FortiAP-S:FAQ: Unterschied zwischen den Versionen

Version vom 21. Oktober 2015, 15:11 Uhr

FortiAP-S:FAQ

 24 X 7 PROMOTION bis 31. Dezember 2015
 
                        Weitere Informationen finden Sie hier!

Vorwort

Diese FAQ's sind für FortiAP-S Systeme basierend auf OS 5.4 sowie FortiCloud v2.0/2.5

Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

Documentation

Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?

Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiAP-S Devices:

       Fortinet:ProduktInfo

Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:

       http://community.fortinet.com/

Auf folgender Seite findet man alle orginal Dokumente betreffend FortiAP-S:

       http://docs.fortinet.com/fortiap/admin-guides

       FortiOS 5.4
       Datei:Fortiap-s-release-notes-540.pdf

       Datei:FortiAP-S-Series-Deployment-Guide.pdf
       Datei:FortiCloud FAQ.pdf

Hardware

Was ist unter einem "Fortinet Smart Access Point" (FortiAP-S) zu verstehen und um was handelt es sich dabei?

Fortinet verfügt heute über drei Produkt Linien (exkl. Meru) betreffend Forti Access Point dh.:

       Light Forti Access Point
       Thick Forti Access Point
       Smart Forti Access Point
       
       NOTE Weitere Informationen zu den Light/Thick Forti Access Points siehe auch folgender Artikel:
            
            FortiAP:FAQ#Welche_FortiAP_Produkte_Linien_existieren_und_was_sind_die_Unterschiede.3F

Smart Forti Access Point oder kurz auf FortiAP-S verfügen über UTM Features "auf" den Access Point's und können "nur" über "FortiCloud Wireless Controller" verwaltet werden! Dabei sind folgende Informationen zu beachten:

       - Forti Smart Access Point's können "nicht" über einen FortiGate Wirlesss Controller betrieben werden!
       - Forti Smart Access Point's können "nur" über FortiCloud Wireless Controller betrieben werden (Ab FortiCloud v2.0.0).
       - Forti Smart Access Point's werden gekennzeichnet als FAP-S Serie.

FortiAP-S wurden im Q3 2015 released und werden im ersten Schritt über folgenden UTM Features verfügen:

         IPS
         Web Content Filtering
         Antivirus (Flow Based)
         Access Control List (Allow/Block)
         Application Control
         Botnet Protection

In einer zweiten Phase (Datum umbekannt wahrscheinlich Q4) werden die UTM Features erweitert mit folgenden Funktionen (Vorbehalt):

         Application Rate-Limiting
         DSCP Value Changing
         Network Address Translation (NAT)
         User Group Based Policies (Firewall)

Welche Hardware/Device existieren für FortiAP-S und wie unterscheiden sich diese?

Die FortiAP's die momentan verfügbar sind, sind Indoor Access Point's:

Diese werden in zwei Kategorien eingeteilt dh. 311C und 313C mit einem Radio sowie 321C und 323C mit zwei Radio:

Details zu den einzelnen Devices siehe folgender Artikel:

       Fortinet:ProduktInfo#FortiAP-S

Wie wird der Wireless Controller in der FortiCloud für den FortiAP-S Device lizensiert?

Die Linzenz für den FortiAP-S Device für den Wireless Controller in der FortiCloud ist in der Device SKU enthalten. Es muss keine seperate Lizenz erworben werden:

       "Hardware SKU includes FortiCloud AP Management License"

Power Adapter

Wo finde ich eine Uebersicht ob ein FortiAP-S mit PowerAdapter geliefert wird oder PoE unterstützt??

Die FortiAP-S werden ohne PowerAdapter geliefert und unterstützen PoE folgendermassen:

       NOTE Betreffend FortiAP und PowerAdapter / PoE siehe nachfolgnder Artikel:
            
            FortiAP:FAQ#Wo_finde_ich_eine_Uebersicht_ob_ein_FortiAP_mit_PowerAdapter_geliefert_wird_oder_PoE_unterst.C3.BCtzt.3F

       FortiAP-S311C          Injector order: GPI-130 IEEE 802.3at (25.5 W)
       FortiAP-S313C          Injector order: GPI-130 IEEE 802.3at (25.5 W)
       FortiAP-S321C          Injector order: GPI-130 IEEE 802.3at (25.5 W)
       FortiAP-S323C          Injector order: GPI-130 IEEE 802.3at (25.5 W)

Wenn für die oben aufgelisteten FortiAP-S ein seperater PowerAdapter bestellt werdem möchte ist folgender Artikel kompatibel und zu beziehen:

       ALSO SKU     Fortinet SKU            Beschreibung
       
       16503530H    SP-FG20C-PA-EU          AC power adaptor FG/FWF-20C series, FG/FWF-30D, FS-28C, FAP-28C, FAP-221C, FAP-320B and FAP-320C,
                                            FortiAP-S311C, FortiAP-S313C, FortiAP-S321C, FortiAP-S323C

FortiCare/FortiGuard

Wieso benötige ich für einen FortiAP-S ein FortiCare/FortiGuard?

Um die UTM Features auf einem FortiAP-S zu benutzen, muss eine FortiGuard Subscription (Bundle) zum FortiAP-S erworben werden! Es steht auch explizit nur FortiCare 8 X 5 oder 24 X 7 zur Verfügung. Wenn jedoch ein FortiAP-S nur mit FortiCare ausgestattet wird stehen die verschiedenen UTM Features nicht zur Verfügung resp. können nicht konfiguriert werden.

Antenna

Kann man die FortiAP-S mit externen Antenna's nach-/ausrüsten?

Grunsätzlich ist dies möglich dh. das FortiAP-S Modell entscheidet über den verfügbaren Anschluss und ob dies möglich ist oder nicht! Sprich ob der vorhanden Anschluss zur Verfügung steht oder nicht. Ob dies der Fall ist, kann im jeweiligen Quickstart und/oder Datasheet eruiert werden:

       Fortinet:ProduktInfo#FortiAP-S

Ebenfalls führt Fortinet eigene externe Antenna's. Der Wirkungsgrad etc. kann im jeweiligen Datasheet nachgelesen werden:

       Fortinet:ProduktInfo#FortiAntenna

Was ist zu beachten wenn ein FortiAP-S mit einer externen Antenne ausgerüstet wird?

Eine externe Antenne "verteilt" das Signal nur dh. es verstärkt dieses nicht! Die Antennen "verteilen" das Signal in Ihrer speziellen Art und Weise. Verstärker resp. Verstärkungen eines Antennen Signals für zB Richtfunk ist Bewilligungspflichtig:

       http://www.bakom.admin.ch/themen/frequenzen/00689/01638/index.html?lang=de

Welchen Anschluss benützt eine FortiAP-S für den externen Antennen Anschluss?

Grundsätzlich gibt das Datasheet und/oder der Quickstart Guide Auskunft welcher Anschluss benützt werden muss/kann:

       Fortinet:ProduktInfo#FortiAP-S

Gibt es von Fortinet eine "omnidirect" externe Antenne?

"Omnidirect" bedeutet 360°; was wiederum bedeutet das Signal wird durch die Antenne 360° verteilt. Das Gegenteil wäre "unidirect" was wiederum einer Richtantenne entspricht (gebündelt). Bei den Fortinet Antennas gibt das jeweilige Datasheet Auskunft über die jeweilige Art und Weise der Signal Verteilung:

       Fortinet:ProduktInfo#FortiAntenna

Grundsetup

Wie nehme ich ein FortiAP-S in Betrieb und konfiguriere ich diesen?

Der nachfolgende Artikel zeigt wie ein FortiAP-S in Betrieb genommen wird. Dazu wird ein neuer FortiCloud Account erstellt und ein Device darin aktiviert sowie eine Grundkonfiguration durchgeführt!

Wie Registriere ich den Device und aktiviere den entsprechende Contract für den Device?

Als erster Schritt sollte der FortiAP-S sowie wie alle anderen Devices von Fortinet korrekt im Support Account anhand seiner Serien Nummer registriert werden. Weitere Informationen wie dies durchgeführt wird siehe nachfolgender Artikel:

       Fortinet:DeviceRegistrierung#Wie_wird_ein_Fortinet_Device.2FGer.C3.A4t_Registriert.3F

Dieser Schritt ist "wichtig" denn wenn der FortiAP-S aktiviert wird wie in "Schritt 5" beschrieben, geht der Status des FortiAP-S in FortiCloud nur dann auf "up", wenn die Registrierung des Devices korrekt durchgeführt wurde!

       
       
       NOTE Wenn die Registration abgeschlossen ist muss der Status überprüft werden dh. ein FortiAP-S - sofern FortiGuard resp. UTM Features
            genutzt werden möchten - muss über die entsprechende Lizenz verfügen ansonsten stehen die UTM Features nicht zur Verfügung. Bei
            einer NFR (Not For Resale) Version wird zwar wie hier in der Abbildung FortiGare 8 X 5 mitgeliefert jedoch nicht FortiGuard resp.
            die UTM Features. Somit muss für diesen FortiAP-S wie hier im Beispiel gezeigt ein zusätzliche FortiGuard Lizenz hinzugefügt werden
            um die UMT Features nutzen zu können. in unserem Beispiel für den FAP-S323C wäre dies der Artikel:
            
            FC-10-P0324-905-02-12	1 Year FortiAP-S Security and Support Bundle
            
            Diese Lizenz muss ebenfalls über den "Device Registrierungs Vorgang" zum Device resp. zur Serien Nummer anhand des Registration 
            Codes, der in der Lieferung der Lizenz (2te Seite PDF) enthalten ist, hinzugfügt werden:
            
            
            
            
            
            
            
            Danach ergiebt sich folgende Situation die bestätigt, dass die UTM Features nun zur Verfügung stehen:

Einloggen in den FortiCloud Account oder erstellen eines FortiCloud Account?

Wie schon erwähnt sind FortiAP-S nicht über FortiGate Wirelesser Controller verwaltbar sondern werden über den Wireless Controller in der FortiCloud verwaltet. Damit ein FortiAP-S über FortiCloud verwaltet werden können, muss ein entsprechender Account erstellt werden. Dieser sollte basierend auf den Endkunden erstellt werden. Es bedarf keiner Lizenz für die Erstellung und Verwaltung eines FortiCloud Accounts. Um einen Account zu erstellen gehe auf folgenden Link und sofern nicht vorhanden erstelle einen Account:

       https://www.forticloud.com/

Wenn ein neuer Account erstellt werden soll, wähle die Position unterhalb des Logins:

       Create a new account

Danach muss folgende Information eingegeben werden:

Nach der Bestätigung wird über die angegeben E-Mail Adresse ein Bestätigungs E-Mail versendet, dass die nötigen Informationen enthält um ein Login durchzuführen.

Aktivieren (Deploy) eines FortiAP-S im FortiCloud Account?

Nach dem erfolgreichen Login muss der entsprechende Device dh. FortiAP-S anhand des FortiCloud-Key registriert werden Dieser FortiCloud-Key befindet sich als Aufkleber auf dem FortiAP-S und sieht als Beispiel folgendermassen aus:

      MNSOTMTX

Damit ein FortiAP-S aktiviert resp. ein "deploy" durchgeführt werden kann muss der FortiAP-S in ein Netzwerk Segmment integriert werden dh. geetartet sein! Wenn ein FortiAP-S mit einem Netzwerk Segement verbunden ist und gestartet wurde, sucht sich der FortiAP-s in diesem Segment ein DHCP Server. Dies bedeutet: In diesem Segment sendet der FortiAP-S DHCP Anfragen aus. Werden diese beantwortet erhält der FortiAP-S ein IP. Wenn der FortiAP-S mit einer statischen IP versehen werden soll kann dies über Kommandozeile sowie die Console durchgeführt werden. Weitere Informationen siehe nachfolgenden Artikel:

       FortiAP-S:FAQ#Wie_kann_ich_einen_FortiAP-S_auf_CLI_betreffend_Netzwerk_manuell_.22statisch.22_konfigurieren.3F

Damit der FortiAP-S im entsprechenden Account erscheint muss dieser so konfiguriert werden damit der FortiAP-S weiss mit welchen Account er sich verbinden muss. Dies wird über das lokale Mgmt. Interface durchgeführt oder über die Console resp. der Kommandozeile. Dies bedeutet folgendes:

       Ueber Web Mgmt. Interface des FortiAP-S
       
       Verbinde dich auf die IP die der FortiAP-S über DHCP zugewiesen wurde per http oder auf die IP die statisch gesetzt wurde dh.:
       
       http://[FortiAP-S IP vom DHCP Server oder statische Konfiguration]
       
       Danach wähle im Web Mgmt Interface des FortiAP-S folgendes:
       
       AC Discovery Type:     [Passwort des entsprechenden FortiCloud Accounts]
       FortiCloud Account:    [Username dh. Email Adresse des entsprechenden FortiCloud Accounts]
       FortiCloud Password:   [Passwort des entsprechenden FortiCloud Accounts]

       Ueber Console des FortiAP-S
       
       # cfg -a AC_DISCOVERY_TYPE=[Setze die Option FortiCloud dh. "7"]
       # cfg -a AC_DISCOVERY_FCLD_ID=[Username dh. Email Adresse des entsprechenden FortiCloud Accounts]
       # cfg -a AC_DISCOVERY_FCLD_PASSWD_ENC=[Passwort des entsprechenden FortiCloud Accounts]
       # cfg -c

Desweiteren ist zu berücksichten, dass der FortiAP-S für dessen Komunikation in den FortiCloud folgende Destinationen, Protokolle sowie Ports benützt:

       Destination 208.91.113.187 (apctrl1.fortinet.com)
       Protokolle HTTPS (TCP 443), DNS (UDP 53)
       
       Destination 208.91.113.118
       Protokoll/Port: CAPWAP (UDP 5247, UDP 5246)
       
       Destination 208.91.113.117 (apau.forticloud.com)
       Protokoll/Port: HTTPS (TCP 443)
       
       Destination update.fortiguard.net
       Protokoll/Port: HTTP (TCP 80)

Sobald dies durchgeführt wurde logge dich im FortiCloud Account ein. Nun muss "initial" ein "AP Network" erstellt werde in dem die FortiAP-S danach aktiviert resp. "deployed" werden. Dazu wähle nach dem Login in den FortiCloud Account die Position:

          Wireless Network of FortiAP:
          
         ◾If you want to manage your FortiAP using FortiCloud, please create an AP Network here. 
           Once you have setup an AP network, you can deploy FortiAP from inventory.
         ◾You can add your FortiAP into inventory by inputting FortiCloud key or entering your 
           FortiCloud credentials in FortiAP GUI. For additional information, please see 
         
         
         
         NOTE Der hier vergebenen Name für "Netzwerk Name" wiederspiegelt den Namen des FortiAP-S Verbunds dh. es kann nur ein 
              "Netzwerk Name" vergeben werden! Das Passwort ist das Passwort aller FortiAP-S im Verbund resp. für den "Netzwerk
              Name". Dieses Passwort muss verwendet werden um sich über Web Mgmt. Interface lokal auf den FortiAP-S anhand User
              "admin" einzuloggen. Das Passwort muss mind. 5 Zeichen lang sein jedoch nicht mehr als 8! Es ist somit nicht 
              möglich für jeden FortiAP-S ein Passwort zu vergeben!

Nach der Eingabe erscheint im FortiCloud Account folgendes:

Als nächster Schritt muss der FortiAP-S aktiviert resp. "deployed" werden. Aktiviere mit der "checkbox" den entsprechenden FortiAP-S und Wähle folgendes:

Nachdem anhand "Deploy" bestätigt wird erscheint die Aufforderung den entsprechenden "FortiCloud Key" des FortiAP-S einzugeben:

Der FortiAP-S wurde erfolgreich "Deployed" und kann nun konfiguriert werden. Die erfolgreiche Aktivierung des FortiAP-S zeigt sich auch lokal auf dem FortiAP-S Web Mgmt. Interface dh. dort wird nun unter der Position "AC Discovery Status" folgendes angzeigt:

       Discovered AC with FortiCloud Account: andrea.soliva@also.com

Die Aktivierung des FortiAP-S kann ebenfalls im FortiCloud Account kontrolliert werden und zwar unter folgender Position:

         
         
         NOTE In diesem Beispiel zeigt der FortiAP-S unter der Position Status "up" dh. der Device wurde korrekt im Support Portal als Device 
              registriert. Dies bedeutet: Wird ein FortiAP-S zum FortiCloud Account hinzugefügt jedoch nicht korrekt registriert im Support
              Portal zeigt der Status nicht "up" sondern "down" und der Device muss zuerst im entsprechende Support Portal korrekt registriert
              werden!

Durchführen der Grundkonfiguration für eine FortiAP-S im FortiCloud Account?

Der FortiAP-S ist nun korrekt Registriert, Ativiert und Betriebsbereit. Nachfolgend die Schritte die für eine Konfiguration durchgeführt werden sollten:

       1.  Konfigurieren zusätzlicher Administratoren           FortiAP-S:FAQ#Kann_ich_zum_Standard_Administrator_.22admin.22_zus.C3.A4tzliche_Administratoren_konfigurieren_mit_unterschiedlichen_Rechte.3F
       2.  Konfiguration des "Country Code"                     FortiAP-S:FAQ#Wie_setze_ich_auf_einem_FortiAP-S_.C3.BCber_den_FortiCloud_Wireless_Controller_den_.22Country_Code.22.3F
       3.  Konfiguration der "Time Zone"                        FortiAP-S:FAQ#Wie_setze_ich_auf_einem_FortiAP-S_.C3.BCber_den_FortiCloud_Wireless_Controller_die_.22Time_Zone.22.3F
       4.  Durchführen eines FirmWare Upgrade                   FortiAP-S:FAQ#Wie_f.C3.BChre_ich_.C3.BCber_den_FortiCloud_Wireless_Controller_ein_Firmware_Upgrade_durch.3F
       5.  Konfigurieren eines "AP Tag" für SSID                FortiAP-S:FAQ#Wie_erstelle_ich_auf_dem_FortiCloud_Wireless_Controller_einen_.22AP_Tag.22_und_um_was_handelt_es_sich_dabei.3F
       6.  Konfigurieren und Zuweisen einer SSID                FortiAP-S:FAQ#Wie_erstelle_ich_auf_dem_FortiCloud_Wireless_Controller_eine_.22SSID.22_und_weise_einen_.22AP_Tag.22_hinzu.3F
       7.  Konfiguriere/Aktivieren von "Radio Scan"             FortiAP-S:FAQ#Um_was_handelt_es_sich_beim_.22Radio_Scan.22_und_wie_soll_ich_diese_Funktion_konfigurieren.2Faktivieren.3F
       8.  Konfigurieren einer "Platform Profile"               FortiAP-S:FAQ#Wie_ben.C3.BCtze.2Fkonfiguriere_ich_die_.22Platform_Profile.22_auf_dem_FortiCloud_Wireless_Controller.3F

Setup

Was ist die Default IP für einen FortiAP-S und wie kann ich mich auf diese IP verbinden?

Wenn ein FortiAP-S gestartet wird reagiert auf Netzwerkebene der FortiAP-S folgendermassen:

       --> Der FortiAP-S sendet einen DHCP Anfrage! Wird dieser beantwortet wird das Netzwerkinterface anhand dieser Informationen des DHCP Server konfiguriert!
       
       --> Beantwortet "Kein" DHCP Server die Anfrage des FortiAP-S so wird auf dem Netzwerk Interface folgende IP konfiguriert:
           
           192.168.1.2/24 (Default Gateway 192.168.1.1)

Somit kann man sich auf einen FortiAP-S folgendermassen verbinden sofern der FortiAP-S betreffend Netzwerk Interface nicht auf "Static" konfiguriert ist (Standard DHCP):

       1. Konfigruriere eine Workstation/Laptop mit folgender IP (Kein Default Gateway):
         
         192.168.1.1 255.255.255.0
         
       2. Verbinde den FortiAP-S mit der Workstation/Laptop anhand eines RJ-45 Kabel (nicht gekreuzt)
       
       3. Starte den FortiAP-S und nach 1 - 2 Minuten kann auf den FortiAP anhand eines Browser zugegriffen werden (Username "admin"; Kein Passwort):
         
          http://192.168.1.2

Dieser Vorgang ist insofern Wichtig, dass über das Web Mgmt. Interface des FortiAP's zB "telnet" aktiviert werden kann wenn zB kein Console Kabel (RS232) zur Verfügung steht und man den FortiAP-S über CLI statisch konfigurieren möchte. Weitere Informationen welche Befehle auf der Kommandozeile zur Verfügung stehen sowie eine statische Konfiguration durchgeführt werden kann, siehe nachfolgende Artikel:

       FortiAP-S:FAQ#Welche_Kommandos_stehen_auf_einem_FortiAP-S_auf_CLI_zur_Verf.C3.BCgung.3F
       FortiAP-S:FAQ#Wie_kann_ich_einen_FortiAP-S_auf_CLI_betreffend_Netzwerk_manuell_.22statisch.22_konfigurieren.3F

Wie sieht der Startvorgang eines FortiAP-S aus über Serial Console (RS232)?

Wenn ein FortiAP-S korrekt arbeitet sieht der Startvorgang über die Console folgendermassen aus:

       --------------- RS232 output --------------- 
       
       FortiAP-S323C (May 06 2015 - 21:38:56)        
       
       DRAM:  1003 MiB
       NAND:  288 MiB
       *** Warning - bad CRC, using default environment
       
       Flash: 32 MiB
       
       Ver:04000002
       Serial number: PS323C3U15000216
       Region code: E 
       
       In:    serial
       Out:   serial
       Err:   serial
       Net:   eth0 up
       eth0 speed 1000Mbps
       eth0
       Hit any key to stop autoboot:  0 
       Device 1: nand1... is now current device
       
       Loading from nand1, offset 0x320000
          Image Name:   Linux-3.4.0
          Image Type:   ARM Linux Kernel Image (uncompressed)
          Data Size:    1727144 Bytes = 1.6 MiB
          Load Address: 41508000
          Entry Point:  41508000
       Automatic boot of image at addr 0x44000000 ...
          Image Name:   Linux-3.4.0
          Image Type:   ARM Linux Kernel Image (uncompressed)
          Data Size:    1727144 Bytes = 1.6 MiB
          Load Address: 41508000
          Entry Point:  41508000
          Verifying Checksum ... OK
          Loading Kernel Image ... OK
       OK
       info: "mtdparts" not set
       Using machid 0x12ca from environment
       
       Starting kernel ...
       
       
       PS323C3U15000216 login: admin
       
       --------------- RS232 output ---------------

Um sich auf den FortiAP-S einzuloggen benütze User "admin" sowie "kein" Passwort!

Wie kann ich einen FortiAP-S auf CLI betreffend Netzwerk manuell "statisch" konfigurieren?

Nun Grundsätzlich kann ein FortiAP-S manuell konfiguriert werden dh. dazu steht das Kommando "cfg" zur Verfügung. Dabei ist zu berücksichtigen, dass die Konfiguration die durch "cfg" gesetzt wird erst mit "cfg -c" geschrieben wird. Für "cfg" stehen folgende Optionen zur Verfügung:

       cfg -h            - output this help
       cfg -r var        - remove variables
       cfg -e            - export variables
       cfg -s            - list variables
       cfg -x            - resetting to factory defaults
       cfg -c            - commit the change to flash
       cfg -a var=value  - add or change variables

Um alle Konfigurationspunkte die Konfigurierbar sind aufzulisten kann folgende Option benutzt werden:

       # cfg -h
       cfg -h            - output this help
       cfg -r var        - remove variables
       cfg -e            - export variables
       cfg -s            - list variables
       cfg -x            - resetting to factory defaults
       cfg -c            - commit the change to flash
       cfg -a var=value  - add or change variables
       
       Supported Variable Names:
           BAUD_RATE
               9600, 19200, 38400, 57600, 115200
           WTP_NAME
           WTP_LOCATION
           FIRMWARE_UPGRADE
           LOGIN_PASSWD
           ADMIN_TIMEOUT
               Telnet and GUI session admin timeout in minutes [0-480]
           ADDR_MODE
               DHCP, STATIC
           AP_IPADDR
           AP_NETMASK
           IPGW
           AP_MODE
               0(Thin AP), 2(Site Survey)
           DNS_SERVER
           STP_MODE
               0(disabled), 1(enabled), 2(disabled with blocked WAN port switch)
           AP_MGMT_VLAN_ID
           TELNET_ALLOW
           HTTP_ALLOW
           DDNS_ENABLE
           DDNS_PORT
           DDNS_SERVER
               0(fortiddns.com), 1(fortidyndns.com), 2(float-zone.com)
           DDNS_UNIQUE_LOCATION
           AC_DISCOVERY_TYPE
               0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast), 7(forticloud)
           AC_IPADDR_1
           AC_IPADDR_2
           AC_IPADDR_3
           AC_HOSTNAME_1
           AC_HOSTNAME_2
           AC_HOSTNAME_3
           AC_DISCOVERY_MC_ADDR
           AC_DISCOVERY_DHCP_OPTION_CODE
           AC_DISCOVERY_FCLD_APCTRL
           AC_DISCOVERY_FCLD_ID
           AC_DISCOVERY_FCLD_PASSWD
           AC_DISCOVERY_FCLD_PASSWD
           AC_CTL_PORT
           AC_DATA_CHAN_SEC
               0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled)
           MESH_AP_TYPE
               0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support)
           MESH_AP_SSID
           MESH_AP_BSSID
           MESH_AP_PASSWD
           MESH_AP_PASSWD
           MESH_ETH_BRIDGE
               Only take effect with MESH_AP_TYPE 1(mesh) AP
           MESH_MAX_HOPS
           MESH_SCORE_HOP_WEIGHT
           MESH_SCORE_CHAN_WEIGHT
           MESH_SCORE_RATE_WEIGHT
           MESH_SCORE_BAND_WEIGHT
           MESH_SCORE_RSSI_WEIGHT
           SURVEY_SSID
           SURVEY_TX_POWER
           SURVEY_CH_24
           SURVEY_CH_50
           SURVEY_BEACON_INTV

Um zu sehen "was" momentan konfiguriert ist kann folgendes benutzt werden:

       # cfg -s
       BAUD_RATE:=9600
       ADMIN_TIMEOUT:=5
       ADDR_MODE:=DHCP
       AP_IPADDR:=192.168.1.2
       AP_NETMASK:=255.255.255.0
       IPGW:=192.168.1.1
       AP_MODE:=0
       DNS_SERVER:=208.91.112.53
       STP_MODE:=0
       AP_MGMT_VLAN_ID:=0
       TELNET_ALLOW:=0
       HTTP_ALLOW:=1
       DDNS_ENABLE:=0
       AC_DISCOVERY_TYPE:=0
       AC_IPADDR_1:=192.168.1.1
       AC_HOSTNAME_1:=_capwap-control._udp.example.com
       AC_DISCOVERY_MC_ADDR:=224.0.1.140
       AC_DISCOVERY_DHCP_OPTION_CODE:=138
       AC_DISCOVERY_FCLD_APCTRL:=
       AC_DISCOVERY_FCLD_ID:=
       AC_DISCOVERY_FCLD_PASSWD_ENC:=
       AC_CTL_PORT:=5246
       AC_DATA_CHAN_SEC:=2
       MESH_AP_TYPE:=0
       MESH_MAX_HOPS:=4
       MESH_SCORE_HOP_WEIGHT:=50
       MESH_SCORE_CHAN_WEIGHT:=1
       MESH_SCORE_RATE_WEIGHT:=1
       MESH_SCORE_BAND_WEIGHT:=100
       MESH_SCORE_RSSI_WEIGHT:=100

Um zB die Netzwerk Komponenten zu konfiguriere können folgende Befehle benutzt werden:

       # cfg -a ADDR_MODE=STATIC
       # cfg -a AP_IPADDR=[Gebe die entsprechende IP an zB 192.168.1.2]
       # cfg -a AP_NETMASK=[Gebe die entsprechende Subnet Mask ein zB 255.255.255.0]
       # cfg -a IPGW=[Gebe den entsprechenden Gateway ein zB 192.168.1.1]
       # cfg -a DNS_SERVER=[Gebe den entsprechenden DNS Server ein zB 208.91.112.53]
       
       NOTE Jede Konfiguration die anhand "cfg -a" geschrieben wird ist nicht "persistent" dh. die ausgeführt Konfiguration
            muss anhand folgenden Befehls "geschrieben" werden (commit to flash), ansonsten geht diese verloren. Die Konfiguration 
            wird es durch nachfolgenden Befehl aktiviert/geschrieben:
            
            # cfg -c
            
            Danach kann wiederum mit "cfg -s" die Konfiguration kontrolliert werden!

Wie kann ich einen FortiAP-S über CLI neu starten?

Um einen FortiAP-S über CLI neu zu starten gebe folgendes ein:

       # reboot

Wie kann ich einen FortiAP-S auf "Factoryreset" setzen/zurückstellen?

Wenn ein FortiAP-S auf "Factoryreset" gesetzt werden soll dh. dadurch gehen sämtliche Konfigurationen verloren, kann über CLI folgendes durchgeführt werden:

       # factoryreset
       This operation will reset the system to factory default!
       Do you want to continue? (y/n)y
       [ 2460.300812] Restarting system.

Ebenso steht folgendes Kommando zu Verfügung das ebenfalls im Hintergund einen "factoryreset" ausführt:

       # cfg -x
       # reboot

Wie setze ich auf einem FortiAP-S über den FortiCloud Wireless Controller den "Country Code"?

Der "Country Code" eines FortiAP-S steht per Standard auf "US" dh. dieser "Country Code" muss korrekt gesetzt werden, da dieser die Basis darstellt für die "Platform Profile". Dies bedeutet: In jedem Land gibt es Vorschriften welche "channels" benützt werden dürfen und welche nur unter gewissen Umständen etc. Dazu siehe auch folgender Artikel:

       FortiAP:FAQ#Welche_Radio_Channels_existieren_in_den_vers._L.C3.A4ndern.3F
       FortiAP:FAQ#Was_ist_DFS_.28Dynamic_Frequency_Selection.29_Support_und_um_was_handelt_es_sich_dabei.3F
       
       NOTE Die neuen FortiAP-S dh. 311/3 sowie 312/3 verfügen nicht über den DFS Support!

Somit kommt dem "Country Code" eine wichtige Rolle zu und muss korrekt gesetzt werden, damit später die zur Verfügung stehenden "Platform Profils" die korrekte Konfiguration zur Verfügung stellen. Um den "Country Code" zu setzen wähle folgendes im FortiCloud Account:

Wähle danach:

       Configure > Platform Profile

Markiere die entsprechenden Eintrag für das "Platform Profile". Danach erscheint Rechts Aussen ein Symbole um dieses zu editieren:

Wähle den entsprechende "Country Code":

Nach dem Bestätigen wird der korrekte "Country Code" für das "Platform Profile" angezeigt:

Wenn man sich über den FortiAP-S auf das lokale Web Mgmt. Interface einloggt und man den "Country Code" nicht gesetzt hat wird über das Register "Wireless Information" der "Country Code" Rot angezeigt da "US" nicht der Zeitzone des FortiAP-S entspricht. Sobald der "Country Code" über den FortiCloud Wireless Controller korrekt gesetzt ist wiederspielt sich die Konfiguration ebenfalls unter dem Register "Wireless Information" auf dem FortiAP-S, denn nun wird dort "Country" CH angezeigt sowie "Country Code" 756. Auf dem lokalen FortiAP-S wird ebenfalls der "Region Code" angezeigt dh. dieser ist nicht zu verwechseln mit dem "Country Code" dh. der "Region Code" E (Europe) wiederspiegelt den Device dh. -E für Europe.

Wie setze ich auf einem FortiAP-S über den FortiCloud Wireless Controller die "Time Zone"?

Auch der "Time Zone" kommt eine wichtige Rolle zu dh. wenn ein Firmware Upgrade durchgeführt wird, so wird der "schedule" ebenfalls für die entsprechende "Time Zone" angzeigt. Ebenso die Logs sowie UTM Features sind angewiesen, dass die korrekte "Time Zone" gesetzt ist. Um die "Time Zone" zu setzen wähle:

       Configure > Miscellaneous

       
       
       NOTE In einem FortiCloud Wireless Controller kann die "Time Zone" nur Global gesetzt werden dh. es gibt keine 
            Möglichkeit die "Time Zone" auf die "FortiAP-S" zu setzen!

Wo ändere ich im FortiCloud Account den Netzwerk Namen für den FortiAP-S Verbund/Devices?

Bei der initial Konfiguration des FortiCloud Account musst ein "Netzwerk Name" vergeben werden. Dieser stellt den FortiAP-S Verbund dar und kann unter folgender Position geändert werden:

       Configure > Miscellaneous

       
       
       NOTE Für einene FortiCloud Account kann betreffend FortiAP-S nur ein "Netzwerk Namen" vergeben werden!

Wo ändere ich im FortiCloud Account das Passwort für die lokalen FortiAP-S?

Bei der initialen Konfiguration dh. beim anlegen des "Netzwerk Namens" musste ein Passwort vergeben werden das benutzt wird um sich auf die lokalen FortiAP-S über Web Mgmt. Interface einzuloggen. Dieses kann unter folgender Position geändert werden:

       Configure > Miscellaneous

       
       
       NOTE Es ist nicht möglich mehrer Passwörter zu vergeben resp. für jeden FortiAP-S ein Passwort zu vergeben. Dies bedeutet:
            Das Passwort wird für den "Netzwerk Namen" vergeben in dem sich die FortiAP-S befindet somit gilt dieses für den ganzen
            Verbund!

Upgrade

Wie "stage" ich einen FortiAP-S von Grundauf neu mit einer entsprechenden Firmware?

Die Modelle FAP-S311/3 sowie FAP-S321/3 kommen mit einen Console Port. Wie bei einer FortiGate ist es möglich über TFTP Server den FAP-S von Grundauf neu zu stagen. Der Start Vorgang muss wie bei einer FortiGate zu Beginn des Neustarts abgebrochen werden (5 Sekunden Zeit) um in das Bios zu kommen. Die IP des TFTP Servers sowie die lokale IP kann beim Vorgang "Get OS image from TFTP server" kann "on the fly definiert" werden. Nachfolgend ein kurzes Beispiel wie dieser Vorgang durchzuführen ist:

                   _____________________________
                  |       RS232 Verbindung      |
    Consolen Port |                             |
       ___________|___                          | RS232 Anschluss
      |               |                     ____|_______________
      |   FortiAP-s   |     192.168.1.1/24 |                    |
      |_______________|               _____| LapTop/Workstation | --> SolarWindsTFTP Server starten 
               |                     | NIC |____________________| --> FortiOS als image.out im C:\TFTP-Root
          WAN  |                     |      
               |_____________________|

      NOTE Auf dem Laptop müssen sämtliche Firewall's, Endpoint Security und Netzwerkkarten deaktiviert sein und auf der LAN Netzwerkarte
           muss die IP 192.168.1.100 mit dem Subnet 255.255.255.0 konfiguriert sein (Kein DNS, kein Default Gateway nötig)!

       Oeffne über Putty eine Serielle rs232 Verbindung (Console). Schalte den FortiAP-S ein und breche den Startprozess ab wenn folgendes erscheint:
       
       Hit any key to stop autoboot:
       
       --------------- RS232 output --------------- 
       
       FortiAP-S323C (May 06 2015 - 21:38:56)
       
       DRAM:  1003 MiB
       NAND:  288 MiB
       
       Flash: 32 MiB
       
       Ver:04000002
       Serial number: PS323C3U15000216
       Region code: E 
       
       In:    serial
       Out:   serial
       Err:   serial
       Net:   eth0 up
       eth0 speed 1000Mbps
       eth0
       Hit any key to stop autoboot:  5 
       
       [G]:  Get OS image from TFTP server.
       [Q]:  Quit menu and continue to boot with default OS.
       [H]:  Display this list of options.
       
       
       Enter G,Q,or H: G
       
       Please connect TFTP server to Ethernet port WAN.
       
       Enter TFTP server address [192.168.1.10]: 192.168.1.10
       Enter local address [192.168.1.1]: 192.168.1.1
       Enter firmware image file name [image.out]: image.out
       Using eth0 device
       TFTP from server 192.168.1.10; our IP address is 192.168.1.1
       Filename 'image.out'.
       Load address: 0x42000000
       Loading:
       
       --------------- RS232 output ---------------

Danach wird das Image installiert und der FortiAP-S gestartet! Um sich auf der CLI einzloggen benütze User "admin" sowie "kein" Passwort.

Wie führe ich lokal für einen FortiAP-S ein Firmware Upgrade durch?

Ausgehend davon, dass man für einen FortiAP-S ein lokales Firmware Upgrade durchführen will, kann dies über einen lokalen TFTP Server durchgeführt werden oder über das lokale Web Mgmt. Interface des FortiAP-S:

       Firmware Upgrade über CLI und TFTP Server
       
       # restore [Name des Images für die Firmware] [IP Adresse des TFTP Servers]
       
       NOTE Um das Kommando eingeben zu können muss mit RS232 Console verbunden werden. Es ist jedoch auch möglich "telnet"
            über Web Mgmt. Interface zu aktivieren (Per Standard deaktiviert) und über "telnet" diesen Befehl einzugeben.

       Firmware Upgrade über Mgmt. Interface
       
       Auf dem Web Mgmt Interface des FortiAP-S steht eine entsprechende Position zur Verfügung über die ein Firmware Upgrade
       durchgeführt werden kann:
       
       Firmware Version: Update
       
       Um auf das FortiAP-S Web Mgmt. Interface zu gelangen (Standard IP des FortiAP-S) siehe nachfolgender Artikel:
       
       FortiAP-S:FAQ#Was_ist_die_Default_IP_f.C3.BCr_einen_FortiAP-S_und_wie_kann_ich_mich_auf_diese_IP_verbinden.3F

Wie führe ich über den FortiCloud Wireless Controller ein Firmware Upgrade durch?

Ein Firmware Upgrade lässt sich über verschiedenen Varianten durchführen dh. wenn ein Firmware Upgrade lokal dh. nicht über die FortiCloud durchgeführt werden soll, siehe nachfolgenden Link:

       FortiAP-S:FAQ#Wie_.22stage.22_ich_einen_FortiAP-S_von_Grundauf_neu_mit_einer_entsprechenden_Firmware.3F
       FortiAP-S:FAQ#Wie_f.C3.BChre_ich_lokal_f.C3.BCr_einen_FortiAP-S_ein_Firmware_Upgrade_durch.3F

Diese Vorher erwähnten Varianten bedürfen einer lokalen Intervention um ein Firmware Upgrade durchzuführen. Die Firmeware kann jedoch auch über den FortiCloud Account durchgegführt werden, sofern die FortiAP-S korrekt registriert und aktiviert wurden. Um dies durchzuführen wähle:

       Access Points > AP List

Aktiviere den entsprechenden "FortiAP-S anhand der "checkbox" und wähle "Upgrade":

       
       
       NOTE In diesem Beispiel zeigt die "current" Version der Firmeware sowie "upgrade to" die gleiche Version da zu diesem
            Zeitpunkt der Dokumentation keine neue Firmware zur Verfügung stand!

Backup

Wie erstelle ich für einen FortiAP-S für dessen Konfiguration ein Backup?

Ein Backup der Konfiguration eines FortiAP-S kann über Web Mgmt. Interface durchgeführt werden sowie über CLI. Bei einem Backup über Web Mgmt. Interface wird im Hintergrund folgender Befehl ausgeführt:

       Backup der Forti Access Point Konfiguration über CLI
       
       # cfg -e
       BAUD_RATE=9600
       ADMIN_TIMEOUT=5
       AP_IPADDR=192.168.1.2
       AP_NETMASK=255.255.255.0
       IPGW=192.168.1.1
       AP_MODE=0
       DNS_SERVER=208.91.112.53
       AP_MGMT_VLAN_ID=0
       ADDR_MODE=DHCP
       STP_MODE=0
       TELNET_ALLOW=1
       HTTP_ALLOW=1
       AC_DISCOVERY_TYPE=0
       AC_IPADDR_1=192.168.1.1
       AC_HOSTNAME_1=_capwap-control._udp.example.com
       AC_CTL_PORT=5246
       AC_DISCOVERY_MC_ADDR=224.0.1.140
       AC_DISCOVERY_DHCP_OPTION_CODE=138
       AC_DATA_CHAN_SEC=2
       MESH_AP_TYPE=0
       MESH_AP_SSID=fortinet.mesh.root
       MESH_AP_BSSID=
       MESH_AP_PASSWD=fortinet.mesh.root
       MESH_ETH_BRIDGE=0
       MESH_MAX_HOPS=4
       MESH_SCORE_HOP_WEIGHT=50
       MESH_SCORE_CHAN_WEIGHT=1
       MESH_SCORE_RATE_WEIGHT=1
       MESH_SCORE_BAND_WEIGHT=100
       MESH_SCORE_RSSI_WEIGHT=100

       Backup der Forti Access Point Konfiguration über Web Mgmt. Interface
       
       Das Web Mgmt. Interface einer FortiGate ist -sofern dies die Firewall Policy Rule erlaubt wird- per Standard über dessen IP zugänglich. 
       
       NOTE Wenn das Backup des Forti Access Point lokal über seine Standard IP durchgeführt werden soll siehe 
            nachfolgenden Artikel:
            
            FortiAP-S:FAQ#Was_ist_die_Default_IP_f.C3.BCr_einen_FortiAP-S_und_wie_kann_ich_mich_auf_diese_IP_verbinden.3F
       
       Danach kann ein manuelles Backup unter folgender Position ausgeführt werden:
       
       Status > System Configuration > Last Backup
       
       Das Backup File ist clear-text und enthält die gleichen Positionen wie das Komando "cfg -e". 
       
       BAUD_RATE=9600
       ADMIN_TIMEOUT=5
       AP_IPADDR=192.168.1.2
       AP_NETMASK=255.255.255.0
       IPGW=192.168.1.1
       AP_MODE=0
       DNS_SERVER=208.91.112.53
       AP_MGMT_VLAN_ID=0
       ADDR_MODE=DHCP
       STP_MODE=0
       TELNET_ALLOW=0
       HTTP_ALLOW=1
       DDNS_ENABLE=0
       DDNS_PORT=443
       DDNS_SERVER=0
       DDNS_UNIQUE_LOCATION=FortiAP
       AC_DISCOVERY_TYPE=0
       AC_IPADDR_1=192.168.1.1
       AC_HOSTNAME_1=_capwap-control._udp.example.com
       AC_CTL_PORT=5246
       AC_DISCOVERY_MC_ADDR=224.0.1.140
       AC_DISCOVERY_DHCP_OPTION_CODE=138
       AC_DISCOVERY_FCLD_APCTRL=
       AC_DISCOVERY_FCLD_ID=
       AC_DISCOVERY_FCLD_PASSWD_ENC=
       AC_DATA_CHAN_SEC=2
       MESH_AP_TYPE=0
       MESH_AP_SSID=fortinet.mesh.root
       MESH_AP_BSSID=
       MESH_AP_PASSWD_ENC=MjAyMDIwMjAyMDIwMjAyMDBlMmUyNDIzM2Y2ZjIyNGYyZDM1
       MESH_ETH_BRIDGE=0
       MESH_MAX_HOPS=4
       MESH_SCORE_HOP_WEIGHT=50
       MESH_SCORE_CHAN_WEIGHT=1
       MESH_SCORE_RATE_WEIGHT=1
       MESH_SCORE_BAND_WEIGHT=100
       MESH_SCORE_RSSI_WEIGHT=100
       SURVEY_SSID=FAP_SURVEY
       SURVEY_TX_POWER=30
       SURVEY_CH_24=6
       SURVEY_CH_50=36
       SURVEY_BEACON_INTV=100

       NOTE Das Backup File kann herangezogen werden um für verschiedene Forti Access Point ein Konfigurationsfile vorzubereiten und 
            dieses als Restore wieder einzuspielen.

Administrator

Kann ich zum Standard Administrator "admin" zusätzliche Administratoren konfigurieren mit unterschiedlichen Rechte?

Grundsätzlich kann im FortiCloud Account zum standard Administrator "admin" zusätzliche Administratoren konfiguriert werden. Dabei ist jedoch zu unterscheiden zwischen:

       Admin            [Volle Read/Write Rechte analog User "admin"]
       Regular          [Administrator für "Read-Only"]
       Guest Manager    [Guest Management Administrator]

Ein zusätzliche Administrator wird unter folgendem Menü konfiguriert:

       My Account

Wähle nun "+ Add User":

Definiere den neuen Adminstrator und die entsprechende Rolle (Role):

Wenn ein zusätzlicher Administrator konfiguriert wird so werden die Details dem neuen Administrator über die entsprechend definierte E-Mail Adresse zugesendet. Nachfolgend ein Beispiel:

       --------------- Confirmation E-Mail FortiCloud --------------
       
       Von:	        noreply@forticloud.com
       Gesendet:	Mittwoch, 21. Oktober 2015 14:06
       An:	        Pirmin Roos
       Betreff:	New User Confirmation at FortiCloud
       
       Thank you for using FortiCloud. To activate your account, please click on this 
       link:
	
       https://www.forticloud.com/activate?key=DVfET%2B31cycgRAz10wofCmhoMU8j2nKqsfTly%2BpKDNHwaCS6fHN8j3KqoUIBK8fK8mq2WYQNc61P5KASaMcvPF%2Bve2AunxeWhNk%2B709sg08%3D
       
       Thanks,
       
       FortiCloud Admin
       
       --------------- Confirmation E-Mail FortiCloud --------------

Der neue Administrator hat 24 Stunden Zeit die Registration zu vollenden. Solange dies nicht durchgeführt wird bleibt der neue Administrator auf Status "Pending" und kann nicht benützt werden dh. kein Login ist möglich bevor die Registration nicht ordnungsgemäss durchgeführt wurde:

Auf diesen Umstand wird mit folgender Meldung hingewiesen:

SSID

Wie erstelle ich auf dem FortiCloud Wireless Controller einen "AP Tag" und um was handelt es sich dabei?

Ein "AP Tag" ist ein Verweis von einer SSID auf einen FortiAP-S. Dies bedeutet: Wenn in der SSID auf der Position "Availability" die Standard Konfiguration belassen wird dh. "Available in all AP's" so wird die SSID "allen" FortiAP-S automatisch zugewiesen. Die SSID kann nicht wie auf einem herkömmlichen FortiAccess Point im Profile (Platform Profile) hinzugefügt werden. Anstelle wird der "AP Tag" dem FortiAP-S zugewiesen und der SSID ein "AP Tag". Somit sind diese "AP Tag's" organisatorischer Natur dh. "AP Tag's" können Gruppen von User darstellen die einen bestimmten "AP Tag" darstellen und verschiedene SSID's sind diesem "AP Tag" zugewiesen somit kann ein "AP Tag" über mehrere SSID's verfügen. Um einen "AP Tag" zu konfigurieren wähle

       Configure > AP Tag

Nun wähle "+ AP Tag" und vergebe einen entsprechenden Namen:

Bestätige die Konfiguration und der ensprechende "AP Tag" wird aufgeführt jedoch ohne SSID:

Danach kann eine SSID konfiguriert und der "AP Tag" dieser SSID hinzugefügt werden. Als Letzteres wird der "AP Tag" dem FortiAP-S hinzugefügt und somit ebenfalls die entsprechende SSID/s für den "AP Tag". Weitere Informationen wie dies durchgeführt wird siehe nachfolgenden Artikel:

       FortiAP-S:FAQ#Wie_erstelle_ich_auf_dem_FortiCloud_Wireless_Controller_eine_.22SSID.22_und_weise_einen_.22AP_Tag.22_hinzu.3F

Wie erstelle ich auf dem FortiCloud Wireless Controller eine "SSID" und weise einen "AP Tag" hinzu?

Wenn im FortiCloud Wireless Controller eine SSID konfiguriert ist steht diese per Standard "allen" FortiAP-S zur Verfügung. Dies wird in der SSID mit der Position "Availability" konfiguriert/indiziert dh. per Standard steht diese auf "Available in all AP's". Dies kann zwar so konfiguriert werden jedoch um eine Granularität und mehr Kontrolle zu erreichen, wird empfohlen mit sogenannten "AP Tag" zu arbeiten dh. diese "AP Tag" verweisen eine bestimmte SSID auf einen FortiAP-S. Die SSID selber kann nicht im Profile des FortiAP-S konfiguriert werden sondern wird über den "AP Tag" die SSID's beinhaltet dem FortiAP-S Device zugewiesen. Als Beispiel erfassen wir eine SSID "fortiap-s4intern" und verweisen mit einem "AP Tag" (ffortiap-s4intern) auf diese SSID. Um einen "AP Tag" zu konfigurieren siehe nachfolgenden Artikel:

       FortiAP-S:FAQ#Wie_erstelle_ich_auf_dem_FortiCloud_Wireless_Controller_einen_.22AP_Tag.22_und_um_was_handelt_es_sich_dabei.3F

Nun erstelle eine entpsrechende SSID. In unserem Beispiel eine SSID basierend auf "WPA2-Personal" mit einem "Pre-Shared Key". In der Definition der SSID weisen wir unseren vorhergehenden "AP Tag" hinzu damit dieses SSID nur für FortiAP-S gilt, die über den entsprechenden "AP Tag" verfügen. Wenn dies nicht durchgeführt wird, so gilt eine SSID ohne entsprechenden "AP Tag" für "alle" FortiAP-S. Wähle für die Konfiguration im Menü folgendes:

       Configure > SSID

       
       
       NOTE Um nachträglich eine neue SSID zu erstellen wähle die Position "+ SSID"!

       
       
       NOTE Die UTM Features werden innerhalb der SSID konfiguriert und können zu einem späteren Zeitpunkt aktiviert
            werden!

       
       
       NOTE In dieser Position wird nun der SSID den vorhergehenden "AP Tag" hinzugewiesen. In einem späteren Zeitpunkt wird
            dieser "AP Tag" der diese SSID beinhaltet dem FortiAP-S zugewiesen!

Um nun die neue "SSID" resp. den "AP Tag" dem FortiAP-S zu zuweisen, wähle folgendes:

       Access Points > [Aktiviere den entsprechenden FortiAP-S mit der "checkbox] > Change AP Tags

Definiere nun den entsprechenden "AP Tag" und achte auf die Position "Overwrite existing AP Tags" dh. wenn ein "AP Tag" hinzugefügt werden soll muss die Position "Add to existing AP Tag" gewählt werden:

Danach wird der "AP Tag" für den entsprechenden FortiAP-S augelistet:

Die Konfiguration wird über das lokale Web Mgmt. Interface auf dem FortiAP-S über as Menü "Wireless Information" ebenfalls angezeigt!

Platform Profile

Wie benütze/konfiguriere ich die "Platform Profile" auf dem FortiCloud Wireless Controller?

Die "Platform Profile's" sind eigentlich Templates für einen entsprechenden FortiAP-S Device Modell. Dh. diese stellen die Funktionen zur Verfügung für einen Device. Per Standard wird jedem FortiAP-S ein "Platform Profile" zugewiesen sobald dieser registriert wird. Somit kann dieses "Platform Profile" für alle Devices des selben Type benutzt werden. Es empfiehlt sich jedoch in einer grösseren Installation für die Umgebung anhand der "Platform Profile" logische Unterteilungen zu konfigurieren. Beispiel: Existiert ein Gebäude mit 3 Stockwerken und man würde alle FortiAP-S über ein "Platform Profile" konfigurieren, ist dies unter Umständen nicht zu empfehlen speziell dann wenn die FortiAP-S sich untereinander sehen. Dies bedeutet wiederum: Wenn in diesem Gebäude 1 "Platform Profile" benutzt wird mit Channel 1/6/13 und aus irgendeinem Grund der "channel" für einen FortiAP-S gewechselt werden muss so wechselt jeder FortiAP-S den Channel da alle auf dem gleichen "Platform Profile" basieren. Die bessere Variante ist zB für jedes Stockwerk ein "Platform Profile" anzulegen und das entsprechende "Platform Profile" den FortiAP-S Device je nach Lokation im Gebäude zu zuweisen. Um ein "Platform Profile" zu erstellen gehe folgendermassen vor: Wähle im Menü folgendes:

       Configure > Platform Profile > + Platform Profile

NOTE Damit für den Device dh. in unsere Beispiel FAP-S323C das korrekt Template zur Verfügung gestellt wird muss unter "Platform"

            der entsprechende Device gewählt werden dh. FAPS33C. Die weiteren zu konfigurierenden Positionen siehe nachfolgende Artikel:
            
            FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29.3F
            FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Client_Load_Balancing_AP_Handoff.22.3F
            FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Client_Load_Balancing_Frequency_Handoff.22.3F
            FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Automatic_TX_Power_Control.22.3F
            FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Rogue_AP.E2.80.99s.22.3F

Nachdem das entsprechende "Platform Profile" erstellt wurde, kann dieses dem entsprechenden FortiAP-S Device zugewiesen werden. Dazu wähle folgendes:

       Access Point > AP List > [Wähle den entsprechenden FortiAP-S anhand der "checkbox"] > Change Platform Profile

Gehe nun auf "Change Platform Profile" und wähle das neu erstellte "Platform Profile" das wir im vorhergehenden Schritt erstellt haben:

       
       
       NOTE Wenn auf dem FortiAP-S Device bereits "AP Tag's" resp. SSID's existieren, werden diese durch eine neue Zuweisung eines
            "Platform Profiles" nicht gelöscht. Zur Kontrolle kann dies über "Set AP Tag" für den entsprechenden Device Kontrolliert
            werden.

Nicht mehr benötigte "Platform Profile" können über folgendes Menü gelöscht werden sofern diese nicht in Verwendung sind:

       Configure > Platform Profile

Wähle das entsprechende "Platform Profile" und danach erscheint Rechts Aussen ein entsprechendes Symbole um das "Platform Profile" zu löschen.

Radio Scan

Um was handelt es sich beim "Radio Scan" und wie soll ich diese Funktion konfigurieren/aktivieren?

Die Position "Radio Scan" im FortiCloud Wireless Controller steht im Zusammenhang mit "Background Scan", "Radiou Resource Provisioning" (DRRP) sowie "Auto TX Power". Dies bedeutet: Wird einer dieser Funktionen benutzt wird "Background Scan" im Hintergrund automatisch aktiviert. Dies wird mit folgenden Hinweis indiziert:

       "The above setting will be used when Automatic TX Power Control or Radio Resource Provision or Rogue AP Scan is enabled"

Dies bedeutet wiederum: Speziell die Funktion "DRRP" resp. "Radio Resource Provisioning" ist unabdingbar und muss aktiviert werden. Aus diesem Grund wird "Background Scan" immer benutzt. Wenn es zu Problemen kommt, sollte die Position "Disable Background Scan during Specified Time" dementsprechend Konfiguriert werden dh. zB kein "Background Scan" während den Bürozeiten. Es kann auch der "Background Scan" Intervall heraufgesetzt werden. Dabei ist jedoch zu berücksichtigen das der "Background Scan" über Radio-1/2 des FortiAP-S wichtige Informationen sammelt im Hintergrund. Aus diesen Informationen können Rückschlüsse gezogen werden über zB Interference's". Es wird empfohlen - als Ausgangslage - die Standard Konfiguration zu belassen dh. Wähle im Menü folgendes:

       Configure > Miscellaneous

Die Einstellung sind Global und können nicht für jeden FortiAP-S durchgeführt werden. Wenn ein "Disable Background Scan during Specified Time" durchgeführt werden möchte, kann dies dementsprechend anhand eines "schedules" durchgeführt werden:

Authentication

Welche Authentication steht mir auf einem FortiCloud Wireless Controller zur Verfügung?

Ueber die FortiCloud resp. über den FortiCloud Wireless Controller stehen folgende Authentifizierungsmethoden zur Verfügung:

       WPA2-Enterprise basierend auf "Eigenen Radius Server" sowie "FortiCloud Authentication"
       Für WPA2-Enterprse basierende Authentifizierung kann entweder ein eigener bestehender Radius Server konfiguriert werden oder
       ein zur Verfügung stehenden Radius Server (FortiCloud Authentication) auf dem FortiCloud Wireless Controller. Der eigene
       Radius Server muss mit den Standard Informationen wie "IP Adresse", "Port" sowie "Pre-Shared Key" eingebunden werden! Dabei
       ist zu beachten das der spezifizierte Port zB Radius 1812 für den Zugriff von aussen geöffnet werden muss.

       WPA2-Personal basierend auf "Pre-shared Key"
       Diese Authentifizierungsmethode basiert auf einem "Pre-shared Key" der auf dem FortiCloud Wireless Controller definiert wird.

       FortiCloud Captive Portal basierend auf "Eigenen Radius Server" sowie "FortiCloud Authentication"
       Wenn das "FortiCloud Captive Portal" definiert wird so wird das "Captive Portal" der FortiCloud Wireless Controller benützt.
       Zur Authentifizierung kann ein eigener Radius Server definiert werden oder einen Radius Server in der FortiCloud resp. einen
       "FortiCloud Authentication". Das Captive Portal auf dem FortiCloud Wireless Controller kann betreffend Text, Aussehen sowie
       Logo auf dem FortiCloud Wireless Controller konfiguriert resp. modifiziert werden!

       "Eigenes Captive Portal" basierend auf "Eigenen Radius Server" sowie "FortiCloud Authentication"
       Wenn das eigene Captive Portal benutzt wird so muss im Environment ein eigenes Captive Portal zur Verfügung gestellt werden.
       Dies bedeutet: Anhand eines WebServers etc. wird ein eigenes Captive Portal im Environment zur Verfügung gestellt sowie über
       HTML die vers. API's konfiguriert und somit eingebunden. Dabei steht folgende Hilfe zur Verfügung:

       Open
       Durch "Open" wird keine Authentifizierung durchgeführt dh. wenn ein User versucht eine Verbindung herzustellen mit einer SSID 
       die auf "Open" gesetzt ist, wird diesem User ohne Authentifizierung eine IP zugewiesen!

Map

Wie definiere ich einen FortiAP-S in einer "Map and Floor Plan"?

In der FortiCloud steht eine Funktion zur Verfügung die sich "Map and Floor Plan" nennt. Diese Funktion ist absolut Optional und visualisiert einen FortiAP-S verbund anhand einer Geografischen Karte sowie über Stockwerke. Um einen FortiAP-S grundsätzlich zur "Map" hinzu zu fügen wähle folgendes:

       Access Points > Map and Floor Plans > Set APs Position

Wähle nun den FortiAP-S (not defined) anhand eines Mausklicks oder wähle das Symbole (in Form eines Hauses) um die entsprechende Adresse zu editieren:

Nun gebe die vollständige Adresse ein für den Standord des Access Points:

Nach dem Bestätigen des Standorts resp. der Adresse für den FortiAP-S wird dieser in der "Map" gemäss der Adresse dargestellt:

Eine andere Variante ist den FortiAP-S über eine Stockwerkplan in der MAP darzustellen. Dazu muss das Gebäude sowie der Stockwerkplan definiert werden:

Konfiguration

Was bedeutet der Konfigurationspunkt "Radio Resource Provisioning" (ARRP/DARRP)?

ARRP "Automatic Radio Resource Provisioning" oder DRRP "Distributed Automatic Radio Resource Provisioning" steht im Zusammenhang mit den "Channels" für 2.4 GHz sowie 5 GHz. Diesem Konfigurationspunkt kommt eine wichtige Funktion zu. DARRP steuert bei Kollidierung der "channel's" das Ausweichen auf einen nicht besetzen resp. kollidierenden "channel". Dies bedeutet nichts anderes als: Wenn diese Position aktiviert ist sucht sich der FortiCloud Wireless Controller den oder die besten "channels" raus die nicht mit anderen Access Points kollidieren oder am wenigsten benutzt werden. Die "channel" Benutzung wird im Hintergrund durch die Funktion "Radio Resource Provisioning" evaluiert und falls notwendig dem FortiAP-S mitgeteilt damit dieser auf den neuen -sofern nötig- "channel" wechseln kann. Somit um DARRP richtig nutzen zu können, ist die Vorraussetzung das man sich im klaren ist, welche "channel's" in der Umgebung benutzt werden. Dies kann über die "Rogue AP" und dessen Funktion eruiert werden! Somit ist es unabdingbar diese Position zu aktivieren, speziell wenn mehrer Access Points in Reichweite sind um diese Kollisionen unter den "channel's" zu verhindern. DARRP (Radio Resource Provisioning")wird im entsprechenden "Platform Profile" (Radio-1/2) konfiguriert. Betreffend der Konfiguration eines "Platform Profile" siehe nachfolgender Artikel:

       FortiAP-S:FAQ#Wie_ben.C3.BCtze.2Fkonfiguriere_ich_die_.22Platform_Profile.22_auf_dem_FortiCloud_Wireless_Controller.3F

Was bedeutet der Konfigurationspunkt "Rogue AP’s"?

"Rogue" bedeutet "Schurke" und bezeichnet ein Access Point der nicht zum regulären FortiAccessPoint/FortiAP-S Verbund/Netzwerk gehört. Dies "kann" zB bedeuten: illegale betriebenen Access Points mit gleicher SSID wie für die regulären FortiAP-S konfiguriert wurde oder fremde Access Point's die durch deren SSID Broadcast erkannt werden. Die Funktion "Rogue AP's" sammelt in der Umgebung Informationen über Broadcasting SSID's und listet diese auf. Diese Funktion liefert ebenfalls Informationen welche "channels" in der Umgebung bereits benutzt werden und welche "channels" für den FortiAP-S speziell im 2.4 GHz Bereich gewählt werden sollten. Um den FortiAP-S für "AP-Scan" zu aktivieren muss im "Platform Profile" die entsprechende Position "Rogue AP Scan" auf den Radio-1/2 aktiviert werden. Weitere Informationen zur Konfiguration eines "Platform Profile" siehe nachfolgender Artikel:

       FortiAP-S:FAQ#Wie_ben.C3.BCtze.2Fkonfiguriere_ich_die_.22Platform_Profile.22_auf_dem_FortiCloud_Wireless_Controller.3F

Wenn die Funktion aktiviert wurde im "Platform Profile" sowie dieses einem FortiAP-S zugewiesen wurde, kann über folgende Position die "Rogue AP" Daten eingesehen werden:

       Monitor > Rogue AP

Was bedeutet der Konfigurationspunkt "Client Load Balancing AP Handoff"?

Die Funktionsweise des "Forti Access Point Handoff" ist die folgende: Ein "Handoff" wird durch den FortiAP-S ausgelöst anhand des "threshold" (Standard 30). Wenn der "Load" auf einem FortiAP-S den gesetzten "threshold" übersteigt, wird der WiFi Client angewiesen auf den nächsten FortiAP-S und/oder Radio zu wechseln. Für diesen Wechsel - der "Hand-off" genannt wird - ist die Signalstärke des Client entscheidend (RSSI threshold). Dieser Wert erhält der Client vom zuständigen FortiAP-S. Um zu verhindern das ein Zugriff auf den Client (durch FortiAP-S) verhindert wird, werden wiederholende Anfragen zum FortiAP-S - durch den WiFi Client auf dem FortiAP-S auf dem der WiFi Client momentan verbunden ist - akzeptiert. Diese Funktion nennt man "soft-limit". Diese Funktion kann im "Platform Profile" konfiguriert werden. Weitere Informationen zur Konfiguration eines "Platform Profile" siehe nachfolgender Artikel:

       FortiAP-S:FAQ#Wie_ben.C3.BCtze.2Fkonfiguriere_ich_die_.22Platform_Profile.22_auf_dem_FortiCloud_Wireless_Controller.3F

Was bedeutet der Konfigurationspunkt "Client Load Balancing Frequency Handoff"?

Diese Funktion wird benutzt im Zusammenhang mit dem "Client Load Balancing". Die Funktionsweise des "Client Load Balancing Frequency Handoff" ist die Folgende: Der FortiCloud Wireless Controller überprüft in gewissen Abständen die WiFi Client's betreffend Ihrer Band-Fähigkeit (Frequenzen 2.4 GHz / 5 GHz)! Ebenfalls wird durch den FortiCloud Wireless Controller betreffend dem WiFi Client die RSSI (Signal Stärke) überwacht und das auf allen möglichen Frequenzen. Wenn ein neuer WiFi Client sich verbinden will, überprüft der FortiCloud Wireless Controller die MAC Adresse des Client und schaut gleichzeitig in den "Tabellen" nach, in denen die verschiedenen Informationen abgelegt sind wie zB Band-Fähigkeit und RSSI (Signal Stärke). Daraus resultierend kann der FortiCloud Wireless Controller entscheiden ob der Device über "dual band" verfügt oder nicht dh. 2.4 GHz und/oder 5 GHz:

      • Wenn der WiFi Client über "kein" Dual-Band verfügt: Wird dem WiFi Client erlaubt sich mit dem FortiAP-S(2.4 GHz) zu verbinden!
        
      • Wenn der WiFi Client über Dual-Band verfügt mit "guter" Signal Stärke: Antwortet der FortiCloud Wireless Controller nicht auf die Anfrage 
        betreffend 2.4 GHz sondern der WiFi Client wird angewiesen sich mit 5 GHz auf den FortiAP-S zu verbinden. Um zu verhindern, dass ein  
        Zugriff auf den Client verhindert wird, werden wiederholende Anfragen zum FortiAP-S durch den WiFi Client auf dem FortiAP-S auf dem sich
        der WiFi Client verbinden will akzeptiert.

        NOTE Einige Clients unterstützen diesen Vorgang selber dh. diese WiFi Clients unterstützen 2.4 GHz sowie 5 GHz. Ist beides vorhanden 
             wird automatisch 5 GHz benutzt. Auf den Clients wird jedoch "nur" 5 GHz angezeigt. Ein Beispiel für solche Device's sind iOS Devices.

Diese Funktion kann im "Platform Profile" konfiguriert werden. Weitere Informationen zur Konfiguration eines "Platform Profile" siehe nachfolgender Artikel:

       FortiAP-S:FAQ#Wie_ben.C3.BCtze.2Fkonfiguriere_ich_die_.22Platform_Profile.22_auf_dem_FortiCloud_Wireless_Controller.3F

Was bedeutet der Konfigurationspunkt "Automatic TX Power Control"?

Bei "Automatic TX Power Control" handelt es sich um die Stärke des Signals für ein FortiAP-S! Benützt werden kann diese Funktion, wenn zwei FortiAP-S zu nah zueinander positioniert wurden und sich somit selber stören durch Interferenzen (channel overlapping)! Um dies zu verhindern, kann manuell der "Automatic TX Power Control" herabgesetzt werden oder automatisiert werden. Dies bedeutet folgendes:

      • Ist das Signal grösser als 70dBm wird der "Automatic TX Power Control" auf "auto-power-low" (TX Power Low Standard 10dBm) gesetzt!
        
      • Ist das Signal kleiner als 70dBM wird der "Automatic TX Power Control" auf "auto-power-high" (TX Power High Standard 17dBm) gesetzt!

      NOTE Die Informationen über die Signalstärke wird durch den FortiCloud Wireless Controller über die FortiAP-S gesammelt und ausgewertet. 
           Aus diesem Grund erkennt der FortiCloud Wireless Controller ein "channel overlapping" innerhalb der FortiAP-S Verbund. Desweiteren 
           ist nachfolgende Tabelle Aufschlussreich betreffend verwendeter Stärke in "dBm" resp. "milliwatt". Dabei ist zu berücksichtigen das 
           wenn 50% TX Power benützt wird folgendes gilt:
           
           50% of 100mW = 50mW was wiederum 17dBm entspricht
           
            0 dBm =   1 mW
            3 dBm =   2 mW
            6 dBm =   4 mW
            9 dBm =   7.9 mW
           12 dBm =  15.8 mW
           15 dBm =  31.6 mW
           18 dBm =  61.1 mW
           21 dBm = 125.9 mW
           24 dBm = 251.2 mW