【简介】当有学员来公司参加短时间的培训,或者来访的客户需要临时上一会儿网的时候,我们可以提供一个访客专用SSID,使用临时帐号上网,并限制上网时间,这将保护我们内网的安全,并避免被长时间占用宝贵的流量。
新建 Guest 组
在建立访客SSID之前,我们需要先建立一个访客临时用户组。
① 在防火墙上选择菜单【用户&设备】-【用户组】,然后点击【新建】。
② 输入用户名,用户ID选择电子邮箱,一是客户熟悉自己的邮箱名称,二是可以把生成的密码通过邮箱发送给客户,当然这个功能比较少使用。密码为自动生成,这样就不会先造成密码重复。到期开始倒数计时,选择在第一次登录之后,设置可以使用的时间。
新建 SSID
为临时使用网络的用户建立一个SSID。这样可以避免访客登录工作SSID,影响安全。
① 选择菜单【WiFi与交换控制器】-【SSID】,然后点击【新建】-【SSID】。
② 输入SSID名称,分配IP地址,启用DHCP,这些操作与普通SSID一样,不同的是在安全查模式里选择强制门户,用户组选择我们刚建立的Guest组。
③ 可以看到新建立的SSID模式为隧道,安全模式和其它SSID不同。
加入配置文件
前面我们已经建立了桥模式和隧道模式的配置文件,这里我们只要简单的把Guest SSID加入配置文件就可以了。
① 选择菜单【WiFi与交换控制器】-【FortiAP配置文件】,双击已经存在的配置文件。
② 这里我们只将新建的Guest SSID加入配置文件的2.4G就可以了。
新建策略
Guest SSID是隧道模式,会建立一个虚拟接口,如果要让Guest SSID上网的话,还需要建立一条上网策略。
① 选择菜单【策略&对象】-【IPv4策略】,点击【新建】。
② 象普通上网策略一样,但是有一点的地方是源地址那里需要加上用户组,也就是通过这个用户组登录的才可以上网。
新建用户
所有配置完成了,现在需要做的就新建一个上网帐号并生成密码。
① 选择菜单【用户&设备】-【来宾管理】,点击【新建】。
② 输入一个正确的电子邮箱,设置终止时间,只要不比Guest组长就可以了,你可以让这个帐号只用5分钟,也可以用一个小。
③ 防火墙自动生成密码,可以将密码通过邮箱发送给临时用户(当然他这时候上不了网),也可以打印出来给他。不想这么麻烦的话用笔抄也下来给临时用户也是极好的。
④ 可以看到临时帐号建好了,第一次登录1小时候后过期,就不能再使用了,需要再使用的话重启申请一次密码。
新建管理员
如果一天来10访问者,就需要建立10个临时帐号,那么这个工作谁来做呢?当然是前台接待了,为了让前台能随时建立临时帐号,而又不会误操作防火墙,我们需要给前台建立一个专用的管理帐号。
① 选择菜单【系统管理】-【管理员】,点击【新建】-【管理员】。
② 建立一个前台可以登录的帐号,选择限制admin为来宾帐户设置,选择前面建立的来宾组。也就是说,这个帐号只负责设置来宾帐户。
③ 可以看到这个帐号和正常管理员的帐户不一样。
④ 现在来测试一下两个帐号有什么不同,点击右上角的当前帐户名,弹出菜单选择【退出】。
⑤ 现在以新建立的帐号登录。
⑥ 登录后的窗口只能对来宾帐户进行管理,其它的操作都没有。适合前台人员登录。
验证
当临时访问用户拿到密码后,就可以用来登录WiFi上网了。
① 查找到Guest的无线SSID,可以看到有个盾牌加感叹号,说明要通过验证才能上网,点击【连接】。
② 立即会弹出一个验证窗口,输入登记和邮箱和从前台得到的密码。
③ 能过验证,浏览器就可以正常上网了,同样象QQ、微信这样的软件也可以正常上网。当然,上网是有时间限制的。
④ 超过上网时间就会断网,这个帐号显示的状态为已过期,需要重新再建立过一个帐号,以获得新的密码和上网时间。