Rss

FortiAP 220B開箱文

FortiAP 220B(Zero-config)

(原作VXR)
FortiAP是 Fortinet推出的一款輕型(thin)無線AP, 是一款單純的AP. 規格書上標明Zero Configuration, 採用CAWAP協定, 暗示了本身幾乎不需要做任何設定(P1). FortiAP這一系列主要是用來配套FortiGate產品, 與之類似的有FortiWiFi系列(20C/40C/50B/60C…). 它不具備任何常見的功能, 也無法單獨進行調整(P1), 只有當連接到FortiGate時, 才可以允許相關功能維護(透過FortiOS系統).

FAP-220B_Lt.png

從上圖外觀可以清楚的看出它是隱藏式天線, 無法更換. 根據規格書上顯示是2R2T, 以222B產品推論來看, 應該是常見的2dbi. 因此這部份就真的沒甚麼好講的, 除此之外還附帶特別的monitor功能(兩組)提供AP-scan機能. 從實際的物品來看看, 如圖下所示:

201209202055.jpg

圖中可以看出它有7組LED標示燈, WiFi1~3標示天線使用部分, 因為是2R2T, 當Radio1和Radio2透過FortiOS開啟時, 便會亮起, WiFi3部分無法使用, 應該是針對3R3T產品(未來?, Fortinet目前沒有). ETH則是骨幹部分, 連到FortiGate所使用, ethernet規格為GbE, 剩下那三組就不再提起.

201209202056.jpg

背面的部分實在簡單, USB目前不可用, 規格書只說明for future use, CONSOLE當然就是需要RJ-45 to RS232 cable開通CLI使用, 針對特殊情況下. ETH PoE就是可以拿來連接FortiGate, 而外它還支持802.3af, 可以免AC電源連接, 當然這個前提是必須要先有PoE adapter或著L2/L3 PoE設備.

FortiAP的設計是遵循CAWAP(Control And Provisioning of Wireless Access Points)規範, 意味著AP本身的大多業務是交由上層可支援設備(FortiGate)來處理, CAWAP標準可以參考RFC-5415及RFC-5416文件:

1. http://tools.ietf.org/html/rfc5415

2. http://tools.ietf.org/html/rfc5416

透過CAWAP的實作, Fortinet規劃了兩種實體設備類型, 負責不同的業務操作: AP(WTP)和AC.

1. AP: Access Point, 即無線收發端本身, 通常僅是單純對無線數據(wireless frames)的收發送操作, 又稱WTP(*).

2. AC: Access Controller, 當AP傳送過來的數據, 將會轉交由AC單元進行處理, AC會乘載大多業務操作.

* WTP: Wireless Termination Point

201209241535.gif

將AP和AC與Fortinet的設備進行對應, AP即為FortiAP; 而AC則是可支持的FortiGate. 基於CAWAP規範的實際, 如下幾個重點:

1. AP如果要和AC彼此通訊, 必須要藉由AC-Discovery階段進行探測.

2. 基於CAWAP規範的實作, 通訊時(配發IP之後)使用的port為5246/5247, UDP(*).

3. CAWAP規範可以使用DTLS(Datagram Transport Layer Security)通道進行加密, 保證安全性. Fortinet目前只針對control traffic進行加密.

4. 訊框(frame)傳送類型支持基於802.11的無線訊框(wireless frame)以及802.3的乙太網路訊框轉換.

201209241439.jpg

5. 一組AC可以管理超過10個以上的AP(WTP, managed AP), AC可以提供更強大的安全性認證.

簡單的說明CAWAP規範後, 對於FortiAP, 先連入到CLI模式來看看這個AP提供了那些機能, 請注意! 它沒有任介面提供, 沒有GUI, 一般情況下也無法外部通訊(FortiWiFi則是可以使用FortiGate的CLI進行操作).

201209202052.gif

當AP進行初始化的時候, 可以看到這些啟動資訊, DRAM buffer為64MB, FLASH為16MB, 一顆SoC從編號應該可以猜出是Atheros的AR7100.

201209221230.gif

http://www.atheros.com/media/resourc…e_23_file2.pdf

這顆SoC上的MIPS處理器可以負責一些附加價值業務, 例如AP-scan. 由於FortiAP提供的機能非常單純, 因此這顆MIPS能做的事不多, 大多都是FortiGate(AC)做掉.

使用cat /proc/cpuinfo命令查看有關AR7100的MIPS CPU部分, 列出一些簡單的資訊:

201209261456.jpg

BogoMIPS為451.58, 所以clock猜測大約介於300~400MHz之間, MIPS 24K家族.

201209202053.gif

嵌入式設備常看到的BusyBox OS, Fortinet針對FortiAP提供了好幾種自訂化參數提供在進行AC-Discovery階段時採用, 這些自訂化參數如下圖所示:

201209202054.gif

這些參數的自訂化在有些情況下是非常有用的, 例如FortiGate混合型架構或著多層式串聯(L2+L3…). 基於CAWAP標準, AP(WTP)與AC之間的連線必須會接過AC-Discovery的探測階段, AC探測(Discovery)指的是FortiGate對FortiAP的探測, AP(WTP)本身除了AC探測之外, 幾乎不會負責一般業務應用, 像是NAT, DHCP等, 它都不具備. 所以AC探測就顯得非常重要了! 這個探測的關鍵在於FortiGate要如何與FortiAP進行通訊, 從上述的參數可以看到ADDR_MODE, 這是定址模式. STATIC是我特意在特殊情況下使用的, 正常預設值會是DHCP. 定址模式使用DHCP針對大多情況下可以適用. 在DHCP階段:

1. 0.0.0.0/24來源, port 67~68=[廣播]=>255.255.255.255/32

2. Gateway來源網段, port 67~68=[廣播]=>255.255.255.255/32

3. FortiAP取得IP, 之後以預設的 5246 port與FortiGate通訊.

201209221425.gif

[for example]

Broadcast DHCP request:

wan1– 0.0.0.0.68 -> 255.255.255.255.67: udp

wan1 — 192.168.8.1.67 -> 192.168.8.2.68: udp

The FortiAP unit is assigned the IP address 192.168.8.2. It will then communicate with the WiFi controller on 192.168.8.1 using the CAPWAP control port 5246.

5246的AC port(udp)是官方預設的數值, 用以與FortiGate溝通所使用. 除非有必要, 否則不應隨便去更改. 有一點請注意, 它的預設廣播型態是multicast, 預設值的DST address為: 240.0.1.140的典型multicast網段. 如果有穿過像是L3設備等, 請把mutlicast放行, 否則怎麼樣也不會通. 下述是一個例子.

[for example]

FortiAP[DMZ]FGT 110C(TP)[wan1]<==>[wan1]FGT 60C[wan1]VTU-R

<<includes>>{

vap1[DMZ]FGT 110C(TP)[[email protected]]<==>[[email protected]]FGT 60C[wan1]VTU-R

vap2[DMZ]FGT 110C(TP)[[email protected]]<==>[[email protected]]FGT 60C[wan1]VTU-R

}

110C處於TP mode, 這表示主要只負責firwall與UTM的單純業務, 60C則作為DHCP Server配發IP, vap稍後會再提起, 你可以當作FortiAP作為PHY可以建立多個VAP(Virtual AP), 這是與其他AP非常不同的地方, 而且具實用價值. 從上述例子可以看出似乎是非常合理的, 當然一般情況它是可以運作, 由於牽涉到這是混合架構, 又有VLAN實作, 這時可能會導致網路效能下降, 有時開網頁莫名其妙出錯. FortiGate預設會是同一個collision domain[def: 0], VLAN的多組產生會涉及到效能上的議題, 因此需要特別處理, 可以透過CLI將collision domain進行切割: set forward-domain [var|var is number].

201209221830.gif

切割完後使VLAN隔離(*), 有效提升網路性能(非常重要!), 不過在這個例子下會使得FortiAP發生異常.

* 做VLAN時, 建議把VLAN上的PHY透過CLI將vlanforward關閉掉, 避免VLAN封包被轉發到全部介面上.

當使用110C 作為FortiAP(WTP)的通訊設備(AC), 這表示WTP會建立在110C(AC)上, 由於針對VLAN導致網路效能嚴重下降, 必須切割collsion domain隔離, 但是卻發生FortiAP無法通訊的情況. 也就是說collision domain雖然被切割掉, 在獨立的情況會被判別不會碰撞, FortiAP(WTP)建立在110C的TP模式下, 使得60C作為DHCP server莫名其妙收到重複的流量訊息. 以下是透過CLI的簡單ping測試:

201209221416.gif

因DHCP的階段可能會導致FortiAP的異常通訊, 顯然在這種情況下, 怎麼試都不會通. 這表示AC-Discovery階段不會成功. 有幾種solution可以避開:

1. 透過FortiAP的CLI(BusyBox)設定為static configuration可以完全避開, 使用unicast通訊.

2. 將110C的TP mode改為NAT mode, 當然! NAT與TP的記憶體資源占用有不同的明顯差異.

3. 將WTP的建立做在60C(AC)上, 同樣可以達到效果. 但是FortiAP建立的VAPs便會無法透過110C進行業務功能操作, 例如QoS.

顯然, 第一方案是可以考慮的, 但是必須要從FortiAP的BusyBox進行對組態參數的更改(*). 當然! 第二方案也是可行, 不過TP轉NAT可能會破壞現有網路架構, 而且NAT會大幅提升記憶體資源占用, 另外不會pass-through. 最後的solution不是不行, 但是沒甚麼意義! 因為FortiAP的Gateway UTM不會對FortiAP建立的VAPs進行任何操作, 它僅僅只是轉發(只是一個bridge). 因此這個方案不如把FortiAP接在60C下.

* 如果使用FortiWiFi則可以透過FortiOS的CLI進行修改.

在上述的案例, 如果僅僅只是單純的混合架構, collision domain沒有切. 那麼可以不必理會, 但是要注意mutlicast的轉發:

201209221443.gif

總結說明在AC探測(Discovery)下, FortiAP與FortiGate總共提供的通訊模式(port: 5246, udp):

1. Multicast, 預設模式, 可以跨domain

2. Broadcast

3. Static IP, unicast, 效率最高

Broadcast我沒提到, 但是我不建議使用. 特殊的案例推薦使用Static IP, 除了不必為了一組AP建立DHCP之外, 還可以節省記憶體資源. 如果是以FortiWiFi作為轉換(將WiFi unit上的無線AP功能切換到managed AP轉交給其他FortiGate管理與資源負載), 使用的做法比較不同, 以下是相關的commands:

201209221450.gif

AC-Discovery即為FortiAP的佈署階段, 這個前置作業非常重要! 根據不同的環境進行設定與維護, 預設模式(Multicast, DHCP)並不一定符合需求, 得視當時的條件而定.

在預設的DHCP模式下, 從DHCP server, 如果是FortiGate會有一些特殊設定. 如下圖所示的DHCP Server建置畫面:

201209221401.gif

從上圖看到特別需要提起的是紅框圈選的Options項目部分, 即為OPTION CODE, 這個CODE主要可以與FortiAP或著FortiWiFi預設的OPTION CODE進行核對與綁定.

201209221504.gif

OPTION CODE如果為符合, 便可以和FortiAP(AC)進行綁定(bind), 將輸入的16進位(Hex)轉換為IPv4位址指派給FortiAP:

C0A819C3=> C0.A8.19.C3=> 192.168.25.195

如果同時存在兩組AP以上, 則需要將其它的AP進行OPTION CODE的更改, 以免衝突. 此為一個簡單的DHCP配置ForiAP應用. 當multicast廣播時, FortiGate便會探測到FortiAP的存在, 這時從Managed AP項目可以看到新增的控制器.

201209221522.gif

預設是未授權, FortiAP必須要事先經過授權過後才能通訊使用. 但是在授權之前, 相關的AC探測會試圖完成(失敗的話會是Disconnected).

201209221523.gif

當授權認可過後, 便可以對該AP進行配置與維護. 並且可以查看AC探測後相關的連線資訊.

201209221524.gif

除了查看資訊以外, 也可以升級f/w, 反授權與重新啟動等…這些操作. AP的設定不會是固定, Fortinet可以彈性設定多組的AP profile進行客製化. 這部分必須是機型的model而選定. 如下圖所示:

201209221525.gif

FortiAP 220B支援dual-band, 因此可以運行在2.4G和5G的不同頻帶下, 但是5G只能在radio 1下設定. 有一點要注意! 40MHz頻寬只能在5G使用, 2.4G不支援. FortiAP允許多SSID共通綁定, 除此之外使用FortiOS也可以設定多組Managed AP綁定同一個SSID. SSID部分是這款AP與其他AP稍微不同的地方, FortiAP可以當成是一個PHY, 從這PHY建立多組的VAPs(有限制, 大約可以建立14組左右).

201209221834.jpg

各種VAP可以適用在不同的業務管理, 比方說水平式布局管理各部門配置, 以policy-based configuration配置不同部門所能使用的QoS, 封包優先權等…

201209221526.gif

一組SSID的建立會綁定一組虛擬介面的產生(可以當成是一個VAP), 同時也可以決定是否配置DHCP. 視當時環境而定, 下圖為SSID的建立畫面, 這是TP模式下部分, 如果為NAT模式則會多出DHCP的配置設定.

201209221527.gif

SSID建立會綁一組虛擬介面, 即為一個VAP, TP模式下可以使得多組SSID透過policy對應同一DHCP Server去共網段. 如果NAT則需要換一些手法, 例如做combined, 可參考相關的文獻:

http://kb.fortinet.com/kb/microsites…200%2037796535

從上圖可以看到Rogue AP Settings部分, 以為AP Scan機能. FortiOS提供的AP Scan可以如下配置:

1. 建立獨立的Monitor去綁在某個radio下

2. Monitor可以與一般資料收送混合傳送.

201209221530.gif

第一方案不會有任何干涉, 他是獨立的, 因此不會影響. 第二方案會影響一般資料傳輸, 它一定要透過CLI進行微調. FortiAP對於AP-scan機能操作會在本身的MIPS處理器這邊做掉, 因此他不會太大影響FortiGate的CPU機能, 但是FortiWiFi的情況就不一樣了, 該unit內置的WiFi controller使用AP-scan將會對CPU造成明顯的影響. 以60C來說, 將會消費15~20%的CPU資源, 因此可以說是相當寶貴.

201209241554.jpg

當啟用AP-scan機能後, 便會定期執行背景掃描. Rogue AP On-Wire是一種授權防護機制, 可以對跨入到FortiAP的連線裝置進行封鎖. 這項機能啟用之後, 便會出現一個新的GUI monitor提Rogue AP的預覽, 如下圖所示:

201209221831.jpg

從上圖可以看出透過右鍵選擇是否標記為Rogue或著Accepted, 決定接受連線或著封鎖. 該功能會定期產生回報(report), 從Event Log可以查看. 如果將AP-scan合併成背景掃描活動, 可能會影響無線網路傳輸性能, 因此需要藉由CLI進行調整:

201209221832.jpg

AP-scan的週期回報是15秒左右, 這是預設值. 當然! 可以透過CLI進行調整, 最高可以拉到600秒做延期回報.:

201209221833.jpg

預設情況下, Log Config的Wireless Event Log是開啟的, 可以從Event Log部份去查看相關的Rogue AP紀錄資訊, 如下圖所示:

201209241559.gif

當相關的設定完成時, 便可運許client端透過FortiAP(WTP)連入到FortiGate(AC), 配發IP進行網路連線, 相關的資訊除了在DHCP Monitor可以查看之外, 也可以透過Client Monitor查看當前的無線用戶端資訊, 如下圖所示:

201209241606.gif

另外也可以在Dashboard部分, 使用Traffic History選定有關的VAP介面來監控當前的無線網路流量:

201209241610.gif

自Fortinet發展出專有的ASIC加速電路-FortiASIC, 其中有一項為Network Processor, 簡稱為NPU. NPU對於網路效能上有巨大的影響.

201209241620.gif

NPU通常提供規模性的封包I/O加速, 另外也兼任VPN的加速業務. 通常只有中高階以上的機種(100D, 200B or up)才具備這項ASIC加速, 在新型的低階機種FortiGate 60C(or FortiWiFi)也提供的NPU設計(稱為NpLite), 有效的NPU加速為FastPath, 不會丟到CPU的SlowPath情況. 能巨大化網路效能, 可惜的是從wireless出來的traffic無法被NPU乘載, 只能被CPU照單全收, 大量的情況下會對性能造成衝擊, 尤其以FortiWiFi來說, 提供了NPU, 但是wireless traffic無法丟入, 很容易對效能造成重大傷害. 一種改善方案就是作為managed AP接到性能更強的機器, 例如200B(Celeron 1.2GHz, 2GB DRAM, NP2, CP6), 作為AC進行wireless traffic的相關I/O操作.

201209241644.jpg

使用這樣的方式對於網路效能上有一定程度的改善, 而且UTM, QoS Traffic Shaper也無法丟入NPU進行加速, 因此需要機能較強的FortiGate來操作.

最後, 在這裡總結對於FortiAP的一些重點:

1. 使用CAWAP標準, 因此跟一般的AP不同, 他需要FortiGate作為AC進行中央管理.

2. AC-Discovery得視當時的建置情況而定, 通常原廠預設足以應付大多情況.

3. 跨PHY之上的VAP管理, 提供各彈性的多點配置.

4. Rogue AP機能在FortiWiFi機種會明顯消耗CPU機能; 而FortiAP則是內置的MIPS處理器做掉.

5. 如果可以, 最好的設置方案使用Static IP configuration進行佈署.

6. 未來的FortiOS 5.0會大幅提升無線網路性能, 屆時會有明顯的改善.

7. wireless出來的traffic無法被NPU進行加速, 只能CPU全部吃掉.

8. 基於CAWAP標準, AP與AC之間建立的tunnel, 只有control traffic能被DLTS進行加密.

9. 多組FortiAP可以實現無縫漫遊機能, 多個AP的PHY可以共綁一組SSID. 一組SSID可以當成一個virtual interface.

10. 提供PoE支持, 但是需要PoE設備來供電.

12. 支援2.4G和5G頻段, 但是40MHz頻寬只有5G支持.

13. virtual interface可以和其他physical interface共綁在同一網段, 但是需要特別設置.

下面是關於FortiAP以及FortiWiFi的規格差異比較:

201209221849.jpg

*FOS v5.0 improvement:

1. IDS supported.

2. VLAN supported.

3. improve wireless performance.

4. enhanced mesh network supported.

5. improve CAPWAP support.(data channel encryption(s/w-based)).

6. Client Load-balancing(Freq&AP).

7. WTP mode is not supported.

 

Like This Post? Share It

Previous Post

Next Post

發表迴響

您的電子郵件位址並不會被公開。 必要欄位標記為 *