Aruba IAP 解决方案说明

InstantAP解决方案AGENDAIAP简介IAP解决方案组成IAP典型行业场景IAP解决方案特点IAP基本与高级配置IAP-VPN、IAP-AirWave-Activate、IAP-ClearPassIAP维护管理Q&AIAP简介什么是IAP?ArubaInstant

AP能够在802.11n无线接入点（AP）上实现虚拟控制器功能，是当前业内首款既具备企业级产品的特性和功能，又具备入门级无线局域网经济简便性的AP。采用直观的用户界面，ArubaInstant可以在几分钟内部署好无线网络，同时却又不失企业级的安全性、易用性及可靠性。ArubaInstant可以在每一个站点容纳数十个无线接入点。并可接受云管理，同时ArubaInstant还可以轻松升级到基于Aruba移动控制器+瘦AP的的网络架构。

虚拟控制器技术

采用直观的用户界面，提供完全的集中管理控制，并降低了部署成本和复杂度。

自组织AP可以被快速识别并加入网络，可提供自动射频/信道管理确保无线信号最佳优化覆盖。

基于云的管理

采用集中管理并控制整个分散在各处分布式的ArubaInstant网络。

轻松迁移至基于Aruba控制器的体系结构，确保投资保护，并降低网络所有者的总成本。标准的IAP组网示意图交换机

(可选与Modem一体化的设备)无需硬件控制器组网AP自组网，第一个AP被选举为VirtualController(VC)统一管理，只需配置VC即可AP自动同步配置并协同工作APCluster，虚拟化，自动组网MasterAP

(虚拟控制器)InternetADSLModem为什么要使用IAP?低成本，无需硬件控制器和License实例：某中小企，需要10个AP做无线覆盖，要求可以基于角色管理基于AC+AP架构，投入如下：总价：￥38,376基于IAP架构，投入如下：成本比AC+AP架构便宜将近一半产品型号描述数量折后价小计备注无线控制器650Aruba650Controller-6x10/100/1000Base-T(RJ-45)4supportingPoE(PoElicenseincluded),2x1000Base-X(SFP)ports,4xUSBports,0APSupport1650无线控制器，支持管理最多16个CAP，64个RAP，包含6个10/100M电口（其中4个支持PoE供电），和2个SFP接口LIC-8-APAccessPointLicense(8AccessPointLicense)1AP管理许可证（8个）LIC-2-APAccessPointLicense(2AccessPointLicense)1AP管理许可证（2个）LIC-PEFNG-8PolicyEnforcementFirewall(8APLicense)1防火墙安全策略许可证（8个）LIC-PEFNG-2PolicyEnforcementFirewall(2APLicense)1防火墙安全策略许可证（2个）无线接入点AP-103ArubaAP-103WirelessAccessPoint,802.11n,2x2:2,dualradio,integratedantennas10双频双模802.11n无线接入点，2x2MIMO，2空间流，带滤波器，支持300Mbps接入速率；内置天线AP-220-MNT-W1AP-220SeriesMountKitBasic10AP安装支架产品型号描述数量折后价小计备注无线接入点IAP-103ArubaIAP-103WirelessAccessPoint,802.11n,2x2:2,dualradio,integratedantennas10双频双模802.11n无线接入点，2x2MIMO，2空间流，带滤波器，支持300Mbps接入速率；内置天线AP-220-MNT-W1AP-220SeriesMountKitBasic10AP安装支架为什么要使用IAP?分支本地没有专职IT人员，希望可以对无线网络简单的维护和管理。分支通过Internet连接回总部，链路不稳定，不适合使用AC+AP架构。希望快速部署无线网络，不需要繁琐的配置。IAP解决方案组成IAP的设备型号IAPAirWaveAC(VPNServer)ClearPassActivate典型的组网架构IAPAirWaveAC(VPNServer)ClearPassIAP的设备型号性能扩展性802.11ac300MAP-130室外环境RAPAP-225AP-110RAP-3RAP-100RAP-155

AP-270AP-215AP-205AP-103450MIAP

型号与参数型号射频频段(GHz)802.11TxR:S供电以太网口USB口IAP-22522.4&5a/b/g/n/ac3x3:3PoE+（建议）/外置电源21IAP-21522.4&5a/b/g/n/ac3x3:3PoE/外置电源11IAP-20522.4&5a/b/g/n/ac2x2:2PoE/外置电源10IAP-13522.4&5a/b/g/n3x3:3PoE/外置电源20IAP-11522.4&5a/b/g/n3x3:3PoE/外置电源11IAP-10322.4&5a/b/g/n2x2:2PoE/外置电源10RAP15522.4&5a/b/g/n2x2:2(2.4Ghz)&3.3.:3(5Ghz)外置电源51RAP10922.4&5a/b/g/n2x2:2PoE/外置电源21RAP-312.4b/g/n2x2:2外置电源31IAP-17522.4&5a/b/g/n2:2x2PoE+/AC/DC电源10IAP-9312.4&5a/b/g/n2x2:2PoE/外置电源10将停产推荐推荐IAP典型行业场景使用IAP的客户分类中小学、普教中小企业中小型医疗多分支企业（银行基金公司网点、零售连锁、餐饮连锁、汽车4S店、房地产楼盘等）部署IAP给用户带来的体验

-----中小学、普教无线精品课程、VOD：访问视频服务，点播新闻；收看教学视频。移动学习方式：随时访问教学资源；更灵活的讨论问题；科研信息、学术交流：校园师生可以随时、随地从网上获取教学信息；开展学术交流，信息交流；学校现场迎新：迎新现场快速无线网络部署；减少部署有线的麻烦；现场入学信息录入；新生各项手续快速办理；无线多媒体教室：学生通过无线与老师课件同步，积极参与教学互动；快捷获得教学信息；教师得以摆脱各种连线的束缚，毋须将移动范围局限在讲桌一角。部署IAP给用户带来的体验

-----中小企业无线办公：使用笔记本电脑访问公司内网及外网资源；使用自带的iPad、iPhone及其他智能手机办公、收发邮件；安全可靠便捷的无线接入；会议及访客接入：会议室召开会议时提供无线接入；访客到公司拜访时无需插到墙上信息点，可以直接通过无线接入。易于部署：几分钟之内就可以部署完成；新加的AP即插即用，无需配置；帮助企业：提高工作效率，降低有线布线成本。易于管理：各分支机构被统一管理；无线射频智能调控；软件版本统一升级。更安全：企业员工、老板、访客接入赋予各自的角色，区分访问权限；提供各种入网认证；及时发现非法入侵。部署IAP给用户带来的体验

-----中小型医院医生移动工作：随时随地调用病人病历；更灵活的病人信息查看；解决查房时信息获取困难的问题，保证记忆不中断。护士无线查房：使用平板电脑无线接入医院医护系统；优化信息存取流程；提高工作效率；保证用药安全。病患无线Internet：候诊区域iPad、iPhone无线上网；病房内Internet访问，即时通讯工具使用；帮助医院：降低成本，提高社会效益和经济效益。帮助病人：安全的就医环境，提高满意度。部署IAP给用户带来的体验

-----零售、连锁餐厅、咖啡厅快速部署：分支网点快速部署；无需专业人士帮忙，解决部署难题。无线点餐：无线PDA点餐服务；提高下单速度、客户满意度。无线视频监控：敏感区域随时通过无线摄像头快速部署无线监控系统；无需复杂布线。顾客无线上网：iPhone、iPad、智能手机随时接入网络；看新闻/交友/微博/办公。无线PoS：无线PoS刷卡；提高工作效率。统一管理：由总部的网管系统统一管理所有分支节点无线设备；IAP解决方案特点与传统AOS(AC+AP)比较IAP的功能覆盖大概90%的AOS特性。甚至有部分功能只有IAP中才会有，包括：3G/4GModemSupportUplinkRedundancy(DualEthernet,Wi-Fi,PPPoE,3G/4G)APsurvivabilitytouplinkfailureAuthenticationsurvivabilityforEAP-PEAPAuthenticationsurvivabilityforEAP-TLSWebUILocalization(multiplelanguagesupport)与竞争对手解决方案比较类别功能描述Aruba竞争对手易部署性支持分支无线网络的“零接触”部署，AP无需做预配置√×集成VPN安全性的快速部署√×可管理性多设备的统一管理√√网管平台支持容量扩展√√网管平台可自定义管理端口(TCP/UDP)√×无线AP与网管平台建立连接需要通过KEY认证√√分支无线设备系统自动升级和打补丁√√系统提供故障快速诊断功能√√系统提供网络使用状况分析√√系统提供自定义报表功能√×与竞争对手解决方案比较（续）类别功能描述Aruba竞争对手安全性AP自带硬件数字证书√×AP集成状态化7层防火墙√×支持通过GRE定向或者重定向数据流量√×限制P2P流量√√广播风暴抑制√√支持WalledGarden功能，即认证前可访问网址的白名单√×基于用户角色的访问控制管理√√每个角色定义L4-L7的防火墙策略√×按照角色定义，基于应用的带宽控制√×按照角色定义，基于应用的允许/禁止控制√×按照角色定义，基于网站内容的控制√×按照角色定义，基于网站名声的控制√×可以基于以下因素派生角色：

-MAC地址

-AP的位置

-客户端ESSID

-客户端加密类型

-AP的BSSID

-DHCP服务器返回的Userclassidentifier

-DHCP指纹识别

-Radius属性√×系统提供无线入侵检测功能√×对多次认证失败的客户端进行自动拉黑处理√×识别非法AP和非法客户端√√支持多因素的认证方式结合√×支持有线侧的攻击防护√√与竞争对手解决方案比较（续）类别功能描述Aruba竞争对手本地存活性支持多数据中心的备份，实现快速VPN切换√×对于新客户端认证的存活支持√×支持3G/4G线路备份√×主备链路都下线的情况下，支持老802.1X客户端的认证，存活时间超过96小时√×主备链路都下线的情况下，支持本地网络服务的提供√×应用层控制分支节点内部快速漫游，可以缓存Key√×基于App的QoS控制，而不是简单基于SSID√×App识别与控制√×Aruba独特的功能项一、易部署性和可扩展性支持AP“零配置”部署，也即AP的快速部署，AP无需在中心端统一做配置工作，可以直接发货到各分支，本地人员只需要打开包装，对设备加电和接好网线，AP会自动通过Internet云端注册到数据中心，获取软件版本和配置文件。支持分支IAP与数据中心之间建立IPSecVPN，使得分支与数据中心之间可以建立安全隧道。支持SplitTunnel隧道分离技术，可以设置分支需要访问数据中心方向的哪些网段走VPN隧道，其他数据直接从本地转发。支持多种DHCP工作模式，包括通过IAP本地实现DHCP功能，通过远端数据中心分发IP地址等。支持AP工作模式的转换，也即AP的胖瘦互转，有利于做投资保护，以后当本地需要部署控制器管理时，IAP可以转换为CAP（瘦AP）。二、射频管理支持优选5GHz接入模式，有利于引导客户端使用5GHz的信道，提高客户体验度。支持空气时间均分技术AirtimeFairness，有利于解决因为客户端个体性能差异造成的整体网络性能下降的问题。信道和发射功率自动调整，IAP会根据本地所有AP的工作状况，自动调整信道以及发射功率，以避免无线干扰和覆盖盲区的出现。支持频谱扫描功能，在为客户端提供接入服务的同时，对频谱进行不间断扫描，以确定频谱资源的合理利用。支持信道负载均衡，合理安排客户端均衡到不同的信道中，有利于提高客户端的上网性能。Aruba独特的功能项（续）三、应用优化支持带宽设置，可以根据信道的使用百分比、每个客户端的带宽、或每个射频的带宽进行设定。支持语音和视频优化，可以识别语音和视频应用，做QoS保障。支持动态组播优化，可以把组播转为单播，提高视频流应用的质量和可用性，同时保证非视频应用客户端的带宽。支持Apple的Bonjour协议优化，包括AirPlay和AirPrint等。四、冗余性和可靠性支持3G和4G的上连接入，在没有ISP线路提供的场所，可以通过3G/4G的方式连接Internet。支持Wi-Fi上连接入，在仅有Wi-Fi信号的特殊场所，可以通过其他Wi-Fi信号接入Internet。支持PPPoE拨号，在没有拨号路由器的场所，可以使用IAP直接进行PPPoE拨号。支持线路备份，可以使用3G/4G接入模式，备份本地ISP上连线路。五、架构安全性非法无线AP和无线客户端识别，可以识别第三方的无线AP和非法用户。支持EAP-TLS，可以使用内置RadiusServer终结EAP-TLS。支持非法入侵检测，即IDS，可以识别已知和未知的无线攻击行为。支持基于防火墙策略的日志，可以对终端源地址到目的地址的日志进行记录，形成SYSLOG。支持客户端黑名单，可以对客户端进行手动拉黑、认证失效自动拉黑、或者基于防火墙策略的拉黑处理。支持组合的认证方法，包括MAC+802.1X认证、MAC+Portal认证。支持有线侧的攻击防护，可以识别和拦截从AP有线端口收到的ARP攻击和非法DHCP报文，并通知系统管理员。Aruba独特的功能项（续）六、用户安全性支持外部RadiusServer，可以集成外部的Radius系统进行认证。支持禁止客户端之间的桥接和路由功能，可以保护客户端的安全，以免互相影响。七、增值服务支持围墙功能WalledGarden，控制用户访问的Web和内容。支持RadiusAccounting，即可以支持计费功能。支持Portal页面重定向功能，可以设置Portal页面的重定向。支持外部Portal失效时Internet服务正常提供的功能。当外部Portal失效的时候，可以重定向Guest到其他URL。八、易管理性IAP通过HTTPS访问数据中心的AirWave网管系统，接受统一管理。IAP不依赖于网管工作，只会把客户端和频谱的情况发送到中心端，AirWave网管会对数据进行分析和汇总，甚至形成报表。支持网管人员的分级管理，可以设置管理员能访问的设备分组以及定义操作权限。IAP基本与高级配置配置IAP前您需要了解的知识IAP启动顺序寻找虚拟控制器，如果存在，自动加入。如果不存在，则把自己变成虚拟控制器。如果有配置，执行配置。如果没有配置，而且DHCPoption返回AMP-info，则联系AMP。如果DHCP没有返回options，则联系Activate()。如果Activate返回AMP-info/Centralredirect，联系AMP/Central。如果Activate返回noinfo(或Activate不可达)，使用默认配置启动，广播“instant”SSID。虚拟控制器(VC)的作用VCManagementPlane功能IAPcluster配置同步IAPcluster监控IAP操作系统管理联系AirWave和ArubaCentralVCControlPlane功能处理

CoADynamicRadiusProxy(DRP)DHCPserverVCDataPlane功能处理MagicVLAN(VCassigned)的流量如果需要用src-NAT，要处理流量如何选举虚拟控制器（VC）默认情况下，优选第一个上线的IAP作为VC。

当VC失效，将会重新选举VC.IAP初始化配置打开设备包装盒，取出设备，网线，设备底座，电源。将AP

的E0端口插上网线连接到家庭网关设备的以太网口上，并且给设备加电，检查AP面板的指示灯，PWR指示灯和E0指示灯变绿表明设备加电正常，并且E0口与家庭网关设备（交换机）连接正常。设备加电后约3-5分钟，观察到AP的WLAN指示灯变绿后，打开电脑无线网卡可以扫描到一个叫“instant”的SSID。接入“instant”网络打开任一web界面或者输入https://进入管理界面选择语言管理员账号IAP初始化配置（续）输入默认的管理员账号(user:admin,pw:admin)进入管理界面,国家代码选择“CN”添加一个网络网络名字组播广播优化带宽控制点击“新建”，输入网络名字，其他使用默认配置，然后点击“下一步”添加一个网络（续）用户地址的获取方式和VLAN信息，针对此次项目使用默认配置使用默认配置（用户ip地址从上层网络获取、vlan使用默认vlan），然后点击“下一步”添加一个网络（续）使用默认的配置并设置无线网络的共享密钥，点击“下一步”开放式：不限制用户接入个人：使用共享密钥的方式限制用户的接入企业：指dot1x方式限制用户的接入加密方式和共享的密钥是否开启MAC认证添加一个网络（续）使用默认的配置选择无限制接入规则，点击“完成”。添加一个网络（续）网络名字为“ChinaNet”建立完成，重启或者等到接入instant网络上的用户下线后instant网络会自懂消失。添加一个网络（续）新增加的IAP（在二层网络里面）会彼此发现学习配置并选举产生虚拟控制器统产生一个集群实现统一管理，管理通过web访问管理射频干扰侦测点击web界面中入侵侦测系统L3漫游依次点击设置->显示高级选线->L3机动性，将虚拟控制器和对应的vlan信息加入NTPServer配置依次点击设置设置->显示高级设置—>常规内容过滤通过在虚拟控制器里面建立域名和openDNS的账号，所有非到核心的dns请求都会别传递到openDNS查询实时定位IAP可以将定位信息传递给外置的ALE或者RTLSserver实现定位SNMP网管通过设置SNMP信息实现内网的网络管理黑名单和白名单黑名单和白名单与portal认证结合实现用户权限的限制AirGroup限制apple终端共享AirPrint和AirPlay多种上联链路3G/4G设置WiFi设置PPPoE设置ARM支持IAP提供空口优化和频率和功率优化终端系统的指纹识别IAP提供系统的指纹识别无线入侵检测可以根据客户需求设置不同策略的防护策略无线和有线抑制Wiredcontainment:

Whenenabled,IAPswillgenerateARPpacketsonthewirednetworktocontainwirelessattacksusingARPpoisoningofrogues.WirelessContainment:

Whenenabled,thesystemwillattempttodisconnectallclientsthatareconnectedorattemptingtoconnecttotheidentifiedAccessPoint.Tocontainmentmechanisms–deauthenticationandtarpitting–aresupported.Withdeauthenticationcontainment,theAccessPointorclientiscontainedbydisruptingtheclientassociationonthewirelessinterface.Withtarpitcontainment,theAccessPointiscontainedbyluringclientsthatareattemptingtoassociatewithittoatarpit.ThetarpitcanbeonthesamechanneloradifferentchannelastheAccessPointbeingcontained.AppRF概要：AppRFDPI仅在32MB闪存的平台上支持包括IAP103,108,109,114,115,155,224,225,275。WebContentFilter支持所有IAP平台，但需要按AP数量收取subscription费用。AppRFDPI引擎依赖于IAP，支持1900多种预定义Apps。WebURL数据库是来源于BrightCloud。本地

IAPUI显示每个AP和每个客户端AppRF和WebContentdata分别为1分钟和15分钟。由于IAP可以动态管理CPU，系统性能不会受到影响。(1)AppRFAppRF是深度报挖掘技术----DeepPacketInspection(DPI)。

AppRF起于InstantOS4.1以上的版本.AppRFDPI仅限于32MB闪存的平台上使用，16MB闪存平台的AP不支持，包括IAP104,105,Rap3,134,135and175。TheDPI可以支持识别1900多种Apps，分为21种应用，包括Gaming,Social-Networking等。要注意，如果需要AppRF功能，那Cluster中的所有AP必须支持AppRFDPI.AppRF（续）(2)WebContentFiltering/WebURLfiltering：Web内容过滤和URL过滤是基于用户使用http/https浏览

而分析的。这项功能起于Instant4.1版本并在所有IAP平台中支持。其数据库内容源于BrightCloud。WebURLs会分为79种不同的web分类。包括Facebook可以分类为social-media,instant-messaging,gaming，基于用户真实使用的应用类型。WebURLs会被分为5个级别的网站，基于其webreputationindexscore。AppRF（续）基于DPI引擎或者WebContentFiltering可以部署现以下策略Permit/DenyBandwidthContractsLogBlacklistDSCPTag802.1ppriorityDisableScanning如果DPI引擎或者WebContentFiltering失效，系统将执行defaultrule，建议创建一个”unknown”策略来防止不明确的应用被使用。AppRF（续）全局开启AppRF功能AppRF（续）在Role中创建策略AppRF（续）IAP-VPN、IAP-AirWave-Activate、IAP-ClearPassIAP-VPNIAP-VPN部署架构控制器作为VPNconcentrator(VPNServer)Instant-VPNmodesLocalModeCentralized-L2modeDistributed-L2modeDistributed-L3modeCentralized-L3modeDHCP-HowdoesLocalSubnetwork?IntranetNetwork/8VLANs10to99DatacenterRemoteBranchInternet/WANClientABrowsingtoIntranetBrowsingtoYoutubeRouteonIAP–For/8network,nexthopisVPNterminatingcontroller’sIPaddressMasterIAPSlaveIAPClientBBrowsingtoIntranetBrowsingtoYoutubeVLAN200MasterIAPistheDHCPserverandDefaultgatewayDHCPRequestVCSRCNATstrafficusingIAPslocalIPVCSRCNATstrafficusinginnerIPActiveVPNTunnelDHCP-HowdoesCentralizedL2work?Network/8VLANs10to99DatacenterRemoteBranchInternet/WANActiveVPNTunnelClientABrowsingtoIntranetBrowsingtoYoutubeRouteonIAP–For/8network,nexthopisVPNterminatingcontroller’sIPaddressMasterIAPMemberIAPClientBBrowsingtoIntranetBrowsingtoYoutubeVLAN50DHCPRequestVCSRCNATstrafficusingIAPslocalIPVCforwardstrafficinthetunnelVLAN50DHCPServerandDefaultGatewayIntranetDHCP-HowdoesDistributedL2work?IntranetNetwork/8VLANs10to99DatacenterRemote

BranchInternet/WANClientABrowsingtoIntranetBrowsingtoYoutubeRouteonIAP–For/8network,nexthopisVPNterminatingcontroller’sIPaddressMasterIAPSlaveIAPClientBBrowsingtoIntranetBrowsingtoYoutubeVLAN60IAP-VCistheDHCPServerDHCPRequestVCSRCNATstrafficusingIAPslocalIPVCforwardstrafficinthetunnelVLAN60DefaultGatewayintheDatacenterActiveVPNTunnelDHCP-HowdoesDistributedL3work?Network/8VLANs10to99DatacenterRemoteBranchInternet/WANClientABrowsingtoIntranetBrowsingtoYoutubeRouteonIAP–For/8network,nexthopisVPNterminatingcontroller’sIPaddressMasterIAPMemberIAPClientBBrowsingtoIntranetBrowsingtoYoutubeVLAN250Master-IAPistheDHCPServerandDefaultGatewayDHCPRequestVCSRCNATstrafficusingIAPslocalIPVCroutesthetraffictothetunnelIntranetActiveVPNTunnelDHCP-HowdoesCentralizedL3work?Network/8VLANs10to99DatacenterRemoteBranchInternet/WANActiveVPNTunnelClientABrowsingtoIntranetBrowsingtoYoutubeRouteonIAP–For/8network,nexthopisVPNterminatingcontroller’sIPaddressMasterIAPMemberIAPClientBBrowsingtoIntranetBrowsingtoYoutubeVLAN50MasterIAPistheDefaultgatewayDHCPRequestVCSRCNATstrafficusingIAPslocalIPVCroutestrafficinthetunnelVLAN50DHCPServerintheDatacenterIntranetLocalModeCentralized-L2Distributed-L2Distributed-L3Centralized-L3BranchID算法推荐的架构模式IAP-VPN模式

使用建议LocalRecommendedforguestnetworkswithacentralizedcaptiveportalservers.CentralizedL2Recommendedonlyifmulticasttraffictoabranchisrequired.Ifitisnotrequired,useL3modes.DistributedL2Recommendedonlyifmulticasttraffictoabranchisrequired.Ifitisnotrequired,useL3modes.DistributedL3Recommendedforalldeployments.CentralizedL3RecommendedfordeploymentsthatrequiretheuseofacentralizedDHCPserver.冗余:单数据中心异地冗余案例分享：某保险公司总体要求：网络易部署性（支持快速部署）网络可管理性（本地没有IT人员运维）网络安全性（客户使用的Wi-Fi全部通过安全区统一转发）客户接入简易性（客户可以通过简单自注册接入Wi-Fi）自注册的灵活性（通过手机号码实现注册，后期考虑通过微信做认证）Portal页面的自定义（可推送广告、调查问卷、App下载指引等功能）AP本地自组网AP-AC建立VPN连接AW管理APGuest接入通过SMS发送密码主要流程：案例分享：某保险公司（续）PA-LANDHCPServerDHCPServer10.240.23.13010.240.31.201SSID:PA-CXVLAN1001SSID:PA-CXVLAN10089/22172.30.1.2/22FirewallSwitchVPNServer(ArubaController)VLAN1001GWVLAN1008GWMulti-VLAN案例分享：某保险公司（续）IAP-AirWave-ActivateIAP加入AirWave管理点击管理界面最下方的“立即设置”设置Airwave管理和修改管理员密钥输入AirWaveIP地址和共享的密钥组织：对应Airwave中的组AirWaveIP：对应AirWave的IP地址共享密钥：对应于让AirWave确认的共享密钥IAP加入AirWave管理（续）访问AirWave发现有新设备发现组织：ChinaNet-JinAnAirWaveIP：61共享密钥：ChinaNetIAP加入AirWave管理（续）AirWave会自动生成已组织名+Admin的角色和用户，角色需要管理员去激活，点击“新设备”IAP加入AirWave管理（续）鼠标放在“Type”上会出现共享的密钥，确认正确后将设备加入AirWave自动生成的组织名的文件夹和组，选中设备并点击“Add”IAP加入AirWave管理（续）选中的设备配放入自动生成的Top下面的ChinaNet-JinAn的文件夹和ChinaNet-JinAn的组，点击“ApplyChangeNow”生效设置IAP加入AirWave管理（续）AirWave中查看刚新加的设备，虚拟控制器会单独占用一个设备IAP加入AirWave管理（续）管理员激活组织名+Admin的角色激活自动生成的用户组织名+Admin(ChinaNet-JinAnAdmin）共享密钥（ChinaNet)ArubaActivation服务实现IAP自动部署IAP从AirWave自动获取配置–“零配置”IAPtoRAPConversion系统自动升级设备资产管理面向合作伙伴和客户免费提供/registration/ArubaActivate–优点基于“Cloud”的部署服务。降低大规模部署IAP或者RAP所的时间成本约65%。让远端部署AP无需IT人员在现场。设备资产管理分析。如何实现?设备寄送:IAP/RAP的SN,MAC地址,客户名字,寄送地址自动加入Activate。客户创建profile指向IAP/RAP的AirWave/Aruba控制器，自动获取配置。“零配置”部署分支办公室企业网络RemoteL2NetworkSegmentInstantAP(VC)VCtriesCloudprovisioningSends:Serial#,MACVCtriesDHCPprovisioningCloudResponds:AMPIP,SharedSecret,OrgAirWave(必选)VCcontactsAMPSends:SharedSecret,OrgAMPRespondsSends:ImageandConfigAdditionalIAPsDiscoverVirtualControlleranddownloadimageandconfigArubaInstantAP2ArubaInstantAP5Activate/registration/Internet网管系统IAP零配置部署说明InstantAP网点路由器(拨号)④拆开AP包装并加电，AP通过路由器获取IP地址且连接Internet②把AP包装盒上的SN和MAC信息登记到ArubaActivate系统，并把该AP分配到“门店A”相应的Folder和Rule①生成Activate账户，创建Folder（分组），创建Rule（指向AirWave不同Group）③把AP寄到网点n⑤AP自动寻找(即Activate服务)，Activate会通知该AP寻找AirWave的IP地址，以及相应的Organization（Group）信息⑥AP关联到AirWave，AirWave接管该AP，且推送操作系统和配置⑦AP按照指定配置文件广播无线信号，提供相应的服务简单说明：步骤①，企业一次创建即可，以后无需创建；步骤②，企业总部可以根据实际情况批量把AP信息对应到Activate系统，这是总部IT需要做的唯一动作；步骤③，企业可以结合内部流程把AP配送到网点；步骤④，企业网点员工本地操作的唯一动作；步骤⑤，所有ArubaIAP系统自带寻找Activate功能；步骤⑥，AP根据Activate返回的信息自动寻找AirWave；步骤⑦，设备配置是按照总部IT之前定义的执行。用户接入管理系统(RADIUS/Portal)Radius中返回的用户属性值：用户组1：default（临时用户）用户组2：Silver（银卡用户）用户组3：Gold（金卡用户）……用户组n：xxxxxInternet认证后台网管系统案例分享：某便利店连锁InstantAP网点路由器(拨号)POS机

（内部应用）临时用户银卡用户金卡用户SSID:Aruba用户组属性值带宽控制上网策略临时用户None128kbpsInternet银卡用户Silver256kbpsInternet金卡用户Gold512kbpsunlimit用户组nxxxxxxxxxxxxxxx①在用户接入管理系统中定义不同的用户组返回属性值。同时，可以分别定义每个组用户使用无线网络的时间和次数。②在网管系统中，针对特定的IAP组（门店），定义SSID根据Radius返回用户属性（与用户接入管理系统定义的属性必须对应相同，注意字母大小写）派生不同角色，并且设置每个角色的带宽以及访问策略。③在用户接入管理系统中，手动或者自动修改用户属性，举例把手机号用户属性改为Silver，把手机号用户属性改为Gold。（举例：手机号（举例：手机号④

用户登录无线网络时通过Portal页面做认证，系统自动识别用户的组别，原理是IAP把用户Portal认证请求发送给Radius，Radius根据送上来的请求信息，分派用户的