ARUBA课程学习指南.docx
《ARUBA课程学习指南.docx》由会员分享,可在线阅读,更多相关《ARUBA课程学习指南.docx(7页珍藏版)》请在冰豆网上搜索。
ARUBA课程学习指南
IEEE802.11无线标准
WIFI:
802.11a/b/g/n(非营利厂商联盟),802.11中的某些标准的组合
WLAN:
无线局域网
任务:
配置单AC,两个SSID,GUEST/内部
学习OS5.0
学习章节:
1.无线架构
2.控制器初始设置
3.AP配置
4.认证
5.防火墙策略
6.用户角色配置
7.RF规划
8.自适应射频管理
9.WEB认证(potal)
10.远程AP部署
朱志立
CWNT讲师
架构和特性:
成员:
终端、AP(65、70、125、85)、承载网络、AC(200、600、800、2400、3000、6000)、数据中心
ARUBAOS(baseOS最基础的,不需要LISENSE)
(支持L3部署,支持VLAN,状态防火墙,热点,入侵检测)
推送策略使用PAPI指令,UDPPORT8211,数据使用GRE(IP协议47)隧道封装802.11帧
SSID:
服务级ID,ARUBA最多可以释放16个VAP,每个VAP可以关联一个SSID
ESSID:
(扩展服务级ID)
BSSID:
(表示实际BASEMAC地址)
WLANPROFILE
SSIDROFILE
AAAPROFILE
802.1PROFILE
AC嵌套(总部有一个ACMASTER(主要用于配置,策略管理),其他地方LOCALCONTROLLER,所有的策略有ACMASTER推送)
另外master不一定需要多么高端,主要流量都集中在localcontroller上
控制器的角色:
Standalone(单AC,Master和Local合一)
缺省每一个客户端的数据帧都会被封装到GRE(封装过程中不更改数据包WPA加密就是WPA加密,WPA2加密就是WPA2加密)隧道给AC,AC解密然后由AC转发出去,如果觉得AC控制能力不强,或者觉得不需要很高的安全性,则也可以由AC直接解密封装至网络里面。
AC本身就是一个L3交换机(可做L2SW使用),几个口接口,每个接口都独立。
部署模式:
1、AP先直接接AC,AC在转发,每个楼层或者AP集中地方都放一个AC。
2、AC放置在核心网络,AP通过GRE隧道和AC建立连接。
一个基本初始化配置的过程:
AP首先需要DHCP获取IP地址和AC的地址,通过DHCPOPTION或者DNS得到AC地址
AP从控制器通过FTP【新】或者TFTP【老】协议下载IMAGE镜像和配置
AP创建GRE隧道和AC链接
客户端链接AP,AP封装给AC
AC解密并交换出去。
AP通过PAPI协议与AC随时沟通。
如果判断AP没有故障呢?
通过GREKEEPLIVE(1秒)和PAPIHELLO(60秒)
到底应该把AC做L3还是L2呢?
根据实际情况判断,特别注意DHCP的RELAY
L2:
PC------AP-------AC--------AP------PC
PC发送DHCPREQUESTAP通过GRE。
。
。
。
。
此处省略(基本网络通信规则,封装解封装)
L3:
目前AC不支持BGP,支持OSPF等
AC配置(WEB界面):
状态---配置---诊断—维护(重启,保存配置等)----射频规划(区域-楼栋-楼层等支持热图)—日志报告
一个AC有一个FLASH两个分区,可以支持两个OS
诊断:
ping,AAA测试,DEBUG等
2.4G中国13个信道,香港9个,日本14个
5.8G中国5个(高频:
149-154),美国等20-30个,5G低频(36-56),不建议使用64-140,很多网卡不支持。
同频干扰(工作在同一信道干扰),邻频干扰(1信道和2信道),基本无干扰(1信道基本和6信道无干扰,相隔5个信道基本无干扰,除非功率非常大),即1,6,11
AC初始化IP:
172.16.0.254
初始化配置(initialcontroller)----campuswireless(园区型)-----名称-选择国别(不同国家标准不同)、日期(手工填或者NTP服务器)、时区、密码(用户密码,ENABLE密码,实验的时候建议使用admin1,enable两个密码)
配置控制器模式
配置VLAN(缺省所有端口都在VLAN1)
配置控制器IP地址
配置控制器缺省网关
PORT配置,可以修改模式(MTU=1500,帧头=14,帧尾=4,所以最大传输单元为1518,TAG=4)
初始化配置中是不可以配置LOOPBAKCP地址的,初始化完成后才可以配置
如果遇到配置不保存的情况,用SSH或者串口进去敲SAVE
配置重启后配置控制器模式,LOOPBAKC地址,建议不启用生成树协议,在NETWORK-VLANID配置VLANINTERFACE,在NETWORK-IP下配置接口
LICENSE:
1.评估板LICENSE(一次30天,最多90天)
2.永久版本
BASEAOS不是LICESENSE
PEFNG----安全
PEFVPN---VPN
WIP----高级安全,例如指纹识别
CONTENTSECURITY–内容安全,基于云安全
APCAPACITY-----AP支持LICENSE
导入config-systemsettings
配置CLI命令showlicenselimits(查看)licenseadd“ID”(添加)
WLAN配置:
选择园区型,配置VLAN,SSID,认证
对于园区型AP,默认是信任,对于REMOTE,默认是不信任
对于AP组,比如某些AP组是楼栋的,有guest,VOICE,内网等,比如仓库只有办公和扫描仪等根据这个分组
APGROUP配置
1.WLAN—VAP-策略—SSID管理等等,VAP需要关联VLAN,转发模式,允许的频段(ABG或者ALL),是否开启,带宽控制等
APgroup{WLAN、RF、AP、QOS等}
如何吐出SSID,园区型—选择APGROUP---选择SSID---选择模式【隧道模式(所有数据通过GRE隧道到AC)、(AP解密,把不加密的报文给AC,减轻AC的解密压力)、直接桥接,AP直接解密给网络。
---选择频段、VLAN----选择这个SSID给谁用【内部用户(使用WPA2企业版需要AAA服务器—新建AAA服务器(或者使用控制器自带的),使用WPA企业版,不加密、WEP加密、开放式)或者GUEST-----指定防火墙参数(选择策略、规则)---选择认证后的角色---配置完成后开始推送
实验状态:
P-2-40
AP预置:
1.一个AP只能属于一个AP组
2.AP启动-获取IP地址-获取控制器IP地址(可以通过DHCP-option43,或者DNS-aruba-或者ADP协议组播239.0.82.11)-得到IMAGE和配置—重启
3.AP可以使用动态或者静态IP地址根据实际情况来进行配置。
4.读取AP名字和AP组
5.开始工作
清空AP1.purgeenv—SA—RESTART
AC中对AP进行配置:
APinstall-provision-选择AP-园区型-可以设置AP链接控制器的IP—配置IP获取模式—配合天线类型—建议勾选取消FQLN—测试AP(通过ping等操作)
对于老的AP没有console口的可以用SPOE线缆来配置。
AP抓包,AP支持抓包后通过GRE信道传送回
常用AP命令:
Showapessid等
第四章:
认证
SSID认证(可隐藏)
MAC地址认证
WEB认证(Captiveportal)
802.1X认证
IEEE802.11
WPA,WPA-PSK(预共享密钥),WPA-ENTERPRISE
目前AES支持128,192,256,目前采用128bit
第五章:
防火墙
1.基于身份的防火墙
2.可以进行带宽控制(对所有用户、或者每个用户),QOS配置
3.第一条策略的第一条规则匹配后,下面所有的规则都不匹配。
4.规则选项,源IP目的IP,服务,动作、时间(在RULE里面配置)
5.别名,netdesinternal-network
Network172.16.0.0255.255.0.0
Useranysvc-dhcppermit(user表示有IP的)这样就会导致所有用户拿不到IP
应该改成anyany
6.LOG/MIRROr(端口镜像)/queue/time-range
PF
0dbm=1mw
10dbm=10mw(在某个方向)
20dbm=100mw(在某个方向)
-10dbm=0.1mw
-50dbm=10-5mw
ARM
2.4G干扰严重
存在隐藏节点问题,两个客户端一个AP,如果两个客户端互相信号没有重叠,但是都能到AP,就会导致AP收到的正玄波变形。
可采用减少发射功率和RST/CTS功能避免。
FR=C,频率越大,波长越小,所以5G容易衰减,2.4G就会信号比较强。
所以客户端更多的去链接2.4G,导致2.4拥塞
微波炉工作在2.45G,功率1000W,无线功率10-7mw,干扰严重
解决,有限工作在5G,通过双频AP,限制2.4G链接,从而给5G更多的机会。
可以通过监控图表看到自己的部署的AP、干扰IP、非法AP
传输功率调整:
降低覆盖重叠,减少冲突。
Portal页面:
一般适用于访客,用于认证。
访客首先关联IP,打开任意页面,跳转
选择认证模式(1.输入用户名密码,2.输入E-mai地址3.不认证4.不弹出,直接认证)
一般guest选择OPEN,不认证NONE
远程AP(remoto-AP)
1.所有的AP均可用remotoAP(RAP-2,RAP-5)
2.remotoAP和AC通过L2TP/IPSEC隧道
3.转发模式(桥接模式、tunnelmode、隧道分离)
4.PEFV需要license(防火墙VPN)
5.配置L2TP,需要进行简单配置
6.配置remotoAP是需要相应的组的。
升级会员 