ArubaWLAN简明配置维护手册

Aruba WLAN 简明配置维护手册

 

目录 目录 2

1. 初始化配置 3 1.1. 无线控制器初始化配置 3 1.2. 恢复出厂设置－无线控制器 4 1.3. 恢复出厂设置－Aruba AP 4
2. 基本网络参数配置及维护 6 2.1. 基本网络参数配置 6 2.2. 控制器基本维护操作 7 2.3. 管理员帐号管理 9
3. 理解Aruba WLAN配置结构框架 11 3.1. 基本WLAN服务配置 11 3.2. 基于角色的用户策略管理 12
4. 配置范例 14 4.1. 建立WPA2-PSK服务 14 4.2. 建立Portal认证 19 4.3. 建立802.1X认证 27 4.4. 同一SSID中为不同用户配置不同的权限 37 4.5. 设置用户期限 38 4.6. 设定区域管理 42 4.7. 配置日志服务器 48 4.8. 带宽限制 48

 

1. 初始化配置 1.1. 无线控制器初始化配置

Enter System name [Aruba3400]:
Enter VLAN 1 interface IP address [172.16.0.254]: Enter VLAN 1 interface subnet mask [255.255.255.0]: Enter IP Default gateway [none]: Enter Switch Role, (master|local) [master]: ————————————控制器角色（如果是local，随后需要输入master控制器地址） Enter Country code (ISO-3166), <ctrl-I> for supported list: cn———————控制器所在国家代码 You have chosen Country code CN for China (yes|no)?: yes
Enter Time Zone [PST-8:0]: UTC8:0——————————————－时区系统（UTC、PST等）及所在时区 Enter Time in UTC [06:07:59]: 6:11:30——————————————所选时区系统的标准时间而不是本地时间，否则控制器的时钟就不对了。 Enter Date (MM/DD/YYYY) [8/14/2011]:
Enter Password for admin login (up to 32 chars): ****** Re-type Password for admin login: ****** Enter Password for enable mode (up to 15 chars): ****** Re-type Password for enable mode: ****** Do you wish to shutdown all the ports (yes|no)? [no]:

Current choices are:

System name:
VLAN 1 interface IP address: 172.16.0.254 VLAN 1 interface subnet mask: 255.255.255.0 IP Default gateway: none Switch Role: master Country code: cn Time Zone: UTC8:0 Ports shutdown: no

If you accept the changes the switch will restart! Type <ctrl-P> to go back and change answer for any question Do you wish to accept the changes (yes|no)yes Creating configuration... Done.

System will now restart!

Shutdown processing started

1.2. 恢复出厂设置－无线控制器 注意以下两条command的区别： (Aruba3400) #write erase All the configuration will be deleted. Press 'y' to proceed : Write Erase successful

(Aruba3400) # (Aruba3400) #write erase all Switch will be factory defaulted. All the configuration and databases will be deleted. Press 'y' to proceed : (Aruba3400) # (Aruba3400) # (Aruba3400) #reload
Do you really want to reset the system(y/n): y System will now restart!

write erase只删除配置文件。而write erase all将删除配置文件、控制器内部数据库及license，将控制器重置为出厂状态。

1.3. 恢复出厂设置－Aruba AP 连接AP console口至串行通讯终端（9600bits/s, 8-N-1)。 加电启动AP。 APBoot 1.0.9.12 (build 22797) Built: 2009-11-04 at 15:53:54

Model: AP-10x CPU: AR7161 revision: A2 Clock: 680 MHz, DDR clock: 340 MHz, Bus clock: 170 MHz DRAM: 128 MB POST1: passed Copy: done Flash: 16 MB PCI: scanning bus 0 ... dev fn venID devID class rev MBAR0 MBAR1 MBAR2 MBAR3 00 00 168c 0029 00002 01 10000000 00000000 00000000 00000000 01 00 168c 0029 00002 01 10010000 00000000 00000000 00000000 Net: eth0 Radio: ar922x#0, ar922x#1

Hit <Enter> to stop autoboot: 0 ——————————————看到此提示立刻按回车，进入apboot模式。 apboot> apboot> apboot> purgeenv ——————————————清除配置 Un-Protected 1 sectors .done Erased 1 sectors Writing apboot> save ————————————————保存环境 Saving Environment to Flash... Un-Protected 1 sectors .done Erased 1 sectors Writing apboot> boot ————————————————启动AP Checking image @ 0xbf100000  

2. 基本网络参数配置及维护 2.1. 基本网络参数配置操作

2.1.1. 配置Vlan

(Aruba800) (config) #vlan 200 (Aruba800) (config) #interface fastethernet 1/0 接入模式：(Aruba800) (config-if)#switchport access vlan 200 (Aruba800) (config-if)#switchport mode access 中继模式：(Aruba800) (config-if)#switchport trunk allowed vlan all (Aruba800) (config-if)#switchport mode trunk (Aruba800) (config-if)#show vlan VLAN CONFIGURATION

VLAN Name Ports

---

1 Default FE1/1-7 100 VLAN0100 GE1/8 200 VLAN0200 FE1/0

2.1.2. 配置named-vlan及vlan pool

named-vlan用于解决当控制器集群中master与local控制器的本地二层网络环境不同，无法使用同样的vlan ID的问题。

(ZTTG-7205-1) (config) #vlan-name ZTTG-office assignment hash(vlan命名，只能在master控制器上操作。Assignment模式需要在分配多个vlan做vlan pool时指定，建议使用hash模式)

(ZTTG-7205-1) (config) #vlan ZTTG-office 110-112(为命名的vlan分配vlan ID，需要在每台控制器上按本地vlan规划操作。需要分配多个vlan做vlan pool的话只需添加多个即可)

(ZTTG-7205-1) (config) #show vlan mapping

Vlan Mapping Table

VLAN Name Assignment Type VLAN IDs

---

ZTTG-office Hash 110-112

(ZTTG-7205-1) (config) #

如果使用vlan pool，需要注意的一点是各个vlan对应的子网需同样大小。因为控制器从vlan pool中为用户分配vlan时按照基本平均的原则分配。不同大小的子网配置会导致小的那个子网地址耗尽后用户仍然被分进该vlan而无法获取地址

• 配置IP address (Aruba800) (config) #interface vlan 200 (Aruba800) (config-subif)#ip address 192.168.202.254 255.255.255.0 (vlan interface) (Aruba800) (config-subif)#ip helper-address 10.10.10.1 (DHCP relay)

• 配置IP route 配置缺省路由: (Aruba800) (config) #ip default-gateway 192.168.1.1 配置静态路由：(Aruba800) (config) #ip route 10.10.10.0 255.255.255.0 172.16.0.1 (Aruba800) (config) #show ip route Codes: C - connected, O - OSPF, R - RIP, S - static M - mgmt, U - route usable, * - candidate default Gateway of last resort is 192.168.1.1 to network 0.0.0.0 S* 0.0.0.0/0 [1/0] via 192.168.1.1* S 10.10.10.0/24 [1/0] via 172.16.0.1* C 172.16.0.0 is directly connected, VLAN1 C 192.168.1.0 is directly connected, VLAN100 C 192.168.202.0 is directly connected, VLAN200 • 配置dhcp server (Aruba800) (config) #ip dhcp pool user_pool (Aruba800) (config-dhcp)#default-router 172.16.1.254 (Aruba800) (config-dhcp)#dns-server 202.96.209.5 (Aruba800) (config-dhcp)#network 172.16.1.0 255.255.255.0 (Aruba800) (config-dhcp)#exit (Aruba800) (config) #service dhcp

DHCP Pool通过控制器vlan interface的IP地址与vlan相关联，为相应vlan的用户分配IP地址。

2.2. 控制器基本维护操作

显示当前版本信息： (Aruba3400) #show image version

Partition : 0:0 (/dev/hda1) Default boot Software Version : ArubaOS 5.0.3.2 (Digitally Signed - Production Build) Build number : 27734 Label : 27734 Built on : Tue Apr 5 13:28:58 PDT 2011

Partition : 0:1 (/dev/hda2) Software Version : ArubaOS 6.1.0.0-beta (Digitally Signed - Production Build) Build number : 27482 Label : 27482 Built on : Thu Mar 17 14:42:54 PDT 2011

升级ArubaOS: (Aruba3400) #copy ftp: 172.16.0.250 <ftp_username> ArubaOS_MMC_6.1.0.0_28106 system: partition 1

系统flash中有两个partition用于存放OS image文件，可以存放两个不同版本的OS。当前运行的版本以**Default boot**标示。升级时需选择partition，升级完成后重启控制器会自动以最新升级的partition启动。

手工选择启动partition命令：boot system partition 升级支持ftp和tftp，建议使用ftp。

导出配置： (Aruba3400) #copy running-config tftp: 172.16.0.250 config.txt 拷贝文件到flash (Aruba3400) #copy tftp: 172.16.0.250 ArubaOS_MMC_6.1.0.0_28106 flash: ArubaOS_MMC_6.1.0.0_28106 查看flash文件 (Aruba3400) #dir

查看当前启动的AP：

(Aruba3400) #show ap active

Active AP Table

Name Group IP Address 11g Clients 11g Ch/EIRP/MaxEIRP 11a Clients 11a Ch/EIRP/MaxEIRP AP Type Flags Uptime Outer IP

---

test1 wpa-test 172.16.0.253 0 AP:HT:11/20/20 0 AP:HT:157+/24/24 105 1m:35s N/A

Flags: R = Remote AP; P = PPPOE; E = Wired AP enabled; A = Enet1 in active/standby mode; L = Client Balancing Enabled; D = Disconn. Extra Calls On; B = Battery Boost On; X = Maintenance Mode; d = Drop Mcast/Bcast On; N = 802.11b protection disabled; a = Reduce ARP packets in the air; M = Mesh; C = Cellular; K = 802.11K Enabled;

Channel followed by "*" indicates channel selected due to unsupported configured channel.

Num APs:1

为控制器添加license： (Aruba3400) #license add 1QLnRP6A-A5kZYcGC-joJpzV0P-phdK5I2G-WBn7GuJ4-+2Y Limits updated.
Updated temporary key [1QLnRP6A-A5kZYcGC-joJpzV0P-phdK5I2G-WBn7GuJ4-+2Y] with new temporary key

Please reload the switch to enable the new functionality.

(Aruba3400) #reload

查看控制器上的license： (Aruba3400) #show license

License Table

Key Installed Expires Flags Service Type

---

KbjRcKsa-E+uA8Yj4-kyffHCVy-3+qt7HJh-lzPkGuzV-4Rc 2011-08-12 2011-09-11 E Access Points: 64 09:42:34[1] 09:42:34
1QLnRP6A-A5kZYcGC-joJpzV0P-phdK5I2G-WBn7GuJ4-+2Y 2011-08-12 2011-09-11 E Wireless Intrusion Protection Module: 64 09:42:35[1] 09:42:35
iHgYK7XV-xErAdTe+-S2DlM2KF-FBQwKYWh-g8vHDlSF-76g 2011-08-12 2011-09-11 E Next Generation Policy Enforcement Firewall Module: 2048 09:42:35[1] 09:42:35

License Entries: 3

Flags: A - auto-generated; E - enabled; R - reboot required to activate

(Aruba3400) #

2.3. 管理员帐号管理 Management > Administration > Add 输入用户名、密码和权限

角色名称 说明 root 该角色允许管理控制器的所有功能 read-only 该角色只允许命令行界面的show命令和查看web管理界面的Monitoring页面。不允许用户进行拷贝文件、重启交换机等操作 guest-provisioning 该角色允许只允许用户在控制器内部数据库中配置guest用户 location-api-mgmt 该角色允许用户接入定位应用程序接口。不允许用户登录命令行界面，也不允许用户进行拷贝文件、重启交换机等操作 network-operations 该角色允许用户查看web管理界面的Monitoring, Reports, and Events这些对于监视控制器很有用的页面，该角色不允许用户登录命令行控制界面

 

3. 理解Aruba WLAN配置结构框架 Aruba无线控制器通过AP Group来构建无线网络配置参数模版。并通过将多个AP加入某个AP Group来将这些配置参数同步到每个AP。

3.1. 基本WLAN服务配置 Profile关系图：

SSID profile: 配置用户可见的ESSID，及其加密方式，如open、wep、wpa-tkip、wpa2-aes，以及使用pre-share key静态密钥还是802.1x。 AAA profile: 配置用户认证方式（mac、802.1x、captive-portal、×××)，关联相应AAA认证服务器（Radius、TACACS+、LDAP及Internal DB）。 Virtual-AP profile: 关联上述SSID profile和AAA profile以构成一组WLAN服务模版，并为其分配vlan。

3.2. 基于角色的用户策略管理

ARUBA控制器中的每一个用户都会被分配一个角色（Role)。如果控制器添加了PEF License，可以通过用户角色（Role）控制每个用户的网络访问权限及带宽策略 • 每一个role都必须与一个或多个防火墙策略绑定 • 防火墙策略按次序执行 • 最后一个隐含的缺省策略是“deny all” • 可以设定role的带宽限制和会话数限制

用户角色（Role）的分配可以通过多种方式实现 • 基于接入认证方式的缺省角色 (i.e. 802.1x, ×××, WEP, etc.) • 由认证服务器导出的用户角色(i.e. RADIUS/LDAP属性) • 本地导出规则 • ESSID • MAC • Encryption type • Etc.

  4. 配置范例

4.1. 建立WPA2-PSK服务 步骤1 建立AP Group，命名为test-group，如之前已建立则无需建立 Configuration>AP Configuration>AP Group>输入名字点Add

步骤2将AP加入到AP Group中 选中AP，点击“Provision”

选择要加入的组

点击“Apply and Reboot”

步骤3 新建一个Virtual AP，命名为test-vap-wpa2 Configuration>AP Configuration>AP Group>Edit>Virtual AP>NEW>添入名字点Add

步骤4 将Virtual AP加入到Vlan 1 Configuration>AP Configuration>AP Group>test-vap-wpa2

步骤5 关联一个AAA Profile Configuration>Security>Authentication>AAA Profiles>下拉框选中default-dot1x-psk>Apply确认

步骤6 新建一个SSID Profile 点击左边栏中对应的Virtual AP名称>SSID Profile>NEW命名为test-ssid-wpa2>Apply确认, 输入SSID Profile名称test-ssid-wpa2，输入SSID名称test-ssid-wpa2

点选认证方式为WPA2-PSK，并填写密码，点击“Apply”，配置完成

步骤7 验证以上两种认证方式 打开windows无线管理，选择test-ssid-wep或test-ssid-wpa2

输入密码

成功连接

4.2. 建立Portal认证 步骤1 新建一个AP group，命名为test-group Configuration>AP Configuration>AP Group>输入名字点Add

步骤2将AP加入到AP Group中 选中AP，点击“Provision”

选择要加入的组

点击“Apply and Reboot”

步骤3 新建一个Virtual AP，命名为test-vap-web Configuration>AP Configuration>AP Group> 找到步骤1中创建的组>点Edit

点击APPLY确认添加

步骤4 将Virtual AP加入到Vlan 1 Configration>AP Configuration>AP Group>test-vap-web

步骤5 新建一个SSID Profile 点击左边栏中对应的Virtual AP名称>SSID Profile>NEW命名为test-ssid-web>Apply确认

步骤6 新建一个AAA Profile Configuration>Security>Authentication>AAA Profiles>Add>命名为test-aaa-web>Apply确认

步骤7 在Initial DB中新建一个用户 Security > Authentication > Servers>Initial DB>ADD，输入用户名密码

步骤8 新建一个Portal Profile,命名为test-portal, uration>Security > Authentication >L3 Authentication>Capture Portal Authentication Profile>输入名字点Add

步骤9 将上面建立好的Portal Profile关联到logon这个Role中 Configuration>Access Contral>Capture Portal Profile>选test-portal点change>Apply确认

步骤10 将AAA Profile关联到AP Group中 Configuration>AP Configuration>AP Group>Edit>AAA Profile> 选test-aaa-web>Apply确认

步骤11 在认证界面中输入用户名密码进行登录

步骤12 如果要更改WEB认证界面，则进行如下操作 方法一：使用Aruba控制器中内置的网页界面 Maintenance>Captive Portal > Customize Login Page，选择所要更改的Profile和界面，该界面可以进行部分自定义

方法二：使用客户自己定制的页面 Maintenance>Captive Portal > Upload Custom Login Page，将自己定制的页面导入到指定的使用web portal认证的ssid

4.3. 建立802.1X认证 步骤1 建立AP Group，命名为test-group，如之前已建立则无需建立 Configuration>AP Configuration>AP Group>输入名字点Add

步骤2将AP加入到AP Group中 选中AP，点击“Provision”

选择要加入的组

点击“Apply and Reboot”

步骤3 新建一个Virtual AP，命名为test-vap-1x Configuration>AP Configuration>AP Group>Edit>Virtual AP>NEW>添入名字点Add

步骤4 将Virtual AP加入到Vlan 1 Configuration>AP Configuration>AP Group>test-vap-1x

步骤5 新建一个SSID Profile 点击左边栏中对应的Virtual AP名称>SSID Profile>NEW命名为test-ssid-1x>Apply确认, 输入SSID Profile名称test-ssid-1x，输入SSID名称test-ssid-1x，802.11 Security选WPA2

步骤6 新建一个L2 Authentication AAA Profile，命名为test-L2a-1x 点击Security > Authentication > L2 Authentication，输入名称点Add

点击该Profile，勾选Termination，Apply确认

步骤7 在Internal DB中新建一个用户 点击Security > Authentication > Servers > Internal DB>ADD User新建一个用户

步骤8 新建一个AAA Profile Configuration>Security>Authentication>AAA Profiles>Add>命名为test-aaa-1x>Apply确认

步骤9 将各Profiles关联起来 点击左边该Profile关联之前创建的802.1X Authentication Profile

点击802.1X Authentication Server Group，关联Internal

点击Configuration > AP Group > Edit "test-group" > AAA Profile,关联之前创建的AAA Profile

步骤10 验证802.1X认证方式 将终端网卡的配置成802.1X认证方式，然后搜索该AP

输入用户名密码

连接成功

4.4. 同一SSID中为不同用户配置不同的权限

步骤1 在Internal DB中添加用户 点击ADD User建立两个用户 用户名test1 密码123456 登入后Role为authenticated 用户名test2 密码123456 登入后Role为guest

步骤2 测试 使用WEB认证分别用两个账户登录

使用test1登入后，用户得到的Role为authenticated

使用test2登入后，用户得到的Role为guest

4.5. 设置用户期限 步骤1 在Internal DB中新建一个账户 Security > Authentication > Servers > Internal DB > ADD User

输入用户名、密码、用户角色和过期时间，Apply保存

步骤2 连接该SSID

刚连入后用户角色为logon

步骤3 打开IE使用刚创建的用户登录

登录后用户角色为authenticated

到达设定的过期时间后，该用户角色又变为logon

步骤7 继续使用之前的用户登录，提示认证失败，该用户在Internal DB中已自动删除

4.6. 设定区域管理 步骤1 新建多个AP Group，命名为test-group1、test-group2，……

步骤2 新建一个Virtual AP，命名为test-vap-area1 Configuration>AP Configuration>AP Group>Edit>Virtual AP>NEW>添入名字点Add

步骤3 将Virtual AP加入到相应Vlan Configuration>AP Configuration>AP Group>test-vap-area1

步骤4 新建一个SSID Profile 点击左边栏中对应的Virtual AP名称>SSID Profile>NEW命名为test-ssid-all>Apply确认, 输入SSID Profile名称test-ssid-all，输入SSID名称test-ssid-all

步骤5 在其他AG Group中建立各自的Virtual AP，并加入相应Vlan，调用同一个SSID Profile 步骤6 新建多个Server Group，并按照区域管理的需求，在每个Server Group中建立不同的Server Rule

步骤4 建立多个AAA Profile，命名为test-aaa-area1、test-aaa-area2…… Configuration>Security>Authentication>AAA Profiles>Add>命名为test-aaa-area1>Apply确认

步骤5 将每个AAA Profile与对应的Server Group关联起来，以实现不同的Server Rule

步骤6 再将各AAA Profile与对应的Virtual AP关联起来

步骤7 按区域将AP加入到各AP Group中 选中AP，点击“Provision”

选择要加入的组

点击“Apply and Reboot”

步骤8 检验配置结果,使用相同的SSID在不同的地理区域登入网络所获得权限是不一样的，从而实现了区域管理。

4.7. 配置日志服务器 步骤1 设置日志服务器的地址和权限等级 Configuration>Management>Logging Servers>Servers>New添加服务器地址

4.8. 带宽限制 步骤1 进入User Roles配置界面 Configuration>Security>Access Control>User Roles>Edit

步骤2 新建一条带宽限制规则 在Bandwidth Contract一栏选Add New

在New Bandwidth Contract中填入规则名称和所要限制的带宽>Done

步骤3 应用刚添加的规则 返回Bandwidth Contract一栏，选择刚添加的规则>Change，如果是针对每个用户则勾选后面的Per User