Fabric篇(6.0) 03. Fabric 與 FortiAP ❀ 飛塔 (Fortinet) 防火牆

　　【簡介】Security Fabric加入了Root FortiGate和FortiSwitch後，我們再來試試FortiAP是不是也可以加入。

---

   FortiAP 接入 FortiSwitch

　　這裏我們使用的是帶POE功能的FortiSwitch 224D-POE交換機，因此可以直接給FortiAP供電。如果交換機不帶POE功能，則需要單獨給FortiAP供電。

　　① 將FortiAP接入FortiSwitch的Port1口，有紅色標記的接口表示是POE供電。

  FortiAP 橋模式

　　在很多實際使用環境中，FortiAP都是當成無線交換機使用，直接使用內網地址。這裏我看來看一看配置方法。

　　① 在本次環境中，FortiAP接入FortiSwitch交換機，而交換機所有接口默認使用vsw.FortiSwitch這個VLAN。登錄防火牆，選擇菜單【網絡】-【接口】，選擇匯聚口FortiSwitch下的vsw.FortiSwitch，點擊【編輯】。

　　② 如果要識別FortiAP，需要在連接接口啓用【CAPWAP】，擊點【應用】。

　　③ 選擇菜單【WiFi與交換機控制器】-【FortiAP管理】，經過等待後，防火牆會識別出FortiAP，狀態爲〖等待認證〗，選擇FortiAP，點擊【准許】。

　　④ 稍等片刻，FortiAP通過認證，顯示狀態爲〖在線〗。

　　⑤ 選擇菜單【WiFi與交換機控制】-【SSID】，選擇【新建】-【SSID】。

　　⑥ 輸入接口名稱，流量模式選擇【Bridge】，這種模式下不需要設置DHCP，用原有防火牆接口的DHCP就可以了。設置SSID和密碼，點擊【確認】。

　　⑦ 選擇菜單【WiFi與交換機控制器】-【FortiAP配置文件】，可以看到識別FortiAP後就會有一個針對型號的默認配置文件，選擇配置文件，點擊【編輯】。

　　⑧ 可以根據個人習慣和愛好配置無線寬度與頻道，手工選擇SSID。

　　⑨ 搜索無線信號，可以看到剛剛建立的SSID。

　　⑩ 連接SSID後，可以看到獲得了IP地址，這是由FortiSwitch默認VLAN裏的DHCP分配的。

    FortiAP 隧道模式

　　FortiAP橋模式的好處就是可以象交換機一樣無線直接接入內網，簡單方便。缺點就是無法對無線單獨進行安全管理，存在安全隱患。我們還可以將FortiAP配置成隧道模式，分配不同IP網段，由防火牆設置允許訪問權限。

　　① 爲了單獨管理FortiAP，我們可以專門爲FortiAP建立一個VLAN，選擇菜單【網絡】-【接口】，選擇【新建】-【接口】。

　　② 輸入接口名稱，類型選擇VLAN，接口選擇連接交換機的匯聚口，設置一個VLAN ID，地址模式默認爲自定義，輸入IP地址，這個IP地址是VLAN的IP地址。由於需要識別FortiAP，訪問方式啓用CAPWAP，由於通常是給AP分配IP地址，因此這裏啓用DHCP服務器。

　　③ 下一步是給交換機連接FortiAP的接口分配VLAN，選擇【WiFi與交換機控制器】-【可管理FortiSwitch】，點擊交換機接口。

　　④ 將FortiSwitch中Port1接口的VLAN設置爲VLAN-AP。

　　⑤ 將FortiAP的電源斷開，再重新連接，稍過一會兒，就會在【臨視器】-【DHCP監視器】中看到FortiAP已經重新獲取了58網段的IP地址。也就是VLAN-AP分配的IP地址。

　　⑥ 由於前面已經認證過FortiAP，所以這裏顯示的狀態是在線，如果設有認證的話，可以點擊許可進行認證。

　　⑦ 選擇菜單【WiFi與交換機控制器】-【SSID】，點擊【新建】-【SSID】，新建一個SSID。

　　⑧ 這一次流量模式選擇【Tunnel】，輸入IP地址，默認啓動DHCP，給無線訪問分配IP地址。這裏用了172網段以示區分。

　　⑨ 設置一個SSID和密碼。

　　⑩ 將SSID加入FortiAP的默認配置文件中。

　　⑾ 如果要從無線登錄入防火牆，還需要在該SSID的訪問方式裏啓用HTTPS，通常是不啓用的，避免無線設備訪問防火牆。

　　⑿ 用筆記本電腦登錄新建的SSID，可以看到獲得的IP地址是172網段，和防火牆的接口192網段不同。

　　⒀ 用VLAN-AP的地址可以登錄防火牆，這是因爲VLAN-AP作爲防火牆的虛擬接口存在。

　　⒁ 如果要訪問防火牆的其它接口，例如Port4口上連接FortiAnalyzer，還需要建立一條允許SSID虛擬接口訪問Port4口的策略。

　　⒂ 這樣筆記本電腦就可以通過FortiAP—FortiSwitch—FortiGate—FortiAnalyzer了。

  Security Fabric 管理 FortiAP

　　由於FortiSwitch與FortiAP都不會產生日誌，因此可以不需專門配置而加入Security Fabric。

　　① 選擇菜單【Security Fabric】-【物理拓撲】，可以看到FortiAP已經加入了Security Fabric。

　　② 在拓撲中點擊FortiAP，可以看到該AP的上詳細信息。包括在網絡中的位置 。

　　③ 鼠標右擊FortiAP，彈出菜單中可以對AP進行取消授權、重啓和升級操作。當管理的網絡非常大，設備非常多的情況下，Security Fabric可以讓我們更容易的管理設備。

 

                                                                             飛塔老梅子   QQ: 57389522

---