ARUBA无线控制器的基本网络配置.docx
- 文档编号:3785193
- 上传时间:2022-11-25
- 格式:DOCX
- 页数:16
- 大小:269.50KB
ARUBA无线控制器的基本网络配置.docx
《ARUBA无线控制器的基本网络配置.docx》由会员分享,可在线阅读,更多相关《ARUBA无线控制器的基本网络配置.docx(16页珍藏版)》请在冰豆网上搜索。
ARUBA无线控制器的基本网络配置
ARUBA无线控制器的基本网络配置
本章主要描述有关控制器的基本的网络配置,主要内容如下:
一、VLANs配置
二、配置端口
三、VLAN协议
四、配置静态路由
五、环回IP地址配置
六、控制器IP地址配置
七、GRE隧道配置
第一部分:
VLANs配置/虚拟局域网配置
2层交换机控制器的操作运用是以VLAN作为广播域,作为2层交换机,控制器要求需要外界的路径来实现与VLANs的路径连通。
该控制器还可以作为第三层交换机,可以定义VLAN之间的交通路线的控制器。
你可以在控制器上配置一个/多个物理端口实现一个虚拟局域网。
另外,每个无线客户端口关联是连接到一个特定的虚拟局域网的端口控制器上。
你可以根据你的网络需要替换所有经认证授权的无线用户到单个VLAN或者替换到不同的VLANs。
VLANs可以单独存在在控制器里面或者可以通过802.1qVLAN标签存在在控制器外部。
你可以选择在控制器上为VLAN配置一个IP地址和子网掩码,当VLAN上最近的物理端口被激活的同时,该IP地址也被激活。
该VLANIP地址可以作为外部设备的一个接入点,指向虚拟局域网IP地址的数据包不是为控制器指定的而是根据控制器的IP路由表来转发的。
创建和更新VLANs:
创建和更新单个/多个VLANs
1.通过WEBUI来创建或者修改单个VLAN
1)打开
2)点击“ADD新建”按钮创建一个新的VLAN。
(若需要修改,点击Edit按钮)具体参照58页创建一系列的VLANs。
3)为VLAN增加一个物理端口,点击
选项
4)点击
2.通过CLI(命令)创建或者修改VLAN
3.通过WEBUI来创建或者修改多个VLAN
1)一次性增加并联的VLANs,点击
2)在弹出的
窗口,输入你想要创建的VLANs序列。
例如,增加一个ID号码为200-300和302-350的VLAN,输入200-300,302-350。
3)点击“OK”
4)为VLAN增加物理端点,点击“EDIT”进入你想要配置的VLAN页面,点击“PortSelection”选项设置端口。
5)点击“APPLY"
4.通过CLI(命令)创建或者修改VLANs
创建、更新和删除VLANs池:
创建、更新和删除VLANs池
1.通过WEBUI来创建单个VLAN:
以下的配置操作创建一个名为"Mygroup"的VLAN池,VLANIDs2,4和12将被分配到该池
1)打开
2)选择“
”选项打开
窗口
3)点击“ADD"
4)在
一栏输入你确定的VLAN池名称,名称大小在32字节内(不允许空格)。
VLAN名称不能修改,请谨慎选择
5)在
一栏输入你想要增加的VLANID号码。
如果你知道ID,输入IP号码,以逗号隔开;或者点击下拉菜单中的<---箭头选择需要增加的ID到VLAN池。
6)必须增加2个或2个以上的VLANIDs创建池
7)完成所有IDs的增加后,点击”ADD“选项:
VLAN池和指定的ID同时显示在VLAN池的窗口上。
如果VLAN池可用(必须指定2个或2个以上的ID),状态将显示可用;如果只创建了一个VLAN池或者没有增加ID或只增加了1个ID,状态将显示为不可以。
8)点击
9)在窗口顶端,点击保存设置
2.更新VLAN池
1)在VLANPool窗口,点击“Modify”修改
2)修改VLANIDs的名称,不能修改VLAN名称
3)点击“UPDATE”修改
4)点击“APPLY”
5)在窗口顶端,点击保存设置
3.删除VLANPool
1)在VLANPool窗口,点击“Delete”删除选项,将弹出及时窗口
2)点击“OK”
3)点击“APPLY”
4)在窗口顶端,点击保存设置
4.运用CLI命令创建VLANPool:
只有2个或2个以上的VLANIDs才可以创建VLANPool
5.运用CLI命令查看已存在的VLANIDs
6.运用CLI命令为VLANPool增加现行的VLANIDs
为了确认VLANPool的状态和映射任务,可以运用“ShowVlanMapping”命令实现:
第二部分:
端口配置
快速以太网和千兆以太网端口都可以被设置为访问或者中继模式。
默认情况下,访问模式下的端口以及路径传输仅为指定的VLAN服务。
在中继模式下,一个端口可以为多个VLANs实现路径传输。
对于中继端口,不论该端口是否为控制器上的所有VLANs配置实现路径传输还是为了某个特定的VLANs实现路径传输。
你可以设别为该端口服务的本地VLAN。
中继端口一般运用802.1q标签为特定的VLANs标注框架。
但是,本地VLAN无标注标识。
信息分类为可信或不可信:
不仅需要考虑输入物理端点和隧道配置对无线信息的安全影响可能,还需要考虑与VLAN连接的端点和渠道的可信性。
1.有关可信/不可信的物理端点
默认情况下,控制器上的物理端点都是安全的并且都是连接到内部网络上的。
不可信的端点一般是连接到第三方APs、公共网络或者其他访问控制可被轻易攻破的网络上的。
当确认一个物理端点为不可信的时候,所有需要通过该端口进行的信息传输都需要经过一个预先设定的访问控制程序。
2.有关可信/不可信的VLANs
你同样可以通过确认VLAN界面和端口/隧道来确认VLAN信息传输的安全性。
这表明,只有在连接到VLAN上的端口可信的情况下,无线信息输入端点才是安全的,否则则是不可信的。
当连接到VLANs的端口不可信时,所有输入或者输出的信息都需要经过预先设定的ACL程序。
例如,如果公司为访问者提供接入允许,那么访问者久必须通过预先设定的ACL程序进入受限界面。
这种情况下,这种设置是可行的。
你可以在中继模式下设置系列可信或者不可信的VLANs。
一下的图表5说明了端口和VLAN对信息安全影响的联系。
只有在端口和VLAN都安全的情况下,信息传输状态才是安全的。
如果信息传输不安全,那么所有的信息传输都必须通过预先设置的访问控制程序和无线条款。
图表5:
区分信息的安全性和不安全性
3.在访问模式下通过WEBUI来配置安全/不安全的端口和VLANs:
以下程序为:
配置一个不安全的以太网端口,指定VLANs并使其为不可信的,令需要为不可信的信息访问预先设置需要通过的访问程序。
1)打开:
窗口
2)在
选项中选择需要配置的端口
3)在
一栏,清楚安全的端口,使其配置为不可信的。
(默认端口都是安全的)
4)在
一栏,选择“ACCESS"
5)在“VLANID”的下拉菜单中选择需要进过该端点传输的“VLANID”
6)在
一栏中,清楚安全的ALAN,使其配置为不可信的。
(默认VLAN都是安全的)
7)在
下拉菜单中,选择VLAN信息传输需要经过的程序,你可以为可信或者不可信的VLANs选择信息传输预订程序
8)从
选项中,在下拉菜单中选择经该端口回传信息需要经过的预订程序
9)从下拉菜单外选择经该端口回传信息需要经过的预订程序
10)选择适用于该集点信息传输的端口和VLAN,从下拉菜单中为其选择预订程序
11)点击"APPLY"
4.在访问模式下通过CLI命令来配置安全/不安全的端口和VLANs:
如:
5.在中继模式下通过WEBUI来配置安全/不安全的端口和VLANs:
以下程序为:
配置一系列的以太网端口为不安全的本地中继端口,指定VLANs并使其为不可信的,令需要为不可信的信息访问预先设置需要通过的访问程序。
1)打开:
窗口
2)在
选项中选择需要配置的端口
3)在
一栏,选择中继“TRUNK"
4)为了区分本地VLAN,从“NativeVLAN”下拉菜单中点击<---箭头
5)选择以下任意一种方式来控制通过端口的信息传输类型:
-----除了其中从下拉菜单选择的那个端口,其余的短信信息传输均需为VLANs服务
----所有从下拉菜单中选择的信息传输的端点都为VLANs服务
所有的端点信息传输都不为VLANs服务
6)为该端点指定不安全的VLANs,点击“TRUSTEDEXCEPT"选项。
在一个相对安全的VLAN领域,输入一系列你指定的不安全的VLANs。
(例如,200-300,401-500等)只有在该清单中的VLANs才是不安全的,如需要指定某个VLAN为不安全的,仅需从下拉菜单中选择一个VLAN。
7)为该端点指定安全的VLANs,点击“UNTRUSTEDEXCEPT"选项。
在一个相对不安全的VLAN领域,输入一系列你指定的安全的VLANs。
(例如,200-300,401-500等)只有在该清单中的VLANs才是安全的,如需要指定某个VLAN为安全的,仅需从下拉菜单中选择一个VLAN。
8)如需要移除某个VLAN,点击”REMOVEVLANs“选项,从下拉菜单中选择一个你想要移除的VLAN,点击向左的箭头从列表中移除即可。
9)为VLAN信息传输设定需要经过的预订程序,在“SESSIONFIREWALLPOLICY”下面,点击”NEW"选项
10)输入VIANID或者从下拉菜单中选择,从policy下拉菜单中单击“add”选择增加,为VLAN信息传输选择需要预设的程序。
选择的VLAN和程序都会显示在SESSIONFIREWALLPOLICY界面
11)完成VLAN设置和程序设置,点击“CANCEL”
12)点击“APPLY"
6.在中继模式下通过CLI命令来配置安全/不安全的端口和VLANs:
第三部分:
有关VLAN协议
VLAN协议是将一个客户端分配一个虚拟局域网的几种方法之一,VLAN协议分配有一定的优先顺序。
VLANs协议的优先顺序如下:
(从低到高)
(一)默认的VLAN配置WLAN(详见11页的“virtualAPs")
(二)在客户端确认之前,VLAN可以根据客户端的属性规则(网路,模式,客户端,定位,加密类型)被派生出来。
根据客户端属性派生出来的具体技术规则比由VLAN配置的用户派生出来的规则享有优先权。
(三)在客户端被确认后,VLAN可以成为VLAN配置默认角色的身份验证方法,例如802.1x或者VPN。
(四)在客户端被确认后,VLAN可以由认证服务器的返回属性被派生出来(服务器派生规则)。
具体技术的VLAN派生规则优先于由VLAN配置的用户角色派生出来的规则。
(五)在客户端被确认后,VLAN可以从微软隧道属性派生出来(隧道类型、隧道介质类型和隧道专用ID).三种属性必须同时存在,不要求任何服务器派生规则。
(六)在客户端被确认之后,VLAN可以从供应商特性(VSA)中派生出来作RADIUS服务器属性。
不要求任何服务器派生规则。
如果VSA是现成的,他将优先于其他任何VLAN优先协议。
为VLAN指定一个静态地址
可以手工在控制器上为VLAN指定一个静态IP地址。
一个控制器上的VLAN至少需要指定一个静态IP地址。
用WEBUI为VLAN指定静态地址
1.在WEBUI页面打开
,点击“EDIT”编辑。
2.选择”usethefollowingIPaddress"选项,输入IP地址和网络掩码的接口。
如果需要,你还可以通过点击"ADD"为VLAN增加DHCP服务器的指定地址。
3.点击“APPLY"
用CLI命令为VLAN指定静态地址
为VLAN指定动态接收地址
控制器上的VLAN可以通过以下途径获得其IP地址:
1.由网络管理员手动配置:
这是一个默认的方式,在62页的
对其有详细的描述。
一个控制器上的VLAN至少需要一个动态IP地址。
2.通过动态主机配置协议(DHCP)或者点对点的以太网服务协议(PPPOE)来指定动态IP。
具体方法在下面的章节中有详细说明。
在一个分办公室里,你可以将控制器连接到一个上行开关或者将一个动态IP地址指定到控制器设备上。
例如,控制器可以被连接到DSL(数字用户线)、调制解调器上或者远程宽带接入服务器(BRAS)上,"Figure2"图表将显示一个控制器连接到调制解调器上的分办公室。
VLAN1拥有一个静态IP地址,同时VLAN2通过上行设备上的DHCP或者PPPOE协议拥有一个动态IP地址。
控制器上的DHCP服务器在本地网络中的IP地址指定池中为用户指定IP地址。
为了使得控制器能为VLAN获得一个动态IP地址,必须确保DHCP或者PPPOE客户端在VLAN控制器上。
以下是在确保DHCP和PPPOE连接到控制器上面的限制条件:
1.必须确保DHCP/PPPOE客户端存在控制器上的一个VLAN上。
这个VLAN不能是VLAN1.
2.只有一个VLAN端口可以被连接到调制解调器或者上行开关上。
3.至少有一个在VLAN上的端口必须在DHCP/PPPOE客户端从服务器上请求IP地址之前是上升状态。
4.只有一个在控制器上的VLAN可以通过DHCP/PPPOE来获取IP地址,DHCP和PPPOE不能同时存在在控制器上。
确保DHCP客户端
DHCP服务器为某个特定时间段分配IP地址称为“租赁”。
控制器会在租赁到期之前自动更新。
当你关闭VLAN时,DHCP租赁将自动免除。
用WEBUI来确认VLAN上的DHCP协议
1.打开
2.点击“EDIT"编辑之前创建的VLAN
3.选择
4.点击“APPLY"
用CLI命令来确认VLAN上的DHCP协议
确保PPPOE客户端
验证BRAS(远程宽带接入服务器),请求动态IP,控制器必须完成如下操作:
1.PPPOE用户名和密码必须连接到DSL网络上
2.PPPOE服务名称---ISP(互联网服务供应商)名称或者PPPOE服务器上配置的服务等级协议名称都可用
当关闭VLAN时,PPPOE也将被关闭。
用WEBUI来确认VLAN上的PPPOE协议
1.打开
页面
2.点击”EDIT“编辑之前创建的VLAN
3.选择
4.为PPPOE会议输入服务器名称、用户名和密码
5.点击”APPLY"
用CLI命令来确认VLAN上的PPPOE协议
DHCP/PPPOE上的默认网关地址
你可以从DHCP/PPPOE服务器上获得路由器IP地址作为控制器默认网关地址。
运用WEBUI通过DHCP/PPPOE设置默认网关地址
1.打开
页面
2.选择
3.点击“APPLY”
运用CLI命令通过DHCP/PPPOE设置默认网关地址
DHCP/PPPOE上的DNS(域名服务器)/WINS(WindowsInternet命名服务)
DHCP/PPPOE服务器同样可以提供DNS服务器或者NETBIOS服务器IP地址。
该IP地址可以通过控制器内部DHCP(动态主机配置协议)服务器传递到无线用户处。
例如:
下面我们为一个员工在控制器的DHCP服务器上配置分配地址,这个通过控制器从DNS服务器上获得的IP地址将经过DHCP/PPPOE将自己的IP地址一起提供给用户。
通过WEBUI来配置DNS/WINS服务器
1.打开页面
2.选择
3.在指定池下选择“ADD"
4.为pool设置名称为“employee-pool”
5.设置10.1.1.254为默认路径
6.选择
设置DNS服务器
7.选择
设置WINS服务器
8.设置10.1.1.0为IP地址,设置255.255.255.0为子网掩码
9.点击”Done“完成
通过CLI命令来配置DNS/WINS服务器
源NAT(网络地址转换)为动态VLAN地址
当VLAN接口通过DHCP/PPPOE获得IP地址时,NATpool和ACL回话将根据动态指定的IP地址自动创建。
他将允许你设置政策,将指引你为DHCP/PPPOE用户设置个人/公共地址。
当VLAN上的IP地址更改时,动态NAT池里面的地址将随之更改以适应新的地址。
例如,以下的规则介绍的就是用户访问政策不能通往内部网络地址时,通往其他目的地(外部的目的地)的用户访问政策就是控制器上的DHCP/PPPOE客户端IP地址的网络地址转换源。
运用WEBUI为动态VLAN指定网络地址转换源(SourceNAT)
1.打开
页面,点击”ADD“增加”Guest"用户访问
2.增加规则,点击”ADD“:
a.确认源,选择"ANY”
b.确认目的地,选择“NETWORK"输入10.1.0.0作为管理员IP地址,输入255.255.0.0作为子网掩码
c.确认服务,选择”ANY“
d.确认作用,选择”REJECT"
e.点击“ADD"
3.增加新的规则,点击"ADD"
a.离开源、目的地和服务器,选择”ANY“
b.确认作用,选择”SCR-NAT"
c.确认NATPOOL,选择
d.点击“ADD"
4.点击"ADD”
运用CLI命令为动态VLAN指定网络地址转换源(SourceNAT)
为VLAN接口指定NAT源
上一章节里面介绍的配置案例说明了用policy配置网络地址转换源适用于客户角色。
你也可以为VLAN接口确认网络地址转换源,为所有退出VLAN的流量造成源地址中的NAT被完成。
退出VLAN数据包是由外部端口的源IP地址决定的,具体操作如下:
(1)如果您为VLAN配置了个人IP地址,控制器就被认为是默认网关控制器子网。
退出该VLAN的数据包,就为其源IP地址配置了控制器的IP地址。
(2)如果控制器在第3层转发包,退出该VLAN的数据包,就为其源IP地址配置了next-hopVLAN的IP地址。
配置示例
在下面的例子中,控制器在企业内部网络工作。
VLAN1是外部VLAN。
VLAN6上的流量是使用控制器的IP地址的源NAT。
在这个例子中,IP分配给VLAN1的地址被用作控制器的IP地址,因此,从VLAN6上的流量将经过源NAT到66.1.131.5。
图3的例子:
使用控制器IP地址的源NAT
私有IP地址:
192.168.2.1/24公共IP地址:
66.1.131.5/24
内
外
使用WebUI为VLAN接口配置源NAT:
1打开“导航>网络>VLAN”的配置页面。
单击“添加“配置VLAN6(VLAN1为初始设置的配置)。
a.输入的6为VLAN的ID地址。
b.点击“Apply”按钮。
2打开:
导航到“配置>网络>IP>IP接口”页面。
3为VLAN6点击“编辑”:
a.选择“使用下面的IP地址”。
b.输入网络掩码的IP地址为192.168.2.1和255.255.255.0。
c.选择该VLAN复选框“启用源NAT”。
4点击“Apply”按钮。
使用CLI命令为VLAN接口配置源NAT
interfacevlan1
ipaddress66.1.131.5255.255.255.0
interfacevlan6
ipaddress192.168.2.1255.255.255.0
ipnatinside
ipdefault-gateway66.1.131.1
用CLI命令配置VLAN路由
interfacevlan
ipaddress{
noiprouting
四配置静态路由
控制器上配置静态路由(如默认路由),做到以下几点:
使用WebUI配置静态路由
1NavigatetotheConfiguration>Network>IP>IPRoutespage.
2单击“Add”添加一个静态路由到目标网络或主机。
输入目的IP地址和 网络掩码(255.255.255.255)主机路由的下一跳IP地址
3单击“完成添加条目Donetoaddtheentry。
注意路由还未被被添加到路由表。
4点击Apply“添加路由到路由表。
消息配置更新成功, 确认路线已被添加。
使用CLI配置静态路由
iproute
五配置环回IP地址
这个LoopbackIP地址是一个逻辑控制器的IP接口,用于与接入点通信。
控制器的IP地址为回环地址被用作终止VPN和GRE隧道。
RADIUS服务器发起请求,并接受行政通信。
您配置作为一个32位掩码的主机地址的Loopback地址。
回送地址是不受任何 特定的接口,在任何时候都运作。
使用这个接口,确保IP地址是通过VLAN接口访问。
它应该是所有外部网络的路。
如果你不使用的VLAN1连接到网络控制器,您必须配置一个loopback地址。
如果没有配置loopback接口的地址,那么首先配置VLAN接口地址。
一般情况下,VLAN1是出厂默认设置,从而成为控制器的IP地址
使用WebUI配置环回IP地址
1导航到配置>网络>控制器>系统设置页面,并找到Loopback接口部分。
Configuration>Network>Controller>SystemSettingspage
2根据需要修改IP地址。
3点击Apply按钮。
如果您使用的是回传的IP地址来访问WebUI中,改变环回IP地址,将导致连接受损。
Aruba建议您使用一个VLAN接口的IP地址访问WebUI。
4导航到维修>控制器>重新启动控制器页面,NavigatetotheMaintenance>Controller>RebootControllerpage重新启动控制器查看IP地址的变化。
5单击“继续Continue”保存配置
6当提示,改变被成功写入到闪存,单击“确定clickOK
7控制器启动并改变了环回IP地址
使用CLI配置环回IP地址
interfaceloopbackipaddress
writememory
UsingtheCLItorebootthecontroller
EnterthefollowingcommandinEnablemode:
reload
ConfiguringtheControllerIPAddress
TheControllerIPaddressisusedbythecontrollertocommunicatewithexternaldevicessuchasAPs.
六配置控制器的IP地址
控制器的IP地址是用来沟通与外部设备,如接入控制器。
你可以设置控制器的IP地址,loopback接口的地址,或以现有的VLANID的地址。
这允许你强制控制器的IP地址是一个特定的VLAN接口或环回地址
七配置GRE隧道
控制器支持控制器和AP之间的通用路由封装(GRE)隧道。
一个AP打开一个GRE隧道的每个无线电接口控制器。
在AP上,GRE隧道的另一端是指定配置的IP地址的变量值(优先顺序降序)
如果这些变量都留给默认值,AP使用DNS来查找发现 ARUBA主控制器的IP地址。
该控制器还支持GRE隧道之间的控制器和其他GRE设备的能力.
这节介绍了如何配置GRE隧道等设备,以及如何。
直接进入隧道的交通。
控制器使用主站和本地控制器之间的通信,这些GRE隧道自动创建,不受本节中所述的配置。
NOTE
创建隧道
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ARUBA 无线 控制器 基本 网络 配置