新北教網

新北教網無線網路設定實作暨基礎無線行動箱設計研習會 中孚科技 李煒 106/06/27

課程大綱 1. 校園設備簡介 2. 防火牆使用介紹 3. 無線 AP 運作介紹 4. 故障排除 5. 高可用性介紹 6.EZ-WP3000 7.Q&A 2

校園設備簡介

行動箱設備介紹 Fortigate60D FortiAP221C AP adapter Synology NAS 投影裝置 4

5 教網中心端註冊畫面

6 校園展示畫面

7 單一 AP 註冊數量

8 單一 AP 註冊數量

防火牆使用介紹

10 Console 設定

11 Console Login

管理頁面登入 連接第一埠與電腦並開啟瀏覽器 網址列輸入 https://10.231.56.x 預設登入帳號 admin, 密碼 空白 ) 行動箱管理頁面為 https://192.168.110.254 登入帳號 :admin 密碼 :!QAZ2wsx 12

13 儀表板概觀

系統資訊 1. 2. 3. 4. 5. 1. 設定設備名稱 2. 設定系統時間 3. FortiOS 版本 4. 設定備份及恢復 5. 檢視系統已開機時間 14

管理者新增

設備管理者 選單路徑 System>Admin>Administrators 1. 2. 3. 1. 管理者名稱 2. 限定管理 IP 3. 管理者範本 16

新增管理者 1 2 3 4 1. 管理者帳號名稱 2. 管理者密碼 3. 管理者權限範本 4. 管理者限定登入 IP 17

管理者權限範本 選單路徑 System>Admin>Admin Profiles 18

管理者範本 1 2 3 1. 管理者範本名稱 2. 預設權限類型 3. 可管理項目 19

實機操作 - 唯讀管理者新增 1. 建立管理者帳號 2. 唯讀權限範本建立 3. 權限範本套用與帳號 IP 綁定 20

實機操作 - 管理者新增 新增管理者帳號與密碼 無唯讀權限範本 21

實機操作 - 唯讀權限範本 管理範本名稱 選擇唯讀權限 22

實機操作 - 唯讀權限與 IP 綁定 套用唯讀權限範本 綁定管理者帳號 IP 23

防火牆規則

25 防火牆規則設定

26 進出介面

介面說明 1. 2. 3. 4. 1. 介面狀態 2. 介面名稱 3. IP 位址 4. 開放存取 27

28 編輯介面

29 Vlan 介面

30 路由設定

路由設定 選單路徑 Router>Static>StaticRoutes 點選 Create New, 進入新增畫面 31

新增路由 1. 目的位置網段, 往 Next Hop 轉送的 IP 資訊 2. 出口介面,Next Hop 所在的設備介面 3. 出口匝道,Next Hop 的 IP 位址 32

33 網路物件

IP 與網段物件 選單路徑 Policy&Objects>Objects>Address 34

新增網路物件 1.IP 分類 2. 物件名稱 3. 物件類型 4.IP 網段 1 2 3 4 35

服務埠物件 選單路徑 Policy&Objects>Objects>Services 36

新增服務埠 1. 服務物件名稱 2. 服務物件分類 3. 服務協定類型 4. 服務埠 1 2 3 4 37

38 規則組合

39 防火牆規則概觀

防火牆規則建立 1. 來源介面 起始連線的主機所在介面 2. 來源 IP 位址 可限定來源 IP 位址發起連線 3. 目的介面 目的主機的所在介面 4. 目的 IP 位址 連線至目的 IP 位址 5. 連線的服務類型 連線至特定服務 6. 採取的行動 允許或是阻擋連線行為 7. Syslog 紀錄 紀錄連線資訊或紀錄事件 8. 規則開啟或關閉 40

實機操作 - 防火牆規則建立 1. 新增 IP 物件 2. 新增防火牆規則 允許對外存取 阻擋網頁存取 3. 調整防火牆規則順序 4. 開啟與關閉防火牆規則 41

實機操作 - 新增 IP 物件 點選左上角 Creat New 42

實機操作 - 新增 IP 物件 輸入物件名稱 輸入 IP 位址 43

實機操作 - 規則新增 預設防火牆規則 44

實機操作 - 規則新增 選擇 PC 連接介面選擇新增的 IP 物件 選擇教網介面選擇全部 選擇全部 允許存取 45

實機操作 - 規則新增 完成第一筆規則新增 請測試 PC 是否可以上網 46

實機操作 - 規則新增 選擇 PC 連接介面選擇新增的 IP 物件 選擇教網介面選擇全部 選擇 HTTP 與 HTTPS 阻檔存取 47

實機操作 - 規則新增 完成第二筆規則新增 請測試 PC 是否可以上網 48

實機操作 - 規則順序調整 將第二筆規則拖拉至第一筆上方 請測試 PC 是否可以上網 49

實機操作 - 啟用或關閉規則 右鍵點選規則 選擇關閉 50

實機操作 - 啟用或關閉規則 防火牆規則關閉 51

系統訊息查閱

事件紀錄 選單路徑 Log&Report>EventLog>System 53

54 訊息設定

無線 AP 運作介紹

無線網路種類 常見的無線數據網路有 : 無線區域網路 (Wi-Fi) 無線個人網路 ( 紅外線 藍芽 ) 無線都會網路 ( 全球互通微波存取 WiMAX) 無線射頻通訊 (RFID NFC) 衛星網路 56

WiFi Wi-Fi 的標準 : IEEE 802.11 IEEE 802.11b IEEE 802.11a IEEE 802.11g IEEE 802.11n 57

無線佈署方式 分散式架構 (FAT AP) 集中式架構 (Thin AP) 符合業界標準 802.11 a/b/g/n for connectivity WPA2 for stronger security 業界最佳效能 投資保障 集中管理 動態無線資源管理 進階的網路安全安全的訪客網路無線入侵防禦偵測 Mobility 移動服務 Wi-Fi 無線語音服務定位服務 AP AP WLAN Controller AP AP AP AP AP AP AP AP 58

集中式無線網路架構圖 CAPWAP Control And Provisioning of Wireless Access Points Protocol Specification 59

60 無線網路設定

61 啟動 AP 管理

62 啟動介面管理 AP

63 新增 SSID

64 新增 SSID

新增 SSID 1.SSID 名稱 2. 流通模式 3. 無線網路介面 IP 4.DHCP 派發設定 65

新增 SSID 5.SSID 認證設定 66

SSID 額外項目 開放式 SSID config wireless-controller vap edit [SSID] set security open end 國別設定 config wireless-controller setting set country TW end FGT(setting) # end This operation will also clear channel settings of all the existing wtp profiles. Do you want to continue? (y/n) y 67

68 AP 管理範本

69 無線 AP 管理範本

無線 AP 管理範本 1. 範本名稱 2.AP 型號 3. 使用頻段 4.SSID 70

71 授權無線 AP

授權無線 AP 1. 正常授權狀態 2. 未授權狀態 72

授權無線 AP 右鍵點選 Authorize 進行授權 73

FortiAP 設定 使用瀏覽器連結 AP 輸入 IP:192.168.1.2 Name:admin Password 空白 74

FortiAP 設定 1.AP 介面設定 2.Controller IP 設定 75

行動箱網路架構圖 SSID( 上網用 ) 1.NTPC_MLearing 2.NTPC-Mlearing4G Internet 教網中心 Fortigate3950 Internet Internet SSID( 存取教網資源 ) 1.NTPC-M 2.NTPC-MLearing 3.NTPC-Mobile 4.NTPC-WPA2-M 行動箱 Fortigate60D 投影裝置 Synology FortiAP FortiAP 76

NTPC-MLearning 192.168.231.254 163.20.231.6 Internet 163.20.231.2 Internet FGT3950 FGT3040 Router Wan2 FGT60D 192.168.110.254 NTPC- MLearning AP User 77

NTPC-MLearning4G 192.168.231.254 163.20.231.6 Internet 163.20.231.2 Internet FGT3950 FGT3040 Router Moden FGT60D 192.168.120.254 NTPC- MLearning4G AP User 78

NTPC Internet 192.168.231.254 163.20.231.6 163.20.231.2 Internet FGT3950 FGT3040 Router Wan2 FGT60D 192.168.231.254 NTPC AP User 79

故障排除

81 Event log

82 Debug Command

83 Debug Command Example

參考網站 FortiGate Knowledge Base Libary http://kb.fortinet.com/kb/microsites/microsite.do FortiGate Technical Document http://docs.fortinet.com/fgt.html FortiGate Treat Center http://www.fortiguard.com/ FortiGate Support(Tools Firmware) https://support.fortinet.com/login/userlogin.aspx 84

高可用性介紹

高可用性介紹 平時只有一台 FG(Master) 處理網路流量, 另一台 (Slave) 僅作同步參數用 ( 如設定等 ); 只有在 Master 的界面狀態有異動, 亦或其離線時,Slave 才會上線接手 Active-Passive- Active-Active- 不同於 A-P 模式下, 會有一台 FG 是閒置的 ;HA Cluster 下的兩台設備, 同時間皆會處理網路流量 86

高可用性介紹 流量經由 Active Unit uplink 交換器轉發, 透過 FGCP 協定產生虛擬 Mac Address (00-09-0f-xx-cluster group number-port number) 來作二層回應需求, 而 standby unit 作為待命設備不主動作回應 FGCP 判定條件 : (default ha override is disable) 1. Port Monitor ( 取決於 Active Monitor interface 為 Cluster Master) 2. HA Age Time ( 開機存活時間, 若差異小於 5min, 則忽略此項 ) 3. Priority ( 較大者 Cluster Master) 4. S/N ( 較大者為 Cluster Master) Active-Passive 正常工作下 87

高可用性介紹 若發生 Active Unit 故障, 透過 FGCP 協定於一秒內完成 Active-Passive 切換動作, 此時 Active role 會由 standby unit 接手 (Lost Heartbeat Packet in interval time,default is 200ms), 防火牆服務不會中斷 為避免重新連線的情形, 需 Enable Session Pick-up, 同步設備間的連線資訊 支援 A-A 與 A-P 模式中所有非 UTM 的流量類型 此時由 Standby Unit 繼續提供服務, 不會造成中斷情形 Active-Passive 電源斷電或設備故障 88

設定防火牆 HA 功能 1.HA 模式選擇 Active/Active 或 Active/Passive 2. 設備權重值 數值大者為 Active 3.HA 群組名稱 4.Session Pick-UP 5.HeartBeat 介面指定 6. 監控介面選擇 89

設定防火牆 HA 功能 90

EZ-WP3000

EZ-WP3000 設定畫面如圖, 使用 EZcontrol 程式或遙控器操作 點選右邊 Setting 修改網路設定 92

EZ-WP3000 右上角四個狀態圖示 遙控器啟用圖示 : 預設為開啟, 可至 Setting Lan EZ Remote 關閉 區域網路啟用圖示 : 連接 RJ-45 有線網路時會顯示圖示 無線 Dongle 啟用圖示 :USB 連接無線 Dongle 時會顯示圖示 連接無線網路啟用圖示 : 預設為關閉, 於 Setting WiFi 開啟功能 93

94 進入區域網路

95 選擇 手動 設定

96 主畫面確認 IP 是否正確

Windows 電腦連線操作 於 aircast 等待連線的畫面, 開啟任一網頁瀏覽器 有線網路 : 輸入至圖中紅框所顯示的 Lan IP 位置 ( 需位於同一網段 ) 無線網路 : 使用 WiFi 連線至 EZ BOX 後 ( 預設密碼為 87654321), 輸入預設 IP 位置 (192.168.111.1) 97

98 示意圖

下載方式 進入 EZ Box 內置網站程式下載頁面 (Lan 地址 ), 下載 Windows 版 aircast 程式, 亦可至網站 (http://www.konzesys.com/aircast_downlo ad.html) 下載 99

100 內置網站

101 官方網站

自動搜尋 安裝完後執行 aircast 程式 ( 自動搜尋 ), 出現輸入登入密碼視窗, 請輸入 aircast 等待連線的畫面中 PassCode 四位數字 102

畫面分割 登入後會將目前電腦畫面同步輸出至輸出裝置, 可於右邊分割螢幕中選擇分割, 有單畫面 (ALL) 雙畫面 (L R) 以及四分割 (1 2 3 4) 103

畫面模式 鏡像模式 : 將電腦畫面同步輸出至螢幕上 延伸模式 : 將電腦畫面做延伸至螢幕上 退出 : 離開程式 104

畫面類型 Video: 為影片直接傳輸, 頻寬流量較大 Graphic: 為擷取畫面為圖片傳輸, 頻寬流量較小 相容模式 :Windows Aero 色彩配置相容性 音效串流 : 控制聲音是否傳輸 105

手持裝置連線操作 Android 系統請至 Play Store,Apple 系統請至 App Store 免費下載 aircast 開啟 aircast, 選擇要連線的 EZ Box 後, 出現輸入登入密碼視窗, 請輸入 aircast 等待連線的畫面中 PassCode 四位數字 Android 版手機畫面 iphone 版手機畫面 106

登入後有七個功能選項 : 照片 ( 影像 ): 開啟圖片後畫面會投影至輸出裝置 Android 版直接開啟相簿選擇圖片 Apple 版點選按鍵後開啟相簿選擇圖片 107

圖片工具 點選圖片中筆型工具可進入白板模式, 可在圖片中書寫, 亦可選擇筆畫粗細 顏色 透明度 橡皮擦功能及存檔成 圖片 Android 版手機畫面 iphone 版手機畫面 108

開啟文件投影至輸出裝置 Android 版開啟檔案總管選擇文件 Apple 版直接顯示裝置中可支援文件 109

文件工具 點選文件中筆型工具可進入白板模式, 可在文件中書寫, 亦可選擇筆畫粗細 顏色 透明度 橡皮擦功能及存檔成圖片 Android 版手機畫面 iphone 版手機畫面 110

Q&A