您的位置:360文档中心› 飞塔无线配置1

飞塔无线配置1

合集下载

fortigate 简易设置手册

fortigate 简易设置手册

fortigate 简易设置手册一、更加语言设置:1、首先把PC的网卡IP修改成192.168.1.*的网段地址,在IE中输入:https://192.168.1.99进入设置界面,如下图:2、进入设置界面后,点击红框标注的位置(系统管理→状态→管理员设置),进入如下图:在红框标注的位置进行语言选择。

二、工作模式的设置:Fortigate防火墙可以工作在以下几种模式:路由/NAT模式、透明模式;要修改工作模式可在下图标注处进行更改,然后设置相应的IP地址和掩码等。

三、网络接口的设置:在系统管理→点击网络,就出现如下图所示,在下图所指的各个接口,您可以自已定义各个接口IP地址。

点击编辑按钮,进入如下图所示:在下图地址模式中,在LAN口上根据自已需要进行IP地址的设置,接着在管理访问中指定管理访问方式。

在WAN口上,如果是采用路由/NAT模式可有两种方式:1、采用静态IP的方式:如下图:在红框标注的地方,选中自定义,输入ISP商给你的IP地址、网关、掩码。

在管理访问的红框中,指定您要通过哪种方式进行远程管理。

如果你从ISP商获得多个IP的话,你可以在如下图中输入进去。

在如下图红框标注的地方,输入IP地址和掩码以及管理访问方式,点击ADD 即可。

注: 采用静态IP地址的方式,一定要加一条静态路由,否则就不能上网。

如下图:2、如采用ADSL拨号的方式,如下图:当你选中PPOE就会出现如下图所示的界面:在红框标注的地址模式中,输入ADSL用户和口令,同时勾选上‘从服务器上重新获得网关‘和改变内部DNS。

在管理访问方式中根据自已的需要,选中相应的管理方式,对于MTU值一般情况下都采用默认值就行了.四、防火墙的设置:防火墙的设置,首先要规化地址和地址池,如下图:输入你要过滤和保护的地址和地址段。

点击上图标注处进入地址设置栏,首先从类型中选择你要的地址类型,然后根据所选的类型输入IP地址或地址段以及网络接口。

接着就是计划时间表和保护内容列表的设置,其中保护内容列表包括有病毒过滤、网址过滤、内容过滤、防入侵等。

Fortinet WiFi网络产品说明说明书

Fortinet WiFi网络产品说明说明书

Wireless MeshWhy Wireless mesh?The access point of a WiFi network is usually connected to the WiFi Controller through Ethernet wiring.A wireless mesh eliminates the need for Ethernet wiring by connecting WiFi access points to the controller by radio. This is useful where installation of Ethernet wiring is impractical.Below shows a wireless mesh topology.•The FortiAP-221B is connected to the network by Ethernet is called the Mesh Root node.•The root node can be a FortiAP unit or built-in AP of a FortiWiFi unit.•AP that serve only regular WiFi clients are called Leaf nodes, in this its FortiAP-220B•Leaf AP's carry mesh SSID to other Leaf AP in the topology using a dedicated radio for eg, the 5GHz radio could carry only the mesh SSID (backhaul SSID) while the 2.4GHz radio carries one or more SSIDs that serve users.Network:∙Network between FortiGate/FortiWiFi is 10.10.2.0/24 with dhcp enabled.∙Network for intenet users is 10.0.0.0/24 with dhcp enabled configured on WiFi controller. Firmware requirements:All FortiAP units that will be part of the wireless mesh network must be runnig FAP firmware version 5.0 build 003. FortiWiFi or FortiGate unit used as the WiFi controller must be running FortiOS 5.0.Configuration of meshed WiFi network:Setting up Full Mesh Wireless on FortiGate Unit using two FortiAP Units.∙Configure the mesh SSID, go to WiFi Controller > WiFi Network > SSID.∙Edit the default mesh SSID fmesh.root and change the SSID from the default to something unique. Note that the traffic mode is set to mesh downlink. Enter a new pre-shared key.∙Create another SSID for clients access and use tunnel∙Go to WiFi Controller > WiFi Network > Custom AP Profile and create a new AP profile, or edit the profile created earlier, and enter the follow settings: Select the correct platform, in thisexample we are using the FAP 221B.∙Select Radio 1 and set mode Access Point and use default Band and Channel settings. Enable your SSID and the mesh SSID from the list of available SSIDs.∙Select Radio 2 and set mode Access Point and use default Band and Channel settings.∙Enable your SSID and the mesh SSID from the list of available SSIDs. Click OK.∙If this is a new profile you will need to apply this to your custom AP profile in your managed AP.Go to WiFi Controller > Managed Access Points > Managed FortiAP and select your device and select edit. In the wireless settings change the AP profile from automatic to your new profile and select apply and ok to save your changes.∙This change will cause the access point daemons on the AP to restart.The FortiAP units that will serve as branch/leaf nodes must be preconfigured as follows.∙Connect to the FortiAP unit web-based manager on its default Ethernet interface IP address 192.168.1.2∙In the connectivity section enter the IP address of your AP network as follows∙Start your second AP. Y ou may need to work in pairs for this lab, in that case you have to de-authorizes one AP and then you have to authorizes the second AP The second AP will use theautomatic profile which is fine for this lab.∙Configure the second AP to use the wireless mesh as an uplink. From the FortiAP GUI, go to Connectivity and select mesh and enter the mesh SSID and pre-shared key. This change willcause the access point daemons on the AP to restart.∙Y ou should observe that the second AP connects as a leaf device.Note: It might take some time for the state icon to become green however if you feel it is taking to long ca n you can reboot the AP to expedite the process.∙Y ou have now created the full mesh. If you would like to test that clients on the leaf AP can reach the wireless controller modify the AP profile associated with your root AP and removeyour wireless client SSID so that it is only being announced on the leaf AP.Debug commands:Using the wireless controller debug of the FortiGate, try the following commands. Use the following command to see the status of the FortiAPs:diagnose wireless-controller wlac -c wtpFWF60C3G12006306 # diagnose wireless-controller wlac -c wtp-------------------------------WTP 1----------------------------WTP vd : rootvfid : 0id : FAP22B3U12009906mgmt_vlanid : 0region code : Cregcode status : invalidrefcnt : 3 own(1) wtpprof(1) ws(1)plain_ctl : disableddeleted : noadmin : enablewtp-mode : normalwtp-profile : resv-dflt-FAP22B3U12009906name :location :ip-frag-prevent : TCP_MSStun-mtu : 0,0active sw ver : FAP22B-v5.0-build032local IPv4 addr : 10.10.2.6board mac : 00:09:0f:a1:94:3ejoin_time : Tue Nov 25 11:01:38 2014mesh-uplink : meshmesh hop count : 1parent wtp id : FP221B3X12008432connection state : Connectedimage download progress: 0last failure : 0 -- N/Alast failure param:last failure time: N/Astation info : 0/0geo : World (0)Radio 1 : APcountry name : CNcountry code : 156radio_type : 11N_5Gchannel list : 36 40 44 48 149 153 157 161 165darrp : disabledtxpower : 100% (23 dBm)beacon_intv : 100rts_threshold : 2346frag_threshold : 2346ap scan : disableap scan passive : disabledsta scan : disabledWIDS profile : ---wlan 0 : Mesh_WiFiwlan 1 : leaf_SSIDmax vaps : 8base bssid : 00:09:0f:a1:94:40oper chan : 149station info : 0/0Radio 2 : APcountry name : CNcountry code : 156radio_type : 11Nchannel list : 1 6 11darrp : disabledtxpower : 100% (27 dBm)beacon_intv : 100rts_threshold : 2346frag_threshold : 2346ap scan : disableap scan passive : disabledsta scan : disabledWIDS profile : ---wlan 0 : Mesh_WiFiwlan 1 : leaf_SSIDmax vaps : 8base bssid : 00:09:0f:a1:94:47oper chan : 1station info : 0/0Radio 3 : Not Exist-------------------------------WTP 2---------------------------- WTP vd : rootvfid : 0id : FP221B3X12008432mgmt_vlanid : 0region code : Aregcode status : validrefcnt : 3 own(1) wtpprof(1) ws(1)plain_ctl : disableddeleted : noadmin : enablewtp-mode : normalwtp-profile : myapname :location : N/Aip-frag-prevent : TCP_MSStun-mtu : 0,0active sw ver : FP221B-v5.0-build032local IPv4 addr : 10.10.2.4board mac : 00:09:0f:7c:6c:30join_time : Tue Nov 25 11:00:15 2014mesh-uplink : ethernetmesh hop count : 0parent wtp id :connection state : Connectedimage download progress: 0last failure : 10 -- JOIN REQ from unmanaged WTP is denied last failure param: N/Alast failure time: Tue Nov 25 10:30:07 2014station info : 1/0geo : World (0)Radio 1 : APcountry name : UScountry code : 841radio_type : 11N_5Gchannel list : 36 40 44 48 149 153 157 161 165darrp : disabledtxpower : 100% (23 dBm)beacon_intv : 100rts_threshold : 2346frag_threshold : 2346ap scan : disableap scan passive : disabledsta scan : disabledWIDS profile : ---wlan 0 : Mesh_Linkwlan 1 : leaf_SSIDmax vaps : 8base bssid : 00:09:0f:7c:6c:31oper chan : 36station info : 0/0Radio 2 : APcountry name : UScountry code : 841radio_type : 11Nchannel list : 1 6 11darrp : disabledtxpower : 100% (27 dBm)beacon_intv : 100rts_threshold : 2346frag_threshold : 2346ap scan : disableap scan passive : disabledsta scan : disabledWIDS profile : ---wlan 0 : Mesh_Linkwlan 1 : leaf_SSIDmax vaps : 8base bssid : 00:09:0f:7c:6c:38oper chan : 1station info : 1/0Radio 3 : Not Exist-------------------------------WTP 3----------------------------WTP vd : rootvfid : 0id : FWF60C-WIFI0mgmt_vlanid : 0region code : ALLregcode status : validrefcnt : 3 own(1) wtpprof(1) ws(1)plain_ctl : disableddeleted : noadmin : enablewtp-mode : normalwtp-profile : resv-dflt-FWF60C-WIFI0name :location :ip-frag-prevent : TCP_MSStun-mtu : 0,0active sw ver : FWF60C-v5.0-build292local IPv4 addr : 127.0.0.1board mac : 00:09:0f:00:00:01join_time : Mon Nov 24 12:37:52 2014mesh-uplink : ethernetmesh hop count : 0parent wtp id :connection state : Connectedimage download progress: 0last failure : 0 -- N/Alast failure param:last failure time: N/Astation info : 0/0geo : World (0)Radio 1 : APcountry name : UScountry code : N/Aradio_type : 11Nchannel list : 1 6 11darrp : disabledtxpower : 100% (27 dBm)beacon_intv : 100rts_threshold : 2346frag_threshold : 2346ap scan : disableap scan passive : disabledsta scan : disabledWIDS profile : ---max vaps : 8base bssid : 00:0e:8e:41:2e:69oper chan : 1station info : 0/0Radio 2 : Not ExistRadio 3 : Not Exist-------------------------------Total 3 WTPs----------------------------Use the following command to list the configured wireless LANs: diagnose wireless-controller wlac -c wlanFWF60C3G12006306 # diagnose wireless-controller wlac -c wlan WLAN (001/003) vdom,name: root, Mesh_Linkvlanid : 0 (auto vlan intf disabled)sw name :ip, mac : 0.0.0.0, 00:ff:b1:aa:12:39status : uprefcnt, deleted : 3 own(1) wtpprof(2)mesh backhaul : enabledlocal bridging : disabledlocal switching : disableddynamic vlan : disabledauth type : 0mac type : 0xfffffffftunnel type : 0xfffffffffast roaming : 0x1bc suppression : dhcp arpsuppress ssid : 0ssid : fmesh.rootsecurity : 7radius mac auth : disabledradius mac auth svr:auth : 0key :keyindex : 1password : fmeshrootradius_server :usergroup : 0intra privacy : disabledstation info : 1/0kern sock : 23mf acl cfg : disabled, allow, 0 entriessta list 0000 72:09:0f:a1:94:47 ws (0-10.10.2.4:5246) 1 0WTP 0001 : 0, FP221B3X12008432---- 0-10.10.2.4:5246 (12 - CWAS_RUN)WLAN (002/003) vdom,name: root, Mesh_WiFivlanid : 0 (auto vlan intf disabled)sw name :ip, mac : 10.0.0.1, 00:ff:d7:12:eb:8fstatus : downrefcnt, deleted : 3 own(1) wtpprof(2)mesh backhaul : disabledlocal bridging : disabledlocal switching : enableddynamic vlan : disabledauth type : 0mac type : 0xfffffffftunnel type : 0xfffffffffast roaming : 0x1bc suppression : dhcp arpsuppress ssid : 0ssid : fortinet.mesh.rootsecurity : 7radius mac auth : disabledradius mac auth svr:auth : 0key :keyindex : 1password : fortinetradius_server :usergroup : 0intra privacy : disabledstation info : 0/0kern sock : 8mf acl cfg : disabled, allow, 0 entries WTP 0002 : 0, FAP22B3U12009906 ---- 0-10.10.2.6:5246 (12 - CWAS_RUN) WLAN (003/003) vdom,name: root, leaf_SSID vlanid : 0 (auto vlan intf disabled) sw name :ip, mac : 10.0.0.1, 00:ff:50:2f:de:4e status : uprefcnt, deleted : 5 own(1) wtpprof(4)mesh backhaul : disabledlocal bridging : disabledlocal switching : enableddynamic vlan : disabledauth type : 0mac type : 0xfffffffftunnel type : 0xfffffffffast roaming : 0x1bc suppression : dhcp arpsuppress ssid : 0ssid : Client_SSIDsecurity : 7radius mac auth : disabledradius mac auth svr:auth : 0key :keyindex : 1password : fmeshrootradius_server :usergroup : 0intra privacy : disabledstation info : 0/0kern sock : 24mf acl cfg : disabled, allow, 0 entries WTP 0003 : 0, FAP22B3U12009906 ---- 0-10.10.2.6:5246 (12 - CWAS_RUN) WTP 0004 : 0, FP221B3X12008432---- 0-10.10.2.4:5246 (12 - CWAS_RUN)Use the following command to list the connected wireless stations:diagnose wireless-controller wlac -d staFWF60C3G12006306 # diagnose wireless-controller wlac -d sta* vf=0 wtp=15 rId=1 wlan=leaf_SSID ip=0.0.0.0 mac=12:09:0f:7c:6c:31 vci= host= user= group= signal=0 noise=0 idle=23145 bw=0 use=3 chan=36 radio_type=11N_5G security=wpa_wpa2_personal encrypt=aes online=yes* vf=0 wtp=15 rId=2 wlan=leaf_SSID ip=0.0.0.0 mac=12:09:0f:7c:6c:38 vci= host= user= group= signal=0 noise=0 idle=23145 bw=0 use=3 chan=1 radio_type=11N security=wpa_wpa2_personal encrypt=aes online=yesvf=0 wtp=15 rId=2 wlan=leaf_SSID ip=10.0.0.3 mac=00:26:c7:99:33:86 vci=MSFT 5.0 host=Y ogesh-PC user= group= signal=-43 noise=-95 idle=1 bw=0 use=3 chan=1 radio_type=11Nsecurity=wpa2_only_personal encrypt=aes online=yes* vf=0 wtp=16 rId=2 wlan=leaf_SSID ip=0.0.0.0 mac=12:09:0f:a1:94:47 vci= host= user= group= signal=0 noise=0 idle=23061 bw=0 use=3 chan=1 radio_type=11N security=wpa_wpa2_personal encrypt=aes online=yes* vf=0 wtp=16 rId=1 wlan=leaf_SSID ip=0.0.0.0 mac=12:09:0f:a1:94:40 vci= host= user= group= signal=0 noise=0 idle=23062 bw=0 use=3 chan=149 radio_type=11N_5Gsecurity=wpa_wpa2_personal encrypt=aes online=yesvf=0 wtp=15 rId=2 wlan=leaf_SSID ip=10.0.0.2 mac=90:21:55:eb:bf:25 vci= host= user= group= signal=-44 noise=-95 idle=27 bw=0 use=3 chan=1 radio_type=11N security=wpa2_only_personal encrypt=aes online=yes* vf=0 wtp=15 rId=1 wlan=Mesh_Link ip=0.0.0.0 mac=00:09:0f:7c:6c:31 vci= host= user= group= signal=0 noise=0 idle=22187 bw=0 use=3 chan=36 radio_type=11N_5G security=wpa_wpa2_personal encrypt=aes online=yes* vf=0 wtp=15 rId=2 wlan=Mesh_Link ip=0.0.0.0 mac=00:09:0f:7c:6c:38 vci= host= user= group= signal=0 noise=0 idle=22187 bw=0 use=3 chan=1 radio_type=11N security=wpa_wpa2_personal encrypt=aes online=yesm vf=0 wtp=15 rId=2 wlan=Mesh_Link ip=10.10.2.6 mac=72:09:0f:a1:94:47 vci= host= user= group= signal=-28 noise=-95 idle=3 bw=0 use=3 chan=1 radio_type=11N security=wpa2_only_personal encrypt=aes online=yes* vf=0 wtp=16 rId=2 wlan=Mesh_WiFi ip=0.0.0.0 mac=00:09:0f:a1:94:47 vci= host= user= group= signal=0 noise=0 idle=23062 bw=0 use=3 chan=1 radio_type=11N security=wpa_wpa2_personal encrypt=aes online=yes* vf=0 wtp=16 rId=1 wlan=Mesh_WiFi ip=0.0.0.0 mac=00:09:0f:a1:94:40 vci= host= user= group= signal=0 noise=0 idle=23062 bw=0 use=3 chan=149 radio_type=11N_5Gsecurity=wpa_wpa2_personal encrypt=aes online=yesUsing the debug of the FortiAP, try the following commands.View the status of the Wireless clients:Go to WiFi Controller > Monitors > Wireless Health to view the list of all connected internet users.In the FortiAP CLI, you can check the main ip field in the output from the commandscw_diag -c meshFAP22B3U12009906 # cw_diag -c meshSys Cfg AP addr mode: staticstp mode : 0dflt ip : 10.10.2.6dflt mask: 255.255.255.0dflt gw : 10.10.2.10Mesh Cfg Uplink : Mesh UplinkAP SSID : fmesh.rootAP BSSID : 00:00:00:00:00:00AP PASSWD : fmeshrootlocal eth bridge : 2Mesh Oper AP Type : Mesh Uplinkwbh status : runningwbh rId : 1wbh mac : 72:09:0f:a1:94:47wbh bssid : 00:09:0f:7c:6c:38wbh Chan : 1vap mhc : 1eth type : 0x2233main dhcp ip : 0.0.0.0main dhcp mask : 0.0.0.0main dhcp gw : 0.0.0.0bh dhcp ip : 0.0.0.0bh dhcp mask : 0.0.0.0bh dhcp gw : 0.0.0.0main ip : 10.10.2.6main mask : 255.255.255.0main gw : 10.10.2.10bh ip : 0.0.0.0bh mask : 0.0.0.0bh gw : 0.0.0.0bh mac : 00:00:00:00:00:00eth bridge : 2Troubleshooting Guide of Wireless Mesh:Use the following command to list the Authentication process and client connection: diagnose debug application wpad 4diagnose debug enableUse the following command to list specific client process by filtering it with mac-address: diagnose wireless-controller wlac sta_filter <client-mac> 1diagnose debug enableT o turn it off use following commands:diagnose wireless-controller wlac sta_filter <client-mac> 0diagnose debug reset。

飞塔配置安装使用手册

飞塔配置安装使用手册

飞塔配置安装使用手册FortiGuard产品家族fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件,日志,报告,网络管理,安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。

更多fortinet产品信息,详见/products.FortiGuard服务订制fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。

fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。

fortiguard服务均以最新的安全技术构建,以最低的运行成本考虑设计。

fortiguard 服务订制包括:1、fortiguard 反病毒服务2、fortiguard 入侵防护(ips)服务3、fortiguard 网页过滤服务4、fortiguard 垃圾邮件过滤服务5、fortiguard premier伙伴服务并可获得在线病毒扫描与病毒信息查看服务。

FortiClientforticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。

forticlient的功能包括:1、建立与远程网络的vpn连接2、病毒实时防护3、防止修改windows注册表4、病毒扫描forticlient还提供了无人值守的安装模式,管理员能够有效的将预先配置的forticlient分配到几个用户的计算机。

FortiMailfortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。

fortimail 单元在检测与屏蔽恶意附件例如dcc(distributed checksum clearinghouse)与bayesian扫描方面具有可靠的高性能。

在fortinet卓越的fortios 与fortiasic技术的支持下,fortimail反病毒技术深入扩展到全部的内容检测功能,能够检测到最新的邮件威胁。

FortiGate最常见配置

FortiGate最常见配置

实例
财务地址段定义:
其他地址段定义:
实例
第一条默认路由:
第二条默认路由:
实例
配置:
• 添加策略路由
– – – – – – – 防火墙-->策略路由-->新建 进入接口中选择Internal 源地址/掩码中输入192.168.1.0/255.255.255.128 目的地址/掩码使用默认值0.0.0.0/0.0.0.0 流出接口选择WAN1 目的端口使用默认值0 按上述操作步骤再建一条源地址为192.168.1.128/25的策略路由 ,流出接口选择WAN2
Internet接入。
配置: • 系统管理-->网络-->接口(接口参数配置)
– 外网接口参数配置
• 选择接口地址模式为自定义 • 在IP地址/掩码栏中输入222.1.2.3/255.255.255.0
– 内网接口参数配置
• 选择接口地址模式为自定义 • 在IP地址/掩码栏中输入192.168.1.1/255.255.255.0
• 系统管理-->路由-->静态(路由配置)
– 修改默认路由的网关为222.1.2.1 – 在设备中选择连接公网的接口
• 系统管理-->防火墙-->策略(策略配置)
– 系统默认已有一条没有任何限制的策略可用
外网接口参数配置:
表态路由配置:
策略配置:
故障排除
• • • • • 检查本地PC机的IP地址、掩码、网关、DNS设置是否正确 检查公网线路连接是否正确 检查防火墙的外网指示灯工作是否正常 检查防火墙内、外网络接参数设置是否正确 检查防火墙策略设置是否正确
地址/端口控制
• 配置过程 • 实例 • 故障排除

飞塔配置

飞塔配置

放出内网访问策略详情
1 2
3
上面需要注意的问题有: 1. 源与目的接口。这个就是防火墙的数据流向。 2. 源与目的地址。在后面配置VPN策略的时候,会用到。 3. NAT:注意默认是不启用的,一般是要启用起来。
六、添加VPN用户DHCP
2
1
IPSEC VPN会需要由接入的WAN口设备提供DHCP,从而获得远端IP。这个DHCP是要配置 在VPN链接进来的WAN口上的。
1 2
3
二、修改内网接口配置
3 2 1
内网接口实际上是一个管理地址来的,它定义了一个从internal接口(也可能叫switch) 访问防火墙设备的地址。飞塔默认的内网IP是192.168.1.99,如果企业实际应用需要 改IP,而且需要飞塔设备承担DHCP的任务,则必须同时修改内网DHCP设置,保持设 置IP一致,否则会出现无法分配到IP的情况。
修改系统DNS设置
2 1
四、添加静态路由
3 1 2
注意: 只有外网口使用静态IP方式的情况下,才会需要手动添加静态路由,PPOE拨号方式下, 是不需要设置静态路由的。
添加路由具体配置
1
1. 目的地址,通常是8个0. 2. 设备:是指使用这条路由的接口,本例中,wan1使用静态IP方式上网,所以选择 wan1. 3. 网关:网络运营商在提供静态IP方式的时候,提供的网关地址。 4. 管理距离和优先级是用来做链路负载均衡用的。同样的管理距离和优先级的话, 防火墙会按照1:1的比例,按会话均分流量。优先级则决定了路由选择顺序。单 条线路,则默认即可。
VPN使用DHCP设置详情
1 2
这个地方的配置要注意: 1. 接口名称:VPN接入进来的WAN口。 2. 模式:服务器 3. 类型:ipsec

fortigate无线部署

fortigate无线部署

FortiGate无线组网指南上一篇我们介绍了FortiGate开箱配置的一些列方法和过程,我们可以通过PC和iPhone,使用FortiExplorer进行FortiGate的开箱配置,此外,我们还介绍了传统的Console配置模式。

在本篇中,我们将介绍如何使用FortiGate进行组网。

相信大家在很多介绍中已经了解到FortiGate一大优势就是将无线控制器AC集成到了防火墙中,那么如何使用呢?当您购买了FortiGate及FortiAP无线接入点设备之后,该如何快速搭建起一套无线网络,并通过FortiGate进行妥善管理呢?目录拓扑环境介绍 (1)无线管理与配置 (3)防火墙策略配置 (7)拓扑环境介绍下面图1就是我们这次演示的拓扑环境图1:FortiGate无线网络演示拓扑如上图所示,我们使用了一台FortiGate(90D-PoE)来作为组网核心,以及FortiAP 无线接入点,还有笔记本作为无线接入终端,通过无线网络访问互联网。

图2:FortiAP-223B外观与FortiGate-90D-PoE互联如图2所示,左上角的AP为FortiAP-223B,右下角为通过网线连接到FortiGate-90D-POE的poe端口通过以太网直接供电。

这款AP产品外置4根天线,2根提供5GHz,2根提供2.4GHZ,可布置于大会议室和走廊等空间开阔面积大,或需要定向提供信号的区域。

还有内置天线的版本FortiAP-221B,这里就不赘述了。

图2右上角的图,可以看到AP背面有两个接口,一个是RJ45以太网接口,还标示出了POE 48V,说明这个设备是可以通过POE供电的,只需将网线连接到远端的POE交换机或其他poe供电设备,就可以直接使用了。

图2右上角的图还有一个小的接口,是电源插口,当没有POE供电设备的情况下,就需要在AP边上放置一个电源来供电了。

当然,由于我们使用的FortiGate-90D-poe本身提供4个PoE接口,因此我们省去了POE交换机等poe供电设备和电源,简化了网络拓扑。

Fortinet无线网络接入配置步骤 4.2

Fortinet无线网络接入配置步骤 4.2

Fortinet无线网络接入配置步骤------------------------------------------------------------------------------------------------------------------------------------------目录1.概述: (3)2.配置步骤: (3)2.1. 配置FortiGate 620B (3)2.2. 配置FortiGate DHCP服务 (7)2.3. 查看AP (9)2.4. 配置无线控制 (10)2.5. 清空所有自定义AP profile (10)2.6. 新建AP profile (12)2.7. 配置MAC过滤功能 (13)2.8. 配置无线用户访问网络的防火墙策略 (15)2.9. 配置用户认证功能 (16)2.10. 配置FortiGate的HA(高可用性) (18)3. 常用监控及管理界面 (19)------------------------------------------------------------------------------------------------------------------------------------------1.概述:Fortinet无线网络接入及安全方案由以下两类设备组成:AC(Wifi接入控制器)及安全网关:FortiGateAP(Wifi接入点):FortiAP2.配置步骤:2.1. 配置FortiGate 620B防火墙默认管理地址为https://192.168.1.99(Port1);用户名:admin密码:无------------------------------------------------------------------------------------------------------------------------------------------建议使用IE8.0或Firefox 3.6及以上版本进行访问,其它浏览器可能不能完全兼容FortiGate V4.2以上版本的管理界面。

FortiGate-V5.0.7-无线网络配置-V1_

FortiGate-V5.0.7-无线网络配置-V1_

FortiGate和FortiAP快速建立无线网络1.适用版本FortiOS v5.0,build4429(GA)以上版本2.拓扑及描述FortiGate140D-POE作为AC(无线控制器)连接并管理FortiAP(瘦AP),无线终端用户如笔记本等终端连接FortiGate上设置的SSID,进而连接到外网上。

注:FortiGate140D-POE的port21-port36为POE供电接口,FortiAP连接到这些接口进行POE供电,同时FortiAP也可以给其他POE受电设备进行供电如摄像头等。

3.配置方法3.1.配置无线网络AC(Wifi接入控制器)及安全网关:FortiGateAP(Wifi接入点):FortiAPFortiGate140D-POE的port21-port36为POE供电接口,FortiAP连接到这些接口上自动启动,无需电源线连接。

其中lan口的默认ip为192.168.100.99掩码为:255.255.255.0,并且开启DHCP server的功能,FortiAP连接poe接口之后将获得192.168.100.100-210内的一个ip地址。

无线客户端将最终获得ip段10.10.0.100-10.10.0.210内的某一个ip地址。

具体的配置如下:第一步:在WAN2口上配置专线分配的IP地址、掩码、网关。

(请参考3G Modem和专线双线接入配置.doc)第二步:配置3G modem(请参考3G Modem和专线双线接入配置.doc)第三步:开启无线管理器功能第四部:配置无线SSID为FortiAP-SSID(此名称可以根据自己需要进行改动,不能为中文)第五步:将自定义AP配置全部删除,并且设置无线控制的国家改为CN第六步:建立AP模板(此处以FortiAP220为例演示)第六步:添加FortiAP。

如果FortiAP正常连接之后就会在上图右侧的列表中显示出来,如果没有显示可以点击刷新,然后发现AP,右击发现的AP,点击授权,就将AP添加进来了。

Fortinet无线网络接入配置步骤 4.2

Fortinet无线网络接入配置步骤 4.2

Fortinet无线网络接入配置步骤------------------------------------------------------------------------------------------------------------------------------------------目录1.概述: (3)2.配置步骤: (3)2.1. 配置FortiGate 620B (3)2.2. 配置FortiGate DHCP服务 (7)2.3. 查看AP (9)2.4. 配置无线控制 (10)2.5. 清空所有自定义AP profile (10)2.6. 新建AP profile (12)2.7. 配置MAC过滤功能 (13)2.8. 配置无线用户访问网络的防火墙策略 (15)2.9. 配置用户认证功能 (16)2.10. 配置FortiGate的HA(高可用性) (18)3. 常用监控及管理界面 (19)------------------------------------------------------------------------------------------------------------------------------------------1.概述:Fortinet无线网络接入及安全方案由以下两类设备组成:AC(Wifi接入控制器)及安全网关:FortiGateAP(Wifi接入点):FortiAP2.配置步骤:2.1. 配置FortiGate 620B防火墙默认管理地址为https://192.168.1.99(Port1);用户名:admin密码:无------------------------------------------------------------------------------------------------------------------------------------------建议使用IE8.0或Firefox 3.6及以上版本进行访问,其它浏览器可能不能完全兼容FortiGate V4.2以上版本的管理界面。

飞塔防火墙配置多个PSK的连接用户IPsec阶段一

飞塔防火墙配置多个PSK的连接用户IPsec阶段一
配置多个 PSK 的连接用户 IPsec 阶段一
版本 时间 支持的版本 状态 反馈
1.0 2013 年 4 月 N/A 已审核 support_cn@
说明: 本文档针对 FortiGate 在主模式下配置多个预共享(PSK)模式连接用户模式 IPSec 阶段一。 描述: 如果在主模式下同一接口下配置多个拨号阶段一,那么相同的阶段一将总被所有的拨号客户 端匹配,主模式交换认证的第三阶段会显示该错误,日志信息如下: 2009-11-04 16:00:00 device_id=FGTxxx log_id=0101023003 type=event subtype=ipsec pri=error loc_ip=.dd loc_port=500 rem_ip=ee.ff.gg.hh rem_port=500 out_if="wan1" vpn_tunnel="branchOffice" cookies=asd2345sdf4sdf345 action=negotiate status=negotiate_error msg="Negotiate SA Error: probable pre-shared secret mismatch" 当多个拨号主模式预共享阶段一存在时,IKE 无法判断哪个阶段一用来匹配收到的第一个主 模式包: -源地址(拨号端)ቤተ መጻሕፍቲ ባይዱ能被用于区分(任何源地址都被允许使用阶段一); -目的地址(Fortigate)不能被用于区分(已经假定所有的阶段一绑定至该接口); -第一主模式包中没有任何额外的 payload 来标注如何选择阶段一。 所以,IKE 的第一个阶段一总是被所有拨号端匹配。 解决方案: 为了在主模式 PSK 下多个拨号连接正常工作,建议使用如下方法:

飞塔双WAN(双链路)连接配置

飞塔双WAN(双链路)连接配置

飞塔双WAN(双链路)连接配置2009-07-16 14:07:18 来源:未知作者:admin点击数:684 评论:0 转发至:用两条链路接入互联网有两种情况:冗余和负载均衡。

这两种情况可以单独部署也可以联合使用。

如下表:环境介绍:所有运行FortiOS2.8及以上版本的FortiGate设备。

步骤:在每种情况中必须配置适当的防火墙策略,让数据可以正常通过。

本文关心路由问题。

情况一:冗余正常情况下只有一条链路承载数据,如果该链路断掉则备份链路开始承载数据。

1,路由:每条链路都需要配置一条默认路由,设置主链路的管理距离比备份链路底,这样在路由表中只有主链路的路由。

2,链路失效检测(Ping服务器):链路失效检测可以检测到对端的链路是否正常。

Ping服务器的地址一般是下一跳或网关地址。

可以在系统管理----网络中编辑接口,配置Ping服务器。

3,防火墙策略:一般情况下,必须配置两条防火墙策略,保障一条链路断掉后另一条会正常工作。

例如:Internal > WAN1 & Internal > WAN2。

详情。

情况二:负载均衡同时使用两条链路,这种情况会提高转发带宽,但没有链路失效恢复的保障。

1,路由需求:一条主链路的默认路由,用更详细的路由通过其他链路转发其他数据。

详细信息。

情况三:冗余和负载均衡同时使用两条链路转发数据。

在这种情况下一条链路断掉数据会全部从另一条链路通过。

使用两条默认路由,且其管理距离相同。

除了管理距离必须一样外,这和情况一类似。

这样做的结果是两条路由都可以在路由表中看到。

设定管理距离:一般情况下在路由----静态中设定。

如果是PPPoE接口需要在系统管理----网络中编辑接口,在PPPoE选项下设定管理距离,同时要勾上从服务器中重新得到网关。

确保一条链路总是转发数据:使用一条默认策略路由可以让一个接口总是能访问互联网。

**警告----当配置此策略时需要额外注意!**当数据包匹配策略路由时,策略路由就会比路由表中其他所有路由都优先(包括直连),即数据包会按策略路由执行。

飞塔无线配置1

飞塔无线配置1

FortiAP 介绍FortiAP 无线接入点提供企业级别的无线网络扩展的FortiGate整合安全功能的控制器管理的设备。

每个FortiAP无线控制器将通过的流量集成到FortiGate平台,提供了一个单独的控制台来管理有线和无线网络通信。

FortiAP 无线接入点提供更多的网络可视性和策略执行能力,同时简化了整体网络环境。

采用最新的802.11n为基础的无线芯片技术,提供高性能集成无线监控并支持多个虚拟AP的每个无线发送的无线接入。

FortiAP与FortiGate设备的controller(控制器)连接,可以提供强大完整的内容保护功能的无线部署空间。

FortiGate设备controller控制器可以集中管理无线发送点操作、信道分配、发射功率,从而进一步简化了部署和管理.FortiAP 外观与连接这里我们用FortiAP 210B来做示例,FortiAP 210B 是可持续性使用的商务级802.11n解决方案,提供达300Mbps 的总吞吐率,可满足苛刻使用要求的应用场所。

FortiAP 210B应用了单射频双频段(2.4GHz和5GHz)的2x2 MIMO 技术。

FortiAP 210B是一款企业级接入点,不但提供快速客户端接入,而且具有智能应用检测和流量整形功能,具有两根内部天线,支持IEEE 802.11a、b、g和n无线标准.这是FortiAP 210B正面的样子.FortiAP 210B连接的方式很简单,只要一根网线的一端连接设备的ETH接口,另一端连接交换机或飞塔防火墙,设备带独立的12V、1。

5A电源,如果防火墙或交换机支持PoE接口(自带48V电源),也可以直接通过网线供电,不需要连接独立的电源,这样在布线安装时会方便很多。

FortiAP 访问和普通的交换机、路由器一样,FortiAP也可以通过浏览器进行访问,ETH接口的默认地址是192。

168.1。

2,用户名为admin,密码为空。

飞塔防火墙的路由与透明模式要点课件

飞塔防火墙的路由与透明模式要点课件
支持的路由类型
设置FortiGate设备的路由是指设置提供给FortiGate设备将数据包 转发到一个特殊目的地的所需的信息
• 静态
▪ 静态路由 ▪ 直连网络 ▪ 缺省路由
• 动态
▪ RIP ▪ OSPF ▪ BGP
• 策略路由
网关检测
• 使用“ping server” (GUI) 或者 “detect server” (CLI)
密码字段中输入密码(密码最大可以设置为35个字符)。FortiGate设 备与RIP更新路由器必须配置相同的密码。密码通过网络以文本格式 发送 选择MD5即使用MD5验证来往的RIP更新。
设置接口不广播路由信息。如要接口对RIP请求作出反应,撤消该设置。
OSPF
• OSPF(OSPF: open shortest path first)是一种链路状态协议, 最常用于异构网络中在相同的自主域(AS: automonous system) 中共享路由信息。 FortiGate设备支持OSPF版本2(参见 RFC2328)。
• 一个OSPF自主域(AS: automonous system)是由边界路由器 链接的分割为不同逻辑区域组成的系统。一个区域由一组同构 网络构成。一个区域边界路由器通过一个或多个区域链接到 OSPF主干网络(区域ID为0)。
定义自治域
• 进入“路由>动态路由>OSPF”。 • 在“区域”项下,点击“新建”。 • 定义一个或多个OSPF区域特征。 • 在“网络”项下,点击“新建”。 • 建立所定义的区域与属于OSPF自
• 用ICMP ping来检测某 主机是否能够抵达来判 断所指定的接口是否工 作
• ICMP ping 间歇和阈值 都是可以配置的
路由的判断过程(一)

飞塔配置教程

飞塔配置教程

飞塔网关配置教程一、固件升级由于设备出厂固件版本较低,需要升级最新版本的固件,固件下载请到企业QQ的企业微云部门文件“IT技术支持部>飞塔>固件”目录下下载,根据设备型号来导入,这里我以FWF-50E这个设备来演示。

1.1、设备默认管理IP为“192.168.1.99”,默认账号:admin,无密码。

(必须使用谷歌浏览器和IE8以上的浏览器)1.2、进入主界面,点击“Upload”1.3、上传从企业微云中下载的固件1.4、点击“Upgrade”进行固件更新1.5、固件更新中,需要等待大概5分钟左右。

二、配置修改为了简化设备的配置,我们已经做好设备的配置模板,配置文件下载请到企业QQ的企业微云部门文件“IT技术支持部>飞塔>配置”目录下下载。

在修改配置之前,需要准备以下事项:1、安装Notepad++文本编辑器2、向区总申请SSLVpn账号3、向区总申请网段2.1、用Notepad++打开配置文件,定位到第九行,选中hostname,全部替换为你申请的SSLVpn账号2.2、定位到第96行,选中需要更改的网段,如下图,全部替换为你申请的网段公网IP和掩码。

(PPPOE跳过这一步,最后使用图形化界面配置PPPOE账号密码)2.4、定位到3906行,将网关地址更改为当地的网关。

(PPPOE 网络环境跳过)修改完后保存。

三、导入配置文件3.1、通过WEB进入设备的配置界面,在主界面单击Restore。

3.2、选择刚才修改过的配置文件3.3、点击OK进行配置恢复3.4、恢复配置这一阶段可能会需要5分钟,耐心等待。

3.5、设备启动完成后,会自动获取到你申请的网段的IP,如果不能自动弹出登录界面,请查看本地电脑获取到的网关地址,用网关地址进入设备登录界面。

恢复完配置的账号是:admin,密码是:Fortinet1234#。

四、无线AP管理4.1、如果当地有飞塔AP,请禁用FWF-50E设备自带的WIFI 功能,双击“本地WIFI射频”的配置文件,点击“禁用”4.2、如果外置AP已经接入到网络内,会在FortiAP管理中出现,选中需要激活的AP,单击“准许”,网页会自动刷新,等待1-2分钟左右,AP的状态变成绿色的就可以了。

飞塔防火墙配置手册

飞塔防火墙配置手册
出厂默认设置 ............................................... 21
出厂默认的DHCP服务器配置 ......................................... 21 出厂默认的NAT/ 路由模式的网络配置 ................................ 21 出厂默认的透明模式的网络配置 ..................................... 23 出厂默认防火墙设置 ............................................... 23 出厂默认的防火墙保护内容设置 ..................................... 23 恢复出厂默认设置 ................................................. 24
FortiGate-60/60M/ADSL, FortiWiFi-60, FortiGate-100A
V3.0 MR1 设备安装手册

INSTALLGUI
V3.0 MR1 FortiGate-60系列以及FortiGate-100 A设备安装手册
2006年4月10日 01- 30001-0266-20060410
设置公共FortiGate接口对Ping命令请求不作出响应 .................... 29
NAT/路由模式安装 ................................................. 30
配置FortiGate设备的NAT/路由模式准备 ........................................................ 30 配置使用DHCP或PPPoE................................................................................... 31

Fortinet飞塔产品的配置说明文档200a

Fortinet飞塔产品的配置说明文档200a

Fortinet飞塔产品的配置说明文档200aFortinet飞塔产品的配置说明文档如何重发布特定的路由如下配置可以实现的功能是:只把静态路由里面是192.168.0.0/16重发布OSPF 里面,其它的所有静态路由不发布到OSPF。

以下所有命令只能在CLI下面配置,不能在GUI配置。

步骤一:新建一个access-list:config router access-listedit "static2ospf"config ruleedit 1set prefix 192.168.0.0 255.255.0.0set exact-match disablenextendnextend步骤二:新建一个route-map:config router route-mapedit "static2ospf"config ruleedit 1set match-ip-address "static2ospf"nextendnextend步骤三:配置动态路由协议并在重发布相关路由选项里面只重发布静态路由并引用上面定义的route-map:config router ospfset abr-type ciscoconfig areaedit 0.0.0.0nextendset default-metric 1config networkedit 1set prefix 172.16.0.0 255.255.0.0nextendconfig redistribute "connected"endconfig redistribute "static"set status enableset routemap "static2ospf"endconfig redistribute "rip"endconfig redistribute "bgp"endset restart-mode graceful-restartset router-id 172.16.1.1end设置FortiGate 静态路由和策略路由本文档针对所有FortiGate设备的静态路由和策略路由配置进行说明。

FortiClient 配置说明

FortiClient 配置说明

FortiClient IPSEC VPN 配置说明 (3)飞塔如何配置SSL VPN (7)1.1 SSL VPN功能介绍 (7)1.2 典型拓扑结构如下 (7)1.3 SSL VPN支持的认证协议有: (8)1.4 SSL VPN 和IPSEC VPN比较 (8)2.Web模式配置 (8)2.1启用SSL VPN (9)2.2新建SSL VPN用户 (9)2.3 新建SSL VPN用户组 (9)2.4 建立SSL VPN策略 (10)2.5 如何设置防火墙默认的SSL VPN登陆端口,具体如下: (10)2.6 登陆SSL VPN Web模式后的界面如下: (11)3.隧道模式配置 (11)3.1 修改SSL VPN设置 (12)3.2 修改SSL VPN用户组 (12)3.3 配置相关的隧道模式SSL VPN防火墙策略 (12)3.4 配置相关的隧道模式SSL VPN的静态路由 (13)3.5 如何在客户端启用SSL VPN隧道模式 (14)3.5.1 从外网通过https://防火墙外网口地址:10443 登陆到防火墙Web模式的SSL VPN入口,进入到SSL VPN Web模式界面下面,如下图显示: (14)3.5.2 点击左上角的“激活SSL-VPN通道模式”,如下图显示: (14)3.5.3 SSL VPN隧道启动前后客户端系统路由表的变化 (15)3.6 关于隧道模式的SSL VPN的通道分割功能 (16)3.6.1 通道分割模式启动后客户端路由表的变化 (16)3.6.2 通道分割功能下面可以基于用户组的IP地址分配功能 (17)4.SSL VPN客户端 (18)4.1 Windows下面的SSL VPN客户端 (18)4.2 Linux/Mac下面的SSL VPN客户端 (19)5.FortiGate 4.0新功能介绍 (20)5.1 新的FortiGate 4.0防火墙SSL VPN登陆界面设置 (20)5.1.1 大体上的界面配置如下: (20)5.1.2 如何配置Web模式登陆界面的风格和布局模式(Theme and Layout) (21)5.1.3 配置Widget (22)5.1.4 如何配置SSL VPN 的Web模式应用程序控制 (22)5.1.5 SSL VPN界面配置里面的高级选项 (22)6.其他关于SSL VPN的功能 (25)6.1 SSL VPN用户监控 (25)6.2 用户认证超时和通讯超时时间 (25)6.3 常用的SSL VPN诊断命令 (25)怎么通过TFTP刷新飞塔OS (25)飞塔CLI命令行概述 (27)飞塔如何升级防火墙硬件? (29)最快速恢复飞塔管理员密码 (30)FortiGate自定义IPS阻断迅雷HTTP下载 (30)飞塔如何启用AV,IPS功能及日志记录功能? (33)塔设备入门基础 (37)飞塔重要资料集中录 (40)飞塔如何使用CLI通过TFTP升级Fortigate防火墙系统文件 (42)飞塔IP和MAC地址绑定方法二 (43)飞塔MSN、BT屏蔽方法(V3.0) (44)飞塔基于时间的策略控制实例 (46)飞塔如何配置SSL的VPN(3.0版本) (48)如何升级飞塔(FortiGate)防火墙软件版本 (51)如何升级飞塔(FortiGate)防火墙软件版本 (53)飞塔(FortiGate)防火墙只开放特定浏览网站 (54)飞塔(FortiGate)如何封MSN QQ P2P (60)在飞塔(FortiGate)上使用花生壳的动态域名功能 (71)飞塔FortiGate端口映射 (74)飞塔FortiGate IPSec VPN 动态路由设置步骤 (76)飞塔(Fortinet)SSL VPN 隧道模式使用说明 (88)FortiClient IPSEC VPN 配置说明本文档针对IPsec VPN 中的Remote VPN 进行说明,即远程用户使用PC中的FortiClient软件,通过VPN拨号的方式连接到公司总部FortiGate设备,访问公司内部服务器。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

FortiAP 介绍
FortiAP 无线接入点提供企业级别的无线网络扩展的FortiGate整合安全功能的控制器管理的设备。

每个FortiAP无线控制器将通过的流量集成到FortiGate平台,提供了一个单独的控制台来管理有线和无线网络通信。

FortiAP 无线接入点提供更多的网络可视性和策略执行能力,同时简化了整体网络环境。

采用最新的802.11n为基础的无线芯片技术,提供高性能集成无线监控并支持多个虚拟AP的每个无线发送的无线接入。

FortiAP与FortiGate 设备的controller(控制器)连接,可以提供强大完整的内容保护功能的无线部署空间。

FortiGate设备controller控制器可以集中管理无线发送点操作、信道分配、发射功率,从而进一步简化了部署和管理。

FortiAP 外观与连接
这里我们用FortiAP 210B来做示例,FortiAP 210B 是可持续性使用的商务级802.11n解决方案,提供达300Mbps 的总吞吐率,可满足苛刻使用要求的应用场所。

FortiAP 210B应用了单射频双频段(2.4GHz和5GHz)的2x2 MIMO 技术。

FortiAP 210B是一款企业级接入点,不但提供快速客户端接入,而且具有智能应用检测和流量整形功能,具有两根内部天线,支持IEEE 802.11a、b、g和n无线标准。

这是FortiAP 210B正面的样子。

FortiAP 210B连接的方式很简单,只要一根网线的一端连接设备的ETH接口,另一端连接交换机或飞塔防火墙,设备带独立的12V、1.5A电源,如果防火墙或交换机支持PoE接口(自带48V电源),也可以直接通过网线供电,不需要连接独立的电源,这样在布线安装时会方便很多。

FortiAP 访问
和普通的交换机、路由器一样,FortiAP也可以通过浏览器进行访问,ETH接口的默认地址是192.168.1.2,用户名为admin,密码为空。

笔记本电脑IP设为同网段的192.168.1.8,打开火狐浏览器,输入http://192.168.1.2进行访问。

输入用户名admin,密码不填,直接点击登录;
可以看到FortiAP 210B的基本信息,在这里可以升级固件,修改管理员密码(为了安全起见建议立即修改),当有多个AP时为了不引起冲突,又能访问每个IP,建议修改默认的192.168.1.2 IP地址。

还可以看到无线的信息。

因为大部分的设置是在Fortinet防火墙的控制端完成,这里就不具体操作了。

防火墙上激活AP
因为FortiGate整合了安全功能的控制器管理,所以所有的操作都可以在防火墙上完成。

①登录防火墙,选择菜单【WiFi与交换控制器】-【可管理设备】-【FortiAP管理】,多刷新几下,就可以发现已经找到了两台FortiAP 210B设备。

②刚找到的设备状态是问号,选项一台AP,点击【准许】,允许使用;
③准许后,它们的状态是绿色的;连接通过可以看到AP从防火墙的DHCP分配到了地址,通过访问这个地址,也可以登录AP的Web介面。

建立SSID
防火墙上激活了FortiAP后,就可以设置SSID了,用过无线的都知道,笔记本或手机都会搜索一个无线信号,名称就是SSID。

①选择菜单【WiFi与交换控制器】-【无线网络】-【SSID】,点击新建;
②我们新建一个给办公室内部人员使用的SSID,启用DHCP,设置IP范围,这样通过这个SSID登录的就会得到这个范围的IP地址;
③SSID取中文名称容易区分,但有部分电脑查看无线信息的时候看到的是乱码,手机一般不会。

安全模式这里我们选择了企业模式,主要是区别普通的密码输入认证,默认本地认证,也就是通过防火墙里设置的帐号进行认证,选择客户组,当然工作组也可以在防火墙里自定义;
④再建一个给客户临时上网的SSID,IP地址与内部员工使用的SSID区分开来;
⑤访客SSID的安全模式就只需选择个人模式,只要输入密码就能通过;
⑥可以看到两个不同的SSID就建好了,当然也可以根据实际情况增加或删减SSID。

添加验证用户
刚才建立的办公WiFi会通过防火墙上的帐号进行验证,那么我们需要先在防火墙上建立用户,并加入客户组中。

①选择菜单【用户&设备】-【用户】-【设置用户】,点击新建;
②默认是建立本地用户,点击【下一个】;
③输入用户名和密码,点击【下一个】;
④邮件地址这里忽略,直接点击【下一个】;
⑤默认为启用,点击【完成】;
⑥可以看到已经建立了一个用户,其它用户也象这样一一建立就可以了;
⑦新建立的用户还需要加入到客户组中,选择菜单【用户&设备】-【用户】-【用户组】,点击Guset-group组,点击编辑;
⑧成员的右边点击十号图标,选择新建的用户,点击【确定】;
⑨可以看到Guest-group组成员增加了。

修改配置文件
系统会默认产生一个配置文件,而且激活的设备也会默认使用这个配置文件,现在需要做的是把建立的SSID加入到这个配置文件中,让AP基于配置文件运行。

①选择菜单【WiFi与交换控制器】-【无线网络】-【FortiAP配置文件】,选择默认配置文件,点击编辑;
②频段选择比较常用的2.4Ghz 802.11n/g/b,加入新建好的两个SSID;
③配置文件修改完成,可以看到其实还可以增加一个频段,后面我们再详细介绍这方面的内容。

④选择菜单【WiFi与交换控制器】-【可管理设备】-【FortiAP管理】,选择一个AP,点击编辑;
⑤可以看到使用默认的配置文件,通过对应的配置文件,显示出Radio配置。

当然也可以新建配置文件,以符合实际需求,后面会介绍这方面内容。

制定AP允许访问外网的策略
上述这些步骤完成后,手机、笔记本是可以连接上AP,但是还不能上网,这就需要制定策略允许AP上网。

①选择菜单【策略&对象】-【策略】-【IPv4】,点击新建;
②首先建办公WiFi上网的策略,流入接口选LW-Office,流出选Wan1宽带口;
③然后建访客WiFi上网的策略,流入接口选LW-Customer,流出选Wan1宽带口,当然,如果有多根宽带,也可以指向不影响工作的那根宽带;
④为了不让访客WiFi影响正常工作,这里还可以限制访客WiFi的流量;
⑤两条允许访问外网的策略就建好了。

验证通过AP上网
现在就可以打开手机或笔记本的无线功能,搜索上网信号了。

①连接访客WiFi很容易,输入密码就可以了;
②连接办公WiFi,就需要输入用户名和密码了,而这个用户名和密码就是刚才在防火墙上设置的;
③通过防火墙的验证了;
④手机可以上网了,AP安装配置成功!。

相关文档
最新文档