Fortinet...

------------------------------------------------------------------------------------------------------------------------------------------

北京市海淀区北四环西路 52号中芯大厦 12层电话: (010)62960376

1

Fortinet 无线网络接入配置步骤

版本 1.0

时间 2011 年 9 月

作者谭杰([email protected])

支持的版本 FortiGate v4.2.x,v4.3.x

状态草稿

------------------------------------------------------------------------------------------------------------------------------------------


2

目录

1.概述: ............................................................................................................................................. 3

2.配置步骤: ..................................................................................................................................... 3

2.1. 配置 FortiGate 620B .................................................................................................... 3

2.2. 配置 FortiGate DHCP 服务 ......................................................................................... 7

2.3. 查看 AP ........................................................................................................................... 9

2.4. 配置无线控制 ............................................................................................................... 10

2.5. 清空所有自定义 AP profile........................................................................................ 10

2.6. 新建 AP profile ........................................................................................................... 12

2.7. 配置 MAC 过滤功能 .................................................................................................... 13

2.8. 配置无线用户访问网络的防火墙策略 ....................................................................... 15

2.9. 配置用户认证功能 ....................................................................................................... 16

2.10. 配置 FortiGate 的 HA(高可用性) ............................................................................ 18

3. 常用监控及管理界面 .............................................................................................................. 19

------------------------------------------------------------------------------------------------------------------------------------------


3

1.概述:

Fortinet 无线网络接入及安全方案由以下两类设备组成：

AC（Wifi 接入控制器）及安全网关：FortiGate

AP（Wifi 接入点）：FortiAP

2.配置步骤:

2.1. 配置 FortiGate 620B

防火墙默认管理地址为 https://192.168.1.99(Port1)；

用户名：admin

密码：无

https://192.168.1.99(port1/

------------------------------------------------------------------------------------------------------------------------------------------


4

建议使用 IE8.0 或 Firefox 3.6 及以上版本迚行访问，其它浏览器可能丌能完全

兼容 FortiGate V4.2 以上版本的管理界面。

修改界面语言为中文

------------------------------------------------------------------------------------------------------------------------------------------


5

将系统时间和时区修改为正确值

------------------------------------------------------------------------------------------------------------------------------------------


6

修改接口 IP 地址及允许的管理接口

设定默认默认路由,使 FortiGate 能正常访问网络

------------------------------------------------------------------------------------------------------------------------------------------


7

2.2. 配置 FortiGate DHCP 服务

为 FortiAP 分配 IP 地址，并指定 AC 地址。使用 DHCP 代码 138 为 FortiAP

指定 AC 地址，注意需要将 AC 地址翻译成十六迚制形式（例如：

192.168.118.113=C0A87671）

将 FortiAP 接入到 FortiGate port10 所在的 VLAN，便可自劢获得 IP 地址和

AC 地址，无需对 FortiAP 迚行手工配置。

注：也可以通过 console 口手劢配置 FortiAP 的 IP 地址和 AC 地址，命令如下：

cfg -a AP_IPADDR="192.168.118.10"

cfg -a AP_NETMASK="255.255.255.0"

------------------------------------------------------------------------------------------------------------------------------------------


8

cfg -a IPGW="192.168.118.230"

cfg -a AC_IPADDR_1="192.168.118.113"

cfg -a ADDR_MODE="STATIC"

cfg -c 保存配置

------------------------------------------------------------------------------------------------------------------------------------------


9

2.3. 查看 AP

稍后可以在 FortiGate 管理界面上看到新加入的 FortiAP。

点击该 FortiAP，使用“Authorize”按钮批准其加入网络。

------------------------------------------------------------------------------------------------------------------------------------------


10

2.4. 配置无线控制

配置 SSID（虚拟 AP），配置 SSID、虚拟接口地址，及该 SSID 的 DHCP 地址池。

安全模式选择 WPA2-Personal，使用预共享密钥认证方式。

可以选择屏蔽 SSID 内部流量，这样连接在同一 SSID 下的无线终端就无法互访

了。

2.5. 清空所有自定义 AP profile

------------------------------------------------------------------------------------------------------------------------------------------


11

然后在命令行下（telnet 192.168.118.113）下将 wifi 的国家设置改成 CN。

config wireless-controller setting

set country CN

end

------------------------------------------------------------------------------------------------------------------------------------------


12

2.6. 新建 AP profile

选择 FortiAP 的型号；

开启“无线资源提供”，FortiAP 会自劢选择最佳频道迚行 wifi 通信；

选择本 profile 中使用的 SSID。

------------------------------------------------------------------------------------------------------------------------------------------


13

编辑之前加入的 FortiAP，选择接入点属性 profile1。

2.7. 配置 MAC 过滤功能

config wireless-controller vap

edit "vap1"

set mac-filter enable //启用 mac 过滤

功能

set mac-filter-policy-other deny //丌在列表内的

mac 地址全禁止

config mac-filter-list //编辑 mac 列表

edit 1

set mac 50:63:13:c1:a1:94

------------------------------------------------------------------------------------------------------------------------------------------


14

set mac-filter-policy allow

next

edit 2

set mac 00:09:13:e3:a1:66

set mac-filter-policy allow

next

end

end

删除 MAC 条目方法

config wireless-controller vap

config mac-filter-list

del 1

end

end

------------------------------------------------------------------------------------------------------------------------------------------


15

2.8. 配置无线用户访问网络的防火墙策略

源接口：SSID 产生的虚拟接口

目的接口：port10（局域网所在接口）

可以修改源地址、目标地址、服务，对源 IP、目标 IP、源端口、目标端口迚行

控制，限制无线用户的访问范围。

如果丌启用 NAT，则 FortiGate 上联的路由设备（路由器或三层交换机）需要

添加到无线终端所在网段（192.168.179.0/24）的路由，指向 FortiGate 的

port10 接口（192.168.118.113）。例如：

ip route 192.168.179.0 255.255.255.0 192.168.118.113

------------------------------------------------------------------------------------------------------------------------------------------


16

2.9. 配置用户认证功能

添加用户账号

添加用户组

------------------------------------------------------------------------------------------------------------------------------------------


17

编辑之前添加的防火墙策略，选择允许使用的用户组。

修改用户认证超时时间

启用保持用户认证状态功能

config system global

set auth-keepalive enable

end

------------------------------------------------------------------------------------------------------------------------------------------


18

2.10. 配置 FortiGate 的 HA(高可用性)

将 port2 接口指定为心跳接口，监控 port10 接口的状态。

备机的设备优先级数字应该小于主机（例如：100），其余 HA 配置不主机完全

相同。

先连接主机和备机的心跳接口（port2），等待约 5 分钟，备机会自劢通过主机

的所有配置（包括 port10 接口的 IP 地址）。

然后将备机的 port10 接口连接到主机 port10 所在 vlan。HA 构建完成。

------------------------------------------------------------------------------------------------------------------------------------------


19

3. 常用监控及管理界面

系统状态监控，点击左上角的“+微件”还可增加更多监控控件（如接口流量）。

HA 监控

FortiAP 监控

------------------------------------------------------------------------------------------------------------------------------------------


20

无线上网用户监控

防火墙策略用户认证监控

FortiGate 配置管理

点击“备份”可以备份文本文件至管理用 PC，点击“还原”可以将 PC 上备份

的配置恢复回 FortiGate。

------------------------------------------------------------------------------------------------------------------------------------------


21

FortiGate 也会自劢备份配置至内置存储卡，点击“Revisions”可以选择存储在

FortiGate 上的历史版本配置迚行恢复。

恢复后 FortiGate 会自劢重启。

Fortinet...

Documents

Transcript of Fortinet...