通过aruba remote ap可以在任何地点访问办公区内网,使用简单,用户无需任何配置,只需要把AP插到路由器的LAN口即可。最棒的是可以在任何地点使用校园网的IPV6。
Aruba IAP205是个胖AP,使用时先把AP插到无线路由器的LAN口,新建个临时ssid,确保PC连接AP可以正常上网。
如果做remote ap有两种配置方式:
第一种方式:把IAP转换成remote ap,我曾经尝试成功连到到AC上,但是后来无法复现操作,所以不用这种模式。
第二种方式:把IAP转换成campus ap(CAP),注册到AC上,在AC上下发策略再把IAP转换成remote ap(RAP),目前我就用的这种方式,缺点是AC是私网地址整个操作必须在校园网内完成。
操作步骤如下:
图一、AC上新建个AP Group,配置一下ssid,认证方式。当然也可以用已有的AP Group。
图二、很多教程说要建这个whitelist,把ap的mac地址写进去,我测试过不建也能用,这块没理解透测,可能其他模式会用到。
图三、Internal DB建用户,我为每个ap都建账号了,实际上建一个账号就行,记住账号和密码,下面会用到。
图四、角色选择ap-role,有深度要求看角色的权限配置吧。
图五、按照图示勾选上,隧道地址池随便写个,不需要路由。
图六、建个ikea密码,后面会用到。
图七、下面进入IAP的配置页面,维护-转换,先转换成campus ap。
图八、在AC的 AP Installation可以看到AP上线了,IP地址是AP所连的路由器的地址。
图九、重点来了,开始配置RAP策略,AP Group选择图一新建的group;IKEA PSK填写图六设置的密码;User credential assignment填写图三Internal DB建立的账号密码。
Master Controller IP填写AC的地址,此处填写的是内网地址。测试通过后再回到此步骤把Master Controller IP改成映射的公网地址。
经过测试AC上不能填写映射的公网IP,会提示错误,可以填写个域名,并在DNS上解析到映射的公网IP上。
同时映射的IP地址要开放UDP 500/4500端口。
TFTP端口是否必须开放有待验证?
图十、RAP已经上线,此时IP地址变成了隧道地址,同时Flags变成R。