下载文档原格式
Aruba基本配置指导手册Aruba无线网络基本配置一、无线方案设计 (2)1.1.无线网络拓扑图及组网设计........................................................... 错误!未定义书签。
1.1.1工程实施网络拓扑图............................................................ 错误!未定义书签。
1.1.2无线网络设计描述................................................................ 错误!未定义书签。
1.2无线网络设备的部署设计............................................................... 错误!未定义书签。
1.2.1无线控制器的部署................................................................ 错误!未定义书签。
1.2.2无线接入点AP的部署......................................................... 错误!未定义书签。
1.3网络VLAN 和IP地址规划 ........................................................... 错误!未定义书签。
1.3.1无线控制器VLAN 和IP地址规划 .................................... 错误!未定义书签。
1.3.2无线接入点AP的IP地址及VLAN规划 .......................... 错误!未定义书签。
1.3.3无线用户VLAN及IP地址规划 ......................................... 错误!未定义书签。
ARUBA无线控制器的基本网络配置本章主要描述有关控制器的基本的网络配置,主要内容如下:一、VLANs 配置二、配置端口三、VLAN 协议四、配置静态路由五、环回IP地址配置六、控制器IP地址配置七、GRE隧道配置第一部分:VLANs配置/虚拟局域网配置2层交换机控制器的操作运用是以VLAN作为广播域,作为2层交换机,控制器要求需要外界的路径来实现与VLANs的路径连通。
该控制器还可以作为第三层交换机,可以定义VLAN 之间的交通路线的控制器。
你可以在控制器上配置一个/多个物理端口实现一个虚拟局域网。
另外,每个无线客户端口关联是连接到一个特定的虚拟局域网的端口控制器上。
你可以根据你的网络需要替换所有经认证授权的无线用户到单个VLAN或者替换到不同的VLANs。
VLANs可以单独存在在控制器里面或者可以通过802.1q VLAN标签存在在控制器外部。
你可以选择在控制器上为VLAN配置一个IP地址和子网掩码,当VLAN上最近的物理端口被激活的同时,该IP地址也被激活。
该VLAN IP地址可以作为外部设备的一个接入点,指向虚拟局域网IP地址的数据包不是为控制器指定的而是根据控制器的IP路由表来转发的。
创建和更新VLANs:创建和更新单个/多个VLANs1. 通过WEBUI 来创建或者修改单个VLAN1)打开2)点击“ADD新建”按钮创建一个新的VLAN。
(若需要修改,点击Edit按钮)具体参照58页创建一系列的VLANs。
3)为VLAN增加一个物理端口,点击选项4)点击2. 通过CLI(命令)创建或者修改VLAN3.通过WEBUI 来创建或者修改多个VLAN1)一次性增加并联的VLANs,点击2)在弹出的窗口,输入你想要创建的VLANs 序列。
例如,增加一个ID号码为200-300和302-350的VLAN,输入200-300,302-350。
3)点击“OK”4)为VLAN增加物理端点,点击“EDIT”进入你想要配置的VLAN页面,点击“PortSelection”选项设置端口。
苏宁电器Aruba无线操纵器用户配置手册Version苏宁电器Aruba无线操纵器用户配置手册一、连接Aruba无线操纵器1.将console线RJ45一端连接至无线操纵器的SERIAL端口,另一端连接至电脑COM 口(笔记本没有COM口的能够利用USB-COM线)。
2.打开相应的配置终端软件(能够利用Secure-CRT或利用系统自带的超级终端软件,建议利用Secure-CRT这款第三方终端软件)3.配置终端软件的参数Secure-CRT配置步骤:协议选择Serial,点击“下一步”端口选择好本电脑上利用的COM接口,波特率选择“9600”,数据流操纵选型将前面的勾全数去掉,其它选项维持不变,点击“下一步”点击“完成”即可登录到配置界面。
超级终端配置步骤:点击“开始”>“所有程序”>“附件”>“通信”>“超级终端”在名称一栏自概念输入一个名称,例如:“suning”,点击“确信”在连接时利用选择好相应的COM接口,点击“确信”点击“还原为默许值”,再点击“确信”即可登录到配置界面。
一、配置向导第一次登录操纵器会显现配置向导进行简单的配置开机运行到如以下图所示,即到了配置向导界面配置如下:Enter System name [Aruba200]:此处直接回车即选择[]内的内容,例如此处回车即选择设备名称为:Aruba200,也可自己自概念系统名称Enter VLAN 1 interface IP address [此处直接回车即选择VLAN 1的IP地址为:,一样此处直接回车,后面能够另行更改Enter VLAN 1 interface subnet mask [此处直接回车即选择VLAN 1的IP地址的子网掩码为:IP Default gateway [none]:此处为指定操纵器的网关地址,即路由地址,一样这边不指定,等进入系统后从头配置指定Enter Switch Role, (master|local) [master]:此处为指定操纵器角色,一样默以为master,可直接回车到下一步Enter Country code (ISO-3166), <ctrl-I> for supported list:此处为指定国家代码,中国即输入“CN”You have chosen Country code CN for China (yes|no)?:此处为让您确认是不是为中国,可直接“yes”到下一步Enter Time Zone [PST-8:0]:此处为指按时区,一样咱们指定为“GMT+8:0”Enter Time in UTC [11:44:55]:此处为指按时刻,咱们可依照那时北京时刻进行配置Enter Date (MM/DD/YYYY) [11/22/2020]:此处为配置日期,月/日/年份Enter Password for admin login (up to 32 chars):此处为配置admin登录密码,自概念Re-type Password for admin login:从头确认admin登录密码Enter Password for enable mode (up to 15 chars):指定enable密码Re-type Password for enable mode:从头确认enable密码Do you wish to shutdown all the ports (yes|no)? [no]:此处为询问您是不是想shutdown所有端口,默许配置为“no”,一样选择默许配置直接回车Do you wish to accept the changes (yes|no)此处询问你是不是同意适才的配置,直接“yes”此刻操纵器会从头启动,启动完以后即可进入系统。
Aruba WLAN 简明配置手册目录目录 (2)1.初始化配置 (3)1.1.无线控制器初始化配置 (3)1.2.恢复出厂设置-无线控制器 (4)1.3.恢复出厂设置-Aruba AP (4)2.基本网络参数配置及维护 (6)2.1.基本网络参数配置 (6)2.2.控制器基本维护操作 (7)2.3.管理员帐号管理 (9)3.理解Aruba WLAN配置结构框架 (11)3.1.基本WLAN服务配置 (11)3.2.基于角色的用户策略管理 (12)4.配置范例 (14)4.1.建立WPA2-PSK服务 (14)4.2.建立Portal认证 (19)4.3.建立802.1X认证 (28)4.4.同一SSID中为不同用户配置不同的权限 (38)4.5.设置用户期限 (39)4.6.设定区域管理 (43)4.7.配置日志服务器 (49)4.8.带宽限制 (49)1.初始化配置1.1.无线控制器初始化配置Enter System name [Aruba3400]:Enter VLAN 1 interface IP address [172.16.0.254]:Enter VLAN 1 interface subnet mask [255.255.255.0]:Enter IP Default gateway [none]:Enter Switch Role, (master|local) [master]: ————————————控制器角色Enter Country code (ISO-3166), <ctrl-I> for supported list: cn———————控制器所在国家代码,此选项影响You have chosen Country code CN for China (yes|no)?:yes可用RF channel及功率参数Enter Time Zone [PST-8:0]: UTC8:0——————————————-时区系统(UTC、PST等)及所在时区Enter Time in UTC [06:07:59]: 6:11:30——————————————所选时区系统的标准时间而不是本地时间,Enter Date (MM/DD/YYYY) [8/14/2011]: 否则控制器的时钟可能就不对了。
ARUBA无线控制器基本配置手册一、连接ARUBA无线控制器1、使用CONSOLE线连接到核心交换机CONSOLE口。
2、开启SecureCRT软件,登录ARUBA无线控制器二、基本参数配置1、初始化配置-设置无线控制器基本参数及访问密码2、初始化配置-保存初始化配置并重启AC3、常用基本配置-恢复出厂配置4、常用基本配置-image升级5、常用基本配置-开启TELNET连接三、AC控制器基本配置1、在浏览器输入初始化配置的IP地址,登录ARUBA无线控制器2、点击Configuration Controller键进入控制器基本配置引导3、设置无线控制器名,管理员密码和时区后,点击Next下一步4、输入ARUBA防火墙及AP接入等LICENSES后点击ADD,添加LICENSES,添加完后点击Next进入下一步5、根据客户需求,设置VLAN及IP地址,并绑定端口6、配置ARUBA无线控制器管理VLAN及默认网关7、确认上连核心交换机的物理接口,并勾选TRUNK MODE8、确认以上配置,点击Finish &Reboot Now应用并重启AC控制器四、配置普通密码认证1、点击Configuration Campus WLAN进入WLAN配置引导界面2、新建AP组及SSID名称,并点击Next下一步3、选择AP转发模式,默认选择TUNNEL模式4、设置射频卡及SSID广播方式,设定对应VLAN5、设置WLAN初始化角色,如需设为密码认证,请选择Internet6、选择shared-key模式,aes加密方式,并设置无线密码7、去除Enable Captive Portal勾选项,关闭PORTAL认证8、设置无线认证用户角色,见意使用默认设置9、完成以上所有配置,并应用所有配置五、配置外部PORTAL认证1、配置白名单netdestination hoko-white-listhost 172.16.20.5exit2、配置认证服务器及密钥aaa authentication-server radius hoko-radiushost 172.16.20.5key ipva07exit3、配置认证服务器组aaa server-group hoko-radius-servergroupauth-server hoko-radiusexit4、配置访问控制根限组ip access-list session open-httpsuser alias hoko-white-list svc-https permituser alias hoko-white-list svc-http permitexitip access-list session hoko-captive-white-listuser alias hoko-white-list any permitexitip access-list session captiveportaluser any svc-http dst-nat 8080user any svc-https dst-nat 8081user any svc-http-proxy1 dst-nat 8088user any svc-http-proxy2 dst-nat 8088user any svc-http-proxy3 dst-nat 8088exitip access-list session v6-allowallipv6 any any any permitexit5、配置PORTAL认证aaa authentication captive-portal hoko-cp-profiledefault-role guestserver-group hoko-radius-servergroupredirect-pause 1no logout-popup-windowslogin-page http://172.16.20.5/portal.do?wlanacname=portalwhite-list hoko-white-listexit6、配置PORTAL认证用户角色权限user-role hoko-guest-logoncaptive-portal hoko-cp-profileaccess-list session global-saclaccess-list session open-httpsaccess-list session hoko-captive-white-listaccess-list ssession logon-controlaccess-list session captiveportalaccess-list session v6-allowallexit7、配置AAA认证角色aaa profile hoko-cap-aaainitial-role hoko-guest-logonexit8、配置用户访问SSIDwlan ssid-profile hoko-cap-ssidessid CTFHOKOexit9、绑定该SSID对应配置文件及工作VLANwlan virtual-ap hoko-cap-vapaaa-profile hoko-cap-aaassid-profile hoko-cap-ssidvlan 64exit10、配置AP对应工作组ap-group hoko-capvirtual-ap hoko-cap vapexit六、添加AP到对应的工作组1、勾选所有要添加到对应工作组的AP2、点击PROVISION键进入AP组设定界面3、在AP GROUP中选择对应添加的AP组4、点击右下角Apply and Reboot,加入AP组并重启AP七、常见问题1、AP无法注册成功,DHCP等配置无任何问题,关闭控制器CPS功能。
Aruba无线控制器用户初始配置手册(suning)苏宁电器Aruba无线控制器用户配置手册Version 1.3苏宁电器Aruba无线控制器用户配置手册一、连接Aruba无线控制器1.将console线RJ45一端连接至无线控制器的SERIAL端口,另一端连接至电脑COM口(笔记本没有COM口的可以使用USB-COM线)。
2.打开相应的配置终端软件(可以使用Secure-CRT或者使用系统自带的超级终端软件,建议使用Secure-CRT这款第三方终端软件)3.配置终端软件的参数Secure-CRT配置步骤:协议选择Serial,点击“下一步”端口选择好本电脑上使用的COM接口,波特率选择“9600”,数据流控制选型将前面的勾全部去掉,其它选项保持不变,点击“下一步”点击“完成”即可登录到配置界面。
超级终端配置步骤:点击“开始”>“所有程序”>“附件”>“通讯”>“超级终端”在名称一栏自定义输入一个名称,例如:“suning”,点击“确定”在连接时使用选择好相应的COM接口,点击“确定”点击“还原为默认值”,再点击“确定”即可登录到配置界面。
二、配置向导第一次登录控制器会出现配置向导进行简单的配置开机运行到如下图所示,即到了配置向导界面配置如下:Enter System name [Aruba200]:此处直接回车即选择[]内的内容,例如此处回车即选择设备名称为:Aruba200,也可自己自定义系统名称Enter VLAN 1 interface IP address [172.16.0.254]:此处直接回车即选择VLAN 1的IP地址为:172.16.0.254,一般此处直接回车,后面可以另行更改Enter VLAN 1 interface subnet mask [255.255.255.0]:此处直接回车即选择VLAN1的IP地址的子网掩码为:255.255.255.0 Enter IP Default gateway [none]:此处为指定控制器的网关地址,即路由地址,一般这边不指定,等进入系统后重新配置指定Enter Switch Role, (master|local) [master]:此处为指定控制器角色,一般默认为master,可直接回车到下一步Enter Country code (ISO-3166), <ctrl-I> for supported list:此处为指定国家代码,中国即输入“CN”You have chosen Country code CN for China (yes|no)?:此处为让您确认是否为中国,可直接“yes”到下一步Enter Time Zone [PST-8:0]:此处为指定时区,一般我们指定为“GMT+8:0”Enter Time in UTC [11:44:55]:此处为指定时间,我们可根据当时北京时间进行配置Enter Date (MM/DD/YYYY) [11/22/2010]:此处为配置日期,月/日/年份Enter Password for admin login (up to 32 chars):此处为配置admin登录密码,自定义Re-type Password for admin login:重新确认admin登录密码Enter Password for enable mode (up to 15 chars):指定enable密码Re-type Password for enable mode:重新确认enable密码Do you wish to shutdown all the ports (yes|no)? [no]:此处为询问您是否想shutdown所有端口,默认配置为“no”,一般选择默认配置直接回车Do you wish to accept the changes (yes|no)此处询问你是否接受刚才的配置,直接“yes”此时控制器会重新启动,启动完之后便可进入系统。
苏宁电器Aruba无线控制器用户配置手册Version 1.3苏宁电器Aruba无线控制器用户配置手册一、连接Aruba无线控制器1.将console线RJ45一端连接至无线控制器的SERIAL端口,另一端连接至电脑COM口(笔记本没有COM口的可以使用USB-COM线)。
2.打开相应的配置终端软件(可以使用Secure-CRT或者使用系统自带的超级终端软件,建议使用Secure-CRT这款第三方终端软件)3.配置终端软件的参数Secure-CRT配置步骤:协议选择Serial,点击“下一步”端口选择好本电脑上使用的COM接口,波特率选择“9600”,数据流控制选型将前面的勾全部去掉,其它选项保持不变,点击“下一步”点击“完成”即可登录到配置界面。
超级终端配置步骤:点击“开始”>“所有程序”>“附件”>“通讯”>“超级终端”在名称一栏自定义输入一个名称,例如:“suning”,点击“确定”在连接时使用选择好相应的COM接口,点击“确定”点击“还原为默认值”,再点击“确定”即可登录到配置界面。
二、配置向导第一次登录控制器会出现配置向导进行简单的配置开机运行到如下图所示,即到了配置向导界面配置如下:Enter System name [Aruba200]:此处直接回车即选择[]内的内容,例如此处回车即选择设备名称为:Aruba200,也可自己自定义系统名称Enter VLAN 1 interface IP address [172.16.0.254]:此处直接回车即选择VLAN 1的IP地址为:172.16.0.254,一般此处直接回车,后面可以另行更改Enter VLAN 1 interface subnet mask [255.255.255.0]:此处直接回车即选择VLAN 1的IP地址的子网掩码为:255.255.255.0Enter IP Default gateway [none]:此处为指定控制器的网关地址,即路由地址,一般这边不指定,等进入系统后重新配置指定Enter Switch Role, (master|local) [master]:此处为指定控制器角色,一般默认为master,可直接回车到下一步Enter Country code (ISO-3166), <ctrl-I> for supported list:此处为指定国家代码,中国即输入“CN”You have chosen Country code CN for China (yes|no)?:此处为让您确认是否为中国,可直接“yes”到下一步Enter Time Zone [PST-8:0]:此处为指定时区,一般我们指定为“GMT+8:0”Enter Time in UTC [11:44:55]:此处为指定时间,我们可根据当时北京时间进行配置Enter Date (MM/DD/YYYY) [11/22/2010]:此处为配置日期,月/日/年份Enter Password for admin login (up to 32 chars):此处为配置admin登录密码,自定义Re-type Password for admin login:重新确认admin登录密码Enter Password for enable mode (up to 15 chars):指定enable密码Re-type Password for enable mode:重新确认enable密码Do you wish to shutdown all the ports (yes|no)? [no]:此处为询问您是否想shutdown所有端口,默认配置为“no”,一般选择默认配置直接回车Do you wish to accept the changes (yes|no)此处询问你是否接受刚才的配置,直接“yes”此时控制器会重新启动,启动完之后便可进入系统。
1.Mgmt用户设置设置mgmt用户ssh登录的方式:是证书还是用户名与密码ssh mgmt-auth [public-key |username/password]mgmt-user ssh-pubkey client-cert <certificate> <username> <role>mgmt用户验证使用外部认证服务器:aaa authentication-server radius rad1host <ipaddr>key――――aaa server-group corp_radauth-server rad1-------------------------aaa authentication mgmtdefault-role rootenableserver-group corp_rad禁用本地认证数据库mgmt-user localauth-disable设置用户超时退出loginsession timeout <value> //CLI下web-server sessiontimeout <session-timeout> //webUI下1.1配置mgmt的tacacs认证The pre-defined roles for the controllers are:1.root - super user role2.guest-provisioning - guest provisioning rolework-operations - Network operator role4.read-only - Read only role5.location-api-mgmt - Location API Management Roleaaa authentication-server tacacs TACACS-SERVERhost TACACS_SERVER_IPkey PRESHARE_KEYsession-authorization!aaa server-group TACACS-SERVER-GRPauth-server TACACS-SERVER!aaa tacacs-accounting server-group TACACS-SERVER-GRP mode enable command[all|action|configuration|show]aaa authentication mgmtserver-group TACACS-SERVER-GRPenable!2.系统默认的角色与策略:默认的策略:ip access-list session control,validuser,allowall,icmp-acl, logon-control, captiveportal,tftp-acl, https-acl, http-acl, dhcp-acl, ap-acl,默认的角色:user-role ap-role, voice, guest-logon(portal认证), guest, authenticated,logon――――――――――――――――――――――――――――――――――――3.本地数据库操作local-userdb export <filename>local-userdb import <filename>local-userdb add {generate-username|username <name>} {generate-password|password <password>}――――――――――――――――――――――――――――――――――――――――4.配置DHCP服务:ip dhcp pool user-pooldefault-router 192.168.100.1dns-server 192.168.100.1network 192.168.100.0 255.255.255.0!service dhcpip dhcp excluded-address 192.168.100.1 192.168.100.10 ――――――――――――――――――――――――――――――――――――5.配置带宽:aaa bandwidth-contract BC512_up kbps 512user-role web-guestbw-contract BC512_up per-user upstream ―――――――――――――――――――――――――――――――――――――6.策略:限制访问内网netdestination “Internal Network”network 10.0.0.0 255.0.0.0network 172.16.0.0 255.255.0.0network 192.168.0.0 255.255.0.0ip access-list session block-internal-accessuser alias “Internal Network” any deny ―――――――――――――――――――――――――――――――――――――7.配置portal认证:外置portal时:netdestination portal-serverhost 10.50.22.221ip access-list session abc-portal-acluser alias portral-server svc-http permitaaa authentication captive-portal c-portaldefault-role employeeserver-group cp-srvlogin-page http://192.168.100.10/test.phpuser-role logoncaptive-portal c-portalsession-acl abc-portal-aclaaa profile aaa_c-portalinitial-role logonwlan ssid-profile ssid_c-portalessid c-portal-apwlan virtual-ap vp_c-portalaaa-profile aaa_c-portalssid-profile ssid_c-portalvlan 20portal下增加白名单:(host)(config)# netdestination "Mywhite-list"(host)(config)#name (host)(config)#name (host) (config) #aaa authentication captive-portal default(host)(Captive Portal Authentication Profile "default")#white-list Mywhite-list注意:如果在一台控制器配置多个captiveportal的Virtaul AP时,每个captiveportal必须分别配置不同的initial role和user role、cp profile、AAA profile与ssid profile;8.配置Air time fair(Aruba651) (Traffic management profile "test") #shaping-policy fair-access (Aruba651) (Traffic management profile "test") #exit(Aruba651) (config)ap-group demo-group(Aruba651) (AP group " demo-group") #dot11g-traffic-mgmt-profile test(Aruba651) (AP group "demo-group") #9.配置LACP:LACP默认不生效每台设备最多创建8个组(0-7),每个组最多允许8个端口加入,所有端口的属性要相同;1、Enable LACP and configure the per-port specific LACP. The group number range is 0 to 7.lacp group <group_number> mode {active | passive}? Active mode—the interface is in active negotiating state. LACP runs on any link that is configured to be in the active state. The port in an active mode also automatically initiates negotiations with otherports by initiating LACP packets.? Passive mode—the interface is not in an active negotiating state. LACP runs onany link that is configured in a passive state. The port in a passive mode responds to negotiations requests from other ports that are in an active state. Ports in passive state respond to LACP packets.注意:passive模式的端口不能与另一个passive 模式的端口建立起来;2. Set the timeout for the LACP session. The timeout value is the amount of time thata port-channelinterface waits for a LACPDU from the remote system before terminating the LACP session. The defaulttime out value is long (90 seconds); short is 3 seconds,默认为longlacp timeout {long | short}3. Set the port priority.lacp port-priority <priority_value>The higher the priority value the lower the priority. Range is 1 to 65535 and default is 255.4.加入端口中interface fastethernet 1/1lacp timeout shortlacp group 0 mode active―――――――――――――――――――――――――――――――――――――――――10.配置RAP(remote ap)在控制器上配置VPN、AP通过认证后的地址池,及isakmp的共享密码;注意地址池为RAP的管理地址,如其他网管要直接ping通RAP,需要将此地址段配置静态路由;vpdn group l2tpppp authentication PAPip local pool <pool> <start-ipaddr> <end-ipaddr>crypto isakmp key <key> address 0.0.0.0 netmask 0.0.0.0在控制器上配置服务器组,RAP通过username/password方式接入,并在服务器上增加用户名与密码,此用户名/密码用于L2TP/PAP认证 (如果采用证书方式,此步可以省略)aaa server-group <group>auth-server <server>aaa authentication vpn default-rapdefault-role <role>server-group <group>local-userdb add username rapuser1 password <password>配置remote ap的VAP:wlan ssid-profile <profile>essid <name>opmode <method>wpa-passphrase <string> (if necessary)配置用户角色,用于dot1x-default-role(cli) #netdestination corp(cli) (config-dest) # network 10.3.10.0 255.255.255.0(cli) (config-dest) # !ip access-list session Remote_Enterprise_aclany any svc-dhcp permituser alias corp any permitalias corp user any permituser network 224.0.0.0 255.0.0.0 any permitalias coopr alias corp any permituser any any route src-nat(cli) # user-role corpsplit(cli) (config-role) # session-acl Remote_Enterprise_acl(cli) (config-role) # !配置aaa profile可用于split-tunnel时用户角色策略指定aaa profile <profile>authentication-dot1x <profile>dot1x-default-role <role>dot1x-server-group <group>(cli) # wlan virtual-ap split(cli) # vlan X <-- Clients get IP addr. from VLAN X(cli) # forward-mode split-tunnelaaa-profile <profile>rap-operation {always|backup|persistent}配置RAP的有线端口:ap wired-ap-profile Wired_Branch_ap_profilewired-ap-enableforward-mode split-tunnelswitchport access vlan 128!ap wired-port-profile Wired_Branch_port_profileaaa-profile Remote_Ent_aaa_profilewired-ap-profile Wired_Branch_ap_profile配置RAP做DHCP serverap system-profile APGroup1_sys_profilelms-ip 63.82.214.194rap-dhcp-server-vlan 177rap-dhcp-server-id 192.168.177.1rap-dhcp-default-router 192.168.177.1rap-dhcp-pool-start 192.168.177.100rap-dhcp-pool-end 192.168.177.254!ap-group <name>virtual-ap <name>在webUI界面对AP进行provision,从AC上获取IP,修改为remote模式,AP会重启11.配置MAC认证完整例子RADIUS Server Definition:服务器认证aaa authentication-server radius "amigopod"host "172.16.0.20"key f0e40f33109cd5f863a77327072720aaa4785eff2ca57800nas-identifier "Aruba651"nas-ip 172.16.0.254!aaa server-group "amigopod-srv"auth-server amigopod!aaa rfc-3576-server "172.16.0.20"key 10795ff19c00465dd0b0824e562103bee537be631e5bc876MAC Authentication Profile:MAC认证aaa authentication mac "amigopod-mac"case upperdelimiter dashAAA Profile:aaa profile "amigopod-aaa"authentication-mac "amigopod-mac"mac-default-role "authenticated"mac-server-group "amigopod-srv"radius-accounting "amigopod-srv"rfc-3576-server "172.16.0.20"Captive Portal Profile:aaa authentication captive-portal "amigopod-cp"server-group "amigopod-srv"redirect-pause 3no logout-popup-windowprotocol-httplogin-page "http://172.16.0.20/aruba_login.php"Netdestination Alias for Amigopod:netdestination amigopodhost 172.16.0.20Access Policy to allow redirect to Amigopod:允许的aclip access-list session allow-amigopoduser alias amigopod svc-http permituser alias amigopod svc-https permitInitial Role with Captive Portal enabled:配置initial角色user-role logoncaptive-portal "amigopod-cp"access-list session logon-controlaccess-list session allow-amigopodaccess-list session captiveportalPost Authentication Role for MAC Authentication:配置MAC认证角色user-role MAC-Guestaccess-list session allowallSSID Profile:wlan ssid-profile "MAC-Auth-CP"essid "amigo-MAC-CP"Virtual AP:wlan virtual-ap "MAC-Auth-CP"aaa-profile "amigopod-aaa"ssid-profile "MAC-Auth-CP"12.配置LDAP认证服务器Portal认证aaa authentication-server ldap "aruba-ldap"host 10.1.1.50admin-dn "cn=ldapquery2, cn=Users, dc=arubanetworks, dc=com" admin-passwd "Zaq1xsw2"base-dn "ou=Corp, dc=arubanetworks, dc=com"!aaa server-group "aruba-ldap"auth-server aruba-ldapset role condition memberOf contains "dl-seonly" set-value root !如果将ldap认证应用于无线用户802.1x,必须使用eap-gtc方式aaa authentication dot1x "dot1x_prof-yxy03"termination enabletermination eap-type eap-peaptermination inner-eap-type eap-gtc!aaa authentication mgmt //应用在管理用户default-role "no-access"server-group "aruba-ldap"enable!注意:使用802.1x认证时不能用LDAP认证服务器;但portal认证时可以;13.有线端口NAT!ip NAT pool Dell-AirWave 63.80.98.56 63.80.98.56 172.16.0.246ip NAT pool SE-WebServer 63.80.98.59 63.80.98.59 172.16.0.16ip NAT pool PDL-eTips 63.80.98.61 63.80.98.61 172.16.0.15ip NAT pool PDL-Clearpass 63.80.98.60 63.80.98.60 172.16.0.13ip NAT pool PDL-AirWave 63.80.98.49 63.80.98.49 172.16.0.252!netdestination PDL-Airwave-Livehost 63.80.98.49!netdestination IPCommshost 64.154.41.150!netdestination SE-WebServerhost 63.80.98.59!netdestination Live-IPhost 63.80.98.41!netdestination PDL-eTipshost 63.80.98.61!netdestination Dell-Airwave-Livehost 63.80.98.56!netdestination PDL-ClearPasshost 63.80.98.60!ip access-list session OUTSIDE-POLICYalias IPComms alias Live-IP udp 4569 dst-nat ip 172.16.0.11 4569 classify-media queue highalias IPComms alias Live-IP udp 5060 dst-nat ip 172.16.0.11 5060 classify-media queue highalias IPComms alias Live-IP udp 5061 dst-nat ip 172.16.0.11 5061 classify-media queue highalias IPComms alias Live-IP udp 5062 dst-nat ip 172.16.0.11 5062 classify-media queue highany alias Live-IP tcp 4343 permitany alias Live-IP udp 4500 permitany alias Live-IP svc-ssh permitany alias Live-IP svc-http permitany alias Live-IP svc-https permitany alias Live-IP udp 500 permitany alias Live-IP svc-icmp permitany alias Live-IP tcp 4345 dst-nat ip 172.16.0.242 443any alias Live-IP tcp 4346 dst-nat ip 172.16.0.242 22any alias Dell-Airwave-Live svc-https dst-nat ip 172.16.0.246 443any alias Dell-Airwave-Live svc-http dst-nat ip 172.16.0.246 80any alias PDL-Airwave-Live svc-https dst-nat ip 172.16.0.252 443any alias PDL-Airwave-Live svc-http dst-nat ip 172.16.0.252 80any alias SE-WebServer svc-http dst-nat ip 172.16.0.16 80any alias SE-WebServer svc-https dst-nat ip 172.16.0.16 443any alias SE-WebServer svc-ssh dst-nat ip 172.16.0.16 22any alias SE-WebServer udp 5900 dst-nat ip 172.16.0.16 5900any alias PDL-eTips svc-http dst-nat ip 172.16.0.15 80any alias PDL-eTips svc-https dst-nat ip 172.16.0.15 443any alias PDL-ClearPass svc-https dst-nat ip 172.16.0.13 443any alias PDL-ClearPass svc-http dst-nat ip 172.16.0.13 80!interface fastethernet 2/0description "OUTSIDE-INTERNET"trustedip access-group OUTSIDE-POLICY sessionswitchport access vlan 10!14.用户通过有线端口portal认证,不同的IP用户可以分别认证,所有有线口共用一个认证方式aaa profile "cppm"initial-role "cp-guest"radius-accounting "amigopod-sg"radius-interim-accountingrfc-3576-server "222.190.16.186" //amigopod地址aaa authentication wired //有线端口启用认证profile "cppm"interface gigabitethernet 1/6 //有张端口untrusted vlan 1000description "connect_to_H3C"trusted vlan 1-999,1001-4094switchport access vlan 1000针对某一vlan启用portal认证vlan 20 wired aaa-profile cppm15.配置AP以太口对于有两个以太口的AP,如125与135系列,除了一个以太口用于AC互连外,另外一个以太口可以连接终端或串联AP;(1)连接终端时:创建wired-ap profileap wired-ap-profile "cppm"wired-ap-enableswitchport access vlan 11trusted创建wired-port profileap wired-port-profile "cppm"wired-ap-profile "cppm"将profile加入到group中ap-group "test"enet1-port-profile "cppm"注意:如果端口为untrusted,需要在wired-port profile中加入aaa profile16.配置VIA(host) (config)# license add <key>(1)Create VIA roles(host) (config) #user-role example-via-role(host) (config-role) #access-list session "allowall" position 1(host) (config-role) #ipv6 session-acl "v6-allowall" position 2(2)Create VIA authentication profiles(host) (config) #aaa server-group "via-server-group"(host) (Server Group "via-server-group") #auth-server "Internal" position 1 (host) (config) #aaa authentication via auth-profile default(host) (VIA Authentication Profile "default") #default-role example-via-role(host) (VIA Authentication Profile "default") #desc "Default VIAAuthenticationProfile"(host) (VIA Authentication Profile "default") #server-group "via-server-group"(3)Create VIA connection profiles(host) (config) #aaa authentication via connection-profile "via"(host) (VIA Connection Profile "via") #server addr 202.100.10.100 internal-ip10.11.12.13 desc "VIA Primary Controller" position 0(host) (VIA Connection Profile "via") #auth-profile "default" position 0(host) (VIA Connection Profile "via") #tunnel address 10.0.0.0 netmask255.255.255.0(host) (VIA Connection Profile "via") #split-tunneling(host) (VIA Connection Profile "via") #windows-credentials //使用windows 的帐号登录(host) (VIA Connection Profile "via") #client-netmask 255.255.255.255 (host) (VIA Connection Profile "via") #no ikev2-proto //local数据库不支持ikeV2(host) (VIA Connection Profile "via") #dns-suffix-list (host) (VIA Connection Profile "via") #support-email via-support@(host) (VIA Connection Profile "via") #client-wlan-profile"via_corporate_wpa2"position 0(4)Configure VIA web authentication(host) (config) #aaa authentication via web-auth default(host) (VIA Web Authentication "default") #auth-profile default position 0(5)Associate VIA connection profile to user role(host) (config) #user-role "example-via-role"(host) (config-role) #via "via"You can have only one profile (default) for VIA web authentication.(6)Configure VIA client WLAN profiles(host) (config) #wlan ssid-profile "via_corporate_wpa2"(host) (SSID Profile "via_corporate_wpa2") #essid corporate_wpa2(host) (SSID Profile "via_corporate_wpa2") #opmode wpa2-aes(host) (SSID Profile "via_corporate_wpa2") #wlan client-wlan-profile"via_corporate_wpa2"(host) (VIA Client WLAN Profile "via_corporate_wpa2") #ssid-profile"via_corporate_ssid"(7)crypto isakmp key 123456 address 0.0.0.0 netmask 0.0.0.0(8)。
