跟老梅子学防火墙—(Fortinet) 无线AP 篇 (1)

 FortiAP 介绍

  FortiAP 无线接入点提供企业级别的无线网络扩展的FortiGate整合安全功能的控制器管理的设备。每个FortiAP无线控制器将通过的流量集成到FortiGate平台,提供了一个单独的控制台来管理有线和无线网络通信。

  FortiAP 无线接入点提供更多的网络可视性和策略执行能力,同时简化了整体网络环境。采用最新的802.11n为基础的无线芯片技术,提供高性能集成无线监控并支持多个虚拟AP的每个无线发送的无线接入。 FortiAP与FortiGate设备的controller(控制器)连接,可以提供强大完整的内容保护功能的无线部署空间。 FortiGate设备controller控制器可以集中管理无线发送点操作、信道分配、发射功率,从而进一步简化了部署和管理。

 FortiAP 外观与连接

  这里我们用FortiAP 210B来做示例,FortiAP 210B 是可持续性使用的商务级802.11n解决方案,提供达300Mbps的总吞吐率,可满足苛刻使用要求的应用场所。FortiAP 210B应用了单射频双频段(2.4GHz和5GHz)的2x2 MIMO技术。FortiAP 210B是一款企业级接入点,不但提供快速客户端接入,而且具有智能应用检测和流量整形功能,具有两根内部天线,支持IEEE 802.11a、b、g和n无线标准。

  这是FortiAP 210B正面的样子。

  FortiAP 210B连接的方式很简单,只要一根网线的一端连接设备的ETH接口,另一端连接交换机或飞塔防火墙,设备带独立的12V、1.5A电源,如果防火墙或交换机支持PoE接口(自带48V电源),也可以直接通过网线供电,不需要连接独立的电源,这样在布线安装时会方便很多。

 FortiAP 访问

  和普通的交换机、路由器一样,FortiAP也可以通过浏览器进行访问,ETH接口的默认地址是192.168.1.2,用户名为admin,密码为。笔记本电脑IP设为同网段的192.168.1.8,打开火狐浏览器,输入http://192.168.1.2进行访问。

  输入用户名admin,密码不填,直接点击登录;

  可以看到FortiAP 210B的基本信息,在这里可以升级固件,修改管理员密码(为了安全起见建议立即修改),当有多个AP时为了不引起冲突,又能访问每个IP,建议修改默认的192.168.1.2 IP地址。

  还可以看到无线的信息。因为大部分的设置是在Fortinet防火墙的控制端完成,这里就不具体操作了。

 防火墙上激活AP

  因为FortiGate整合了安全功能的控制器管理,所以所有的操作都可以在防火墙上完成。

  ① 登录防火墙,选择菜单【WiFi与交换控制器】-【可管理设备】-【FortiAP管理】,多刷新几下,就可以发现已经找到了两台FortiAP 210B设备。

  ② 刚找到的设备状态是问号,选项一台AP,点击【准许】,允许使用;

  ③ 准许后,它们的状态是绿色的;连接通过可以看到AP从防火墙的DHCP分配到了地址,通过访问这个地址,也可以登录AP的Web介面。

 建立SSID

  防火墙上激活了FortiAP后,就可以设置SSID了,用过无线的都知道,笔记本或手机都会搜索一个无线信号,名称就是SSID。

  ① 选择菜单【WiFi与交换控制器】-【无线网络】-【SSID】,点击新建;

  ② 我们新建一个给办公室内部人员使用的SSID,启用DHCP,设置IP范围,这样通过这个SSID登录的就会得到这个范围的IP地址;

  ③ SSID取中文名称容易区分,但有部分电脑查看无线信息的时候看到的是乱码,手机一般不会。安全模式这里我们选择了企业模式,主要是区别普通的密码输入认证,默认本地认证,也就是通过防火墙里设置的帐号进行认证,选择客户组,当然工作组也可以在防火墙里自定义;

  ④ 再建一个给客户临时上网的SSID,IP地址与内部员工使用的SSID区分开来;

  ⑤ 访客SSID的安全模式就只需选择个人模式,只要输入密码就能通过;

  ⑥ 可以看到两个不同的SSID就建好了,当然也可以根据实际情况增加或删减SSID。

 添加验证用户

  刚才建立的办公WiFi会通过防火墙上的帐号进行验证,那么我们需要先在防火墙上建立用户,并加入客户组中。

  ① 选择菜单【用户&设备】-【用户】-【设置用户】,点击新建;

  ② 默认是建立本地用户,点击【下一个】;

  ③ 输入用户名和密码,点击【下一个】;

  ④ 邮件地址这里忽略,直接点击【下一个】;

  ⑤ 默认为启用,点击【完成】;

  ⑥ 可以看到已经建立了一个用户,其它用户也象这样一一建立就可以了;

  ⑦ 新建立的用户还需要加入到客户组中,选择菜单【用户&设备】-【用户】-【用户组】,点击Guset-group组,点击编辑;

  ⑧ 成员的右边点击十号图标,选择新建的用户,点击【确定】;

  ⑨ 可以看到Guest-group组成员增加了。

 修改配置文件

  系统会默认产生一个配置文件,而且激活的设备也会默认使用这个配置文件,现在需要做的是把建立的SSID加入到这个配置文件中,让AP基于配置文件运行。

  ① 选择菜单【WiFi与交换控制器】-【无线网络】-【FortiAP配置文件】,选择默认配置文件,点击编辑;

  ② 频段选择比较常用的2.4Ghz 802.11n/g/b,加入新建好的两个SSID;

  ③ 配置文件修改完成,可以看到其实还可以增加一个频段,后面我们再详细介绍这方面的内容。

  ④ 选择菜单【WiFi与交换控制器】-【可管理设备】-【FortiAP管理】,选择一个AP,点击编辑;

  ⑤ 可以看到使用默认的配置文件,通过对应的配置文件,显示出Radio配置。当然也可以新建配置文件,以符合实际需求,后面会介绍这方面内容。

 制定AP允许访问外网的策略

  上述这些步骤完成后,手机、笔记本是可以连接上AP,但是还不能上网,这就需要制定策略允许AP上网。

  ① 选择菜单【策略&对象】-【策略】-【IPv4】,点击新建;

  ② 首先建办公WiFi上网的策略,流入接口选LW-Office,流出选Wan1宽带口;

  ③ 然后建访客WiFi上网的策略,流入接口选LW-Customer,流出选Wan1宽带口,当然,如果有多根宽带,也可以指向不影响工作的那根宽带;

  ④ 为了不让访客WiFi影响正常工作,这里还可以限制访客WiFi的流量;

  ⑤ 两条允许访问外网的策略就建好了。

 验证通过AP上网

  现在就可以打开手机或笔记本的无线功能,搜索上网信号了。

  ① 连接访客WiFi很容易,输入密码就可以了;

  ② 连接办公WiFi,就需要输入用户名和密码了,而这个用户名和密码就是刚才在防火墙上设置的;

  ③ 通过防火墙的验证了;

  ④ 手机可以上网了,AP安装配置成功!

时间: 2025-01-14 23:07:15

跟老梅子学防火墙—(Fortinet) 无线AP 篇 (1)的相关文章

跟老梅子学防火墙—(Fortinet) 无线AP 篇 (2)

新建配置文件 当我们激活了两台FAP210B的时候,会看到默认有一个配置文件,这个配置文件用来配置无线的参数,如果接入的是不同型号的AP,就需要不同的配置文件,点击菜单[WiFi与交换控制器]-[无线网络]-[FortiAP配置文件],点击新建: 首先需要选择正确的型号,在型号选项中点右边的下剑头,可以看到支持的所有AP的型号: 无意中选择了FAP221B的型号,而不是FAP210B的型号,结果发现,FAP221B可以设置两个Radio,而FAP210B只有一个: 原来FAP210B只支持一个射

Cisco无线AP胖瘦切换刷机教程和简单配置

前两天去朋友家玩,偶然碰到一台古董级无线AP(Cisco1142),用console连进去发现果然不出所料,是瘦的,于是有了下面的想法,将瘦AP固件刷成胖AP,放在家里使用.准备环境:1.一台电脑,一根console连接线,方便调试:2.下载putty或CRT.和tftp软件:3.AP要升级的固件.固件升级:1.配置本地网卡信息(设置IP地址为10.0.0.2/8,因为AP默认地址为10.0.0.1/8),并打开TFTP,选择好网卡,并将固件目录放置在没有汉字的路径下,关闭Windows自带防火

无线AP忘记IP地址怎么办?介绍一款IP扫描软件

在无线网络应用中,有时经常遇到无线AP或无线路由的IP地址忘记了,无法用浏览器进入管理界面.常用的解决办法,按复位按钮,强行恢复出厂设置.如果仅仅是忘记了IP地址,也可以通过局域网IP扫描,找出无线AP或无线路由的IP地址.    Advanced IP Scanner是一款快速.强大.易于使用的局域网IP扫描器,它可以在几秒钟之内扫描出局域网计算机的相关信息.设定要扫描的IP位置范围.启动扫描功能,检测所有网络设备,包括Wi-Fi路由器和无线设备.1. 输入所需的IP地址范围(工具栏中的"IP

如何排查无线AP在使用过程中的故障?

无线网络技术的飞速发展致使无线AP已渐渐融入我们的生活并与之密不可分.无线AP主要运用于企业.商场超市.酒店餐厅.学校工厂.展览展会等场所,为其构建WLAN并提供WiFi覆盖.很多终端用户觉得使用无线AP构建的商用WiFi的用户体验并不好,实际上快速好用的商用WiFi不仅要有好的无线AP设备做硬件支持,商户也应该对环境特点.最大用户数.产品特性.安装布局等多方位因素有个整体的了解,否则很可能选不到合适的WiFi覆盖方案或者即使有了可行度比较高的WiFi覆盖方案,在使用过程中出现一点小问题就手足无

多个无线AP间无线组网实例

事因:今日公司新建一会议室,里面WIFI信号不好,要在其内放一AP增强WIFI信号,开墙打洞再拉一条网线的方案行不通,只好使用无线AP的WDS功能,进行AP间组网. WDS简介:WDS(Wireless Distribution System,无线分布式系统),通过无线链路连接两个或者多个独立的有线局域网或者无线局域网,组建一个互通的网络实现数据访问. WDS的优势:802.11 的无线技术已经在家庭.SOHO.企业等得到广泛地应用,用户已经能通过这些无线局域网方便地访问Internet 网络.

酒店无线覆盖-工业级无线AP

随着手机上网的普及,客人入住酒店.就餐.KTV休闲消费的间隙,随时随地的通过手机微信聊天.视频等,目前3G/4G上网流量费贵,客人使用消费场所提供的免费WiFi上网,成为人们的首选.酒店及消费场所的无线WiFi全覆盖,已经成为最基本的服务项目之一.酒店客房无线覆盖难点:    2.4G无线WiFi频段拥挤,通常要相隔5个信道才不会互相干扰,通常1.6.11只有3个信道才不会相互干扰.在大型商业WiFi覆盖中,最核心的问题是要"尽量减少AP数量",避免同频干扰,例如,移动联通WiFi覆盖

Juniper老司机经验谈(SRX防火墙NAT与策略篇)视频课程上线了

继前面的<Juniper老司机经验谈(SRX防火墙优化篇)>之后,Juniper老司机经验谈(SRX防火墙NAT与策略篇)第二部视频课程也录制上线了 1.两个课程完全独立又相结合, SRX防火墙优化篇是针对防火墙双机.配置优化内容. SRX防火墙NAT与策略篇则是针对防火NAT.策略内容 . 两部除了前几4单节基础理论与模拟环境搭建部分一样外,其他内容完全不重叠. 2.本课程内容: 大家在QQ群.论坛里经常提的问题,许多人对SRX使用中NAT\策略问题不是很理解,实际工作中碰见太多问题,惹出了

基于openwrt和s3c2440的无线ap实现

无线AP(Access Point)是一个无线网络的接入点,具备无线到有线( wireless-to-wired)的桥接功能,我们这里的无线AP是纯接入设备,没有路由功能(由于开发板网卡数限制,所以没有实现). 下面就来讲一下具体的实现方法: 硬件准备:mini2440开发板一块,usb无线网卡DWL-122一块,硬件连接图如下: 在2440的网口用网线连上有线路由器的局域网口,使路由器为mini2440分配一个ip地址. 接下来就是openwrt的编译,我是在ubuntu10.04下编译的,一

维盟路由器 交换机 无线AP

维盟路由器 交换机 无线AP 北京总代理 河北总代理 天津总代理 FBM-220 FBM-220W FBM-580 FBM-568 FBM-641 IBR-600 WQR-945+ WQR-965 WQR-2000 WQR-3000     FBM-1021V IBR-680 IBR-720 FBM-1041V IBR-700 IBR-740  IVM-40  IVM-60 S6  S100 北京 河北 18901223451 010-52885354 010-62653008  地址:北京市海