參考資料：https://gmoond13.blogspot.com/2017/02/aruba-controller-8021x.html

需要給每個 AP 設定 AP Group。並且在 AP Group 之下還可以設定 Virtual AP，用於部署 AAA 和 SSID 指定 User VLAN。

我用的是居易的機器
但原理差不多,要先搞懂觀念才有辦法實作
1.同仁的SSID 要有同仁專屬VLAN ,遊客的SSID 也要有遊客專屬VLAN
2.不同的VLAN,那路由誰處理
3.Switch接AP的Port 有沒有設定成 trunk port,沒設定的話,怎讓不同的SSID 通過Switch

以下是我公司的圖
上面的是路由器的圖,下面是AP的圖,至於Switch，我是用無網管的所以也就不管它了
路由是由防火牆處理的,

補充說明一下，為什麼同仁的VLAN在路由器上沒Vlan ID(VID),但在AP上有
因為路由器的LAN Port 就是240 Vlan Untag,所以不用特別輸入Vlan ID 值
AP的LAN Port 又是另一個 Vlan Untag (Vlan ID=239), 所以才會有AP上的兩個SSID 都需要Vlan ID 值

如果有L2+ or L3的switch ,路由也可以讓 switch 處理(我公司的主網路架構跟wifi 路由就是switch再處理的)

fortigate 上要有wifi要用的vlan2 及ip網段,並且要設規則能上網
交換器也要設上vlan2 連上 fortigate
ap 也要設上vlan2 接上 交換器
如果都設了,應該就剩 tag 跟 untag的地方沒設好

如果還要分員工及顧客,那就要再新增vlan3

Hi qvrblz619736,

不知道你的問題是否已解決，翻閱你之前的文章，已經自主學習了Fortigate，本篇中也沒有提到Fortigate的設定，我相信你對於Firewall概念跟操作設定應該已經有一定的熟悉度，那我就條列重點供你參考，目前我也做過很多Fortigate+Aruba Switch+Aruba AP的架構，我個人覺得實惠簡單上手好用，最後補充可能會小小踩坑的地方。

1. 根據你提供的vlan網段規劃，vlan1=既有他用；vlan2=網路設備管理網段，另外需要新增公司同仁(Staff)、訪客(Guest)SSID，原則上基於ACL存取控制的考量，確實新增獨立網段最直接簡單。
   　　1. vlan default
   　　2. vlan mgmt
   　　3. vlan staff
   　　4. vlan guest
2. 假設已經完成Fortigate、CX6100的vlan設定，CX6100上5台AP635的port設定，除了trunk port之外，我們針對既有設定mgmt vlan需要設定vlan trunk native：

　　interface 1/1/19-1/1/23
　　　　no shutdown
　　　　vlan trunk native 2
　　　　vlan trunk allowed all
　　　　exit

補充一下我的設定給你參考GUI的Interfaces sheet會顯示如下：

另外一個設定方式是CX6100維持trunk all，由AP635設定上行鏈路，設定請注意小心斷線喔！。

3. AP635 SSID設定的部分就可以透過名稱來區隔，每個SSID就可以直接設定靜態vlan，讓Staff、Guest分開，SSID設定最後一步驟可以直接做第一層的ACL，並且在Fortigate上面做Policy的控管。

以上是回答你的問題，關於Aruba Switch跟AP如何讓同仁跟訪客上網的設定，以下補充Fortigate我踩到的雷。

關於我們把多個vlan放在一個port做port trunk在Fortigate有幾種方式，因為你提到既有vlan1所以如果有使用到vlan switch來收攏vlan，那要注意vlan switch本身所帶的vlan ID(父)如果不為0，那麼底下的vlan子介面無法正常運作，請參考官方文件：
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Comparing-Hardware-switches-Software-switches-and/ta-p/210092

接下來相信關於靜態路由與DHCP、DNS等等問題應該難不倒你，一起加油、工作順利！88

不用特別在SWITCH去設定VLAN
只要在 aruba 的 組態=>網路 新增一組GUEST的SSID
照下面設定,拒絕到你內網的IP網段