1、Aruba vlan 基本配置手册本章主要描述有关控制器的基本的网络配置,主要内容如下:1、VLANs 配置2、配置端口3、VLAN 协议4、配置静态路由5、环回 IP 地址配置6、控制器 IP 地址配置7、GRE 隧道配置第一部分: VLANs 配置 /虚拟局域网 配置2层交换机控制器的操作运用是以 VLAN 作为广播域,作为2层交换机,控制器要求需要外界的路径来实现与 VLANs 的路径连通。该控制器还可以作为第三层交换机,可以定义VLAN 之间的交通路线的控制器。你可以在控制器上配置一个/多个物理端口实现一个虚拟局域网。另外,每个无线客户端口关联是连接到一个特定的虚拟局域网的端口控制器上
2、。你可以根据你的网络需要替换所有经认证授权的无线用户到单个 VLAN 或者替换到不同的 VLANs。VLANs 可以单独存在在控制器里面或者可以通过802.1q VLAN 标签存在在控制器外部。你可以选择在控制器上为 VLAN 配置一个 IP 地址和子网掩码,当 VLAN 上最近的物理端口被激活的同时,该 IP 地址也被激活。该 VLAN IP 地址可以作为外部设备的一个接入点,指向虚拟局域网 IP 地址的数据包不是为控制器指定的而是根据控制器的 IP 路由表来转发的。创建和更新 VLANs:创建和更新单个/多个 VLANs1. 通过 WEBUI 来创建或者修改单个 VLAN1) 打开2) 点
3、击“ADD 新建”按钮创建一个新的 VLAN。 (若需要修改,点击 Edit 按钮)具体参照58页创建一系列的 VLANs。3) 为 VLAN 增加一个物理端口,点击 选项4) 点击2. 通过 CLI(命令)创建或者修改 VLAN3. 通过 WEBUI 来创建或者修改多个 VLAN1) 一次性增加并联的 VLANs,点击2) 在弹出的 窗口,输入你想要创建的 VLANs 序列。例如,增加一个ID 号码为 200-300和302-350的 VLAN,输入200-300,302-350。3) 点击“OK”4) 为 VLAN 增加物理端点,点击“EDIT”进入你想要配置的 VLAN 页面,点击“Po
4、rt Selection”选项 设置端口。5) 点击“APPLY“4. 通过 CLI(命令)创建或者修改 VLANs 创建、更新和删除 VLANs 池:创建、更新和删除 VLANs 池1. 通过 WEBUI 来创建单个 VLAN:以下的配置操作创建一个名为“Mygroup“的 VLAN 池,VLAN IDs 2,4和12将被分配到该池1) 打开2) 选择“ ”选项打开 窗口3) 点击“ADD“4) 在 一栏输入你确定的 VLAN 池名称,名称大小在32字节内(不允许空格) 。VLAN 名称不能修改,请谨慎选择5) 在 一栏输入你想要增加的 VLAN ID 号码。如果你知道 ID,输入 IP 号
5、码,以逗号隔开;或者点击下拉菜单中的-箭头选择需要增加的 ID 到VLAN 池。6) 必须增加2个或2个以上的 VLAN IDs 创建池7) 完成所有 IDs 的增加后,点击”ADD“选项:VLAN 池和指定的 ID 同时显示在VLAN 池的窗口上。如果 VLAN 池可用(必须指定2个或2个以上的 ID),状态将显示可用;如果只创建了一个 VLAN 池或者没有增加 ID 或只增加了1个 ID,状态将显示为不可以。8) 点击 9) 在窗口顶端,点击保存设置 2. 更新 VLAN 池1) 在 VLAN Pool 窗口,点击“Modify”修改2) 修改 VLAN IDs 的名称,不能修改 VLAN
6、 名称3) 点击“UPDATE”修改4) 点击“APPLY”5) 在窗口顶端,点击保存设置3. 删除 VLAN Pool1) 在 VLAN Pool 窗口,点击“Delete”删除选项,将弹出及时窗口2) 点击“OK”3) 点击“APPLY”4) 在窗口顶端,点击保存设置4. 运用 CLI 命令创建 VLAN Pool:只有2个或2个以上的 VLAN IDs 才可以创建 VLAN Pool5. 运用 CLI 命令查看已存在的 VLAN IDs6. 运用 CLI 命令为 VLAN Pool 增加现行的 VLAN IDs为了确认 VLAN Pool 的状态和映射任务,可以运用“Show Vlan
7、Mapping”命令实现:第二部分:端口配置快速以太网和千兆以太网端口都可以被设置为访问或者中继模式。默认情况下,访问模式下的端口以及路径传输仅为指定的 VLAN 服务。在中继模式下,一个端口可以为多个VLANs 实现路径传输。对于中继端口,不论该端口是否为控制器上的所有 VLANs 配置实现路径传输还是为了某个特定的 VLANs 实现路径传输。你可以设别为该端口服务的本地 VLAN。中继端口一般运用802.1q 标签为特定的 VLANs 标注框架。但是,本地 VLAN 无标注标识。信息分类为可信或不可信:不仅需要考虑输入物理端点和隧道配置对无线信息的安全影响可能,还需要考虑与 VLAN 连接
8、的端点和渠道的可信性。1. 有关可信/不可信的物理端点默认情况下,控制器上的物理端点都是安全的并且都是连接到内部网络上的。不可信的端点一般是连接到第三方 APs、公共网络或者其他访问控制可被轻易攻破的网络上的。当确认一个物理端点为不可信的时候,所有需要通过该端口进行的信息传输都需要经过一个预先设定的访问控制程序。2. 有关可信/不可信的 VLANs你同样可以通过确认 VLAN 界面和端口/ 隧道来确认 VLAN 信息传输的安全性。这表明,只有在连接到 VLAN 上的端口可信的情况下,无线信息输入端点才是安全的,否则则是不可信的。当连接到 VLANs 的端口不可信时,所有输入或者输出的信息都需要
9、经过预先设定的 ACL 程序。例如,如果公司为访问者提供接入允许,那么访问者久必须通过预先设定的 ACL 程序进入受限界面。这种情况下,这种设置是可行的。你可以在中继模式下设置系列可信或者不可信的 VLANs。一下的图表5说明了端口和VLAN 对信息安全影响的联系。只有在端口和 VLAN 都安全的情况下,信息传输状态才是安全的。如果信息传输不安全,那么所有的信息传输都必须通过预先设置的访问控制程序和无线条款。图表5:区分信息的安全性和不安全性3. 在访问模式下通过 WEBUI 来配置安全/不安全的端口和 VLANs:以下程序为:配置一个不安全的以太网端口,指定 VLANs 并使其为不可信的,令
10、需要为不可信的信息访问预先设置需要通过的访问程序。1) 打开: 窗口2) 在 选项中选择需要配置的端口3) 在 一栏,清楚安全的端口,使其配置为不可信的。 (默认端口都是安全的)4) 在 一栏,选择“ACCESS“5) 在“VLAN ID ”的下拉菜单中选择需要进过该端点传输的“VLAN ID”6) 在 一栏中,清楚安全的 ALAN,使其配置为不可信的。 (默认VLAN 都是安全的)7) 在 下拉菜单中,选择 VLAN 信息传输需要经过的程序,你可以为可信或者不可信的 VLANs 选择信息传输预订程序8) 从 选项中,在下拉菜单中选择经该端口回传信息需要经过的预订程序9) 从下拉菜单外选择经该
11、端口回传信息需要经过的预订程序10) 选择适用于该集点信息传输的端口和 VLAN,从下拉菜单中为其选择预订程序11) 点击“APPLY“4. 在访问模式下通过 CLI 命令来配置安全/ 不安全的端口和 VLANs:如:5. 在中继模式下通过 WEBUI 来配置安全/不安全的端口和 VLANs:以下程序为:配置一系列的以太网端口为不安全的本地中继端口,指定 VLANs 并使其为不可信的,令需要为不可信的信息访问预先设置需要通过的访问程序。1) 打开: 窗口2) 在 选项中选择需要配置的端口3) 在 一栏,选择中继“TRUNK“4) 为了区分本地 VLAN,从“Native VLAN”下拉菜单中点
12、击- 箭头5) 选择以下任意一种方式来控制通过端口的信息传输类型:-除了其中从下拉菜单选择的那个端口,其余的短信 信息传输均需为 VLANs 服务-所有从下拉菜单中选择的信息传输的端点都为 VLANs 服务所有的端点信息传输都不为 VLANs 服务6) 为该端点指定不安全的 VLANs,点击“TRUSTED EXCEPT“选项。在一个相对安全的VLAN 领域,输入一系列你指定的不安全的 VLANs。 (例如,200-300,401-500等)只有在该清单中的 VLANs 才是不安全的,如需要指定某个 VLAN 为不安全的,仅需从下拉菜单中选择一个 VLAN。7) 为该端点指定安全的 VLANs
13、,点击“UNTRUSTED EXCEPT“选项。在一个相对不安全的 VLAN 领域,输入一系列你指定的安全的 VLANs。 (例如,200-300,401-500等)只有在该清单中的 VLANs 才是安全的,如需要指定某个 VLAN 为安全的,仅需从下拉菜单中选择一个 VLAN。8) 如需要移除某个 VLAN,点击”REMOVE VLANs“选项,从下拉菜单中选择一个你想要移除的 VLAN,点击向左的箭头从列表中移除即可。9) 为 VLAN 信息传输设定需要经过的预订程序,在“SESSION FIREWALL POLICY”下面,点击”NEW“选项10) 输入 VIAN ID 或者从下拉菜单中
14、选择,从 policy 下拉菜单中单击“add ”选择增加,为 VLAN 信息传输选择需要预设的程序。选择的 VLAN 和程序都会显示在 SESSION FIREWALL POLICY 界面11) 完成 VLAN 设置 和程序设置,点击“CANCEL”12) 点击“APPLY“6. 在中继模式下通过 CLI 命令来配置安全/ 不安全的端口和 VLANs:第三部分:有关 VLAN 协议VLAN 协议是将一个客户端分配一个虚拟局域网的几种方法之一 ,VLAN 协议分配有一定的优先顺序。VLANs 协议的优先顺序如下:(从低到高)(1)默认的 VLAN 配置 WLAN(详见11页的“virtual
15、APs“)(2)在客户端确认之前,VLAN 可以根据客户端的属性规则(网路,模式,客户端,定位,加密类型)被派生出来。根据客户端属性派生出来的具体技术规则比由 VLAN 配置的用户派生出来的规则享有优先权。(3)在客户端被确认后,VLAN 可以成为 VLAN 配置默认角色的身份验证方法 ,例如802.1x 或者 VPN。(4)在客户端被确认后,VLAN 可以由认证服务器的返回属性被派生出来(服务器派生规则) 。具体技术的 VLAN 派生规则优先于由 VLAN 配置的用户角色派生出来的规则。(5)在客户端被确认后,VLAN 可以从微软隧道属性派生出来(隧道类型、隧道介质类型和隧道专用 ID).三
16、种属性必须同时存在,不要求任何服务器派生规则。(6)在客户端被确认之后,VLAN 可以从供应商特性(VSA)中派生出来作 RADIUS服务器属性。不要求任何服务器派生规则。 如果 VSA 是现成的,他将优先于其他任何VLAN 优先协议。为 VLAN 指定一个静态地址可以手工在控制器上为 VLAN 指定一个静态 IP 地址。一个控制器上的 VLAN 至少需要指定一个静态 IP 地址。用 WEBUI 为 VLAN 指定静态地址1.在 WEBUI 页面打开 ,点击“EDIT ”编辑。2.选择”use the following IP address“选项,输入 IP 地址和网络掩码的接口。如果需要,
17、你还可以通过点击“ADD“为 VLAN 增加 DHCP 服务器的指定地址。3.点击“APPLY“用 CLI 命令为 VLAN 指定静态地址为 VLAN 指定动态接收地址控制器上的 VLAN 可以通过以下途径获得其 IP 地址:1. 由网络管理员手动配置:这是一个默认的方式,在62页的对其有详细的描述。一个控制器上的 VLAN 至少需要一个动态 IP 地址。2. 通过动态主机配置协议(DHCP)或者点对点的以太网服务协议(PPPOE)来指定动态 IP。具体方法在下面的章节中有详细说明。在一个分办公室里,你可以将控制器连接到一个上行开关或者将一个动态 IP 地址指定到控制器设备上。例如,控制器可以
18、被连接到 DSL(数字用户线) 、调制解调器上或者远程宽带接入服务器(BRAS)上,“Figure 2“图表将显示一个控制器连接到调制解调器上的分办公室。VLAN 1拥有一个静态 IP 地址,同时 VLAN2 通过上行设备上的 DHCP 或者 PPPOE 协议拥有一个动态 IP 地址。控制器上的 DHCP 服务器在本地网络中的 IP 地址指定池中为用户指定 IP 地址。为了使得控制器能为 VLAN 获得一个动态 IP 地址,必须确保 DHCP 或者 PPPOE 客户端在VLAN 控制器上。以下是在确保 DHCP 和 PPPOE 连接到控制器上面的限制条件:1. 必须确保 DHCP/PPPOE
19、客户端存在控制器上的一个 VLAN 上。这个 VLAN 不能是VLAN1.2. 只有一个 VLAN 端口可以被连接到调制解调器或者上行开关上。3. 至少有一个在 VLAN 上的端口必须在 DHCP/PPPOE 客户端从服务器上请求 IP 地址之前是上升状态。4. 只有一个在控制器上的 VLAN 可以通过DHCP/PPPOE 来获取 IP 地址,DHCP 和 PPPOE不能同时存在在控制器上。确保 DHCP 客户端DHCP 服务器为某个特定时间段分配 IP 地址称为“租赁” 。控制器会在租赁到期之前自动更新。当你关闭 VLAN 时,DHCP 租赁将自动免除。用 WEBUI 来确认 VLAN 上的 DHCP 协议1. 打开2. 点击“EDIT“编辑之前创建的 VLAN3. 选择4.点击“APPLY“用 CLI 命令来确认 VLAN 上的 DHCP 协议
