1、 FortiAP 介绍FortiAP 无线接入点提供企业级别的无线网络扩展的 FortiGate 整合安全功能的控制器管理的设备。每个 FortiAP无线控制器将通过的流量集成到 FortiGate 平台,提供了一个单独的控制台来管理有线和无线网络通信。FortiAP 无线接入点提供更多的网络可视性和策略执行能力,同时简化了整体网络环境。采用最新的 802.11n 为基础的无线芯片技术,提供高性能集成无线监控并支持多个虚拟 AP 的每个无线发送的无线接入。 FortiAP 与FortiGate 设备的 controller(控制器)连接,可以提供强大完整的内容保护功能的无线部署空间。 Fort
2、iGate 设备controller 控制器可以集中管理无线发送点操作、信道分配、发射功率,从而进一步简化了部署和管理。FortiAP 外观与连接这里我们用 FortiAP 210B 来做示例, FortiAP 210B 是可持续性使用的商务级 802.11n 解决方案,提供达300Mbps 的总吞吐率,可满足苛刻使用要求的应用场所。FortiAP 210B 应用了单射频双频段(2.4GHz 和 5GHz)的2x2 MIMO 技术。FortiAP 210B 是一款企业级接入点,不但提供快速客户端接入,而且具有智能应用检测和流量整形功能,具有两根内部天线,支持 IEEE 802.11a、b、g
3、和 n 无线标准。这是 FortiAP 210B 正面的样子。FortiAP 210B 连接的方式很简单,只要一根网线的一端连接设备的 ETH 接口,另一端连接交换机或飞塔防火墙,设备带独立的 12V、1.5A 电源,如果防火墙或交换机支持 PoE 接口(自带 48V 电源),也可以直接通过网线供电,不需要连接独立的电源,这样在布线安装时会方便很多。FortiAP 访问和普通的交换机、路由器一样,FortiAP 也可以通过浏览器进行访问,ET接口的默认地址是 192.168.1.2,用户名为 admin,密码为空。笔记本电脑 IP 设为同网段的 192.168.1.8,打开火狐浏览器,输入 h
4、ttp:/192.168.1.2 进行访问。输入用户名 admin,密码不填,直接点击登录;可以看到 FortiAP 210B 的基本信息,在这里可以升级固件,修改管理员密码(为了安全起见建议立即修改),当有多个 AP 时为了不引起冲突,又能访问每个 IP,建议修改默认的 192.168.1.2 IP 地址。还可以看到无线的信息。因为大部分的设置是在 Fortinet 防火墙的控制端完成,这里就不具体操作了。防火墙上激活 AP因为 FortiGate 整合了安全功能的控制器管理,所以所有的操作都可以在防火墙上完成。 登录防火墙,选择菜单【WiFi 与交换控制器】-【可管理设备】-【FortiA
5、P 管理】,多刷新几下,就可以发现已经找到了两台 FortiAP 210B 设备。 刚找到的设备状态是问号,选项一台 AP,点击【准许】,允许使用; 准许后,它们的状态是绿色的;连接通过可以看到 AP 从防火墙的 DHCP 分配到了地址,通过访问这个地址,也可以登录 AP 的 Web 介面。建立 SSID防火墙上激活了 FortiAP 后,就可以设置 SSID 了,用过无线的都知道,笔记本或手机都会搜索一个无线信号,名称就是 SSID。 选择菜单【WiFi 与交换控制器】-【无线网络】-【SSID】,点击新建; 我们新建一个给办公室内部人员使用的 SSID,启用 DHCP,设置 IP 范围,这
6、样通过这个 SSID 登录的就会得到这个范围的 IP 地址; SSID 取中文名称容易区分,但有部分电脑查看无线信息的时候看到的是乱码,手机一般不会。安全模式这里我们选择了企业模式,主要是区别普通的密码输入认证,默认本地认证,也就是通过防火墙里设置的帐号进行认证,选择客户组,当然工作组也可以在防火墙里自定义; 再建一个给客户临时上网的 SSID,IP 地址与内部员工使用的 SSID 区分开来; 访客 SSID 的安全模式就只需选择个人模式,只要输入密码就能通过; 可以看到两个不同的 SSID 就建好了,当然也可以根据实际情况增加或删减 SSID。添加验证用户刚才建立的办公 WiFi 会通过防火
7、墙上的帐号进行验证,那么我们需要先在防火墙上建立用户,并加入客户组中。 选择菜单【用户设备】-【用户】-【设置用户】,点击新建; 默认是建立本地用户,点击【下一个】; 输入用户名和密码,点击【下一个】; 邮件地址这里忽略,直接点击【下一个】; 默认为启用,点击【完成】; 可以看到已经建立了一个用户,其它用户也象这样一一建立就可以了; 新建立的用户还需要加入到客户组中,选择菜单【用户设备】-【用户】-【用户组】,点击 Guset-group 组,点击编辑; 成员的右边点击十号图标,选择新建的用户,点击【确定】; 可以看到 Guest-group 组成员增加了。修改配置文件系统会默认产生一个配置文
8、件,而且激活的设备也会默认使用这个配置文件,现在需要做的是把建立的 SSID 加入到这个配置文件中,让 AP 基于配置文件运行。 选择菜单【WiFi 与交换控制器】-【无线网络】-【FortiAP 配置文件】,选择默认配置文件,点击编辑; 频段选择比较常用的 2.4Ghz 802.11n/g/b,加入新建好的两个 SSID; 配置文件修改完成,可以看到其实还可以增加一个频段,后面我们再详细介绍这方面的内容。 选择菜单【WiFi 与交换控制器】-【可管理设备】-【FortiAP 管理】,选择一个 AP,点击编辑; 可以看到使用默认的配置文件,通过对应的配置文件,显示出 Radio 配置。当然也可
9、以新建配置文件,以符合实际需求,后面会介绍这方面内容。制定 AP 允许访问外网的策略上述这些步骤完成后,手机、笔记本是可以连接上 AP,但是还不能上网,这就需要制定策略允许 AP 上网。 选择菜单【策略对象】-【策略】-【IPv4】,点击新建; 首先建办公 WiFi 上网的策略,流入接口选 LW-Office,流出选 Wan1 宽带口; 然后建访客 WiFi 上网的策略,流入接口选 LW-Customer,流出选 Wan1 宽带口,当然,如果有多根宽带,也可以指向不影响工作的那根宽带; 为了不让访客 WiFi 影响正常工作,这里还可以限制访客 WiFi 的流量; 两条允许访问外网的策略就建好了。验证通过 AP 上网现在就可以打开手机或笔记本的无线功能,搜索上网信号了。 连接访客 WiFi 很容易,输入密码就可以了; 连接办公 WiFi,就需要输入用户名和密码了,而这个用户名和密码就是刚才在防火墙上设置的; 通过防火墙的验证了; 手机可以上网了,AP 安装配置成功!
