ARUBA无线网络培训课件

ARUBA无线网络培训课件公司简介市场形象：全球领先的安全无线网络供应商全球唯一的WLAN专业上市公司硅谷技术公司排名(#1ranking)全球客户数量：6500+连接性Aruba产品的市场定位融合的移动应用QoS,Roaming,Handovers,Location,RFID安全接入Authentication,Encryption,IntrusionPrevention移动设备管理Security,BatteryLife,DeviceManagementWirelessLAN覆盖RFManagement,RogueAPDetection安全性移动性用户分级Employees,Contractors,GuestsARUBA以用户为中心的网络高性能无线园区网

即插即用的远程接入点

适合各种规模的分支办公室网络

安全的企业无线网状网RFprotect™无线入侵防范Who,What,Where,When,How?基于角色的安全策略叠加的网络安全特性整合的网络准入控制安全访客接入

持续的话音呼叫

数据会话的永续性应用感知的服务质量基于定位的应用视频优化自适应无线局域网基于身份的安全性应用层质量保证Follow-MeApplicationsFollow-MeSecurityFollow-MeManagementFollow-MeConnectivityUser-CentricNetworks

多厂商设备管理

用户级管理和报表可视的无线热区图非法AP识别和定位故障诊断专家系统统一的用户网络管理自动优化：不需要人工干预的智能网络自适应射频管理（AdaptiveRadioManagement™）基于可用频谱对WLAN进行持续优化对频谱进行实时扫描和监视自动选择最佳信道和功率，降低网络冲突和干扰，并在AP失效时自动对盲区进行覆盖基于用户和流量进行负载均衡对双频段用户提供频段指引公平接入快速和慢速客户端基于负载感知的射频扫描物理位置时间可用信道挑战–动态射频环境在一个期望的覆盖范围，可以使用的工作信道并不是一成不变的，与环境中存在的干扰和用户密度、流量负载等有关大厅自习室会议室办公室/公位便于扩展：随时随地对无线网络进行扩展6分支机构/办公室公司总部Internet服务来客Internet访问DMZINTERNETGUESTCORPCORP语音VOICEDSL路由器GUESTVLANInternet服务分割隧道用于传输互联网流量的分割隧道以用户为中心的内置防火墙防火墙/NATFanTrayUpto4M3MarkIRedundantPSUs40x1000Base-X(SFP)8x10GBase-X(XFP)业界最强大的无线控制器单台支持80G线速转发单台管理2048个无线AP从室内向室外扩展向更加广阔的Internet扩展基于身份的访问控制和带宽管理用户权限管理Who(用户认证)+What(认证方式)

+When(接入时间)+Where(接入位置)+How(接入终端)基于用户的无线状态防火墙单一物理网络设施任意对用户进行分组不同组或用户设定不同L2-L7策略控制不同用户设定不同的上下行带宽分配不同用户设定的不同QOS级别Aruba的Firewall可以检测到ICMP,TCPSync,IPSession,IPSpoofing,RSTRelay,ARP等多种潜在网络攻击,并自动将攻击者放入黑名单,断开无线连接

VirtualAP1SSID:ABC.COMVirtualAP2SSID:VOICE标准客户免费客户路由器WEB门户移动性控制器接入点VIP唯一权限、QoS,策略免费客户语音普通客户VIP客户话音客户AAA基础设施入门客户相同或不同的VLANARUBA无线网络的组网架构EmailServer10/100MbpsL2/3DHCPServer1.3.4.通讯过程：AP连接到现有网络的交换机端口，加电起动后，获得IP地址AP通过各种方式获得ARUBA控制器的LoopIP地址（静态获得、DHCP返回、DNS解析、组播、广播）AP与控制器之间建立PAPI隧道（UDP8211），通过FTP或TFTP到ARUBA控制器上比对并下载AP的image软件和配置文档，并根据配置信息建立AP与控制器之间的GRE隧道，同时向无线用户提供无线接入服务无线用户通过SSID连接无线网络，所有的用户流量都通过AP与ARUBA控制器之间的GRE隧道直接传递到ARUBA控制器上，进行相应的加解密、身份验证、授权、策略和转发2.配置ARUBA无线控制器管理员登陆(admin/saic_admin)CliWeb管理帐号网络配置VlanIPaddressIProuteIPdhcp安全配置PolicyRoleAAA无线配置SSIDVirtualAP配置ARUBA无线控制器管理员登陆登陆ARUBA无线控制器CommandlineUser:adminPassword:*****(Aruba800)>enPassword:******(Aruba800)#configuretEnterConfigurationcommands,oneperline.EndwithCNTL/ZWebUI

https://<Controller’sIPaddress>Admin帐号管理#mgmt-user<username><role>

(Aruba800)(config)#mgmt-useradminrootPassword:*****Re-Typepassword:*****(Aruba800)(config)#配置ARUBA无线控制器ARUBA无线控制器的网络配置ARUBA无线控制器的网络配置配置Vlan(Aruba800)(config)#vlan200(Aruba800)(config)#interfacefastethernet1/0接入模式：(Aruba800)(config-if)#switchportaccessvlan200 (Aruba800)(config-if)#switchportmodeaccess中继模式：(Aruba800)(config-if)#switchporttrunkallowedvlanall (Aruba800)(config-if)#switchportmodetrunk(Aruba800)(config-if)#showvlanVLANCONFIGURATIONVLANNamePorts

1DefaultFE1/1-7100VLAN0100GE1/8200VLAN0200FE1/0配置IPaddress(Aruba800)(config)#interfacevlan200(Aruba800)(config-subif)#ipaddress54(vlaninterface)(Aruba800)(config-subif)#iphelper-address(DHCPrelay)ARUBA无线控制器的网络配置配置IProute配置缺省路由:(Aruba800)(config)#ipdefault-gateway配置静态路由：(Aruba800)(config)#iproute(Aruba800)(config)#showiprouteCodes:C-connected,O-OSPF,R-RIP,S-staticM-mgmt,U-routeusable,*-candidatedefaultGatewayoflastresortistonetworkS*/0[1/0]via*S/24[1/0]via*Cisdirectlyconnected,VLAN1Cisdirectlyconnected,VLAN100Cisdirectlyconnected,VLAN200配置dhcpserver(Aruba800)(config)#ipdhcppooluser_pool(Aruba800)(config-dhcp)#default-router54(Aruba800)(config-dhcp)#dns-server(Aruba800)(config-dhcp)#network(Aruba800)(config-dhcp)#exit(Aruba800)(config)#servicedhcp配置ARUBA无线控制器ARUBA无线控制器的安全配置ARUBA控制器的安全配置Rule1Rule2Rule3RulenRule1Rule2Rule1Rule1Rule2Rule3Rule4Rule1Rule2Rule3Rule4Policy1Policy2Policy3Policy4Policy5Role1Policy1Policy2Role2Policy1Policy3Policy4Role3Policy4Policy5Role4Policy4User1User2User3User4User5User6…………UserNRoleDerivation:1)LocallyDerived2)ServerAssigned3)DefaultRoleAssignsuserstoaroleMethods:PoliciesRolesDerivation<source><destination><service><action><extendedaction>ARUBA控制器的安全配置AddressesHTTPFTPDNSetcDenyPermitNatLogQueue802.1passignmentTOSTimeRange策略示例：ipaccess-listsessionInternet_Only useranyudp68deny useranysvc-dhcppermit userhostsvc-dnspermit userhostsvc-dnspermit useraliasInternal-Networkdenylog useranyanypermit防火墙策略：一组按照特定次序排列的规则的集合别名的定义：1)网络别名netdestinationInternal-Networknetwork networknetdestinationExternal-networknetwork networkinvert2)服务别名 netservicesvc-httptcp80<source><destination><service><action><extendedaction>ARUBA控制器的安全配置AddressesHTTPFTPDNSetcDenyPermitNatLogQueue802.1passignmentTOSTimeRange防火墙策略：一组按照特定次序排列的规则的集合CreatingRolesCreatingPolicies212-21ARUBA无线控制器的安全配置用户角色（Role）决定了每个用户的访问权限每一个role都必须与一个或多个policy绑定防火墙策略按次序执行最后一个隐含的缺省策略是“denyall”可以设定role的带宽限制和会话数限制用户角色（Role）的分配可以通过多种方式实现基于接入认证方式的缺省角色(i.e.802.1x,VPN,WEP,etc.)由认证服务器导出的用户角色(i.e.RADIUS/LDAP属性)本地导出规则ESSIDMACEncryptiontypeEtc.ARUBA控制器中的每一个用户都会被分配一个Role!ARUBA无线控制器的安全配置(Aruba800)#showrightsRoleTableNameACLBandwidthACLListType

ap-role4Up:NoLimit,Dn:NoLimitcontrol,ap-aclSystemauthenticated39Up:NoLimit,Dn:NoLimitallowall,v6-allowallUserdefault-vpn-role37Up:NoLimit,Dn:NoLimitallowall,v6-allowallUserguest3Up:NoLimit,Dn:NoLimithttp-acl,https-acl,dhcp-acl,icmp-acl,dns-acl,v6-http-acl,v6-https-acl,v6-dhcp-acl,v6-icmp-acl,v6-dns-aclUserguest-logon6Up:NoLimit,Dn:NoLimitlogon-control,captiveportalUserlogon1Up:NoLimit,Dn:NoLimitlogon-control,captiveportal,vpnlogon,v6-logon-controlUserstateful-dot1x5Up:NoLimit,Dn:NoLimitSystemvoice38Up:NoLimit,Dn:NoLimitsip-acl,noe-acl,svp-acl,vocera-acl,skinny-acl,h323-acl,dhcp-acl,tftp-acl,dns-acl,icmp-aclUserARUBA无线控制器的安全配置(Aruba800)#showrightsauthenticatedDerivedRole='authenticated'UpBW:NoLimitDownBW:NoLimitL2TPPool=default-l2tp-poolPPTPPool=default-pptp-poolPeriodicreauthentication:DisabledACLNumber=39/0MaxSessions=65535access-listListPositionNameLocation

1allowall2v6-allowallallowallPrioritySourceDestinationServiceActionTimeRangeLogExpiredQueueTOS8021PBlacklistMirrorDisScan

1anyanyanypermitLowv6-allowallPrioritySourceDestinationServiceActionTimeRangeLogExpiredQueueTOS8021PBlacklistMirrorDisScan

1anyanyanypermitLowExpiredPolicies(duetotimeconstraints)=0ARUBA无线控制器的安全配置定义用户角色（role）(Aruba800)(config)#user-rolevisitors(Aruba800)(config-role)#access-listsessioninternet-only(Aruba800)(config-role)#max-sessions100(Aruba800)(config-role)#exit(Aruba800)(config)#ARUBA无线控制器的安全配置基于接入认证方式的缺省角色（role）分配(Aruba800)(config)#showaaaprofiledefaultAAAProfile"default"ParameterValue

InitialrolelogonMACAuthenticationProfileN/AMACAuthenticationDefaultRoleguestMACAuthenticationServerGroupdefault802.1XAuthenticationProfileN/A802.1XAuthenticationDefaultRoleguest802.1XAuthenticationServerGroupN/ARADIUSAccountingServerGroupN/AXMLAPIserverN/ARFC3576serverN/AUserderivationrulesN/AWiredtoWirelessRoamingEnabledSIPauthenticationroleN/A(Aruba800)(config)#showaaaauthenticationcaptive-portaldefaultCaptivePortalAuthenticationProfile"default"ParameterValue

DefaultRoleguestServerGroupdefaultRedirectPause10secUserLoginEnabledGuestLoginDisabledLogoutpopupwindowEnabledUseHTTPforauthenticationDisabledLogonwaitminimumwait5secLogonwaitmaximumwait10seclogonwaitCPUutilizationthreshold60%MaxAuthenticationfailures0ShowFQDNDisabledUseCHAP(non-standard)DisabledSygate-on-demand-agentDisabledLoginpage/auth/index.htmlWelcomepage/auth/welcome.htmlShowWelcomePageYesAddingswitchipaddressinredirectionURLDisabledARUBA无线控制器的安全配置基于接入认证方式的缺省角色（role）分配ARUBA无线控制器的安全配置基于服务期返回规则的角色（role）分配(Aruba800)(config)#aaaserver-grouptest(Aruba800)(ServerGroup"test")#setroleconditionmemberOfcontainsstudentset-valuestudent说明：从LDAP服务器获取用户属性，并以此为依据分配用户角色时，只能通过CLI进行配置ARUBA无线控制器的安全配置基于用户定义规则的角色（role）分配(Aruba800)(config)#aaaderivation-rulesuser"test_rule"(Aruba800)(user-rule)#setroleconditionencryption-typeequals"dynamic-aes"set-value"authenticated"position1(Aruba800)(user-rule)#setroleconditionencryption-typeequals"dynamic-tkip"set-value"guest"position2BlacklistingClientsWhatIsBlacklisting?DeauthenticatedfromthenetworkIfaclientisconnectedtothenetworkwhenitisblacklisted,adeauthenticationmessageissenttoforcetheclienttodisconnect.BlockedfromassociatingtoAPsBlacklistingpreventsaclientfromassociatingwithanyAPinthenetworkforaspecifiedamountoftime.BlockedfromotherSSIDsWhileblacklisted,theclientcannotassociatewithanotherSSIDinthenetwork.2-31MethodsOfBlacklistingManuallyblacklistAdminusercanblacklistaspecificclientviatheclientsscreenatMonitoring>ClientsFirewallpolicyAfirewallPolicycanresultintheclientbeingblacklistedFailstoAuthenticateAclientfailstosuccessfullyauthenticateforaconfigurednumberoftimesforaspecifiedauthenticationmethod.Theclientisautomaticallyblacklisted.IDSAttackThedetectionofadenialofserviceormaninthemiddle(MITM)attack

inthenetwork.2-32DurationOfBlacklistingBlacklistDurationonPer-SSIDbasisConfiguredinVirtualAPProfile2-33RulebasedBlacklistingConfiguration->Accesscontrol->PoliciesConfiguringFirewallPolicyBlacklistingThisrulesetisusedtoblacklistclientsattachingtothecontrollerIPaddress2-35ViewingBlacklistClientsMonitoring>BlacklistClientsThisscreenallowsclientstobeputbackintoproduction/logonrolesbyremovingthemfromtheblacklist2-36ConsiderationsWhenBlacklistingClientsPolicyenforcementDeviceswithweakencryptionDenyGuestfromcorporateaccessMaybedisruptivetoemployees2-37BandwidthContractsBandwidthContractsAppliedtoRolesSpecifiedinKbpsorMbpsUpstream-DownstreamForallUsersorPerUser

2-39BandwidthContracts2-40ApplyBW-ContractToTheRole2-41配置ARUBA无线控制器ARUBA无线控制器的无线配置ARUBA无线控制器的无线配置APGroupWirelessLANRFManagementAPQoSIDSVirtualAPPropertiesSSIDAAAa/gRadioSettingsRFOptimizationsSystemProfileEthernetRegulatorySNMPVoIPa/gManagementVirtualAPPropertiesSSIDAAAVLANVLANARUBA无线控制器的无线配置加密方法确保数据在空中传输时的私密性可以选择不加密(open)、二层加密(WEP,TKIP,AES)或者三层加密(VPN)认证方式确保接入无线网络的用户都是合法用户认证方式可以选择不认证，或者MAC、EAP、captiveportal、VPN等认证方式访问控制对接入无线网络的合法用户流量进行有效控制，包括可以访问的网络资源、带宽、时间等WLAN服务的配置要点SSIDProfileAAAProfileRoleARUBA无线控制器的无线配置(Aruba800)#showwlanvirtual-apdefaultVirtualAPprofile"default"Parameter Value

VirtualAPenable EnabledAllowedband allSSIDProfile defaultVLAN 100Forwardmode tunnelDenytimerange N/AMobileIP EnabledHADiscoveryon-association DisabledDoSPrevention DisabledStationBlacklisting EnabledBlacklistTime 3600secAuthenticationFailureBlacklistTime 3600secFastRoaming DisabledStrictCompliance DisabledVLANMobility DisabledAAAProfile defaultRemote-APOperation standardARUBA无线控制器的无线配置SSIDProfile的定义(Aruba800)(config)#wlanssid-profiletest(Aruba800)(SSIDProfile“test”)#essidtest（WLAN显示的SSID名称）(Aruba800)(SSIDProfile“test”)#opmode?（WLAN可以选用的加密方式）dynamic-wep WEPwithdynamickeysopensystem Noencryptionstatic-wep WEPwithstatickeyswpa-aes WPAwithAESencryptionanddynamickeysusing802.1Xwpa-psk-aes WPAwithAESencryptionusingapre-sharedkeywpa-psk-tkip WPAwithTKIPencryptionusingapre-sharedkeywpa-tkip WPAwithTKIPencryptionanddynamickeysusing802.1Xwpa2-aes WPA2withAESencryptionanddynamickeysusing802.1Xwpa2-psk-aes WPA2withAESencryptionusingapre-sharedkeywpa2-psk-tkip WPA2withTKIPencryptionusingapre-sharedkeywpa2-tkip WPA2withTKIPencryptionanddynamickeysusing802.1XxSec xSecencryption<cr>(Aruba800)(SSIDProfile“test”)#opmodeopensystemARUBA无线控制器的无线配置SSIDProfile的定义ARUBA无线控制器的无线配置AAAProfile的定义配置基于Open的AAAProfile(Aruba800)(config)#aaaprofiletest(Aruba800)(AAAProfile"test")#clonedefault配置基于Portal认证的CaptivePortalProfile(Aruba800)(config)#aaaauthenticationcaptive-portaltest(Aruba800)(CaptivePortalAuthenticationProfile"test")#clonedefault(Aruba800)(CaptivePortalAuthenticationProfile"test")#default-roleguest(Aruba800)(CaptivePortalAuthenticationProfile"test")#noenable-welcome(Aruba800)(CaptivePortalAuthenticationProfile"test")#server-grouptestARUBA无线控制器的无线配置配置LDAP服务器(Aruba800)(config)#aaaauthentication-serverldaptest(Aruba800)(LDAPServer"test")#host0(Aruba800)(LDAPServer"test")#admin-dnadmin(Aruba800)(LDAPServer"test")#admin-passwdadmin(Aruba800)(LDAPServer"test")#base-dncn=users,dc=qa,dc=domain,dc=com(Aruba800)(LDAPServer"test")#allow-cleartext(Aruba800)(LDAPServer"test")#ARUBA无线控制器的无线配置配置Server-Group(Aruba800)(config)#aaaserver-grouptest(Aruba800)(ServerGroup"test")#auth-servertest(Aruba800)(ServerGroup"test")#setroleconditionmemberOfcontainsguestset-valueguest(Aruba800)(config