公司有兩台fortigate,100D在台北,60D在高雄有透過專線連線,因為兩地常來往開會,且有設定MAC的白名單(名單內才可連線網路),請問兩個MAC 保留 + 存取控制可以設定同步嗎?或有方式可以批次轉存嗎?不然每次都一筆筆加入
已邀請的邦友 {{ invite_list.length }}/5
版大的描述有一些不清楚的地方
小弟猜想所指60D應該是Fortiwifi60D
而所謂的Mac白名單,不知是否是運用"設備認證"BYOD功能?
因此小弟按自己經驗先說一下看法,不周之處請包涵
1.無法設定同步,除非指到外部用FortiAuthenticator
2.可以批次轉存,方法如下:
A.備份config檔,擷取認證部分,另存.txt檔
B.到另一台進系統管理>設定>進階>腳本>上傳大量CLI指令檔
其實小弟有更好的建議
就是買兩台FortiAP,兩邊各擺一台
但是以FG100D做為唯一的無線控制器
這樣SSID以"設備認證"為主BYOD
這樣不管到哪裡(包括拿FortiAP到家裡)
都可以有一樣的安全認證法則(請參考以下影片)
https://www.youtube.com/watch?v=WhMpwCNWwbM
mytiny大 您好,sorry我沒表達清楚,就是100D跟60D
1.CLI指令應該就是 config reserved-address裡吧?
2.那要如何以SSID以"設備認證"為主BYOD設置?影片中只說可以設定成local briding per ssid
,如果將它設定成這樣,我原先設定可能要變動,60D上目前已經有許多policy跟路由,我這部分必須獨立,請問有只設定SSID以"設備認證"方式嗎?
原來影片請注意0:30至1:10,講述的是架構問題
如果版大仔細看,會發現只需要一台Fortigate當Controller
而所有版大原先的設定均無須改變
版大用的應該是DHCP來控制IP的方式
其實如果自設IP很可能會讓管制IP失效
可以觀看下述影片,改為用device來管理
https://www.youtube.com/watch?v=DEw-xaylBSA
因此透過無線SSID登入時,無論在哪個環境
都會得到跟在辦公室一樣的IP與設備管控
建議版大購買FortiAP時找熟悉該技術的SI
補充:只有SSID可以"設備認證"方式嗎? 並不是
但先決條件是必須直接connect到Fortinet設備
或是同在一個L2的環境,這樣才收的到mac
iThome鐵人賽
看影片追技術