ARUBA课程学习指南.docx

1、ARUBA课程学习指南IEEE 802.11 无线标准WIFI：802.11a/b/g/n（非营利厂商联盟）,802.11中的某些标准的组合WLAN：无线局域网任务：配置单AC，两个SSID，GUEST/内部学习OS5.0学习章节：1. 无线架构2. 控制器初始设置3. AP配置4. 认证5. 防火墙策略6. 用户角色配置7. RF规划8. 自适应射频管理9. WEB认证（potal）10. 远程AP部署朱志立CWNT讲师架构和特性：成员：终端、AP（65、70、125、85）、承载网络、AC（200、600、800、2400、3000、6000）、数据中心ARUBA OS（base OS最基

2、础的，不需要LISENSE）（支持L3部署，支持VLAN，状态防火墙，热点，入侵检测）推送策略使用PAPI指令，UDP PORT 8211，数据使用GRE(IP协议47)隧道封装802.11帧SSID：服务级ID，ARUBA最多可以释放16个VAP，每个VAP可以关联一个SSIDESSID：（扩展服务级ID）BSSID：(表示实际BASE MAC地址)WLAN PROFILE SSID ROFILE AAA PROFILE 802.1 PROFILEAC嵌套（总部有一个AC MASTER（主要用于配置，策略管理）,其他地方LOCAL CONTROLLER，所有的策略有AC MASTER推送）另

3、外master不一定需要多么高端，主要流量都集中在local controller上控制器的角色:Standalone(单AC，Master和Local合一)缺省每一个客户端的数据帧都会被封装到GRE（封装过程中不更改数据包WPA加密就是WPA加密，WPA2加密就是WPA2加密）隧道给AC，AC解密然后由AC转发出去，如果觉得AC控制能力不强，或者觉得不需要很高的安全性，则也可以由AC直接解密封装至网络里面。AC本身就是一个L3交换机（可做L2 SW使用），几个口接口，每个接口都独立。部署模式:1、AP先直接接AC，AC在转发，每个楼层或者AP集中地方都放一个AC。2、AC放置在核心网络，AP

4、通过GRE隧道和AC建立连接。一个基本初始化配置的过程：AP首先需要DHCP获取IP地址和AC的地址，通过DHCP OPTION或者DNS得到AC地址AP从控制器通过FTP【新】或者TFTP【老】协议下载IMAGE镜像和配置AP创建GRE隧道和AC链接客户端链接AP，AP封装给ACAC解密并交换出去。AP通过PAPI协议与AC随时沟通。如果判断AP没有故障呢？通过GRE KEEP LIVE（1秒）和PAPIHELLO（60秒）到底应该把AC做L3还是L2呢？根据实际情况判断，特别注意DHCP的RELAYL2：PC-AP-AC-AP-PCPC发送DHCP REQUEST AP通过GRE。此处省略

5、（基本网络通信规则,封装解封装）L3：目前AC不支持BGP，支持OSPF等AC配置（WEB界面）：状态-配置-诊断维护（重启，保存配置等）-射频规划（区域-楼栋-楼层等支持热图）日志报告一个AC有一个FLASH 两个分区，可以支持两个OS诊断：ping，AAA测试，DEBUG等2.4G 中国13个信道，香港9个，日本14个5.8G 中国5个（高频：149-154），美国等20-30个，5G低频（36-56），不建议使用64-140，很多网卡不支持。同频干扰（工作在同一信道干扰），邻频干扰（1信道和2信道），基本无干扰（1信道基本和6信道无干扰，相隔5个信道基本无干扰，除非功率非常大），即1，6

6、，11AC初始化IP：172.16.0.254初始化配置(initial controller)-campus wireless(园区型)-名称-选择国别（不同国家标准不同）、日期（手工填或者NTP服务器）、时区、密码（用户密码，ENABLE密码，实验的时候建议使用admin1,enable两个密码）配置控制器模式配置VLAN（缺省所有端口都在VLAN1）配置控制器IP地址配置控制器缺省网关PORT配置，可以修改模式（MTU=1500，帧头=14，帧尾=4，所以最大传输单元为1518，TAG=4）初始化配置中是不可以配置LOOPBAKCP地址的，初始化完成后才可以配置如果遇到配置不保存的情况，

7、用SSH或者串口进去敲SAVE配置重启后配置控制器模式，LOOPBAKC地址，建议不启用生成树协议，在NETWORK-VLAN ID配置VLAN INTERFACE,在NETWORK-IP下配置接口LICENSE：1. 评估板LICENSE（一次30天，最多90天）2. 永久版本BASE AOS不是LICESENSEPEF NG-安全PEF VPN -VPNWIP -高级安全，例如指纹识别CONTENT SECURITY 内容安全，基于云安全AP CAPACITY-AP支持LICENSE导入 config-system settings配置CLI命令show license limits(查看

8、) license add “ID”(添加)WLAN配置：选择园区型，配置VLAN,SSID,认证对于园区型AP，默认是信任，对于REMOTE，默认是不信任对于AP组，比如某些AP组是楼栋的，有guest，VOICE,内网等，比如仓库只有办公和扫描仪等根据这个分组AP GROUP配置1. WLANVAP-策略SSID管理等等，VAP需要关联VLAN，转发模式，允许的频段（ABG或者ALL），是否开启，带宽控制等APgroupWLAN 、RF、AP、QOS等如何吐出SSID，园区型选择AP GROUP-选择SSID-选择模式【隧道模式（所有数据通过GRE隧道到AC）、（AP解密，把不加密的报文给

9、AC，减轻AC的解密压力）、直接桥接，AP直接解密给网络。-选择频段、VLAN-选择这个SSID给谁用【内部用户（使用WPA2企业版需要AAA服务器新建AAA服务器（或者使用控制器自带的），使用WPA企业版，不加密、WEP加密、开放式）或者GUEST-指定防火墙参数（选择策略、规则）-选择认证后的角色-配置完成后开始推送实验状态：P-2-40AP预置：1. 一个AP只能属于一个AP组2. AP启动-获取IP地址-获取控制器IP地址（可以通过DHCP-option43,或者DNS-aruba-或者ADP协议组播239.0.82.11）-得到IMAGE和配置重启3. AP可以使用动态或者静态IP地

10、址根据实际情况来进行配置。4. 读取AP名字和AP组5. 开始工作清空AP 1.purgeenvSARESTARTAC中对AP进行配置：AP install-provision-选择AP-园区型-可以设置AP链接控制器的IP配置IP获取模式配合天线类型建议勾选取消FQLN测试AP(通过ping等操作)对于老的AP没有console口的可以用SPOE线缆来配置。AP抓包，AP支持抓包后通过GRE信道传送回常用AP命令：Show ap essid等第四章：认证SSID认证（可隐藏）MAC地址认证WEB认证（Captive portal）802.1X认证IEEE 802.11WPA，WPA-PSK（

11、预共享密钥），WPA-ENTERPRISE目前AES支持128，192，256，目前采用128bit第五章：防火墙1.基于身份的防火墙2.可以进行带宽控制（对所有用户、或者每个用户），QOS配置3.第一条策略的第一条规则匹配后，下面所有的规则都不匹配。4. 规则选项，源IP 目的IP，服务，动作、时间（在RULE里面配置）5. 别名，netdes internal-network Network 172.16.0.0 255.255.0.0User any svc-dhcp permit(user表示有IP的)这样就会导致所有用户拿不到IP应该改成any any6. LOG/MIRROr(端口

12、镜像)/queue/time-rangePF0dbm=1mw10dbm=10mw(在某个方向)20dbm=100mw(在某个方向)-10dbm=0.1mw-50dbm=10-5mwARM2.4G干扰严重存在隐藏节点问题，两个客户端一个AP，如果两个客户端互相信号没有重叠，但是都能到AP，就会导致AP收到的正玄波变形。可采用减少发射功率和RST/CTS功能避免。FR=C，频率越大，波长越小，所以5G容易衰减，2.4G就会信号比较强。所以客户端更多的去链接2.4G，导致2.4拥塞微波炉工作在2.45G，功率1000W，无线功率10-7mw，干扰严重解决，有限工作在5G，通过双频AP，限制2.4G链

13、接，从而给5G更多的机会。可以通过监控图表看到自己的部署的AP、干扰IP、非法AP传输功率调整：降低覆盖重叠，减少冲突。Portal页面：一般适用于访客，用于认证。访客首先关联IP，打开任意页面，跳转选择认证模式（1.输入用户名密码，2.输入E-mai地址3.不认证4.不弹出，直接认证）一般guest选择OPEN，不认证NONE远程AP（remoto-AP）1. 所有的AP均可用remoto AP（RAP-2,RAP-5）2. remoto AP和AC通过L2TP/IPSEC隧道3. 转发模式（桥接模式、tunnel mode、隧道分离）4. PEFV需要license（防火墙VPN）5. 配置L2TP，需要进行简单配置6. 配置remoto AP是需要相应的组的。