Aruba switch設定Tacacs認證(使用CPPM)

Aruba switch設定Tacacs認證(使用CPPM)

CPPM版本:6.7.9.109065

Aruba switch版本:16.08.0003

A.Aruba switch設定

1.Aruba 設定Tacacs server認證

PS:預設tacacs-server的key下完之後會隱藏起來，必須加一筆指令include-credentials，
key的部分才會在config中顯示

B.CPPM設定

1.local user新增write帳號與read帳號

新增帳號read，給予TACACS Read-only Admin的role

新增write帳號，給予TACACS Network Admin的role

2.Network->Device

新增設備，設定Share key與指定Vendor Name

3.新增Enforcement profile

HPE-write與HPE-read

當帳號符合條件時，回傳相對應的數值給switch

4.新增Enforcement policy

當認證帳號的Role=Read-only Admin時，使用HPE-read的Enforcement proflie回傳數值

當認證帳號的Role=Network Admin時，使用HPE-write的Enforcement proflie回傳數值

5.新增服務，此處命中條件寬鬆，設定只要符合週一到週日來認證就命中，可以修改為特定IP來認證或是特定牌子設備來認證

認證源使用local SQL DB

Enforcement policy選擇剛剛設定好的HPE

C.驗證

1.使用SSH連線switch，並開啟Tacacs相關的Debug

2.在switch上可以透過Debug log看到驗證成功的過程(write)

2.在switch上可以透過Debug log看到驗證成功的過程(read)

3.在CPPM上的Access Tracker檢視成功訊息

Aruba AP apboot mode command

Aruba AP apboot mode command

進入APboot mode

在Aruba AP剛開機的時候，使用console接入，在底下畫面按下enter鍵可以進入
AP boot模式(如果沒按到要拔電重啟AP再試一次)。

如果在apboot模式底下太久沒有動作，AP會重開機。

之後可以輸入這些指令(可以使用縮寫，像是setenv->set、purgeenv->purge)

用tab可以代出完整指令，所有設定記得要用save存檔之後重開機才不會消失

另外因為沒有防呆，輸入錯誤的參數會導致AP不正常運作

清除AP設定三大指令

purgeenv 清除網路參數(IP/Mask/Gateway等，但config還在)

factory_reset 清除config回到出廠值

clear os 清除OS回到出廠值

三個全下AP會回到最乾淨的狀態

基本AP網路參數設定

set ipaddr x.x.x.x  設定IPv4的ip

set netmask x.x.x.x  設定遮罩

set gatewayip x.x.x.x 設定Gateway

set name x 設定名稱

set ip6addr 2001:db8:1a:0:10:0:10:1 設定IPv6的ip

set ip6prefix 64 設定Prefix

set gatewayip6 2001:db8:1a:0:10:0:10:254 設定IPv6的gateway

print 檢視設定

save 儲存設定

查看AP os與升級指令

osinfo 檢視AP Partition 0與1的OS版本

print 檢視os_partition查看AP開機用的partition

set severip x.x.x.x 設定tftp server ip

upgrade os <filename> 下載OS進partition 0

upgrade prov <filename> 下載OS進partition 1

set os_partition 0/1 設定使用哪個partition開機

CAP(thinAP)相關指令

set master x.x.x.x 設定controller ip

set group xxx 設定AP group

HPE switch backup configuration and restore的三種方式

HPE switch backup configuration and restore 

switch都會有備份設定檔與還原設定檔的需求

以下介紹三種備份設定檔與還原設定檔的方法

方法A ->putty output+複製貼上

方法B->網頁匯出+網頁restore

方法C->指令tftp匯出+指令tftp匯入

方法A

backup->使用putty output configuration到記事本

1.開啟Putty登入switch (console/telnet/ssh)

2.輸入指令screen-length disable，取消分頁顯示

3.Putty調整output檔案到指定目錄

4.輸入指令display current-configuration顯示switch的configuration

5.關閉putty，即可看到指定目錄出現configuration

restore->複製貼上

1.將config檔打開之後從#字號開始複製全部文字到return

2.輸入指令將switch設定清除並重啟

<HPE>reset saved-configuration

<HPE>reboot

3.重新進入switch之後輸入system-view進入config模式將複製的configuration貼上

4.之後存檔即完成

方法B

backup->使用web介面backup configuration

1.登入switch的web介面

2.Device->Configuration->Export Running Configuration將設定檔下載下來

restore->使用web介面復原config

1.登入web介面

2.Device->Configuration->import Configuration

3.上傳config之後將Overwrite the running configuration打勾並按Apply

4.存檔

PS:Overwrite the running configuration會立即將configuration覆蓋上去

如果不勾的話會在下次開機時才使用上傳上去的configuration

方法C

backup->將configuration傳到tftp server

1.開啟tftp server，選擇存放路徑與介面

2.switch輸入backup startup-configuration to X.X.X.X，將configuration傳到tftp上

restore->將configuration從tftp server傳到switch

1.開啟tftp server，選擇存放路徑與介面

2.在switch上輸入指令restore startup-configuration from X.X.X.X XXX(file name)

3.reboot switch (注意不要存檔) 即完成

Aruba controller Mesh設定 (8.0)

Aruba controller Mesh設定 (8.0)

設定概念:

一開始讓AP先以CAP的形式在Controller上運作。

首先要手動新增Mesh Cluster profile並分配進AP group，接著將正常模式的AP套進有Mesh cluster profile的Ap group中(Portal與Point都要)，之後重開，使用show ap database/show ap mesh active檢視AP的狀態，在Point與Portal都UP之後，可以將Point

移動到其他需要mesh的位置。

設定Mesh Cluster profile

點擊Configuration->System->Profiles->Mesh

新增一個Mesh Cluster profile，設定Cluster Name、RF-Band(a)、加密模式

(可以使用open與WPA2，WPA2要設定密碼)

新增Portal的AP group與Point的AP group

一般而言設定Mesh之後都會設定Wire port，所以需要將Portal與Point分成兩個不同的APgroup

但是同一組的Portal與Point都必須要有相同的Mesh Cluster profile

修改AP成為Portal或是Point

Configuration->Access Points

點選AP之後Provision，設定Mesh role為Portal或是Point

設定Wire port 

藉由將AP上的某一個port設定成Wire port，可以實現橋接的功能

我們先新增Wired AP profile

點擊Configuration->System->Profiles->AP 展開頁面

往下拉看到Wired AP之後新增一個profile，並取名(此處取名叫Mesh)

接著Wired AP enable打勾(預設沒有打勾)，後面的Forward mode與Switchport mode還有vlan隨著需求設定

最後按下右下角的submit

接著新增一個AP wired port profile

Configuration->System->Profiles->AP->AP wired port

新增一個並取名字(此處取名為Mesh)

將一開始新增的Wired AP profile放進去

接著將剛剛新增好的Profile分配到Point的Eth0上

Configuration->AP Groups->Point的AP group->Profile

->AP->Ethernet interface 0 port configuration->Wired ap

選擇剛剛新增好的Wired AP profile (Mesh)

Deploy

接著就可以進行測試

show ap mesh active檢視mesh狀態

連接Point AP的eth0，透過無線mesh進行網路傳輸