IAP與controller建立VPN(RAPng)

IAP與controller建立VPN(RAPng)

RAPng是讓IAP跟controller建立VPN與IPsec tunnel的技術

Aruba RAPng的對象是:

1.如果一個企業擁有很多分點，但是沒有VPN設備連回總公司

2.分點辦公室需要很多AP

3.在家工作的人想要連回公司

在Controller要做的設定:

1.使用以下指令將IAP加進白名單

#whitelist-db rap add mac-address 00:11:22:33:44:55 ap-group test

分配ap-group給 IAP並沒有辦法去控管IAP，但是還是要設定

2.設定vpn local pool

# ip local pool "rapngpool" <startip> <endip>

給予一段IP(inner IP)給vpn進來的IAP，使其能夠與總公司的設備溝通

3.分配role給認證過的IAP

(host) (config) #ip access-list session iaprole

(host) (config-sess-iaprole) #any host <radius-server-ip> any src-nat

(host) (config-sess-iaprole) #any any any permit

(host) (config-sess-iaprole) #!

(host) (config) #user-role iaprole

(host) (config-role) #session-acl iaprole

4.設定VPN profile

VPN profile定義認證IAP的server與被認證過的IAP所被分配的Role

(host) (config) #aaa authentication vpn default-iap

(host) (VPN Authentication Profile "default-iap") #server-group default

(host) (VPN Authentication Profile "default-iap") #default-role iaprole

在IAP要做的設定:

1.點擊more->vpn，可以開啟tunnel設定視窗

2.選擇要使用的protocal，此處選擇IPsec

3.接著設定primary host(要vpn的controller的IP)

(通常是總公司的public IP，防火牆要設定4500 port導到controller，因為ipsec是用4500port在做溝通)

4.backup ip是optional，可以不設定

驗證方式:

在controller使用指令show iap table

如果可以看到iap與其inner ip，也可以ping的到inner ip，那便是成功

PS:如果要設定某特定的網段要連回總公司，必須在IAP上添加某特定網段的路由

新增路由位置如下