Fabric篇(6.0) 03. Fabric 与 FortiAP ❀ 飞塔 (Fortinet) 防火墙

　　【简介】Security Fabric加入了Root FortiGate和FortiSwitch后，我们再来试试FortiAP是不是也可以加入。

---

   FortiAP 接入 FortiSwitch

　　这里我们使用的是带POE功能的FortiSwitch 224D-POE交换机，因此可以直接给FortiAP供电。如果交换机不带POE功能，则需要单独给FortiAP供电。

　　① 将FortiAP接入FortiSwitch的Port1口，有红色标记的接口表示是POE供电。

  FortiAP 桥模式

　　在很多实际使用环境中，FortiAP都是当成无线交换机使用，直接使用内网地址。这里我看来看一看配置方法。

　　① 在本次环境中，FortiAP接入FortiSwitch交换机，而交换机所有接口默认使用vsw.FortiSwitch这个VLAN。登录防火墙，选择菜单【网络】-【接口】，选择汇聚口FortiSwitch下的vsw.FortiSwitch，点击【编辑】。

　　② 如果要识别FortiAP，需要在连接接口启用【CAPWAP】，击点【应用】。

　　③ 选择菜单【WiFi与交换机控制器】-【FortiAP管理】，经过等待后，防火墙会识别出FortiAP，状态为〖等待认证〗，选择FortiAP，点击【准许】。

　　④ 稍等片刻，FortiAP通过认证，显示状态为〖在线〗。

　　⑤ 选择菜单【WiFi与交换机控制】-【SSID】，选择【新建】-【SSID】。

　　⑥ 输入接口名称，流量模式选择【Bridge】，这种模式下不需要设置DHCP，用原有防火墙接口的DHCP就可以了。设置SSID和密码，点击【确认】。

　　⑦ 选择菜单【WiFi与交换机控制器】-【FortiAP配置文件】，可以看到识别FortiAP后就会有一个针对型号的默认配置文件，选择配置文件，点击【编辑】。

　　⑧ 可以根据个人习惯和爱好配置无线宽度与频道，手工选择SSID。

　　⑨ 搜索无线信号，可以看到刚刚建立的SSID。

　　⑩ 连接SSID后，可以看到获得了IP地址，这是由FortiSwitch默认VLAN里的DHCP分配的。

    FortiAP 隧道模式

　　FortiAP桥模式的好处就是可以象交换机一样无线直接接入内网，简单方便。缺点就是无法对无线单独进行安全管理，存在安全隐患。我们还可以将FortiAP配置成隧道模式，分配不同IP网段，由防火墙设置允许访问权限。

　　① 为了单独管理FortiAP，我们可以专门为FortiAP建立一个VLAN，选择菜单【网络】-【接口】，选择【新建】-【接口】。

　　② 输入接口名称，类型选择VLAN，接口选择连接交换机的汇聚口，设置一个VLAN ID，地址模式默认为自定义，输入IP地址，这个IP地址是VLAN的IP地址。由于需要识别FortiAP，访问方式启用CAPWAP，由于通常是给AP分配IP地址，因此这里启用DHCP服务器。

　　③ 下一步是给交换机连接FortiAP的接口分配VLAN，选择【WiFi与交换机控制器】-【可管理FortiSwitch】，点击交换机接口。

　　④ 将FortiSwitch中Port1接口的VLAN设置为VLAN-AP。

　　⑤ 将FortiAP的电源断开，再重新连接，稍过一会儿，就会在【临视器】-【DHCP监视器】中看到FortiAP已经重新获取了58网段的IP地址。也就是VLAN-AP分配的IP地址。

　　⑥ 由于前面已经认证过FortiAP，所以这里显示的状态是在线，如果设有认证的话，可以点击许可进行认证。

　　⑦ 选择菜单【WiFi与交换机控制器】-【SSID】，点击【新建】-【SSID】，新建一个SSID。

　　⑧ 这一次流量模式选择【Tunnel】，输入IP地址，默认启动DHCP，给无线访问分配IP地址。这里用了172网段以示区分。

　　⑨ 设置一个SSID和密码。

　　⑩ 将SSID加入FortiAP的默认配置文件中。

　　⑾ 如果要从无线登录入防火墙，还需要在该SSID的访问方式里启用HTTPS，通常是不启用的，避免无线设备访问防火墙。

　　⑿ 用笔记本电脑登录新建的SSID，可以看到获得的IP地址是172网段，和防火墙的接口192网段不同。

　　⒀ 用VLAN-AP的地址可以登录防火墙，这是因为VLAN-AP作为防火墙的虚拟接口存在。

　　⒁ 如果要访问防火墙的其它接口，例如Port4口上连接FortiAnalyzer，还需要建立一条允许SSID虚拟接口访问Port4口的策略。

　　⒂ 这样笔记本电脑就可以通过FortiAP—FortiSwitch—FortiGate—FortiAnalyzer了。

  Security Fabric 管理 FortiAP

　　由于FortiSwitch与FortiAP都不会产生日志，因此可以不需专门配置而加入Security Fabric。

　　① 选择菜单【Security Fabric】-【物理拓扑】，可以看到FortiAP已经加入了Security Fabric。

　　② 在拓扑中点击FortiAP，可以看到该AP的上详细信息。包括在网络中的位置 。

　　③ 鼠标右击FortiAP，弹出菜单中可以对AP进行取消授权、重启和升级操作。当管理的网络非常大，设备非常多的情况下，Security Fabric可以让我们更容易的管理设备。

 

                                                                             飞塔老梅子   QQ: 57389522

---