Aruba 配置手册

  • 格式:docx
  • 大小:4.84 MB
  • 文档页数:52

1.实验环境说明1.1.实验拓扑本次实验只使用一个AP1.2.实验目的测试并学习ARUBA Controller的配置方法,了解ARUBA Controller的功能特性和特点B所需的环境●Cisco Switch 3560-POE(可支持POE供电,并给AP供电),一台●ARUBA Controller 3200,一台●ARUBA AP-105,一颗●WinRadius(模拟Radius Server用,),一台●测试用PC,2台网线若干,Console线一根2.ARUBA Controller的功能设定与配置2.1.Controller的初始化1.在拿到一台设备之后,不管是不是新的还是旧的设备,我们都要清空配置,首先在清空配置之前我们必须备份license可以在console界面直接看:也可以在web界面查看将license复制备份之后,就可以彻底清除配置了重启后我们可以配置最基本的name,管理地址,时间,密码等。

重启完成后输入用户名和密码就可以进入设备了此时查看licence,是没有的我们要加入我们备份的licenceAdd licence之后需要重启重启后可以看到licence2.配置DHCP Server这个POOL是给AP和测试PC提供地址的3.完成后,保存配置4.给交换机配置管理地址,因为所有的的接口都属于vlan1,为vlan1配置地址可以是AP获得IP地址2.2.控制器配置文件的保存恢复以及OS升级1.使用以下命令:●Dir-----查看保存在flash中的所有文件●Show boot-----查看设备启动时读取的配置文件●Show image version-----查看Partition 0 & 1的image信息,和每次设备启用会从那个Partition去读取image2.如果需要导出Controller的配置,需要在PC 1去运行TFTP Server(本LAB使用Cisco TFTP),使用以下命令去把配置文件导出到PC 1中3.成功导出后,在Cisco TFTP可以看到导出的配置文件的信息4.导出来的configuration5.如果需要导入configuration到controller里的话,使用以下命令如上图,导入到flash时,需要重建一个新名字:3400.bak,并把其导入到backup 文件里,然后再把backup文件覆盖掉原来的3400.cfg文件,启动时读取这个配置文件:3400.cfg,最后重启一次controller2.3.使用WEB登录和AP的初始化配置1.使用web登录,我们设置的管理地址是172.16.1.254点击登录2.在Monitoring-->Network Summary,我们可以找到AP。

3.直接点那个“1”,或点击configuration-->AP Installation-->Provisioning中将这两个AP做定义2.4.Web认证的配置1.首先创建一个vlan,给专门使用web认证的client使用我们可以看到已有的vlan 1 是默认的vlan,点击add a vlan就可以创建新的vlan了完成后点击apply就可以了这时候我们可以看见vlan 10 了,但是还没有IP地址,要去配置IP的地方进行配置点击Edit配置IP地址我们给web client分配的网段是172.16.2.0/24 APPLY之后,就会显示地址了再次查看vlan此时我们为您可以看到地址已经同步过来了。

2.配置一个DHCP Server给VLAN 103.创建DHCP Server pool,切记DNS一定要配置,不然会在access web认证时会无法打开web登录页面IP段为:172.16.2.0/24 GW:172.16.2.2544.创建完成,点Apply5.可以看到DHCP Server已经创建成功6.Save configuration7.创建一个新的captive portal authentication profile创建成功8.Default role:guest,default role指的是在使用web认证方式下,当无线用户做完用户名认证后,他所拥有的role。

Guest role是系统缺省的role,我们也可以根据需求为用户定义新的role9.控制器缺省有两个内部数据库,为internal和default,如果使用控制器为无线用户提供账户两者选一,建议选择internal。

同样也可以自己建立新的server group。

10.创建一个新的aaa profile11.这里需要注意的是Initial role:logon,logon role是系统缺省做为web认证时认证前的role,这个role只拥有做web认证的权限,也就是说在使用web认证方式时,当无线用户接入无线网络在未做账户认证前拥有的是logon role。

12.建立test AP Group13.创建AP Group点击NEW 创建新的AP group test14.点击test,在新建的group里,创建新的virtual ap profile15.命名新的Virtual AP,并添加16.调用开始配置好的aaa pro17.创建SSID Profile18.配置SSID19.选择virtual ap profile,将vlan添加进去,这个vlan是给连入这个virtualap下ssid的无线用户使用的。

20.Save configuration21.将配置好的AP group 套用在AP上选择要使用的AP group应用并重启套用AP group之后AP都会重启22.添加账户23.创建账户,为账户分配role24.查看用户25.l ogin中添加profile,如果不添加client就无法进入Web认证界面26.选择自己创建的captive portal profile,点击change,apply。

27.可以自定义Web认证界面28.Save configration2.5.802.1x认证的配置1.首先先划分一个VLAN专门使用802.1x认证的client2.分配VLAN 20给802.1x认证3.配置一个DHCP Server给VLAN 204.给vlan 20 配置IP地址5.创建一个新的802.1x Authentication Profile6.如果使用控制器当认证服务器,则需要把Termination钩上,终结802.1x中的EAP包,并选择外部和内部的认证协议。

7.为802.1x认证建立AAA profile8.关联802.1x认证profile和server group9.添加Layer 2 认证到AAA profile中10.AAA profile默认的Initial role 是logon,但是我们在做web认证的时候已经将logon和captive profile做了关联,如果这里initial role还选择的logon的话,当无线用户连接802.1x认证的SSID是连接不上来的,所以要把它改成另一个role。

11.802.1x配置内部的认证服务组12.编辑test AP Group,如果之前已经创建好了,可以直接对test修改13.创建新的virtual ap profile14.调用AAA profile15.创建SSID profile16.配置SSID profile,选择WPA,TKIP17.选择virtual ap profile,将vlan添加进去,这个vlan是给连入这个virtualap下ssid的无线用户使用的。

18.Save configuration2.6.WPA-PSK 认证的配置1.首先先划分一个VLAN专门使用WPA-PSK认证的client2.分配VLAN 30给WPA-PSK认证3.编辑VLAN 30的属性4.让VLAN 30使用172.16.4.0/24的网段,也使得DHCP可以给使用WPA-PSK认证的client分配IP5.创建DHCP Server poolIP段为:172.16.4.0/24 GW:172.16.4.2546.创建完成,点Apply7.Save configuration8.在这里我们使用802.1X Authentication Profile下有一个系统缺省的default-psk。

9.为802.1x认证建立AAA profile10.同样aaa profile的initial role缺省为logon,logon role和captive portal做了关联,所以在此我们不能使用,要把它改为另一个role。

11.缺省的default-psk配置信息12.编辑Test AP Group13.创建virtual ap profile14.调用aaa profile15.创建SSID profile16.配置SSID profile17.选择virtual ap profile,将vlan添加进去。

18.配置完成,点Apply,保存配置2.7.Raduis Server创建与整合●创建Raduis Server✧802.1x的设定1.创建一个Radius Server2.配置server的IP地址,Key,NAS IP,这里NAS IP指的是controller的IP,是Radius Server需要和那台Controller做整合的IP3.新建一个Server Group给Radius Server使用4.配置Radius Server属性5.创建server rules6.完成后,点Apply7.创建新的802.1x profile 给Radius server,以验证可以通过Radius server来使用802.1x认证8.修改802.1x的profile9.创建一个新的AAA profile10.同样aaa profile的initial role缺省为logon,logon role和captive portal做了关联,所以在此我们不能使用,要把它改为另一个role。

11.在AAA profile中调用刚在Layer 2中创建profile12.在802.1x authentication server group中添加刚创建的server group:aaa_G_Radius13.完成后,点Apply14.修改test AP Group15.在AP Group中的AAA profile,802.1x profile中,改成aaa_pro_802.1x_radius,这样就可以使用整合radius server来使用802.1x 认证了3.设定验证与测试3.1.Web认证测试1.搜寻到Web认证的SSID2.输入帐号和密码3.显示用户已经通过认证,认证成功4.在console里看到client access的信息5.在WebUI里看到client access的信息3.2.802.1x认证测试1.搭设radius服务器在另一台测试PC上把地址设为172.16.1.100设置radius用户名密码在设置 系统里面设置密钥2.搜寻到802.1x认证的SSID3.输入帐号和密码4.在WebUI里看到client 成功access的信息5.在console里看到client 成功access的信息6.在radius服务器上3.3.WPA-PSK认证测试1.搜寻到WPA-PSK认证的SSID2.输入密钥。