Aruba-vlan-基本配置手册

1、你可以在控制器上配关联是连接到一个特经认证授权的无线用器里面或者可以通过802.1q VLAN标签存在 在控制器外部。Aruba vlan基本配置手册本章主要描述有关控制器的基本的网络配置，主要内容如下：1、VLANs 配置2、配置端口3、VLAN 协议4、配置静态路由5、环回IP地址配置6、控制器IP地址配置7、GRE隧道配置第一部分：VLANs配置/虚拟局域网配置2层交换机控制器的操作运用是以VLAN作为广播域，作为2层交换机，控制器要求需要外界的路径来实现与 VLANs的路径连通。该控制器还可以作为第三层交换机，可以定义VLAN之间的交通路线的控制器。置一个/多个物理端口实现一 个虚拟局

2、域网。另外，每个无线 客户端口 定的虚拟局域网的端口控制器上。你可以根据你的网络需要替换所有户到单个VLAN或者替换到不同的 VLANs VLANs可以单独存在在控制你可以选择在控制器 上为VLAN配置一个IP地址和子网掩码，当 VLAN上最近的物理端口被 激活的同时，该IP地址也被激活。该 VLAN IP地址可以作为外部设备的一个接入点，指向虚拟局域网IP地址的数据包不是为控制器指定的而是根据控制器的IP路由表来转发的。创建和更新VLANs创建和更新单个/多个VLANs1. 通过WEBUI来创建或者修改单个 VLAN1）打开2）点击“ ADD新建”按钮创建一个新的VLAN。（若需要修改，点击

3、 Edit按钮）具体参照58页创建一系列的 VLANs 。、丄 人亠 Ports3）为VLAN增加一个物理端口，点击选项4）点击 Apply.2. 通过CLI（命令）创建或者修改 VLANho毗】t?QTifi9） #vlan （hotI （config） wintrfA匚普 fAstetherntIgigdbitethrnet /（host（conf| *9witchpcrt dCcesa vln 3. 通过WEBUI来创建或者修改多个 VLAN1）一次性增加并联的VLANs点击川 U2）在弹出的川用卫圧匸母？ I窗口，输入你想要创 建的VLANs 序列。例如，增加一个ID 号码为 200-

4、300和 302-350的 VLAN，输入 200-300, 302-350。3）点击“ 0K ”4）为VLAN增加物理端点，点击“ EDIT ”进入你想要配置的 VLAN页面，点击“ Port Selection ”选项设置端口。5）点击“ APPLY4. 通过CLI（命令）创建或者修改VLANs(h Network n VLAN.2）选择“血朋Pool右”选项打开、血Pool 4；窗口3）点击“ ADD4）在rName 一栏输入你确定的vlan池名称，名称大小在32字节内（不允许空格）。VLAN名称不能修改，请谨慎选择5）在H I 一栏输入你想要增加的VLAN ID号码。如果你知道ID，输

5、入IP号码，以逗号 隔开；或者点击下拉菜单中的-箭头选择需要增加的ID到VLAN 池。6）必须增加2个或2个以上的VLAN IDs创建池7）完成所有IDs的增加后，点击” ADD “选项：VLAN池和指定的ID同时显示在VLAN池的窗口上。如 果VLAN池可用（必须指定2个或2个以上的ID），状态将显示 可用；如果只创建了 一个VLAN池或者没有增加ID或只增加了 1个ID，状态将显示 为不可以。8）点击2砒承9）在窗口顶端，点击保存设置用叫E皿飙“山帕2. 更新VLAN也1）在 VLAN Pool 窗口，点击“ Modify ”修改2）修改VLAN IDs的名称，不能修改 VLAN名称3）点

6、击“ UPDATE修改4）点击“ APPLY5）在窗口顶端，点击保存设置“小3. 删除 VLANPool1） 在VLAN Pool窗口，点击“ Delete ”删除选项，将弹出及 时窗口2) 点击“OK3) 点击“ APPLY 4）在窗口顶端，点击保存设置“山,ir-“” 4.运用CLI命令创建 VLAN Pool :只有2个或2个以上的 VLAN IDs才可以创建 VLAN Pool(host) *亡Ohfre t ertalEnter Configuration coma nds t on per line* End with CHTL/Z host) (config 4tvlan-raa

7、irie my group(h?sLj (GQnfigjpqI(host) (config) #5.运用CLI命令查看已存在的 VLAN IDsO3t) 4configure terminalEnter 匸onfiguratlon co!ninandsf one per line Net work Pun 斗 i1）打开：窗口2）在Pr, SItion选项中选择需要配置的端口3）在Fort Trusted-栏，清楚安全的端口，使其配置为不可信的。（默认端口 都是安全的）4）在 Port Mode栏，选择“ access5）在“ VLAN ID”的下拉菜单中选择需要进过该端点传输的“VLAN I

8、D ”6）在Ellt*rA|ANtM）一栏中，清楚安全的ALAN，使其配置为不可信的。（默认 VLAN都是安全的）VLAN Firvwall Pol try7）在-一 - 下拉菜单中，选择 VLAN信息传输需要经过的程序,你可以为可信或者不可信的VLANs选择信息传输预订程序8）从Fir*，WBl1问吗选项中，在下拉菜单中选择经该端口回传信息需要经过的预订 程序9）从下拉菜单外选择经该端口回传信息需要经过的预订程序10）选择适用于该集点信息传输的端口和VLAN ,从下拉菜单中为其选择预订程序11）点击APPLY4. 在访问模式下通过 CLI命令来配置安全/不安全的端口和VLANs :女口:(h

9、ost (host| (host)(host(host) (host ) (host! (host:Cl：ttinterface range fastethernet 1/2bon : g - l bwi t ch portmode accss；con.f Lg-1 f 4r:o trustedcon f l g - : t ti*wi tahport a-ccesa vl*n 2(coniLg-i1 no (conf i j- i f t*ip con： Lg-i1 ip Ic ;g-; f sip (config-if)#iptrusted vlan 2ccss-group 科=鼻匸 1

10、session vlan 2 acc:es3*graup valid口粵咅in aaoess-group va liduse re 七 hul. out Access-graup valduser session5.在中继模式下通过 WEBUI来配置安全/不安全的端口和 VLANs :以下程序为：配置一 系列的以太网端口为不安全的本地中继端口，指定VLANs并使其为不可信的，令需要为不可信的信息访问预先设置需要通过的访问程序。C ciHguratiun、Network Portsi1）打开：窗口2）在Pxi选项中选择需要配置 的端口Port Mode s3) 在一栏，选择中继“ TRUNK 4

11、） 为了区分本地 VLAN，从“Native VLAN ”下拉菜单中点击 n Fmt/host ) (config - i f 1 *( trusted vlan 1 - 9 9 ( 1D1101193, 2 Ql-Z 99; j.r.:- inue 上 switchpeM mode trunk卜心：t ; L r. g - f 审坏itGhport trunk ntiw vlan 100l : : r. ：,i：ce a ip-gr Nr mark IP IP iRterfMcc |1在WEBUI页面打开-辑。2.选择” use the following IP address选项，输入IP

12、地址和网络掩码的接口。如果需要，你 还可以通过点击”ADD”为VLAN增加DHCP服务器的指定地址。3. 点击“ APPLY用CLI命令为VLAN指定静态地址为VLAN指定动态接收地址控制器上的VLAN可以通过以下途径获得其IP地址：1. 由网络管理员手动配 置：这是一个默认的方式，在 62页的Ik1 Ai biroI l-tl tL i I._ _ _对其有详细的描述。一个控制器上的VLAN至少需要一个动态 IP地址。2. 通过动态主机配置协 议（DHCP）或者点对点的以太网服务协议（PPPOE）来指定动 态IP。具体方法在下 面的章节中有详细说明。在一个分办公室里，你可以将控制器连接到一个

13、上行开关或者将一个动态IP地址指定到控制器设备上。例如，控制器可以被连接到 DSL（数字用户线）、调制解调器上或者远程宽带接入服务器（BRAS） 上，Figure 2图表将显示一个控制器连接到调制解调器上的分办公室。VLAN 1拥有一个静态IP地址，同时VLAN2通过上行设备上的 DHCP或者PPPOE协议 拥有一个动态IP地址。控制器上的DHCP服务器在本地网络中的 IP地址指定池中为用户 指定IP地址。Figure 2 tp Address Assignment tn VLAN via DHGP or PPPoTo ILocJ为了使得控制器能为 VLAN获得一个动态IP地址，必 须确保DH

14、CP或者PPPOE客户端在 VLAN控制器上。以下是在确保 DHCP和PPPOE连接到控制器上面的限制条件：1. 必须确保DHCP/PPPOE客户端存在控制器上的一个VLAN上。这个VLAN不能是VLAN1.2. 只有一个VLAN端口可以被连接到调制解调器或者上行开关上。3. 至少有一个在 VLAN上的端口必须在DHCP/PPPOE客户端从服务器上请 求IP地址之前 是上升状态。4. 只有一个在控制器上的 VLAN 可以通过DHCP/PPPOE来获取IP地址，DHCP和PPPOE 不能同时存在在控制 器上。确保DHCP客户端DHCP服务器为某个特定时间段分配IP地址称为“租赁”。控制器会在租赁

15、到期之前自动更新。当你关闭 VLAN时，DHCP租赁将自动免除。用 WEBUI来确认VLAN 上的DHCP协议1 打开 1 ConOguralion Network IP IP Im n-futewj2点击“ EDIT编辑之前创建的VLAN3 选择 Obtuiit nn IPfrvan 1IH I.4点击“ APPLY用CLI命令来确认VLAN上的DHCP协议确保PPPOE客户端 验证BRAS （远程宽带接入服务器），请求动态IP,控制器必须完成如下操作：1. PPPOE用户名和密码 必须连接到DSL网络上2. PPPOE服务名称-ISP （互联网服务供应 商）名称或者 PPPOE服务器上配置

16、的服务等级 协议名称都可用当关闭VLAN时，PPPOE也将被关闭。用WEBUI来确认VLAN上的PPPOE协议1打开仙1打协畑1 i筋11 *阳* W a IF Iniertm-rM |：页面2点击” EDIT “编辑之前创建的VLANI ）1 d ;tin Fin 】P a tldwru i h P I3选择4为PPPOE会议输入服务器名称、用户名和密码5点击” APPLY用CLI命令来确认VLAN上的PPPOE协议DHCP/PPPOE上的默认网关地址你可以从DHCP/PPPOE服务器上获得路由器IP地址作为控制器默认网关地址。运用 WEBUI通过DHCP/PPPOE设置默认网关地址Cnfl

17、Miirmhin Set*rk IP I卩|1打开 -*页面（ObtJim an I PFttctoirmlically12选择3点击“ APPLY”运用CLI命令通过DHCP/PPPOE设置默认网关地址DHCP/PPPOE 上的 DNS （域名服务器）/WINS （ Win dows In ternet 命名服务）DHCP/PPPOE服务器同样可以提供 DNS服务器或者 NETBIOS服务器IP地址。该IP地址 可以通过控制器内部 DHCP（动态主机配置协议）服务器传递到无线用户处。例如：下面我们为一个员工在控制器的 DHCP服务器上配置分配地址，这个 通过控制器从 DNS服务器上获得的IP

18、地址将经过DHCP/PPPOE将自己的IP地址一起提供给用户。通过 WEBUI来配置DNS/WINS服务器1. 打开页面 、十 I Enable DC HP(MinnrAl km TVuwrk IF DIICF Server2. 选择3. 在指定池下选择“ ADD4. 为 pool 设置名称为“ employee-pool ”5. 设置10.1.1.254为默认路径6. 选择I巧丈z和心曲门丙那代曲.设置DNS服务器7. 选择血亍口逆U孟肥HE星设置 WINS服务器8. 设置10.1.1.0为IP地址，设置255.255.255.0为子网掩码9. 点击” Done “完成通过CLI命令来配置

19、DNS/WINS服务器源NAT （网络地址转换）为动态VLAN地址当VLAN接口通过DHCP/PPPOE获得IP地址时，NAT pool和ACL回话将根据动态指定 的IP地址自动创建。 他将允许你设置政策，将指引你为DHCP/PPPOE用户设置个人/公共地址。当VLAN上的IP地址更改时，动态 NAT池里面的地址将随之更 改以适应新的地址。例如，以下的规则介 绍的就是用户访问政策不能通往内部网络地址时，通往其他目的地(外部的目的地)的用户访 问政策就是控制器上的DHCP/PPPOE客户端IP地址的网络地址转换源。运用WEBUI为动态VLAN指定网络地址转换源(Source NAT)ADD “增

20、加”y .VrrsN I 11.打开页面，点击”Guest用户访问 2增加规则，点击” ADD “：a. 确认源，选择ANY ”b. 确认目的地，选择“ NETWORK输入10.1.0.0作为管理员IP地址，输入255.255.0.0作 为子网掩码c. 确认服务，选择” ANY “d. 确认作用，选择” REJECTe. 点击“ ADD3. 增加新的规则，点击ADDa. 离开源、目的地和服务器，选择” ANY “b. 确认作用，选择” SCR-NATc. 确认 NAT POOL，选择 1d.点击“ ADD4.点击ADD ”运用CLI命令为动态 VLAN指定网络地址转换源(Source NAT)

21、为VLAN接口指定NAT源上一章节里面介绍的配置案例说明了用 policy配置网络地址转换源适用于客户角色。你也 可以为VLAN 接口确认网络地址转换源，为所有退出VLAN的流量造成源地址中的 NAT被完成。退出VLAN数据包是由外部端口的源 IP地址决定的，具体操作如下:(1) 如果您为VLAN配置了个人IP地址，控制器 就被认为是默认网关控制器子 网。退出该 VLAN的数据包，就为 其源IP地址配置了控制器的IP地址。(2) 如果控制器在第3层转发包，退出该 VLAN的数据包，就为其源IP地址配置了 nexthop VLAN的IP地址。配置示例在下面的例子中，控 制器在企业内部网络工作。V

22、LAN1是外部VLAN。VLAN6上的流量是使用控制器 的IP地址的源NAT。在这个例子中，IP分配给VLAN 1的地址被用 作控制器的IP地址，因此，从VLAN6上的流量将 经过源NAT到66.1.131.5。图3的例子：使用控 制器IP地址的源NAT私有 IP 地址：192.16821/24公共 IP 地址：66.1.131.5/24JLAN6使用 WebUI为VLAN接口配置源NAT :1打开“导航 网络 VLAN ”的配置页面。单 击“添加“配置 VLAN6 ( VLAN1为初始设 置的配置)。a. 输入的6为VLAN 的ID地址。b. 点击Apply ”按钮。2打开：导航到“配置 网

23、络 IP IP接口”页面。3为VLAN6点击“编辑”：a. 选择“使用下面的IP地址”。b. 输入网络掩码的 IP地址为192.168.2.1和255.255.255.0。C.选择该VLAN复选框“启用源NAT ”。4点击“ Apply ”按钮。使用CLI命令为VLAN接口配置源 NATin terface vla n 1ip address66.1.131.5 255.255.255.0in terface via n 6ip address192.168.2.1 255.255.255.0ip nat in sideip default-gateway 66.1.131.1用CLI命令配置

24、VLAN路由in terface vlan ip address |dhcp-client|pppoeno ip rout ing四配置静态路由控制器上配置静态路 由(如默认路由)，做到以下几点： 使用WebUI配置静态路由1 Navigate to the Configuration Network IP IP Routes page.2 单击“ Add ”添加一个静态路由到目标网络或主机。输入目的IP地址和网络掩码(255.255.255.255 )主机路由的下一跳IP地址3 单击“完成添加条目Done to add the entry。注意路由还未被被添加到路由表。4 点击Apply “

25、添加路由到路由表。消息配置更新成功，确认路线已被添加。使用CLI配置静态路由ip route 五 配置环回IP地址这个LoopbackIP地址是一个逻辑控制器的IP接口，用于与接入点通信。控制器的IP地址为回环地址被用作 终止VPN和GRE隧道。RADIUS服务器发起请求，并接受行政通信。您配置作为一个32位掩码的主机地址的Loopback地址。回送地址是不受任何 特定的接口，在任何时候都运作。使用这个接口，确保IP地址是通过VLAN接口访问。它应该是所有 外部网络的路。如果你不使用的 VLAN1连接到网络控制器，您必须配置一个 loopback地址。如果没有配 置loopback接口的地址，

26、那么首先配置 VLAN接口地址。一般情况下， VLAN1是出厂默 认设置，从而成为控 制器的IP地址使用WebUI配置环回IP地址1导航到配置 网络 控制器 系统设置页面，并找到Loopback接口部分。Con figuration Network Controller System Settings page2根据需要修改IP地址。3 点击Apply按钮。如果您使用的是回传 的IP地址来访问 WebUI中，改变环回IP地址，将导致 连接 受损。Aruba建议您使用一个VLAN接口的IP地址访问 WebUI。4 导航到维修 控制器 重新启动控制器页面，Navigate to the Maintenance Controller Reboot Controller page重新启动控制器查看IP地址的变化。5单击“继续Continue ”保存配置6当提示，改变被成功 写入到闪存，单击“确定 click OK7控制器启动并改变了 环回IP地址 使用CLI配置环回IP地址in terface loopback ip address write memoryUsing the CLI to reboot the controllerEn ter the followi ng comma nd in En able mode:reloadConfiguringth