FortiAP是Fortinet推出的一款輕型(thin)無線AP, 是一款單純的AP. 規格說上標明Zero Configuration, 說明了本身幾乎不用做設定(P1). FortiAP這系列主要是用來配套FortiGate產品, 與之類似的有FortiWiFi unit. 所以, 它幾乎不具備任何功能, 也無法單獨進行調整(P1), 只有當連接到FortiOS device時, 才可以允許相關功能維護.
從上圖的外觀, 可以清楚的看出他是隱藏式天線, 所以不可更換. 根據規格書是2R2T, 以222B推論來看, 應該是常見的2dbi. 所以這部份就真的沒甚麼好講的, 除此之外還附帶特別的monitor功能(兩組), 提供AP-scan機能, 從實際的物品來看看, 如圖下所示:
從上圖可以看出他有7組LED標示燈, WiFi1~3標示天線使用部分, 因為是2R2T, 當Radio1和Radio2透過FortiOS開啟時, 便會亮起, WiFi3部分無法使用, 應該是針對3R3T產品(未來?, Fortinet目前沒有). ETH則是骨幹部分, 連到FortiGate所使用, ethernet規格為GbE, 剩下那三組就不再提起.
背面的部分實在簡單, USB目前不可用, 規格書只說明for future use, CONSOLE當然就是需要RJ-45 to RS232 cable開通CLI使用, 針對特殊情況下. ETH PoE就是可以拿來連接FortiGate, 而外它還支持802.3af, 可以免AC電源連接, 當然這個前提是必須要先有PoE adapter.
這邊先接入CLI模式來看看這個AP提供了那些機能, 請注意! 它沒有任介面提供, 沒有GUI, 一般情況下也無法通訊.
當AP進行初始化的時候, 可以看到這些啟動資訊, DRAM buffer為64MB, FLASH為16MB, 一顆SoC從編號應該可以猜出是Atheros的AR7100.
http://www.atheros.com/media/resourc...e_23_file2.pdf
這棵SoC上的MIPS處理器可以負責一些附加價值業務, 例如AP-scan. 由於FortiAP提供的機能非常單純, 因此這顆MIPS能做的事不多, 大多都是FortiGate做掉.
嗯嗯, 嵌入式設備常看到的BusyBox OS, Fortinet針對FortiAP提供了好幾種自訂化參數供以在FortiGate進行AC-discovery階段時所用, 如下圖所示:
這些參數在有些情況下是非常有用的, 例如FortiGate混合型架構或著多層式串聯(L2+L3...), AC探測(Discovery)指的是FortiGate對FortiAP的探測, 由於FortiAP是Zero-configuration, 除了AC探測之外, 幾乎不會負責一般應用, 像是NAT, DHCP等, 它都不具備. 所以AC探測就顯得非常重要了! 這個探測的關鍵在於FortiGate要如何與FortiAP進行通訊, 從上述的參數可以看到ADDR_MODE, 這是指定指模. STATIC是我特意在特殊情況下使用的, 它的預設會是DHCP. 探測模式使用DHCP這表示針對大多情況下可以適用. DHCP:
1. 0.0.0.0/24來源, port 67~68=[廣播]=>255.255.255.255/32
2. Gateway來源網段, port 67~68=[廣播]=>255.255.255.255/32
3. FortiAP取得IP, 之後以預設的 5246 port定期與FortiGate通訊
5246的AC port是官方預設的數值, 用以與FortiGate溝通所使用. 除非有必要, 否則不應隨便去更改. 有一點請注意, 它的廣播型態是multicast, 預設值的DST address為: 240.0.1.140的典型multicast網段. 如果有穿過像是L3設備等, 請把mutlicast放行, 否則怎麼樣也不會通. 下述是一個例子.
for example:
FortiAP[DMZ]FGT 110C(TP)[wan1]<==>[wan1]FGT 60C[wan1]VTU-R
<<includes>>{
vap1[DMZ]FGT 110C(TP)[vlan1@wan1]<==>[vlan1@wan1]FGT 60C[wan1]VTU-R
vap2[DMZ]FGT 110C(TP)[vlan2@wan1]<==>[vlan2@wan1]FGT 60C[wan1]VTU-R
}
110C處於TP mode, 這表示主要只負責firwall與UTM的單純業務, 60C則作為DHCP Server配發IP, vap稍後會再提起, 你可以當作FortiAP作為PHY可以建立多個VAP(Virtual AP), 這是與其他AP非常不同的地方, 而且很有實用價值. 從上述例子可以看出似乎是非常合理的, 當然一般情況它是可以運作, 由於牽涉到這是混合架構, 又有VLAN參雜, 這時可能會導致網路效能下降, 有時開網頁莫名其妙出錯. FortiGate預設會是同一個collision domain[def: 0], VLAN的多組產生會涉及到效能上的議題, 因此需要特別處理, 可以透過CLI將collision domain進行切割: set forward-domain [var|var is number]. 切割完後使VLAN隔離, 有效提升網路性能(非常重要!), 不過在這個例子下會使得FortiAP發生異常.
當使用110C 作為FortiAP的通訊設備, 這表示WTP會建立在110C上, 由於針對VLAN導致網路效能嚴重下降, 必須切割collsion domain隔離, 但是卻發生FortiAP無法通訊的情況. 也就是說collsion domain雖然被切割掉, 在獨立的情況會被判別不會碰撞, FortiAP建立在110C的TP模式下, 使得60C作為DHCP server莫名其妙收到重複的封包訊息. 以下是透過CLI的簡單ping測試:
因DHCP的特徵可能會導致FortiAP的異常通訊, 顯然在這種情況下, 怎麼試都不會通. 這表示AC-discovery下就會失敗. 有幾種solution可以避開:
1. 透過FortiAP的CLI(BusyBox)設定為static configuration可以完全避開.
2. 將110C的TP mode改為NAT mode, 當然! NAT與TP的記憶體資源占用有不同的明顯差異.
3. 將WTP的建立做在60C上, 同樣可以達到效果. 但是FortiAP建立的VAPs便會無法透過110C進行業務功能操作, 例如QoS.
顯然, 第一方案是可以考慮的,