會有這一篇是後來工作需要,上一篇太過於簡略XD。
這次主要目的就是當wireless controller的Fortigate只有一個port來連接到原本網路環境。
底下是LAB架構圖
1.Fortigate wireless controller設定
a.設定與L3 switch的介面,需勾選CAPWAP。此介面的DHCP Server是給FortiAP用的,
如果跨網段就要用cli進入dhcp server,加入set option 138 '16進制的IP(controller IP)'。
b.設定預設路由,目的地為連接的對點IP。
c.FortiAP接上switch,設定無誤的話就可以看到。注意,switch接AP的port與fortigate同一個VLAN就好。因為client流量是透過fortiAP,進到tunnel,在回到fortigate。
d.建立SSID,這裡的dhcp是指client拿到的IP。
e.建立FortiAP profile,將剛剛建立好的SSID放進去。
f.建立policy,SSID介面到實體介面。這邊要注意,如果不做NAT,那L3 switch要加入client網段路由回去到fortigate wireless controller。
2.L3 switch
a.因為我環境有另外架設DHCP server給client IP,所以我的AP 管理網段的interface
vlan要加入ip help-address,讓client可以跟dhcp server要到IP。
b.還有就是,因為我的SSID到實體介面沒有設定NAT,所以在L3 switch上,得增加client網段回去的路由。
c.client流量是透過tunnel回到fortigate wireless controller身上。所以接AP的switch port只要access就好,不用trunk。
沒有留言:
張貼留言