iT邦幫忙

0

如何讓fortiGate篩選認證過的Mac Address後 才讓使用者上網

想請問各位大神
我想要讓使用者先登記他們的MAC後 列成一張清單
再讓AP去查找當前連線的裝置是否在清單中
如果是的話就連線
想請教有辦法做嗎
或者MAC位址是直接建在fortiGate 不要透過RADIUS伺服器

https://ithelp.ithome.com.tw/upload/images/20210906/20124213RmpalnnGuI.png

2 個回答

1
mytiny
iT邦大師 1 級 ‧ 2021-09-06 14:29:12
最佳解答

樓主要的功能很基本,一般稱BYOD
不過從OS5.2就開始有提供圖形介面設定
OS6.0, 6.2, 6.4 設定都略有不同
而且有些差異還不小
比如說所在的GUI功能位置也有不同
當然CLI設定也略有差異

請留意關鍵字"設備辨識"
目前應該都放在 address 的設定裡
說真的,沒有SI跟樓主當面講解一遍
用起來就是會不一樣
樓主可以先試試看

看更多先前的回應...收起先前的回應...

的確
我看youtube影片教學(5.4版)有一項是Custom Devices & Groups
感覺像是我要的
https://ithelp.ithome.com.tw/upload/images/20210906/20124213B9VuRTRuyw.png

但我的6.4版卻沒有出現
https://ithelp.ithome.com.tw/upload/images/20210906/201242135JHAhnjkis.png

想請大師們指點迷津...

mytiny iT邦大師 1 級 ‧ 2021-09-06 15:17:08 檢舉

FortiOS 6.4在
政策&物件 > 位址物件 > 新增位址
在選項內 "類型" 選 設備(MAC Address)

然後在防火牆的政策裡
來源就可以選的到

Tips:
樓主也可以直接在FortiView內
找到該設備,點右鍵直接"新增防火牆位置"

我有點迷惑了
最後是否要再設定網路 > 介面 > WiFi SSID呢
但好像沒地方選擇之前設定過的 防火牆政策 or 位址群組

mytiny iT邦大師 1 級 ‧ 2021-09-07 09:49:08 檢舉

當然要先設SSID,建議選Tunnel模式
當SSID設好後,會自行新增介面
防火牆政策設SSID to 出口介面
將來源做addres group的限制即可
就跟一般policy設法一樣的

wifi部分終於OK 非常感謝您

想再請教您
1.假設有一百台設備 只能一台一台新增位址物件/群組嗎 還是有更便捷的方式
2.一百台設備建進去後 畫面會變得很雜 有推薦的管理方式嗎

mytiny iT邦大師 1 級 ‧ 2021-09-08 14:53:35 檢舉

感謝樓主給分,非常感謝!
如果有很多台需要設定
可以用匯入scripts的方式,一次性倒入全部

2
j578882
iT邦新手 5 級 ‧ 2021-09-06 13:17:35

要用CLI方式設定MAC address
config wireless-controller address
edit '設備名稱'
set policy allow
set mac XX:XX:XX:XX:XX:XX
end
設定允許MAC 群組
config wireless-controller addrgrp
edit '群組名稱'
set default-policy deny
append addresses '設備名稱'

SSID的配置也要加入address-group
config wireless-controller vap
edit 'SSID'
set address-group '群組名稱'

看更多先前的回應...收起先前的回應...
zyman2008 iT邦大師 7 級 ‧ 2021-09-06 22:22:00 檢舉

沒想到這個功能竟然沒有GUI 可以設定

j578882 iT邦新手 5 級 ‧ 2021-09-07 09:01:38 檢舉

5.X版本有 不知道為什麼6.X版本以後移掉

mytiny iT邦大師 1 級 ‧ 2021-09-07 22:47:28 檢舉

兩位大大請去address部分嘗試(OS6.4-7.1)
在下很確定功能可以由GUI完成
設定方法及所在位置不同並不代表GUI功能沒有

j578882 iT邦新手 5 級 ‧ 2021-09-08 09:08:23 檢舉

感謝mytiny大大告知 這方法是使用Policy去做Src Mac綁定限制上網
但是不允許的設備仍會通過SSID的認證取得DHCP IP只是不能上網
我的方法是直接在SSID認證時擋下 這設定方式在5.X版本的時候是能直接在SSID的GUI介面下設定Mac address的

感謝大大的回答
以後有機會再試試CLI的方式

mytiny iT邦大師 1 級 ‧ 2021-09-08 14:50:05 檢舉

不允許的設備仍會通過SSID的認證取得DHCP IP

其實並一定會這樣哦,可能跟SSID以下三項設定有關

  1. Traffic mode
  2. Security mode
  3. Broadcast suppression

設定管理方式只有更進階,沒有取消
建議實際狀況請教銷售的SI或代理商提供技術支援

j578882 iT邦新手 5 級 ‧ 2021-09-08 15:39:19 檢舉

感謝mytiny大大的說明 我再與SI聯繫詢問試試

我要發表回答

立即登入回答