Blogs

FortiGate FortiLink VLAN Migration

Kevin Guenay

Kevin Guenay

30 Juni 2026

FTNT_TechXperts_1024x600px_260520.jpg

Eine Hürde, die man überwinden muss, wenn man von einer alten Switching-Infrastruktur auf eine FortiLink-Konfiguration mit FortiSwitches migriert, sind VLANs. Die sind normalerweise mit dem alten Core-Switch verbunden und doch viel besser auf einem FortiLink Interface aufgehoben. 

Heute, liebe Leser, schauen wir uns an, wie man diese VLANs am besten migriert und das auf zwei Arten. 

Das Setup 

  • FortiGate 70G mit 7.6.7
  • FortiSwitch 424E mit 7.6.6
  • 3rd-Party Switch (Core-Switch)

Es besteht ein LACP LAG zwischen der FortiGate und dem 3rd-Party Core-Switch und ein FortiLink Interface zu dem FortiSwitch.

Der 3rd-Party-LAG verfügt bereits über VLANs mit Gateway-IP-Adressen. Das FortiLink-Interface enthält – abgesehen von den Standard-VLANs – keine weiteren VLANs.

fortilink_vlan_migration.drawio.png 

 

 

Methode 1: Konfig Restore mit Reboot 

Bei dieser Methode wird die Konfiguration der FortiGate heruntergeladenoffline geändert und über ein Restore mit der neuen Konfiguration hochgeladen. 

Diese Methode funktioniert deswegen, weil jedes VLAN-Interface an einem physischen Interface angebunden ist. Ändert man das physische Interface, wandert das VLAN-Interface mit. 

config system interface
    edit "SERVER"
        set vdom "root"
        set ip 172.18.50.254 255.255.255.0
        set interface "LAG_OLD" ---> set interface "fortilink"
        set vlanid 50
    next
    edit "CLIENTS"
        set vdom "root"
        set ip 172.18.51.254 255.255.255.0
        set interface "LAG_OLD" ---> set interface "fortilink"
        set vlanid 51
    next
end

 

Nachdem auf allen VLAN-Interfaces in der heruntergeladenen Konfiguration das neue FortiLink Interface hinterlegt wurde, kann die Konfiguration über ein Restore angewandt werden. 

Der Nachteil dabei ist, dass ein Restore einen Reboot erzeugt, also hat man eine gewisse Downtime. Wenn das kein Problem ist, ist diese Methode die einfachere Wahl. Wenn die Downtime gering gehalten werden soll, ist die nächste Methode möglicherweise besser. 

Nachdem der Restore vorüber ist, können die physischen Verbindungen zu den Switches migriert werden, was eine weitere Downtime ist, die beachtet werden muss. 

Methode 2: Layer 2 Verbindung mit neuen VLAN-Interfaces 

Bei dieser Methode wird Folgendes gemacht: 

  1. Alle VLANs, die auf der alten Switching-Infrastruktur bestehen werden auf dem FortiLink Interface neu erstellt
    1. Diese VLANs haben die gleichen IDs, aber andere Namen
    2. Bis auf IPs und andere Layer 3 Konfiguration (z.B. DHCP) kann alles vorkonfiguriert werden 
  1. Die FortiLink-VLANs werden den gleichen Firewall-Policies zugewiesen, die bereits für die alten VLANs verwendet werden

    1. Wenn Zonen benutzt wurden, ist das schnell erledigt 
    2. Wenn noch keine Zonen benutzt wurden, kann nun angefangen werden
    3. Das Feature Multiple Interface Policies ist hier von Vorteil 
  1. Zwischen alter und neuer Switching-Infrastruktur werden eine Layer 2 Verbindung und ein Trunk erstellt damit VLANs übertragen werden können

    fgt_fsw_trunk.png

  2. Portverbindungen können nach und nach auf den FortiSwitch migriert werden
  3. Wenn die Layer 3 Konfiguration (IPs, DHCP, etc.) migriert werden soll, kann dies über ein vorgefertigtes Skript erledigt werden 

Ein Beispiel für ein Migrationsskript mit 2 VLANs kann wie folgt aussehen (die IP-Informationen der DHCP-Server sind für die Orientierung vorhanden und eigentlich unnötig, es ist nur das Interface relevant): 

config system interface
    edit "SERVER"
        unset ip
        set interface "LAG_OLD"
    next
    edit "SERVER-FLINK"
        set ip 172.18.50.254 255.255.255.0
        set interface "fortilink"
    next
    edit "CLIENTS"
        unset ip
        set interface "LAG_OLD"
    next
    edit "CLIENTS-FLINK"
        set ip 172.18.51.254 255.255.255.0
        set interface "fortilink"
    next
end
config system dhcp server
    edit 50
        set default-gateway 172.18.50.254
        set interface "SERVER-FLINK"
        config ip-range
            edit 1
                set start-ip 172.18.50.1
                set end-ip 172.18.50.253
            next
        end
    next
    edit 51
        set default-gateway 172.18.51.254
        set interface "CLIENTS-FLINK"
        config ip-range
            edit 1
                set start-ip 172.18.51.1
                set end-ip 172.18.51.253
            next
        end
    next
end

Ein paar Punkte gibt es bei Methode 2 zu erwähnen:

  • Die gleichen VLAN IDs können auf verschiedenen physischen Interfaces vorhanden sein, aber nicht auf dem gleichen
  • Die neuen VLANs benötigen einen anderen Namen als die alten
  • Spanning Tree zwischen der alten und neuen Infrastruktur muss beachtet werden 
  • Es gibt eine Downtime auf Layer 3 Basis, da die IPs nun mit einer neuen MAC-Adresse verbunden sind, also ARP muss zuerst durchlaufen
  • Die Layer 2 Verbindung und Konfiguration sollten vor der Migration getestet werden

Mit dieser Methode kann alles sehr gut vorbereitet und getestet werden und nur der Tag X, an dem die Layer 3 Konfiguration migriert wird, erzeugt eine kurze Downtime. 

Session Close 

Die zwei präsentierten Methoden führen zum Ziel und die Entscheidung wird primär durch die Downtime und den Zeitrahmen bestimmt. 

Ich hoffe, dass die Informationen Ihnen, lieber Leser, bei Ihrer nächsten Switch Migration helfen werden. 

Wenn Sie Vorschläge für zukünftige Beträge haben, Konfigurationen sehen wollen, auch in Videoformat, oder Sie Feedback haben, bitte ich Sie, diese an techxperts_central@exclusive-networks.com zu schicken. 

Neueste Blogs

Alle Blogs anzeigen

Beginnen Sie mit dem Wachstum Ihres Unternehmens

Egal, ob Sie ein Angebot oder eine Beratung benötigen, Partner werden oder unsere globalen Services in Anspruch nehmen möchten, wir sind für Sie da.

Kontakt aufnehmen