Aruba3400无线控制器配置手册

1、Aruba3400无线控制器配置手册Aruba3400无线控制器配置手册1.初始化配置1.1.无线控制器初始化配置Enter System name Aruba3400:Enter VLAN 1 interface IP address 54:Enter VLAN 1 interface subnet mask :Enter IP Default gateway none:Enter Switch Role, (master|local) master: 控制器角色Enter Country code (ISO-3166), You have ch

2、osen Country code CN for China (yes|no)?: yes可用RF channel及功率参数Enter Time Zone PST-8:0: UTC8:0时区系统（UTC、PST等）及所在时区Enter Time in UTC 06:07:59: 6:11:30所选时区系统的标准时间而不是本地时间，Enter Date (MM/DD/YYYY) 8/14/2011: 否则控制器的时钟可能就不对了。Enter Password for admin login (up to 32 chars): *Re-type Password for admin login:

3、*Enter Password for enable mode (up to 15 chars): *Re-type Password for enable mode: *Do you wish to shutdown all the ports (yes|no)? no:Current choices are:System name:VLAN 1 interface IP address: 54VLAN 1 interface subnet mask: IP Default gateway: noneSwitch Role: masterCoun

4、try code: cnTime Zone: UTC8:0Ports shutdown: noIf you accept the changes the switch will restart!Type Do you wish to accept the changes (yes|no)yesCreating configuration. Done.System will now restart!Shutdown processing started1.2.恢复出厂设置无线控制器注意以下两条command的区别：(Aruba3400) #write eraseAll the configura

5、tion will be deleted. Press y to proceed :Write Erase successful(Aruba3400) #(Aruba3400) #write erase allSwitch will be factory defaulted. All the configuration and databases will be deleted. Press y to proceed :(Aruba3400) #(Aruba3400) #(Aruba3400) #reloadDo you really want to reset the system(y/n)

6、: ySystem will now restart!write erase重置为出厂状态。1.3.恢复出厂设置Aruba AP连接AP console口至串行通讯终端（9600bits/s, 8-N-1)。加电启动AP。APBoot 2 (build 22797)Built: 2009-11-04 at 15:53:54Model: AP-10xCPU: AR7161 revision: A2Clock: 680 MHz, DDR clock: 340 MHz, Bus clock: 170 MHzDRAM: 128 MBPOST1: passedCopy: doneFlash

7、: 16 MBPCI: scanning bus 0 .dev fn venID devID class rev MBAR0 MBAR1 MBAR2 MBAR300 00 168c 0029 00002 01 10000000 00000000 00000000 0000000001 00 168c 0029 00002 01 10010000 00000000 00000000 00000000Net: eth0Radio: ar922x#0, ar922x#1Hit apbootapboot purgeenv 清除配置Un-Protected 1 sectors.doneErased 1

8、sectorsWritingapboot save 保存环境Saving Environment to Flash.Un-Protected 1 sectors.doneErased 1 sectorsWritingapboot boot 启动APChecking image 0xbf1000002.基本网络参数配置及维护2.1.基本网络参数配置配置Vlan(Aruba800) (config) #vlan 200(Aruba800) (config) #interface fastethernet 1/0接入模式：(Aruba800) (config-if)#switchport acces

9、s vlan 200(Aruba800) (config-if)#switchport mode access中继模式：(Aruba800) (config-if)#switchport trunk allowed vlan all(Aruba800) (config-if)#switchport mode trunk(Aruba800) (config-if)#show vlanVLAN CONFIGURATION-VLAN Name Ports- - -1 Default FE1/1-7100 VLAN0100 GE1/8200 VLAN0200 FE1/0?配置IP address(Ar

10、uba800) (config) #interface vlan 200(Aruba800) (config-subif)#ip address 54 (vlan interface) (Aruba800) (config-subif)#ip helper-address (DHCP relay)?配置IP route配置缺省路由: (Aruba800) (config) #ip default-gateway 配置静态路由：(Aruba800) (config) #ip route 10.10.1

11、0.0 (Aruba800) (config) #show ip routeCodes: C - connected, O - OSPF, R - RIP, S - staticM - mgmt, U - route usable, * - candidate defaultGateway of last resort is to network S* /0 1/0 via *S /24 1/0 via *C

12、is directly connected, VLAN1C is directly connected, VLAN100C is directly connected, VLAN200?配置dhcp server(Aruba800) (config) #ip dhcp pool user_pool(Aruba800) (config-dhcp)#default-router 54(Aruba800) (config-dhcp)#dns-server (Aruba800) (config-dhcp)#

13、network (Aruba800) (config-dhcp)#exit(Aruba800) (config) #service dhcpDHCP Pool2.2.控制器基本维护操作显示当点版本信息：(Aruba3400) #show image version-Partition : 0:0 (/dev/hda1) *Default boot*Software Version : ArubaOS (Digitally Signed - Production Build)Build number : 27734Label : 2

14、7734Built on : Tue Apr 5 13:28:58 PDT 2011-Partition : 0:1 (/dev/hda2)Software Version : ArubaOS -beta (Digitally Signed - Production Build)Build number : 27482Label : 27482Built on : Thu Mar 17 14:42:54 PDT 2011升级ArubaOS:(Aruba3400) #copy ftp: 50 系统*Default boot*手工选择启动升级支持导出配置：(Aru

15、ba3400) #copy running-config tftp: 50 config.txt拷贝文件到flash(Aruba3400) #copy tftp: 50 ArubaOS_MMC__28106 flash: ArubaOS_MMC__28106查看flash文件(Aruba3400) #dir查看当前启动的AP：(Aruba3400) #show ap activeActive AP Table-Name Group IP Address 11g Clients 11g Ch/EIRP/MaxEIRP 11a C

16、lients 11a Ch/EIRP/MaxEIRP AP Type Flags Uptime Outer IP- - - - - - - - - - -test1 wpa-test 53 0 AP:HT:11/20/20 0 AP:HT:157+/24/24 105 1m:35s N/AFlags: R = Remote AP; P = PPPOE; E = Wired AP enabled; A = Enet1 in active/standby mode;L = Client Balancing Enabled; D = Disconn. Extra Calls On

17、; B = Battery Boost On;X = Maintenance Mode; d = Drop Mcast/Bcast On; N = 802.11b protection disabled;a = Reduce ARP packets in the air; M = Mesh; C = Cellular; K = 802.11K Enabled;Channel followed by * indicates channel selected due to unsupported configured channel.Num APs:1为控制器添加license：(Aruba340

18、0) #license add 1QLnRP6A-A5kZYcGC-joJpzV0P-phdK5I2G-WBn7GuJ4-+2YLimits updated.Updated temporary key 1QLnRP6A-A5kZYcGC-joJpzV0P-phdK5I2G-WBn7GuJ4-+2Y with new temporary keyPlease reload the switch to enable the new functionality.(Aruba3400) #reload查看控制器上的license：(Aruba3400) #show licenseLicense Tabl

19、e-Key Installed Expires Flags Service Type- - - - -KbjRcKsa-E+uA8Yj4-kyffHCVy-3+qt7HJh-lzPkGuzV-4Rc 2011-08-12 2011-09-11 E Access Points: 6409:42:341 09:42:341QLnRP6A-A5kZYcGC-joJpzV0P-phdK5I2G-WBn7GuJ4-+2Y 2011-08-12 2011-09-11 E Wireless Intrusion Protection Module: 6409:42:351 09:42:35iHgYK7XV-x

20、ErAdTe+-S2DlM2KF-FBQwKYWh-g8vHDlSF-76g 2011-08-12 2011-09-11 E Next Generation Policy Enforcement Firewall Module: 204809:42:351 09:42:35License Entries: 3Flags: A - auto-generated; E - enabled; R - reboot required to activate(Aruba3400) #2.3.管理员帐号管理Management Administration Add 输入用户名、密码和权限角色名称说明roo

21、t 该角色允许管理控制器的所有功能read-only 该角色只允许命令行界面的show命令和查看web管理界面的Monitoring页面。不允许用户进行拷贝文件、重启交换机等操作guest-provisioning 该角色允许只允许用户在控制器内部数据库中配置guest用户location-api-mgmt 该角色允许用户接入定位应用程序接口。不允许用户登录命令行界面，也不允许用户进行拷贝文件、重启交换机等操作network-operations 该角色允许用户查看web管理界面的Monitoring, Reports, and Events这些对于监视控制器很有用的页面，该角色不允许用户登录

22、命令行控制界面3.理解Aruba WLAN配置结构框架Aruba无线控制器通过AP Group来构建无线网络配置参数模版。并通过将多个AP加入某个AP Group来将这些配置参数同步到每个AP。3.1.基本WLAN服务配置Profile关系图：SSID profile:配置用户可见的ESSID，及其加密方式，如open、wep、wpa-tkip、wpa2-aes，以及使用pre-share key静态密钥还是802.1x。AAA profile:配置用户认证方式（mac、802.1x、captive-portal、VPN)，关联相应AAA认证服务器（Radius、TACACS+、LDAP及In

23、ternal DB）。Virtual-AP profile:关联上述SSID profile和AAA profile以构成一组WLAN服务模版，并为其分配vlan。3.2.基于角色的用户策略管理ARUBA控制器中的每一个用户都会被分配一个角色（Role)。如果控制器添加了PEF License，可以通过用户角色（Role）控制每个用户的网络访问权限及带宽策略?每一个role都必须与一个或多个防火墙策略绑定?防火墙策略按次序执行?最后一个隐含的缺省策略是“deny all”?可以设定role的带宽限制和会话数限制用户角色（Role）的分配可以通过多种方式实现?基于接入认证方式的缺省角色(i.e.

24、 802.1x, VPN, WEP, etc.)?由认证服务器导出的用户角色(i.e. RADIUS/LDAP属性)?本地导出规则ESSIDMACEncryption type Etc.4.配置范例4.1.建立WPA2-PSK服务步骤1 建立AP Group，命名为test-group，如之前已建立则无需建立ConfigurationAP ConfigurationAP Group输入名字点Add步骤2将AP加入到AP Group中选中AP，点击“Provision”选择要加入的组点击“Apply and Reboot”步骤3 新建一个Virtual AP，命名为test-vap-wpa2Co

25、nfigurationAP ConfigurationAP GroupEditVirtual APNEW添入名字点Add步骤4 将Virtual AP加入到Vlan 1ConfigurationAP ConfigurationAP Grouptest-vap-wpa2步骤5 关联一个AAA ProfileConfigurationSecurityAuthenticationAAA Profiles下拉框选中default-dot1x-pskApply确认步骤6 新建一个SSID Profile点击左边栏中对应的Virtual AP名称SSID ProfileNEW命名为test-ssid-wp

26、a2Apply确认, 输入SSID Profile名称test-ssid-wpa2，输入SSID名称test-ssid-wpa2点选认证方式为WPA2-PSK，并填写密码，点击“Apply”，配置完成步骤7 验证以上两种认证方式打开windows无线管理，选择test-ssid-wep或test-ssid-wpa2输入密码成功连接4.2.建立Portal认证步骤1 新建一个AP group，命名为test-group ConfigurationAP ConfigurationAP Group输入名字点Add步骤2将AP加入到AP Group中选中AP，点击“Provision”选择要加入的组点

27、击“Apply and Reboot”步骤3 新建一个Virtual AP，命名为test-vap-web ConfigurationAP ConfigurationAP Group 找到步骤1中创建的组点Edit点击APPLY确认添加步骤4 将Virtual AP加入到Vlan 1 ConfigrationAP ConfigurationAP Grouptest-vap-web步骤5 新建一个SSID Profile点击左边栏中对应的Virtual AP名称SSID ProfileNEW命名为test-ssid-webApply确认步骤6 新建一个AAA ProfileConfigurati

28、onSecurityAuthenticationAAA ProfilesAdd命名为test-aaa-webApply确认步骤7 在Initial DB中新建一个用户Security Authentication ServersInitial DBADD，输入用户名密码步骤8 新建一个Portal Profile,命名为test-portal,urationSecurity Authentication L3 AuthenticationCapture Portal Authentication Profile输入名字点Add步骤9 将上面建立好的Portal Profile关联到logon这

29、个Role中ConfigurationAccess ContralCapture Portal Profile选test-portal点changeApply确认步骤10 将AAA Profile关联到AP Group中ConfigurationAP ConfigurationAP GroupEditAAA Profile 选test-aaa-webApply确认步骤11 在认证界面中输入用户名密码进行登录步骤12 如果要更改WEB认证界面，则进行如下操作方法一：使用Aruba控制器中内置的网页界面MaintenanceCaptive Portal Customize Login Page，选

30、择所要更改的Profile和界面，该界面可以进行部分自定义方法二：使用客户自己定制的页面MaintenanceCaptive Portal Upload Custom Login Page，将自己定制的页面导入到指定的使用web portal认证的ssid4.3.建立802.1X认证步骤1 建立AP Group，命名为test-group，如之前已建立则无需建立ConfigurationAP ConfigurationAP Group输入名字点Add选择需要修改登陆界面的SSID选择定制的页面选择“Captive portal login”恢复到默认界面步骤2将AP加入到AP Group中选中

31、AP，点击“Provision”选择要加入的组点击“Apply and Reboot”步骤3 新建一个Virtual AP，命名为test-vap-1xConfigurationAP ConfigurationAP GroupEditVirtual APNEW添入名字点Add步骤4 将Virtual AP加入到Vlan 1ConfigurationAP ConfigurationAP Grouptest-vap-1x步骤5 新建一个SSID Profile点击左边栏中对应的Virtual AP名称SSID ProfileNEW命名为test-ssid-1xApply确认, 输入SSID Pro

32、file名称test-ssid-1x，输入SSID名称test-ssid-1x，802.11 Security选WPA2步骤6 新建一个L2 Authentication AAA Profile，命名为test-L2a-1x点击Security Authentication L2 Authentication，输入名称点Add点击该Profile，勾选Termination，Apply确认步骤7 在Internal DB中新建一个用户点击Security Authentication Servers Internal DBADD User新建一个用户步骤8 新建一个AAA ProfileCon

33、figurationSecurityAuthenticationAAA ProfilesAdd命名为test-aaa-1xApply确认步骤9 将各Profiles关联起来点击左边该Profile关联之前创建的802.1X Authentication Profile点击802.1X Authentication Server Group，关联Internal点击Configuration AP Group Edit test-group AAA Profile,关联之前创建的AAA Profile 步骤10 验证802.1X认证方式将终端网卡的配置成802.1X认证方式，然后搜索该AP输入用

34、户名密码连接成功4.4.同一SSID中为不同用户配置不同的权限步骤1 在Internal DB中添加用户点击ADD User建立两个用户用户名test1 密码123456 登入后Role为authenticated用户名test2 密码123456 登入后Role为guest步骤2 测试使用WEB认证分别用两个账户登录使用test1登入后，用户得到的Role为authenticated使用test2登入后，用户得到的Role为guest4.5.设置用户期限步骤1 在Internal DB中新建一个账户Security Authentication Servers Internal DB ADD User输入用户名、密码、用户角色和过期时间，Apply保存步骤2 连接该SSID刚连入后用户角色为logon步骤3 打开IE使用刚创建的用户登录登录后用户角色为authenticated到达设定的过期时间后，该用户角色又变为logon步骤7 继续使用之前的用户登录，提示认证失败，该用户在Internal