FortiAP 220B(Indoor)
- Gather feedback on your content with community scoring - these ratings weight results in adaptive search. Through curation analytics, ratings are used to highlight pages in need of attention. Learn more on enabling these capabilities with MindTouch 2010.
內容表格
沒有標頭FortiAP是Fortinet推出的一款輕型(thin)無線AP, 是一款單純的AP. 規格說上標明Zero Configuration, 說明了本身幾乎不用做設定(P1). FortiAP這系列主要是用來配套FortiGate產品, 與之類似的有FortiWiFi unit. 所以, 它幾乎不具備任何功能, 也無法單獨進行調整(P1), 只有當連接到FortiOS device時, 才可以允許相關功能維護.
從上圖的外觀, 可以清楚的看出他是隱藏式天線, 所以不可更換. 根據規格書是2R2T, 以222B推論來看, 應該是常見的2dbi. 所以這部份就真的沒甚麼好講的, 除此之外還附帶特別的monitor功能(兩組), 提供AP-scan機能, 從實際的物品來看看, 如圖下所示:
從上圖可以看出他有7組LED標示燈, WiFi1~3標示天線使用部分, 因為是2R2T, 當Radio1和Radio2透過FortiOS開啟時, 便會亮起, WiFi3部分無法使用, 應該是針對3R3T產品(未來?, Fortinet目前沒有). ETH則是骨幹部分, 連到FortiGate所使用, ethernet規格為GbE, 剩下那三組就不再提起.
背面的部分實在簡單, USB目前不可用, 規格書只說明for future use, CONSOLE當然就是需要RJ-45 to RS232 cable開通CLI使用, 針對特殊情況下. ETH PoE就是可以拿來連接FortiGate, 而外它還支持802.3af, 可以免AC電源連接, 當然這個前提是必須要先有PoE adapter.
這邊先接入CLI模式來看看這個AP提供了那些機能, 請注意! 它沒有任介面提供, 沒有GUI, 一般情況下也無法通訊.
當AP進行初始化的時候, 可以看到這些啟動資訊, DRAM buffer為64MB, FLASH為16MB, 一顆SoC從編號應該可以猜出是Atheros的AR7100.
http://www.atheros.com/media/resourc...e_23_file2.pdf
這棵SoC上的MIPS處理器可以負責一些附加價值業務, 例如AP-scan. 由於FortiAP提供的機能非常單純, 因此這顆MIPS能做的事不多, 大多都是FortiGate做掉.
嗯嗯, 嵌入式設備常看到的BusyBox OS, Fortinet針對FortiAP提供了好幾種自訂化參數供以在FortiGate進行AC-discovery階段時所用, 如下圖所示:
這些參數在有些情況下是非常有用的, 例如FortiGate混合型架構或著多層式串聯(L2+L3...), AC探測(Discovery)指的是FortiGate對FortiAP的探測, 由於FortiAP是Zero-configuration, 除了AC探測之外, 幾乎不會負責一般應用, 像是NAT, DHCP等, 它都不具備. 所以AC探測就顯得非常重要了! 這個探測的關鍵在於FortiGate要如何與FortiAP進行通訊, 從上述的參數可以看到ADDR_MODE, 這是指定指模. STATIC是我特意在特殊情況下使用的, 它的預設會是DHCP. 探測模式使用DHCP這表示針對大多情況下可以適用. DHCP:
1. 0.0.0.0/24來源, port 67~68=[廣播]=>255.255.255.255/32
2. Gateway來源網段, port 67~68=[廣播]=>255.255.255.255/32
3. FortiAP取得IP, 之後以預設的 5246 port定期與FortiGate通訊
5246的AC port是官方預設的數值, 用以與FortiGate溝通所使用. 除非有必要, 否則不應隨便去更改. 有一點請注意, 它的廣播型態是multicast, 預設值的DST address為: 240.0.1.140的典型multicast網段. 如果有穿過像是L3設備等, 請把mutlicast放行, 否則怎麼樣也不會通. 下述是一個例子.
for example:
FortiAP[DMZ]FGT 110C(TP)[wan1]<==>[wan1]FGT 60C[wan1]VTU-R
<<includes>>{
vap1[DMZ]FGT 110C(TP)[vlan1@wan1]<==>[vlan1@wan1]FGT 60C[wan1]VTU-R
vap2[DMZ]FGT 110C(TP)[vlan2@wan1]<==>[vlan2@wan1]FGT 60C[wan1]VTU-R
}
110C處於TP mode, 這表示主要只負責firwall與UTM的單純業務, 60C則作為DHCP Server配發IP, vap稍後會再提起, 你可以當作FortiAP作為PHY可以建立多個VAP(Virtual AP), 這是與其他AP非常不同的地方, 而且很有實用價值. 從上述例子可以看出似乎是非常合理的, 當然一般情況它是可以運作, 由於牽涉到這是混合架構, 又有VLAN參雜, 這時可能會導致網路效能下降, 有時開網頁莫名其妙出錯. FortiGate預設會是同一個collision domain[def: 0], VLAN的多組產生會涉及到效能上的議題, 因此需要特別處理, 可以透過CLI將collision domain進行切割: set forward-domain [var|var is number]. 切割完後使VLAN隔離, 有效提升網路性能(非常重要!), 不過在這個例子下會使得FortiAP發生異常.
當使用110C 作為FortiAP的通訊設備, 這表示WTP會建立在110C上, 由於針對VLAN導致網路效能嚴重下降, 必須切割collsion domain隔離, 但是卻發生FortiAP無法通訊的情況. 也就是說collsion domain雖然被切割掉, 在獨立的情況會被判別不會碰撞, FortiAP建立在110C的TP模式下, 使得60C作為DHCP server莫名其妙收到重複的封包訊息. 以下是透過CLI的簡單ping測試:
因DHCP的特徵可能會導致FortiAP的異常通訊, 顯然在這種情況下, 怎麼試都不會通. 這表示AC-discovery下就會失敗. 有幾種solution可以避開:
1. 透過FortiAP的CLI(BusyBox)設定為static configuration可以完全避開.
2. 將110C的TP mode改為NAT mode, 當然! NAT與TP的記憶體資源占用有不同的明顯差異.
3. 將WTP的建立做在60C上, 同樣可以達到效果. 但是FortiAP建立的VAPs便會無法透過110C進行業務功能操作, 例如QoS.
顯然, 第一方案是可以考慮的,