Virtua IT, d.o.o.
Kotnikova ulica 35
1000 Ljubljana
Slovenija

T: +386 590 91780
E: info@virtua-it.si

Pred kratkim smo v naših poslovnih prostorih vzpostavili WLAN omrežje z dostopnimi točkami podjetja Fortinet – FortiAP.  Glavni razlog za menjavo je bil zmožnost povezave dostopnih točk z obstoječim požarnim zidom Fortinet FortiGate 100D, ki lahko prevzame tudi funkcijo WLAN kontrolerja.

Navadno t.i. thin AP dostopne točke potrebujejo za delovanje nek WLAN kontroler, kateri vsebuje vso inteligenco WLAN omrežja (prilagajanje moči, frekvence, IPS/IDS, iptd.) in v večini poleg licenc za AP predstavlja večji del investicije.

Fortinet WLAN oprema ima to veliko konkurenčno prednost, da za upravljanje dostopnih točk ne potrebujemo dodatnega kontrolerja in AP licenc, saj lahko uporabimo kar obstoječi FortiGate požarni zid oz t.i. sistem Unified Threat Management (UTM). Zmožnost kontrolerja ima vgrajen vsak FortiGate požarni zid, katerega poganja operacijski sistem FortiOS od verzije 4 MR3 naprej. Torej vse kar dodatno potrebujemo za gradnjo varnega enterprise WLAN omrežja so dostopne točke FortiAP.

Ker se FortiAP integrira v obstoječo FortiGate infrastrukturo lahko tudi na WLAN strani uporabimo vse vodilne Fortinet UTM varnostne mehanizme, kot so:

  • Antivirus
  • Intrusion prevention  system (IPS)
  • Advanced web filter
  • deep packet inspection
  • role based policy
  • device based policy

Fortinet ima v ponudbi kar bogato paleto različnih dostopnih točk (Mi smo uporabili kar FortiAP 210B.).

Torej če na krako povzamemo prednosti Fortinet WLAN:

  • Integrirana varnost

Z uporabo FortiGate UTM in FortiAP brezžičnih dostopnih točk lahko vzpostavimo poenoteno in varno LAN omrežje, ki skrbniku ponuja celoten nadzor nad varnostno politiko tako žičnih kot brezžičnih naprav in uporabnikov v eni sami točki (t.i. single-pane-of-glass).

  • Nižja investicija oz. TCO

Ni potrebe po nakupu ločenih WLAN kontrolerjev in dodatnih AP licenc, saj vsak FortiGate vsebuje funkcionalnost kontrolerja in maksimalno število AP licenc, ki jih hardware podpira.

  • Device visibility

Omogoča definicijo varnostnih politik glede na uporabnika in tip naprave. Omejitve dostopa mobilnih naprav (Android, Iphone, Lenovo prenosnik,…) do določenih sredstev v omrežju so definirane z avtentikacijo uporabnika in naprave ter per-device in per-user varnostih politik. To je tudi ključno pri današnjem hitro naraščajočem trendu BYOD.

  • Avtentikacija

Integrirana avtentikacija in single sign-on (SSO) omogoča poenoteno varnotno politiko pri prehodu med brezžičnimi dostopnimi točkami (roaming) ali žičnim omrežjem.

Potek konfiguracije

Želeli smo vzpostaviti ločeni omrežji za interno uporabo in goste. Za drugo smo uporabili kar odprto omrežje v kombinaciji z Hotspot oz t.i. Captive Portal-om. Uporabniška imena za goste smo definirali kar v lokalni bazi na FortiGate WLAN kontorlerju.

2. Privzeto vstopno stran se seveda lahko tudi popolnoma prilagoditi tako, da se kar preko web GUI lahko spreminja html kodo.

3. Za interno omrežje smo uporabili enterprise avtentikacijo WPA2-EAP in AES enkripcijo, kjer se uporabniki s svojimi uporabniškimi podatki avtenticirajo kar direktno v Active Directory preko radius strežnika.

Torej, če na kratko povzamemo korake nastavljanja:

1. Najprej smo dodali SSID profil za goste

2. Ker želimo uporabljati enterprise EAP avtentikacijo moramo najprej vzpostaviti povezavo z avtentikacijskim (radius) strežnikom.

3. Nastavitve SSID profila za enterprise WLAN interno omrežje:

4. V naslednjem koraku je bilo potrebno nastaviti profil za dostopne točke, kjer lahko določimo skupne radijske nastavitve za isti model AP.

5. V zadnjem koraku je bilo potrebno le še priključiti dostopne točke v isto L2 omrežje kot je FortiGate in jim dodeliti ustrezni profil. Ko dostopno točko avtoriziramo in ji dodelimo profil, avtomatično pobere nastavitve s FortiGate kontrolerja in že začne oddajati oba WLAN omrežja.

Same nastavitve WLAN omrežij na FortiGate kontrolerju so zelo preproste in ne zahtevajo nekega zelo naprednega znanja o 802.11 omrežjih. Še največ časa vzame nastavljanje Radius strežnika na Windowsih. 🙂

Omrežje uporabljamo že več kot 14 dni in smo nadvse zadovoljni s hitrostjo, zanesljivostjo in kvaliteto.

Spletno mesto uporablja piškotke zaradi boljše uporabniške izkušnje. Z uporabo naše spletne strani potrjujete, da se z njihovo uporabo strinjate. Več o tem.

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close