ARUBA无线控制器的基本网络配置Word文档格式.docx
- 文档编号:14774938
- 上传时间:2022-10-24
- 格式:DOCX
- 页数:16
- 大小:265.55KB
ARUBA无线控制器的基本网络配置Word文档格式.docx
《ARUBA无线控制器的基本网络配置Word文档格式.docx》由会员分享,可在线阅读,更多相关《ARUBA无线控制器的基本网络配置Word文档格式.docx(16页珍藏版)》请在冰豆网上搜索。
你可以选择在控制器上为VLAN配置一个IP地址和子网掩码,当VLAN上最近的物理端口被激活的同时,该IP地址也被激活。
该VLANIP地址可以作为外部设备的一个接入点,指向虚拟局域网IP地址的数据包不是为控制器指定的而是根据控制器的IP路由表来转发的。
创建和更新VLANs:
创建和更新单个/多个VLANs
1.通过WEBUI来创建或者修改单个VLAN
1)打开
2)点击“ADD新建”按钮创建一个新的VLAN。
(若需要修改,点击Edit按钮)具体参照58页创建一系列的VLANs。
3)为VLAN增加一个物理端口,点击选项
4)点击
2.通过CLI(命令)创建或者修改VLAN
3.通过WEBUI来创建或者修改多个VLAN
1)一次性增加并联的VLANs,点击
2)在弹出的窗口,输入你想要创建的VLANs序列。
例如,增加一个ID为200-300和302-350的VLAN,输入200-300,302-350。
3)点击“OK”
4)为VLAN增加物理端点,点击“EDIT”进入你想要配置的VLAN页面,点击“PortSelection”选项设置端口。
5)点击“APPLY"
4.通过CLI(命令)创建或者修改VLANs
创建、更新和删除VLANs池:
创建、更新和删除VLANs池
1.通过WEBUI来创建单个VLAN:
以下的配置操作创建一个名为"
Mygroup"
的VLAN池,VLANIDs2,4和12将被分配到该池
2)选择“”选项打开窗口
3)点击“ADD"
4)在一栏输入你确定的VLAN池名称,名称大小在32字节(不允许空格)。
VLAN名称不能修改,请谨慎选择
5)在一栏输入你想要增加的VLANID。
如果你知道ID,输入IP,以逗号隔开;
或者点击下拉菜单中的<
---箭头选择需要增加的ID到VLAN池。
6)必须增加2个或2个以上的VLANIDs创建池
7)完成所有IDs的增加后,点击”ADD“选项:
VLAN池和指定的ID同时显示在VLAN池的窗口上。
如果VLAN池可用(必须指定2个或2个以上的ID),状态将显示可用;
如果只创建了一个VLAN池或者没有增加ID或只增加了1个ID,状态将显示为不可以。
8)点击
9)在窗口顶端,点击保存设置
2.更新VLAN池
1)在VLANPool窗口,点击“Modify”修改
2)修改VLANIDs的名称,不能修改VLAN名称
3)点击“UPDATE”修改
4)点击“APPLY”
5)在窗口顶端,点击保存设置
3.删除VLANPool
1)在VLANPool窗口,点击“Delete”删除选项,将弹出及时窗口
2)点击“OK”
3)点击“APPLY”
4)在窗口顶端,点击保存设置
4.运用CLI命令创建VLANPool:
只有2个或2个以上的VLANIDs才可以创建VLANPool
5.运用CLI命令查看已存在的VLANIDs
6.运用CLI命令为VLANPool增加现行的VLANIDs
为了确认VLANPool的状态和映射任务,可以运用“ShowVlanMapping”命令实现:
第二部分:
端口配置
快速以太网和千兆以太网端口都可以被设置为访问或者中继模式。
默认情况下,访问模式下的端口以及路径传输仅为指定的VLAN服务。
在中继模式下,一个端口可以为多个VLANs实现路径传输。
对于中继端口,不论该端口是否为控制器上的所有VLANs配置实现路径传输还是为了某个特定的VLANs实现路径传输。
你可以设别为该端口服务的本地VLAN。
中继端口一般运用802.1q标签为特定的VLANs标注框架。
但是,本地VLAN无标注标识。
信息分类为可信或不可信:
不仅需要考虑输入物理端点和隧道配置对无线信息的安全影响可能,还需要考虑与VLAN连接的端点和渠道的可信性。
1.有关可信/不可信的物理端点
默认情况下,控制器上的物理端点都是安全的并且都是连接到部网络上的。
不可信的端点一般是连接到第三方APs、公共网络或者其他访问控制可被轻易攻破的网络上的。
当确认一个物理端点为不可信的时候,所有需要通过该端口进行的信息传输都需要经过一个预先设定的访问控制程序。
2.有关可信/不可信的VLANs
你同样可以通过确认VLAN界面和端口/隧道来确认VLAN信息传输的安全性。
这表明,只有在连接到VLAN上的端口可信的情况下,无线信息输入端点才是安全的,否则则是不可信的。
当连接到VLANs的端口不可信时,所有输入或者输出的信息都需要经过预先设定的ACL程序。
例如,如果公司为访问者提供接入允许,那么访问者久必须通过预先设定的ACL程序进入受限界面。
这种情况下,这种设置是可行的。
你可以在中继模式下设置系列可信或者不可信的VLANs。
一下的图表5说明了端口和VLAN对信息安全影响的联系。
只有在端口和VLAN都安全的情况下,信息传输状态才是安全的。
如果信息传输不安全,那么所有的信息传输都必须通过预先设置的访问控制程序和无线条款。
图表5:
区分信息的安全性和不安全性
3.在访问模式下通过WEBUI来配置安全/不安全的端口和VLANs:
以下程序为:
配置一个不安全的以太网端口,指定VLANs并使其为不可信的,令需要为不可信的信息访问预先设置需要通过的访问程序。
1)打开:
窗口
2)在选项中选择需要配置的端口
3)在一栏,清楚安全的端口,使其配置为不可信的。
(默认端口都是安全的)
4)在一栏,选择“ACCESS"
5)在“VLANID”的下拉菜单中选择需要进过该端点传输的“VLANID”
6)在一栏中,清楚安全的ALAN,使其配置为不可信的。
(默认VLAN都是安全的)
7)在下拉菜单中,选择VLAN信息传输需要经过的程序,你可以为可信或者不可信的VLANs选择信息传输预订程序
8)从选项中,在下拉菜单中选择经该端口回传信息需要经过的预订程序
9)从下拉菜单外选择经该端口回传信息需要经过的预订程序
10)选择适用于该集点信息传输的端口和VLAN,从下拉菜单中为其选择预订程序
11)点击"
APPLY"
4.在访问模式下通过CLI命令来配置安全/不安全的端口和VLANs:
如:
5.在中继模式下通过WEBUI来配置安全/不安全的端口和VLANs:
配置一系列的以太网端口为不安全的本地中继端口,指定VLANs并使其为不可信的,令需要为不可信的信息访问预先设置需要通过的访问程序。
3)在一栏,选择中继“TRUNK"
4)为了区分本地VLAN,从“NativeVLAN”下拉菜单中点击<
---箭头
5)选择以下任意一种方式来控制通过端口的信息传输类型:
-----除了其中从下拉菜单选择的那个端口,其余的短信信息传输均需为VLANs服务
----所有从下拉菜单中选择的信息传输的端点都为VLANs服务
所有的端点信息传输都不为VLANs服务
6)为该端点指定不安全的VLANs,点击“TRUSTEDEXCEPT"
选项。
在一个相对安全的VLAN领域,输入一系列你指定的不安全的VLANs。
(例如,200-300,401-500等)只有在该清单中的VLANs才是不安全的,如需要指定某个VLAN为不安全的,仅需从下拉菜单中选择一个VLAN。
7)为该端点指定安全的VLANs,点击“UNTRUSTEDEXCEPT"
在一个相对不安全的VLAN领域,输入一系列你指定的安全的VLANs。
(例如,200-300,401-500等)只有在该清单中的VLANs才是安全的,如需要指定某个VLAN为安全的,仅需从下拉菜单中选择一个VLAN。
8)如需要移除某个VLAN,点击”REMOVEVLANs“选项,从下拉菜单中选择一个你想要移除的VLAN,点击向左的箭头从列表中移除即可。
9)为VLAN信息传输设定需要经过的预订程序,在“SESSIONFIREWALLPOLICY”下面,点击”NEW"
选项
10)输入VIANID或者从下拉菜单中选择,从policy下拉菜单中单击“add”选择增加,为VLAN信息传输选择需要预设的程序。
选择的VLAN和程序都会显示在SESSIONFIREWALLPOLICY界面
11)完成VLAN设置和程序设置,点击“CANCEL”
12)点击“APPLY"
6.在中继模式下通过CLI命令来配置安全/不安全的端口和VLANs:
第三部分:
有关VLAN协议
VLAN协议是将一个客户端分配一个虚拟局域网的几种方法之一,VLAN协议分配有一定的优先顺序。
VLANs协议的优先顺序如下:
(从低到高)
(一)默认的VLAN配置WLAN(详见11页的“virtualAPs"
)
(二)在客户端确认之前,VLAN可以根据客户端的属性规则(网路,模式,客户端,定位,加密类型)被派生出来。
根据客户端属性派生出来的具体技术规则比由VLAN配置的用户派生出来的规则享有优先权。
(三)在客户端被确认后,VLAN可以成为VLAN配置默认角色的身份验证方法,例如802.1x或者VPN。
(四)在客户端被确认后,VLAN可以由认证服务器的返回属性被派生出来(服务器派生规则)。
具体技术的VLAN派生规则优先于由VLAN配置的用户角色派生出来的规则。
(五)在客户端被确认后,VLAN可以从微软隧道属性派生出来(隧道类型、隧道介质类型和隧道专用ID).三种属性必须同时存在,不要求任何服务器派生规则。
(六)在客户端被确认之后,VLAN可以从供应商特性(VSA)中派生出来作RADIUS服务器属性。
不要求任何服务器派生规则。
如果VSA是现成的,他将优先于其他任何VLAN优先协议。
为VLAN指定一个静态地址
可以手工在控制器上为VLAN指定一个静态IP地址。
一个控制器上的VLAN至少需要指定一个静态IP地址。
用WEBUI为VLAN指定静态地址
1.在WEBUI页面打开,点击“EDIT”编辑。
2.选择”usethefollowingIPaddress"
选项,输入IP地址和网络掩码的接口。
如果需要,你还可以通过点击"
ADD"
为VLAN增加DHCP服务器的指定地址。
3.点击“APPLY"
用CLI命令为VLAN指定静态地址
为VLAN指定动态接收地址
控制器上的VLAN可以通过以下途径获得其IP地址:
1.由网络管理员手动配置:
这是一个默认的方式,在62页的对其有详细的描述。
一个控制器上的VLAN至少需要一个动态IP地址。
2.通过动态主机配置协议(DHCP)或者点对点的以太网服务协议(PPPOE)来指定动态IP。
具体方法在下面的章节中有详细说明。
在一个分办公室里,你可以将控制器连接到一个上行开关或者将一个动态IP地
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ARUBA 无线 控制器 基本 网络 配置