FortiGate 无线 AP 初始安装指南 版本 1.0 时间 支持的版本 2018 年 9 月 FortiGate-51E v6.0.2,build0163,180725 (GA) FortiAP-221C v6.0,build0021,180830 (GA) 作者 状态 反馈 夏苗青 待审核 support_cn@fortinet.com
目录 简介... 3 1. FAP 快速上线... 4 1.1. 防火墙端口开启 CAPWAP... 4 1.2 配置正确的 FortiAP 网络参数... 4 1.2.1 FAP IP 地址设置... 4 1.2.2 配置 FAP 发现防火墙方式... 5 1.3 许可 AP 上线... 10 2. 配置上线的 FAP... 11 2.1 SSID 配置... 11 2.1.1 集中转发 SSID 配置... 11 2.1.2 本地转发的 SSID 配置... 13 2.2 WTP-Profile 配置... 13 2.3 将 WTP-Profile 分配给 FAP... 15 3. 管理和维护 FAP... 16 3.1 FAP 的在线状态查看... 16 3.2 FAP 升级... 16 3.3 接入的无线用户信息查看... 17 3.4 无线网络状态检查... 17 4. FAP 常见上线问题... 18 4.1 FAP 无线上线... 18 4.2 无线终端接入问题... 18 Fortinet 公司第 2 页 / 共 19 页 www.fortinet.com.cn
简介 防火墙可以直接管理 FAP 是 Fortinet 无线的一个很大的优势, 用户在已经部署了防火墙的情况下, 只需要再购买 FortiAP 就可以直接部署无线网络了, 不需再购买无线 AP 的专用控制器和 AP 管理的 license, 非常方便 ; 本文详细介绍了在已经部署 Fortinet 防火墙的情况下, 快速部署基于 FortiAP 的无线网络. Fortinet 公司第 3 页 / 共 19 页 www.fortinet.com.cn
1. FAP 快速上线 FAP 和防火墙之间是走的 CAPWAP 协议, 报文类型为 UDP 端口 5246 和 5247. FAP 如果要被防火墙管理需要配置以下几个方面. 1.1. 防火墙端口开启 CAPWAP 防火墙如果要管理 FAP 必须要在防火墙上选择一个接口, 使用这个接口来 管理 FAP, 这个接口必须要配置 IP 地址并且开启 CAPWAP 协议. 1.2 配置正确的 FortiAP 网络参数 FortiAP 必须要有正确的 IP 地址, 并且能够跟防火墙上管理 FAP 的接口能够进行 ip 通讯, 并且至少放开 UDP 端口 5246 和 5247. 1.2.1 FAP IP 地址设置对于一个新的 FortiAP, 默认的 IP 地址为 192.168.1.2, AP 启动后, 会尝试通过 DHCP 获取 IP 地址, 如果获取 IP 地址失败, 则 AP 的 ip 地址为 192.168.1.2. AP 默认开启了 Telnet 和 http 访问, 如果要配置 AP 使用静态 IP 地址, 可以登录到 AP 的 http 页面进行修改, AP 默认用户名 admin, 没有密码. Fortinet 公司第 4 页 / 共 19 页 www.fortinet.com.cn
下图为 AP 的 http 登录页面 : Address Mode: 配置 AP 静态 IP 地址或是通过 DHCP 获取 IP 地址. Management VLAN ID: 配置 AP 的管理 VLAN, 默认是 0, 建议不要修改此值, 如果要配置 AP 的管理 vlan, 可以在 AP 连接的交换机上, 配置交换机端口的 Native vlan 为 AP 的管理 vlan. DNS Server IP: 配置 AP 使用静态 IP 地址时的 DNS Server. Local IP Address: 配置 AP 使用的静态 IP 地址 Local Network Mask: 配置 AP 使用静态 IP 地址时的子网掩码 Gateway IP: 配置 AP 使用静态 IP 地址时的网关 1.2.2 配置 FAP 发现防火墙方式 FAP 上线管理是 FAP 主动发起的, 所以 FAP 要被防火墙管理的前提是 FAP 要知道防火墙接口的 IP 地址信息, FAP 有多种发现防火墙的方式 (AC Discovery Type). Fortinet 公司第 5 页 / 共 19 页 www.fortinet.com.cn
AC Discovery Type: 通常我们使用比较多的是下面三种方式 : Auto: 默认为 auto 模式, 即依次尝试后面的 6 中方式去发现 AP. Static: 即在 AP 上手动指定防火墙接口 IP 地址. DHCP: 即当 FAP 通过 DHCP 获取 IP 地址时, 可以在 DHCP Server 上配置 DHCP Option138, 通过 option 138 参数从 DHCP server 下发防火墙的 IP 地址信 息给 FortiAP. i. Windows Server 上配置 DHCP Option138 示例 : Fortinet 公司第 6 页 / 共 19 页 www.fortinet.com.cn
Fortinet 公司第 7 页 / 共 19 页 www.fortinet.com.cn
Fortinet 公司第 8 页 / 共 19 页 www.fortinet.com.cn
ii. 防火墙上配置 DHCP Option 138 Fortinet 公司第 9 页 / 共 19 页 www.fortinet.com.cn
注意 : 如果 FortiAP 直接接入防火墙并且 AP 从防火墙获取 IP 地址, 则不需要在 AP 侧手动做任何配置, 如果 AP 和防火墙不在一个网段, 则通过 DHCP Option138 的模式来管理 AP, 也不需要在 AP 侧手动做任何配置. 1.3 许可 AP 上线 FAP 获得防火墙的 IP 地址信息后, 会主动向防火墙发起上线请求, 防火墙收 到 FAP 的上线请求后会显示 : 此时可以手动授权 AP, 即允许 AP 上线 : 也可自动授权 AP 上线, 在防火墙的管理 AP 的接口下 : 授权 AP 后, AP 就上线了, AP 默认使用 default 的 profile: Fortinet 公司第 10 页 / 共 19 页 www.fortinet.com.cn
2. 配置上线的 FAP FAP 上线后, 需要对 FAP 进行配置, FAP 的配置一般分为 3 步 : 第一步 : 配置 SSID 第二步 : 配置 WTP-Profile, 并且在 WTP-Profile 里面调用配置的 SSID. 第三步 : 分配配置好的 WTP-Profile 给 FAP 2.1 SSID 配置 SSID 分为两种类型, 集中转发和本地转发. 集中转发 : 无线用户数据由 FAP 先通过 CAPWAP 通道转发到防火墙, 然后防火墙转发数据流量. 本地转发 : 无线用户数据由 FAP 直接转发给连接的交换机, 由交换机直接转发无线用户上网数据流量. 2.1.1 集中转发 SSID 配置创建 SSID 时, 选择数据流量模式为集中转发, 并配置无线 SSID 接口 IP 地址相关. 注意 : 如果要开启无线 Portal 认证, 则必须配置无线 SSID 为集中转发模式. Fortinet 公司第 11 页 / 共 19 页 www.fortinet.com.cn
集中转发的 SSID, 一般配置防火墙的无线 SSID 接口开启 DHCP 服务, 为无线用 户分配 IP 地址. 然后配置无线用户的认证和加密 : 注意, 系统默认不支持 Open 的安全模式, 可在下面的页面开启 : Fortinet 公司第 12 页 / 共 19 页 www.fortinet.com.cn
2.1.2 本地转发的 SSID 配置本地转发的 SSID 配置不需配置无线接口的 IP 地址和开启 DHCP Sever 服务, 因为配置本地转发时,AP 相当于一个二层桥接设备, 直接将用户数据转发给连接的交换机, 由交换机转发数据. 2.2 WTP-Profile 配置 创建 wtp-profile: Fortinet 公司第 13 页 / 共 19 页 www.fortinet.com.cn
配置 wtp-profile: 注意 : 在上面的 Administrative Access 部分可以配置 AP 在被防火墙管理后, 是否开启 AP 的管理访问 ; FAP 在没有被防火墙管理的情况下, 可以通过 Telnet 或 http 访问 FAP, 在 FAP 被防火墙管理后, 如果没有手动开启 FAP 的访问, 则默认关闭 FAP 的访问. AP Radio 配置 : Fortinet 公司第 14 页 / 共 19 页 www.fortinet.com.cn
2.3 将 WTP-Profile 分配给 FAP 选中管理的 AP, 点击右键, 然后选择配置的 wtp-profile 分配给 FAP. 至此无线的基本配置已经完成. 注意 : 如果是配置的集中转发的 SSID, 因为是防火墙转发数据, 所以需要在防火 墙上配置一个无线接口到 Internet 出口的策略, 比如 : Fortinet 公司第 15 页 / 共 19 页 www.fortinet.com.cn
3. 管理和维护 FAP 3.1 FAP 的在线状态查看 FAP 有以下三种状态 : 在线未授权 : 在线状态 : AP 在线时, 在上面的页面可以查看在线的 AP 的版本, AP 无线的 SSID 信号, 以 及 AP 的信道和每个频段的无线接入用户数, 同时还可以查看 AP 的版本 离线状态 : 3.2 FAP 升级 AP 在线时, 可以选择一个和多个 AP 点击右键选择升级 : Fortinet 公司第 16 页 / 共 19 页 www.fortinet.com.cn
AP 升级后会自动重启并运行升级后的新版本. 3.3 无线用户信息查看在下面的页面可以查看接入的无线终端信息, 可以查看到终端接入的 AP 的信息, 以及无线终端的 MAC 地址, IP 地址, 信号强度, 和接入时间等信息. 3.4 无线网络状态检查 在下面的页面可以查看整个无线网络的健康状态信息, 综合地看 AP 和无 线 client 的相关信息 : Fortinet 公司第 17 页 / 共 19 页 www.fortinet.com.cn
4. FAP 常见上线问题 4.1 FAP 无线上线如果 FAP 无法上线, 可以从以下几个方面进行检查 i. 检查 FAP 是否正确获取到 IP 地址, 如果无法登录到 FAP 或是无法确认 FAP 的 IP 地址信息, 可以通过按 FAP 的 reset 钮超过 5 秒钟来复位 FAP. ii. iii. iv. Telnet 到 FAP 上, 然后 ping 防火墙接口地址, 检查与防火墙的链路 http 登录到 FAP 的管理页面, 检查 FAP 的相关配置是否正确 检查防火墙的时间是否正确 v. 检查防火墙接口是否开启 CAPWAP vi. 检查防火墙和 AP 的版本是否匹配, Fortinet 无线不要求防火墙和 FAP 的版本一定要一致, 具体版本要求可查看版本 release notes. vii. 可以根据 AP 的 LED 灯来判断 AP 状态, 具体可查看 FAP 的使用手册, 下 图为 FAP221C 的 LED 灯说明 : 4.2 无线终端接入问题 Fortinet 公司第 18 页 / 共 19 页 www.fortinet.com.cn
如果无线终端无法接入或是无法上网, 可以从以下几个方面分析 : i. 检查无线是否配置正确, 包括认证 / 加密 /VLAN 的设置 ii. iii. iv. 确认是个别终端问题还是所有终端都有问题 在防火墙上查看终端的信号强度是否非常弱 终端是否获取到正确的 IP 地址和网关 v. 终端是否能 ping 通网关和 DNS server vi. vii. 检查 FAP 的状态是否正确 检查防火墙上相关配置比如转发策略等是否正确 Fortinet 公司第 19 页 / 共 19 页 www.fortinet.com.cn