上次提到 [網管實作]Fortinet鐵三角實作-Fortigate與Fortiswitch的連動 1/2 這篇文章中我們利用 FortiGate 與 FortiSwitch 來做VLAN管理與設定,這次要補完FortiAP如何藉由FortiSwitch 去達成有效管理SSID 與VLAN 的關係,由於FortiAP算是需要一點技術上的理解,這邊我特別單獨開一個篇章來介紹 完成鐵三角最後一塊拼圖!
這次的主角FortiAP 24D,一樣在網路上購入約2K左右 畢竟過渡期的產品,不過以市面上的普遍無線路由器機種這個價錢都可以買到AX等級的AP了如果不是為了研究用途其實蠻不划算的,不過有各的好處啦!畢竟能整合VLAN與SSID的搭配的機器其實也不便宜,不過可以搭配第三方韌體 OpenWrt 可以讓市面上大部分的AP具有VLAN與SSID管理能力,不過這不是這次的主題下次我再來單獨講解 OpenWrt 韌體。
24D 具備 5個網孔(其中WAN具有POE功能)+USB
我將24D WAN連接至FortiSwitch第19Port。
接下來我們透過家用網路進行設定,記得連接所在介面CAPWAP的功能要啟用。
將FortiSwitch Port19 原生VLAN改成 上一步驟搭配的VLAN
這時候會抓到FortiAP 授權後等待上線
接著我們設定SSID 切分 VLAN 首先現在交換器上建立VLAN 這次我建立2種不同網路一個是WIFI上網 VLAN:101,另一個是IOT設備上網 VLAN:102 做區分。
接著我們到SSID 建立 2個 VLAN專用的廣播名稱
設定完後記得自動VLAN ID 要改成你要用到的VLAN ID 本次設定為101
VLAN101 VLAN102 都分別各自建立好自己專用的SSID了。
接著在FortiAP配置表選擇FortiAP 24D 這裡選擇你要使用的頻段(註:部分機種可以實現雙頻段,我這台比較陽春只能單頻XD)本次選擇5GHz,SSID 要選擇剛剛建立好的SSID,完成後再套用。
接者再回到交換器介面這裡在19Port上添加允許的VLAN,按照前面設定我放行101 102的ID。
設定好了!
接者可以拿手機測試可以看到剛剛設定好的SSID
測試都有取得IP!
記得開放政策
這樣就可以上網囉!
資安管理:
在企業無線網路環境我們會針對特定使用者進行訪問權限控制,這時候具有管理能力的鐵三角就能派上用場啦!我們這次使用RADIUS與NAS上面的本機管理者連動讓FortiAP使用NAS使用者權限驗證來訪問網路。
首先要再FortiGate 建立與 NAS 的RADIUS的認證
去SSID那邊修改安全模式,將模式改成WPA2企業認證改成剛剛建立好的RADIUS,完成後套用。
這時候再重新連線的時候就會出現要輸入使用者帳密,這邊就輸入NAS的帳密,出現憑證信任就信任。
NAS這邊出現授權成功囉,這樣裝置就可以上網囉
透過Fortinet 鐵三角組合就能完成一系列標準企業的網路規範而且都在統一介面完成,不但大幅減少佈署難度也能減少技術面上的需求性,在直覺上的設計Fortinet 真的做的很棒!~ 我是阿俊 謝謝大家觀看。
