在上一篇《5分钟实现大规模远程组网》一文中，我们介绍了Fortinet的两个“黑科技”：FortiDeploy + FortiLink

前者实现了FortiGate对交换机的管理和状态监控，后者则实现了大规模设备上线的Zero-Touch。

今天我们讲的是利用FortiGate另一个“黑科技”实现：“1分钟排障。”

Fortinet始终认为，防火墙应该是网络安全的基础，尤其是引入了深度包检测技术的下一代防火墙，让用户对网络流量具有更强的可见性。另一方面，我们又始终强调网络安全要有全局视角，不仅是针对安全来考虑，对发现问题，定位问题也能起到很大的帮助。因此，我们希望通过防火墙来尽可能展示一个网络的全貌，所以今天和大家介绍的FortiGate另一个“黑科技”：拓扑图，比如下面这个样子：

上面这个拓扑图是由FortiGate自动生成，无需人工干预，不用怀疑。“在这个图上能看到什么呢？"边界FortiGate，上游是Internet，下游有一台内网部署的FortiGate，一台FortiSwitch，三台FortiAP，这些设备下面又分别连接了若干个终端；而由非Fortinet接入设备连接的终端则全部显示为直接连接在FortiGate上面。左上角，链路使用率，分别用绿色（<60%）、黄色（60%-90%）、红色（>90%）来表示。

这样展示的好处在于，管理员可以对整个网络情况一目了然，在线终端有多少，都是什么类型的，大概各自占用的资源，都分别连接在哪台接入设备上。由于极度的可视，当老板想了解公司网络使用概况的时候，管理员甚至可以直接截屏发送图片给老板做汇报，又或者给老板直接开一个只有查看权限的账号，这样老板想看的时候就能看到了，真正实现所见即所得。当有员工反映网络突然变慢，不好用的时候，管理员可以直接查看拓扑界面，如果发现有某个设备的气泡过大，那就证明它过多占用了网络资源，双击气泡图，就可以查看详情，比如这样：

如果发现是中了病毒在内网中疯狂发包，管理员还可以跳转到下面这个页面，将这台设备做“隔离”操作。

整个发现问题-定位问题-解决问题的时间不会超过1分钟。

当然， 如果发现所有设备占用的网络资源都差不多，那么就有可能是其他原因导致的，比如出口链路故障等原因。

也有看官肯定会说，内网接入设备也会宕机啊，这样肯定会影响部分用户上网的，请大家不要忘记，内网接入交换机和无线AP，只要都是Fortinet的，就会在拓扑图上展现出来，如果宕机掉线，自然会发现少了台设备。

对于在全国有多个分支办公室的企业来说，我们今天所讲的“黑科技”也同样试用。

结语

虽然我们今天讲的这些其实都是类似网管的技术，在很多人看来并不算什么，但是请大家不要忘记：1.拓扑图由FortiGate直接描绘，实现全网接入设备可视，无需网管设备。2.在FortiGate上可以实现对主机的“一键隔离”，无需第三方设备或软件。3.跨网络/公网的拓扑集成，也无需介入网管平台。