ArubaWLAN簡明配置維護手冊

Aruba WLAN
簡明配置維護手冊

 

目錄
目錄 2

1. 初始化配置 3
   1.1. 無線控制器初始化配置 3
   1.2. 恢復出廠設置－無線控制器 4
   1.3. 恢復出廠設置－Aruba AP 4
2. 基本網絡參數配置及維護 6
   2.1. 基本網絡參數配置 6
   2.2. 控制器基本維護操作 7
   2.3. 管理員帳號管理 9
3. 理解Aruba WLAN配置結構框架 11
   3.1. 基本WLAN服務配置 11
   3.2. 基於角色的用戶策略管理 12
4. 配置範例 14
   4.1. 建立WPA2-PSK服務 14
   4.2. 建立Portal認證 19
   4.3. 建立802.1X認證 27
   4.4. 同一SSID中爲不同用戶配置不同的權限 37
   4.5. 設置用戶期限 38
   4.6. 設定區域管理 42
   4.7. 配置日誌服務器 48
   4.8. 帶寬限制 48

 

1. 初始化配置
   1.1. 無線控制器初始化配置

Enter System name [Aruba3400]:
Enter VLAN 1 interface IP address [172.16.0.254]:
Enter VLAN 1 interface subnet mask [255.255.255.0]:
Enter IP Default gateway [none]:
Enter Switch Role, (master|local) [master]: ————————————控制器角色（如果是local，隨後需要輸入master控制器地址）
Enter Country code (ISO-3166), <ctrl-I> for supported list: cn———————控制器所在國家代碼
You have chosen Country code CN for China (yes|no)?: yes
Enter Time Zone [PST-8:0]: UTC8:0——————————————－時區系統（UTC、PST等）及所在時區
Enter Time in UTC [06:07:59]: 6:11:30——————————————所選時區系統的標準時間而不是本地時間，否則控制器的時鐘就不對了。
Enter Date (MM/DD/YYYY) [8/14/2011]:
Enter Password for admin login (up to 32 chars): **
Re-type Password for admin login: **
Enter Password for enable mode (up to 15 chars): **
Re-type Password for enable mode: **
Do you wish to shutdown all the ports (yes|no)? [no]:

Current choices are:

System name:
VLAN 1 interface IP address: 172.16.0.254
VLAN 1 interface subnet mask: 255.255.255.0
IP Default gateway: none
Switch Role: master
Country code: cn
Time Zone: UTC8:0
Ports shutdown: no

If you accept the changes the switch will restart!
Type <ctrl-P> to go back and change answer for any question
Do you wish to accept the changes (yes|no)yes
Creating configuration... Done.

System will now restart!

Shutdown processing started

1.2. 恢復出廠設置－無線控制器
注意以下兩條command的區別：
(Aruba3400) #write erase
All the configuration will be deleted. Press 'y' to proceed :
Write Erase successful

(Aruba3400) #
(Aruba3400) #write erase all
Switch will be factory defaulted. All the configuration and databases will be deleted. Press 'y' to proceed :
(Aruba3400) #
(Aruba3400) #
(Aruba3400) #reload
Do you really want to reset the system(y/n): y
System will now restart!

write erase只刪除配置文件。而write erase all將刪除配置文件、控制器內部數據庫及license，將控制器重置爲出廠狀態。

1.3. 恢復出廠設置－Aruba AP
連接AP console口至串行通訊終端（9600bits/s, 8-N-1)。
加電啓動AP。
APBoot 1.0.9.12 (build 22797)
Built: 2009-11-04 at 15:53:54

Model: AP-10x
CPU: AR7161 revision: A2
Clock: 680 MHz, DDR clock: 340 MHz, Bus clock: 170 MHz
DRAM: 128 MB
POST1: passed
Copy: done
Flash: 16 MB
PCI: scanning bus 0 ...
dev fn venID devID class rev MBAR0 MBAR1 MBAR2 MBAR3
00 00 168c 0029 00002 01 10000000 00000000 00000000 00000000
01 00 168c 0029 00002 01 10010000 00000000 00000000 00000000
Net: eth0
Radio: ar922x#0, ar922x#1

Hit <Enter> to stop autoboot: 0 ——————————————看到此提示立刻按回車，進入apboot模式。
apboot>
apboot>
apboot> purgeenv ——————————————清除配置
Un-Protected 1 sectors
.done
Erased 1 sectors
Writing
apboot> save ————————————————保存環境
Saving Environment to Flash...
Un-Protected 1 sectors
.done
Erased 1 sectors
Writing
apboot> boot ————————————————啓動AP
Checking image @ 0xbf100000
 

2. 基本網絡參數配置及維護
   2.1. 基本網絡參數配置操作

2.1.1. 配置Vlan

(Aruba800) (config) #vlan 200
(Aruba800) (config) #interface fastethernet 1/0
接入模式：(Aruba800) (config-if)#switchport access vlan 200
(Aruba800) (config-if)#switchport mode access
中繼模式：(Aruba800) (config-if)#switchport trunk allowed vlan all
(Aruba800) (config-if)#switchport mode trunk
(Aruba800) (config-if)#show vlan
VLAN CONFIGURATION

VLAN Name Ports

---

1 Default FE1/1-7
100 VLAN0100 GE1/8
200 VLAN0200 FE1/0

2.1.2. 配置named-vlan及vlan pool

named-vlan用於解決當控制器集羣中master與local控制器的本地二層網絡環境不同，無法使用同樣的vlan ID的問題。

(ZTTG-7205-1) (config) #vlan-name ZTTG-office assignment hash(vlan命名，只能在master控制器上操作。Assignment模式需要在分配多個vlan做vlan pool時指定，建議使用hash模式)

(ZTTG-7205-1) (config) #vlan ZTTG-office 110-112(爲命名的vlan分配vlan ID，需要在每臺控制器上按本地vlan規劃操作。需要分配多個vlan做vlan pool的話只需添加多個即可)

(ZTTG-7205-1) (config) #show vlan mapping

Vlan Mapping Table

VLAN Name Assignment Type VLAN IDs

---

ZTTG-office Hash 110-112

(ZTTG-7205-1) (config) #

如果使用vlan pool，需要注意的一點是各個vlan對應的子網需同樣大小。因爲控制器從vlan pool中爲用戶分配vlan時按照基本平均的原則分配。不同大小的子網配置會導致小的那個子網地址耗盡後用戶仍然被分進該vlan而無法獲取地址

• 配置IP address
(Aruba800) (config) #interface vlan 200
(Aruba800) (config-subif)#ip address 192.168.202.254 255.255.255.0 (vlan interface)
(Aruba800) (config-subif)#ip helper-address 10.10.10.1 (DHCP relay)

• 配置IP route
配置缺省路由: (Aruba800) (config) #ip default-gateway 192.168.1.1
配置靜態路由：(Aruba800) (config) #ip route 10.10.10.0 255.255.255.0 172.16.0.1
(Aruba800) (config) #show ip route
Codes: C - connected, O - OSPF, R - RIP, S - static
M - mgmt, U - route usable, - candidate default
Gateway of last resort is 192.168.1.1 to network 0.0.0.0
S 0.0.0.0/0 [1/0] via 192.168.1.1
S 10.10.10.0/24 [1/0] via 172.16.0.1
C 172.16.0.0 is directly connected, VLAN1
C 192.168.1.0 is directly connected, VLAN100
C 192.168.202.0 is directly connected, VLAN200
• 配置dhcp server
(Aruba800) (config) #ip dhcp pool user_pool
(Aruba800) (config-dhcp)#default-router 172.16.1.254
(Aruba800) (config-dhcp)#dns-server 202.96.209.5
(Aruba800) (config-dhcp)#network 172.16.1.0 255.255.255.0
(Aruba800) (config-dhcp)#exit
(Aruba800) (config) #service dhcp

DHCP Pool通過控制器vlan interface的IP地址與vlan相關聯，爲相應vlan的用戶分配IP地址。

2.2. 控制器基本維護操作

顯示當前版本信息：
(Aruba3400) #show image version

Partition : 0:0 (/dev/hda1) Default boot
Software Version : ArubaOS 5.0.3.2 (Digitally Signed - Production Build)
Build number : 27734
Label : 27734
Built on : Tue Apr 5 13:28:58 PDT 2011

Partition : 0:1 (/dev/hda2)
Software Version : ArubaOS 6.1.0.0-beta (Digitally Signed - Production Build)
Build number : 27482
Label : 27482
Built on : Thu Mar 17 14:42:54 PDT 2011

升級ArubaOS:
(Aruba3400) #copy ftp: 172.16.0.250 <ftp_username> ArubaOS_MMC_6.1.0.0_28106 system: partition 1

系統flash中有兩個partition用於存放OS image文件，可以存放兩個不同版本的OS。當前運行的版本以**Default boot**標示。升級時需選擇partition，升級完成後重啓控制器會自動以最新升級的partition啓動。

手工選擇啓動partition命令：boot system partition
升級支持ftp和tftp，建議使用ftp。

導出配置：
(Aruba3400) #copy running-config tftp: 172.16.0.250 config.txt
拷貝文件到flash
(Aruba3400) #copy tftp: 172.16.0.250 ArubaOS_MMC_6.1.0.0_28106 flash: ArubaOS_MMC_6.1.0.0_28106
查看flash文件
(Aruba3400) #dir

查看當前啓動的AP：

(Aruba3400) #show ap active

Active AP Table

Name Group IP Address 11g Clients 11g Ch/EIRP/MaxEIRP 11a Clients 11a Ch/EIRP/MaxEIRP AP Type Flags Uptime Outer IP

---

test1 wpa-test 172.16.0.253 0 AP:HT:11/20/20 0 AP:HT:157+/24/24 105 1m:35s N/A

Flags: R = Remote AP; P = PPPOE; E = Wired AP enabled; A = Enet1 in active/standby mode;
L = Client Balancing Enabled; D = Disconn. Extra Calls On; B = Battery Boost On;
X = Maintenance Mode; d = Drop Mcast/Bcast On; N = 802.11b protection disabled;
a = Reduce ARP packets in the air; M = Mesh; C = Cellular; K = 802.11K Enabled;

Channel followed by "*" indicates channel selected due to unsupported configured channel.

Num APs:1

爲控制器添加license：
(Aruba3400) #license add 1QLnRP6A-A5kZYcGC-joJpzV0P-phdK5I2G-WBn7GuJ4-+2Y
Limits updated.
Updated temporary key [1QLnRP6A-A5kZYcGC-joJpzV0P-phdK5I2G-WBn7GuJ4-+2Y] with new temporary key

Please reload the switch to enable the new functionality.

(Aruba3400) #reload

查看控制器上的license：
(Aruba3400) #show license

License Table

Key Installed Expires Flags Service Type

---

KbjRcKsa-E+uA8Yj4-kyffHCVy-3+qt7HJh-lzPkGuzV-4Rc 2011-08-12 2011-09-11 E Access Points: 64
09:42:34[1] 09:42:34
1QLnRP6A-A5kZYcGC-joJpzV0P-phdK5I2G-WBn7GuJ4-+2Y 2011-08-12 2011-09-11 E Wireless Intrusion Protection Module: 64
09:42:35[1] 09:42:35
iHgYK7XV-xErAdTe+-S2DlM2KF-FBQwKYWh-g8vHDlSF-76g 2011-08-12 2011-09-11 E Next Generation Policy Enforcement Firewall Module: 2048
09:42:35[1] 09:42:35

License Entries: 3

Flags: A - auto-generated; E - enabled; R - reboot required to activate

(Aruba3400) #

2.3. 管理員帳號管理
Management > Administration > Add 輸入用戶名、密碼和權限

角色名稱 說明
root 該角色允許管理控制器的所有功能
read-only 該角色只允許命令行界面的show命令和查看web管理界面的Monitoring頁面。不允許用戶進行拷貝文件、重啓交換機等操作
guest-provisioning 該角色允許只允許用戶在控制器內部數據庫中配置guest用戶
location-api-mgmt 該角色允許用戶接入定位應用程序接口。不允許用戶登錄命令行界面，也不允許用戶進行拷貝文件、重啓交換機等操作
network-operations 該角色允許用戶查看web管理界面的Monitoring, Reports, and Events這些對於監視控制器很有用的頁面，該角色不允許用戶登錄命令行控制界面

 

3. 理解Aruba WLAN配置結構框架
   Aruba無線控制器通過AP Group來構建無線網絡配置參數模版。並通過將多個AP加入某個AP Group來將這些配置參數同步到每個AP。

3.1. 基本WLAN服務配置
Profile關係圖：

SSID profile:
配置用戶可見的ESSID，及其加密方式，如open、wep、wpa-tkip、wpa2-aes，以及使用pre-share key靜態密鑰還是802.1x。
AAA profile:
配置用戶認證方式（mac、802.1x、captive-portal、×××)，關聯相應AAA認證服務器（Radius、TACACS+、LDAP及Internal DB）。
Virtual-AP profile:
關聯上述SSID profile和AAA profile以構成一組WLAN服務模版，併爲其分配vlan。

3.2. 基於角色的用戶策略管理

ARUBA控制器中的每一個用戶都會被分配一個角色（Role)。如果控制器添加了PEF License，可以通過用戶角色（Role）控制每個用戶的網絡訪問權限及帶寬策略
• 每一個role都必須與一個或多個防火牆策略綁定
• 防火牆策略按次序執行
• 最後一個隱含的缺省策略是“deny all”
• 可以設定role的帶寬限制和會話數限制

用戶角色（Role）的分配可以通過多種方式實現
• 基於接入認證方式的缺省角色 (i.e. 802.1x, ×××, WEP, etc.)
• 由認證服務器導出的用戶角色(i.e. RADIUS/LDAP屬性)
• 本地導出規則
• ESSID
• MAC
• Encryption type
• Etc.

 

4. 配置範例

4.1. 建立WPA2-PSK服務
步驟1 建立AP Group，命名爲test-group，如之前已建立則無需建立
Configuration>AP Configuration>AP Group>輸入名字點Add

步驟2將AP加入到AP Group中
選中AP，點擊“Provision”

選擇要加入的組

點擊“Apply and Reboot”

步驟3 新建一個Virtual AP，命名爲test-vap-wpa2
Configuration>AP Configuration>AP Group>Edit>Virtual AP>NEW>添入名字點Add

步驟4 將Virtual AP加入到Vlan 1
Configuration>AP Configuration>AP Group>test-vap-wpa2

步驟5 關聯一個AAA Profile
Configuration>Security>Authentication>AAA Profiles>下拉框選中default-dot1x-psk>Apply確認

步驟6 新建一個SSID Profile
點擊左邊欄中對應的Virtual AP名稱>SSID Profile>NEW命名爲test-ssid-wpa2>Apply確認, 輸入SSID Profile名稱test-ssid-wpa2，輸入SSID名稱test-ssid-wpa2

點選認證方式爲WPA2-PSK，並填寫密碼，點擊“Apply”，配置完成

步驟7 驗證以上兩種認證方式
打開windows無線管理，選擇test-ssid-wep或test-ssid-wpa2

輸入密碼

成功連接

4.2. 建立Portal認證
步驟1 新建一個AP group，命名爲test-group
Configuration>AP Configuration>AP Group>輸入名字點Add

步驟2將AP加入到AP Group中
選中AP，點擊“Provision”

選擇要加入的組

點擊“Apply and Reboot”

步驟3 新建一個Virtual AP，命名爲test-vap-web
Configuration>AP Configuration>AP Group> 找到步驟1中創建的組>點Edit

點擊APPLY確認添加

步驟4 將Virtual AP加入到Vlan 1
Configration>AP Configuration>AP Group>test-vap-web

步驟5 新建一個SSID Profile
點擊左邊欄中對應的Virtual AP名稱>SSID Profile>NEW命名爲test-ssid-web>Apply確認

步驟6 新建一個AAA Profile
Configuration>Security>Authentication>AAA Profiles>Add>命名爲test-aaa-web>Apply確認

步驟7 在Initial DB中新建一個用戶
Security > Authentication > Servers>Initial DB>ADD，輸入用戶名密碼

步驟8 新建一個Portal Profile,命名爲test-portal,
uration>Security > Authentication >L3 Authentication>Capture Portal Authentication Profile>輸入名字點Add

步驟9 將上面建立好的Portal Profile關聯到logon這個Role中
Configuration>Access Contral>Capture Portal Profile>選test-portal點change>Apply確認

步驟10 將AAA Profile關聯到AP Group中
Configuration>AP Configuration>AP Group>Edit>AAA Profile> 選test-aaa-web>Apply確認

步驟11 在認證界面中輸入用戶名密碼進行登錄

步驟12 如果要更改WEB認證界面，則進行如下操作
方法一：使用Aruba控制器中內置的網頁界面
Maintenance>Captive Portal > Customize Login Page，選擇所要更改的Profile和界面，該界面可以進行部分自定義

方法二：使用客戶自己定製的頁面
Maintenance>Captive Portal > Upload Custom Login Page，將自己定製的頁面導入到指定的使用web portal認證的ssid

4.3. 建立802.1X認證
步驟1 建立AP Group，命名爲test-group，如之前已建立則無需建立
Configuration>AP Configuration>AP Group>輸入名字點Add

步驟2將AP加入到AP Group中
選中AP，點擊“Provision”

選擇要加入的組

點擊“Apply and Reboot”

步驟3 新建一個Virtual AP，命名爲test-vap-1x
Configuration>AP Configuration>AP Group>Edit>Virtual AP>NEW>添入名字點Add

步驟4 將Virtual AP加入到Vlan 1
Configuration>AP Configuration>AP Group>test-vap-1x

步驟5 新建一個SSID Profile
點擊左邊欄中對應的Virtual AP名稱>SSID Profile>NEW命名爲test-ssid-1x>Apply確認, 輸入SSID Profile名稱test-ssid-1x，輸入SSID名稱test-ssid-1x，802.11 Security選WPA2

步驟6 新建一個L2 Authentication AAA Profile，命名爲test-L2a-1x
點擊Security > Authentication > L2 Authentication，輸入名稱點Add

點擊該Profile，勾選Termination，Apply確認

步驟7 在Internal DB中新建一個用戶
點擊Security > Authentication > Servers > Internal DB>ADD User新建一個用戶

步驟8 新建一個AAA Profile
Configuration>Security>Authentication>AAA Profiles>Add>命名爲test-aaa-1x>Apply確認

步驟9 將各Profiles關聯起來
點擊左邊該Profile關聯之前創建的802.1X Authentication Profile

點擊802.1X Authentication Server Group，關聯Internal

點擊Configuration > AP Group > Edit "test-group" > AAA Profile,關聯之前創建的AAA Profile

步驟10 驗證802.1X認證方式
將終端網卡的配置成802.1X認證方式，然後搜索該AP

輸入用戶名密碼

連接成功

4.4. 同一SSID中爲不同用戶配置不同的權限

步驟1 在Internal DB中添加用戶
點擊ADD User建立兩個用戶
用戶名test1 密碼123456 登入後Role爲authenticated
用戶名test2 密碼123456 登入後Role爲guest

步驟2 測試
使用WEB認證分別用兩個賬戶登錄

使用test1登入後，用戶得到的Role爲authenticated

使用test2登入後，用戶得到的Role爲guest

4.5. 設置用戶期限
步驟1 在Internal DB中新建一個賬戶
Security > Authentication > Servers > Internal DB > ADD User

輸入用戶名、密碼、用戶角色和過期時間，Apply保存

步驟2 連接該SSID

剛連入後用戶角色爲logon

步驟3 打開IE使用剛創建的用戶登錄

登錄後用戶角色爲authenticated

到達設定的過期時間後，該用戶角色又變爲logon

步驟7 繼續使用之前的用戶登錄，提示認證失敗，該用戶在Internal DB中已自動刪除

4.6. 設定區域管理
步驟1 新建多個AP Group，命名爲test-group1、test-group2，……

步驟2 新建一個Virtual AP，命名爲test-vap-area1
Configuration>AP Configuration>AP Group>Edit>Virtual AP>NEW>添入名字點Add

步驟3 將Virtual AP加入到相應Vlan
Configuration>AP Configuration>AP Group>test-vap-area1

步驟4 新建一個SSID Profile
點擊左邊欄中對應的Virtual AP名稱>SSID Profile>NEW命名爲test-ssid-all>Apply確認, 輸入SSID Profile名稱test-ssid-all，輸入SSID名稱test-ssid-all

步驟5 在其他AG Group中建立各自的Virtual AP，並加入相應Vlan，調用同一個SSID Profile
步驟6 新建多個Server Group，並按照區域管理的需求，在每個Server Group中建立不同的Server Rule

步驟4 建立多個AAA Profile，命名爲test-aaa-area1、test-aaa-area2……
Configuration>Security>Authentication>AAA Profiles>Add>命名爲test-aaa-area1>Apply確認

步驟5 將每個AAA Profile與對應的Server Group關聯起來，以實現不同的Server Rule

步驟6 再將各AAA Profile與對應的Virtual AP關聯起來

步驟7 按區域將AP加入到各AP Group中
選中AP，點擊“Provision”

選擇要加入的組

點擊“Apply and Reboot”

步驟8 檢驗配置結果,使用相同的SSID在不同的地理區域登入網絡所獲得權限是不一樣的，從而實現了區域管理。

4.7. 配置日誌服務器
步驟1 設置日誌服務器的地址和權限等級
Configuration>Management>Logging Servers>Servers>New添加服務器地址

4.8. 帶寬限制
步驟1 進入User Roles配置界面
Configuration>Security>Access Control>User Roles>Edit

步驟2 新建一條帶寬限制規則
在Bandwidth Contract一欄選Add New

在New Bandwidth Contract中填入規則名稱和所要限制的帶寬>Done

步驟3 應用剛添加的規則
返回Bandwidth Contract一欄，選擇剛添加的規則>Change，如果是針對每個用戶則勾選後面的Per User