Aruba无线网络笔记+干货

发布网友 发布时间：2024-08-13 00:01

我来回答

共1个回答

热心网友 时间：2024-08-13 01:49

本文档由知乎用户"网路行者"原创，已受"维权骑士"版权保护，未经授权禁止转载。

回顾2014年，我作为首席网络工程师，参与了新加坡国家美术馆的无线网络部署，使用了Aruba的先进技术。在实践中，我从零开始积累经验，现在愿与大家分享这段宝贵的知识。让我们一起探索Aruba无线网络的精髓和实用技巧：

Aruba 225支持802.11ac标准，而105系列则是802.11n的代表。
区分Campus AP和Instant AP，前者需要设置为Campus AP模式，以便在APC上进行统一管理。
Controller的IP设置类似Cisco路由器的router-id，通过命令"Controller-ip vlan xx"来设定。
强烈建议SSID的子网掩码设置为/24或更大，以避免VLAN冲突。
Vlan Pooling通过MAC地址哈希技术分配VLAN，确保资源的高效利用。
要重置APC密码？试试username:password, forgetme! 而恢复出厂设置则需执行"write erase all"后重启。
"write erase"保留license，"write erase all"则会删除，选择时需谨慎。
对AP进行出厂重置，先purge，然后save和reset操作顺序不能错。
确保AP与APC通信正常，需打开DHCP、FTP、GRE (47) 和 PAPI (8211) 端口。
APC通过AP Group智能地分配VLAN，DHCPReply包处理涉及复杂的流程。
重要提示：DHCP Reply包回传至无线终端，确保服务的无缝连接。
GRE隧道背后是强大的一个SSID概念，提供无缝连接体验。
Aruba AP通过BSSID灵活定义WLAN，一个AP支持多个VAP，每个VAP有自己的SSID Profile和AAAProfile。
APC批量管理AP的威力在于AP Group，可影响所有设备的VAP配置。
AP与APC间通信模式多样：GRE隧道、解密隧道和桥接模式，适应不同场景需求。
ClearPass作为RADIUS服务器，负责无线和有线用户的认证管理。
Aruba的APC无线用户角色分为Initial、User Derived、Server Derived和默认值，认证前后策略各异。
角色策略与规则交织，每个角色都有特定的策略和规则。
区分ClearPass与APC的用户角色，认证方式丰富，如无认证、PSK和802.1x（推荐ClearPass）。
ClearPass策略的核心在于Enforcement Profile和Enforcement Policy，实现精细化管理。
Aruba认证类型区分L2与L3，前者在无线层处理，后者在获得IP后进行，如Captive Portal和CoA。
Captive Portal在公共场所作为注册入口，通过GRE隧道限制流量，直到用户完成注册流程。
实现Captive Portal，需创建profile、配置登录验证，以及为特定SSID用户创建独立角色和防火墙策略。
实验一：A公司根据设备类型区分流量，iOS通过Proxy，Android则被过滤，利用ClearPass识别MAC OUI和DHCP relay。
实验二：通过APC和ClearPass，为Guest SSID设置不同的登录方式和firewall policy，确保访问权限。
实验三：A公司要求ClearPass处理RADIUS，员工、合同工、访客权限各异，登录后分别分配角色。
实验中涉及的APC和ClearPass配置细节，展示了角色分配、认证流程和策略的精细调整。