Aruba 无线控制器 内部试验文档
2010年06月
- 1 -
目录
第一章.Aruba售后基础 .................................................................................................. - 4 -
一.Aruba产品简介 .................................................................................................................... - 4 - 1.Aruba 无线控制器(AC) ................................................................................................. - 4 - 2.Aruba 无线接入点(AP) ................................................................................................. - 5 - 二.组网方式 ............................................................................................................................. - 6 - 1.与有线网二层连接 ............................................................................................................. - 6 - 2.与有线网三层连接 ............................................................................................................. - 7 - 三.控制器登陆方式 .................................................................................................................. - 7 -
第二章.控制器Web基本管控 ......................................................................................... - 8 -
1.登陆控制器............................................................................................................................ - 8 - 2.修改登录密码 ........................................................................................................................ - 9 - 3.查看控制器状态 .................................................................................................................. - 12 - 4.查看接口状态 ...................................................................................................................... - 13 - 5.查看AP状态.......................................................................................................................... - 15 - 6.查看用户状态 ...................................................................................................................... - 17 - 7.添加/清除黑名单 ................................................................................................................ - 19 -
第三章.控制器CLI配置调试 .......................................................................................... - 21 -
一.Aruba基础配置 .................................................................................................................. - 21 - ...................................................................................................................... - 21 - 1.Console登陆
2.恢复出厂配置 .................................................................................................................. - 22 - 3.初始化配置 ...................................................................................................................... - 22 - 4.保存配置参数 .................................................................................................................. - 23 - 5.Image升级 ........................................................................................................................ - 23 - 6.备份与恢复配置文件 ....................................................................................................... - 23 - 7.DHCP配置 ......................................................................................................................... - 24 - 8.配置AP ............................................................................................................................. - 25 - 9.为无线终端用户单独配置VLAN ....................................................................................... - 29 - 二.Aruba无线认证加密方式 ................................................................................................... - 31 - 1.OPEN ................................................................................................................................ - 31 - 2.PSK 认证 .......................................................................................................................... - 32 -
- 2 -
3.MAC地址认证 ................................................................................................................... - 33 - 4.Dot1x (802.1x)认证: ................................................................................................. - 34 - 5.Captive-portal认证 ............................................................................................................ - 35 - 三.Aruba无线安全策略 .......................................................................................................... - 37 - 1.Captive Portal界面定制 .................................................................................................... - 37 - 2.Demo License .................................................................................................................... - 38 - 3.PEF license ........................................................................................................................ - 39 - 4.role 应用 .......................................................................................................................... - 42 - 5.利用role做带宽限制策略 ................................................................................................. - 43 - .................................................................................................................... - 44 - 6.Radius服务器
7.Master Local ..................................................................................................................... - 46 - 8.VRRP ................................................................................................................................. - 47 -
第四章.控制器Web配置调试 ....................................................................................... - 49 -
1.AP更改组配置 ...................................................................................................................... - 49 - 2.AP更改名字配置 .................................................................................................................. - 50 -
第五章.Troubleshooting ........................................................................................... - 52 -
1.AP指示灯说明 ...................................................................................................................... - 52 - 2.AP未启动故障检查 .............................................................................................................. - 52 -
- 3 -
第一章.Aruba售后基础
一.Aruba产品简介
这里只是把Aruba全套产品线构成做简单展现,以便了解使用Aruba设备,详细产品说明请查看产品详细资料。
1.Aruba 无线控制器(AC)
Aruba无线控制器产品线构成如下图所示:
图Aruba无线控制器产品
- 4 -
2.Aruba 无线接入点(AP)
Aruba无线AP产品线构成如下图所示:
图Aruba无线接入点产品
- 5 -
二.组网方式
1.与有线网二层连接
图Aruba无线控制器二层连接方式
- 6 -
2.与有线网三层连接
图 Aruba无线控制器三层连接方式
三.控制器登陆方式
Aruba无线控制器的登录,可以通过以下几种常用方式实现: 通过 Console 口进行本地登录
通过以太网端口利用 Telnet 进行本地或远程登录 通过 WEB 网管登录
- 7 -
第二章.控制器Web基本管控
1.登陆控制器
(1)HTTP访问(管理IP),弹出登陆页面(图1) (2)输入密码,进入配置页面(图2)
图1
图2
- 8 -
2.修改登录密码
(1)登录页面,点击Configuration进入相关界面(图3)
(2)点击 Controller Wizard进入相关界面(图4) (3)修改密码(图5) (4)保存密码修改配置(图6)
图3
- 9 -
图4
图5
注:Password for user “Admin”: 输入密码
Retype: 重复输入密码
- 10 -
图6
注:Save Configuration : 保存修改密码后的配置
- 11 -
3.查看控制器状态
(1)登录页面,点击Controller进入相关界面(图7)
图7
注:
Controller Name : 控制器名称
ArubaOS Version : 控制器操作系统OS版本号 IP Address : 控制器IP地址
MAC Address : 控制器MAC地址
- 12 -
4.查看接口状态
(1)登录页面,点击Configuration进入相关界面(图8) (2)点击 Ports进入相关界面(图9) (3)接口状态介绍(图10-11)
图8
图9
- 13 -
图10
注:红色框架介绍控制器有多少端口,图10表示控制器有两个端口0和1,具体端口信息点击0或1,图10显示1端口的详细信息
图11
注:Enable Port : 开启或关闭端口
Make Port Trusted : 配置此端口是否为信任端口 Port Mode : 端口模式配置为Access或Trunk模式
Enter VLAN(s) : 配置端口进入哪个VLAN,配置为信任或不信任端口,并且加入防火墙策略
Firewall Policy : 端口的进方向in、出方向out的防火墙策略,session是选择某个访问控制列表的选项
Spanning Tree : 是否开启生成树
- 14 -
5.查看AP状态
(1)登录页面,点击Access Points进入AP状态界面(图12) (3)AP状态介绍(图13)
图12
- 15 -
图13
注:Name : AP的名称
AP Group : AP所属于default这个组 AP IP : AP的IP地址
AP Type : AP的类型为61
bg Clients/Channel/ EIRP/MaxEIRP :802.11bg模式下接入了1个用户,信道号为11信道,当前AP功率为20,AP最大功率为20
- 16 -
6.查看用户状态
(1)登录页面,点击Clients 进入用户状态界面(图14) (2)用户状态介绍(图15)
图14
- 17 -
图15
注:MAC address :终端用户的MAC地址
Client IP : 终端用户的IP地址 User Role : 终端用户登录的角色
ESSID : 终端用户是以aruba-ap这个ESSID登录上无线 AP Name : 终端用户登录的AP的名称 Phy Type : 终端用户登录的信道为802.11g
- 18 -
7.添加/清除黑名单
(1)登录页面,点击Clients 进入用户状态界面(图14)
(2)添加黑名单,点击需要加入黑名单用户前方的黑点,然后点击Blacklist,添加黑名单成功(图16)
(3)点击Blacklist Client查看已添加的黑名单用户 (图17)
(4)清除黑名单,点击Blacklist Client进入黑名单用户界面,点击需要清除黑名单用户前方的对勾,然后点击Remove From Blacklist,清除黑名单成功(图18)
图16
- 19 -
图17
图18
- 20 -
第三章.控制器CLI配置调试
一.Aruba基础配置
1.Console登陆
通过无线控制器Console 口进行本地登录是登录无线控制器的最基本的方式,也是配置通过其他方式登录无线控制器的基础。Aruba无线控制器缺省情况下只能通过Console 口进行本地登录。
用户终端的通信参数配置要和无线控制器Console 口的配置保持一致,才能通过Console 口登录到Aruba无线控制器上。无线控制器Console 口的缺省配置如图3-1所示。
图3-1 端口通信参数配置
(Aruba2400) User: admin
Password: ***** (缺省口令通常是admin) NOTICE
NOTICE -- This switch has active licenses that will expire in 26 days NOTICE
NOTICE -- See 'show license' for details.
- 21 -
NOTICE
(Aruba2400) >en
Password:***** (缺省口令通常是enable) (Aruba2400) # 2.恢复出厂配置
(Aruba2400) #write erase
All the configuration will be deleted. Press 'y' to proceed : Write Erase successful (Aruba2400) #reload
Do you really want to reset the system(y/n): y ―――――――― Aruba交换机重启 ―――――――― 3.初始化配置
Enter System name [Aruba2400]:
Enter VLAN 1 interface IP address [172.16.0.254]: Enter VLAN 1 interface subnet mask [255.255.255.0]: Enter IP Default gateway [none]:
Enter Switch Role, (master|local) [master]:
Enter Country code (ISO-3166), Enter Password for enable mode (up to 15 chars): ***** Re-type Password for enable mode: ***** Do you wish to shutdown all the ports (yes|no)? [no]: Current choices are: System name: Aruba2400 VLAN 1 interface IP address: 172.16.0.254 VLAN 1 interface subnet mask: 255.255.255.0 IP Default gateway: none Switch Role: master Country code: CN Ports shutdown: no If you accept the changes the switch will restart! - 22 - Type (Aruba2400) #configure t (Aruba2400) #write m 5.Image升级 (Aruba200) #show boot Config File: default.cfg Boot Partition: PARTITION 0 (Aruba2400) #show image version (Aruba2400) #copy tftp: 172.16.1.50 A2400_FCS2.0.X_6577 system: partition 1 Upgrading partition 1 (Aruba2400) #boot system partition 1 (Aruba2400) #reload 6.备份与恢复配置文件 (1)对配置文件进行备份: 实例1.1.8 配置命令: (HTDATA)# copy running-config flash: HT20080307-01.cfg /* 备份当前配置文件 (HTDATA)# copy startup-config flash: HT20080307-02.cfg /* 备份已保存配置文件 (HTDATA)# copy flash: default.cfg flash: HT20080307-03.cfg /* 备份默认加载文件 (2)对配置文件进行恢复: 配置命令: (HTDATA)# copy flash: HT20080307-03.cfg flash: default.cfg (3)对配置文件备份与恢复的查看与删除配置文件: 相关show与删除命令: (Aruba)# show dir /* 查看所有保存的配置文件 - 23 - (Aruba)# show running-config /* 查看当前的配置 (Aruba)# show startup-config /* 查看已经保存的配置文件 (Aruba)# write erase /* 只删除配置,不删除数据库 (Aruba)# write erase all /* 删除所有配置,恢复出厂配置 7.DHCP配置 实例1.1.3 配置DHCP命令: (HTDATA) #configure t Enter Configuration commands, one per line. End with CNTL/Z (HTDATA) (config) #service dhcp /* 开启dhcp服务 (HTDATA) (config) #ip dhcp excluded-address 192.168.2.1 192.168.2.239 /* 排除已经使用地址 开始配置DHCP地址池: (HTDATA) (config) #ip dhcp pool HTDATA /* 地址池命名 (HTDATA) (config-dhcp)#network 192.168.2.0 255.255.255.0 /* 宣告网段 (HTDATA) (config-dhcp)#default-router 192.168.2.1 /* 设置分配给客户端的网关 (HTDATA) (config-dhcp)#dns-server 202.106.0.20 /* 设置用户端的DNS服务器 (HTDATA) (config-dhcp)#lease 1 1 1 /* 设置地址租期时间 天|小时|分 检查: (HTDATA) #show ip dhcp database DHCP enabled # HTDATA subnet 192.168.2.0 netmask 255.255.255.0 { default-lease-time 90060; max-lease-time 90060; option vendor-class-identifier \"ArubaAP\"; option vendor-encapsulated-options \"192.168.2.252\"; option domain-name-servers 202.106.0.20; option routers 192.168.2.1; range 192.168.2.240 192.168.2.251; range 192.168.2.254 192.168.2.254; authoritative; } - 24 - 8.配置AP (1)控制器配置AP 配置soe(serial over ethenet),soe可以通过telnet来查看AP状态. 1)在缺省情况下ARUBA控制器是不支持传统23端口TELNET的,只支持SSH(22端口)的TELNET。所以必须选用支持SSH TELNET的工具才行。 2)我们可以TELNET SOE的2300端口,此端口只支持TELNET SOE不支持其他TELNET。 3)在控制器下如果想启用23端口的TELNET,只需在配置模式下使用 telnet cli 命令 实例1.1.4 配置命令: (HTDATA) (config) #telnet soe (HTDATA) (config) #telnet cli 配置AP,注意使用loopback地址和端口2300 Windows菜单运行模式下 -> cmd dos模式下C:\\> telnet 192.168.2.252 2300 User:admin Password:admin soe> connect { 1/0 } /* 输入控制器上AP所连接的端口号,slot插槽port端口 重启AP,直接拔掉电源,如果使用poe则直接重新插拔网线 在启动过程中出现倒计时,立刻按回车,显示如下: User:admin Password:admin Available commands: connect apboot> help boot - run bootcmd or boot AP image or elf file or from flash cd - cfg register display cw - cfg register write dis - disassemble instructions - 25 - dhcp - invoke DHCP client to obtain IP/boot params eloop - loopback received ethernet frames flash - FLASH sub-system printenv - env display purgeenv - pruge env regs - display various regs reset - reset processor run - run commands in an environment variable saveenv - save environment variables to persistent storage apboot> 几个重要参数: a) apboot> printenv /* 显示配置信息 apboot> printenv boardname=Merlot autostart=yes baudrate=9600 bootdelay=2 bootcmd=boot ap bootfile=mips.ari servername=aruba-master ethaddr=00:0b:86:cd:b9:82 Environment size: 141/8186 bytes b) apboot> purgeenv /* 清空配置参数 apboot> purgeenv Erasing... Programming... Verifying... apboot> c) apboot> save /* 保存 apboot> save Erasing... Programming... Verifying... apboot> d) apboot> reset /* 重启 ,从控制器(master)自动获取IP地址 apboot> reset CPU: AR2313 MIPS-32 at 180 MHz: 16kB I-Cache 16 kB D-cache Board: Merlot, Local Bus at 90 MHz DRAM: 32 MB - 26 - POST: passed FLASH: 4 MB Net: en0 lo0 Hit (2)单独配置AP 有些情况下需要直接使用console配置AP,console为特殊线缆。 具体步骤如下: 1)将console连接至AP ethernet口,另一端接入PC; 2)打开超级终端,输入用户名密码进入; 3)重启AP,然后敲击键,进入apboot> 模式, apboot>help printenv /* 显示配置 purgeenv /* 清空配置 save /* 保存 setenv ipaddr xxx.xxx.xxx.xxx /* 设置AP的地址 setenv netmask xxx.xxx.xxx.xxx /* 设置AP的掩码 setenv gatewayip xxx.xxx.xxx.xxx /* 网关地址为vlan接口地址 setenv master xxx.xxx.xxx.xxx /* master地址为loopback地址 setenv servip xxx.xxx.xxx.xxx /* 启动时需要到其下载image地址,为 loopback地址 reset /* 重启 实例1.1.5 配置命令: apboot> setenv ipadd 192.168.2.250 apboot> setenv netmask 255.255.255.0 apboot> setenv gatewayip 192.168.2.1 apboot> setenv master 192.168.2.252 apboot> setenv servip 192.168.2.252 apboot> save apboot> reset 如果AP为外接天线如AP60。需要对外接天线做如下配置(在控制器内show ap database 显示为U标记),(AP61类使用自带天线无需进行此配置) apboot> setenv a-antenna auto /* 用于11a的天线接在哪个天线接口?1、 - 27 - 2、自动 apboot> setenv a-ant-gain 1 /* 11a的天线的增益值。永远配置为1。切记。 apboot> setenv g-antenna auto /* 用于11g的天线接在哪个天线接口?1、2、自动 apboot> setenv g-ant-gain 1 /* 11g的天线的增益值。永远配置为1。切记。 apboot> setenv external-antenna yes /* 使用外部天线。 通过控制器给AP发送配置。 实例1.1.6 配置命令: (HTDATA)# config t (HTDATA) (config)# provision-ap (HTDATA) (config)#ipaddr 192.168.2.251 (HTDATA) (config)#netmask 255.255.255.0 (HTDATA) (config)#gateway 192.168.2.1 (HTDATA) (config)#a-ant-gain 1 /* 使用外置天线必须配置,自带天线无需配置。 (HTDATA) (config)#g-ant-gain 1 /* 使用外置天线必须配置,自带天线无需配置。 (HTDATA) (config)#a-antenna both /* 使用外置天线必须配置,自带天线无需配置。 (HTDATA) (config)#g-antenna both /* 使用外置天线必须配置,自带天线无需配置。 (HTDATA) (config)#external-antenna /* 使用外部天线。如AP60。自带天线无需配置。 (HTDATA) (config)#server-ip 192.168.2.252 /* 用于升级Image的地址。 (HTDATA) (config)#ap-group default /* 新的 AP Group (HTDATA) (config)#ap-name AP002 /* 新的AP name (HTDATA) (config)#reprovision ap-name { name } /* 发送给AP配置 检查: # show provision-params /* 检查Provision-ap的配置。 - 28 - 9.为无线终端用户单独配置VLAN (1)在缺省情况下,控制器、AP和终端用户是被规划在同一VLAN中的,即VLAN1。 (2)建立新VLAN,为新VLAN配置IP 地址。 实例1.1.7 配置命令: (HTDATA)# config t (HTDATA) (config)# vlan 11 [ name ] (HTDATA) (config)# interface vlan 11 (HTDATA) (config)# ip address 192.168.11.254 255.255.255.0 (HTDATA) (config)# operstate up /* 端口永远UP (HTDATA) (config)# no sh (3)将新VLAN加入到virtual-ap中 配置命令: (HTDATA) (config)# wlan virtual-ap default /* { name } (HTDATA) (virtual AP profile “default”)# vlan 11 /* 调用vlan 11 检查: (HTDATA)# show wlan virtual-ap default /* 检查virtual-ap调用 (4)为新VLAN配置DHCP POOL 配置命令:类似前边DHCP配置 如果须修改网关:# ip default-gateway 192.168.11.254 - 29 - - 30 - 二.Aruba无线认证加密方式 4种认证加密方式: VLAN 11 PSK VLAN 12 MAC VLAN 13 DOT1X VLAN 14 CAP 1.OPEN 实例1.1.9 配置命令: (HTDATA)# config t (1)(HTDATA) (config) # aaa profile ht-open-aaa-profile exit (2)(HTDATA) (config) # wlan ssid-profile ht-open-ssid-profile essid HT-OPEN /* essid 名称更改 exit (3)(HTDATA) (config) # wlan virtual-ap ht-open-vap-profile aaa-profile ht-open-aaa-profile /* 调用 aaa-profile ssid-profile ht-open-ssid-profile /* 调用 ssid-profile vlan 1 exit (4)(HTDATA) (config) # ap-group default /*{ name } virtual-ap ht-open-vap-profile /* 调用 vap-profile (HTDATA) (config)# ap-group { name } (HTDATA) (config)# ap-regroup ap-name { name } { groupname } /* 组更改 - 31 - 2.PSK 认证 实例1.2.0 配置命令: (HTDATA)# config t (1)(HTDATA) (config)# aaa authentication dot1x ht-psk-aaa-auth-dot1x-profile clone default-psk /* 克隆psk加密 exit (2)(HTDATA) (config)# aaa profile ht-psk-aaa-profile authentication-dot1x ht-psk-aaa-auth-dot1x-profile exit (3)(HTDATA) (config)# wlan ssid-profile ht-psk-ssid-profile essid HT-PSK wpa-passphrase htdata51660008 /* 设置密码 opmode wpa-psk-tkip /* 加密模式 exit (4)(HTDATA) (config)# wlan virual-ap ht-psk-vap-profile aaa-profile ht-psk-aaa-profile ssid-profile ht-psk-ssid-profile vlan 11 exit (5)(HTDATA) (config)# ap-group ht-psk /*{ name } virtual-ap ht-psk-vap-profile - 32 - 3.MAC地址认证 实例1.2.1 配置命令: (HTDATA)# config t (1)(HTDATA) (config)# aaa server-group ht-mac-aaa-auth-servergroup auth-server Internal exit (2)(HTDATA) (config)# aaa authentication mac ht-mac-aaa-auth-profile case lower /* 定义小写 delimiter none /* 定义分隔符(没有) exit (3)(HTDATA) (config)# aaa profile ht-mac-aaa-profile mac-server-group ht-mac-aaa-auth-servergroup authentication-mac ht-mac-aaa-auth-profile exit (4)(HTDATA) (config)# wlan ssid profile ht-mac-ssid-profile essid HT-MAC exit (5)(HTDATA) (config)# wlan virtual-ap ht-mac-vap-profile aaa-profile ht-mac-aaa-profile ssid-profile ht-mac-ssid-profile vlan 12 (6)(HTDATA) (config)# ap-group ht-mac virtual-ap ht-mac-vap-profile exit (7)(HTDATA) (config)# local-userdb add username {MAC地址} password {MAC地址} /* 加载用户MAC地址 /* 检查: show local-userdb - 33 - 4.Dot1x (802.1x)认证: 实例1.2.2 配置命令: (HTDATA)# config t (1)(HTDATA) (config)# aaa server-group ht-dot1x-aaa-auth-servergroup auth-server Internal /* 调用控制器自身服务器认证 exit (HTDATA) (config)# aaa authentication dot1x ht-dot1x-aaa-auth-profile termination enable /* 开启终结本地控制器 termination eap-type eap-peap /* 方式类型 termination inner-eap-type eap-mschapv2 /* 方式类型 exit (2)(HTDATA) (config)# aaa profile ht-dot1x-aaa-profile dot1x-server-group ht-dot1x-aaa-auth-servergroup authentication-dot1x ht-dot1x-aaa-auth-profile exit (3)(HTDATA) (config)# wlan ssid-profile ht-dot1x-ssid-profile essid HT-DOT1x opmode wpa-tkip /* 模式wpa-tkip exit (4)(HTDATA) (config)# wlan virtual-ap ht-dot1x-vap-profile aaa-profile ht-dot1x-aaa-profile ssid-profile ht-dot1x-ssid-profile vlan 13 exit (5)(HTDATA) (config)# ap-group ht-dot1x virtual-ap ht-dot1x-vap-profile exit (6)(HTDATA) (config)# local-uesedb add username htdata password htdata 检查: (HTDATA)# show ap-group { name } (HTDATA)# show wlan virtual-ap ht-dot1x-vap-profile show local-userdb - 34 - 5.Captive-portal认证 实例1.2.3 配置命令: (HTDATA)# config t (1)(HTDATA) (config)# aaa authentication captive-portal ht-captive-aaa-auth-profile exit (2)(HTDATA) (config)# aaa profile ht-captive-aaa-profile initial-role ht-captive-aaa-auth-profile /* 定义初始角色 exit (3)(HTDATA) (config)# wlan ssid-profile ht-captive-ssid-profile essid HT-CAP exit (4)(HTDATA) (config)# wlan virtual-ap ht-captive-vap-profile aaa-profile ht-captive-aaa-profile ssid-profile ht-captive-ssid-profile vlan 14 exit (5)(HTDATA) (config)# ap-group ht-cap virtual-ap ht-captive-vap-profile (6)(HTDATA) (config)# local-uesedb add username ht password ht 检查: # aaa user delete all /* 删除控制器在线所有用户 # show ap essid # show ap-group htdata (Aruba800) #show rights RoleTable --------- Name ACL Bandwidth ACL List Type ---- --- --------- -------- ---- ap-role 4 No Limit System cpbase 11 No Limit cpbase System denyall 9 No Limit denyall System guest 3 No Limit System ht-captive-aaa-auth-profile 13 No Limit ht-captive-aaa-auth-profile System logon 1 No Limit System stateful-dot1x 5 No Limit System trusted-ap 6 No Limit Syste - 35 - ------------------------------------------------------------------------- (Aruba800) #show aaa authentication captive-portal Captive Portal Authentication Profile List ------------------------------------------ Name References Status ---- ---------- ------ default 0 ht-captive-aaa-auth-profile 0 - 36 - 三.Aruba无线安全策略 1.Captive Portal界面定制 在Web页面上选取要上传的登陆图片 实例1.2.4 配置命令: (HTDATA) (config)# aaa authentication captive-protal ht-cap-aaa-auth-profile no enable-welcome-page /* 关闭欢迎界面 no logout-popup-window /* 关闭推出界面 - 37 - 2.Demo License 实例1.2.5 配置命令: (HTDATA) (config)# license import { *.lic } /* 导入许可证 (过期) license add { *.lic } /* 添加许可证KEY(启用) 检查: (HTDATA)# show license show license verbose /* 显示全部KEY 码 图中显示 R 设备须重启 - 38 - 3.PEF license 实例1.2.6 配置命令: (1)(HTDATA) (config)# aaa authentication captive-portal ht-cap-aaa-auth-profile /* 建立portal认证 exit (2)(HTDATA) (config)# user-role { name } /* 手动定义角色 captive-portal ht-cap-aaa-auth-profile /* 调用认证 exit 检查: (Aruba800) (config-role) #show rights /* 调用图中logon RoleTable --------- Name ACL Bandwidth ACL List Type ---- --- --------- -------- ---- ap-role 4 No Limit control,ap-acl System authenticated 29 No Limit allowall User default-vpn-role 30 No Limit allowall User guest 3 No Limit http-acl,https-acl,dhcp-acl,icmp-acl,dns-acl System htdata 33 No Limit User logon 1 No Limit logon-control,captiveportal,vpnlogon System stateful 31 No Limit control User stateful-dot1x 5 No Limit System trusted-ap 6 No Limit allowall System - 39 - voice 32 No Limit sip-acl,noe-acl,svp-acl,vocera-acl,skinny-acl,dhcp-acl,tftp-acl,dns-acl,icmp-acl User (Aruba800) (config-role) # show rights logon /* 调用图中logon 3个ACL Derived Role = 'logon' access-list List ---------------- Position Name Location -------- ---- -------- 1 logon-control 2 captiveportal 3 vpnlogon (3)(HTDATA) (config)# session-acl logon-control (HTDATA) (config)# session-acl captiveportal (HTDATA) (config)# session-acl vpnlogon [prosition 1] /* 顺序改变 检查:# show rights { name } (4)(HTDATA) (config)# aaa profile ht-cap-aaa-profile initial-role htdata (HTDATA) (config)# wlan ssid-profile ht-cap-ssid-profile essid HTDATA (5)(HTDATA) (config)# wlan virtual-ap ht-cap-vap-profile aaa-profile ht-cap-aaa-profile ssid-profile ht-cap-ssid-profile vlan 1 (6)(HTDATA) (config)#ap-group default virtual-ap ht-cap-vap-profile (7)(HTDATA) (config)# local-userdb add username htdata password htdata 检查: 认证后角色定义 - 40 - 未认证角色 - 41 - 4.role 应用 (1) # user-role admin session-cal allowall /* 调用(允许所有) 检查:# show ip access-list brief /* 查看调用ACL # show rights admin /* per any (2) # local-userdb add username admin password admin role admin /* modify(修改) 检查: 查看角色状态 - 42 - 5.利用role做带宽限制策略 配置命令: (1)# aaa bandwidth-contract admin-bd kbits 256 /* 限速256kbit # user-role { admin } banwidth-contract admin-bd [ per-user ] /* 调用限速(per-user 每个用户独享 ) 检查: - 43 - 6.Radius服务器 (1)用Winradius.exe 软件,创建数据库Advanced->Create Radius Table 添加用户 ,在 Operation->Query 里可以查询 Aruba设备: 配置命令: (1)conf# aaa authentication-server radius ht-radius /* 建立一个认证Server host XXX.XXX.XXX.XXX /* 服务器地址 key WinRadius /* Radius 默认通讯密码 检查: - 44 - (2)# aaa server-group ht-server-group auth-server ht-radius set role condition role value-of /* 读取用户角色 (3)# aaa authentication captive-portal ht-cap-aaa-auth-profile server-group ht-server-group (4)检查 # aaa test-server pap ht-radius admin admin Authentication successful - 45 - 7.Master Local Local 指定master同步 (发起通讯请求) # masterip 192.168.y.y ipsec *** Local # masterip 0.0.0.0 /* 接受所有master管理 - 46 - 8.VRRP 配置命令 (1)Aruba1# vrrp { name } ip address xxx.xxx.xxx.xxx /* 指定虚拟IP no shutdown vlan 1 /* 指定vlan preemt priority 200 Aruba2# vrrp { name } ip address xxx.xxx.xxx.xxx no shutdown vlan 1 preemt 检查: (2)同步两台master无线设备 R1,R2 # master-redundancy master-vrrp { name } peer-ip-address 对端IP地址 ipsec *** (3)合法网段允许通过 (类似标准命名列表) 1) 2)只允许ping,其他deny - 47 - 调用 (4) # no adp discovery no database syn - 48 - 第四章.控制器Web配置调试 1.AP更改组配置 (1)进入Configutation > AP Installation 选取要配置AP Name点击Provision进入AP配置页面 (图1) (2)进入Configutation > AP Installation > AP Group 选取要配置的组即可,默认default (图2) (3)点击底下Apply and Reboot 从新启动即可。(图3) 图1 - 49 - 图2 图3 2.AP更改名字配置 (1)进入Configutation > AP Installation 选取要配置AP Name点击Provision进入AP配置页面 (图4) (2)进入Configutation > AP Installation > AP Name 选取输入配置的AP名字即可,点击底下Apply and Reboot 从新启动即可。(图2) - 50 - 图1 图2 - 51 - 3.AP 信道功率自动调整 - 52 - 第五章.Troubleshooting 1.AP指示灯说明 AP上共有3个状态指示灯 (1). PWR 电源指示灯。 熄灭: 设备未通电; 绿色长亮: 正常供电。 (2).ENET 网络接口指示灯。 熄灭: 没有网络连接; 绿色长亮: 网络连接正常; 绿色闪烁: 网络正在传输数据;闪烁的频率表示数据传输的快慢。 (3).WLAN SSID指示灯 熄灭: 无线SSID禁用或者DOWN,或者没有配置,或者没有连接控制器。 绿色长亮: SSID启用,WLAN就绪;本设备工组模式为AP.(Acess Point) 绿色闪烁: 配置正确并启用;本设备工作模式为AM(Air Monitor),无线监视器,在该模式下不能提供接入服务。 2.AP未启动故障检查 AP可以通过串口(与网络接口合在一起,需要专门的转接头转接出来)设置一些参数,虽然一般不配置,但有时候为了调试、排错。把AP配置清空回复出厂状态。图1 - 52 - 图1 - 53 - 因篇幅问题不能全部显示,请点此查看更多更全内容