如何設置遠端 AP 並配置安全 Wi-Fi 以保護 Nebula 上的無線環境?
Zyxel Employee
前言
Wi-Fi 網路讓工作人員在家遠端工作更加方便且安全。遠端 AP 功能允許遠端工作人員安裝自動連接到中央辦公室專用網路的 AP。遠端 AP 作為 VPN 用戶端與閘道建立 IPsec 通道,通道模式 SSID 的流量可以通過 IPsec VPN 進行保護。此方法為遠端工作者的流量(GRE over IPsec VPN)提供數據加密,而無需在使用者的終端設備上進行任何設置。
本篇文章說明如何在 Nebula 上設置安全 Wi-Fi,以加密從遠端網路中的工作站到企業網路的流量。
可以在以下位置檢查遠端 AP 的功能是否啟用和遠端狀態:設備 > 無線基地台(AP)
在 Nebula 上設置安全 Wi-Fi
在 Nebula 上設置安全 Wi-Fi 有三個階段。
1. 註冊設備:
USG FLEX 和 AP 必須在同一個 Nebula 站點,USG FLEX 需要有安全 Wi-Fi License。
可以在以下位置檢查授權狀態:授權與設備狀態。
若要購買安全 Wi-Fi License,您可以到 Zyxel Marketplace 購買。然後按照教學步驟啟用:How to Activate Secure WiFi License
2. Nebula上的設備設置:在SSID上設置閘道介面、AP角色和安全隧道。
啟用 AP 角色為遠端 AP 和 SSID 設置
遠端 AP 設置:設備 > 無線基地台(AP)。選擇AP,然後點擊 AP Role 配置 SSID。連接到此 SSID 的無線客戶端可以通過 GRE 通道連接防火牆指定介面底下的裝置。最多只能設置 4 個安全通道SSID。
配置每個遠端 AP 的本地 SSID 設置
遠端 AP 設置:設備 > 無線基地台(AP) > 指定 AP 狀態頁面。本地 SSID 設定經過簡化,獨立於 SSID 設置,最多只能設置 2 個本地 SSID。管理員必須設定 SSID 名稱,Wi-Fi 密碼只能設定 WPA2 或 WPA3 個人版。
本地 SSID 流量將不會透過通道連回防火牆。
3. 裝置部署:將AP部署到遠端工作者的家中,由遠端工作者即插即用安裝。
在遠端AP上,風暴控制會自動啟動,以避免從無線部分到閘道和其他遠端 AP 的巨大廣播流量泛濫。無線和乙太網風暴控制都將在遠端AP上自動啟用。
測試結果
遠端AP在遠端網站啟動後,AP 將自動與總部建立 IPSec VPN 連接。AP 通道連線狀態顯示在 Nebula上:監控 > 防火牆 > VPN 連接
可能出現什麼問題?
- 請確認設定皆已在 Nebula 完成,並且設備狀態也顯示"最新的"。
- 最大遠端 AP 數量受裝置功能限制:
