Arubavlan基本配置手册.docx

1、Arubavlan基本配置手册Aruba vlan 基本配置手册本章主要描述有关控制器的基本的网络配置，主要内容如下：1、VLANs 配置2、配置端口3、VLAN 协议4、配置静态路由5、环回IP地址配置6、控制器IP地址配置7、GRE隧道配置第一部分：VLANs配置 /虚拟局域网 配置2层交换机控制器的操作运用是以VLAN作为广播域，作为2层交换机，控制器要求需要外界的路径来实现与VLANs的路径连通。该控制器还可以作为第三层交换机，可以定义VLAN之间的交通路线的控制器。你可以在控制器上配置一个/多个物理端口实现一个虚拟局域网。另外，每个无线客户端口关联是连接到一个特定的虚拟局域网的端口控

2、制器上。你可以根据你的网络需要替换所有经认证授权的无线用户到单个VLAN或者替换到不同的VLANs。VLANs可以单独存在在控制器里面或者可以通过802.1q VLAN标签存在在控制器外部。你可以选择在控制器上为VLAN配置一个IP地址和子网掩码，当VLAN上最近的物理端口被激活的同时，该IP地址也被激活。该VLAN IP地址可以作为外部设备的一个接入点，指向虚拟局域网IP地址的数据包不是为控制器指定的而是根据控制器的IP路由表来转发的。创建和更新VLANs：创建和更新单个/多个VLANs1. 通过WEBUI 来创建或者修改单个VLAN1) 打开2) 点击“ADD新建”按钮创建一个新的VLAN

3、。（若需要修改，点击Edit按钮）具体参照58页创建一系列的VLANs。3) 为VLAN增加一个物理端口，点击选项4) 点击2. 通过CLI(命令）创建或者修改VLAN3. 通过WEBUI 来创建或者修改多个VLAN1) 一次性增加并联的VLANs，点击2) 在弹出的窗口，输入你想要创建的VLANs 序列。例如，增加一个ID号码为200-300和302-350的VLAN，输入200-300，302-350。3) 点击“OK”4) 为VLAN增加物理端点，点击“EDIT”进入你想要配置的VLAN页面，点击“Port Selection”选项 设置端口。5) 点击“APPLY4. 通过CLI(命令

4、）创建或者修改VLANs 创建、更新和删除VLANs池：创建、更新和删除VLANs池1. 通过WEBUI 来创建单个VLAN：以下的配置操作创建一个名为Mygroup的VLAN池，VLAN IDs 2,4和12将被分配到该池1) 打开2) 选择“”选项打开窗口3) 点击“ADD4) 在一栏输入你确定的VLAN池名称，名称大小在32字节内（不允许空格）。VLAN名称不能修改，请谨慎选择5) 在一栏输入你想要增加的VLAN ID号码。如果你知道ID，输入IP号码，以逗号隔开；或者点击下拉菜单中的-箭头选择需要增加的ID到VLAN池。6) 必须增加2个或2个以上的VLAN IDs 创建池7) 完成所

5、有IDs的增加后，点击”ADD“选项：VLAN池和指定的ID同时显示在VLAN池的窗口上。如果VLAN池可用（必须指定2个或2个以上的ID)，状态将显示可用；如果只创建了一个VLAN池或者没有增加ID或只增加了1个ID，状态将显示为不可以。8) 点击 9) 在窗口顶端，点击保存设置 2. 更新VLAN池1) 在VLAN Pool 窗口，点击“Modify”修改2) 修改VLAN IDs的名称，不能修改VLAN名称3) 点击“UPDATE”修改4) 点击“APPLY”5) 在窗口顶端，点击保存设置3. 删除VLAN Pool1) 在VLAN Pool 窗口，点击“Delete”删除选项，将弹出及

6、时窗口2) 点击“OK”3) 点击“APPLY”4) 在窗口顶端，点击保存设置4. 运用CLI命令创建VLAN Pool：只有2个或2个以上的VLAN IDs才可以创建VLAN Pool5. 运用CLI命令查看已存在的VLAN IDs6. 运用CLI命令为VLAN Pool增加现行的VLAN IDs为了确认VLAN Pool的状态和映射任务，可以运用“Show Vlan Mapping”命令实现：第二部分：端口配置快速以太网和千兆以太网端口都可以被设置为访问或者中继模式。默认情况下，访问模式下的端口以及路径传输仅为指定的VLAN服务。在中继模式下，一个端口可以为多个VLANs实现路径传输。对于

7、中继端口，不论该端口是否为控制器上的所有VLANs配置实现路径传输还是为了某个特定的VLANs实现路径传输。你可以设别为该端口服务的本地VLAN。中继端口一般运用802.1q 标签为特定的VLANs 标注框架。但是，本地VLAN无标注标识。信息分类为可信或不可信：不仅需要考虑输入物理端点和隧道配置对无线信息的安全影响可能，还需要考虑与VLAN连接的端点和渠道的可信性。1. 有关可信/不可信的物理端点默认情况下，控制器上的物理端点都是安全的并且都是连接到内部网络上的。不可信的端点一般是连接到第三方APs、公共网络或者其他访问控制可被轻易攻破的网络上的。当确认一个物理端点为不可信的时候，所有需要通

8、过该端口进行的信息传输都需要经过一个预先设定的访问控制程序。2. 有关可信/不可信的VLANs你同样可以通过确认VLAN界面和端口/隧道来确认VLAN信息传输的安全性。这表明，只有在连接到VLAN上的端口可信的情况下，无线信息输入端点才是安全的，否则则是不可信的。当连接到VLANs的端口不可信时，所有输入或者输出的信息都需要经过预先设定的ACL程序。例如，如果公司为访问者提供接入允许，那么访问者久必须通过预先设定的ACL程序进入受限界面。这种情况下，这种设置是可行的。你可以在中继模式下设置系列可信或者不可信的VLANs。一下的图表5说明了端口和VLAN对信息安全影响的联系。只有在端口和VLAN

9、都安全的情况下，信息传输状态才是安全的。如果信息传输不安全，那么所有的信息传输都必须通过预先设置的访问控制程序和无线条款。图表5：区分信息的安全性和不安全性3. 在访问模式下通过WEBUI来配置安全/不安全的端口和VLANs：以下程序为：配置一个不安全的以太网端口，指定VLANs并使其为不可信的，令需要为不可信的信息访问预先设置需要通过的访问程序。1) 打开：窗口2) 在选项中选择需要配置的端口3) 在一栏，清楚安全的端口，使其配置为不可信的。（默认端口都是安全的）4) 在一栏，选择“ACCESS5) 在“VLAN ID”的下拉菜单中选择需要进过该端点传输的“VLAN ID”6) 在一栏中，清

10、楚安全的ALAN，使其配置为不可信的。（默认VLAN都是安全的）7) 在下拉菜单中，选择VLAN 信息传输需要经过的程序，你可以为可信或者不可信的VLANs选择信息传输预订程序8) 从选项中，在下拉菜单中选择经该端口回传信息需要经过的预订程序9) 从下拉菜单外选择经该端口回传信息需要经过的预订程序10) 选择适用于该集点信息传输的端口和VLAN，从下拉菜单中为其选择预订程序11) 点击APPLY4. 在访问模式下通过CLI命令来配置安全/不安全的端口和VLANs：如：5. 在中继模式下通过WEBUI来配置安全/不安全的端口和VLANs：以下程序为：配置一系列的以太网端口为不安全的本地中继端口，

11、指定VLANs并使其为不可信的，令需要为不可信的信息访问预先设置需要通过的访问程序。1) 打开：窗口2) 在选项中选择需要配置的端口3) 在一栏，选择中继“TRUNK4) 为了区分本地VLAN，从“Native VLAN”下拉菜单中点击网络 VLAN”的配置页面。单击“添加“配置VLAN6（VLAN1为初始设置的配置）。a.输入的6为VLAN 的ID地址。b.点击“Apply”按钮。2 打开：导航到“配置网络 IP IP接口”页面。3 为VLAN6点击“编辑”：a.选择“使用下面的IP地址”。b.输入网络掩码的IP地址为192.168.2.1和255.255.255.0。c.选择该VLAN复选

12、框“启用源NAT”。4 点击“Apply”按钮。使用CLI命令为VLAN接口配置源NATinterface vlan 1ip address 66.1.131.5 255.255.255.0interface vlan 6ip address 192.168.2.1 255.255.255.0ip nat insideip default-gateway 66.1.131.1用CLI命令配置VLAN路由interface vlan ip address |dhcp-client|pppoe no ip routing 四 配置静态路由控制器上配置静态路由（如默认路由），做到以下几点：使用Web

13、UI配置静态路由1 Navigate to the Configuration Network IP IP Routes page. 2 单击“Add”添加一个静态路由到目标网络或主机。输入目的IP地址和网络掩码（255.255.255.255）主机路由的下一跳IP地址3 单击“完成添加条目Done to add the entry。注意路由还未被被添加到路由表。4 点击Apply“添加路由到路由表。消息配置更新成功，确认路线已被添加。使用CLI配置静态路由ip route 五 配置环回IP地址这个LoopbackIP地址是一个逻辑控制器的IP接口，用于与接入点通信。控制器的IP地址为回环地址

14、被用作终止VPN和GRE隧道。RADIUS服务器发起请求，并接受行政通信。您配置作为一个32位掩码的主机地址的Loopback地址。回送地址是不受任何特定的接口，在任何时候都运作。使用这个接口，确保IP地址是通过VLAN接口访问。它应该是所有外部网络的路。如果你不使用的VLAN1连接到网络控制器，您必须配置一个loopback地址。如果没有配置loopback接口的地址，那么首先配置VLAN接口地址。一般情况下，VLAN1是出厂默认设置，从而成为控制器的IP地址使用WebUI配置环回IP地址1 导航到配置网络控制器系统设置页面，并找到Loopback接口部分。Configuration Net

15、work Controller System Settings page2 根据需要修改IP地址。3 点击Apply按钮。 如果您使用的是回传的IP地址来访问WebUI中，改变环回IP地址，将导致连接受损。Aruba建议您使用一个VLAN接口的IP地址访问WebUI。4 导航到维修控制器重新启动控制器页面，Navigate to the Maintenance Controller Reboot Controller page重新启动控制器查看IP地址的变化。5 单击“继续Continue”保存配置6 当提示，改变被成功写入到闪存，单击“确定click OK7 控制器启动并改变了环回IP地址使

16、用CLI配置环回IP地址interface loopback ip address write memory Using the CLI to reboot the controller Enter the following command in Enable mode: reload Configuring the Controller IP Address The Controller IP address is used by the controller to communicate with external devices such as APs. 六 配置控制器的IP地址控制器

17、的IP地址是用来沟通与外部设备，如接入控制器。你可以设置控制器的IP地址，loopback接口的地址，或以现有的VLAN ID的地址。这允许你强制控制器的IP地址是一个特定的VLAN接口或环回地址 七 配置GRE隧道控制器支持控制器和AP之间的通用路由封装（GRE）隧道。一个AP打开一个GRE隧道的每个无线电接口控制器。在AP上，GRE隧道的另一端是指定配置的IP地址的变量值（优先顺序降序），。如果这些变量都留给默认值，AP使用DNS来查找发现ARUBA主控制器的IP地址。该控制器还支持GRE隧道之间的控制器和其他GRE设备的能力.这节介绍了如何配置GRE隧道等设备，以及如何。直接进入隧道的交通。