ARUBA无线控制器的基本网络配置

ARUBA无线控制器的基本网络配置
本章主要描述有关控制器的基本的网络配置，主要内容如下：
一、VLANs 配置
二、配置端口
三、VLAN 协议
四、配置静态路由
五、环回IP地址配置
六、控制器IP地址配置
七、GRE隧道配置
第一部分：VLANs配置/虚拟局域网配置
2层交换机控制器的操作运用是以VLAN作为广播域，作为2层交换机，控制器要求需要外界的路径来实现与VLANs的路径连通。

该控制器还可以作为第三层交换机，可以定义VLAN 之间的交通路线的控制器。

你可以在控制器上配置一个/多个物理端口实现一个虚拟局域网。

另外，每个无线客户端口关联是连接到一个特定的虚拟局域网的端口控制器上。

你可以根据你的网络需要替换所有经认证授权的无线用户到单个VLAN或者替换到不同的VLANs。

VLANs可以单独存在在控制器里面或者可以通过802.1q VLAN标签存在在控制器外部。

你可以选择在控制器上为VLAN配置一个IP地址和子网掩码，当VLAN上最近的物理端口被激活的同时，该IP地址也被激活。

该VLAN IP地址可以作为外部设备的一个接入点，指向虚拟局域网IP地址的数据包不是为控制器指定的而是根据控制器的IP路由表来转发的。

创建和更新VLANs：创建和更新单个/多个VLANs
1. 通过WEBUI 来创建或者修改单个VLAN
1)打开
2)点击“ADD新建”按钮创建一个新的VLAN。

（若需要修改，点击Edit按钮）具体参
照58页创建一系列的VLANs。

3)为VLAN增加一个物理端口，点击选项
4)点击
2. 通过CLI(命令）创建或者修改VLAN
3.通过WEBUI 来创建或者修改多个VLAN
1)一次性增加并联的VLANs，点击
2)在弹出的窗口，输入你想要创建的VLANs 序列。

例如，增加一个ID
号码为200-300和302-350的VLAN，输入200-300，302-350。

3)点击“OK”
4)为VLAN增加物理端点，点击“EDIT”进入你想要配置的VLAN页面，点击“Port
Selection”选项设置端口。

5)点击“APPL Y"
4.通过CLI(命令）创建或者修改VLANs
创建、更新和删除VLANs池：创建、更新和删除VLANs池
1.通过WEBUI 来创建单个VLAN：以下的配置操作创建一个名为"Mygroup"的VLAN池，VLAN IDs 2,4和12将被分配到该池
1)打开
2)选择“”选项打开窗口
3)点击“ADD"
4)在一栏输入你确定的VLAN池名称，名称大小在32字节内（不允许
空格）。

VLAN名称不能修改，请谨慎选择
5)在一栏输入你想要增加的VLAN ID号码。

如果你知道ID，输
入IP号码，以逗号隔开；或者点击下拉菜单中的<---箭头选择需要增加的ID到VLAN 池。

6)必须增加2个或2个以上的VLAN IDs 创建池
7)完成所有IDs的增加后，点击”ADD“选项：VLAN池和指定的ID同时显示在VLAN
池的窗口上。

如果VLAN池可用（必须指定2个或2个以上的ID)，状态将显示可用；如果只创建了一个VLAN池或者没有增加ID或只增加了1个ID，状态将显示为不可以。

8)点击
9)在窗口顶端，点击保存设置
2.更新VLAN池
1)在VLAN Pool 窗口，点击“Modify”修改
2)修改VLAN IDs的名称，不能修改VLAN名称
3)点击“UPDATE”修改
4)点击“APPLY”
5)在窗口顶端，点击保存设置
3.删除VLAN Pool
1)在VLAN Pool 窗口，点击“Delete”删除选项，将弹出及时窗口
2)点击“OK”
3)点击“APPLY”
4)在窗口顶端，点击保存设置
4.运用CLI命令创建VLAN Pool：只有2个或2个以上的VLAN IDs才可以创建VLAN Pool
5.运用CLI命令查看已存在的VLAN IDs
6.运用CLI命令为VLAN Pool增加现行的VLAN IDs
为了确认VLAN Pool的状态和映射任务，可以运用“Show Vlan Mapping”命令实现：
第二部分：端口配置
快速以太网和千兆以太网端口都可以被设置为访问或者中继模式。

默认情况下，访问模式下的端口以及路径传输仅为指定的VLAN服务。

在中继模式下，一个端口可以为多个VLANs 实现路径传输。

对于中继端口，不论该端口是否为控制器上的所有VLANs配置实现路径传输还是为了某个特定的VLANs实现路径传输。

你可以设别为该端口服务的本地VLAN。

中继端口一般运用802.1q 标签为特定的VLANs 标注框架。

但是，本地VLAN无标注标识。

信息分类为可信或不可信：不仅需要考虑输入物理端点和隧道配置对无线信息的安全影响可能，还需要考虑与VLAN连接的端点和渠道的可信性。

1. 有关可信/不可信的物理端点
默认情况下，控制器上的物理端点都是安全的并且都是连接到内部网络上的。

不可信的端点一般是连接到第三方APs、公共网络或者其他访问控制可被轻易攻破的网络上的。

当确认一个物理端点为不可信的时候，所有需要通过该端口进行的信息传输都需要经过一个预先设定的访问控制程序。

2. 有关可信/不可信的VLANs
你同样可以通过确认VLAN界面和端口/隧道来确认VLAN信息传输的安全性。

这表明，只有在连接到VLAN上的端口可信的情况下，无线信息输入端点才是安全的，否则则是不可信的。

当连接到VLANs的端口不可信时，所有输入或者输出的信息都需要经过预先设定的ACL程序。

例如，如果公司为访问者提供接入允许，那么访问者久必须通过预先设定的ACL 程序进入受限界面。

这种情况下，这种设置是可行的。

你可以在中继模式下设置系列可信或者不可信的VLANs。

一下的图表5说明了端口和VLAN 对信息安全影响的联系。

只有在端口和VLAN都安全的情况下，信息传输状态才是安全的。

如果信息传输不安全，那么所有的信息传输都必须通过预先设置的访问控制程序和无线条款。

图表5：区分信息的安全性和不安全性
3.在访问模式下通过WEBUI来配置安全/不安全的端口和VLANs：
以下程序为：配置一个不安全的以太网端口，指定VLANs并使其为不可信的，令需要为不可信的信息访问预先设置需要通过的访问程序。

1)打开：窗口
2)在选项中选择需要配置的端口
3)在一栏，清楚安全的端口，使其配置为不可信的。

（默认端口
都是安全的）
4)在一栏，选择“ACCESS"
5)在“VLAN ID”的下拉菜单中选择需要进过该端点传输的“VLAN ID”
6)在一栏中，清楚安全的ALAN，使其配置为不可信的。

（默认VLAN
都是安全的）
7)在下拉菜单中，选择VLAN 信息传输需要经过的程序，
你可以为可信或者不可信的VLANs选择信息传输预订程序
8)从选项中，在下拉菜单中选择经该端口回传信息需要经过的预订程
序
9)从下拉菜单外选择经该端口回传信息需要经过的预订程序
10)选择适用于该集点信息传输的端口和VLAN，从下拉菜单中为其选择预订程序
11)点击"APPL Y"
4.在访问模式下通过CLI命令来配置安全/不安全的端口和VLANs：如：
5.在中继模式下通过WEBUI来配置安全/不安全的端口和VLANs：
以下程序为：配置一系列的以太网端口为不安全的本地中继端口，指定VLANs并使其为不可信的，令需要为不可信的信息访问预先设置需要通过的访问程序。

1)打开：窗口
2)在选项中选择需要配置的端口
3)在一栏，选择中继“TRUNK"
4)为了区分本地VLAN，从“Native VLAN”下拉菜单中点击<---箭头
5)选择以下任意一种方式来控制通过端口的信息传输类型：
-----除了其中从下拉菜单选择的那个端口，其余的短信信息传输均需为VLANs服务
----所有从下拉菜单中选择的信息传输的端点都为VLANs服务
所有的端点信息传输都不为VLANs服务
6)为该端点指定不安全的VLANs，点击“TRUSTED EXCEPT"选项。

在一个相对安全的
VLAN领域，输入一系列你指定的不安全的VLANs。

（例如，200-300,401-500等）只有在该清单中的VLANs才是不安全的，如需要指定某个VLAN为不安全的，仅需从下拉菜单中选择一个VLAN。

7)为该端点指定安全的VLANs，点击“UNTRUSTED EXCEPT"选项。

在一个相对不安全
的VLAN领域，输入一系列你指定的安全的VLANs。

（例如，200-300,401-500等）只有在该清单中的VLANs才是安全的，如需要指定某个VLAN为安全的，仅需从下拉菜单中选择一个VLAN。

8)如需要移除某个VLAN，点击”REMOVE VLANs“选项，从下拉菜单中选择一个你想
要移除的VLAN，点击向左的箭头从列表中移除即可。

9)为VLAN信息传输设定需要经过的预订程序，在“SESSION FIREWALL POLICY”下
面，点击”NEW"选项
10)输入VIAN ID或者从下拉菜单中选择，从policy下拉菜单中单击“add”选择增加，为
VLAN信息传输选择需要预设的程序。

选择的VLAN和程序都会显示在SESSION FIREWALL POLICY界面
11)完成VLAN设置和程序设置，点击“CANCEL”
12)点击“APPL Y"
6.在中继模式下通过CLI命令来配置安全/不安全的端口和VLANs：
第三部分：有关VLAN 协议
VLAN协议是将一个客户端分配一个虚拟局域网的几种方法之一，VLAN协议分配有一定的优先顺序。

VLANs协议的优先顺序如下：（从低到高）
（一）默认的VLAN配置WLAN(详见11页的“virtual APs")
（二）在客户端确认之前，VLAN可以根据客户端的属性规则（网路,模式,客户端，定位，加密类型）被派生出来。

根据客户端属性派生出来的具体技术规则比由VLAN配置的用户派生出来的规则享有优先权。

（三）在客户端被确认后，VLAN可以成为VLAN配置默认角色的身份验证方法，例如802.1x或者VPN。

（四）在客户端被确认后，VLAN可以由认证服务器的返回属性被派生出来（服务器派生规则）。

具体技术的VLAN派生规则优先于由VLAN配置的用户角色派生出来的规则。

（五）在客户端被确认后，VLAN可以从微软隧道属性派生出来（隧道类型、隧道介质类型和隧道专用ID).三种属性必须同时存在，不要求任何服务器派生规则。

（六）在客户端被确认之后，VLAN可以从供应商特性（VSA）中派生出来作RADIUS 服务器属性。

不要求任何服务器派生规则。

如果VSA是现成的，他将优先于其他任何VLAN 优先协议。

为VLAN指定一个静态地址
可以手工在控制器上为VLAN指定一个静态IP地址。

一个控制器上的VLAN至少需要指定一个静态IP地址。

用WEBUI为VLAN指定静态地址
1.在WEBUI页面打开，点击“EDIT”编辑。

2.选择”use the following IP address"选项，输入IP地址和网络掩码的接口。

如果需要，你还
可以通过点击"ADD"为VLAN增加DHCP服务器的指定地址。

3.点击“APPL Y"
用CLI命令为VLAN指定静态地址
为VLAN指定动态接收地址
控制器上的VLAN可以通过以下途径获得其IP地址：
1.由网络管理员手动配置：这是一个默认的方式，在62页的
对其有详细的描述。

一个控制器上的VLAN至少需要一个动态IP地址。

2.通过动态主机配置协议（DHCP）或者点对点的以太网服务协议（PPPOE）来指定动态
IP。

具体方法在下面的章节中有详细说明。

在一个分办公室里，你可以将控制器连接到一个上行开关或者将一个动态IP地址指定到控制器设备上。

例如，控制器可以被连接到DSL(数字用户线）、调制解调器上或者远程宽带接入服务器（BRAS)上，"Figure 2"图表将显示一个控制器连接到调制解调器上的分办公室。

VLAN 1拥有一个静态IP地址，同时VLAN2 通过上行设备上的DHCP或者PPPOE协议拥有一个动态IP地址。

控制器上的DHCP服务器在本地网络中的IP 地址指定池中为用户指定IP地址。

为了使得控制器能为VLAN获得一个动态IP地址，必须确保DHCP或者PPPOE客户端在VLAN控制器上。

以下是在确保DHCP和PPPOE连接到控制器上面的限制条件：
1.必须确保DHCP/PPPOE客户端存在控制器上的一个VLAN上。

这个VLAN不能是VLAN1.
2.只有一个VLAN端口可以被连接到调制解调器或者上行开关上。

3.至少有一个在VLAN上的端口必须在DHCP/PPPOE客户端从服务器上请求IP地址之前
是上升状态。

4.只有一个在控制器上的VLAN可以通过DHCP/PPPOE来获取IP地址，DHCP和PPPOE 不能同时存在在控制器上。

确保DHCP客户端
DHCP服务器为某个特定时间段分配IP地址称为“租赁”。

控制器会在租赁到期之前自动更新。

当你关闭VLAN时，DHCP租赁将自动免除。

用WEBUI来确认VLAN上的DHCP协议
1.打开
2.点击“EDIT"编辑之前创建的VLAN
3.选择
4.点击“APPL Y"
用CLI命令来确认VLAN上的DHCP协议
确保PPPOE客户端
验证BRAS（远程宽带接入服务器），请求动态IP，控制器必须完成如下操作：
1.PPPOE用户名和密码必须连接到DSL网络上
2.PPPOE服务名称---ISP（互联网服务供应商）名称或者PPPOE服务器上配置的服务等级协议名称都可用
当关闭VLAN时，PPPOE也将被关闭。

用WEBUI来确认VLAN上的PPPOE协议
1.打开页面
2.点击”EDIT“编辑之前创建的VLAN
3.选择
4.为PPPOE会议输入服务器名称、用户名和密码
5.点击”APPL Y"
用CLI命令来确认VLAN上的PPPOE协议
DHCP/PPPOE上的默认网关地址
你可以从DHCP/PPPOE服务器上获得路由器IP地址作为控制器默认网关地址。

运用WEBUI通过DHCP/PPPOE设置默认网关地址
1.打开页面
2.选择
3.点击“APPL Y”
运用CLI命令通过DHCP/PPPOE设置默认网关地址
DHCP/PPPOE上的DNS（域名服务器）/WINS（Windows Internet 命名服务）
DHCP/PPPOE服务器同样可以提供DNS服务器或者NETBIOS服务器IP地址。

该IP地址可以通过控制器内部DHCP(动态主机配置协议)服务器传递到无线用户处。

例如：下面我们为一个员工在控制器的DHCP服务器上配置分配地址，这个通过控制器从DNS服务器上获得的IP地址将经过DHCP/PPPOE将自己的IP地址一起提供给用户。

通过WEBUI来配置DNS/WINS服务器
1.打开页面
2.选择
3.在指定池下选择“ADD"
4.为pool设置名称为“employee-pool”
5.设置10.1.1.254为默认路径
6.选择设置DNS服务器
7.选择设置WINS服务器
8.设置10.1.1.0为IP地址，设置255.255.255.0为子网掩码
9.点击”Done“完成
通过CLI命令来配置DNS/WINS服务器
源NAT（网络地址转换）为动态VLAN地址
当VLAN接口通过DHCP/PPPOE获得IP地址时，NAT pool和ACL回话将根据动态指定的IP地址自动创建。

他将允许你设置政策，将指引你为DHCP/PPPOE用户设置个人/公共地址。

当VLAN上的IP地址更改时，动态NA T池里面的地址将随之更改以适应新的地址。

例如，以下的规则介绍的就是用户访问政策不能通往内部网络地址时，通往其他目的地(外部的目的地)的用户访问政策就是控制器上的DHCP/PPPOE客户端IP地址的网络地址转换源。

运用WEBUI为动态VLAN指定网络地址转换源（Source NA T）
1.打开页面，点击”ADD“增加”Guest"用户访问
2.增加规则，点击”ADD“：
a.确认源，选择"ANY”
b.确认目的地，选择“NETWORK" 输入10.1.0.0作为管理员IP地址，输入255.255.0.0作
为子网掩码
c.确认服务，选择”ANY“
d.确认作用，选择”REJECT"
e.点击“ADD"
3.增加新的规则，点击"ADD"
a.离开源、目的地和服务器，选择”ANY“
b.确认作用，选择”SCR-NAT"
c.确认NAT POOL，选择
d.点击“ADD"
4.点击"ADD”
运用CLI命令为动态VLAN指定网络地址转换源（Source NA T）
为VLAN接口指定NA T源
上一章节里面介绍的配置案例说明了用policy配置网络地址转换源适用于客户角色。

你也可以为VLAN接口确认网络地址转换源，为所有退出VLAN的流量造成源地址中的NAT被完成。

退出VLAN数据包是由外部端口的源IP地址决定的，具体操作如下：
(1)如果您为VLAN配置了个人IP地址，控制器就被认为是默认网关控制器子网。

退出该
VLAN的数据包，就为其源IP地址配置了控制器的IP地址。

(2)如果控制器在第3层转发包，退出该VLAN的数据包，就为其源IP地址配置了next-hop
VLAN的IP地址。

配置示例
在下面的例子中，控制器在企业内部网络工作。

VLAN1是外部VLAN。

VLAN6上的流量是使用控制器的IP地址的源NAT。

在这个例子中，IP分配给VLAN 1的地址被用作控制器的IP地址，因此，从VLAN6上的流量将经过源NA T到66.1.131.5。

图3的例子：使用控制器IP地址的源NAT
私有IP地址：192.168.2.1/24 公共IP地址：66.1.131.5/24
内外
使用WebUI为VLAN接口配置源NAT：
1 打开“导航>网络> VLAN”的配置页面。

单击“添加“配置VLAN6（VLAN1为初始设置的配置）。

a.输入的6为VLAN 的ID地址。

b.点击“Apply”按钮。

2 打开：导航到“配置>网络> IP> IP接口”页面。

3 为VLAN6点击“编辑”：
a.选择“使用下面的IP地址”。

b.输入网络掩码的IP地址为192.168.2.1和255.255.255.0。

c.选择该VLAN复选框“启用源NAT”。

4 点击“Apply”按钮。

使用CLI命令为VLAN接口配置源NAT
interface vlan 1
ip address 66.1.131.5 255.255.255.0
interface vlan 6
ip address 192.168.2.1 255.255.255.0
ip nat inside
ip default-gateway 66.1.131.1
用CLI命令配置VLAN路由
interface vlan <id>
ip address {<ipaddr> <netmask>|dhcp-client|pppoe}
no ip routing
四配置静态路由
控制器上配置静态路由（如默认路由），做到以下几点：
使用WebUI配置静态路由
1 Navigate to the Configuration > Network > IP > IP Routes page.
2 单击“Add”添加一个静态路由到目标网络或主机。

输入目的IP地址和网络掩码
（255.255.255.255）主机路由的下一跳IP地址
3 单击“完成添加条目Done to add the entry。

注意路由还未被被添加到路由表。

4 点击Apply“添加路由到路由表。

消息配置更新成功，确认路线已被添加。

使用CLI配置静态路由
ip route <address> <netmask> <next_hop>
五配置环回IP地址
这个LoopbackIP地址是一个逻辑控制器的IP接口，用于与接入点通信。

控制器的IP地址为回环地址被用作终止VPN和GRE隧道。

RADIUS服务器发起请求，并接受行政通信。

您配置作为一个32位掩码的主机地址的Loopback地址。

回送地址是不受任何特定的接口，在任何时候都运作。

使用这个接口，确保IP地址是通过VLAN接口访问。

它应该是所有外部网络的路。

如果你不使用的VLAN1连接到网络控制器，您必须配置一个loopback地址。

如果没有配
置loopback接口的地址，那么首先配置VLAN接口地址。

一般情况下，VLAN1是出厂默认设置，从而成为控制器的IP地址
使用WebUI配置环回IP地址
1 导航到配置>网络>控制器>系统设置页面，并找到Loopback接口部分。

Configuration > Network > Controller > System Settings page
2 根据需要修改IP地址。

3 点击Apply按钮。

如果您使用的是回传的IP地址来访问WebUI中，改变环回IP地址，将导致连接受损。

Aruba建议您使用一个VLAN接口的IP地址访问WebUI。

4 导航到维修>控制器>重新启动控制器页面，Navigate to the Maintenance > Controller > Reboot Controller page重新启动控制器查看IP地址的变化。

5 单击“继续Continue”保存配置
6 当提示，改变被成功写入到闪存，单击“确定click OK
7 控制器启动并改变了环回IP地址
使用CLI配置环回IP地址
interface loopback ip address <address>
write memory
Using the CLI to reboot the controller
Enter the following command in Enable mode:
reload
Configuring the Controller IP Address
The Controller IP address is used by the controller to communicate with external devices such as APs.
六配置控制器的IP地址
控制器的IP地址是用来沟通与外部设备，如接入控制器。

你可以设置控制器的IP地址，loopback接口的地址，或以现有的VLAN ID的地址。

这允许你强制控制器的IP地址是一个特定的VLAN接口或环回地址
七配置GRE隧道
控制器支持控制器和AP之间的通用路由封装（GRE）隧道。

一个AP打开一个GRE隧道的每个无线电接口控制器。

在AP上，GRE隧道的另一端是指定配置的IP地址的变量值（优先顺序降序）<master><SERVERNAME>，<serverip>。

如果这些变量都留给默认值，AP 使用DNS来查找发现 ARUBA主控制器的IP地址。

该控制器还支持GRE隧道之间的控制器和其他GRE设备的能力.
这节介绍了如何配置GRE隧道等设备，以及如何。

直接进入隧道的交通。

控制器使用主站和本地控制器之间的通信，这些GRE隧道自动创建，不受本节中所述的配置。

N O T E
创建隧道接口
创建一个控制器上的GRE隧道，你需要指定以下内容：
隧道ID：这可能是一个1到2147483647之间的数量。

隧道的IP地址和子网掩码。

来源：隧道本地控制器上的隧道端点。

这可以是下列之一：
控制器Loopback地址
指定的IP地址
指定VLAN
隧道目的地：GRE考试的其他设备上的隧道远程端点的IP地址。

WebUI中
1 导航到配置>网络> IP> GRE隧道页Navigate to the Configuration > Network > IP >
GRE Tunnels page.
2 单击：Add
3 进入隧道IDEnter the tunnel ID.
4 进入隧道的IP地址和网络掩码。

5 选择（check）使隧道接口启用，
6 选择隧道的源，如果不是控制器的回环地址。

如果您选择IP地址，输入隧道的源IP
地址。

如果你选择的是VLAN，就选择VLAN ID。