Fortinet無線網絡接入及安全方案配置步驟
1、概述:
Fortinet無線網絡接入及安全方案由以下兩類設備組成:
AC(Wifi接入控制器)及安全網關:FortiGate
AP(Wifi接入點):FortiAP
2、簡要配置步驟
1、FortiGate 620B防火墻默認管理地址為https://192.168.1.99(Port1);
用戶名:admin
密碼:無
建議使用IE8.0或Firefox 3.5及以上版本進行訪問,其它瀏覽器可能不能完全兼容FortiGate V4.2以上版本的管理界面。
2、修改界面語言為中文
3、將系統時間和時區修改為正確值
這一點很重要,我遇到這種情況,FortiGate 51B主板電池沒電了,斷電后,時間就變成1999年,啟動后,FortiAP就無法正常與FortiGate建立連接。
4、修改接口IP地址及允許的管理接口
5、修改默認路由,使FortiGate能正常訪問網絡
6、配置FortiGate的DHCP服務,為FortiAP分配IP地址,并指定AC地址。使用DHCP代碼138為FortiAP指定AC地址,注意需要將AC地址翻譯成十六進制形式(例如:192.168.118.113=C0A87671)
將FortiAP接入到FortiGate port10所在的VLAN,便可自動獲得IP地址和AC地址,無需對FortiAP進行手工配置。
注:也可以通過console口手動配置FortiAP的IP地址和AC地址,命令如下:
cfg -a AP_IPADDR="192.168.118.10"
cfg -a AP_NETMASK="255.255.255.0"
cfg -a IPGW="192.168.118.230"
cfg -a AC_IPADDR_1="192.168.118.113"
cfg -a ADDR_MODE="STATIC"
cfg -c 保存配置
7、稍后可以在FortiGate管理界面上看到新加入的FortiAP。
點擊該FortiAP,使用“Authorize”按鈕批準其加入網絡。
8、配置SSID(虛擬AP),配置SSID、虛擬接口地址,及該SSID的DHCP地址池
安全模式選擇WPA2-Personal,使用預共享密鑰認證方式。
可以選擇屏蔽SSID內部流量,這樣連接在同一SSID下的無線終端就無法互訪了。
9、清空所有自定義AP profile
然后在命令行下(telnet 192.168.118.113)下將wifi的國家設置改成CN。
config wireless-controller setting
set country CN
end
10、新建AP profile
選擇FortiAP的型號;
開啟“無線資源提供”,FortiAP會自動選擇最佳頻道進行wifi通信;
選擇本profile中使用的SSID。
11、編輯之前加入的FortiAP,選擇接入點屬性profile1。
12、配置MAC過濾功能
config wireless-controller vap
edit "vap1"
set mac-filter enable //啟用mac過濾功能
set mac-filter-policy-other deny //不在列表內的mac地址全禁止
config mac-filter-list //編輯mac列表
edit 1
set mac 50:63:13:c1:a1:94
set mac-filter-policy allow
next
edit 2
set mac 00:09:13:e3:a1:66
set mac-filter-policy allow
next
end
end
刪除MAC條目方法
config wireless-controller vap
config mac-filter-list
del 1
end
end
13、配置無線用戶訪問網絡的防火墻策略
源接口:SSID產生的虛擬接口
目的接口:port10(局域網所在接口)
可以修改源地址、目標地址、服務,對源IP、目標IP、源端口、目標端口進行控制,限制無線用戶的訪問范圍。
如果不啟用NAT,則FortiGate上聯的路由設備(路由器或三層交換機)需要添加到無線終端所在網段(192.168.179.0/24)的路由,指向FortiGate的port10接口(192.168.118.113)。例如:
ip route 192.168.179.0 255.255.255.0 192.168.118.113
14、配置用戶認證功能
添加用戶賬號
添加用戶組
編輯之前添加的防火墻策略,選擇允許使用的用戶組。
修改用戶認證超時時間
啟用保持用戶認證狀態功能
config system global
set auth-keepalive enable
end
15、配置FortiGate的HA(高可用性)
將port2接口指定為心跳接口,監控port10接口的狀態。
備機的設備優先級數字應該小于主機(例如:100),其余HA配置與主機完全相同。
先連接主機和備機的心跳接口(port2),等待約5分鐘,備機會自動通過主機的所有配置(包括port10接口的IP地址)。
然后將備機的port10接口連接到主機port10所在vlan。HA構建完成。
16、常用監控及管理界面
系統狀態監控,點擊左上角的“+微件”還可增加更多監控控件(如接口流量)。
HA監控
FortiAP監控
無線上網用戶監控
防火墻策略用戶認證監控
17、FortiGate配置管理
點擊“備份”可以備份文本文件至管理用PC,點擊“還原”可以將PC上備份的配置恢復回FortiGate。
FortiGate也會自動備份配置至內置存儲卡,點擊“Revisions”可以選擇存儲在FortiGate上的歷史版本配置進行恢復。
恢復后FortiGate會自動重啟。
3、同一SSID內漫游
同一SSID可以跨越多個AP,無線客戶端可以在同一SSID無縫地切換到不同的AP上,而會話不會中斷。
測試可以采用關掉某個當前連接的AP方式來測試。如果跨區域來測試的話,需要的很大的空間:),信號降低得很弱的時候才能切換。
通過圖形界面和命令行都可以看到無線客戶端所連接的FortiAP。
diag wireless-controller wlac -c sta
STA mac : 00:26:c6:76:54:44
authed : yes
wtp : 0-192.168.118.4:5246
rId : 0
aId : 1
wId : 0
bssid : 00:09:0f:d6:ba:92
cap : 0031
4、AC的冗余
4.1 基于防火墻的HA實現AC的冗余
利用FortiGate的HA功能來實現AC的冗余。FortiGate HA集群中的設備根據設備優先級的大小協商產生主機和備機,優先級高的設備成為HA組中的主機,優先級低的設備成為HA組中的備機。主機和備機具有完全相同的接口地址、完全相同的配置。
主機和備機的配置通過心跳線實時同步,管理員的配置針對整個HA集群,無需單獨配置每一臺設備。主機和備機的相應接口具有完全相同的IP地址,并使用同一個虛擬MAC地址,在發生故障切換時不會產生IP或ARP問題。
當主機的任意接口或設備本身發生故障時,產生HA設備切換,主機變為standby狀態,備機變為work狀態,自動接替主機工作。由于會話狀態均在主備機之間同步,因此所有訪問自動切換到備機上進行,所有已建立會話無需重新連接。
注意事項:當兩個FortiGate處于HA狀態時,關于AP的配置信息是同步的,但是AP當前注冊的狀態是不同步的,也就是說,當AC切換時,AP需要重新注冊。這個過程是自動完成的。當FortiGate發生切換后,雖然FortiGate很快就能切換完成,但是AP還是需要等很長時間才能注冊到新的FortiGate上。另外客戶端PC的連接信息也同樣在FortiGate也是不同步的,也需要重新注冊到新的FortiGate。客戶端從切換開始到到正常工作需要幾分鐘。
如果要提高這個切換速度,可以采用以下步驟:
1、提高設置AC檢測AP的頻率,在FortiGate上設置:
config wireless-controller timers
set echo-interval 30 ------檢測間隔
end
2、無線客戶端設置為靜態IP地址,免去了重新獲得IP地址的過程。
3、如果主FortiGate切換到備設備,其原有的AP注冊信息和無線終端信息仍舊可以保留一段時間,也就是說當備設備在短時間內切換回來的話,主設備很快就能正常工作,這個時間可以低于一分鐘。
4.2 基于AP配置多個AC實現AC的冗余
AP可以配置多個AC ,當它無法正常連接第一個AC時,可以自動地連接第二個AC。
該功能需要在AP上指定:
cfg –a AC_DISCOVERY_TYPE=1
cfg -a AC_IPADDR_1="192.168.11.2"配置第一個AC
cfg -a AC_IPADDR_2="192.168.11.1"配置第二個AC
cfg –c 保存配置
這里值得注意的一點是,當以上完成一項配置后,會出現以下提示
restarting wtp daemon ...
Process '/sbin/cwWtpd' (pid 584) exited. Scheduling it for restart
如果沒有出現restart的話,說明配置得不正確
注意事項:配置多個AC,AP也僅僅會在一個AC上注冊,當AC發生切換的時候,AP也同樣要在新的AC上注冊,這個過程不比FortiGate做HA更為快捷。
5、非法AP檢測與壓制
FortiAP可以對非法的AP進行無線壓制。進行無線壓制最好是采用支持2.4G的Radio,并將其設置為“專屬監測”
注意事項:一定要開啟非法接入點掃描,否則就會壓制不成功。
開啟非法AP檢測,如下圖。
該圖上有一個選項“開啟有線接入點檢測技術”(Enable On-Wire Rogue AP Detection Technique),它的目的是檢測該AP有沒有接入到該FortiGate所在的網絡,檢測方法是看無線空間AP的mac地址有沒有出現在FortiGate的有線環境里。檢測依據是只要在<無線mac-7>~~<無線mac+7>這個范圍之內就可以了。這個規定并不奇怪,因為路由器的不同接口的mac地址應該是連續的幾個MAC地址,比如FortiGate的不同接口mac地址就是連續的。
此時,監控所有無線AP,并且可以選擇非法AP進行壓制了
注意事項:也許是4.3.4版本的問題,一旦進行壓制(禁止AP——Suppress AP),就無法通過取消壓制(取消禁止壓制——Unsuppress AP)來關閉壓制。只能將進行壓制的Radio設置回正常模式,才能取消掉AP壓制。
6、基于頻段的負載均衡
無線AP可以主動引導支持 2.4/5GHz 的無線終端優先采用 5Hz頻段關聯無線接入點。FortiOS 5.0GA可以支持該功能,也就是說當即支持2.4G又支持5G的客戶端接入無線網時,自動地根據實際情況將其引導到5G。該選項是在命令行下設置的。
config wireless-controller wtp-profile
edit "FAP220A-default"
set handoff-rssi 25
set handoff-sta-thresh 30 ---設置引導的頻段強度閾值
config radio-1
set frequency-handoff enable -----在2.4G和5G頻段進行切換
set ap-handoff enable -----在AP之間進行切換
end
next
end
如果需要測出該效果的話,得具備多個條件,第一個條件是無線終端本身是支持2.4G和5G,第二個條件是無線終端本身缺省連接的是2.4G,因為現在很多新的筆記本電腦優先連接5G。
滿足以上兩個條件后,需要先調整handoff-sta-thresh調整很低,比如最小值為5。然后可以看啟用handoff和不啟用handoff的區別了。不啟用handoff時,無線終端始終連接2.4G。啟用handoff時,無線終端連接AP時,就會被推送到5G。這個推送過程是需要終端斷開連接然后重連。
7、無線頻段管理
在FortiGate中可以實現對Radio(頻段)中的頻道進行管理,以2.4G為例,可以選擇1-11若干的頻道。頻段數量是按照美國標準的,如果按照中國標準,可以達到13個。
config wireless-controller setting
set country CN設置標準為中國
end
如果擔心該頻道被其他AP使用,也就是說頻道沖突,可以選擇“無線資源提供”——Radio Resource Provision,這樣它可以自動地回避被其它AP使用的頻道。
測試方法(舉例):
1、 準備兩個AP,將一個AP的2.4G頻段設置只能使用6
2、 將另外一個AP設置為可以使用1,6,然后啟用“無線資源提供”,這樣觀察該AP使用的頻段,就會發現它只使用1頻段
通過查看Managed FortiAP可以看到channel一列顯示為Radio1:1,它表示用的是Radio1的第一個頻段。
8、FortiAP獲取FortiGate IP的多種方式
FortiAP可以通過多種方式獲得AC的IP地址,廣播方式、DHCP方式和手工配置。
8.1 廣播方式
缺省狀態下,FortiAP在獲得IP地址后,會自動地發送廣播方式,以尋找網絡中的AC。如下圖所示,192.168.118.4發送尋找AC的Request, 192.168.118.61作為AC給192.168.118.4發送Reponse。
也就是說,如果FortiAP和FortiGate在同一個網絡中,根本就不要手工指定什么東西,它會自動地找到FortiGate。
下面的工作僅僅是在FortiGate上對FortiAP做一個認證:
8.2 DHCP方式
配置FortiGate的DHCP服務,為FortiAP分配IP地址,并指定AC地址。使用DHCP代碼138為FortiAP指定AC地址,注意需要將AC地址翻譯成十六進制形式(例如:192.168.118.113=C0A87671)
將FortiAP接入到FortiGate port10所在的VLAN,便可自動獲得IP地址和AC地址,無需對FortiAP進行手工配置。
8.3 手工配置
注:也可以通過console口手動配置FortiAP的IP地址和AC地址,命令如下:
cfg -a AP_IPADDR="192.168.118.10"
cfg -a AP_NETMASK="255.255.255.0"
cfg -a IPGW="192.168.118.230"
cfg -a AC_IPADDR_1="192.168.118.113"
cfg -a ADDR_MODE="STATIC"
cfg -c 保存配置
9、空口抓包
9.1 wireless-controll抓包命令
通過diagnose wireless-controller抓包命令,直接將數據包直接發送給PC,PC需要啟動抓包軟件,并且關閉防火墻,才能對數據包進行抓取。該種抓包方式與Aruba方式相同。
diagnose wireless-controller wlac sniff-cfg <抓包pc的IP><端口>
<抓包pc的IP>是指運行抓包軟件的PC,端口是隨意指定的
diagnose wireless-controller wlac sniff 2
運行上面命令開始抓包。
但是我們目前對這種方式支持有限,轉出來的數據包無法正確。以后在FortiOS 5.0會對此部分進行加強。
9.2 sniffer命令抓取與FortiAP通訊內容
WLAC命令不理想,可以采用diagnose sniffer命令來抓取FortiGate和FortiAP通訊內容。命令如下:
Diagnosis sniffer packet any ‘host FortiAP的IP地址’ 3
一樣可以抓出802.11頭,DTLS加密的數據包,但是無法看到Beacon頭。如下圖:
10、調整發射強度
發射強度很容易調整,如下圖:
但是從客戶端PC很難被觀察到,需要在客戶端安裝專門的檢測軟件,比如inSSIDer可以觀察到,如下圖。如果你將TX Power調整到最低,觀察到的信號并非一定是最低,會上下波動,波動的平均值是相對比較低的。
11、屏蔽SSID內部通訊
缺省狀態同一SSID下的PC是可以相互通訊的。但如需要屏蔽通訊的話,也是很容易。
命令行下的操作:
config wireless-controller vap
edit "要編輯的SSID"
set intra-vap-privacy enable
next
end
10、通信加密和門戶認證
Fortinet無線方案支持多種無線加密方式,包括:
開放模式(不加密,不建議使用);
WEP(64bit或128bit RC4加密);
WPA(256bit TKIP或AES加密);
WPA2(256bit TKIP或AES加密,在WPA的基礎上支持802.11i標準的安全要求);
強制門戶
開放方式和WEP放在命令行下,如下。
config wireless-controller vap
edit "ssidname"
set security
captive-portal captive-portal
open open
wep128 wep128
wep64 wep64
wpa-enterprise wpa/wpa2-enterprise
wpa-only-enterprise wpa-only-enterprise
wpa-only-personal wpa-only-personal
wpa-personal wpa/wpa2-personal
wpa2-only-enterprise wpa2-only-enterprise
wpa2-only-personal wpa2-only-personal
next
end
強制門戶方式有點類似防火墻策略的用戶認證,當通過瀏覽器訪問Internet時會自動彈出認證界面。
配置界面如下:
認證界面如下:
認證成功后,可以在菜單項user\monitor\firewall里看到認證成功的用戶。
11、關閉SSID廣播
關閉SSID廣播需要在命令行下進行,操作的命令如下:
config wireless-controller vap
edit "ssid-name"
set broadcast-ssid disable
next
end
12、MAC地址過濾
MAC地址過濾可以建立黑名單也可以建立白名單。所謂黑名單就是缺省狀態下全部允許,但是部分MAC不允許,命令設置如下:
config wireless-controller vap
edit "ssid-name"
set mac-filter enable ------啟動MAC地址過濾
set mac-filter-policy-other allow --------缺省的MAC地址是否允許通過
config mac-filter-list
edit 1
set mac 00:00:00:00:00:00 -------設置mac
set mac-filter-policy deny ------設置該mac是阻斷還是允許
next
next
end
這里值得注意一點是,當某無線設備因mac被阻斷時,其現象與無線WPA認證通不過的現象是一樣的。
13、基于Radius認證
配置Radius認證有兩種方法,一種是直接啟用,如下圖。這種方法是可以,但是需要修改客戶端無線的認證參數,使用起來不方便。
如果要用這種方法的話,需要在客戶端關閉CA證書的認證,這是因為我們測試使用的Radius服務器本身提供的證書,不能為客戶端所認可。如果Radius服務器的證書能夠為客戶端本身的Root證書所認可,則可以認證通過。可能是我是用的Radius服務器所使用證書有問題。
抓包文件如下:
抓圖如下:
另外一種方法是建立一個用戶組,將Radius引入到用戶組里,如下圖,然后在無線設置中調用。
該方法做EAP的時候,FortiGate所使用的證書不是來自Radius服務器,而是使用自身所帶的證書,能夠為客戶端所認證通過。
