2018年5月30日 星期三

Aruba RemoteAP backup mode(fallback) 設定

Aruba RemoteAP backup mode(fallback) 設定

Aruba的Remote AP可以設定backup mode(fallback),有多種模式可以選擇
設定概念是新增一個AP group給Remote AP,大部份的設定都跟平常的設定一樣,但是在Virtual AP profile的進階部份要特別做設定

首先我們進入Virtual AP Profile點選進階













點進去之後拉到底,下面有個Remote-AP operation

裡面有四種模式可以選擇,此處分別做說明(此處的啟用Virtual AP profile是參考User-guide的說法,簡單講就是發SSID)

1.Always(只支援PSK認證)
永遠啟用Virtual AP profile,推薦給bridge使用

2.Backup(只支援PSK認證)
當Remote AP無法連接到controller的時候會啟用Virtual AP profile,SSID會一直發出來,直到與controller恢復連線,推薦給bridge模式的SSID使用

3.Persistent(支援802.1X認證)
在Remote AP與controller初始化連接之後,永遠的啟用Virtual AP,推薦給802.1X的SSID

4.Standard(支援全部認證)
預設的狀態
當Remote AP連接到controller的時候才會啟用Virtual profile,推薦給802.1X、tunneled還有split-tunneled的SSID使用



當使用Remote AP的Fallback設定的時候,Remote AP隔一段時間就會去嘗試與Controller建立IPsec tunnel,如果設定成Backup mode,當Remote AP與Controller重建IPsec tunnel成功時,Remote AP會立即停用Backup mode並啟用Standard mode(可以參考上面的說明),但是如果將模式設定為Always mode與Persistent mode,在與Controller重建連線之後,這兩個模式的SSID還是會繼續存在。


進行Remote AP back mode(Fallback) 設定的時候,重點在於假設AP失去與Controller連線時的情境模擬(能不能拿到IP、網段為何)。

另外Remote AP也支援在Back up模式底下做NAT並派發DHCP,可以參考Aruba OS的user guide

使用指令(CLI)修改Aruba AP設定(provision)

使用指令修改Aruba AP設定

參考網址


Aruba使用指令修改AP的概念
使用指令read-bootinfo將AP加入provisioning-ap-list的清單裡面
然後使用copy-provisioning-params將某顆AP的參數複製到provisioning-params裡面
之後可以透過個別指令修改參數
最後再用指令reprovision確認修改AP  

相關指令如下
provision-ap  進入修改AP的模式
read-bootinfo ap-name/ip-addr 將某AP加入修改清單中(provisioning-ap-list)
clear provisioning-ap-list 清除修改清單
show provisioning-ap-list 檢視修改清單
copy-provisioning-params ap-name/ip-addr 將某AP的參數加入修改參數中(不用一個一個參數設定,可以對參數做微調就好)
show ap provisioning ap-name/ip-addr 檢視某個AP的參數
show provisioning-params 檢視修改參數
clear provisioning-params 清除修改參數
修改細節參數的部份可以參考手冊
reprovision  all/ap-name/ip-addr 將某個AP(或是provisioning-ap-list中的全部AP)的參數調整成跟剛剛修改的provisioning-params一樣,AP會重啟

範例,一個Remote AP要轉換成thin AP並修改Master IP
----------------------------------------------------------------
先進入Controller的Config模式底下

provision-ap  進入設定AP的模式
read-bootinfo ap-name AP-15  將AP-15加入預備重開的group
copy-provisioning-params ap-name AP-15 導入AP-15原本的設定參數
master 172.16.13.152 設定master IP
server-ip 172.16.13.152 設定server IP
ap-group "Vincent-home-A" 設定AP group
no remote-ap 不要成為remote AP
reprovision ap-name AP-15 重設AP-15
-----------------------------------------------------------------------
示範影片

2018年5月21日 星期一

IAP與controller建立VPN(RAPng)

IAP與controller建立VPN(RAPng)

RAPng是讓IAP跟controller建立VPN與IPsec tunnel的技術
Aruba RAPng的對象是:
1.如果一個企業擁有很多分點,但是沒有VPN設備連回總公司
2.分點辦公室需要很多AP
3.在家工作的人想要連回公司

在Controller要做的設定:

1.使用以下指令將IAP加進白名單
#whitelist-db rap add mac-address 00:11:22:33:44:55 ap-group test
分配ap-group給 IAP並沒有辦法去控管IAP,但是還是要設定

2.設定vpn local pool
# ip local pool "rapngpool" <startip> <endip>
給予一段IP(inner IP)給vpn進來的IAP,使其能夠與總公司的設備溝通

3.分配role給認證過的IAP
(host) (config) #ip access-list session iaprole
(host) (config-sess-iaprole) #any host <radius-server-ip> any src-nat
(host) (config-sess-iaprole) #any any any permit
(host) (config-sess-iaprole) #!
(host) (config) #user-role iaprole
(host) (config-role) #session-acl iaprole

4.設定VPN profile
VPN profile定義認證IAP的server與被認證過的IAP所被分配的Role
(host) (config) #aaa authentication vpn default-iap
(host) (VPN Authentication Profile "default-iap") #server-group default
(host) (VPN Authentication Profile "default-iap") #default-role iaprole

在IAP要做的設定:
1.點擊more->vpn,可以開啟tunnel設定視窗
2.選擇要使用的protocal,此處選擇IPsec
3.接著設定primary host(要vpn的controller的IP)
(通常是總公司的public IP,防火牆要設定4500 port導到controller,因為ipsec是用4500port在做溝通)
4.backup ip是optional,可以不設定




驗證方式:
在controller使用指令show iap table
如果可以看到iap與其inner ip,也可以ping的到inner ip,那便是成功

PS:如果要設定某特定的網段要連回總公司,必須在IAP上添加某特定網段的路由
新增路由位置如下


EVPN DCI LAB( separate gateway and ED )

如果用HPE5510以上的型號單純想實現兩個site的L2互通,可以參考看看
參考的文件
https://h20195.www2.hpe.com/v2/Getdocument.aspx?docname=a00000256enw

EVPN DCI LAB( separate gateway and ED )

拓樸圖如下

LAB目標:
實現5130與5930-Gateway L2透通

使用設備:
ED1
ED3

設定步驟1.
設定介面IP、MTU/並啟用OSPF讓ED1與ED3的Loopback 0彼此路由可達

先設定ED1上與ED3介接的Port為route port,並定義IP與啟用mtu
ED1的1/1/7
設定ED1上與ED3介接的Port為route port,並定義IP與啟用mtu
ED3的1/0/7

再來設定ED1的loop back 0,並啟用OSPF允許交換loop back 0的網段

設定ED3的loop back 0,並啟用OSPF允許交換loop back 0的網段






要看到OSPF Peer有學習成功,路由表中有對方Loop back 0的路由,此處以ED1為例

設定步驟2.
啟用vxlan相關指令與介接端口啟用dci指令、啟用BGP並建立L2VPN evpn

ED1啟用vtep與L2vpn功能,與相關指令,並指定tunnel的source address

ED3如法炮製

ED1與ED3的介接端口啟用dci

接著設定BGP,這邊AS number為100,peer ip為對方的Lo 0介面IP















設定步驟3.
設定vsi以便建立vxlan tunnel,這邊預計要讓vlan13,14 L2透通,因此名稱上有13,14方便辨識

ED1
ED2

可以使用指令display vxlan tunnel檢視tunnel的建立狀態



設定步驟4.
接入站內的介面設定要互通的vlan與綁定vsi

s-vid要與站內的vlan number相通,然後綁定上一步驟定義好相對應的vsi






















-----------------------------------------------------驗證--------------------------------------------------------

檢視vxlan tunnel的狀態
檢視BGP l2vpn evpn的建立狀態
檢視經由vpn交換的MAC-address

兩邊端點可以互通
5130檢視端口設定與MAC-table

參考文件:
EVI 2.0 EVPN Data Center Interconnect (EVPN DCI) deployment guide

2018年5月1日 星期二

HPE5130-Port Security範例-綁定特定設備到特定的端口上

HPE5130-Port Security範例
綁定特定設備到特定的端口上


透過Port Security,我們可以將特定的設備與5130上特定的端口做綁定,可以簡單的實現網路安全管理。

1.首先啟用port security
[HPE]port-security enable


2.進入我們想要綁定的端口,這邊假設是port1
[HPE]interface GigabitEthernet 1/0/1

3.
調整port允許的最大MAC學習數量為1
設定模式為自動學習,並綁定一個MAC address與指定vlan
port-security max-mac-count 1
port-security port-mode autolearn
port-security mac-address security c85b-7691-5075 vlan 13
設定完之後,用display this的方式檢視會看到這樣
到這裡設定就完成了


----------------------------------------------檢視狀態-------------------------------------------------

4.如果將不在清單內的設備接上來,可以在Log看到比對失敗的字眼


5.檢視MAC-table,可以看到特定設備的MAC被固定在特定的端口,因此這台特定的設備如果接上其他端口也會無法使用