国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

Tags：Fortinet(23)無(wú)線網(wǎng)絡(luò)(79)安全方案(17)　　

　　1、概述：

　　Fortinet網(wǎng)絡(luò)接入及安由以下兩類設(shè)備組成：

　　AC(接入控制器)及安全：FortiGate

　　AP(Wifi接入點(diǎn))：FortiAP

　　2、簡(jiǎn)要配置步驟

　　1、FortiGate 620B默認(rèn)管理地址為https://192.168.1.99(Port1);

　　用戶名：admin

　　密碼：無(wú)

　　建議使用.0或Firefox 3.5及以上版本進(jìn)行訪問(wèn)，其它可能不能完全兼容FortiGate V4.2以上版本的管理界面。

　　2、修改界面語(yǔ)言為中文

　　3、將系統(tǒng)時(shí)間和時(shí)區(qū)修改為正確值

　　這一點(diǎn)很重要，我遇到這種情況，F(xiàn)ortiGate 51B主板電池沒(méi)電了，斷電后，時(shí)間就變成1999年，啟動(dòng)后，F(xiàn)ortiAP就無(wú)法正常與FortiGate建立連接。

　　4、修改接口IP地址及允許的管理接口

　　5、修改默認(rèn)路由，使FortiGate能正常訪問(wèn)網(wǎng)絡(luò)

　　6、配置FortiGate的DHCP服務(wù)，為FortiAP分配IP地址，并指定AC地址。使用DHCP代碼138為FortiAP指定AC地址，注意需要將AC地址翻譯成十六進(jìn)制形式(例如：192.168.118.113=C0A87671)

　　將FortiAP接入到FortiGate port10所在的VLAN，便可自動(dòng)獲得IP地址和AC地址，無(wú)需對(duì)FortiAP進(jìn)行手工配置。

　　注：也可以通過(guò)console口手動(dòng)配置FortiAP的IP地址和AC地址，命令如下：

　　cfg -a AP_IPADDR="192.168.118.10"

　　cfg -a AP_NETMASK="255.255.255.0"

　　cfg -a IPGW="192.168.118.230"

　　cfg -a AC_IPADDR_1="192.168.118.113"

　　cfg -a ADDR_MODE="STATIC"

　　cfg -c 保存配置

　　7、稍后可以在FortiGate管理界面上看到新加入的FortiAP。

　　點(diǎn)擊該FortiAP，使用“Authorize”按鈕批準(zhǔn)其加入網(wǎng)絡(luò)。

　　8、配置SSID(虛擬AP)，配置SSID、虛擬接口地址，及該SSID的DHCP地址池

　　安全模式選擇WPA2-Personal，使用預(yù)共享密鑰認(rèn)證方式。

　　可以選擇屏蔽SSID內(nèi)部流量，這樣連接在同一SSID下的無(wú)線終端就無(wú)法互訪了。

　　9、清空所有自定義AP profile

　　然后在命令行下(telnet 192.168.118.113)下將wifi的國(guó)家設(shè)置改成CN。

　　config wireless-controller setting

　　set country CN

　　end

　　10、新建AP profile

　　選擇FortiAP的型號(hào);

　　開(kāi)啟“無(wú)線資源提供”，F(xiàn)ortiAP會(huì)自動(dòng)選擇最佳頻道進(jìn)行wifi;

　　選擇本profile中使用的SSID。

　　11、編輯之前加入的FortiAP，選擇接入點(diǎn)屬性profile1。

　　12、配置過(guò)濾功能

　　config wireless-controller vap

　　edit "vap1"

　　set mac-filter enable //啟用mac過(guò)濾功能

　　set mac-filter-policy-other deny //不在列表內(nèi)的mac地址全禁止

　　config mac-filter- //編輯mac列表

　　edit 1

　　set mac 50:63:13:c1:a1:94

　　set mac-filter-policy allow

　　next

　　edit 2

　　set mac 00:09:13:e3:a1:66

　　set mac-filter-policy allow

　　next

　　end

　　end

　　刪除MAC條目方法

　　config wireless-controller vap

　　config mac-filter-list

　　del 1

　　end

　　end

　　13、配置無(wú)線用戶訪問(wèn)網(wǎng)絡(luò)的防火墻策略

　　源接口：SSID產(chǎn)生的虛擬接口

　　目的接口：port10(所在接口)

　　可以修改源地址、目標(biāo)地址、服務(wù)，對(duì)源IP、目標(biāo)IP、源端口、目標(biāo)端口進(jìn)行控制，限制無(wú)線用戶的訪問(wèn)范圍。

　　如果不啟用NAT，則FortiGate上聯(lián)的路由設(shè)備(或三層)需要添加到無(wú)線終端所在網(wǎng)段(192.168.179.0/24)的路由，指向FortiGate的port10接口(192.168.118.113)。例如：

　　ip route 192.168.179.0 255.255.255.0 192.168.118.113

　　14、配置用戶認(rèn)證功能

　　添加用戶賬號(hào)

　　添加用戶組

　　編輯之前添加的防火墻策略，選擇允許使用的用戶組。

　　修改用戶認(rèn)證超時(shí)時(shí)間

　　啟用保持用戶認(rèn)證狀態(tài)功能

　　config system global

　　set auth-keepalive enable

　　end

　　15、配置FortiGate的HA(高可用性)

　　將port2接口指定為心跳接口，監(jiān)控port10接口的狀態(tài)。

　　備機(jī)的設(shè)備優(yōu)先級(jí)數(shù)字應(yīng)該小于主機(jī)(例如：100)，其余HA配置與主機(jī)完全相同。

　　先連接主機(jī)和備機(jī)的心跳接口(port2)，等待約5分鐘，備機(jī)會(huì)自動(dòng)通過(guò)主機(jī)的所有配置(包括port10接口的IP地址)。

　　然后將備機(jī)的port10接口連接到主機(jī)port10所在vlan。HA構(gòu)建完成。

　　16、常用監(jiān)控及管理界面

　　系統(tǒng)狀態(tài)監(jiān)控，點(diǎn)擊左上角的“+微件”還可增加更多監(jiān)控控件(如接口流量)。

　　HA監(jiān)控

　　FortiAP監(jiān)控

　　用戶監(jiān)控

　　防火墻策略用戶認(rèn)證監(jiān)控

　　17、FortiGate配置管理

　　點(diǎn)擊“備份”可以備份文本文件至管理用PC，點(diǎn)擊“還原”可以將PC上備份的配置恢復(fù)回FortiGate。

　　FortiGate也會(huì)配置至內(nèi)置卡，點(diǎn)擊“Revisions”可以選擇存儲(chǔ)在FortiGate上的歷史版本配置進(jìn)行恢復(fù)。

　　恢復(fù)后FortiGate會(huì)自動(dòng)重啟。

　　3、同一SSID內(nèi)漫游

　　同一SSID可以跨越多個(gè)AP，無(wú)線客戶端可以在同一SSID無(wú)縫地切換到不同的AP上，而會(huì)話不會(huì)中斷。

　　測(cè)試可以采用關(guān)掉某個(gè)當(dāng)前連接的AP方式來(lái)測(cè)試。如果跨區(qū)域來(lái)測(cè)試的話，需要的很大的空間：)，信號(hào)降低得很弱的時(shí)候才能切換。

　　通過(guò)圖形界面和命令行看到無(wú)線客戶端所連接的FortiAP。

　　diag wireless-controller wlac -c sta

　　STA mac : 00:26:c6:76:54:44

　　authed : yes

　　wtp : 0-192.168.118.4:5246

　　rId : 0

　　aId : 1

　　wId : 0

　　bssid : 00:09:0f:d6:ba:92

　　cap : 0031

　　4、AC的冗余

　　4.1 基于防火墻的HA實(shí)現(xiàn)AC的冗余

　　利用FortiGate的HA功能來(lái)實(shí)現(xiàn)AC的冗余。FortiGate HA集群中的設(shè)備根據(jù)設(shè)備優(yōu)先級(jí)的大小協(xié)商產(chǎn)生主機(jī)和備機(jī)，優(yōu)先級(jí)高的設(shè)備成為HA組中的主機(jī)，優(yōu)先級(jí)低的設(shè)備成為HA組中的備機(jī)。主機(jī)和備機(jī)具有完全相同的接口地址、完全相同的配置。

　　主機(jī)和備機(jī)的配置通過(guò)心跳線實(shí)時(shí)同步，管理員的配置針對(duì)整個(gè)HA集群，無(wú)需單獨(dú)配置每一臺(tái)設(shè)備。主機(jī)和備機(jī)的相應(yīng)接口具有完全相同的IP地址，并使用同一個(gè)虛擬MAC地址，在發(fā)生故障切換時(shí)不會(huì)產(chǎn)生IP或問(wèn)題。

　　當(dāng)主機(jī)的任意接口或設(shè)備本身發(fā)生故障時(shí)，產(chǎn)生HA設(shè)備切換，主機(jī)變?yōu)閟tandby狀態(tài)，備機(jī)變?yōu)閣ork狀態(tài)，自動(dòng)接替主機(jī)工作。由于會(huì)話狀態(tài)均在主備機(jī)之間同步，因此所有訪問(wèn)自動(dòng)切換到備機(jī)上進(jìn)行，所有已建立會(huì)話無(wú)需重新連接。

　　注意事項(xiàng)：當(dāng)兩個(gè)FortiGate處于HA狀態(tài)時(shí)，關(guān)于AP的配置信息是同步的，但是AP當(dāng)前注冊(cè)的狀態(tài)是不同步的，也就是說(shuō)，當(dāng)AC切換時(shí)，AP需要重新注冊(cè)。這個(gè)過(guò)程是自動(dòng)完成的。當(dāng)FortiGate發(fā)生切換后，雖然FortiGate很快就能切換完成，但是AP還是需要等很長(zhǎng)時(shí)間才能注冊(cè)到新的FortiGate上。另外客戶端PC的連接信息也同樣在FortiGate也是不同步的，也需要重新注冊(cè)到新的FortiGate。客戶端從切換開(kāi)始到到正常工作需要幾分鐘。

　　如果要提高這個(gè)切換速度，可以采用以下步驟：

　　1、提高設(shè)置AC檢測(cè)AP的頻率，在FortiGate上設(shè)置：

　　config wireless-controller timers

　　set echo-interval 30 ------檢測(cè)間隔

　　end

　　2、無(wú)線客戶端設(shè)置為靜態(tài)IP地址，免去了重新獲得IP地址的過(guò)程。

　　3、如果主FortiGate切換到備設(shè)備，其原有的AP注冊(cè)信息和無(wú)線終端信息仍舊可以保留一段時(shí)間，也就是說(shuō)當(dāng)備設(shè)備在短時(shí)間內(nèi)切換回來(lái)的話，主設(shè)備很快就能正常工作，這個(gè)時(shí)間可以低于一分鐘。

　　4.2 基于AP配置多個(gè)AC實(shí)現(xiàn)AC的冗余

　　AP可以配置多個(gè)AC ，當(dāng)它無(wú)法正常連接第一個(gè)AC時(shí)，可以自動(dòng)地連接第二個(gè)AC。

　　該功能需要在AP上指定：

　　cfg –a AC_DISCOVERY_TYPE=1

　　cfg -a AC_IPADDR_1="192.168.11.2"配置第一個(gè)AC

　　cfg -a AC_IPADDR_2="192.168.11.1"配置第二個(gè)AC

　　cfg –c 保存配置

　　這里值得注意的一點(diǎn)是，當(dāng)以上完成一項(xiàng)配置后，會(huì)出現(xiàn)以下提示

　　restarting wtp daemon ...

　　Process '/sbin/cwWtpd' (pid 584) exited. Scheduling it for restart

　　如果沒(méi)有出現(xiàn)restart的話，說(shuō)明配置得不正確

　　注意事項(xiàng)：配置多個(gè)AC，AP也僅僅會(huì)在一個(gè)AC上注冊(cè)，當(dāng)AC發(fā)生切換的時(shí)候，AP也同樣要在新的AC上注冊(cè)，這個(gè)過(guò)程不比FortiGate做HA更為快捷。

　　5、非法AP檢測(cè)與壓制

　　FortiAP可以對(duì)非法的AP進(jìn)行無(wú)線。進(jìn)行無(wú)線壓制最好是采用支持2.的Radio，并將其設(shè)置為“專屬監(jiān)測(cè)”

　　注意事項(xiàng)：一定要開(kāi)啟非法接入點(diǎn)掃描，否則就會(huì)壓制不成功。

　　開(kāi)啟非法AP檢測(cè)，如下圖。

　　該圖上有一個(gè)選項(xiàng)“開(kāi)啟有線接入點(diǎn)檢測(cè)技術(shù)”(Enable On-Wire Rogue AP Detection Technique)，它的目的是檢測(cè)該AP有沒(méi)有接入到該FortiGate所在的網(wǎng)絡(luò)，檢測(cè)方法是看無(wú)線空間AP的mac地址有沒(méi)有出現(xiàn)在FortiGate的有線環(huán)境里。檢測(cè)依據(jù)是只要在<無(wú)線mac-7>~～<無(wú)線mac+7>這個(gè)范圍之內(nèi)就可以了。這個(gè)規(guī)定并不奇怪，因?yàn)槁酚善鞯牟煌涌诘膍ac地址應(yīng)該是連續(xù)的幾個(gè)MAC地址，比如FortiGate的不同接口mac地址就是連續(xù)的。

　　此時(shí)，監(jiān)控所有無(wú)線AP，并且可以選擇非法AP進(jìn)行壓制了

　　注意事項(xiàng)：也許是4.3.4版本的問(wèn)題，一旦進(jìn)行壓制(禁止AP——Suppress AP)，就無(wú)法通過(guò)取消壓制(取消禁止壓制——Unsuppress AP)來(lái)關(guān)閉壓制。只能將進(jìn)行壓制的Radio設(shè)置回正常模式，才能取消掉AP壓制。

　　6、基于頻段的負(fù)載均衡

　　無(wú)線AP可以主動(dòng)引導(dǎo)支持 2.4/5GHz 的無(wú)線終端優(yōu)先采用 5Hz頻段關(guān)聯(lián)無(wú)線接入點(diǎn)。FortiOS 5.0GA可以支持該功能，也就是說(shuō)當(dāng)即支持2.4G又支持5G的客戶端接入無(wú)線網(wǎng)時(shí)，自動(dòng)地根據(jù)實(shí)際情況將其引導(dǎo)到5G。該選項(xiàng)是在命令行下設(shè)置的。

　　config wireless-controller wtp-profile

　　edit "FAP220A-default"

　　set handoff-rssi 25

　　set handoff-sta-thresh 30 ---設(shè)置引導(dǎo)的頻段強(qiáng)度閾值

　　config radio-1

　　set frequency-handoff enable -----在2.4G和5G頻段進(jìn)行切換

　　set ap-handoff enable -----在AP之間進(jìn)行切換

　　end

　　next

　　end

　　如果需要測(cè)出該效果的話，得具備多個(gè)條件，第一個(gè)條件是無(wú)線終端本身是支持2.4G和5G，第二個(gè)條件是無(wú)線終端本身缺省連接的是2.4G，因?yàn)楝F(xiàn)在很多新的電腦優(yōu)先連接5G。

　　滿足以上兩個(gè)條件后，需要先調(diào)整handoff-sta-thresh調(diào)整很低，比如最小值為5。然后可以看啟用handoff和不啟用handoff的區(qū)別了。不啟用handoff時(shí)，無(wú)線終端始終連接2.4G。啟用handoff時(shí)，無(wú)線終端連接AP時(shí)，就會(huì)被推送到5G。這個(gè)推送過(guò)程是需要終端斷開(kāi)連接然后重連。

　　7、無(wú)線頻段管理

　　在FortiGate中可以實(shí)現(xiàn)對(duì)Radio(頻段)中的頻道進(jìn)行管理，以2.4G為例，可以選擇1-11若干的頻道。頻段數(shù)量是按照美國(guó)標(biāo)準(zhǔn)的，如果按照中國(guó)標(biāo)準(zhǔn)，可以達(dá)到13個(gè)。

　　config wireless-controller setting

　　set country CN設(shè)置標(biāo)準(zhǔn)為中國(guó)

　　end

　　如果擔(dān)心該頻道被其他AP使用，也就是說(shuō)頻道沖突，可以選擇“無(wú)線資源提供”——Radio Resource Provision，這樣它可以自動(dòng)地回避被其它AP使用的頻道。

　　測(cè)試方法(舉例)：

　　1、 準(zhǔn)備兩個(gè)AP，將一個(gè)AP的2.4G頻段設(shè)置只能使用6

　　2、 將另外一個(gè)AP設(shè)置為可以使用1，6，然后啟用“無(wú)線資源提供”，這樣觀察該AP使用的頻段，就會(huì)發(fā)現(xiàn)它只使用1頻段

　　通過(guò)查看Managed FortiAP可以看到channel一列顯示為Radio1：1，它表示用的是Radio1的第一個(gè)頻段。

　　8、FortiAP獲取FortiGate IP的多種方式

　　FortiAP可以通過(guò)多種方式獲得AC的IP地址，廣播方式、DHCP方式和手工配置。

　　8.1 廣播方式

　　缺省狀態(tài)下，F(xiàn)ortiAP在獲得IP地址后，會(huì)自動(dòng)地發(fā)送廣播方式，以尋找網(wǎng)絡(luò)中的AC。如下圖所示，192.168.118.4發(fā)送尋找AC的Request， 192.168.118.61作為AC給192.168.118.4發(fā)送Reponse。

　　也就是說(shuō)，如果FortiAP和FortiGate在同一個(gè)網(wǎng)絡(luò)中，根本就不要手工指定什么東西，它會(huì)自動(dòng)地找到FortiGate。

　　下面的工作僅僅是在FortiGate上對(duì)FortiAP做一個(gè)認(rèn)證：

　　8.2 DHCP方式

　　配置FortiGate的DHCP服務(wù)，為FortiAP分配IP地址，并指定AC地址。使用DHCP代碼138為FortiAP指定AC地址，注意需要將AC地址翻譯成十六進(jìn)制形式(例如：192.168.118.113=C0A87671)

　　將FortiAP接入到FortiGate port10所在的VLAN，便可自動(dòng)獲得IP地址和AC地址，無(wú)需對(duì)FortiAP進(jìn)行手工配置。

　　8.3 手工配置

　　注：也可以通過(guò)console口手動(dòng)配置FortiAP的IP地址和AC地址，命令如下：

　　cfg -a AP_IPADDR="192.168.118.10"

　　cfg -a AP_NETMASK="255.255.255.0"

　　cfg -a IPGW="192.168.118.230"

　　cfg -a AC_IPADDR_1="192.168.118.113"

　　cfg -a ADDR_MODE="STATIC"

　　cfg -c 保存配置

　　9、空口抓包

　　9.1 wireless-controll抓包命令

　　通過(guò)diagnose wireless-controller抓包命令，直接將數(shù)據(jù)包直接發(fā)PC，PC需要啟動(dòng)抓包軟件，并且關(guān)閉防火墻，才能對(duì)數(shù)據(jù)包進(jìn)行抓取。該種抓包方式與Aruba方式相同。

　　diagnose wireless-controller wlac sniff-cfg <抓包pc的IP><端口>

　　<抓包pc的IP>是指運(yùn)行抓包軟件的PC，端口是隨意指定的

　　diagnose wireless-controller wlac sniff 2

　　運(yùn)行上面命令開(kāi)始抓包。

　　但是我們目前對(duì)這種方式支持有限，轉(zhuǎn)出來(lái)的數(shù)據(jù)包無(wú)法正確。以后在FortiOS 5.0會(huì)對(duì)此部分進(jìn)行加強(qiáng)。

　　9.2 sniffer命令抓取與FortiAP通訊內(nèi)容

　　WLAC命令不理想，可以采用diagnose sniffer命令來(lái)抓取FortiGate和FortiAP通訊內(nèi)容。命令如下：

　　Diagnosis sniffer packet any ‘host FortiAP的IP地址’ 3

　　一樣可以抓出802.11頭，DTLS加密的數(shù)據(jù)包，但是無(wú)法看到Beacon頭。如下圖：

　　10、調(diào)整發(fā)射強(qiáng)度

　　發(fā)射強(qiáng)度很容易調(diào)整，如下圖：

　　但是從客戶端PC很難被觀察到，需要在客戶端安裝專門的檢測(cè)軟件，比如inSSIDer可以觀察到，如下圖。如果你將TX Power調(diào)整到最低，觀察到的信號(hào)并非一定是最低，會(huì)上下波動(dòng)，波動(dòng)的平均值是相對(duì)比較低的。

　　11、屏蔽SSID內(nèi)部通訊

　　缺省狀態(tài)同一SSID下的PC是可以相互通訊的。但如需要屏蔽通訊的話，也是很容易。

　　命令行下的操作：

　　config wireless-controller vap

　　edit "要編輯的SSID"

　　set intra-vap-privacy enable

　　next

　　end

　　10、通信加密和門戶認(rèn)證

　　Fortinet無(wú)線支持多種無(wú)線加密方式，包括：

　　開(kāi)放模式(不加密，不建議使用);

　　WEP(64bit或128bit RC4加密);

　　WPA(256bit TKIP或AES加密);

　　WPA2(256bit TKIP或AES加密，在WPA的基礎(chǔ)上支持802.11i標(biāo)準(zhǔn)的安全要求);

　　強(qiáng)制門戶

　　開(kāi)放方式和WEP放在命令行下，如下。

　　config wireless-controller vap

　　edit "ssidname"

　　set security

　　captive-portal captive-portal

　　open open

　　wep128 wep128

　　wep64 wep64

　　wpa-enterprise wpa/wpa2-enterprise

　　wpa-only-enterprise wpa-only-enterprise

　　wpa-only-personal wpa-only-personal

　　wpa-personal wpa/wpa2-personal

　　wpa2-only-enterprise wpa2-only-enterprise

　　wpa2-only-personal wpa2-only-personal

　　next

　　end

　　強(qiáng)制門戶方式有點(diǎn)類似防火墻策略的用戶認(rèn)證，當(dāng)通過(guò)瀏覽器訪問(wèn)Internet時(shí)會(huì)自動(dòng)彈出認(rèn)證界面。

　　配置界面如下：

　　認(rèn)證界面如下：

　　認(rèn)證成功后，可以在菜單項(xiàng)user\monitor\firewall里看到認(rèn)證成功的用戶。

　　11、關(guān)閉SSID廣播

　　關(guān)閉SSID廣播需要在命令行下進(jìn)行，操作的命令如下：

　　config wireless-controller vap

　　edit "ssid-name"

　　set broadcast-ssid disable

　　next

　　end

　　12、MAC地址過(guò)濾

　　MAC地址過(guò)濾可以建立黑名單也可以建名單。所謂黑名單就是缺省狀態(tài)下全部允許，但是部分MAC不允許，命令設(shè)置如下：

　　config wireless-controller vap

　　edit "ssid-name"

　　set mac-filter enable ------啟動(dòng)MAC地址過(guò)濾

　　set mac-filter-policy-other allow --------缺省的MAC地址是否允許通過(guò)

　　config mac-filter-list

　　edit 1

　　set mac 00:00:00:00:00:00 -------設(shè)置mac

　　set mac-filter-policy deny ------設(shè)置該mac是阻斷還是允許

　　next

　　next

　　end

　　這里值得注意一點(diǎn)是，當(dāng)某因mac被阻斷時(shí)，其現(xiàn)象與無(wú)線WPA認(rèn)證通不過(guò)的現(xiàn)象是一樣的。

　　13、基于Radius認(rèn)證

　　配置Radius認(rèn)證有兩種方法，一種是直接啟用，如下圖。這種方法是可以，但是需要修改客戶端無(wú)線的認(rèn)證參數(shù)，使用起來(lái)不方便。

　　如果要用這種方法的話，需要在客戶端關(guān)閉CA證書(shū)的認(rèn)證，這是因?yàn)槲覀儨y(cè)試使用的Radius本身提供的證書(shū)，不能為客戶端所認(rèn)可。如果Radius服務(wù)器的證書(shū)能夠?yàn)榭蛻舳吮旧淼腞oot證書(shū)所認(rèn)可，則可以認(rèn)證通過(guò)?？赡苁俏沂怯玫腞adius服務(wù)器所使用證書(shū)有問(wèn)題。

　　抓包文件如下：

　　抓圖如下：

　　另外一種方法是建立一個(gè)用戶組，將Radius引入到用戶組里，如下圖，然后在無(wú)線設(shè)置中調(diào)用。

　　該方法做EAP的時(shí)候，F(xiàn)ortiGate所使用的證書(shū)不是來(lái)自Radius服務(wù)器，而是使用自身所帶的證書(shū)，能夠?yàn)榭蛻舳怂J(rèn)證通過(guò)。