein LACP LAG zwischen der FortiGate und dem 3rd-Party Core-Switch und ein FortiLink Interface zu dem FortiSwitch.
Der 3rd-Party-LAG verfügt bereits über VLANs mit Gateway-IP-Adressen. Das FortiLink-Interface enthält – abgesehen von den Standard-VLANs – keine weiteren VLANs.
Methode 1: Konfig Restore mit Reboot
Bei dieser Methode wird die Konfiguration der FortiGate heruntergeladen, offline geändert und über ein Restore mit der neuen Konfiguration hochgeladen.
Diese Methode funktioniert deswegen, weil jedes VLAN-Interface an einem physischen Interface angebunden ist. Ändert man das physische Interface, wandert das VLAN-Interface mit.
config system interface
edit "SERVER"
set vdom "root"
set ip 172.18.50.254 255.255.255.0
set interface "LAG_OLD" ---> set interface "fortilink"
set vlanid 50
next
edit "CLIENTS"
set vdom "root"
set ip 172.18.51.254 255.255.255.0
set interface "LAG_OLD" ---> set interface "fortilink"
set vlanid 51
next
end
Nachdem auf allen VLAN-Interfaces in der heruntergeladenen Konfiguration das neue FortiLink Interface hinterlegt wurde, kann die Konfiguration über ein Restore angewandt werden.
Der Nachteil dabei ist, dass ein Restore einen Reboot erzeugt, also hat man eine gewisse Downtime. Wenn das kein Problem ist, ist diese Methode die einfachere Wahl. Wenn die Downtime gering gehalten werden soll, ist die nächste Methode möglicherweise besser.
Nachdem der Restore vorüber ist, können die physischen Verbindungen zu den Switches migriert werden, was eine weitere Downtime ist, die beachtet werden muss.
Methode 2: Layer 2 Verbindung mit neuen VLAN-Interfaces
Bei dieser Methode wird Folgendes gemacht:
- Alle VLANs, die auf der alten Switching-Infrastruktur bestehen werden auf dem FortiLink Interface neu erstellt
- Diese VLANs haben die gleichen IDs, aber andere Namen
- Bis auf IPs und andere Layer 3 Konfiguration (z.B. DHCP) kann alles vorkonfiguriert werden
-
Die FortiLink-VLANs werden den gleichen Firewall-Policies zugewiesen, die bereits für die alten VLANs verwendet werden
- Wenn Zonen benutzt wurden, ist das schnell erledigt
- Wenn noch keine Zonen benutzt wurden, kann nun angefangen werden
- Das Feature Multiple Interface Policies ist hier von Vorteil
-
Zwischen alter und neuer Switching-Infrastruktur werden eine Layer 2 Verbindung und ein Trunk erstellt damit VLANs übertragen werden können

- Portverbindungen können nach und nach auf den FortiSwitch migriert werden
- Wenn die Layer 3 Konfiguration (IPs, DHCP, etc.) migriert werden soll, kann dies über ein vorgefertigtes Skript erledigt werden
Ein Beispiel für ein Migrationsskript mit 2 VLANs kann wie folgt aussehen (die IP-Informationen der DHCP-Server sind für die Orientierung vorhanden und eigentlich unnötig, es ist nur das Interface relevant):
config system interface
edit "SERVER"
unset ip
set interface "LAG_OLD"
next
edit "SERVER-FLINK"
set ip 172.18.50.254 255.255.255.0
set interface "fortilink"
next
edit "CLIENTS"
unset ip
set interface "LAG_OLD"
next
edit "CLIENTS-FLINK"
set ip 172.18.51.254 255.255.255.0
set interface "fortilink"
next
end
config system dhcp server
edit 50
set default-gateway 172.18.50.254
set interface "SERVER-FLINK"
config ip-range
edit 1
set start-ip 172.18.50.1
set end-ip 172.18.50.253
next
end
next
edit 51
set default-gateway 172.18.51.254
set interface "CLIENTS-FLINK"
config ip-range
edit 1
set start-ip 172.18.51.1
set end-ip 172.18.51.253
next
end
next
end
Ein paar Punkte gibt es bei Methode 2 zu erwähnen:
- Die gleichen VLAN IDs können auf verschiedenen physischen Interfaces vorhanden sein, aber nicht auf dem gleichen
- Die neuen VLANs benötigen einen anderen Namen als die alten
- Spanning Tree zwischen der alten und neuen Infrastruktur muss beachtet werden
- Es gibt eine Downtime auf Layer 3 Basis, da die IPs nun mit einer neuen MAC-Adresse verbunden sind, also ARP muss zuerst durchlaufen
- Die Layer 2 Verbindung und Konfiguration sollten vor der Migration getestet werden
Mit dieser Methode kann alles sehr gut vorbereitet und getestet werden und nur der Tag X, an dem die Layer 3 Konfiguration migriert wird, erzeugt eine kurze Downtime.
Session Close
Die zwei präsentierten Methoden führen zum Ziel und die Entscheidung wird primär durch die Downtime und den Zeitrahmen bestimmt.
Ich hoffe, dass die Informationen Ihnen, lieber Leser, bei Ihrer nächsten Switch Migration helfen werden.
Wenn Sie Vorschläge für zukünftige Beträge haben, Konfigurationen sehen wollen, auch in Videoformat, oder Sie Feedback haben, bitte ich Sie, diese an techxperts_central@exclusive-networks.com zu schicken.
Neueste Blogs
Alle Blogs anzeigenAusgewählt
Blogs
FortiGate Software Switch Offloading
Ausgewählt
Blogs
FortiAnalyzer Admin Action Event Handler
Ausgewählt
Blogs
FortiClient EMS Let’s Encrypt Security
Ausgewählt
Blogs
FortiGate FortiLink VLAN Migration
Ausgewählt
Blogs
Fortinet Cybersecurity Skills Gap Report 2026
Ausgewählt
Blogs