如何設定Secure Wi-Fi以保護無線環境?
Zyxel Employee
在Secure Wi-Fi中,AP充當VPN客戶端並建立到Gateway的IPsec通道,然後通道模式SSID的流量可以受到IPsec VPN的保護。這種方法無需用戶終端設備上的任何設置即可為遠程辦公人員的流量(GRE over IPsec VPN)提供數據加密。該範例說明如何在AP控制器上設置Secure Wi-Fi,以加密從遠程站點的站到企業網路的流量。
支持Secure Wi-Fi的型號:
AP控制器(ZLD5.00):ATP系列,USG系列
AP(WLAN 6.20):WAX650S / WAX610D / WAX510D / WAC500 / WAC500H
可以在以下位置檢查Remote AP的功能: Monitor > Wireless > AP Information > AP List > Show Advanced Settings。
注意:為了保護Security Gateway避免因處理大量通道流量而導致過載,只能將25%的受管AP配置為Remote AP。
在AP控制器上設置Secure Wi-Fi
在由AP 控制器管理的AP上部署Secure Wi-Fi時,有兩個階段,並且狀態為連線。
第一步,完成企業網路內部的設定。
l設定AP角色為Remote AP和SSID設定
l將控制器IP更新為USG的WAN IP
第二步,遠程用戶啟動AP,然後將自動建立IP Sec通道。
l遠端對端AP上電
將AP角色設定為Remote AP和SSID設定
Secure Wi-Fi是根據Configuration > Wireless > AP Management > Mgmt. AP List > Specific AP中的AP設定進行設定的。AP List > Specific AP。
啟用AP Role到Remote AP。安全通道SSID的最大數量為四個。然後定義流量將通過通道傳輸到哪個接口以及在何處傳輸流量。
注意:安全通道只能應用於SSID,來自連接到AP的LAN port的客戶端的網路流量不會被通道回給控制器。
將控制器IP更新為USG的WAN IP
除了設定SSID,還需要在AP上覆蓋Controller的IP位址,以使其在遠程站點啟動後連接回HQ的Gateway。如果Gateway支持雙WAN,請在“secondary controller”列中添加另一個WAN IP。FQDN也是動態WAN IP的可用輸入選項,但需要相應的DNS設定。
在以下位置將Gateway的WAN IP分配為AP的控制器IP:Configuration > Wireless > AP Management > AP Policy
啟用Remote AP時,將自動添加用於CAPWAP連接的防火牆策略規則和作為用於AP的新網段(192.168.60.1/24)的Remote AP VPN IP位址。
在遠程AP上,將自動啟用Storm Control,以避免大量廣播流量從無線部分氾濫到Gateway以及其他Remote AP。無線和乙太網路Storm Control都將在Remote AP上自動啟用。
開啟遠端的Remote AP
遠程用戶打開AP的電源,然後將自動建立IP Sec通道。
測試結果
Remote AP在遠程站點啟動後,AP將自動與HQ建立IPSec VPN連接。AP和通道信息顯示在Web GUI上的以下位置:Monitor > VPN Monitor > Remote AP VPN > Remote AP VPN
可能出了什麼問題
1.在連接之前,請在接口上設定所有相應的設置。
2.Remote AP的最大數量受設備的“最大數量”限制。並且IPsec通道數量為最大受管AP數量的25%。
3. Secure Wi-Fi需要AP上的特定license。
您可以在以下位置檢查license狀態:Configuration > Licensing > Registration > Service
點擊啟用以使用Secure Wi-Fi功能。點擊購買,一個新的網頁將重新指向到Zyxel Marketplace以購買license。
license過期後,將關閉來自Remote AP的VPN連接,將禁用Remote AP上的安全通道SSID,並在啟用新license後自動恢復。
