ARUBA无线控制器的基本网络配置
ARUBA无线控制器的基本网络配置
本章主要描述有关控制器的基本的网络配置,主要容如下:
一、VLANs 配置
二、配置端口
三、VLAN 协议
四、配置静态路由
五、环回IP地址配置
六、控制器IP地址配置
七、GRE隧道配置
第一部分:VLANs配置/虚拟局域网配置
2层交换机控制器的操作运用是以VLAN作为广播域,作为2层交换机,控制器要求需要外界的路径来实现与VLANs的路径连通。该控制器还可以作为第三层交换机,可以定义VLAN 之间的交通路线的控制器。
你可以在控制器上配置一个/多个物理端口实现一个虚拟局域网。另外,每个无线客户端口关联是连接到一个特定的虚拟局域网的端口控制器上。你可以根据你的网络需要替换所有经认证授权的无线用户到单个VLAN或者替换到不同的VLANs。VLANs可以单独存在在控制
器里面或者可以通过802.1q VLAN标签存在在控制器外部。
你可以选择在控制器上为VLAN配置一个IP地址和子网掩码,当VLAN上最近的物理端口被激活的同时,该IP地址也被激活。该VLAN IP地址可以作为外部设备的一个接入点,指向虚拟局域网IP地址的数据包不是为控制器指定的而是根据控制器的IP路由表来转发的。
创建和更新VLANs:创建和更新单个/多个VLANs
1. 通过WEBUI 来创建或者修改单个VLAN
1)打开
2)点击“ADD新建”按钮创建一个新的VLAN。(若需要修改,点击Edit按钮)具体参照
58页创建一系列的VLANs。
3)为VLAN增加一个物理端口,点击选项
4)点击
2. 通过CLI(命令)创建或者修改VLAN
3.通过WEBUI 来创建或者修改多个VLAN
1)一次性增加并联的VLANs,点击
2)在弹出的窗口,输入你想要创建的VLANs 序列。例如,增加一个ID
为200-300和302-350的VLAN,输入200-300,302-350。
3)点击“OK”
4)为VLAN增加物理端点,点击“EDIT”进入你想要配置的VLAN页面,点击“Port
Selection”选项设置端口。
5)点击“APPLY"
4.通过CLI(命令)创建或者修改VLANs
创建、更新和删除VLANs池:创建、更新和删除VLANs池
1.通过WEBUI 来创建单个VLAN:以下的配置操作创建一个名为"Mygroup"的VLAN池,VLAN IDs 2,4和12将被分配到该池
1)打开
2)选择“”选项打开窗口
3)点击“ADD"
4)在一栏输入你确定的VLAN池名称,名称大小在32字节(不允许空
格)。VLAN名称不能修改,请谨慎选择
5)在一栏输入你想要增加的VLAN ID。如果你知道ID,输入IP,
以逗号隔开;或者点击下拉菜单中的<---箭头选择需要增加的ID到VLAN池。
6)必须增加2个或2个以上的VLAN IDs 创建池
7)完成所有IDs的增加后,点击”ADD“选项:VLAN池和指定的ID同时显示在VLAN
池的窗口上。如果VLAN池可用(必须指定2个或2个以上的ID),状态将显示可用;如果只创建了一个VLAN池或者没有增加ID或只增加了1个ID,状态将显示为不可以。
8)点击
9)在窗口顶端,点击保存设置
2.更新VLAN池
1)在VLAN Pool 窗口,点击“Modify”修改
2)修改VLAN IDs的名称,不能修改VLAN名称
3)点击“UPDATE”修改
4)点击“APPLY”
5)在窗口顶端,点击保存设置
3.删除VLAN Pool
1)在VLAN Pool 窗口,点击“Delete”删除选项,将弹出及时窗口
2)点击“OK”
3)点击“APPLY”
4)在窗口顶端,点击保存设置
4.运用CLI命令创建VLAN Pool:只有2个或2个以上的VLAN IDs才可以创建VLAN Pool
5.运用CLI命令查看已存在的VLAN IDs
6.运用CLI命令为VLAN Pool增加现行的VLAN IDs
为了确认VLAN Pool的状态和映射任务,可以运用“Show Vlan Mapping”命令实现:
第二部分:端口配置
快速以太网和千兆以太网端口都可以被设置为访问或者中继模式。默认情况下,访问模式下的端口以及路径传输仅为指定的VLAN服务。在中继模式下,一个端口可以为多个VLANs 实现路径传输。
对于中继端口,不论该端口是否为控制器上的所有VLANs配置实现路径传输还是为了某个特定的VLANs实现路径传输。你可以设别为该端口服务的本地VLAN。中继端口一般运用802.1q 标签为特定的VLANs 标注框架。但是,本地VLAN无标注标识。
信息分类为可信或不可信:不仅需要考虑输入物理端点和隧道配置对无线信息的安全影响可能,还需要考虑与VLAN连接的端点和渠道的可信性。
1. 有关可信/不可信的物理端点
默认情况下,控制器上的物理端点都是安全的并且都是连接到部网络上的。不可信的端点一般是连接到第三方APs、公共网络或者其他访问控制可被轻易攻破的网络上的。当确认一个物理端点为不可信的时候,所有需要通过该端口进行的信息传输都需要经过一个预先设定的访问控制程序。
2. 有关可信/不可信的VLANs
你同样可以通过确认VLAN界面和端口/隧道来确认VLAN信息传输的安全性。这表明,只有在连接到VLAN上的端口可信的情况下,无线信息输入端点才是安全的,否则则是不可信的。当连接到VLANs的端口不可信时,所有输入或者输出的信息都需要经过预先设定的ACL程序。例如,如果公司为访问者提供接入允许,那么访问者久必须通过预先设定的ACL 程序进入受限界面。这种情况下,这种设置是可行的。
你可以在中继模式下设置系列可信或者不可信的VLANs。一下的图表5说明了端口和VLAN 对信息安全影响的联系。只有在端口和VLAN都安全的情况下,信息传输状态才是安全的。如果信息传输不安全,那么所有的信息传输都必须通过预先设置的访问控制程序和无线条款。
图表5:区分信息的安全性和不安全性
3.在访问模式下通过WEBUI来配置安全/不安全的端口和VLANs:
以下程序为:配置一个不安全的以太网端口,指定VLANs并使其为不可信的,令需要为不可信的信息访问预先设置需要通过的访问程序。
1)打开:窗口
2)在选项中选择需要配置的端口
3)在一栏,清楚安全的端口,使其配置为不可信的。(默认端口
都是安全的)
4)在一栏,选择“ACCESS"
5)在“VLAN ID”的下拉菜单中选择需要进过该端点传输的“VLAN ID”
6)在一栏中,清楚安全的ALAN,使其配置为不可信的。(默认VLAN
都是安全的)
7)在下拉菜单中,选择VLAN 信息传输需要经过的程序,
你可以为可信或者不可信的VLANs选择信息传输预订程序
8)从选项中,在下拉菜单中选择经该端口回传信息需要经过的预订程
序
9)从下拉菜单外选择经该端口回传信息需要经过的预订程序
10)选择适用于该集点信息传输的端口和VLAN,从下拉菜单中为其选择预订程序
11)点击"APPLY"
4.在访问模式下通过CLI命令来配置安全/不安全的端口和VLANs:如:
5.在中继模式下通过WEBUI来配置安全/不安全的端口和VLANs:
以下程序为:配置一系列的以太网端口为不安全的本地中继端口,指定VLANs并使其为不可信的,令需要为不可信的信息访问预先设置需要通过的访问程序。
1)打开:窗口
2)在选项中选择需要配置的端口
3)在一栏,选择中继“TRUNK"
4)为了区分本地VLAN,从“Native VLAN”下拉菜单中点击<---箭头
5)选择以下任意一种方式来控制通过端口的信息传输类型:
-----除了其中从下拉菜单选择的那个端口,其余的短信信息传输均需为VLANs服务
----所有从下拉菜单中选择的信息传输的端点都为VLANs服务
所有的端点信息传输都不为VLANs服务
6)为该端点指定不安全的VLANs,点击“TRUSTED EXCEPT"选项。在一个相对安全的
VLAN领域,输入一系列你指定的不安全的VLANs。(例如,200-300,401-500等)只有在该清单中的VLANs才是不安全的,如需要指定某个VLAN为不安全的,仅需从下拉菜单中选择一个VLAN。
7)为该端点指定安全的VLANs,点击“UNTRUSTED EXCEPT"选项。在一个相对不安全
的VLAN领域,输入一系列你指定的安全的VLANs。(例如,200-300,401-500等)只有在该清单中的VLANs才是安全的,如需要指定某个VLAN为安全的,仅需从下拉菜单中选择一个VLAN。
8)如需要移除某个VLAN,点击”REMOVE VLANs“选项,从下拉菜单中选择一个你想
要移除的VLAN,点击向左的箭头从列表中移除即可。
9)为VLAN信息传输设定需要经过的预订程序,在“SESSION FIREWALL POLICY”下面,
点击”NEW"选项
10)输入VIAN ID或者从下拉菜单中选择,从policy下拉菜单中单击“add”选择增加,为
VLAN信息传输选择需要预设的程序。选择的VLAN和程序都会显示在SESSION FIREWALL POLICY界面
11)完成VLAN设置和程序设置,点击“CANCEL”
12)点击“APPLY"
6.在中继模式下通过CLI命令来配置安全/不安全的端口和VLANs:
第三部分:有关VLAN 协议
VLAN协议是将一个客户端分配一个虚拟局域网的几种方法之一,VLAN协议分配有一定的优先顺序。VLANs协议的优先顺序如下:(从低到高)
(一)默认的VLAN配置WLAN(详见11页的“virtual APs")
(二)在客户端确认之前,VLAN可以根据客户端的属性规则(网路,模式,客户端,定位,加密类型)被派生出来。根据客户端属性派生出来的具体技术规则比由VLAN配置的用户派生出来的规则享有优先权。
(三)在客户端被确认后,VLAN可以成为VLAN配置默认角色的身份验证方法,例如802.1x或者VPN。
(四)在客户端被确认后,VLAN可以由认证服务器的返回属性被派生出来(服务器派生规则)。具体技术的VLAN派生规则优先于由VLAN配置的用户角色派生出来的规则。
(五)在客户端被确认后,VLAN可以从微软隧道属性派生出来(隧道类型、隧道介质