部署无线控制器及无线AP
这章主要介绍如何将Aruba移动控制器和Aruba AP接入你的有线网络。看完这章的介绍以后,你就可以配置AP,同样的介绍在第3卷里。 这章主要介绍了以下几部分: “配置的介绍” 第48页
“配置Aruba移动控制器” 第52页 “部署APs” 第57页 “附加的配置” 第61页
配置的介绍
这个部分介绍了典型的部署情况和任务,你必须把Aruba移动控制器和Aruba AP接入到你的有线网络。
部署环境一:路由器是控制器和客户端的默认网关
在这个部署环境中,Aruba AP和移动控制器连接在相同的子网上,并且使用被指定的子网IP地址。在AP与控制器中间没有路由器。AP能够被物理的连接到控制器上。控制器上的上行端口被连接到2层交换机或者路由器上。 你必须完成下列任务: 1. 进行初始化设置
设置VLAN 1的IP地址
设置默认网关的IP地址,将控制器连接到上行的路由器 2. 把移动控制器上的上行端口连接到交换机或者路由器的端口上,默认的,控制器上
的所有端口都是Access端口并且所有端口都属于同一个VLAN
3. 部署AP。所有的AP会使用Aruba Discovery Protocol(ADP)协议来发现移动控制
器。
为所有用户指定VLAN并且配置VLAN 1的SSID。
部署环境二:对于所有客户端来说移动控制器是默认网关
在这个部署环境中,Aruba移动控制器和AP在不同的子网中,而且AP在多个子网中。移动控制器将作为无线网络的一个路由器(移动控制器作为无线客户端的默认网关)。控制器上的上行端口被连接到2层交换机或路由器上;这是一个属于VLAN 1的Access端口。
你必须完成下列任务: 1. 进行初始化设置
设置VLAN 1的IP地址
设置默认网关的IP地址,将控制器连接到上行的路由器 2. 把移动控制器上的接口连接到交换机或者路由器的接口上 3. 部署AP。所有的AP会使用DNS或DHCP来发现移动控制器。 4. 在控制器上为无线子网配置VLAN
5. 为每个指定了VLAN的无线子网配置SSID
注意:在控制器上必须为每个无线客户端的VLAN配置一个IP地址。在上行的交换机或
路由器中,你必须为每个客户端VLAN配置静态路由,并且将下一跳地址设为移动控制器VLAN 1的地址。
部署环境三:路由器是控制器和客户端的默认网关
在这个部署环境中,Aruba移动控制器和AP在不通的子网中,而且AP在多个子网中。
在AP和移动控制器中有路由器。控制器通过一个Trunk端口与2层交换机或路由器相连,为所有的无线客户端VLAN传送数据流量。一个上行路由器作为所有无线客户端的默认
网关。
注意:在这个部署环境中,控制器与交换机或路由器不使用VLAN 1端口连接,而是通
过Trunk口连接。在进行初始化设置时,当提醒你为VLAN 1配置IP地址和默认网关时,使用默认值即可。下一步,你要配置适当的VLAN与交换机或路由器和默认网关相连。
你必须完成下列任务:
1. 进行初始化设置
使用默认的IP作为VLAN 1的IP地址。因为VLAN 1不通过Trunk口与2层交换机
或者路由器相连,所以,你必须在下一步配置适当的VLAN进行连接。 不要指定默认网关(使用默认值“none”)。下一步,你需要配置一个默认
网关。
2. 在一个你将要连接的控制器上创建一个VLAN并且VLAN ID要与交换机或路由器上
的VLAN相同。将控制器上的一个端口添加到这个VLAN,并且将这个端口配置为Trunk口。
3. 将客户端VLAN加到Trunk口上。 4. 在移动控制器上配置默认网关。这个网关IP地址是你控制器连接的那台路由器的IP
地址。
5. 在移动控制器上配置Loopback接口。
6. 将移动控制器上的上行端口连接到交换机或路由器上。 7. 部署AP。所有AP会使用DNS或DHCP来发现控制器。
你可以为每个无线用户子网配置VLAN,并且为每个指定了VLAN的子网配置SSID。
配置Aruba移动控制器
不是一个基本的Aruba移动边缘系统主要有两个方面:
连接和配置Aruba移动控制器到有线网络(在这部分介绍) 部署Aruba AP(下部分介绍) 将移动控制器连接到有线网络:
1. 进行初始设置配置控制器管理信息
2. (配置环境三)配置VLAN并把控制器连接到你的网络。如果你使用VLAN 1把控制器
连接到网络就不需要执行这一步操作。 3. 将控制器上的端口连接到你的网络
4. (可选)为控制器配置一个Loopback地址。如果你正在以VLAN 1的IP地址作为控制器
的IP地址,就不需要执行这一步操作。 下面是步骤的详细描述。 1. 进行初始化设置
当你第一次连接控制器时,可以任意选择serial console口方式或者是Web浏览器方式,在初始设置中,需要你设置控制器角色(Master or Local)以及管理员和配置访问密码。初始设置中也需要你为控制器配置国家代码,这个设置是调整了AP所使用的射频范围。 初始设置会让你为控制器的VLAN 1接口配置一个IP地址,这样你就能通过远程SSH或者Web UI会话对移动控制器进行访问和配置。为VLAN 1配置一个IP地址,确保在初始配置结束后移动控制器上有指定的IP地址和默认网关。
当你完成初始配置以后,移动控制器就将重新启动并使用新的配置。可以通过Aruba Quick Start Guide查看关于使用初始设置的信息。
你可以使用初始配置时设置的管理员密码连接到控制器上并且使用控制器的部分功能:
你可以继续使用serial口连接控制器并且进入命令行接口(CLI)。(第18章,“配置
访问管理”查阅关于如何访问CLI和输入配置命令的相关信息。)
你可以通过以太网线从PC连接到控制器的以太网接口上,然后使用下列方法之一进行
访问:
使用VLAN 1地址启动SSH会话,输入CLI命令。 在浏览器中输入VLAN 1的地址,启动Web UI。 2. 为网络连接配置VLAN
如果你要配置Trunk口将Aruba移动控制器和其他2层交换机相连,你必须依照使用说明书中的这部分介绍进行配置(在第50页,“部署环境三”有显示)。
这一部分介绍了如何使用Web UI和CLI进行下列配置(下一步只显示如何使用Web UI) 在移动控制器上创建一个VLAN并且给它分配一个IP地址。
将移动控制器连接到网络中的端口分配到VLAN中。(例如,通常使用Gigabit口与
上行路由器进行连接.)在这个配置范例中,一台Aruba 2400是通过它的Gigabit以太口1/25连接到网络中的。 配置端口为Trunk端口。
为移动控制器配置默认网关。 创建VLAN
下列配置是创建VLAN 5并且分配IP地址为10.3.22.20/24 *使用Web UI创建VLAN:
1. 点击菜单条中的“Configuration”。在“Network”下,点击“VLANs”选项。
注意:在这本说明的其他部分,特定的Web UI命令,被缩短显示。例如:
“Configuration >Network > VLANs”。
2. 点击“ADD”创建新的VLAN。
3. 在“Add New VLAN”显示页面上,输入“5”作为VLAN ID并且点击“Apply”。 4. 通过Web UI“Configuration > Network > IP > IP Interfaces”页。在刚刚创建的VLAN
上点击“Edit”。选择下列可以的IP地址。为VLAN口输入IP地址和子网掩码。如果需要,你也可以为VLAN配置DHCP服务器的地址,再点击“Add”。 5. 点击“Apply”保存这个配置。
6. 在Web页面的顶部,点击“Save Configuration”。
注意:在Web配置界面中,点击“Save Configuration”按钮把配置保存,并且在
控制器重新启动以后任然有效。点击“Apply”按钮把配置保存到正在执行的配置当中去,当控制器重新启动以后就不存在了。养成一个好的习惯,在配置过以后点击“Apply”将配置保存在正在运行的配置中,当最后确定操作以后,点击“Save Configuration”将配置保存。
*使用CLI创建VLAN: (aruba)
User: admin Password: ***** (aruba) >enable Password:******
(aruba) #configure terminal
Enter Configuration commands, one per line. End with CNTL/Z (aruba) (config) #vlan 5
(aruba) (config) #interface vlan 5
(aruba) (config-subif)#ip address 10.3.22.20 255.255.255.0 (aruba) (config-subif)#exit
(aruba) (config) #write memory 分配并且配置Trunk口
下列配置是将一个Gigabit以太口设置为Trunk口。 *使用Web UI配置Trunk口:
1. 在Web UI上依次点击“Configuration > Network > Ports”页面。 2. 在端口选择的部分中,将移动控制器连接到网络中的端口选中。 3. 将端口模式选择为“Trunk”
4. 对于本地VLAN,在下拉列表中选择VLAN 5点击“”箭头。 5. 点击“Apply”。
*使用CLI配置Trunk口:
interface gigabitethernet 1/25 switchport mode trunk
switchport trunk native vlan
为了确认端口设置是否成功,使用show vlan命令查看: (aruba) (config) #show vlan VLAN CONFIGURATION ------------------
VLAN Name Ports ---- ---- -----
1 Default Fa1/0-23 Gig1/24 5 VLAN0005 Gig1/25 配置默认网关
下列配置是指定移动控制器的默认网关。 *使用Web UI配置默认网关:
1. 依次点击“Configuration > Network > IP > IP Routes”页面。 2. 在默认网关栏中输入:10.3.22.1 3. 点击“Apply”。 *使用CLI 配置默认网关: ip default-gateway 10.3.22.1 将控制器连入网络
将移动控制器上的端口连接到适当的2层交换机或路由器的端口上。确定你的网线连接正确,并且端口的指示灯显示正常。关于Aruba移动控制器的端口LED灯和线缆的相关资料请查阅安装向导。
注意:在许多的部署环境中,一个外部防火墙被放置在Aruba各种不同的设备中间。
附录B,在“外部防火墙设置”中,描述了一定要在外部防火墙上允许Aruba网络进行适当的操作。
确认移动控制器在网络上是可达的:
如果你使用VLAN 1把移动控制器连接到网络中(部署环境一和部署环境二),你
可以在一个工作站中通过网络Ping控制器的VLAN 1地址。
如果你创建且配置了一个新的VLAN(部署环境三),你可以在一个工作站中通过
网络Ping这个新VLAN的IP地址。
配置控制器的Loopback接口
如果你不使用VLAN 1把控制器连接到网络中,你一定要配置一个Loopback接口地址(见第50页,部署环境三)。
如果配置了以后,Loopback地址就被用作控制器的IP地址。 如果你不为控制器配置一个Loopback地址,那么VLAN 1的地址就将被指定为控制器的IP地址。
注意:如果你配置或者修改了Loopback地址以后,一定要重新启动控制器。
Aruba操作系统允许将Loopback地址指定为VLAN接口的IP地址空间。在本例的拓扑中,控制器上的VLAN 5接口先配置IP地址为10.3.22.20/24。在这个例子中,Loopback接口的IP地址是10.3.22.220。
注意:你可以配置一个32位的Loopback地址作为主机地址。Loopback地址应该来自
于外部网络的路由表。
*使用Web UI配置Loopback:
1. 依次点击“Configuration > Network > Controller > System Settings”页面。 2. 在Loopback接口下面输入IP地址。
3. 点击页面底部的“Apply”(你可能需要往下移动页面才能看到)。
4. 在页面的顶部,点击“Save Configuration”。你必须要重新启动控制器才能让新
的IP地址生效。
5. 依次点击“Maintenance > Controller > Reboot Controller”页面。 6. 点击“Continue”。 *使用CLI配置Loopback:
interface loopback ip address 10.3.22.220
为了确定控制器在网络上是可达的,在一台工作站上通过网络Ping一下控制器的Loopback地址。
部署APs
在Aruba移动边缘系统中,Aruba的AP和AM被设计成为在安装的时候只需要很少的命令就可以进行运行。一旦AP与控制器建立了通信,你就可以通过应用移动边缘系统的Web UI界面对一个或者一组AP进行配置。 你可以通过一下步骤部署AP:
1. 运行基于JAVA的RF PLAN工具帮助你决定AP并且输入平面图帮助你安装。
2. 确定,当他们被连接到网络的时候,AP能够找到控制器。有几个方法让可以决定
让哪一个AP能够找到控制器。
3. 通过将AP连接到以太网口安装AP。如果没有是用POE供电,就需要给AP一个外
接电源。
4. 在移动控制器上配置AP。 详细步骤介绍:
运行Aruba RF PLAN
RF PLAN是一个基于JAVA的对网络没有影响的,为你提供报告,帮组你决定AP数量和安装位置应用软件。对于使用RF PLAN的更多相关信息,请查阅RF PLAN安装和使用指南。
AP与移动控制器相连
在你安装AP到网络环境中之前,你必须确定AP能够找到并且连接到移动控制器上。 你必须明确的确定一下各项:
当接入网络以后,每一个AP都能被分配到一个有效的IP地址。 AP能够正确的找到移动控制器的位置。
注意:Aruba AP第一次启动的时候使用TFTP协议从移动控制器上获得它们的软件
镜像和配置。在初始启动之后,AP使用FTP协议从移动控制器上获得它们的软件镜像和配置。在许多的部署环境中,一个外部防火墙被放置在Aruba各种不同的设备中间。附录B,在“外部防火墙设置”中,描述了一定要在外部防火墙上允许Aruba网络进行适当的操作。
使AP获得IP地址
与控制器相连的每一个AP在子网中都要有一个唯一的IP地址。Aruba推荐使用DHCP协议为AP分配IP地址;DHCP服务器可以是一台网络中已有的服务器或者是配置在Aruba移动控制器上。
你可以使用相同子网中现有的DHCP服务器以提供它的IP信息给AP。你也可以在相同子网中配置一台设备作为其他子网的DHCP服务器的代理。关于DHCP服务器或DHCP代理,请参阅代理商编写的文件。
如故AP与主移动控制器在同一个子网中,你就可以将移动控制器配置为DHCP服务器为AP分配IP地址。移动控制器必须是这个子网中唯一的DHCP服务器。 *使用Web UI在控制器上设置DHCP服务器:
1. 依次点击“Configuration > Network > IP > DHCP Server”页面。 2. 选择“Enable DHCP Server”选项栏。 3. 在地址池配置部分,点击“Add”。
4. 输入子网的信息,确定一个IP地址分配范围,点击“Done”。 5. 如果在子网中有IP地址不要被分配:
A. 在排除地址范围(Excluded Address Range)部分,点击“Add”。
B. 将不要分配的地址添加到排除地址范围(Excluded Address Range)中。 C. 点击“Done”。
6. 点击网页底部的“Apply”。
*使用CLI在控制器上设置DHCP服务器: ip dhcp excluded-address ipaddr ipaddr2 ip dhcp pool name default-router ipaddr dns-server ipaddr domain-name name network ipaddr mask 设置移动控制器
一个ARUBA AP能使用下列方式发现移动控制器的IP地址: 通过DNS服务器 通过DHCP服务器
使用Aruba Discovery Protocol(ADP)协议 通过一台DNS服务器
Aruba AP的出厂设置是使用Aruba-master作为主移动控制器的主机名。你必
须在DNS服务器上设置主机名为Aruba-master以及对应的IP地址,用来DNS服务器对该名称和IP地址的解析。
关于如何在DNS服务器上配置主机名,请参阅服务器生产厂家的文档。 注意:Aruba推荐使用DNS服务器为AP提供主移动控制器的IP地址,因为它
可以最小化改变网络结构并且是AP可以灵活的部署。 通过一台DHCP服务器
你可以配置一台DHCP服务器为你的主移动控制器提供IP地址。你必须配置
DHCP服务器用DHCP代理选项的43将IP地址发送给移动控制器。Aruba AP将DHCP请求标识同一的视为一体。当DHCP服务器回应请求的时候,它将发送选项值为43到控制器的IP。
关于如何配置一个DHCP服务器的代理以及特定功能,查阅附录A的
Configuring DHCP with Vendor-Specific Options或者查阅服务器生产厂家的使用说明。
通过使用ADP(Aruba Discovery Protocol)
ADP协议在所有的Aruba AP和移动控制器上都被预先设定激活的。所有使用
ADP的AP和移动控制器都要被连接在同一个2层网络中。如果设备不在同一层上,那么一定要使用3层的发现机制,如:DNS、DHCP或ICMP。
通过ADP协议,AP周期性的发送广播,查询主移动控制器的位置。你可能需
要额外的网络配置,依赖于AP和控制器是否在同一个广播域中:
如果AP和主移动控制器在同一个广播域中,主控制器就自动的以他自己
的IP地址回应AP的查询。
如果AP和主移动控制器不在同一个广播域中,你必须在网络上启用多点
广播(ADP使用的目的组播地址是239.0.82.11)控制器才能回应AP的查询。你也必须确定,所有的路由器都要配置IGMP协议,控制器可以发送这些请求并且可以把这些包多点传送出去。
使用一下命令可以确定ADP和IGMP是否在控制器上启用:
(WLAN_Switch) #show adp config ADP Configuration ----------------- key value --- -----
discovery enable igmp-join enable
如果ADP和IGMP选项没有被启用,使用一下命令启用: (WLAN_Switch) (config) #adp discovery enable (WLAN_Switch) (config) #adp igmp-join enable
安装AP
使用RF PLAN产生安装AP的位置图。你可以把AP直连到移动控制器上的端口,或把AP连接到另一个交换机或着一个和控制器相连的2层或3层的路由器上。 如果控制器上的以太口支持802.3af POE供电,那么控制器就会对AP自动供电。如果端口的POE功能不可用,那么你必须为Aruba AP提供一个交流电源。更多信息,请查阅AP专业的安装手册。
一旦AP接入网络并且通电,它就会用某种方法查询主移动控制器,具体介绍见第59页“Locate the Mobility Controller”。
通过Web UI你可以在控制器上看到已经连接到控制器的AP。依次点击“Configuration > Wireless > AP Installation”页面。图2-6显示了这个例子。
图2-6 AP连接到控制器
更新RF PLAN
在部署完AP以后,在RF PLAN中更新AP位置图。Aruba移动边缘系统的位置追踪功能
模块允许提供更多的正确的结果,例如:用户定位、非法入侵AP、恶意AP和其他安全选项、RF干扰源。
额外配置
当你安装好一个基本的Aruba移动边缘系统之后,Aruba AP就会吐出默认名为aruba-ap
的SSID。无线用户可以通过这一SSID进行连接,但是由于你还没有设置认证、策略或用户角色,他们将不能够访问网络。在Aruba OS使用手册的其他卷中会介绍怎样通过基本设置配置用户角色、防火墙策略、认证、认证服务器和其他无线功能模块。
Aruba OS使用手册的第5章“Configuring Access Points”介绍了如何配置APs。Aruba OS使用手册的其他卷提供了关于Aruba移动边缘系统的其他功能模块的配置和使用方法。
第3章 配置网络参数
这一章介绍了在Aruba移动控制器上的一些基本网络配置。主要介绍了一下几点: “配置VLAN”第页 “配置静态路由”第72页
“配置Loopback IP地址”第73页
配置VLAN
Aruab移动控制器的运行和2层交换机一样使用VLAN作为广播域。在2层交换机和控制器之间需要一台外部路由器来转发流量。经过在控制器上定义以后,在移动控制器上,也能实现3层交换机在VLAN之转发数据的功能。
你可以将控制器上的一个或者多个端口配置为VLAN成员。另外,每个无线客户端会在控制器上组成一个虚拟的端口,通过VLAN指定成员的资格。根据你的网络需要,你可以把所以认证的无线用户放入同一个VLAN或者放入不同的VLAN。VLAN可以存在移动控制器的内部,也可以通过802.1q标识延生到外部的控制器上。
你可以选择性的为Aruba移动控制器上的VLAN配置一个IP地址和子网掩码。当VLAN中至少有一个物理端口是UP的时候,IP地址也是UP的。VLAN IP地址可以被外部当作网关使用;数据包可以通过控制器上的VLAN IP地址根据路由表进行转发。 *使用Web UI创建或修改VLAN:
1. 依次点击“Configuration > Network > VLANs”页面。
2. 点击“Add”创建一个新的VLAN(点击“Edit”编辑一个现有的VLAN)。 3. 在“Add New VLAN”显示页上,输入VLAN ID。
4. 添加物理端口到VLAN中,在“Assign this VLAN to Ports”中点击端口。 5. 点击“Apply”。
*使用CLI创建或修改VLAN: vlan interface fastethernet|gigabitethernet 默认的,一个端口只传输被指定VLAN的数据流量。你可以选择将一个端口配置为Trunk端口,用来传送多个VLAN的流量。一个Trunk端口使用802.1q协议为不同的VLAN打上标识。对于Trunk端口来说,所传输的是所有被记入VLAN列表的VLAN流量。你也能为端口记入本地VLAN(本地VLAN不用打VLAN标识)。 *使用Web UI配置端口: 1. 依次点击“Configuration > Network > Ports”页面。 2. 在端口选择部分,点击你想要配置的端口。 3. 端口类型选择“Trunk”。 4. 在下拉列表中选择需要加载的VLAN,点击“”箭头。 5. 为了让端口传送特定的VLAN数据流量,选择允许的VLAN列表。在下拉菜单中选择被允 许的VLAN或者不被允许的VLAN,点击“”箭头。 6. 点击“Apply”。 *使用CLI配置端口: interface fastethernet|gigabitethernet switchport trunk native vlan switchport trunk allowed vlan 通过一些方法可以将客户端指定给某个VLAN。有的VLAN被分配了一个优先级。VLAN的指定是(从优先级低的到优先级高的): 1. 默认的VLAN是为虚拟AP的配置文件所设置的VLAN。 2. 在客户端认证之前,VLAN可以获得基于客户端属性的规则(SSID,BSSID,客户端MAC 地址,位置和加密类型)。VLAN可以把特定VLAN的所配置的用户角色规则带给用户。 3. 在客户端认证之后, VLAN可以是一个配置了默认角色的认证方法,例如:802.1x或 VPN。 4. 在客户端认证之后,VLAN可以获得认证服务器返回的属性(server-derived规则)。VLAN 可以把特定VLAN的所配置的用户角色规则带给用户。 5. 在客户端认证之后,VLAN能获得来自微软隧道的属性(隧道类型,隧道媒介类型和似 有隧道组ID)。所有三个属性必须全部获得。这不需要任何的server-derived规则。 6. 在客户端认证之后,VLAN能够通过来自Aruba的VSA(Vendor Specific Attributes)对 RADIUS服务器进行认证。这也不需要任何的server-derived规则。 注意:如果Aruba VSA存在,它该过先前任何一个VLAN的指定。 为VLAN指定静态IP地址 你可以在移动控制器上为静态VLAN分配IP地址。至少要有一个控制器上的VLAN被分配静态IP地址。 *使用Web UI为VLAN指定静态IP地址: 1. 在Web UI上依次点击“Configuration > Network > IP > IP Interfaces”页面。在刚刚添 加的VLAN上,点击“Edit”。 2. 选择使用下了IP地址选项。为VLAN接口设置IP地址和子网掩码。如果需要,你也可以 通过DHCP服务器为VLAN分配地址,点击“Add”。 3. 点击“Apply”。 *使用CLI为VLAN指定静态IP地址: interface vlan ip address Aruba移动控制器上的VLAN通过下列方法之一获得它的IP地址: 通过网络管理员手工配置。这是默认的方法,且在第66页上“为VLAN分配静态IP地址” 方面有介绍。至少要有一个控制器上的VLAN被分配静态IP地址。 通过DHCP或PPPoE服务器动态的分配IP地址。这些方法在以后的部分里有介绍。 在一个分公司中,你可以把Aruba移动控制器连接到一个上行的交换机上或者连接到一个动态IP地址分配的设备上。例如,控制器可以被连接到DSL或者cable modem,或者宽带路由器(BARS)上面。图3-7 演示了一个Aruba控制器通过cable modem连接分公司。VLAN 1配置一个静态IP地址,而VLAN 2则是通过DHCP或着PPPoE动态分配。通过在Aruba移动控制器上的DHCP服务器上配置地址池来为本地网络用户分配IP地址。 图3-7 通过DHCP或者PPPoE为VLAN分配IP地址 让控制器允许VLAN动态获得IP地址: 对控制器上的VLAN启用DHCP或PPPoE客户端。 控制器上的DHCP或PPPoE客户端应当注意以下: 你的控制器上只能有一个VLAN启用DHCP/PPPoE客户端,且这个VLAN不能是VLAN 1。 VLAN中只能有一个端口可以被接到Modem或上行交换机上。 在DHCP/PPPoE向服务器请求的时候,VLAN中至少要有一个端口是UP状态的。 控制器上只有一个VLAN能够通过DHCP/PPPoE获取到IP地址。你不能在移动控制器上 同时使用DHCP和PPPoE客户端。 启用DHCP客户端: DHCP服务器分配一个有租约期的IP地址。在租约期满之前,控制器会自动的更新租约期限。当你“Shut down”VLAN的时候,会自动释放DHCP租约期。 *使用Web UI为VLAN启用DHCP: 1. 依次点击“Configuration > Network > IP > IP Interfaces”页面。 2. 在先前创建的VLAN上,点击“Edit”。 3. 选择“Obtain an IP address from DHCP”。 4. 点击“Apply”。 *使用CLI为VLAN启用DHCP: vlan interface vlan ip address dhcp-client 启用PPPoE客户端: 移动控制器一定要经过下列设置以后,才能向BARS请求动态IP地址: 使用PPPoE用户名和密码连接上DSL网络。 PPPoE服务名称-配置在PPPoE服务器上的任意一个ISP名字或服务规则。 当你“Shut down”VLAN的时候,PPPoE会话会自动结束。 *使用Web UI为VLAN启用PPPoE客户端: 1. 依次点击“Configuration > Network > IP > IP Interfaces”页面。 2. 在你先前添加的VLAN上,点击“Edit”。 3. 选择“Obtain an IP address with PPPoE”。 4. 为PPPoE会话输入服务名、用户名和密码。 5. 点击“Apply”。 *使用CLI为VLAN启用PPPoE客户端: ip pppoe-service-name interface vlan 通过DHCP/PPPoE设置默认网关 你可以指定通过DHCP获得的路由器IP地址或者PPPoE服务器作为控制器的默认网关。 *使用Web UI从DHCP/PPPoE设置默认网关: 1. 依次点击“Configuration > Network > IP > IP Routes”页面。 2. 设置默认网关,选择“Obtain an IP address automatically”。 3. 选择“Apply”。 *使用CLI通过DHCP/PPPoE设置默认网关: ip default-gateway import 通过DHCP/PPPoE分配DNS/WINGS服务器地址 DHCP/PPPoE服务器还能够提供DNS服务器或NetBIOS名称服务器的IP地址,可以通过控制器内部的DHCP服务器传输给无线客户端。 举例来说:在Aruba移动控制器上配置DHCP服务器为通过验证的用户分配IP地址;那么通过DHCP/PPPoE服务器获得的DNS服务器地址也会连同IP地址一起被提供给客户端。 *使用Web UI配置DNS/WINS服务器: 1. 依次点击“Configuration > Network > IP > DHCP Server”页面。 2. 选择“Enable DCHP Server”。 3. 然后配置地址池,选择“Add”。 4. 地址池名称为:employee-pool。 5. 默认路由为:10.1.1.2。 6. DNS服务器,选择“Import from DHCP/PPPoE”。 7. WINS服务器,选择“Import from DHCP/PPPoE”。 8. 网段地址:10.1.1.0;子网掩码:255.255.255.0 9. 点击“Done”。 *使用CLI配置DNS/WINS服务器: ip dhcp pool employee-pool default-router 10.1.1.2 dns-server import netbios-name-server import network 10.1.1.0 255.255.255.0 动态VLAN地址的源NAT转换 当一个VLAN接口通过DHCP或PPPoE获得了一个IP地址的时候,一个源NAT地址池和一个会话ACL就被自动的建立,那些被涉及到的IP地址会被动态的指定。这中策略允许让你把似有的局部地址映射到DHCP或PPPoE客户端所提供的公有的地址上。在任何时候,只要在VLAN上有地址改动,那么对应的在源NAT地址池中也会有对应的更新。 *使用Web UI配置动态VLAN地址的源NAT转换: 1. 依次点击“Configuration > Security > Access Control > Policies”页面。点击“Add” 添加来宾策略。 2. 点击“Add”,添加角色: A. 对于源,选择“any”。 B. 对于目的,选择“network”并且输入主机IP:10.1.0.0和掩码:255.255.0.0。 C. 对于服务,选择“any”。 D. 对于行为,选择“reject”。 E. 点击“Add”。 3. 点击“Add”,添加其他角色: A. 源、目的和服务都选“any”。 B. 对于行为,选择“src-nat”。 C. 对于NAT池,选择“dynamic-srcnat”。 D. 点击“Add”。 4. 点击“Apply”。 *使用CLI配置动态VLAN地址的源NAT转换: ip access-list session guest any network 10.1.0.0 255.255.0.0 any deny any any any src-nat pool dynamic-srcnat 为VLAN接口配置NAT转换 在先前的配置范例中,说明了如何为源NAT策略配置一个合适的用户角色。你也可以在VLAN接口上启用源NAT为所有的VLAN出口流量的源地址进行转换。 下列几项决定了数据包出VLAN的时候,“Outside”接口的源地址是什么: 如果你为VLAN配置了“私有地”IP地址,那么Aruba移动控制器会被假定为默认网关。 所有出VLAN的数据包的源地址是控制器提供的地址。 如果控制器转发的是3层的数据包,当数据包出VLAN的时候源地址是下一跳VLAN的IP 地址。 配置范例 在下面的例子中,Aruba移动控制器被连接在一个企业网络中。VLAN 1是出口VLAN。来自VLAN 6的流量使用控制器的地址做为源NAT转换地址。在这个例子中,VLAN 1的IP地址被用作控制器的IP地址;这样VLAN 6流量的源IP地址将会被NAT为66.1.131.5。 图 3-8 例子:源NAT使用控制器IP地址 *使用Web UI配置VLAN接口的源NAT转换: 1. 依次点击“Configuration > Network > VLANs”页面。点击“Add”配置VLAN 6(VLAN 1在运行初始设置的时候已经配置过了): A. 输入“6”做为VLAN ID。 B. 点击“Apply”。 2. 依次点击“Configuration > Network > IP > IP Interfaces”页面。 3. 在VLAN 6上点击“Edit”: A. 选择下面使用的IP地址。 B. 输入IP地址:192.168.2.1;子网掩码:255.255.255.0。 C. 为这个VLAN启用源NAT 4. 点击“Apply”。 *使用CLI配置VLAN接口的源NAT: interface vlan 1 ip address 66.1.131.5 255.255.255.0 interface vlan 6 ip address 192.168.2.1 255.255.255.0 ip nat inside ip default-gateway 66.1.131.1 配置静态路由 要在移动控制器上配置一条静态路由(像默认路由),做如下操作: *使用Web UI配置静态路由: 1. 依次点击“Configuration > Network > IP > IP Routes”页面。 2. 点击“Add”添加一条目的网络或主机的静态路由。输入目的IP地址和网络 (255.255.255.255是一个主机路由)和下一跳IP地址。 3. 点击“Done”添加项目。 注意:这条路由还有被添加到路由表中。 4. 点击“Apply”将这条路由添加到路由表中。会弹出信息“配置成功更新”确认路由已 经被加入路由表。 *使用CLI配置静态路由: ip route 配置Loopback接口IP地址 Loopback接口IP地址是被用来控制器与AP通信的一个逻辑接口。如果你不为控制器配置Loopback地址,VLAN ID最小的VLAN(典型的如:VLAN 1)的IP地址被用作控制器的IP地址。 Loopback地址被用作移动控制器的IP地址,终结VPN和GRE隧道,发起对RADIUS服务器的请求和通信的管理。你可以为一个Loopback地址配置一个32位的子网掩码。Loopback接口不是一个特别的接口并且它是一直工作的。可以利用这个接口确定IP地址可以到达一个VLAN接口。它将要可达所有外部网络。 你能够在移动控制器上修改或者删除Loopback地址。如果VLAN 1没有配置IP地址的话,你就不能够删除Loopback地址。当VLAN 1接口没有配置IP地址而你将删除了Loopback地址了,那么会提示你给VLAN 1配置一个新的IP地址。如果没有配置Loopback地址,同样的VLAN 1的地址也不能被删除;你将被提示配置一个新的Loopback地址。 注意:对于移动控制器IP地址的任何改动都需要重新启动控制器。 *使用Web UI配置Loopback IP地址: 1. 依次点击“Configuration > Network > Controller > System Settings “页面。 2. 在这一页上的“Loopback Interface”部分修改Loopback IP地址。点击“Apply”应用 这个配置。 小心:如果你正在使用Loopback IP地址连接Web UI,改变Loopback地址将会造成连接 中断。Aruba推荐你使用VLAN地址连接访问Web UI。 3. 依次点击“Maintenance > Controller > Reboot Controller”页面,重新启动移动控制器, 应用改变的Loopback地址。 4. 点击“Continue”保存配置。 5. 当提示你更新被成功写入Flash的时候,点击“OK”。 6. 通过以上步骤以后,移动控制器的Loopback地址已被改变。 *使用CLI配置Loopback IP地址: interface loopback ip address *使用Web UI重新启动控制器: 1. 依次点击“Maintenance > Controller > Reboot Controller”页面。 2. 点击“Continue”。 3. 在存储当前配置之后,控制器在重新启动之前开始一个倒计时。 *使用CLI重新启动控制器: 在“Enable”模式下输入下列指令:reload 第4章 RF PLAN RF PLAN是一个使你能够为企业环境设计高效的无线局域网(WLAN)的一个无线配置模型工具,它能将覆盖性能优化到最佳,并且降低了WLAN安装的复杂性。 这章主要介绍以下几点: “简介”第76页 “运行RF PLAN之前的准备”第77页 “使用RF PLAN”第78页 “RF PLAN范例”第105页 注意:RF PLAN是一个基于JAVA语言的工具,需要输入每个AP的序列号和MAC地址。 关于基于JAVA语言的RF PLAN的相关信息,查阅RF PLAN安装和使用手册。 简介 RF PLAN提供了下列重要功能: 定义WLAN覆盖。 定义WLAN环境的安全覆盖。 设备需求预估。 最佳的射频资源的优化。 RF PLAN提供每一层的观察,让你指定如何进行Wi-Fi覆盖。然后RF PLAN提供覆盖图以及AP和AM的部署位置。 RF PALN不像其他静态测量工具,需要管理员有关于建材和其他射频方面的复杂的知识,RF PLAN的覆盖校准即时的通过一个复杂的RF校准算法得出。这个即时校准让你了解射频信号的室内传输的特点,并为每个AP确定最好的信道和射频强度。你可以按计划设置自动校准或者手动启动校准,以快速的适应无线环境的改变。 运行RF PLAN之前 在你使用RF PLAN之前,回顾下列创建建筑模型和计划WLAN模型的步骤。 任务简介: 1. 收集建筑物的尺寸和平面设计图。 2. 为你的AP和AM决定覆盖层次。 3. 创建一个新的建筑物,并且添加尺寸。 4. 输入AP的覆盖参数。 5. 输入AM的覆盖参数。 6. 添加楼层到你创建的建筑物中,并且输入平面设计图。 7. 定义特殊区域。 8. 执行AP/AM计划功能,产生AP和AM的建议表格。 计划需求: 你应该在使用RF PLAN之前收集下列信息。有这些信息可以加快你的计划编制的进程。 建筑物尺寸 楼层数 楼层之间的距离 总的用户数目和每个AP下的用户数 射频类型 Overlap Factor 期望的AP传输速率 期望的AM监控速率 建筑物中非必须覆盖的区域 建筑物中不要或不能部署AP和AM的区域 任何想要部固定AP或AM的区域 使用下列工作表格收集你的信息: 建筑物尺寸 高: 楼层数: 用户信息 总用户数: 射频类型: Overlap Factor: AP的速率 802.11b|g: AM的速率 802.11b|g: 不想/不部署的区域 802.11a: 802.11a: 每个AP下用户数: 宽: 使用RF PLAN 这个部分介绍了该如何使用RF PLAN以及该如何在RF PLAN页面中输入信息。 从Web UI运行RF PLAN,在Web UI菜单条中点击“PLAN”按钮。当你启动RF PLAN,浏览器窗口显示的是模型列表页面。 模型列表页面 当你运行RF PLAN的时候,模型列表页面是你第一个看到的页面。这个列表包含了一个默认的模型和任何你使用RF PLAN定义好的模型。 你可以使用这个页面添加、修改或者删除模型。你也可以输入和输出模型信息。这一页包括下列按钮: 模型列表按钮 New Campus Browse Campus 描述 使用这个按钮创建新的模型 使用这个按钮在模型列表中编辑现有的模型。选择要编辑的称前面的勾选框,然后点击“Browse Campus”。当你编辑模型的时候,你还可以访问其他RF PLAN。 使用这个按钮可以在列表中重命名一个模型。选择要重命名Rename Campus 的模型名称前面的勾选框,然后点击“Rename Campus”。会弹出一个对话框,输入这个模型的新名字。点击“OK”接受新名字或者点击“Cancel”取消。 Delete Campuses 使用这个按钮在模型列表中删除现有的模型。选择要删除的模型名称前面的勾选框,然后点击“Delete Campuses”。你只能删除空的模型。如果你尝试删除一个包含了一个或多个建筑物的模型,就会弹出一个错误信息。 使用这个按钮利用列表中的一个或者多个模型的所以规格和后台影像组成一个数据库档案输出。见第100页“文件输入与输出”。 使用这个按钮将RF PLAN列表中定义好的模型输入数据库文件。见第100页“文件输入与输出”。 在RF PLAN中,可以是FQLN格式的名字。格式:name.floor.building.campus(FQLN格式的AP名称必须是唯一的)。你可以通过点击“AP FQLN Mapper”手工设置AP的FQLN。 Export Import AP FQLN Mapper 建筑物列表页面 当你编辑模型的时候,建筑物列表就会显示。 你可以使用这个页面进行建筑物的添加、修改和删除。你也可以输入和输出建筑物的信息。这个页面包括下列按钮: 建筑物列表按钮 New Building Edit Building 描述 使用这个按钮创建一个新的建筑物。当你添加或者修改一个建筑物的时候,你依然可以访问其他RF PLAN页面。 使用这个按钮编辑建筑物列表中现有的列表。选择要编辑的建筑物ID前面的勾选框,然后点击“Edit Building”。当你编辑模型的时候,你还可以访问其他RF PLAN。 使用这个按钮删除建筑物列表中现有的列表。选择要删除的建筑物ID前面的勾选框,然后点击“Delete Building”。 使用这个按钮利用列表中的一个或者多个建筑物的所以规格和后台影像组成一个数据库档案输出。见第100页“文件输入与输出”。 使用这个按钮将RF PLAN列表中定义好的建筑物输入数据库文件。见第100页“文件输入与输出”。 使用这个按钮在建筑物中设置Wi-Fi设备。 在RF PLAN中,可以是FQLN格式的名字。格式:name.floor.building.campus(FQLN格式的AP名称必须是唯一的)。你可以通过点击“AP FQLN Mapper”手工设置AP的FQLN。 Delete Building Export Import Locate AP FQLN Mapper 建筑物规格概要页面 建筑物规格概要页面默认的显示你正在添加一栋建筑物或者对建筑物修改的数值。 概要包括一下几点: 建筑物尺寸:建筑物的名称和尺寸。 AP模型参数。 AM模型参数。 “Building Dimension”按钮(在页面上右手部分)。点击这个按钮可以编辑建筑物的 尺寸大小。 当你创建或修改建筑物信息的时候,你可以通过RF PLAN页面导航的方法: 当你正在创建一个建筑物模型的时,在浏览器窗口左边上的导航条中显示了RF PLAN 如何进行保存。如果你正在编辑一栋建筑物,在页面上简单的按下你想要的显示或修改。 进入下一页的按钮就在页面上右手部分。你可以点击这个按钮显示下一页。举例来说, 建筑物尺寸按钮会在建筑物规格概要中显示。 在编辑页面点击“Apply”按顺序到下一页。例如,当你在建筑物尺寸页面点击“Apply”, 那么AP模型参数页面就会显示。 建筑物尺寸页面 建筑物尺寸页面允许你为建筑物制定名字和它们的尺寸。 键入下列信息: 参数 Campus Name Building Name 描述 在下拉菜单中为建筑物选择一个Campus 建筑物名称可以包含数字和字母,要个字节的长度 Width and Length 为建筑物键入外部尺寸。 给这个区域一个有效值,范围从1-10000。如果建筑物有不规则的外形,长度和宽度因该是这个建筑物的最大长度和宽度。例如:当长度和宽度被指定的时候,RF PLAN就创建一个矩形的全覆盖范围。 你需要输入一个适当的背景图像(见第91页“Floor Editor Dialog Box”)以帮助你确定哪些区域不需要部署AP和AM(见第93页“Area Editor Dialog Box”) Inter-Floor Height 这是的楼层之间的距离。给这个区域一个整数值,范围从1-10000之间。RF PLAN表示出在这个层高中允许AP连接附件楼层上的用户。如果你不想RF PLAN允许连接附件楼层,你可以选择一个高的层高值(例如:300)。 注意:这不是从地板到天花板的距离。一些建筑物有内部天花板和地板之间的空间。 输入这个建筑物的层数。可以输入任意一个整数,范围1-255。一个建筑物最大可以有255层。你也可以配置楼层的ID。负的楼层ID可以让你指定一层、地下室或者其他地下楼层不需要部署AP的区域。 注意:只有RF PLAN 2.0,MMS 2.0和ArubaOS 3.1或者以后的版本才支持负楼层ID概念。如果你的控制器运行的是ArubaOS 2.5或更早版本,或者你使用RF PLAN 1.0.x或者MMS 1.0.x,你就不能配置负楼层ID。当你修改一个现有的楼层的时候,你可以指定一个负整数。当你增加一个建筑或一个楼层的时候,你就不能配置一个负整数了。更多资料见第91页“Level”。 在页面上指定尺寸的度量单位。选择Feet和公尺。 Floors Unit AP 模型参数页面 AP模型参数允许你指定通过RF PLAN使用决定AP布置位置的必要信息。这些设置是在每个建筑物的基础之上的。如果你有一个混合AP,最好选择一个共同的建筑物定义。 在这一页上允许你选择控制或者控制以下功能,具体的细节描述在下面部分: 参数 描述 Radio Type AP Type Design Model Overlap Factor Users Rates APs 未完待续。。。。 选择这个下拉菜单指定Radio类型。见“Radio Type” 第四卷 配置无线加密和认证 第7章 配置角色和策略 每一个在Aruba移动edge系统中的客户端都是与用户角色相关联的,此系统限定客户端的网络权限,包括重新认证的周期以及最佳适合带宽。 注意事项: (1) AC上启用NAT需要启用AES (2) 因篇幅问题不能全部显示,请点此查看更多更全内容
Copyright © 2019- igat.cn 版权所有 赣ICP备2024042791号-1
违法及侵权请联系:TEL:199 1889 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务