Aruba WLAN
简明配置维护手册
目录
目录 2
Enter System name [Aruba3400]:
Enter VLAN 1 interface IP address [172.16.0.254]:
Enter VLAN 1 interface subnet mask [255.255.255.0]:
Enter IP Default gateway [none]:
Enter Switch Role, (master|local) [master]: ————————————控制器角色(如果是local,随后需要输入master控制器地址)
Enter Country code (ISO-3166),
You have chosen Country code CN for China (yes|no)?: yes
Enter Time Zone [PST-8:0]: UTC8:0——————————————-时区系统(UTC、PST等)及所在时区
Enter Time in UTC [06:07:59]: 6:11:30——————————————所选时区系统的标准时间而不是本地时间,否则控制器的时钟就不对了。
Enter Date (MM/DD/YYYY) [8/14/2011]:
Enter Password for admin login (up to 32 chars): **
Re-type Password for admin login: **
Enter Password for enable mode (up to 15 chars): **
Re-type Password for enable mode: **
Do you wish to shutdown all the ports (yes|no)? [no]:
Current choices are:
System name:
VLAN 1 interface IP address: 172.16.0.254
VLAN 1 interface subnet mask: 255.255.255.0
IP Default gateway: none
Switch Role: master
Country code: cn
Time Zone: UTC8:0
Ports shutdown: no
If you accept the changes the switch will restart!
Type
Do you wish to accept the changes (yes|no)yes
Creating configuration... Done.
System will now restart!
Shutdown processing started
1.2. 恢复出厂设置-无线控制器
注意以下两条command的区别:
(Aruba3400) #write erase
All the configuration will be deleted. Press 'y' to proceed :
Write Erase successful
(Aruba3400) #
(Aruba3400) #write erase all
Switch will be factory defaulted. All the configuration and databases will be deleted. Press 'y' to proceed :
(Aruba3400) #
(Aruba3400) #
(Aruba3400) #reload
Do you really want to reset the system(y/n): y
System will now restart!
write erase只删除配置文件。而write erase all将删除配置文件、控制器内部数据库及license,将控制器重置为出厂状态。
1.3. 恢复出厂设置-Aruba AP
连接AP console口至串行通讯终端(9600bits/s, 8-N-1)。
加电启动AP。
APBoot 1.0.9.12 (build 22797)
Built: 2009-11-04 at 15:53:54
Model: AP-10x
CPU: AR7161 revision: A2
Clock: 680 MHz, DDR clock: 340 MHz, Bus clock: 170 MHz
DRAM: 128 MB
POST1: passed
Copy: done
Flash: 16 MB
PCI: scanning bus 0 ...
dev fn venID devID class rev MBAR0 MBAR1 MBAR2 MBAR3
00 00 168c 0029 00002 01 10000000 00000000 00000000 00000000
01 00 168c 0029 00002 01 10010000 00000000 00000000 00000000
Net: eth0
Radio: ar922x#0, ar922x#1
Hit
apboot>
apboot>
apboot> purgeenv ——————————————清除配置
Un-Protected 1 sectors
.done
Erased 1 sectors
Writing
apboot> save ————————————————保存环境
Saving Environment to Flash...
Un-Protected 1 sectors
.done
Erased 1 sectors
Writing
apboot> boot ————————————————启动AP
Checking image @ 0xbf100000
2.1.1. 配置Vlan
VLAN Name Ports
1 Default FE1/1-7
100 VLAN0100 GE1/8
200 VLAN0200 FE1/0
2.1.2. 配置named-vlan及vlan pool
named-vlan用于解决当控制器集群中master与local控制器的本地二层网络环境不同,无法使用同样的vlan ID的问题。
(ZTTG-7205-1) (config) #vlan-name ZTTG-office assignment hash(vlan命名,只能在master控制器上操作。Assignment模式需要在分配多个vlan做vlan pool时指定,建议使用hash模式)
(ZTTG-7205-1) (config) #vlan ZTTG-office 110-112(为命名的vlan分配vlan ID,需要在每台控制器上按本地vlan规划操作。需要分配多个vlan做vlan pool的话只需添加多个即可)
(ZTTG-7205-1) (config) #show vlan mapping
VLAN Name Assignment Type VLAN IDs
ZTTG-office Hash 110-112
(ZTTG-7205-1) (config) #
如果使用vlan pool,需要注意的一点是各个vlan对应的子网需同样大小。因为控制器从vlan pool中为用户分配vlan时按照基本平均的原则分配。不同大小的子网配置会导致小的那个子网地址耗尽后用户仍然被分进该vlan而无法获取地址
• 配置IP address
(Aruba800) (config) #interface vlan 200
(Aruba800) (config-subif)#ip address 192.168.202.254 255.255.255.0 (vlan interface)
(Aruba800) (config-subif)#ip helper-address 10.10.10.1 (DHCP relay)
• 配置IP route
配置缺省路由: (Aruba800) (config) #ip default-gateway 192.168.1.1
配置静态路由:(Aruba800) (config) #ip route 10.10.10.0 255.255.255.0 172.16.0.1
(Aruba800) (config) #show ip route
Codes: C - connected, O - OSPF, R - RIP, S - static
M - mgmt, U - route usable, - candidate default
Gateway of last resort is 192.168.1.1 to network 0.0.0.0
S 0.0.0.0/0 [1/0] via 192.168.1.1
S 10.10.10.0/24 [1/0] via 172.16.0.1
C 172.16.0.0 is directly connected, VLAN1
C 192.168.1.0 is directly connected, VLAN100
C 192.168.202.0 is directly connected, VLAN200
• 配置dhcp server
(Aruba800) (config) #ip dhcp pool user_pool
(Aruba800) (config-dhcp)#default-router 172.16.1.254
(Aruba800) (config-dhcp)#dns-server 202.96.209.5
(Aruba800) (config-dhcp)#network 172.16.1.0 255.255.255.0
(Aruba800) (config-dhcp)#exit
(Aruba800) (config) #service dhcp
DHCP Pool通过控制器vlan interface的IP地址与vlan相关联,为相应vlan的用户分配IP地址。
2.2. 控制器基本维护操作
Partition : 0:1 (/dev/hda2)
Software Version : ArubaOS 6.1.0.0-beta (Digitally Signed - Production Build)
Build number : 27482
Label : 27482
Built on : Thu Mar 17 14:42:54 PDT 2011
升级ArubaOS:
(Aruba3400) #copy ftp: 172.16.0.250
系统flash中有两个partition用于存放OS image文件,可以存放两个不同版本的OS。当前运行的版本以**Default boot**标示。升级时需选择partition,升级完成后重启控制器会自动以最新升级的partition启动。
手工选择启动partition命令:boot system partition
升级支持ftp和tftp,建议使用ftp。
导出配置:
(Aruba3400) #copy running-config tftp: 172.16.0.250 config.txt
拷贝文件到flash
(Aruba3400) #copy tftp: 172.16.0.250 ArubaOS_MMC_6.1.0.0_28106 flash: ArubaOS_MMC_6.1.0.0_28106
查看flash文件
(Aruba3400) #dir
查看当前启动的AP:
(Aruba3400) #show ap active
Name Group IP Address 11g Clients 11g Ch/EIRP/MaxEIRP 11a Clients 11a Ch/EIRP/MaxEIRP AP Type Flags Uptime Outer IP
test1 wpa-test 172.16.0.253 0 AP:HT:11/20/20 0 AP:HT:157+/24/24 105 1m:35s N/A
Flags: R = Remote AP; P = PPPOE; E = Wired AP enabled; A = Enet1 in active/standby mode;
L = Client Balancing Enabled; D = Disconn. Extra Calls On; B = Battery Boost On;
X = Maintenance Mode; d = Drop Mcast/Bcast On; N = 802.11b protection disabled;
a = Reduce ARP packets in the air; M = Mesh; C = Cellular; K = 802.11K Enabled;
Channel followed by "*" indicates channel selected due to unsupported configured channel.
Num APs:1
为控制器添加license:
(Aruba3400) #license add 1QLnRP6A-A5kZYcGC-joJpzV0P-phdK5I2G-WBn7GuJ4-+2Y
Limits updated.
Updated temporary key [1QLnRP6A-A5kZYcGC-joJpzV0P-phdK5I2G-WBn7GuJ4-+2Y] with new temporary key
Please reload the switch to enable the new functionality.
(Aruba3400) #reload
查看控制器上的license:
(Aruba3400) #show license
Key Installed Expires Flags Service Type
KbjRcKsa-E+uA8Yj4-kyffHCVy-3+qt7HJh-lzPkGuzV-4Rc 2011-08-12 2011-09-11 E Access Points: 64
09:42:34[1] 09:42:34
1QLnRP6A-A5kZYcGC-joJpzV0P-phdK5I2G-WBn7GuJ4-+2Y 2011-08-12 2011-09-11 E Wireless Intrusion Protection Module: 64
09:42:35[1] 09:42:35
iHgYK7XV-xErAdTe+-S2DlM2KF-FBQwKYWh-g8vHDlSF-76g 2011-08-12 2011-09-11 E Next Generation Policy Enforcement Firewall Module: 2048
09:42:35[1] 09:42:35
License Entries: 3
Flags: A - auto-generated; E - enabled; R - reboot required to activate
(Aruba3400) #
2.3. 管理员帐号管理
Management > Administration > Add 输入用户名、密码和权限
角色名称 说明
root 该角色允许管理控制器的所有功能
read-only 该角色只允许命令行界面的show命令和查看web管理界面的Monitoring页面。不允许用户进行拷贝文件、重启交换机等操作
guest-provisioning 该角色允许只允许用户在控制器内部数据库中配置guest用户
location-api-mgmt 该角色允许用户接入定位应用程序接口。不允许用户登录命令行界面,也不允许用户进行拷贝文件、重启交换机等操作
network-operations 该角色允许用户查看web管理界面的Monitoring, Reports, and Events这些对于监视控制器很有用的页面,该角色不允许用户登录命令行控制界面
3.1. 基本WLAN服务配置
Profile关系图:
SSID profile:
配置用户可见的ESSID,及其加密方式,如open、wep、wpa-tkip、wpa2-aes,以及使用pre-share key静态密钥还是802.1x。
AAA profile:
配置用户认证方式(mac、802.1x、captive-portal、×××),关联相应AAA认证服务器(Radius、TACACS+、LDAP及Internal DB)。
Virtual-AP profile:
关联上述SSID profile和AAA profile以构成一组WLAN服务模版,并为其分配vlan。
3.2. 基于角色的用户策略管理
ARUBA控制器中的每一个用户都会被分配一个角色(Role)。如果控制器添加了PEF License,可以通过用户角色(Role)控制每个用户的网络访问权限及带宽策略
• 每一个role都必须与一个或多个防火墙策略绑定
• 防火墙策略按次序执行
• 最后一个隐含的缺省策略是“deny all”
• 可以设定role的带宽限制和会话数限制
用户角色(Role)的分配可以通过多种方式实现
• 基于接入认证方式的缺省角色 (i.e. 802.1x, ×××, WEP, etc.)
• 由认证服务器导出的用户角色(i.e. RADIUS/LDAP属性)
• 本地导出规则
• ESSID
• MAC
• Encryption type
• Etc.
4.1. 建立WPA2-PSK服务
步骤1 建立AP Group,命名为test-group,如之前已建立则无需建立
Configuration>AP Configuration>AP Group>输入名字点Add
步骤2将AP加入到AP Group中
选中AP,点击“Provision”
选择要加入的组
点击“Apply and Reboot”
步骤3 新建一个Virtual AP,命名为test-vap-wpa2
Configuration>AP Configuration>AP Group>Edit>Virtual AP>NEW>添入名字点Add
步骤4 将Virtual AP加入到Vlan 1
Configuration>AP Configuration>AP Group>test-vap-wpa2
步骤5 关联一个AAA Profile
Configuration>Security>Authentication>AAA Profiles>下拉框选中default-dot1x-psk>Apply确认
步骤6 新建一个SSID Profile
点击左边栏中对应的Virtual AP名称>SSID Profile>NEW命名为test-ssid-wpa2>Apply确认, 输入SSID Profile名称test-ssid-wpa2,输入SSID名称test-ssid-wpa2
点选认证方式为WPA2-PSK,并填写密码,点击“Apply”,配置完成
步骤7 验证以上两种认证方式
打开windows无线管理,选择test-ssid-wep或test-ssid-wpa2
输入密码
成功连接
4.2. 建立Portal认证
步骤1 新建一个AP group,命名为test-group
Configuration>AP Configuration>AP Group>输入名字点Add
步骤2将AP加入到AP Group中
选中AP,点击“Provision”
选择要加入的组
点击“Apply and Reboot”
步骤3 新建一个Virtual AP,命名为test-vap-web
Configuration>AP Configuration>AP Group> 找到步骤1中创建的组>点Edit
点击APPLY确认添加
步骤4 将Virtual AP加入到Vlan 1
Configration>AP Configuration>AP Group>test-vap-web
步骤5 新建一个SSID Profile
点击左边栏中对应的Virtual AP名称>SSID Profile>NEW命名为test-ssid-web>Apply确认
步骤6 新建一个AAA Profile
Configuration>Security>Authentication>AAA Profiles>Add>命名为test-aaa-web>Apply确认
步骤7 在Initial DB中新建一个用户
Security > Authentication > Servers>Initial DB>ADD,输入用户名密码
步骤8 新建一个Portal Profile,命名为test-portal,
uration>Security > Authentication >L3 Authentication>Capture Portal Authentication Profile>输入名字点Add
步骤9 将上面建立好的Portal Profile关联到logon这个Role中
Configuration>Access Contral>Capture Portal Profile>选test-portal点change>Apply确认
步骤10 将AAA Profile关联到AP Group中
Configuration>AP Configuration>AP Group>Edit>AAA Profile> 选test-aaa-web>Apply确认
步骤11 在认证界面中输入用户名密码进行登录
步骤12 如果要更改WEB认证界面,则进行如下操作
方法一:使用Aruba控制器中内置的网页界面
Maintenance>Captive Portal > Customize Login Page,选择所要更改的Profile和界面,该界面可以进行部分自定义
方法二:使用客户自己定制的页面
Maintenance>Captive Portal > Upload Custom Login Page,将自己定制的页面导入到指定的使用web portal认证的ssid
4.3. 建立802.1X认证
步骤1 建立AP Group,命名为test-group,如之前已建立则无需建立
Configuration>AP Configuration>AP Group>输入名字点Add
步骤2将AP加入到AP Group中
选中AP,点击“Provision”
选择要加入的组
点击“Apply and Reboot”
步骤3 新建一个Virtual AP,命名为test-vap-1x
Configuration>AP Configuration>AP Group>Edit>Virtual AP>NEW>添入名字点Add
步骤4 将Virtual AP加入到Vlan 1
Configuration>AP Configuration>AP Group>test-vap-1x
步骤5 新建一个SSID Profile
点击左边栏中对应的Virtual AP名称>SSID Profile>NEW命名为test-ssid-1x>Apply确认, 输入SSID Profile名称test-ssid-1x,输入SSID名称test-ssid-1x,802.11 Security选WPA2
步骤6 新建一个L2 Authentication AAA Profile,命名为test-L2a-1x
点击Security > Authentication > L2 Authentication,输入名称点Add
点击该Profile,勾选Termination,Apply确认
步骤7 在Internal DB中新建一个用户
点击Security > Authentication > Servers > Internal DB>ADD User新建一个用户
步骤8 新建一个AAA Profile
Configuration>Security>Authentication>AAA Profiles>Add>命名为test-aaa-1x>Apply确认
步骤9 将各Profiles关联起来
点击左边该Profile关联之前创建的802.1X Authentication Profile
点击802.1X Authentication Server Group,关联Internal
点击Configuration > AP Group > Edit "test-group" > AAA Profile,关联之前创建的AAA Profile
步骤10 验证802.1X认证方式
将终端网卡的配置成802.1X认证方式,然后搜索该AP
输入用户名密码
连接成功
4.4. 同一SSID中为不同用户配置不同的权限
步骤1 在Internal DB中添加用户
点击ADD User建立两个用户
用户名test1 密码123456 登入后Role为authenticated
用户名test2 密码123456 登入后Role为guest
步骤2 测试
使用WEB认证分别用两个账户登录
使用test1登入后,用户得到的Role为authenticated
使用test2登入后,用户得到的Role为guest
4.5. 设置用户期限
步骤1 在Internal DB中新建一个账户
Security > Authentication > Servers > Internal DB > ADD User
输入用户名、密码、用户角色和过期时间,Apply保存
步骤2 连接该SSID
刚连入后用户角色为logon
步骤3 打开IE使用刚创建的用户登录
登录后用户角色为authenticated
到达设定的过期时间后,该用户角色又变为logon
步骤7 继续使用之前的用户登录,提示认证失败,该用户在Internal DB中已自动删除
4.6. 设定区域管理
步骤1 新建多个AP Group,命名为test-group1、test-group2,……
步骤2 新建一个Virtual AP,命名为test-vap-area1
Configuration>AP Configuration>AP Group>Edit>Virtual AP>NEW>添入名字点Add
步骤3 将Virtual AP加入到相应Vlan
Configuration>AP Configuration>AP Group>test-vap-area1
步骤4 新建一个SSID Profile
点击左边栏中对应的Virtual AP名称>SSID Profile>NEW命名为test-ssid-all>Apply确认, 输入SSID Profile名称test-ssid-all,输入SSID名称test-ssid-all
步骤5 在其他AG Group中建立各自的Virtual AP,并加入相应Vlan,调用同一个SSID Profile
步骤6 新建多个Server Group,并按照区域管理的需求,在每个Server Group中建立不同的Server Rule
步骤4 建立多个AAA Profile,命名为test-aaa-area1、test-aaa-area2……
Configuration>Security>Authentication>AAA Profiles>Add>命名为test-aaa-area1>Apply确认
步骤5 将每个AAA Profile与对应的Server Group关联起来,以实现不同的Server Rule
步骤6 再将各AAA Profile与对应的Virtual AP关联起来
步骤7 按区域将AP加入到各AP Group中
选中AP,点击“Provision”
选择要加入的组
点击“Apply and Reboot”
步骤8 检验配置结果,使用相同的SSID在不同的地理区域登入网络所获得权限是不一样的,从而实现了区域管理。
4.7. 配置日志服务器
步骤1 设置日志服务器的地址和权限等级
Configuration>Management>Logging Servers>Servers>New添加服务器地址
4.8. 带宽限制
步骤1 进入User Roles配置界面
Configuration>Security>Access Control>User Roles>Edit
步骤2 新建一条带宽限制规则
在Bandwidth Contract一栏选Add New
在New Bandwidth Contract中填入规则名称和所要限制的带宽>Done
步骤3 应用刚添加的规则
返回Bandwidth Contract一栏,选择刚添加的规则>Change,如果是针对每个用户则勾选后面的Per User
转载于:https://blog.51cto.com/bjjai/2367138