Aruba WLAN简明配置手册－v1.docx

Aruba WLAN简明配置手册Aruba WLAN简明配置手册目录目录21.初始化配置31.1.无线控制器初始化配置31.2.恢复出厂设置无线控制器41.3.恢复出厂设置Aruba AP42.基本网络参数配置及维护62.1.基本网络参数配置62.2.控制器基本维护操作72.3.管理员帐号管理93.理解Aruba WLAN配置结构框架113.1.基本WLAN服务配置113.2.基于角色的用户策略管理124.配置范例144.1.建立WPA2-PSK服务144.2.建立Portal认证194.3.建立802.1X认证274.4.同一SSID中为不同用户配置不同的权限374.5.设置用户期限384.6.设定区域管理424.7.配置日志服务器484.8.带宽限制481. 初始化配置1.1. 无线控制器初始化配置Enter System name Aruba3400: Enter VLAN 1 interface IP address 54: Enter VLAN 1 interface subnet mask : Enter IP Default gateway none: Enter Switch Role, (master|local) master: 控制器角色Enter Country code (ISO-3166), for supported list: cn控制器所在国家代码，此选项影响You have chosen Country code CN for China (yes|no)?: yes 可用RF channel及功率参数 Enter Time Zone PST-8:0: UTC8:0时区系统（UTC、PST等）及所在时区Enter Time in UTC 06:07:59: 6:11:30所选时区系统的标准时间而不是本地时间，Enter Date (MM/DD/YYYY) 8/14/2011: 否则控制器的时钟可能就不对了。Enter Password for admin login (up to 32 chars): *Re-type Password for admin login: *Enter Password for enable mode (up to 15 chars): *Re-type Password for enable mode: *Do you wish to shutdown all the ports (yes|no)? no: Current choices are:System name: VLAN 1 interface IP address: 54VLAN 1 interface subnet mask: IP Default gateway: noneSwitch Role: masterCountry code: cnTime Zone: UTC8:0Ports shutdown: noIf you accept the changes the switch will restart!Type to go back and change answer for any questionDo you wish to accept the changes (yes|no)yesCreating configuration. Done.System will now restart!Shutdown processing started1.2. 恢复出厂设置无线控制器注意以下两条command的区别：(Aruba3400) #write erase All the configuration will be deleted. Press y to proceed :Write Erase successful(Aruba3400) #(Aruba3400) #write erase allSwitch will be factory defaulted. All the configuration and databases will be deleted. Press y to proceed :(Aruba3400) #(Aruba3400) #(Aruba3400) #reload Do you really want to reset the system(y/n): ySystem will now restart!write erase只删除配置文件。而write erase all将删除配置文件、控制器内部数据库及license，将控制器重置为出厂状态。1.3. 恢复出厂设置Aruba AP连接AP console口至串行通讯终端（9600bits/s, 8-N-1)。加电启动AP。APBoot 2 (build 22797)Built: 2009-11-04 at 15:53:54Model: AP-10xCPU: AR7161 revision: A2Clock: 680 MHz, DDR clock: 340 MHz, Bus clock: 170 MHzDRAM: 128 MBPOST1: passedCopy: doneFlash: 16 MBPCI: scanning bus 0 . dev fn venID devID class rev MBAR0 MBAR1 MBAR2 MBAR3 00 00 168c 0029 00002 01 10000000 00000000 00000000 00000000 01 00 168c 0029 00002 01 10010000 00000000 00000000 00000000Net: eth0Radio: ar922x#0, ar922x#1Hit to stop autoboot: 0 看到此提示立刻按回车，进入apboot模式。apboot apboot apboot purgeenv 清除配置Un-Protected 1 sectors.doneErased 1 sectorsWriting apboot save 保存环境Saving Environment to Flash.Un-Protected 1 sectors.doneErased 1 sectorsWriting apboot boot 启动APChecking image 0xbf1000002. 基本网络参数配置及维护2.1. 基本网络参数配置 配置Vlan(Aruba800) (config) #vlan 200(Aruba800) (config) #interface fastethernet 1/0接入模式：(Aruba800) (config-if)#switchport access vlan 200 (Aruba800) (config-if)#switchport mode access中继模式：(Aruba800) (config-if)#switchport trunk allowed vlan all (Aruba800) (config-if)#switchport mode trunk (Aruba800) (config-if)#show vlanVLAN CONFIGURATION-VLAN Name Ports- - -1 Default FE1/1-7 100 VLAN0100 GE1/8 200 VLAN0200 FE1/0 配置IP address(Aruba800) (config) #interface vlan 200(Aruba800) (config-subif)#ip address 54 (vlan interface)(Aruba800) (config-subif)#ip helper-address (DHCP relay) 配置IP route配置缺省路由: (Aruba800) (config) #ip default-gateway 配置静态路由：(Aruba800) (config) #ip route (Aruba800) (config) #show ip route Codes: C - connected, O - OSPF, R - RIP, S - static M - mgmt, U - route usable, * - candidate defaultGateway of last resort is to network S* /0 1/0 via *S /24 1/0 via *C is directly connected, VLAN1C is directly connected, VLAN100C is directly connected, VLAN200 配置dhcp server(Aruba800) (config) #ip dhcp pool user_pool(Aruba800) (config-dhcp)#default-router 54(Aruba800) (config-dhcp)#dns-server (Aruba800) (config-dhcp)#network (Aruba800) (config-dhcp)#exit(Aruba800) (config) #service dhcpDHCP Pool通过控制器vlan interface的IP地址与vlan相关联，为相应vlan的用户分配IP地址。2.2. 控制器基本维护操作显示当点版本信息：(Aruba3400) #show image version -Partition : 0:0 (/dev/hda1) *Default boot*Software Version : ArubaOS (Digitally Signed - Production Build)Build number : 27734Label : 27734Built on : Tue Apr 5 13:28:58 PDT 2011-Partition : 0:1 (/dev/hda2)Software Version : ArubaOS -beta (Digitally Signed - Production Build)Build number : 27482Label : 27482Built on : Thu Mar 17 14:42:54 PDT 2011升级ArubaOS:(Aruba3400) #copy ftp: 50 ArubaOS_MMC__28106 system: partition 1系统flash中有两个partition用于存放OS image文件，可以存放两个不同版本的OS。当前运行的版本以*Default boot*标示。升级时需选择partition，升级完成后重启控制器会自动以最新升级的partition启动。手工选择启动partition命令：boot system partition 升级支持ftp和tftp，建议使用ftp。导出配置：(Aruba3400) #copy running-config tftp: 50 config.txt拷贝文件到flash(Aruba3400) #copy tftp: 50 ArubaOS_MMC__28106 flash: ArubaOS_MMC__28106查看flash文件(Aruba3400) #dir查看当前启动的AP：(Aruba3400) #show ap active Active AP Table-Name Group IP Address 11g Clients 11g Ch/EIRP/MaxEIRP 11a Clients 11a Ch/EIRP/MaxEIRP AP Type Flags Uptime Outer IP- - - - - - - - - - -test1 wpa-test 53 0 AP:HT:11/20/20 0 AP:HT:157+/24/24 105 1m:35s N/AFlags: R = Remote AP; P = PPPOE; E = Wired AP enabled; A = Enet1 in active/standby mode; L = Client Balancing Enabled; D = Disconn. Extra Calls On; B = Battery Boost On; X = Maintenance Mode; d = Drop Mcast/Bcast On; N = 802.11b protection disabled; a = Reduce ARP packets in the air; M = Mesh; C = Cellular; K = 802.11K Enabled; Channel followed by * indicates channel selected due to unsupported configured channel.Num APs:1为控制器添加license：(Aruba3400) #license add 1QLnRP6A-A5kZYcGC-joJpzV0P-phdK5I2G-WBn7GuJ4-+2YLimits updated. Updated temporary key 1QLnRP6A-A5kZYcGC-joJpzV0P-phdK5I2G-WBn7GuJ4-+2Y with new temporary keyPlease reload the switch to enable the new functionality.(Aruba3400) #reload查看控制器上的license：(Aruba3400) #show licenseLicense Table-Key Installed Expires Flags Service Type- - - - -KbjRcKsa-E+uA8Yj4-kyffHCVy-3+qt7HJh-lzPkGuzV-4Rc 2011-08-12 2011-09-11 E Access Points: 64 09:42:341 09:42:34 1QLnRP6A-A5kZYcGC-joJpzV0P-phdK5I2G-WBn7GuJ4-+2Y 2011-08-12 2011-09-11 E Wireless Intrusion Protection Module: 64 09:42:351 09:42:35 iHgYK7XV-xErAdTe+-S2DlM2KF-FBQwKYWh-g8vHDlSF-76g 2011-08-12 2011-09-11 E Next Generation Policy Enforcement Firewall Module: 2048 09:42:351 09:42:35 License Entries: 3Flags: A - auto-generated; E - enabled; R - reboot required to activate(Aruba3400) #2.3. 管理员帐号管理Management Administration Add 输入用户名、密码和权限角色名称说明root该角色允许管理控制器的所有功能read-only该角色只允许命令行界面的show命令和查看web管理界面的Monitoring页面。不允许用户进行拷贝文件、重启交换机等操作guest-provisioning该角色允许只允许用户在控制器内部数据库中配置guest用户location-api-mgmt该角色允许用户接入定位应用程序接口。不允许用户登录命令行界面，也不允许用户进行拷贝文件、重启交换机等操作network-operations该角色允许用户查看web管理界面的Monitoring, Reports, and Events这些对于监视控制器很有用的页面，该角色不允许用户登录命令行控制界面3. 理解Aruba WLAN配置结构框架Aruba无线控制器通过AP Group来构建无线网络配置参数模版。并通过将多个AP加入某个AP Group来将这些配置参数同步到每个AP。3.1. 基本WLAN服务配置Profile关系图：SSID profile:配置用户可见的ESSID，及其加密方式，如open、wep、wpa-tkip、wpa2-aes，以及使用pre-share key静态密钥还是802.1x。AAA profile:配置用户认证方式（mac、802.1x、captive-portal、VPN)，关联相应AAA认证服务器（Radius、TACACS+、LDAP及Internal DB）。Virtual-AP profile:关联上述SSID profile和AAA profile以构成一组WLAN服务模版，并为其分配vlan。3.2. 基于角色的用户策略管理ARUBA控制器中的每一个用户都会被分配一个角色（Role)。如果控制器添加了PEF License，可以通过用户角色（Role）控制每个用户的网络访问权限及带宽策略 每一个role都必须与一个或多个防火墙策略绑定 防火墙策略按次序执行 最后一个隐含的缺省策略是“deny all” 可以设定role的带宽限制和会话数限制用户角色（Role）的分配可以通过多种方式实现 基于接入认证方式的缺省角色 (i.e. 802.1x, VPN, WEP, etc.) 由认证服务器导出的用户角色(i.e. RADIUS/LDAP属性) 本地导出规则 ESSID MAC Encryption type Etc.4. 配置范例4.1. 建立WPA2-PSK服务步骤1 建立AP Group，命名为test-group，如之前已建立则无需建立ConfigurationAP ConfigurationAP Group输入名字点Add步骤2将AP加入到AP Group中选中AP，点击“Provision”选择要加入的组点击“Apply and Reboot”步骤3 新建一个Virtual AP，命名为test-vap-wpa2ConfigurationAP ConfigurationAP GroupEditVirtual APNEW添入名字点Add步骤4 将Virtual AP加入到Vlan 1ConfigurationAP ConfigurationAP Grouptest-vap-wpa2步骤5 关联一个AAA ProfileConfigurationSecurityAuthenticationAAA Profiles下拉框选中default-dot1x-pskApply确认步骤6 新建一个SSID Profile点击左边栏中对应的Virtual AP名称SSID ProfileNEW命名为test-ssid-wpa2Apply确认, 输入SSID Profile名称test-ssid-wpa2，输入SSID名称test-ssid-wpa2点选认证方式为WPA2-PSK，并填写密码，点击“Apply”，配置完成步骤7 验证以上两种认证方式打开windows无线管理，选择test-ssid-wep或test-ssid-wpa2输入密码成功连接4.2. 建立Portal认证步骤1 新建一个AP group，命名为test-groupConfigurationAP ConfigurationAP Group输入名字点Add步骤2将AP加入到AP Group中选中AP，点击“Provision”选择要加入的组点击“Apply and Reboot”步骤3 新建一个Virtual AP，命名为test-vap-webConfigurationAP ConfigurationAP Group 找到步骤1中创建的组点Edit点击APPLY确认添加步骤4 将Virtual AP加入到Vlan 1ConfigrationAP ConfigurationAP Grouptest-vap-web步骤5 新建一个SSID Profile点击左边栏中对应的Virtual AP名称SSID ProfileNEW命名为test-ssid-webApply确认步骤6 新建一个AAA ProfileConfigurationSecurityAuthenticationAAA ProfilesAdd命名为test-aaa-webApply确认步骤7 在Initial DB中新建一个用户Security Authentication ServersInitial DBADD，输入用户名密码步骤8 新建一个Portal Profile,命名为test-portal,urationSecurity Authentication L3 AuthenticationCapture Portal Authentication Profile输入名字点Add步骤9 将上面建立好的Portal Profile关联到logon这个Role中ConfigurationAccess ContralCapture Portal Profile选test-portal点changeApply确认步骤10 将AAA Profile关联到AP Group中ConfigurationAP ConfigurationAP GroupEditAAA Profile选test-aaa-webApply确认步骤11 在认证界面中输入用户名密码进行登录步骤12 如果要更改WEB认证界面，则进行如下操作方法一：使用Aruba控制器中内置的网页界面MaintenanceCaptive Portal Customize Login Page，选择所要更改的Profile和界面，该界面可以进行部分自定义方法二：使用客户自己定制的页面MaintenanceCaptive Portal Upload Custom Login Page，将自己定制的页面导入到指定的使用web portal认证的ssid恢复到默认界面选择定制的页面选择“Captive portal login”选择需要修改登陆界面的SSID4.3. 建立802.1X认证步骤1 建立AP Group，命名为test-group，如之前已建立则无需建立ConfigurationAP ConfigurationAP Group输入名字点Add步骤2将AP加入到AP Group中选中AP，点击“Provision”选择要加入的组点击“Apply and Reboot”步骤3 新建一个Virtual AP，命名为test-vap-1xConfigurationAP ConfigurationAP GroupEditVirtual APNEW添入名字点Add步骤4 将Virtual AP加入到Vlan 1ConfigurationAP ConfigurationAP Grouptest-vap-1x步骤5 新建一个SSID Profile点击左边栏中对应的Virtual AP名称SSID ProfileNEW命名为test-ssid-1xApply确认, 输入SSID Profile名称test-ssid-1x，输入SSID名称test-ssid-1x，802.11 Security选WPA2步骤6 新建一个L2 Authentication AAA Profile，命名为test-L2a-1x点击Security Authentication L2 Authentication，输入名称点Add点击该Profile，勾选Termination，Apply确认步骤7 在Internal DB中新建一个用户点击Security Authentication Servers Internal DBADD User新建一个用户步骤8 新建一个AAA ProfileConfigurationSecurityAuthenticationAAA ProfilesAdd命名为test-aaa-1xApply确认步骤9 将各Profiles关联起来点击左边该Profile关联之前创建的802.1X Authentication Profile点击802.1X Authentication Server Group，关联Internal点击Configuration AP Group Edit test-group AAA Profile,关联之前创建的AAA Profile步骤10 验证802.1X认证方式将终端网卡的配置成802.1X认证方式，然后搜索该AP输入用户名密码连接成功4.4. 同一SSID中为不同用户配置不同的权限步骤1 在Internal DB中添加用户点击ADD User建立两个用户用户名test1 密码123456 登入后Role为authenticated用户名test2 密码123456 登入后Role为guest步骤2 测试使用WEB认证分别用两个账户登录使用test1登入后，用户得到的Role为authenticated使用test2登入后，用户得到的Role为guest4.5. 设置用户期限步骤1 在Internal DB中新建一个账户Security Authentication Servers Internal DB ADD User输入用户名、密码、用户角色和过期时间，Apply保存步骤2 连接该SSID刚连入后用户角色为logon步骤3 打开IE使用刚创建的用户登录登录后用户角色