Aruba设备配置操作手册

Aruba 无线控制器
内部试验文档
2010年06月
目录
第一章.Aruba售后基础 .............................................................................................. ‐ 4 ‐
一.Aruba产品简介 ......................................................................................................................... ‐ 4 ‐
1.Aruba 无线控制器（AC） ...................................................................................................... ‐ 4 ‐
2.Aruba 无线接入点（AP） ...................................................................................................... ‐ 5 ‐
二.组网方式 .................................................................................................................................... ‐ 6 ‐
1.与有线网二层连接 .................................................................................................................. ‐ 6 ‐
2.与有线网三层连接 .................................................................................................................. ‐ 7 ‐
三.控制器登陆方式 ........................................................................................................................ ‐ 7 ‐ 第二章.控制器Web基本管控 ..................................................................................... ‐ 8 ‐
1.登陆控制器 .................................................................................................................................. ‐ 8 ‐
2.修改登录密码 .............................................................................................................................. ‐ 9 ‐
3.查看控制器状态 ........................................................................................................................ ‐ 12 ‐
4.查看接口状态 ............................................................................................................................ ‐ 13 ‐
5.查看AP状态 .............................................................................................................................. ‐ 15 ‐
6.查看用户状态 ............................................................................................................................ ‐ 17 ‐
7.添加/清除黑名单 ...................................................................................................................... ‐ 19 ‐ 第三章.控制器CLI配置调试 ...................................................................................... ‐ 21 ‐
一.Aruba基础配置 ....................................................................................................................... ‐ 21 ‐
1.Console登陆 ........................................................................................................................... ‐ 21 ‐
2.恢复出厂配置 ........................................................................................................................ ‐ 22 ‐
3.初始化配置 ............................................................................................................................ ‐ 22 ‐
4.保存配置参数 ........................................................................................................................ ‐ 23 ‐
5.Image升级 ............................................................................................................................. ‐ 23 ‐
6.备份与恢复配置文件 ............................................................................................................ ‐ 23 ‐
7.DHCP配置 .............................................................................................................................. ‐ 24 ‐
8.配置AP ................................................................................................................................... ‐ 25 ‐
9.为无线终端用户单独配置VLAN ........................................................................................... ‐ 29 ‐
二.Aruba无线认证加密方式 ....................................................................................................... ‐ 31 ‐
1.OPEN ....................................................................................................................................... ‐ 31 ‐
2.PSK 认证 ................................................................................................................................ ‐ 32 ‐
3.MAC地址认证 ....................................................................................................................... ‐ 33 ‐
4.Dot1x （802.1x）认证： ...................................................................................................... ‐ 34 ‐
5.Captive‐portal认证 ................................................................................................................ ‐ 35 ‐
三.Aruba无线安全策略 ............................................................................................................... ‐ 37 ‐
1.Captive Portal界面定制......................................................................................................... ‐ 37 ‐
2.Demo License .......................................................................................................................... ‐ 38 ‐
3.PEF license .............................................................................................................................. ‐ 39 ‐
4.role 应用 ................................................................................................................................ ‐ 42 ‐
5.利用role做带宽限制策略 .................................................................................................... ‐ 43 ‐
6.Radius服务器 ........................................................................................................................ ‐ 44 ‐
7.Master Local ........................................................................................................................... ‐ 46 ‐
8.VRRP ....................................................................................................................................... ‐ 47 ‐ 第四章.控制器Web配置调试 ................................................................................... ‐ 49 ‐
1.AP更改组配置 ........................................................................................................................... ‐ 49 ‐
2.AP更改名字配置 ....................................................................................................................... ‐ 50 ‐ 第五章.Troubleshooting ........................................................................................ ‐ 52 ‐
1.AP指示灯说明 ........................................................................................................................... ‐ 52 ‐
2.AP未启动故障检查 ................................................................................................................... ‐ 52 ‐
第一章.Aruba售后基础
一.Aruba产品简介
这里只是把Aruba全套产品线构成做简单展现，以便了解使用Aruba设备，详细产品说明请查看产品详细资料。

1.Aruba 无线控制器（AC）
Aruba无线控制器产品线构成如下图所示：
图Aruba无线控制器产品
2.Aruba 无线接入点（AP）
Aruba无线AP产品线构成如下图所示：
图Aruba无线接入点产品
二.组网方式
1.与有线网二层连接
图Aruba 无线控制器二层连接方式
2.与有线网三层连接
I
P
:
X
.
X
.
X
.
X
/
2
4
I
P
:
X
.
X
.
X
.
X
/
2
4
图 Aruba无线控制器三层连接方式 三.控制器登陆方式
Aruba无线控制器的登录，可以通过以下几种常用方式实现： z通过 Console 口进行本地登录
z通过以太网端口利用 Telnet 进行本地或远程登录
z通过 WEB 网管登录
第二章.控制器Web基本管控
1.登陆控制器
(1)HTTP访问（管理IP），弹出登陆页面（图1）
(2)输入密码，进入配置页面（图2）
图1
图2
2.修改登录密码
（1）登录页面，点击Configuration进入相关界面（图3）
（2）点击 Controller Wizard进入相关界面（图4） （3）修改密码（图5）
（4）保存密码修改配置（图6）
图3
图4
图5
注：Password for user “Admin”: 输入密码
Retype: 重复输入密码
图6 注：Save Configuration : 保存修改密码后的配置
3.查看控制器状态
（1）登录页面，点击Controller进入相关界面（图7）
图7
注：
Controller Name : 控制器名称
ArubaOS Version : 控制器操作系统OS版本号
IP Address : 控制器IP地址
MAC Address : 控制器MAC地址
4.查看接口状态
（1）登录页面，点击Configuration进入相关界面（图8） （2）点击 Ports进入相关界面（图9）
（3）接口状态介绍（图10-11）
图8
图9
图10
注：红色框架介绍控制器有多少端口，图10表示控制器有两个端口0和1，具体端口信息点击0或1，图10显示1端口的详细信息
图11
注：Enable Port : 开启或关闭端口
Make Port Trusted : 配置此端口是否为信任端口
Port Mode : 端口模式配置为Access或Trunk模式
Enter VLAN(s) : 配置端口进入哪个VLAN，配置为信任或不信任端口，并且加入防火墙策略
Firewall Policy : 端口的进方向in、出方向out的防火墙策略，session是选择某个访问控制列表的选项
Spanning Tree : 是否开启生成树
5.查看AP状态
（1）登录页面，点击Access Points进入AP状态界面（图12） （3）AP状态介绍（图13）
图12
图13
注：Name : AP的名称
AP Group : AP所属于default这个组
AP IP : AP的IP地址
AP Type : AP的类型为61
bg Clients/Channel/ EIRP/MaxEIRP ：802.11bg模式下接入了1个用户，信道号为11信道，当前AP功率为20，AP最大功率为20
6.查看用户状态
（1）登录页面，点击Clients 进入用户状态界面（图14） （2）用户状态介绍（图15）
图14
图15
注：MAC address ：终端用户的MAC地址
Client IP : 终端用户的IP地址
User Role : 终端用户登录的角色
ESSID : 终端用户是以aruba‐ap这个ESSID登录上无线 AP Name : 终端用户登录的AP的名称
Phy Type : 终端用户登录的信道为802.11g
7.添加/清除黑名单
（1）登录页面，点击Clients 进入用户状态界面（图14）
（2）添加黑名单，点击需要加入黑名单用户前方的黑点，然后点击Blacklist，添加黑名单成功（图16）
（3）点击Blacklist Client查看已添加的黑名单用户 （图17）
（4）清除黑名单，点击Blacklist Client进入黑名单用户界面，点击需要清除黑名单用户前方的对勾，然后点击Remove From Blacklist，清除黑名单成功（图18）
图16
图17
图18
第三章.控制器CLI配置调试
一.Aruba基础配置
1.Console登陆
通过无线控制器Console 口进行本地登录是登录无线控制器的最基本的方式，也是配置通过其他方式登录无线控制器的基础。

Aruba无线控制器缺省情况下只能通过Console 口进行本地登录。

用户终端的通信参数配置要和无线控制器Console 口的配置保持一致，才能通过Console 口登录到Aruba无线控制器上。

无线控制器Console 口的缺省配置如图3-1所示。

图3-1 端口通信参数配置
(Aruba2400)
User: admin
Password: ***** （缺省口令通常是admin）
NOTICE
NOTICE -- This switch has active licenses that will expire in 26 days
NOTICE
NOTICE -- See 'show license' for details.
NOTICE
(Aruba2400) >en
Password:***** （缺省口令通常是enable）
(Aruba2400) #
2.恢复出厂配置
(Aruba2400) #write erase
All the configuration will be deleted. Press 'y' to proceed : Write Erase successful
(Aruba2400) #reload
Do you really want to reset the system(y/n): y ――――――――
Aruba交换机重启
――――――――
3.初始化配置
Enter System name [Aruba2400]:
Enter VLAN 1 interface IP address [172.16.0.254]:
Enter VLAN 1 interface subnet mask [255.255.255.0]:
Enter IP Default gateway [none]:
Enter Switch Role, (master|local) [master]:
Enter Country code (ISO-3166), <ctrl-I> for supported list: CN You have chosen Country code CN for China (yes|no)?: y
Enter Password for admin login (up to 32 chars): *****
Re-type Password for admin login: *****
Enter Password for enable mode (up to 15 chars): *****
Re-type Password for enable mode: *****
Do you wish to shutdown all the ports (yes|no)? [no]:
Current choices are:
System name: Aruba2400
VLAN 1 interface IP address: 172.16.0.254
VLAN 1 interface subnet mask: 255.255.255.0
IP Default gateway: none
Switch Role: master
Country code: CN
Ports shutdown: no
If you accept the changes the switch will restart!
Type <ctrl-P> to go back and change answer for any question
Do you wish to accept the changes (yes|no)y
Creating configuration... Done.
4.保存配置参数
(Aruba2400) #configure t
(Aruba2400) #write m
5.Image升级
(Aruba200) #show boot
Config File: default.cfg
Boot Partition: PARTITION 0
(Aruba2400) #show image version
(Aruba2400) #copy tftp: 172.16.1.50 A2400_FCS2.0.X_6577 system: partition 1 Upgrading partition 1
(Aruba2400) #boot system partition 1
(Aruba2400) #reload
6.备份与恢复配置文件
（1）对配置文件进行备份：
实例1.1.8
配置命令：
(HTDATA)# copy running-config flash: HT20080307-01.cfg /* 备份当前配置文件
(HTDATA)# copy startup-config flash: HT20080307-02.cfg /* 备份已保存配置文件
(HTDATA)# copy flash: default.cfg flash: HT20080307-03.cfg /* 备份默认加载文件
（2）对配置文件进行恢复：
配置命令：
(HTDATA)# copy flash: HT20080307-03.cfg flash: default.cfg
（3）对配置文件备份与恢复的查看与删除配置文件：
相关show与删除命令：
（Aruba）# show dir /* 查看所有保存的配置文件
（Aruba）# show running-config /* 查看当前的配置
（Aruba）# show startup-config /* 查看已经保存的配置文件
（Aruba）# write erase /* 只删除配置，不删除数据库
（Aruba）# write erase all /* 删除所有配置，恢复出厂配置 7.DHCP配置
实例1.1.3
配置DHCP命令：
(HTDATA) #configure t
Enter Configuration commands, one per line. End with CNTL/Z
(HTDATA) (config) #service dhcp /* 开启dhcp服务
(HTDATA) (config) #ip dhcp excluded-address 192.168.2.1 192.168.2.239 /* 排除已经使用地址
开始配置DHCP地址池：
(HTDATA) (config) #ip dhcp pool HTDATA /* 地址池命名 (HTDATA) (config-dhcp)#network 192.168.2.0 255.255.255.0 /* 宣告网段 (HTDATA) (config-dhcp)#default-router 192.168.2.1 /* 设置分配给客户端的网关
(HTDATA) (config-dhcp)#dns-server 202.106.0.20 /* 设置用户端的DNS 服务器
(HTDATA) (config-dhcp)#lease 1 1 1 /* 设置地址租期时间 天|小时|分
检查：
(HTDATA) #show ip dhcp database
DHCP enabled
# HTDATA
subnet 192.168.2.0 netmask 255.255.255.0 {
default-lease-time 90060;
max-lease-time 90060;
option vendor-class-identifier "ArubaAP";
option vendor-encapsulated-options "192.168.2.252";
option domain-name-servers 202.106.0.20;
option routers 192.168.2.1;
range 192.168.2.240 192.168.2.251;
range 192.168.2.254 192.168.2.254;
authoritative;
}
8.配置AP
（1）控制器配置AP
配置soe（serial over ethenet），soe可以通过telnet来查看AP状态.
1）在缺省情况下ARUBA控制器是不支持传统23端口TELNET的，只支持SSH（22端口）的TELNET。

所以必须选用支持SSH TELNET的工具才行。

2）我们可以TELNET SOE的2300端口，此端口只支持TELNET SOE不支持其他TELNET。

3）在控制器下如果想启用23端口的TELNET，只需在配置模式下使用 telnet cli 命令
实例1.1.4
配置命令:
(HTDATA) (config) #telnet soe
(HTDATA) (config) #telnet cli
配置AP，注意使用loopback地址和端口2300
Windows菜单运行模式下 -> cmd
dos模式下C:\> telnet 192.168.2.252 2300
User：admin
Password：admin
soe> connect { 1/0 } /* 输入控制器上AP所连接的端口号,slot插槽port端口
重启AP,直接拔掉电源,如果使用poe则直接重新插拔网线
在启动过程中出现倒计时,立刻按回车,显示如下：
User:admin
Password:admin
Available commands:
connect <slot/port>
exit <no args>
soe> connect 1/0
Connecting to 1/0 at 9600 baud 8N1
Type “~.” To discoonect
^L
#
#
进入apboot>模式：
apboot> help /* 查看帮助命令
apboot> help
boot - run bootcmd or boot AP image or elf file or from flash
cd - cfg register display
cw - cfg register write
dis - disassemble instructions
dhcp - invoke DHCP client to obtain IP/boot params
eloop - loopback received ethernet frames
flash - FLASH sub-system
printenv - env display
purgeenv - pruge env
regs - display various regs
reset - reset processor
run - run commands in an environment variable
saveenv - save environment variables to persistent storage
apboot>
几个重要参数：
a)apboot> printenv /* 显示配置信息
apboot> printenv
boardname=Merlot
autostart=yes
baudrate=9600
bootdelay=2
bootcmd=boot ap
bootfile=mips.ari
servername=aruba-master
ethaddr=00:0b:86:cd:b9:82
Environment size: 141/8186 bytes
b)apboot> purgeenv /* 清空配置参数
apboot> purgeenv
Erasing...
Programming...
Verifying...
apboot>
c)apboot> save /* 保存
apboot> save
Erasing... Programming...
Verifying...
apboot>
d)apboot> reset /* 重启 ，从控制器（master）自动获取IP
地址
apboot> reset
CPU: AR2313 MIPS-32 at 180 MHz: 16kB I-Cache 16 kB D-cache
Board: Merlot, Local Bus at 90 MHz
DRAM: 32 MB
POST: passed
FLASH: 4 MB
Net: en0 lo0
Hit <Enter> to stop autoboot: 0
Loading FLASH image @ 0xbfc40000... not present
Loading FLASH image @ 0xbfc80000...
Verifying checksum...
Booting image...
启动后看AP是否得到ip地址
（2）单独配置AP
有些情况下需要直接使用console配置AP，console为特殊线缆。

具体步骤如下：
1）将console连接至AP ethernet口，另一端接入PC；
2）打开超级终端，输入用户名密码进入；
3）重启AP，然后敲击键，进入apboot> 模式，
apboot>help
printenv /* 显示配置
purgeenv /* 清空配置
save /* 保存
setenv ipaddr xxx.xxx.xxx.xxx /* 设置AP的地址
setenv netmask xxx.xxx.xxx.xxx /* 设置AP的掩码
setenv gatewayip xxx.xxx.xxx.xxx /* 网关地址为vlan接口地址
setenv master xxx.xxx.xxx.xxx /* master地址为loopback地址
setenv servip xxx.xxx.xxx.xxx /* 启动时需要到其下载image地址，为loopback地址
reset /* 重启
实例1.1.5
配置命令：
apboot> setenv ipadd 192.168.2.250
apboot> setenv netmask 255.255.255.0
apboot> setenv gatewayip 192.168.2.1
apboot> setenv master 192.168.2.252
apboot> setenv servip 192.168.2.252
apboot> save
apboot> reset
如果AP为外接天线如AP60。

需要对外接天线做如下配置（在控制器内show ap database 显示为U标记）,（AP61类使用自带天线无需进行此配置）
apboot> setenv a-antenna auto /* 用于11a的天线接在哪个天线接口？1、
2、自动
apboot> setenv a-ant-gain 1 /* 11a的天线的增益值。

永远配置为1。

切记。

apboot> setenv g-antenna auto /* 用于11g的天线接在哪个天线接口？1、2、自动
apboot> setenv g-ant-gain 1 /* 11g的天线的增益值。

永远配置为1。

切记。

apboot> setenv external-antenna yes /* 使用外部天线。

通过控制器给AP发送配置。

实例1.1.6
配置命令：
(HTDATA)# config t
(HTDATA) (config)# provision-ap
(HTDATA) (config)#ipaddr 192.168.2.251
(HTDATA) (config)#netmask 255.255.255.0
(HTDATA) (config)#gateway 192.168.2.1
(HTDATA) (config)#a-ant-gain 1 /* 使用外置天线必须配置，自带天线无需配置。

(HTDATA) (config)#g-ant-gain 1 /* 使用外置天线必须配置，自带天线无需配置。

(HTDATA) (config)#a-antenna both /* 使用外置天线必须配置，自带天线无需配置。

(HTDATA) (config)#g-antenna both /* 使用外置天线必须配置，自带天线无需配置。

(HTDATA) (config)#external-antenna /* 使用外部天线。

如AP60。

自带天线无需配置。

(HTDATA) (config)#server-ip 192.168.2.252 /* 用于升级Image的地址。

(HTDATA) (config)#ap-group default /* 新的 AP Group
(HTDATA) (config)#ap-name AP002 /* 新的AP name
(HTDATA) (config)#reprovision ap-name { name } /* 发送给AP配置
检查：
# show provision-params /* 检查Provision-ap的配置。

9.为无线终端用户单独配置VLAN
（1）在缺省情况下，控制器、AP和终端用户是被规划在同一VLAN中的，即VLAN1。

（2）建立新VLAN，为新VLAN配置IP 地址。

实例1.1.7
配置命令：
(HTDATA)# config t
(HTDATA) (config)# vlan 11 [ name ]
(HTDATA) (config)# interface vlan 11
(HTDATA) (config)# ip address 192.168.11.254 255.255.255.0
(HTDATA) (config)# operstate up /* 端口永远UP
(HTDATA) (config)# no sh
（3）将新VLAN加入到virtual-ap中
配置命令：
(HTDATA) (config)# wlan virtual-ap default /* { name } (HTDATA) (virtual AP profile “default”)# vlan 11 /* 调用vlan 11
检查：
(HTDATA)# show wlan virtual-ap default /* 检查virtual‐ap调用
（4）为新VLAN配置DHCP POOL
配置命令：类似前边DHCP配置
如果须修改网关：# ip default-gateway 192.168.11.254
二.Aruba无线认证加密方式
4种认证加密方式:
VLAN 11 PSK
VLAN 12 MAC
VLAN 13 DOT1X
VLAN 14 CAP
1.OPEN
实例1.1.9
配置命令：
(HTDATA)# config t
（1）(HTDATA) (config) # aaa profile ht-open-aaa-profile
exit
（2）(HTDATA) (config) # wlan ssid-profile ht-open-ssid-profile
essid HT-OPEN /* essid 名称更改
exit
（3）(HTDATA) (config) # wlan virtual-ap ht-open-vap-profile
aaa-profile ht-open-aaa-profile /* 调用 aaa-profile
ssid-profile ht-open-ssid-profile /* 调用 ssid-profile
vlan 1
exit
（4）(HTDATA) (config) # ap-group default /*{ name } virtual-ap ht-open-vap-profile /* 调用 vap-profile
(HTDATA) (config)# ap-group { name }
(HTDATA) (config)# ap-regroup ap-name { name } { groupname } /* 组更改
2.PSK 认证
实例1.2.0
配置命令：
(HTDATA)# config t
（1）(HTDATA) (config)# aaa authentication dot1x ht-psk-aaa-auth-dot1x-profile clone default-psk /* 克隆psk加密
exit
（2）(HTDATA) (config)# aaa profile ht-psk-aaa-profile
authentication-dot1x ht-psk-aaa-auth-dot1x-profile exit
（3）(HTDATA) (config)# wlan ssid-profile ht-psk-ssid-profile
essid HT-PSK
wpa-passphrase htdata51660008 /* 设置密码
opmode wpa-psk-tkip /* 加密模式
exit
（4）(HTDATA) (config)# wlan virual-ap ht-psk-vap-profile
aaa-profile ht-psk-aaa-profile
ssid-profile ht-psk-ssid-profile
vlan 11 exit
（5）(HTDATA) (config)# ap-group ht-psk /*{ name }
virtual-ap ht-psk-vap-profile
3.MAC地址认证
实例1.2.1
配置命令：
(HTDATA)# config t
（1）(HTDATA) (config)# aaa server-group ht-mac-aaa-auth-servergroup
auth-server Internal
exit
（2）(HTDATA) (config)# aaa authentication mac ht-mac-aaa-auth-profile
case lower /* 定
义小写
delimiter none /* 定
义分隔符(没有)
exit
（3）(HTDATA) (config)# aaa profile ht-mac-aaa-profile
mac-server-group ht-mac-aaa-auth-servergroup
authentication-mac ht-mac-aaa-auth-profile
exit
（4）(HTDATA) (config)# wlan ssid profile ht-mac-ssid-profile
essid HT-MAC
exit
（5）(HTDATA) (config)# wlan virtual-ap ht-mac-vap-profile
aaa-profile ht-mac-aaa-profile
ssid-profile ht-mac-ssid-profile
vlan 12
（6）(HTDATA) (config)# ap-group ht-mac
virtual-ap ht-mac-vap-profile
exit
（7）(HTDATA) (config)# local-userdb add username {MAC地址} password {MAC地址}
/* 加载用户MAC地址
/* 检查: show local-userdb
4.Dot1x （802.1x）认证：
实例1.2.2
配置命令：
(HTDATA)# config t
（1）(HTDATA) (config)# aaa server-group ht-dot1x-aaa-auth-servergroup
auth-server Internal /* 调用控制器自身服务器认证
exit
(HTDATA) (config)# aaa authentication dot1x ht-dot1x-aaa-auth-profile
termination enable /* 开启终结本地控制器
termination eap-type eap-peap /* 方式类型
termination inner-eap-type eap-mschapv2 /* 方式类型
exit
（2）(HTDATA) (config)# aaa profile ht-dot1x-aaa-profile
dot1x-server-group ht-dot1x-aaa-auth-servergroup authentication-dot1x ht-dot1x-aaa-auth-profile
exit
（3）(HTDATA) (config)# wlan ssid-profile ht-dot1x-ssid-profile
essid HT-DOT1x
opmode wpa-tkip /* 模式wpa-tkip
exit
（4）(HTDATA) (config)# wlan virtual-ap ht-dot1x-vap-profile
aaa-profile ht-dot1x-aaa-profile
ssid-profile ht-dot1x-ssid-profile
vlan 13
exit
（5）(HTDATA) (config)# ap-group ht-dot1x
virtual-ap ht-dot1x-vap-profile
exit
（6）(HTDATA) (config)# local-uesedb add username htdata password htdata
检查:
(HTDATA)# show ap‐group { name }
(HTDATA)# show wlan virtual‐ap ht‐dot1x‐vap‐profile
show local‐userdb
5.Captive-portal认证
实例1.2.3
配置命令：
(HTDATA)# config t
（1）(HTDATA) (config)#aaa authentication captive-portal ht-captive-aaa-auth-profile
exit
（2）(HTDATA) (config)# aaa profile ht-captive-aaa-profile
initial-role ht-captive-aaa-auth-profile /* 定义初始角色
exit
（3）(HTDATA) (config)# wlan ssid-profile ht-captive-ssid-profile
essid HT-CAP
exit
（4）(HTDATA) (config)# wlan virtual-ap ht-captive-vap-profile
aaa-profile ht-captive-aaa-profile
ssid-profile ht-captive-ssid-profile
vlan 14
exit
（5）(HTDATA) (config)# ap-group ht-cap
virtual-ap ht-captive-vap-profile
（6）(HTDATA) (config)# local-uesedb add username ht password ht
检查:# aaa user delete all /* 删除控制器在线所有用户
# show ap essid
# show ap‐group htdata
(Aruba800) #show rights
RoleTable
‐‐‐‐‐‐‐‐‐
Name ACL Bandwidth ACL List Type
‐‐‐‐ ‐‐‐ ‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐ ‐‐‐‐
ap‐role 4 No Limit System cpbase 11 No Limit cpbase System denyall 9 No Limit denyall System guest 3 No Limit System ht‐captive‐aaa‐auth‐profile 13 No Limit ht‐captive‐aaa‐auth‐profile System logon 1 No Limit System stateful‐dot1x 5 No Limit System trusted‐ap 6 No Limit Syste
‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ (Aruba800) #show aaa authentication captive‐portal Captive Portal Authentication Profile List
‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐
Name References Status ‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐ default 0
ht‐captive‐aaa‐auth‐profile 0
三.Aruba无线安全策略
1.Captive Portal界面定制
在Web页面上选取要上传的登陆图片
实例1.2.4
配置命令：
(HTDATA) (config)# aaa authentication captive‐protal ht‐cap‐aaa‐auth‐profile
no enable‐welcome‐page /* 关闭欢迎界面
no logout‐popup‐window /* 关闭推出界面
2.Demo License
实例1.2.5
配置命令：
(HTDATA) (config)# license import { *.lic } /* 导入许可证 （过期）
license add { *.lic } /* 添加许可证KEY（启用）
检查：
(HTDATA)# show license
show license verbose /* 显示全部KEY 码
图中显示 R 设备须重启
3.PEF license
实例1.2.6
配置命令：
（1）(HTDATA) (config)# aaa authentication captive‐portal ht‐cap‐aaa‐auth‐profile /* 建
立portal认证
exit
（2）(HTDATA) (config)# user‐role { name } /* 手
动定义角色
captive‐portal ht‐cap‐aaa‐auth‐profile /*
调用认证
exit
检查：
(Aruba800) (config‐role) #show rights
/*
调用图中logon
RoleTable
‐‐‐‐‐‐‐‐‐
Name ACL Bandwidth ACL List Type
‐‐‐‐ ‐‐‐ ‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐ ‐‐‐‐
ap‐role 4 No Limit control,ap‐acl System
authenticated 29 No Limit allowall User
default‐vpn‐role 30 No Limit allowall User
guest 3 No Limit http‐acl,https‐acl,dhcp‐acl,icmp‐acl,dns‐acl System
htdata 33 No Limit User
logon 1 No Limit logon‐control,captiveportal,vpnlogon System
stateful 31 No Limit control User
stateful‐dot1x 5 No Limit System
trusted‐ap 6 No Limit allowall System
voice 32 No Limit
sip‐acl,noe‐acl,svp‐acl,vocera‐acl,skinny‐acl,dhcp‐acl,tftp‐acl,dns‐acl,icmp‐acl User
(Aruba800) (config‐role) # show rights logon /* 调用图中logon 3个ACL
Derived Role = 'logon'
access‐list List
‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐
Position Name Location
‐‐‐‐‐‐‐‐ ‐‐‐‐ ‐‐‐‐‐‐‐‐
1 logon‐control
2 captiveportal
3 vpnlogon
（3）(HTDATA) (config)# session-acl logon-control
(HTDATA) (config)# session-acl captiveportal
(HTDATA) (config)# session-acl vpnlogon [prosition 1] /* 顺序改变
检查:# show rights { name }
（4）(HTDATA) (config)# aaa profile ht‐cap‐aaa‐profile
initial‐role htdata
(HTDATA) (config)# wlan ssid‐profile ht‐cap‐ssid‐profile
essid HTDATA
（5）(HTDATA) (config)# wlan virtual‐ap ht‐cap‐vap‐profile
aaa‐profile ht‐cap‐aaa‐profile
ssid‐profile ht‐cap‐ssid‐profile
vlan 1
（6）(HTDATA) (config)#ap‐group default
virtual‐ap ht‐cap‐vap‐profile
（7）(HTDATA) (config)# local‐userdb add username htdata password htdata
检查: 认证后角色定义
未认证角色
4.role 应用
（1） # user‐role admin
session‐cal allowall /* 调用（允许所有）
检查:# show ip access‐list brief /* 查看调用ACL
# show rights admin
/* per any
（2） # local‐userdb add username admin password admin role admin /*
modify(修改)
检查: 查看角色状态
5.利用role做带宽限制策略
配置命令：
（1）# aaa bandwidth‐contract admin‐bd kbits 256 /* 限速256kbit # user‐role { admin }
banwidth‐contract admin‐bd [ per‐user ] /* 调用限速(per-user 每个用户独享 )
检查：
6.Radius服务器
（1）用Winradius.exe 软件,创建数据库Advanced->Create Radius Table
添加用户 ，在 Operation->Query 里可以查询
Aruba设备：
配置命令：
（1）conf# aaa authentication‐server radius ht‐radius /* 建立一个认证Server
host XXX.XXX.XXX.XXX /* 服务器地址
key WinRadius /* Radius 默认通讯密码
检查：
（2）# aaa server‐group ht‐server‐group
auth‐server ht‐radius
set role condition role value‐of /* 读取用户角色
（3）# aaa authentication captive‐portal ht‐cap‐aaa‐auth‐profile
server‐group ht‐server‐group
（4）检查
# aaa test‐server pap ht‐radius admin admin
Authentication successful
7.Master Local
Local 指定master同步 （发起通讯请求）
# masterip 192.168.y.y ipsec ***
Local
# masterip 0.0.0.0 /* 接受所有master管理
8.VRRP
配置命令
（1）Aruba1# vrrp { name }
ip address xxx.xxx.xxx.xxx /* 指定虚拟IP
no shutdown
vlan 1 /* 指定vlan
preemt
priority 200
Aruba2# vrrp { name }
ip address xxx.xxx.xxx.xxx
no shutdown
vlan 1
preemt
检查:
（2）同步两台master无线设备
R1,R2 # master-redundancy
master-vrrp { name }
peer-ip-address 对端IP地址 ipsec ***
（3）合法网段允许通过 （类似标准命名列表）
1)
2)只允许ping,其他deny
调用
（4） # no adp discovery
no database syn
第四章.控制器Web配置调试
1.AP更改组配置
（1）进入Configutation > AP Installation 选取要配置AP Name点击Provision进入AP配置页面 （图1）
（2）进入Configutation > AP Installation > AP Group 选取要配置的组即可，默认default （图2）
（3）点击底下Apply and Reboot 从新启动即可。

（图3）
图1
图2
图3
2.AP更改名字配置
（1）进入Configutation > AP Installation 选取要配置AP Name点击Provision进入AP配置页面 （图4）
（2）进入Configutation > AP Installation > AP Name 选取输入配置的AP名字即可，点击底下Apply and Reboot 从新启动即可。

（图2）。