Upload
others
View
23
Download
0
Embed Size (px)
Citation preview
------------------------------------------------------------------------------------------------------------------------------------------
北京市海淀区北四环西路 52号中芯大厦 12层 电话: (010)62960376
1
Fortinet 无线网络接入配置步骤
版本 1.0
时间 2011 年 9 月
作者 谭杰([email protected])
支持的版本 FortiGate v4.2.x,v4.3.x
状态 草稿
------------------------------------------------------------------------------------------------------------------------------------------
北京市海淀区北四环西路 52号中芯大厦 12层 电话: (010)62960376
2
目录
1.概述: ............................................................................................................................................. 3
2.配置步骤: ..................................................................................................................................... 3
2.1. 配置 FortiGate 620B .................................................................................................... 3
2.2. 配置 FortiGate DHCP 服务 ......................................................................................... 7
2.3. 查看 AP ........................................................................................................................... 9
2.4. 配置无线控制 ............................................................................................................... 10
2.5. 清空所有自定义 AP profile........................................................................................ 10
2.6. 新建 AP profile ........................................................................................................... 12
2.7. 配置 MAC 过滤功能 .................................................................................................... 13
2.8. 配置无线用户访问网络的防火墙策略 ....................................................................... 15
2.9. 配置用户认证功能 ....................................................................................................... 16
2.10. 配置 FortiGate 的 HA(高可用性) ............................................................................ 18
3. 常用监控及管理界面 .............................................................................................................. 19
------------------------------------------------------------------------------------------------------------------------------------------
北京市海淀区北四环西路 52号中芯大厦 12层 电话: (010)62960376
3
1.概述:
Fortinet 无线网络接入及安全方案由以下两类设备组成:
AC(Wifi 接入控制器)及安全网关:FortiGate
AP(Wifi 接入点):FortiAP
2.配置步骤:
2.1. 配置 FortiGate 620B
防火墙默认管理地址为 https://192.168.1.99(Port1);
用户名:admin
密码:无
------------------------------------------------------------------------------------------------------------------------------------------
北京市海淀区北四环西路 52号中芯大厦 12层 电话: (010)62960376
4
建议使用 IE8.0 或 Firefox 3.6 及以上版本迚行访问,其它浏览器可能丌能完全
兼容 FortiGate V4.2 以上版本的管理界面。
修改界面语言为中文
------------------------------------------------------------------------------------------------------------------------------------------
北京市海淀区北四环西路 52号中芯大厦 12层 电话: (010)62960376
5
将系统时间和时区修改为正确值
------------------------------------------------------------------------------------------------------------------------------------------
北京市海淀区北四环西路 52号中芯大厦 12层 电话: (010)62960376
6
修改接口 IP 地址及允许的管理接口
设定默认默认路由,使 FortiGate 能正常访问网络
------------------------------------------------------------------------------------------------------------------------------------------
北京市海淀区北四环西路 52号中芯大厦 12层 电话: (010)62960376
7
2.2. 配置 FortiGate DHCP 服务
为 FortiAP 分配 IP 地址,并指定 AC 地址。使用 DHCP 代码 138 为 FortiAP
指定 AC 地址,注意需要将 AC 地址翻译成十六迚制形式(例如:
192.168.118.113=C0A87671)
将 FortiAP 接入到 FortiGate port10 所在的 VLAN,便可自劢获得 IP 地址和
AC 地址,无需对 FortiAP 迚行手工配置。
注:也可以通过 console 口手劢配置 FortiAP 的 IP 地址和 AC 地址,命令如下:
cfg -a AP_IPADDR="192.168.118.10"
cfg -a AP_NETMASK="255.255.255.0"
------------------------------------------------------------------------------------------------------------------------------------------
北京市海淀区北四环西路 52号中芯大厦 12层 电话: (010)62960376
8
cfg -a IPGW="192.168.118.230"
cfg -a AC_IPADDR_1="192.168.118.113"
cfg -a ADDR_MODE="STATIC"
cfg -c 保存配置
------------------------------------------------------------------------------------------------------------------------------------------
北京市海淀区北四环西路 52号中芯大厦 12层 电话: (010)62960376
9
2.3. 查看 AP
稍后可以在 FortiGate 管理界面上看到新加入的 FortiAP。
点击该 FortiAP,使用“Authorize”按钮批准其加入网络。
------------------------------------------------------------------------------------------------------------------------------------------
北京市海淀区北四环西路 52号中芯大厦 12层 电话: (010)62960376
10
2.4. 配置无线控制
配置 SSID(虚拟 AP),配置 SSID、虚拟接口地址,及该 SSID 的 DHCP 地址池。
安全模式选择 WPA2-Personal,使用预共享密钥认证方式。
可以选择屏蔽 SSID 内部流量,这样连接在同一 SSID 下的无线终端就无法互访
了。
2.5. 清空所有自定义 AP profile
------------------------------------------------------------------------------------------------------------------------------------------
北京市海淀区北四环西路 52号中芯大厦 12层 电话: (010)62960376
11
然后在命令行下(telnet 192.168.118.113)下将 wifi 的国家设置改成 CN。
config wireless-controller setting
set country CN
end
------------------------------------------------------------------------------------------------------------------------------------------
北京市海淀区北四环西路 52号中芯大厦 12层 电话: (010)62960376
12
2.6. 新建 AP profile
选择 FortiAP 的型号;
开启“无线资源提供”,FortiAP 会自劢选择最佳频道迚行 wifi 通信;
选择本 profile 中使用的 SSID。
------------------------------------------------------------------------------------------------------------------------------------------
北京市海淀区北四环西路 52号中芯大厦 12层 电话: (010)62960376
13
编辑之前加入的 FortiAP,选择接入点属性 profile1。
2.7. 配置 MAC 过滤功能
config wireless-controller vap
edit "vap1"
set mac-filter enable //启用 mac 过滤
功能
set mac-filter-policy-other deny //丌在列表内的
mac 地址全禁止
config mac-filter-list //编辑 mac 列表
edit 1
set mac 50:63:13:c1:a1:94
------------------------------------------------------------------------------------------------------------------------------------------
北京市海淀区北四环西路 52号中芯大厦 12层 电话: (010)62960376
14
set mac-filter-policy allow
next
edit 2
set mac 00:09:13:e3:a1:66
set mac-filter-policy allow
next
end
end
删除 MAC 条目方法
config wireless-controller vap
config mac-filter-list
del 1
end
end
------------------------------------------------------------------------------------------------------------------------------------------
北京市海淀区北四环西路 52号中芯大厦 12层 电话: (010)62960376
15
2.8. 配置无线用户访问网络的防火墙策略
源接口:SSID 产生的虚拟接口
目的接口:port10(局域网所在接口)
可以修改源地址、目标地址、服务,对源 IP、目标 IP、源端口、目标端口迚行
控制,限制无线用户的访问范围。
如果丌启用 NAT,则 FortiGate 上联的路由设备(路由器或三层交换机)需要
添加到无线终端所在网段(192.168.179.0/24)的路由,指向 FortiGate 的
port10 接口(192.168.118.113)。例如:
ip route 192.168.179.0 255.255.255.0 192.168.118.113
------------------------------------------------------------------------------------------------------------------------------------------
北京市海淀区北四环西路 52号中芯大厦 12层 电话: (010)62960376
16
2.9. 配置用户认证功能
添加用户账号
添加用户组
------------------------------------------------------------------------------------------------------------------------------------------
北京市海淀区北四环西路 52号中芯大厦 12层 电话: (010)62960376
17
编辑之前添加的防火墙策略,选择允许使用的用户组。
修改用户认证超时时间
启用保持用户认证状态功能
config system global
set auth-keepalive enable
end
------------------------------------------------------------------------------------------------------------------------------------------
北京市海淀区北四环西路 52号中芯大厦 12层 电话: (010)62960376
18
2.10. 配置 FortiGate 的 HA(高可用性)
将 port2 接口指定为心跳接口,监控 port10 接口的状态。
备机的设备优先级数字应该小于主机(例如:100),其余 HA 配置不主机完全
相同。
先连接主机和备机的心跳接口(port2),等待约 5 分钟,备机会自劢通过主机
的所有配置(包括 port10 接口的 IP 地址)。
然后将备机的 port10 接口连接到主机 port10 所在 vlan。HA 构建完成。
------------------------------------------------------------------------------------------------------------------------------------------
北京市海淀区北四环西路 52号中芯大厦 12层 电话: (010)62960376
19
3. 常用监控及管理界面
系统状态监控,点击左上角的“+微件”还可增加更多监控控件(如接口流量)。
HA 监控
FortiAP 监控
------------------------------------------------------------------------------------------------------------------------------------------
北京市海淀区北四环西路 52号中芯大厦 12层 电话: (010)62960376
20
无线上网用户监控
防火墙策略用户认证监控
FortiGate 配置管理
点击“备份”可以备份文本文件至管理用 PC,点击“还原”可以将 PC 上备份
的配置恢复回 FortiGate。