FortiAP与AC之间加入上网行为管理,CAPWAP的问题

客户网络从内到外的顺序是:

PC---》FortiAP---》上网行为管理(透明部署)---》FortiGate(AC)---》Internet

现在的问题是,上网行为管理只能看到FortiAP的IP地址,应该是(没有抓包)AP和AC之间使用CAPWAP数据隧道,数据用udp封装了。导致上网行为管理设备不能控制无线用户的行为。

Fortinet是否有设置项,使用CAPWAP只做控制,不做数据隧道。使上网行为管理设备可以管理到AP分配的IP?或者其它配置和部署方式,实现上述功能?
已邀请:

linzongxun

赞同来自: 郝东旭 lchaihui

在新FW终结的意思是ap-fw之间有隧道,之外没有隧道;上网行为管理设备可识别流量,并且从流量中获取源IP(在新FW没有启用Src-NAT的前提下),关于FortiAP的原理,多看文档多看做测试就知道怎么回事了

二十四

赞同来自:

我的环境也是跟你一样,我想知道的是AP和AC之间是靠那些端口传输的,我想在上网行为管理上只给AP到AC开放这些端口权限就可以了;现在我在上网行为管理上只是简单的把AP的网段直接放在排除地址,感觉很不安全。

linzongxun

赞同来自:

这种情况,可以考虑专门拿出一个VDom来做AC,流量继续绕回上网行为->nat gate(另外一个vdom)->Internet

郝东旭 - 新手上路

赞同来自:

问一下
如果wifi在新FW终结,那么回流行为管理,是不是也只是看到新FW的IP,不能区别开AP下接入的各个ip?如果想继续监控到IP有什么办法javascript:;

skczcm

赞同来自:

我好多地方都是这样做的,其实只要wifi ssid接口到此vdom 内网接口策略做路由模式,这样ssid 网段都可以看到,回到上网行为再出去(另外vdom)

liweifeng - Fortinet-李威峰

赞同来自:

可以把AP模式设置为桥接,这样控制和数据分离,控制走AC,数据走本地,上网行为管理能够监视到终端的流量。

要回复问题请先登录注册