2018年6月25日 星期一

Aruba switch PBR設定(policy base route)

Aruba switch PBR設定(policy base route)

1.簡介


本文件介紹如何在Aruba switch上設定PBR(policy base route/政策路由)。


在設定PBR的時候,先要創造class,接著創造policy並將class放進去,
接著定義如果命中這個class,要執行怎樣的動作(action),
最後再將plocy放入vlan裡面即可(要注意你只能用PBR限制進入vlan的封包)


在PBR的設定中,有以下元素
Class->設定要針對的封包(Source IP to Destination IP)
Policy->設定命中條件的封包的動作
Vlan->最後要將policy分配到vlan上


雖然步驟只有三個,但是在class的設定上就有ipv4/ipv6/mac三種類型,
而且可以針對封包的IP/種類/協定來做分類,所以在設定上可以說是千變萬化

2.設定


A.設定class
(config)#class ipv4 XXX 創造一個名叫XXX的class並進入(針對ipv4的封包、也可以針對ipv6或mac)
(config-class)#10 match ip 192.168.10.0/24 any 設定順序為10(PBR會依序比對然後命中),
命中來源IP的192.168.10.0網段、目的網段是所有網段的封包。


B.設定policy
(config)# policy pbr XXX 創造一個pbr的policy並進入
(policy-pbr)#class ipv4 XXX 將剛剛創造的class XXX放進來並進入
(policy-pbr-class)#action ip next-hop X.X.X.X設定此class的封包往X.X.X.X丟


C.在vlan裡面啟用
(config)#vlan X 進入vlanX
(vlan-X)# service-policy XXX in 將剛剛創造的policy XXX放入vlan



3.範例


A.讓所有的網段來的封包都不能到google的DNS


(config)#class ipv4 "denygoogle" 創造一個ipv4的class名叫denygoogle並進入
(config-class)#10 match ip 0.0.0.0 255.255.255.255 8.8.8.8 0.0.0.0 設定命中條件,
此處的命中條件是  來源IP->所有 目的IP->8.8.8.8


(config)#policy pbr "denygoogle" 創造一個pbr policy名叫denygoogle並進入
(policy-pbr)#class ipv4 "denygoogle 將剛剛創造的class放入,並進入
(policy-pbr-class)# action interface null 設定命中的封包都會被丟到null interface(黑洞)


(config)#vlan 10  進入vlan10
(vlan-10)# service-policy denygoogle in 將剛剛設定好的policy(denygoogle)設定進vlan10


接著可以驗證clinet可以ping到其它網段,但是ping不到google






B.
一間公司有兩個網段
vlan1->192.168.7.0
vlan2->192.168.8.0
Aruba Core switch的IP是192.168.7.254、192.168.8.254
要將vlan1往192.168.7.253丟、vlan2往192.168.7.252丟


設定概念:
將Core switch的default route設定給192.168.7.253、在vlan2裡面新增一筆policy route,
全部vlan2的封包都往192.168.7.252丟


(config)#class ipv4 "vlan2forward" 創造一個ipv4的class名叫vlan2forward並進入
(config-class)#10 match ip 192.168.8.0 255.255.255.0 any 設定命中條件,此處的命中條件是  
來源IP->192.168.8.0 目的IP->所有


(config)#policy pbr "vlan2forward" 創造一個pbr policy名叫denygoogle並進入
(policy-pbr)#class ipv4 vlan2forward 將剛剛創造的class放入,並進入
(policy-pbr-class)# action ip next-hop 192.168.7.252設定命中的封包都會被丟到192.168.7.252


(config)#vlan 2  進入vlan 2
(vlan-10)# service-policy vlan2forward in 將剛剛設定好的policy(denygoogle)設定到vlan10裡


C.
vlan203的封包往10.236.99.97送


(config)#class ipv4 "vlan203forward"
(config-class)#10 match ip 10.236.97.64 0.0.0.63 0.0.0.0 255.255.255.255


(config)#policy pbr "vlan203forward"
(policy-pbr)#class ipv4 vlan203forward
(policy-pbr-class)# action ip next-hop 10.236.99.97


(config)#vlan 203  
(vlan-203)# service-policy vlan203forward in


2018年6月7日 星期四

Aruba AP LACP設定

Aruba AP LACP設定


參考文件:
使用Controller版本:6.5.3.3
使用AP型號:AP325,AP225


-------------------------------------------------------簡述------------------------------------------------------
AP220系列、AP270系列、AP320系列支援靜態的port channel與LACP,可以讓AP享有更大的頻寬(大於1G)。
Controller使用兩個不同的IP來傳輸流量給 wireless clients,一個是Controller的IP,另外一個是沒有分配的IP,稱為GRE striping IP。
在220/270系列的AP,AP會使用這兩個不同的IP與controller建立不同的GRE tunnel,一個tunnel用來傳輸5G Radio,一個用來傳輸2.4G Radio,藉由分配Client給不同的頻帶,可以讓throughput超過1G。
在320系列的AP,兩個IP都拿來建立傳輸5G Radio的GRE tunnel,在連結一個或多個4x4 802.11ac的Client的時候,,可以讓throughput超過1G。
更詳細的說明與LACP在Fail over架構下的設定,請參閱原廠文件。


---------------------------------------------------設定方式---------------------------------------------------


1.先進入AP LACP LMS map information
Configuration->All profile->AP->AP LACP LMS map information


2.enable AP LACP Striping IP


3.新增GRE Striping IP


此處的LMS IP就是我們一般熟知的LMS IP
Striping IP則是需要一個不存在的IP(也不需要在Controller其他地方設定)


4.進入要啟用此功能AP所使用的AP system profile
並設定LMS IP


5.在switch上也要設定(此處以Aruba switch為例)


注意事項:
1.如果與AP對接的switch是設定成static port-channel,當AP有設定gre-striping-ip時,AP也會使用static port-channel的模式,但是如果沒有設定gre-striping-ip,AP會使用原本active-standby的模式。
2.如果與AP對接的switch是設定成動態LACP的模式,AP會偵測到LACP-PDUs並自動設定成LACP的模式,如果沒有設定gre-striping-ip,AP還是會設定LACP的模式,但是只會從一個port傳送GRE traffic
3.確保gre-striping-ip沒有被使用在網路上
4.port priority沒有辦法在AP上設定
5.system priority沒有辦法被設定
6.Timeout值沒辦法被設定
7.Key沒有辦法被設定,預設Key為1
8.如果在第二個port啟用wired AP,LACP將無法被啟用,如果第一port被shutdown也不能啟用LACP


-------------------------------------------------------驗證------------------------------------------------------


在Controller上可以看到AP的Flag變成s


show ap debug lacp ap-name 可以檢視AP的LACP狀態是否正常


在switch上也可以檢視LACP的狀態是否正常


因為AP會偵測switch上的設定自行調整Link-agreegation的模式,所以switch上設定LACP或是靜態port channel都可以,以下是switch上設定靜態port channel的狀態
可以看到AP的link-agreegation的狀態變成Static Port Channel




















---------------------------------------在VRRP架構下的LACP設定-------------------------------------


參考文件
https://community.arubanetworks.com/t5/tkb/articleprintpage/tkb-id/ControllerBasedWLANs/article-id/2128
在Master與Backup的Controller上都設定GRE stripping IP(要設定兩個不同的IP)
LMS IP要設定VRRP的IP


VRRP就正常設定

然後AP的LMS IP要設定VRRP的IP


設定好之後可以看到AP有正常建立LACP

--------------------------------------------驗證-------------------------------------------------------


將MASTER的VRRP shutdown


然後可以看到AP移動到另外一台controller上,並依然有LACP


2018年6月5日 星期二

Aruba controller與AP支援韌體清單

Aruba controller與AP支援韌體清單
TBD=To Be Determined=尚未決定
目前只整理熱門產品

Thin AP
AP型號
最低支援韌體版本
最高支援韌體版本
103 Series Campus Access Points
 ArubaOS 6.4.0.0
TBD
210 Series Campus Access Points (excluding FIPS/TAA models)
ArubaOS 6.4.2.0
TBD
220 Series Campus Access Points (excluding FIPS/TAA models)
ArubaOS 6.3.0.0
TBD
110 Series
(AP-114/115)
ArubaOS 6.3.1.0
TBD
AP-104, AP-105
AP-104: ArubaOS 6.1.3.0 AP-105: ArubaOS 3.4.1.0
TBD
AP-134, AP-135
 ArubaOS 6.1.1.0
TBD
AP-92, AP-93
ArubaOS 5.0.4.2, 6.0.2.1, 6.1.2.0
ArubaOS 8.1
AP-68/68P
5.0.3.0
ArubaOS 8.1
AP-124 and 125
ArubaOS 3.3.1.9
ArubaOS 6.4
207 Series AP
ArubaOS 6.5.1.0, 8.1.0.0
TBD
320 Series Access Points
ArubaOS 6.4.4.0 320 Series Access Points are not supported on 650 Series Mobility Controllers.
TBD
310 Series Access Points
 ArubaOS 6.5.0.0, 8.0.1.0
TBD
330 Series access points
 ArubaOS 6.5.0.0, 8.0.1.0
TBD







Controller

controller型號
最低支援韌體版本
最高支援韌體版本
3000 Series

6.4.x
620

6.4.x
650

6.4.x
651

6.2
3200

6.1
6000series and M3 module

6.4.x
7005
AOS 6.4.1.0
TBD
7008
AOS 6.5.0.0
TBD
7010
AOS 6.4.1.0
TBD
7024
AOS 6.4.3.0
TBD
7030
AOS 6.4.1.0
TBD
7205
AOS 6.4.3.0
TBD
7210
AOS 6.2.0.0
TBD
7220
AOS 6.2.0.0
TBD
7240XM
AOS 6.4.4.0
TBD
7240
AOS 6.2.0.0
TBD
7280
AOS 6.5.4
TBD