分类: NetWork

Aruba AC基础配置

1、Vlan配置

(YK_Master) # configure terminal
(YK_Master) (config) #vlan 10 ##建立VLAN
(YK_Master) (config) #interface vlan 10
(YK_Master) (config-subif)#ip address 172.18.x.x 255.255.255.0
(YK_Master) (config-subif)#description Wlan-User-10 ##VLAN描述
(YK_Master) (config-subif)#operstate up ##永久enable,即使该VLAN没有端口的up。
(YK_Master) (config-subif)#ip helper-address 172.18.50.20 ##配置DHCP中继
(YK_Master) (config-subif)#exit

2、端口配置

Trunk 模式

(YK_Master) (config) #interface gigabitethernet 1/4
(YK_Master) (config-if)#description link-core
(YK_Master) (config-if)#switchport mode trunk
(YK_Master) (config-if)#switchport trunk allowed vlan 1,10
(YK_Master) (config-if)#switchport trunk native vlan 1
(YK_Master) (config-if)#speed 1000
(YK_Master) (config-if)#duplex full
(YK_Master) (config-if)#no shutdown
(YK_Master) (config-if)#exit

Access 模式

(YK_Master) (config) #interface gigabitethernet 1/4
(YK_Master) (config-if)#description link-core
(YK_Master) (config-if)#switchport mode trunk
(YK_Master) (config-if)#switchport trunk allowed vlan 1,10
(YK_Master) (config-if)#switchport trunk native vlan 1
(YK_Master) (config-if)#speed 1000
(YK_Master) (config-if)#duplex full
(YK_Master) (config-if)#no shutdown
(YK_Master) (config-if)#exit

3、IP 路由设置

静态路由

#configure terminal 2 (YK_Master) (config)

#ip route 172.18.100.0 255.255.255.0 172.18.2.254 10 ##最后10是跃点数,当多条相同目标网络的静态路由时,该值越小,优先及越高

默认路由(缺省路由)

1 (YK_Master) #configure terminal

2 (YK_Master) (config) # ip default-gateway 172.18.0.0

4、IP Dhcp

(YK_Master) # configure terminal
(YK_Master) (config) #service dhcp ##开启DHCP
(YK_Master) (config) #ip dhcp excluded-address 172.18.70.200 172.18.70.254 ## 配置排除地址
(YK_Master) (config) #ip dhcp pool user-vlan-10 ##建立地址池
(YK_Master) (config) #network 172.18.70.0 255.255.255.0 ##关联到VLAN
(YK_Master) (config) #default-router 172.18.70.1 ##缺省网关
(YK_Master) (config) #dns-server 172.18.50.20 255.255.255.0 ##DNS服务器
(YK_Master) (config-dhcp)#option 43 ip 172.18.70.250 ##option43
(YK_Master) (config-dhcp)#option 60 text ArubaAP ##option60
(YK_Master) (config) #lease 0 8 0 ## 租约时间 天|小时|分

配置option问题:

在由AC+Fit AP构成的组网中,AC通过与Fit AP建立的CAPWAP隧道控制和管理AP,在建立CAPWAP隧道之前,AP首先要发现AC。

若AC与AP之间是二层网络,在上线过程中,AP会发送Discovery Request广播报文自动发现AC,然后通过AC响应的Discovery Response报文选择一个待关联的AC建立CAPWAP隧道。

但是当AC与AP之间是三层网络时,AP无法通过广播方式发现AC,需要通过DHCP服务器上配置DHCP响应报文中携带的Option 43信息发现AC:

  • ①AP通过DHCP Server获取IP地址和Option 43属性。
  • ②AP通过Option 43中的信息获取到AC的地址
  • ③AP通过获取到的AC IP地址,向AC发送单播的发现请求。
  • ④接收到发现请求报文的AC会检查该AP是否有接入本机的权限,如果有则回应发现响应。
  • ⑤AP和AC进行信息交互,建立CAPWAP隧道。

Aruba AC开机初始化

无线控制器刚启动的时候,是没有任何配置的,需要进行初始化配置才能进行管理。

通过无线控制器的console端口连接无线控制器,启动无线控制器,进入到以下初始配置界面完成初始配置:

Enter System name [Aruba7200]: Aruba-master

Enter VLAN 1 interface IP address [172.16.0.254]: 172.18.x.x      —–设置AC  ip地址

Enter VLAN 1 interface subnet mask [255.255.255.0]: 255.255.255.0    —–设置子网掩码

Enter IP Default gateway [none]: 

Enter Switch Role, (master|local) [master]: master     —–设置AC角色, master或者local

Enter Country code (ISO-3166), <ctrl-I> for supported list: CN       —–设置国别代码  中国

You have chosen Country code GB for United Kingdom (yes|no)?: yes

Enter Time Zone [PST-8:0]: GMT-0:0      —–设置时区

Enter Time in GMT [14:27:05]: 14:27:05

Enter Date (MM/DD/YYYY) [2/20/2016]: 1/15/2018

Enter Password for admin login (up to 32 chars): admin     —–设置管理员用户名和密码

Re-type Password for admin login: admin

Enter Password for enable mode (up to 15 chars): enable     —–设置是否启用enable密码

Re-type Password for enable mode: ******

Do you wish to shutdown all the ports (yes|no)? [no]: yes

Current choices are:    显示出当前的选择或者配置

System name: Aruba_master

VLAN 1 interface IP address: 172.18.x.x     

VLAN 1 interface subnet mask: 255.255.255.0

IP Default gateway: none

Switch Role: master

Time Zone: GMT-0:0

Ports shutdown: no

If you accept the changes the switch will restart!

Type <ctrl-P> to go back and change answer for any question

Do you wish to accept the changes (yes|no)yes

Creating configuration… Done.

System will now restart!

初始化配置完成后,设备会重新启动

重启完成以后进入到以下配置界面,用刚刚初始化配置的用户名和密码进行登陆。

(Aruba_master)

User: admin

Password: *****

(Aruba-master) >enable

Password:******

Aruba Wlan配置

1. AP group :

    Aruba无线控制器通过AP Group来构建无线网络配置参数模版。并通过将多个AP加入某个AP Group来将这些配置参数同步到每个AP。

    AP组的方式保存具有相同配置AP的所有参数;
    所有被AC发现的AP(还未进行配置)都被默认分配到一个”default”的AP组;
    一个AP只能属于一个AP组,多个AP可以属于同一个AP组;
    可以建立新的AP组,然后把特定的 AP分配到新建的AP组。可以修改AP组的参数,使修改参数应用到所有属于这个AP组的AP,也可以对一个特定的AP进行参数修改,修改的参数将覆盖AP组对应的参数。

2.Profile

   Aruba以profile为单元的方式分解无线配置参数,根据无线配置参数的功能,分解成一个个独立的profiles,下层Profile可以提供给多个上层profile进行使用,上层profile也可以包含多个不同功能的下层profile。
  例如SSID Profile(包含AP的名称,加密方式等等),包含EDCA Parameters Station Profile(Clients到AP的流量优先级参数),EDCA Paramters AP Profile(AP到Clients的流量优先级参数),High-throughput SSID  Profile(802.11n的40MH的利用),这三个Profile还可以被其他的SSID Profile包含。

  • SSID profile: 配置用户可见的ESSID,及其加密方式,如open、wep、wpa-tkip、wpa2-aes,以及使用pre-share key静态密钥还是802.1x。
  • AAA profile: 配置用户认证方式(mac、802.1x、captive-portal、VPN),关联相应AAA认证服务器(Radius、TACACS+、LDAP及Internal DB)。
  • Virtual-AP profile: 关联上述SSID profile和AAA profile以构成一组WLAN服务模版,并为其分配vlan。

3. Virtual AP配置架构

网工 论IPV6在企业网络中的应用(笔试)

https://www.gov.cn/zhengce/zhengceku/2021-07/23/content_5626963.htm

https://www.gov.cn/lianbo/bumen/202404/content_6946375.htm

网络技术的迅猛发展,传统IPV4网络面临越来越多的瓶颈和风险,为解决IPV4在网络地址空间枯竭、原生安全性支持不足等问题,国家大力推广IPV6部署。IPV6拥有更大的地址空间,更好的安全性,基于IPV6的协议的网络能够弥补IPV4网络协议设计上的不足。我作为某企业数据中心的负责人,负责数据中心网络的建设与运维工作。对本次数据中心网络IPV6部署和升级进行充分的调研和技术评估。采用了IPV4和IPV6双栈建设模式,实现IPV4和IPV6共存和平衡过渡。升级后的IPV4和IPV6网络满足了用户同时使用双协议访问业务系统的需求,对提升业务的便捷度和品牌影响力发挥了重要作用。本文从IPV6升级建设背景出发,简要分析IPV6的技术特点和主要对比,详细介绍数据中心的网络架构,同时对IPV在升级过程遇到的问题进行讨论,为企业IPV6网络的建设提供可供参考的经验和依据。

伴随5G、云计算、物联网、工业互联网的迅猛发展,网络规模日益扩大,网络技术层出不穷。IPV4在网络普及和运用的过程中上发挥了巨大的作用,但同时也面临地址空间枯竭,私有地址交流效率低、设备路由表表项过大、远程访问(vpn)无法保证业务质量、安全溯源困难等缺点 。IPV4地址转换技术虽然延缓了IPV4地址分配消耗问题,但也增加了网络管理的成本和复杂度,影响了业务的性能。为解决IPV4协议地址空间枯竭和协议安全性支持不足等问题、IPV6技术自20世纪90年代开始提出,并不断完善。由于IPV4的快速普及,IPV6的推广迟迟没有进展。近年来互联网地址枯竭加剧、物联网应用的发展需要,迫切需要IPV6协议的普及。当前三大运营商中国电信、中国移动、中国联通已经完成了IPV6骨干网络的升级改造,为用户和服务端进行Ipv6改造提供了保障。为不断提升信息化治理水平,依托信息化提升企业管理水平,公司决定对企业数据中心进行IPV6升级改造,主要目标有:实现数据中心网络支持IPV6协议、关键对外业务系统支持IPV6的访问,探索建立IPV6环境下的安全防护方案。我作为数据中心网络负责人,全面参与此次IPV6网络规划与建设。

一、IPV6的改进

作为网络层协议的典型代表IPV4和IPV6都是属于OSI参考模型中的网络层,两者在地址空间、包结构、网络质量QOS、安全性、移动性支持都有很大区别。IPV6结构更加简洁,协议传输效率更高;IPV6取消了包头长度IHL、标志符、分段偏移等字段,只增加了流标签域。设备处理效率和传输速率更快。IPv6中网络层天然支持IPSEC的认证和加密,使用网络安全性得到质的提升;新增了流标签字段提供QOS保证。巨大的地址空间使得IPv6可以方便的进行层次化网络部署,层次化的网络结构可以方便的进行路由聚合,提高了路由转发效率。IPV6地址空间对扩大5G通信和物联网等新技术提供了广阔的空间。

二、IPV6的过渡

当前,IPV6网络还未完全普及、IPV4网络和IPV6网络共存主导当前IPV6升级与建设,需要充分考虑业务的兼容性。IPV4和IPV6过渡阶段主要使用三种建设模式与技术,需要结合实际情况采用;1、双栈协议。顾名思义就是在网络设备中同时部署IPV4和IPV6协议,兼容性好,一般主流厂商设备已经同时支持IPV4和IPV6协议,可能存在较少网络设置的更换,整体实施成本可控。2、地址翻译技术。对于不能兼容IPV6协议的老业务系统,需要通过IPV6与IPV4地址转换技术,实现IPV6终端系统访问IPV4业务系统。IPV6与IPV4协议互相转换配置相对复杂,且后期运维和业务扩展比较繁琐。需要评估建设和运维总体成本,来确定是否采用地址转换技术。3、隧道技术。隧道技术是通过在在IPV4与IPV6之间建立逻辑隧道的方式,让两种网络可以相互穿越访问,一般用于异构网络的互联互访。考虑不同用户网络环境的互访,经过评估本次数据中心的IPV6升级采用双栈协议部署。

三、数据中心网络架构设计

我负责的数据中心网络包括网络、存储、服务器、安全设备等近百台。数据中心内部署10多套大型业务系统对外提供服务,业务峰值流量达到10Gbps,平均业务流量达到1~2Gbps,日均访问量达到百万次。同时数据中心还承载公司内部办公业务系统供全国各分支基地的使用。此次IPV6升级改造涉及设备多、业务系统复杂、影响范围广、需要各单位密切配合、联合实施,保证升级过程中业务的平滑过渡,将影响降到最低。整个数据中心分为出口防护区、对外服务区、内部服务区、运维管理区、核心汇聚区等主要区域。出口防护区连接电信、移动、联通运营商线路。实现实现多运营商负载均衡和DDos防护、访问控制等安全保护。该区域主要部署有华为抗AntiDDos1905 用于流量清洗。华为s5702接入交换机2台采用双机虚拟化,接入三家运营商线路;xx型号防火墙2台、采用主备模式,实现访问控制;xx型号智能负载均衡设备用于配置智能DNS,实现三家运营商的动态负载和智能解析。

四、IPV6问题与改进

五、总结