Arubavlan基本配置手册

Aruba vlan 基本配置手册

本章主要描述有关控制器的基本的网络配置，主要内容如下：

一、VLANs 配置

二、配置端口

三、VLAN 协议

四、配置静态路由

五、环回IP地址配置

六、控制器IP地址配置

七、GRE隧道配置

第一部分：VLANs配置/虚拟局域网配置

2层交换机控制器的操作运用是以VLAN作为广播域，作为2层交换机，控制器要求需要外界的路径来实现与VLANs的路径连通。该控制器还可以作为第三层交换机，可以定义VLAN 之间的交通路线的控制器。

你可以在控制器上配置一个/多个物理端口实现一个虚拟局域网。另外，每个无线客户端口关联是连接到一个特定的虚拟局域网的端口控制器上。你可以根据你的网络需要替换所有经认证授权的无线用户到单个VLAN或者替换到不同的VLANs。VLANs可以单独存在在控制器里面或者可以通过802.1q VLAN标签存在在控制器外部。

你可以选择在控制器上为VLAN配置一个IP地址和子网掩码，当VLAN上最近的物理端口被激活的同时，该IP地址也被激活。该VLAN IP地址可以作为外部设备的一个接入点，指向虚拟局域网IP地址的数据包不是为控制器指定的而是根据控制器的IP路由表来转发的。

创建和更新VLANs：创建和更新单个/多个VLANs

1. 通过WEBUI 来创建或者修改单个VLAN

1)打开

2)点击“ADD新建”按钮创建一个新的VLAN。（若需要修改，点击Edit按钮）具体参

照58页创建一系列的VLANs。

3)为VLAN增加一个物理端口，点击选项

4)点击

2. 通过CLI(命令）创建或者修改VLAN

3.通过WEBUI 来创建或者修改多个VLAN

1)一次性增加并联的VLANs，点击

2)在弹出的窗口，输入你想要创建的VLANs 序列。例如，增加一个ID

号码为200-300和302-350的VLAN，输入200-300，302-350。

3)点击“OK”

4)为VLAN增加物理端点，点击“EDIT”进入你想要配置的VLAN页面，点击“Port

Selection”选项设置端口。

5)点击“APPL Y"

4.通过CLI(命令）创建或者修改VLANs

创建、更新和删除VLANs池：创建、更新和删除VLANs池

1.通过WEBUI 来创建单个VLAN：以下的配置操作创建一个名为"Mygroup"的VLAN池，VLAN IDs 2,4和12将被分配到该池

1)打开

2)选择“”选项打开窗口

3)点击“ADD"

4)在一栏输入你确定的VLAN池名称，名称大小在32字节内（不允许

空格）。VLAN名称不能修改，请谨慎选择

5)在一栏输入你想要增加的VLAN ID号码。如果你知道ID，输

入IP号码，以逗号隔开；或者点击下拉菜单中的<---箭头选择需要增加的ID到VLAN 池。

6)必须增加2个或2个以上的VLAN IDs 创建池

7)完成所有IDs的增加后，点击”ADD“选项：VLAN池和指定的ID同时显示在VLAN

池的窗口上。如果VLAN池可用（必须指定2个或2个以上的ID)，状态将显示可用；如果只创建了一个VLAN池或者没有增加ID或只增加了1个ID，状态将显示为不可以。

8)点击

9)在窗口顶端，点击保存设置

2.更新VLAN池

1)在VLAN Pool 窗口，点击“Modify”修改

2)修改VLAN IDs的名称，不能修改VLAN名称

3)点击“UPDATE”修改

4)点击“APPLY”

5)在窗口顶端，点击保存设置

3.删除VLAN Pool

1)在VLAN Pool 窗口，点击“Delete”删除选项，将弹出及时窗口

2)点击“OK”

3)点击“APPLY”

4)在窗口顶端，点击保存设置

4.运用CLI命令创建VLAN Pool：只有2个或2个以上的VLAN IDs才可以创建VLAN Pool

5.运用CLI命令查看已存在的VLAN IDs

6.运用CLI命令为VLAN Pool增加现行的VLAN IDs

为了确认VLAN Pool的状态和映射任务，可以运用“Show Vlan Mapping”命令实现：

第二部分：端口配置

快速以太网和千兆以太网端口都可以被设置为访问或者中继模式。默认情况下，访问模式下的端口以及路径传输仅为指定的VLAN服务。在中继模式下，一个端口可以为多个VLANs 实现路径传输。

对于中继端口，不论该端口是否为控制器上的所有VLANs配置实现路径传输还是为了某个特定的VLANs实现路径传输。你可以设别为该端口服务的本地VLAN。中继端口一般运用802.1q 标签为特定的VLANs 标注框架。但是，本地VLAN无标注标识。

信息分类为可信或不可信：不仅需要考虑输入物理端点和隧道配置对无线信息的安全影响可能，还需要考虑与VLAN连接的端点和渠道的可信性。

1. 有关可信/不可信的物理端点

默认情况下，控制器上的物理端点都是安全的并且都是连接到内部网络上的。不可信的端点一般是连接到第三方APs、公共网络或者其他访问控制可被轻易攻破的网络上的。当确认一个物理端点为不可信的时候，所有需要通过该端口进行的信息传输都需要经过一个预先设定的访问控制程序。

2. 有关可信/不可信的VLANs

你同样可以通过确认VLAN界面和端口/隧道来确认VLAN信息传输的安全性。这表明，只有在连接到VLAN上的端口可信的情况下，无线信息输入端点才是安全的，否则则是不可信的。当连接到VLANs的端口不可信时，所有输入或者输出的信息都需要经过预先设定的ACL程序。例如，如果公司为访问者提供接入允许，那么访问者久必须通过预先设定的ACL 程序进入受限界面。这种情况下，这种设置是可行的。

你可以在中继模式下设置系列可信或者不可信的VLANs。一下的图表5说明了端口和VLAN 对信息安全影响的联系。只有在端口和VLAN都安全的情况下，信息传输状态才是安全的。如果信息传输不安全，那么所有的信息传输都必须通过预先设置的访问控制程序和无线条款。

图表5：区分信息的安全性和不安全性